Es befinden sich keine Produkte im Warenkorb.
OLG Frankfurt am Main zu Löschpflichten von Facebook
Das Oberlandesgericht Frankfurt am Main hat mit seinem Urteil vom 25. Januar 2024 (Az. 16 U 65/22) neue Maßstäbe in...
Mehr lesenDetailsCyberversicherung verweigert Leistung nach Hackerangriff wegen Falschangaben
Landgericht Kiel bestätigt, dass die Versicherung nicht zahlen muss
Inhaltsverzeichnis
Wichtigste Punkte
- Landgericht Kiel entschied, dass Cyberversicherung aufgrund von Falschangaben im Antrag leistungsfrei ist.
- Der Holzgroßhandel hatte unzureichende IT-Sicherheit trotz falscher Angaben im Versicherungsantrag angegeben.
- Wichtige Systeme waren mit veralteten Betriebssystemen und ohne Virenschutz ausgestattet, was zu einem Hackerangriff führte.
- Der IT-Leiter >musste die Sicherheitsmängel erkennen und hätte sie überprüfen können, was als Arglist gewertet wurde.
- Das Urteil betont die Bedeutung korrekter Antworten auf Risikofragen bei Cyberversicherungen.
- Externe Sicherheitsexperten können helfen, die IT-Sicherheitslage objektiv zu bewerten und Risiken zu mindern.
- Das Urteil mahnt Unternehmen, ihre IT-Sicherheit ernst zu nehmen und nicht nur auf den Versicherungsschutz zu vertrauen.
Das Landgericht Kiel hat in einem Urteil vom 23.05.2024 (Az. 5 O 128/21) entschieden, dass eine Cyberversicherung aufgrund von Falschangaben im Versicherungsantrag leistungsfrei ist. Der Versicherer hatte den Vertrag wegen arglistiger Täuschung angefochten, nachdem es bei dem versicherten Unternehmen, einem Holzgroßhandel, zu einem Hackerangriff mit hohem Schaden gekommen war.
01
von 03Unzureichende IT-Sicherheit trotz gegenteiliger Angaben
01
von 03
Im vorliegenden Fall hatte der Holzgroßhandel bei Abschluss einer Cyberversicherung im Jahr 2020 unter anderem angegeben, dass alle Arbeitsrechner mit aktueller Schadsoftware-Erkennung ausgestattet seien und verfügbare Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt würden. Tatsächlich waren jedoch mehrere Server mit veralteten, unsicheren Betriebssystemen im Einsatz, für die keine Updates mehr verfügbar waren. Auch fehlte teilweise ein Virenschutz.Der für die IT zuständige Mitarbeiter des Holzgroßhandels gab im Prozess an, er habe bei Beantwortung der Risikofragen die betreffenden Systeme „geflissentlich übersehen“. Dabei handelte es sich nicht um untergeordnete Rechner, sondern um Server mit zentralen Funktionen für den Betrieb. So diente ein ungeschützter Server mit veraltetem Windows-System als Verbindung zwischen dem Webshop und dem Warenwirtschaftssystem des Unternehmens. Über diesen erfolgte letztlich auch der Hackerangriff.Gerade bei Unternehmen mit komplexen IT-Systemen kann es sinnvoll sein, externe Sicherheitsexperten mit einer objektiven Überprüfung der Systemlandschaft zu beauftragen. Durch den Blick von außen lassen sich Schwachstellen oft leichter identifizieren als durch interne Mitarbeiter, die möglicherweise betriebsblind sind oder aus Zeitgründen nicht alle Bereiche im Blick haben. Eine solche Sicherheitsanalyse kann auch helfen, die IT-Sicherheit gegenüber Versicherern korrekt darzustellen und böse Überraschungen im Schadensfall zu vermeiden.
02
von 03Arglistige Täuschung führt zur Leistungsfreiheit
02
von 03
Das Gericht sah in den falschen Angaben eine arglistige Täuschung des Versicherers, da die Fragen „ins Blaue hinein“ unrichtig beantwortet wurden. Der zuständige IT-Leiter hätte die Sicherheitsmängel erkennen können und müssen. Aufgrund der arglistigen Täuschung war der Versicherungsvertrag nichtig, so dass der Versicherer nicht leisten musste.Entscheidend für die Einschätzung des Gerichts war, dass die unzureichend geschützten Systeme zentrale Funktionen im Unternehmen hatten. So war der veraltete Windows-Server als Verbindung zwischen Webshop und Warenwirtschaft von essentieller Bedeutung. Auch der Domain-Controller zur Verwaltung der Zugriffsrechte im Netzwerk befand sich noch im unsicheren Auslieferungszustand. Bei derart wichtigen Systemen konnte das Gericht nicht glauben, dass deren Sicherheitsmängel dem IT-Verantwortlichen verborgen geblieben waren.Zudem hätte der IT-Leiter laut einem Sachverständigen die Aktualität von Virenschutz und Sicherheits-Updates durch einen Blick in die Administrationskonsolen schnell selbst prüfen können. Dass er dies vor Beantwortung der Risikofragen versäumt hatte, wertete das Gericht als Indiz für Arglist. Denn gerade bei Abschluss einer Cyberversicherung muss sich der Verantwortliche bewusst sein, wie wichtig der Versicherer die Informationen zur IT-Sicherheit nimmt.
