Das Landgericht Hagen hat entschieden (Az. 9 O 258/23 vom 15.10.2024), dass eine Cyberversicherung nicht für Schäden haftet, die durch Betrug über gehackte Drittsysteme entstehen. Der Fall reiht sich in die noch spärliche, aber zunehmend wichtige Rechtsprechung zu Cyberversicherungen in Deutschland ein.
Der Fall im Überblick
Ein Unternehmen verlor 85.000 Euro durch einen Phishing-Angriff, bei dem der Exchange-Server eines Lieferanten kompromittiert worden war. Der Versicherer verweigerte die Zahlung mit der Begründung, das IT-System des versicherten Unternehmens selbst sei nicht betroffen gewesen. Das Gericht bestätigte diese Auffassung. Ein Cyberangriff im Sinne der streitgegenständlichen Versicherungsbedingungen liege nur vor, wenn das eigene Netzwerk kompromittiert werde. Der reine Empfang gefälschter E-Mails stelle keinen Versicherungsfall dar. Auch ein Vertrauensschaden lag nicht vor. Die Klage wurde abgewiesen.
Einordnung in die bisherige Rechtsprechung
Bislang fehlten Entscheidungen deutscher Gerichte zur Cyberversicherung weitgehend und es war ungeklärt, inwieweit die Rechtsprechung zu anderen Versicherungssparten übertragbar ist. Dadurch mangelte es in der Schadenregulierung an ausreichender Orientierung und Rechtssicherheit. Das beginnt sich zu ändern. So hat das Landgericht Tübingen am 26. Mai 2023 (Az. 4 O 193/21) das – soweit ersichtlich – erste Urteil zur Deckung in der Cyberversicherung gefällt. Dabei setzte es sich mit einigen typischen Deckungseinwendungen auseinander – zugunsten der Versicherungsnehmer. Das Urteil ist wohl nicht rechtskräftig. Die Berufung am Oberlandesgericht Stuttgart soll noch laufen.
Nach dem viel beachteten Urteil des Landgerichts Tübingen folgte mit der Entscheidung des Landgerichts Kiel vom 23. Mai 2024 (Az. 5 O 128/21) das zweite erstinstanzliche Urteil zur Cyberversicherung. Die Entscheidung, die wohl ebenfalls noch nicht rechtskräftig ist, betrifft einen Cyberversicherungsvertrag, der auf rein elektronischem Weg über ein Onlineportal abgeschlossen wurde.
Das aktuelle Urteil des Landgerichts Hagen ist somit die dritte veröffentlichte Entscheidung eines deutschen Gerichts zu Cyberversicherungen und trägt zur weiteren Klärung der Deckungsfragen bei.
Kernaussagen des Urteils des Landgerichts Hagen
Diese Entscheidung verdeutlicht die Grenzen des Versicherungsschutzes von Cyberversicherungen. Dem Urteil lassen sich folgende drei Kernfeststellungen entnehmen:
- Die Kompromittierung muss das eigene System betreffen.
- Social-Engineering-Angriffe ohne technische Kompromittierung fallen nicht unter den Schutz.
- Der Vertrauensschadenbaustein in Cyberversicherungen hat enge Grenzen.
Cyberversicherung ersetzt eigenständige Vertrauensschadenversicherung nicht
Bereits die Einordnung der in Deutschland erhältlichen Cyberversicherungen in das bestehende Versicherungsspartengefüge ist schwierig. Diese Versicherungen weisen in den einzelnen Deckungsbereichen ganz unterschiedliche Elemente auf. Enthalten sind Deckungskomponenten aus den Bereichen Haftpflicht-, Vertrauensschaden- und Sachversicherung (mit der Absicherung von Betriebsunterbrechungsschäden) sowie aus den Bereichen Eigenschaden- und Lösegeldversicherung. Für die tägliche Praxis im Umgang mit Cyberversicherungen ist es entscheidend zu wissen, dass die Vorschriften des Versicherungsvertragsgesetzes (VVG) aufgrund der sehr unterschiedlichen Regelungsinhalte nicht einheitlich auf alle Bereiche der Bedingungen anwendbar sind. Vielmehr muss für jeden einzelnen Deckungsbereich differenziert werden, welche Normen des VVG anwendbar sind. So sind beispielsweise die §§ 100 bis 112 VVG nur für den Haftpflichtversicherungsbereich der Cyberversicherung einschlägig, nicht jedoch für den Eigenschadenbereich. Hingegen sind die §§ 88-99 VVG nicht im Haftpflichtteil, aber bei der Absicherung des Betriebsunterbrechungsschadens anzuwenden.
