Akzeptierte Risikolage bei Cyberversicherung
Das Landgericht Tübingen hat in einem wegweisenden Urteil (LG Tübingen, Urteil vom 26.5.2023 – 4 O 193/21) eine wichtige Entscheidung bezüglich der Cyberversicherung getroffen, die sowohl für Versicherer als auch Versicherungsnehmer von Bedeutung ist. Die zugrundeliegende Problematik betrifft die Risikoprüfung und -akzeptanz bei Cyberversicherungen, insbesondere in Bezug auf mangelnde Sicherheitsmaßnahmen.
Im vorliegenden Fall ging es um einen Versicherungsnehmer aus dem Bereich der Heizungsanlagenfertigung, dessen interne IT-Infrastruktur aufgrund veralteter Server anfällig für Cyberangriffe war. Trotz der bekannten Schwachstellen wurden diese nicht zeitnah aktualisiert oder ersetzt. Nach einem schwerwiegenden Cyberangriff auf das IT-System des Versicherungsnehmers, bei dem sämtliche Server verschlüsselt wurden, erklärte der Versicherer den Vertragsrücktritt. Dies geschah mit der Begründung, dass dem Versicherungsnehmer die mangelnde Sicherheitslage bewusst gewesen sei.
Das Gericht entschied jedoch zugunsten des Versicherungsnehmers und sprach ihm einen Anspruch auf Zahlung aus dem Versicherungsvertrag in Höhe von rund 2,9 Millionen Euro zu. Es wurde festgestellt, dass der Versicherer trotz Kenntnis der bestehenden Sicherheitsmängel den Vertrag abgeschlossen hatte, ohne die erforderlichen Risikofragen zu stellen oder angemessene Sicherheitsanforderungen zu definieren.
Besonders bemerkenswert ist die Entscheidung des Gerichts bezüglich der Kausalität der Sicherheitslücken für den Versicherungsfall. Obwohl grobe Fahrlässigkeit bei der Beantwortung von Risikofragen nicht ausgeschlossen wurde, konnte der Versicherer nicht nachweisen, dass diese für den Eintritt des Versicherungsfalls ursächlich waren. Zudem stellte das Gericht fest, dass die Risikofragen des Versicherers zu ungenau formuliert waren, um spezifische Sicherheitsmaßnahmen zu erfassen.
Ein weiterer wichtiger Aspekt des Urteils betrifft die Pflicht des Versicherers, eine umfassende Risikoprüfung durchzuführen und die Fragen an den aktuellen Stand der Technik anzupassen. Dies wird insbesondere vor dem Hintergrund der ständig wachsenden Bedrohung durch Cyberangriffe immer wichtiger.
Insgesamt verdeutlicht das Urteil die Notwendigkeit einer präzisen Risikobewertung und -akzeptanz bei Cyberversicherungen sowie die Bedeutung klar formulierter Sicherheitsanforderungen seitens der Versicherer. Es zeigt auch, dass eine akzeptierte Risikolage nicht automatisch zu Lasten des Versicherungsnehmers geht, wenn der Versicherer die bestehenden Sicherheitsmängel kennt und den Vertrag dennoch abschließt.
Rechtsanwalt Dr. Stephan Schmelzer, Fachanwalt IT-Recht, Fachanwalt Arbeitsrecht, http://www.dr-schmelzer.eu, Ostberg 3, 59229 Ahlen, Tel.: 02382.6646.
Alle Beiträge sind nach bestem Wissen zusammengestellt. Eine Haftung für deren Inhalt kann jedoch nicht übernommen werden.
« zurück