Mit einer Cyberversicherung können sich Unternehmen gegen Schäden aus Hackerangriffen und Cyberkriminalität versichern (gegen Eigenschaden, Haftpflichtschäden und/oder Schäden wegen Betriebsunterbrechung). So kann bspw. ein Datenverlust einen hohen Eigenschaden verursachen, aber auch Kunden oder Betroffene können Schadenersatz fordern. Ist die Hard- oder Software infiltriert, muss der Betrieb ggf. mit neuer Hard- und Software schnellstmöglich wieder aufgenommen werden können, was aber für die Beschaffung viel Geld kosten kann.

Im Gegenzug will ein Versicherer verständlicherweise wissen, wie hoch das Risiko ist: Dazu stellt er – wie bei anderen Versicherungen auch – bestimmte Fragen, um das Risiko abschätzen zu können. Wer schon mal eine Cyberversicherung abgeschlossen hat, kennt diese Fragen: Hier ist Detailwissen über die IT-Infrastruktur erforderlich. Vor dem Oberlandesgericht (OLG) Schleswig landete nun ein Rechtsstreit zwischen einem Unternehmen und seiner Versicherung, nachdem das Unternehmen nach einer Cyberattacke Leistungen der Versicherung abrufen wollte. Die Versicherung erkannte dabei aber Falschangaben bei den zuvor gestellten Fragen – und erklärte die Anfechtung des Versicherungsvertrages. Was war passiert: Der IT-Leiter des Unternehmens hatte manche Fragen „ins Blaue hinein“ beantwortet.

Manche Versicherungsnehmer versuchen bei Beantwortung der Risikofragen zu schummeln – in der Hoffnung, die Versicherungsprämie niedrig zu halten. Da wird bei Besucherzaheln getrickst oder eben bei Antworten zu Sicherheitsmaßnahmen.

Wenig überraschend dürfte sein: Wenn das rauskommt, ist der Versicherungsschutz in Gefahr.

Weil Cyberversicherungen immer mehr auch relevant für Veranstalter und Gewerke aus der Branche sind, berichten wir über das Urteil des OLG Schleswig etwas genauer: Nämlich u.a. über die Frage, woran die Antworten gemessen werden:

Ausgangspunkt ist allgemein der Verständnishorizont eines durchschnittlichen Versicherungsnehmers. Bei Abschluss einer Cyberversicherung ist das auch nach Auffassung des OLG Schleswig der Horizont „eines kaufmännischen, umfassend im Online-Geschäft tätigen Unternehmers.“

Die Regeln über die Anzeigepflicht des Versicherungsnehmers dienen dazu, es dem Versicherer zu ermöglichen, das ihm angetragene Risiko zutreffend einschätzen zu können. Dazu ist der Versicherer auf eine vollständige und wahrheitsgemäße Risikodarstellung durch den Versicherungsnehmer angewiesen, so das Oberlandesgericht: Den Versicherungsnehmer treffen insofern besondere Sorgfaltspflichten bei der Beantwortung vorvertraglicher Risikofragen. Grundsätzlich kann dem Versicherungsnehmer deshalb abverlangt werden, dass er zumutbare Anstrengungen unternimmt, um die vom Versicherer gestellten Risikofragen auf Basis zuverlässiger Informationen zu beantworten.

In dem vom OLG Schleswig entschiedenen Fall konnte der Versicherer übrigens bei Eintritt eines Versicherungsfalls den Versicherungsvertrag wegen Arglist anfechten, nachdem die fehlerhaften Angaben des Versicherungsnehmers ans Licht kamen – das von einem Cyberangriff geschädigte Unternehmen blieb also auf dem Schaden sitzen.