Cyber-Angriffe kommen in vielen verschiedenen Formen vor und führen bei Unternehmen zu einer Vielzahl von Schäden: offensichtlich ist dies bei Cyberbetrug (oft in der Form des sog. CEO-Scams), bei dem Mitarbeiter durch gefälschte E-Mails ihrer Vorgesetzten dazu gebracht werden, Unternehmensgelder an die Täter zu überweisen. Doch noch gravierender sind oft die Schäden, die entstehen, wenn ein Cyberangriff die Unternehmens-IT durch eine Verschlüsselung von Daten oder Systemen lahmlegt. Zum Risiko von Lösegeldforderungen für verschlüsselte oder entwendete Daten sowie von Bußgeldern und Schadensersatzansprüchen, insbesondere auf datenschutzrechtlicher Grundlage, tritt dann das Risiko eines kompletten Betriebsausfalls für Wochen oder sogar Monate.
Vor diesem Hintergrund entscheiden sich viele Unternehmen für eine sog. Cyberversicherung, d.h. eine Versicherungspolice zum Schutz gegen Schäden durch Cyber-Angriffe. Auch im Rahmen von Unternehmenstransaktionen kann ein solcher Versicherungsschutz Sicherheit schaffen. Das gilt selbstverständlich nur, soweit die Versicherung im Fall entsprechender Schäden auch zahlt. Mit seinem Urteil vom 26. Mai 2023 (4 O 193/21) hat sich das LG Tübingen als erstes deutsches Gericht genauer mit der Inanspruchnahme einer Cyberversicherung auseinandergesetzt. Das Urteil enthält instruktive Ausführungen zum Umgang mit Risikofragen beim Abschluss von Cyberversicherungen und zur Berechnung des Schadens von Cyber-Angriffen sowie interessante Kommentare zum datenschutzrechtlichen Schadensrisiko, die wir hier einordnen:
Sachverhalt
Grund für den Rechtsstreit vor dem LG Tübingen war die Weigerung einer Versicherung, die durch einen Cyber-Angriff auf die Versicherungsnehmerin verursachten Kosten zu übernehmen.
Der entsprechende Cyber-Versicherungsvertrag aus dem April 2020 sollte Schäden, die der Versicherungsnehmerin und späteren Klägerin infolge von Cyber-Angriffen entstehen, bis zu einer Deckungssumme von EUR 5 Mio. abdecken. Die Allgemeinen Versicherungsbedingungen sahen ein Rücktrittsrecht der Versicherung (und damit verbunden einen Wegfall des Versicherungsschutzes) für den Fall vor, dass die Versicherungsnehmerin ihr bekannte Risiken, nach denen die Versicherung gefragt hatte und die für deren Entscheidung über den Vertragsabschluss erheblich waren, vorsätzlich oder grob fahrlässig nicht anzeigt.
Bereits Ende Mai 2020 wurde die Klägerin tatsächlich Opfer eines Cyber-Angriffs: Über eine Phishing-E-Mail eingeschleuste sog. Ransomware verschlüsselte nach Weigerung der Klägerin, das von den Angreifern geforderte Lösegeld zu zahlen, die IT-Infrastruktur des Unternehmens so weitgehend, dass sie über mehrere Monate wieder aufgebaut werden musste und zog Daten aus der IT-Umgebung des Unternehmens ab. Der Betriebsablauf wurde so erheblich beeinträchtigt. Noch vor Beendigung der Wiederherstellungsarbeiten trat die Versicherung vom Versicherungsvertrag mit der Begründung zurück, die Versicherungsnehmerin habe ihre vorvertraglichen Anzeigepflichten durch die falsche Beantwortung von Risikofragen verletzt. Insbesondere habe sie veraltete Server-Strukturen genutzt, für die seit Jahren keine Sicherheits-Updates mehr verfügbar gewesen waren, was die Versicherungsnehmerin gewusst habe.