03
von 03Bedeutung für Unternehmen und Versicherungen
03
von 03
Das Urteil zeigt, wie wichtig die korrekte Beantwortung von Risikofragen bei Cyberversicherungen ist. Unternehmen müssen sicherstellen, dass ihre IT-Sicherheitsstandards den Angaben in Versicherungsanträgen entsprechen, um im Schadenfall abgesichert zu sein. Falsche Angaben, auch wenn sie nur fahrlässig erfolgen, können zur Leistungsfreiheit des Versicherers führen.Gerade bei größeren Unternehmen mit komplexen IT-Systemen kann es sinnvoll sein, die Beantwortung der Risikofragen durch externe Sicherheitsexperten absichern zu lassen. So lässt sich die tatsächliche Sicherheitslage objektiv bewerten und korrekt darstellen. Auch um die IT-Sicherheit insgesamt zu verbessern, ist es ratsam, in regelmäßigen Abständen Penetrationstests und Schwachstellenanalysen durch spezialisierte Dienstleister durchführen zu lassen.Für Versicherer bedeutet die Entscheidung, dass sie sich auf die Arglistanfechtung als „scharfes Schwert“ berufen können, wenn Falschangaben nachweisbar sind. Angesichts der zunehmenden Bedrohung durch Cyberkriminalität dürften viele Versicherer ihre Risikofragen überarbeiten und konkretisieren, um Streitigkeiten zu vermeiden und ihre Exposure zu begrenzen.Insgesamt ist das Urteil des LG Kiel zu begrüßen, da es die Bedeutung einer wahrheitsgemäßen Risikodeklaration unterstreicht und Versicherern ermöglicht, ihr Haftungsrisiko kalkulierbar zu halten. Es mahnt Unternehmen, ihre IT-Sicherheit ernst zu nehmen und sich nicht nur auf den Versicherungsschutz zu verlassen. Denn auch mit Cyberpolice gilt: Vorbeugung ist besser als Nachsorge.
Author: Marian Härtel
Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.
Weitere spannende Blogposts
Kostenerstattungen wenn Messe wegen Corona-Virus abgesagt wird?
Rund um den Erdball ist aktuell die Sorge vor einer weiteren Ausbreitung des Corona-Virus groß. Ob nun berechtigt oder nicht,...
Mehr lesenDetailsEU-Komission zieht positive Bilanz zur DSGVO
Knapp ein Jahr nach Inkrafttreten der Datenschutz-Grundverordnung hat die Europäische Kommission heute einen Bericht veröffentlicht, in dem sie die Auswirkungen...
Mehr lesenDetailsOLG Braunschweig: „Nicht Geimpft“-Stern auf Facebook ist keine strafbare Volksverhetzung
Es ist bekannt, dass die Verwendung von Symbolen mit Bezug zum Nationalsozialismus nicht nur gesellschaftlich verfehlt, sondern in bestimmten Konstellationen...
Mehr lesenDetailsBundesrat findet keine Mehrheit gegen Cyberkriminalität
Keine Mehrheit für Vorschlag zur Bekämpfung von Cyberkriminalität Ein Gesetzesantrag von Bayern zur Bekämpfung von Cybercrime wurde am 28. Juni...
Mehr lesenDetailsOVG Lüneburg zu Datenminimierung in Onlineshops
Einblick in den Fall Das Oberverwaltungsgericht Lüneburg hat mit seinem Urteil (Beschluss 14 LA 1/24) eine richtungsweisende Entscheidung im Bereich...
Mehr lesenDetailsWarum juristische Compliance Ihr Unternehmen zum Erfolg führt: Ein Wettbewerbsvorteil, den Sie nicht ignorieren sollten
Einführung Juristische Compliance ist ein entscheidender Faktor, der Ihr Unternehmen von der Konkurrenz abheben kann. In einer Zeit, in der...
Mehr lesenDetailsDatenschutz-Folgenabschätzung: Was ist das?
Mit der Einführung der DS-GVO im letzten Jahr gab es zahlreiche Neuerungen sowie Umbenennung von Methoden oder Neubezeichnungen. Eine davon...
Mehr lesenDetailsKündigungsbutton muss ohne Login möglich sein
Das Oberlandesgericht Nürnberg hat in seinem Endurteil vom 30.07.2024 (Az. 3 U 2214/23) wichtige Klarstellungen zur Gestaltung des Kündigungsbuttons gemäß...
Mehr lesenDetails
Button solution
The button solution, also known as the "button solution" or "confirmation solution", is a legal regulation in German e-commerce law...
Mehr lesenDetails
Podcast Folgen
Looking to the future: How technology is changing the law
In the final episode of the first season of the ITmedialaw.com podcast, we take a look at the future of...
Legal advice for start-ups – investments that pay off
This episode of the ITmedialaw.com podcast is all about the importance of legal advice for startups. Host Marian Härtel talks...
The metaverse – legal challenges in virtual worlds
In this fascinating episode, we dive deep into the legal aspects of the metaverse. As a lawyer and tech enthusiast,...
Global challenges for start-ups – A legal guide
This informative podcast offers a comprehensive insight into the legal challenges faced by start-ups when expanding internationally. The experienced lawyer...