Unternehmen sind verpflichtet, geeignete und effektive Maßnahmen zum Schutze ihrer Daten, nicht lediglich solcher mit Personenbezug, sondern auch beispielsweise von Finanzdaten oder Geschäftsgeheimnissen, einzurichten und zu unterhalten. Eine Vielzahl unterschiedlicher Vorschriften bildet hier den regulatorischen Rahmen und Pflichtenkatalog.
Angesichts der allgegenwärtigen Gefahr von Cyberkriminalität hat die Versicherungswirtschaft im Laufe der letzten Jahre kontinuierlich neue Produkte auf den hierdurch geschaffenen Markt gebracht.
Diese Produkte versprechen Schutz im Notfall, gegebenenfalls sogar unter Einschluss des Ausgleichs von Lösegeldforderungen bei Verschlüsselungstrojanern, jedoch muss die im Unternehmen eingerichtete und gelebte Sicherheit auch ein realistisches Bild für die Versicherungsgesellschaft abgeben, die einschätzen muss, auf welche Haftungsrisiken sie sich einlässt.
In diesem Kontext ist dringend geboten, richtige und vollständige Angaben zu den ergriffenen Maßnahmen zu machen, um den Versicherungsschutz nicht aufs Spiel zu setzen.
Denn nach einem aktuellen Urteil des OLG Schleswig (Beschl. v. 14.10.2024 – Az.: 16 U 63/24) muss eine Cyberversicherung bei falschen Angaben – auch wenn diese lediglich auf Fahrlässigkeit beruhten – nicht für Schäden aus Hacker-Angriffen aufkommen. Gibt ein Kunde bei Abschluss einer Cyberversicherung falsche Informationen an, beispielsweise über regelmäßige Updates oder den Einsatz von Antiviren-Software, kann der Versicherer den Vertrag wegen arglistiger Täuschung anfechten. Dabei reicht es aus, wenn der Kunde seine Angaben ins Blaue hinein macht. Vorliegend kam hinzu, dass der Katalog der Fragen der Versicherung zudem von Mitgliedern der IT-Abteilung beantwortet worden war. Eine besondere Täuschungsabsicht oder Arglist ist nicht erforderlich.
Konkret hatte der Versicherungsnehmer ein Server-Betriebssystem unterhalten, dessen Wartung und Support inkl. Sicherheitsupdates abgekündigt und seit mehreren Jahren ausgelaufen war, das aber zudem auch nicht über einen Firewallschutz oder Antivirensoftware verfügte.
Dies steht nach Ansicht des OLG Schleswig in eklatantem Widerspruch zu der den Versicherungsnehmer treffenden Sorgfaltspflicht, die nach Ansicht des Senats noch gesteigert war durch die Größe des Unternehmens mit mehr als 400 Mitarbeitern und einem Umsatz von mehr als 140 Millionen € im Jahr. Gefordert wären zutreffende Angaben gewesen zum aktuellen Status der Sicherheit des umfassenden IT-Systems der Versicherungsnehmerin.
Dies gelte umso mehr, da nach dem IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit (BSI-OPS1.3) in Ansehung des Patch- und Änderungsmanagements im Hinblick auf typische Gefahren (u.a. mangelhafte Kommunikation und unzureichende Ressourcen beim Änderungsmanagement) als Basis-Anforderungen u.a. ein Konzept für das Management, die Festlegung von Zuständigkeiten und die regelmäßige Aktualisierung von IT-Systemen und Software gefordert sei.