Dementsprechend war die Versicherung nicht bereit, die aus dem Cyber-Angriff resultierenden Schäden zu regulieren. Die Versicherungsnehmerin klagte daraufhin auf Zahlung von ca. EUR 3.7 Mio. Schadenskompensation sowie auf Feststellung einer Ersatzpflicht dem Grunde nach bis zur Deckungshöhe der Police. Ihr Interesse an einer solchen Feststellung begründete sie mit weiterhin drohenden Bußgeldern oder Schadensersatzforderungen aufgrund etwaiger Verletzungen datenschutzrechtlicher Vorschriften. Dass man Systeme verwendet habe, für die keine Sicherheitsupdates mehr verfügbar waren, sei der Versicherung aufgrund von Besprechungen im Vorhinein bekannt gewesen und spiele auch aufgrund der Natur des konkreten Cyber-Angriffs keine Rolle.
Entscheidung
Das angerufene LG Tübingen gab der Klage in Höhe von EUR 2,8 Mio. statt. Im Übrigen wies es den Zahlungsantrag als unbegründet und den Feststellungsantrag als unzulässig ab.
Auf eine vorsätzliche oder grob fahrlässige Verletzung der vorvertraglichen Pflicht zur Anzeige von Risikofaktoren kam es nach Ansicht des Gerichts nicht an. Denn unter Stützung auf ein Sachverständigengutachten kam das Gericht zu der Überzeugung, dass eine etwaige falsche Beantwortung der Risikofragen weder für den Eintritt des Versicherungsfalls als solchen, d.h. den Erfolg des Cyber-Angriffs, noch für das Ausmaß des daraus resultierenden Schadens ursächlich gewesen sei. Damit habe die Klägerin den nach § 21 Abs. 2 S. 1 VVG erforderlichen Kausalitätsgegenbeweis erbracht. Andere Sicherheitsmaßnahmen, die die Versicherungsnehmerin nach der Ansicht der Versicherung hätte umsetzen müssen (z.B. 2-Faktor-Authentifizierung), waren nicht Gegenstand der relativ allgemein gefassten Risikofragen gewesen und seien daher nicht zu berücksichtigen.
Eine arglistige Verletzung der Anzeigepflicht konnte das LG Tübingen nicht feststellen. Dabei stützte sich das Gericht vor allem darauf, dass die Zeugen in der mündlichen Verhandlung übereinstimmend aussagten, sich über die niedrigen Anforderungen der Versicherung an die IT-Sicherheitsmaßnahmen des Unternehmens gewundert und die Risikofragen in Übereinstimmung mit dieser Wahrnehmung jedenfalls subjektiv wahrheitsgemäß beantwortet zu haben. Vor dem Hintergrund der Aussage der Mitarbeiterin der Versicherin, „hinsichtlich der Firewall [genüge] ‚jede Fritzbox‘“, konnte das Gericht keine vorsätzliche Falschbeantwortung feststellen.
Auch eine Anspruchskürzung wegen grob fahrlässiger Herbeiführung des Versicherungsfalls gemäß § 81 Abs. 2 VVG lehnte das LG Tübingen ab. Zwar seien mehrere Maßnahmen denkbar, die die Versicherungsnehmerin zur Verhinderung oder Begrenzung der Folgen des Schadensfalls hätte ergreifen können. Allerdings sei § 81 Abs. 2 VVG im vorliegenden Fall nicht anwendbar, da die entsprechenden Lücken in der IT-Sicherheit der Klägerin bereits bei Vertragsschluss vorlagen und die Beklagte auf eine Prüfung dieser Maßnahmen verzichtet und damit den status quo akzeptiert hatte.
Dennoch gab das LG Tübingen dem Zahlungsantrag nicht in voller Höhe statt. Zum einen wendete das Gericht eine andere Methode zur Berechnung des durch den Betriebsausfall verursachten Schadens an. Anders als von der Klägerin vorgeschlagen, setzte das Gericht nicht den per ausgefallener Personenstunde entgangenen Rohertrag an, sondern schätzte (vgl. § 287 ZPO) den durch den Betriebsausfall verursachten Schaden auf Grundlage eines Vergleichs der Geschäftszahlen aus dem Jahr des Cyber-Angriffs und dem Jahr danach. Hinzu treten ein Sachschaden an Hard- und Software sowie Daten der Versicherungsnehmerin und Ersatz für Schadensminderungsmaßnahmen. Die Kosten der Versicherungsnehmerin für die Schadensfeststellung durch Geschäftsführung und Mitarbeiter der Controlling-Abteilung erachtete das Gericht dagegen nicht als ersatzfähig, weil die Klägerin sie auf Bestreiten der Beklagten hin nicht substantiierte.