Obwohl viele Cyberversicherungen einen Vertrauensschadenbaustein (VSV-Baustein) enthalten, kann dieser eine eigenständige Vertrauensschadenversicherung aus mehreren Gründen nicht ersetzen.
- Engere Definition des Versicherungsfalls:
Wie das Urteil des Landgerichts Hagen zeigt, ist der Versicherungsfall bei Cyberversicherungen oft enger definiert und setzt eine technische Kompromittierung des eigenen Systems voraus. - Kein umfassender Schutz für Eigenschäden durch Betrug Dritter:
Cyberversicherungen decken in der Regel keine finanziellen Eigenschäden ab, die durch Social-Engineering-Betrug Dritter entstehen. Selbst wenn ein Baustein für Cyber-Vertrauensschäden vereinbart wurde, besteht kein automatischer Versicherungsschutz für alle Betrugsfälle. - Unterschiedliche Risikodeckung und Bedingungswerke:
Die Vertrauensschadenversicherung ist speziell darauf ausgerichtet, Schäden durch vorsätzliche unerlaubte Handlungen von innen (Mitarbeitende, Organe) und außen (Dritte) zu decken – unabhängig von einer IT-Sicherheitsverletzung. Die Cyberversicherung hingegen ist primär auf IT-Risiken und deren Folgen zugeschnitten.
In modernen VSV-Bedingungswerken ist allerdings häufig auch ein sogenannter „Man-in-the-Middle“-Baustein als eigenständiger oder optionaler Deckungsbaustein enthalten. Dieser erweitert den Versicherungsschutz wiederum auf Fälle, in denen Dritte durch technische Eingriffe in die elektronische Kommunikation (beispielsweise E-Mails oder Online-Banking) einen Vermögensschaden beim Versicherungsnehmer verursachen. Insofern wäre das Urteil des Landgerichts Hagen bei einer eigenständigen VSV wohl anders ausgefallen beziehungsweise es wäre gar nicht erst zum Rechtsstreit gekommen.
Fazit und Handlungsempfehlungen
Das Urteil des Landgerichts Hagen verdeutlicht die Grenzen des Versicherungsschutzes in Cyberversicherungen und unterstreicht die Notwendigkeit einer sorgfältigen Prüfung der Versicherungsbedingungen. Daraus ergeben sich folgende Handlungsempfehlungen für Unternehmen:
- Die Definitionen des Versicherungsfalls in Cyberversicherungspolicen sollten genau geprüft werden.
- Bei Bedarf ist der Abschluss einer eigenständigen Vertrauensschadenversicherung empfehlenswert. Hier ist zusätzlich das Zusammenspiel im Falle einer Mehrfachversicherung zu prüfen.
- Unternehmen sollten technische und organisatorische Maßnahmen implementieren, um Social-Engineering-Angriffe zu erkennen.
- Mitarbeitende sollten durch geeignete Maßnahmen regelmäßig für Phishing-Angriffe sensibilisiert werden.
Mit dem Urteil des Landgerichts Hagen ist ein weiterer Schritt in Richtung Rechtssicherheit getan, doch viele Fragen bleiben offen. Unternehmen sollten daher ihren Versicherungsschutz regelmäßig überprüfen und anpassen.
Beitragsbild: Tero Vesalainen / Shutterstock
Autor:
Rechtsanwalt Dr. Stefan Steinkühler
Rechtsanwalt Dr. Stefan Steinkühler steht der VSMA GmbH seit Mitte des Jahres 2020 als juristischer Berater bei haftungs- und versicherungsrechtlichen Themen zur Seite. Er verfügt über langjährige Erfahrungen in der Versicherungswirtschaft. Seine Tätigkeitsschwerpunkte liegen neben der Bearbeitung von Sach-/BU- und Produkthaftungsschäden vor allem Fälle im Bereich der D&O- und VSV-Versicherung sowie der dazugehörigen Managerhaftung.
