Unlängst ist ein Urteil des Landgerichts Tübingen ergangen. In dem Fall ging es darum, dass entgegen den Angaben in den Risikofragebögen, nicht alle Cybersicherheitsupdates installiert worden sind. Der Versicherer wollte daraufhin die Leistungen kürzen.

Das Landgericht hat entschieden, dass der Versicherer dennoch die volle Schadenhöhe übernehmen muss, da nicht nachgewiesen werden konnte, dass bei Installation sämtlicher Updates der Schaden nicht entstanden oder geringer ausgefallen wäre. Dieser Beweis ist wohl vom Versicherungsnehmer geführt worden, da auch Server mit aktuellen Updates vom Schaden betroffen waren.

Neue Wege ging ein Versicherer in einem Fall, der vor dem Landgericht Kiel verhandelt wurde. Der Versicherer, der sich in einer ähnlichen Situation wiederfand (auf mehreren Servern fehlten die notwendigen Sicherheitsupdates), berief sich nicht auf eine vorvertragliche Anzeigepflichtverletzung. Bei letzterer hat der Versicherungsnehmer die Möglichkeit mangelndes Verschulden darzulegen (keine grobe Fahrlässigkeit) oder darzulegen, dass die Anzeigepflichtverletzung nicht zum Eintritt oder zur Vergrößerung des Schadens beigetragen hat (Kausalitätsgegenbeweis). Bei einer arglistigen Täuschung hingegen kommt es darauf nicht an, zumal die Arglist immer auch die Willentlichkeit der Täuschungshandlung impliziert. Nun setzt die Rechtsprechung (gerade bei vorvertraglichen Anzeigepflichten) sehr hohe Maßstäbe für eine erfolgreiche Arglistanfechtung gemäß § 123 BGB.

Man wird sehen müssen, ob das Oberlandesgericht (sofern Berufung eingelegt wurde) dieses Urteil hält.