Dem Feststellungsantrag fehlte nach Ansicht des Gerichts das erforderliche Feststellungsinteresse. Nach allgemeiner Lebenserfahrung sei „angesichts des langen Zeitablaufs“ nicht mehr mit hinreichender Wahrscheinlichkeit mit einer Inanspruchnahme der Klägerin durch Datenschutzaufsichtsbehörden oder betroffene Personen durch Schadensersatzansprüche zu rechnen.
Einordnung & Praxishinweise
Der vor dem LG Tübingen verhandelte Fall zeigt zunächst eindrücklich, dass eine dem Stand der Technik entsprechende Absicherung gegen Cyber-Angriffe unerlässlich ist. Bereits eine unvorsichtig geöffnete Mail kann zu einer Störung der gesamten IT-Infrastruktur führen und Schäden in Millionenhöhe verursachen. Nicht nur gesetzliche Vorgaben wie Artikel 32 DS-GVO und § 8a-8c BSIG, die ohnehin in naher Zukunft weiter verschärft werden, sondern schon wohlverstandenes Eigeninteresse gebietet es, der IT-Sicherheit des Unternehmens angemessene Aufmerksamkeit zu widmen.
Neben technischen und organisatorischen Maßnahmen zur tatsächlichen Sicherung der IT-Systeme kann sich für Unternehmen daher auch eine Versicherung empfehlen, die Schäden infolge von Cyber-Angriffen ausgleicht. Bei Abschluss eines Cyberversicherungsvertrags sollten Versicherungsnehmer darauf achten, dass Betriebsunterbrechungsschäden von der Police umfasst sind – dieser Schadensposten stellt regelmäßig den Hauptteil der finanziellen Beeinträchtigung durch Cyber-Angriffe dar. Außerdem sollten die bei der Schadensfeststellung und -erhebung entstehenden Kosten sorgfältig dokumentiert werden, um sie im Zweifel vor Gericht substantiieren zu können.
Versicherungsnehmer sollten die Kommunikation im Zusammenhang mit Abschluss und Durchführung des Versicherungsvertrags sorgfältig dokumentieren, um im Zweifelsfall Nachweis darüber erbringen zu können, welche Risikolage dem Vertragsschluss zugrunde lag.
Obwohl das Gericht – mangels tatsächlicher Anspruchsschreiben oder Bußgeldbescheide – eine Inanspruchnahme durch Datenschutzaufsichtsbehörden oder betroffene Personen als nicht hinreichend wahrscheinlich erachtete, sollten sich Unternehmen hierauf nicht ausruhen. Zum Zeitpunkt des Urteils war die sog. Verbandsklagenrichtlinie (Richtlinie (EU) 2020/1828) noch nicht durch das Verbraucherrechtedurchsetzungsgesetz umgesetzt. Zudem hat sich der Gerichtshof der Europäischen Union zwischenzeitlich erneut zur Schwelle für immateriellen Schadensersatz und zur Beweislast bei Cyber-Angriffen geäußert (>> LTO-Beitrag zum Thema). Eine Geltendmachung von Schadensersatzansprüchen betroffener Personen bei einem heute eintretenden Cyber-Angriff wäre daher u.U. wahrscheinlicher als zum Zeitpunkt des Urteils des LG Tübingen.
Insgesamt bietet das Urteil des LG Tübingen daher Anlass, das Thema Cybersecurity und die damit verbundenen Risiken für Unternehmen sorgfältig zu prüfen und IT-Sicherheitsmaßnahmen oder die rechtliche Absicherung ggf. zu stärken.
Weiterleiten