Zum Inhalt springen Zur Navigation springen
Falschangaben beim Abschluss einer Cyber-Versicherung

Falschangaben beim Abschluss einer Cyber-Versicherung

Artikel von Dr. Datenschutz·30. Juni 2025

Cyber-Versicherungen schützen Unternehmen vor Cyber-Angriffen und Straftaten wie Datenverlust und Hackerangriffen. Im Schadensfall kann sich die Versicherung aber weigern, den Vorfall zu regulieren, wenn sich die vor Vertragsabschluss durchgeführte Risikoanalyse als fehlerhaft erweist. Insofern ist ein Fall vor dem Landgericht Kiel für Versicherte lehrreich, der in diesem Beitrag vorgestellt wird.

Was ist eine Cyber-Versicherung?

Unternehmen sind zunehmend von IT, IoT, Betriebstechnologien und digitalen Diensten wie Cloud Computing abhängig. Die Kehrseite der Medaille ist, dass diese Abhängigkeit mehr oder weniger leicht von Cyber-Kriminellen ausgenutzt werden kann. Nicht umsonst warnt das BSI in seinen Jahresberichten immer wieder vor der zunehmenden Zahl und Komplexität von Cyber-Angriffen. In diese Lücke stoßen Cyber-Versicherungen mit dem Versprechen, IT-Risiken zu versichern. Das können sein:

  • Mehrkosten bzw. entgangene Gewinne, die durch eine Betriebsunterbrechung entstehen,
  • Sachverständigen- und Beratungskosten,
  • Die Kosten zur Wiederherstellung des früheren Zustands von Daten und Programmnm
  • Die Beseitigung von Schadsoftware oder Wiederbeschaffung,
  • Kosten für den Austausch und Ersatz von Hardware,
  • Die Zahlung von Erpressungsgeldern,
  • Kostenübernahme für Datenschutzverletzungen u.a.
  • Incident-Response im Angriffsfall,
  • Forensik-Dienste zur digitalen Beweissicherung,
  • Reputationsmanagement,
  • etc.

Die dynamische Entwicklung der Risiken im Bereich der Cyber-Angriffe hat insbesondere in den letzten Jahren dazu geführt, dass die Versicherer ihre Anforderungen für die Gewährung von Versicherungsschutz erhöht haben. Ziel ist die Förderung von Cyber-Hygiene und Cyber-Resilienz. Dabei unterscheiden sich die Standards der Versicherer je nach Umsatz und Branche. Teil dieser Standards ist häufig das wahrheitsgemäße Ausfüllen eines Fragebogens zur Risikobewertung durch den Versicherer. Dass hier besondere Vorsicht geboten ist, zeigt der hier besprochene Fall des LG Kiel.

Wer soll was bei der Versicherung falsch angegeben haben?

Worum ging es? Der Kläger machte Ansprüche aus einem Cyber-Versicherung gegen den Beklagten geltend.

Über einen Makler schloss die Klägerin eine Cyber-Versicherung bei der späteren Beklagten ab. Hierzu füllte der Makler den Fragenkatalog der Beklagten aus. Nach Rücksprache mit der IT-Abteilung des Vertragspartners gab er an, dass alle Rechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet seien. Ebenso gab der Makler an, dass Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt würden.

Nach Vertragsschluss verschaffte sich ein Dritter Zugang zum IT-System des späteren Klägers und nutzte die Rechenkapazitäten des Unternehmens. Eine Begutachtung des IT-Systems des Klägers, die nach dem Vorfall stattfand, ergab, dass eine veraltete Serversoftware genutzt wurde und dass Anti-Malware-Software fehlte. Die Versicherung verweigerte die Auszahlung der Versicherungssumme. Daraufhin erhob der Kläger Zahlungssklage beim Landgericht Kiel.

Hatte der Versicherte relevante falsche Angaben gemacht?

Das LG Kiel verneinte den Anspruch, da der Versicherungsvertrag wirksam angefochten worden sei.

Bei der Beantwortung der Fragen habe die Klägerin aus Sicht des Gerichts die Beklagte in zurechenbarer Weise arglistig über den Software- und Update-Status ihrer EDV getäuscht. Die Klägerin müsse sich die Auskünfte ihrer Mitarbeiter zurechnen lassen. Laut der Aussage des Mitarbeiters, der die Angaben gegenüber den Beauftragten machte habe er den Sicherheitsstatus der EDV weder selbst geprüft, noch könne er sich daran erinnern, dies beauftragt zu haben. Das Gericht wertete dies so, dass der MitarbeiterAngaben ins Blaue gemacht habe und dabei billigend in Kauf genommen habe, dass die Angaben zum EDV-Status unrichtig seien. Dies gelte umso mehr, als es sich um Kernsysteme gehandelt habe.

Zwei Urteile zur Cyber-Versicherung mit konträren Bewertungen

Soweit bekannt, ist das Urteil des LG Kiel neben dem Urteil des LG Tübingen erst das zweite Urteil, das sich mit der Abgrenzung zwischen fahrlässig und arglistig falschen Angaben beim Abschluss einer Cyber-Versicherung befasst.

Die Abgrenzung ist wichtig, da die Lösungsoptionen vom Vertrag vom Grad des Verschuldens abhängen. So kann bei Arglist der Vertrag rückwirkend vernichtet werden (§ 142 Abs. 1 BGB), während bei grober Fahrlässigkeit der Rücktritt vom oder die Kündigung des Vertrags bleibt (§ 19 Abs. 2, Abs. 3 VVG). Ebenso kann der Versicherer bei grober Fahrlässigkeit des Versicherungsnehmers den zu ersetzenden Schaden mindern, wenn der Versicherungsfall eintritt (§ 81 Abs. 3 VVG).

Das Wissen und Wollen der Arbeitnehmer wird dem Arbeitgeber hierbei zugerechnet. Wer sich beim Abschluss einer Cyber-Versicherung nicht der Gefahr einer solchen Vertragsauflösung aussetzen will, sollte daher eine zweite Person prüfen lassen, ob die Angaben im Vertrag korrekt sind. Ansonsten gibt es im Schadensfall unter Umständen keine Leistung.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.