Cyber-Versicherung: Beeinträchtigungen bei Dritten stellen keine Netzwerksicherheitsverletzung dar
LG Hagen v. 15.10.2024 - 9 O 258/23
Der Sachverhalt:
Die Klägerin hatte am 11.5.2020 bei der Beklagten einen Cyber-Versicherungsvertrag abgeschlossen. Der Versicherung liegen die Allgemeinen Versicherungsbedingungen für die Versicherung von Cyber-Risiken, Stand: 4.2019 (im Folgenden "AVB") zugrunde. Der Versicherungsumfang erstreckt sich auch auf den Versicherungsschutz für den Baustein "Cyber-Vertrauensschäden" i.S.v. Teil D der AVB. Versicherungsschutz bestand demnach für alle im Zeitraum zwischen Versicherungsbeginn und Versicherungsende vom Versicherungsnehmer entdeckten Informationssicherheitsverletzungen. Diese galten mt dem Zeitpunkt der ersten nachprüfbaren Feststellung durch den Versicherungsnehmer als entdeckt (Versicherungsfall). Unter Teil A 3.3.1. der AVB waren zudem positive und negative Beispiele für Netzwerksicherheitsverletzungen aufgeführt.
Die Klägerin steht in einer regelmäßigen Geschäftsbeziehung zu einem polnischen Lieferanten, mit dem sie per E-Mail kommuniziert. Am 25.1.2023 erhielt die Klägerin eine E-Mail, mit welcher der vermeintliche Lieferant eine geplante Änderung seiner Bankmitteilung kommunizierte und dies damit begründete, dass die Kontoführungsgebühren der üblichen Bankverbindung zu hoch seien. Aufgrund dieser Nachricht änderte die Klägerin die bei ihr für den Lieferanten hinterlegten Kontodaten. Die nun folgenden Rechnungen über insgesamt 85.000,00 € zahlte sie auf das ihr neu mitgeteilte Bankkonto. Im Nachhinein stellte sich heraus, dass diese E-Mails nicht von dem eigentlichen Lieferanten kamen, sondern Fälschungen waren und auch das Konto, auf welches die Zahlungen geflossen sind, kein Konto des Lieferanten war.
Die Klägerin erstatte daraufhin Strafanzeige und versuchte, eine Rücküberweisung des Geldtransfers zu erreichen. Eine solche war jedoch nicht mehr möglich. Infolgedessen meldete die Klägerin den Schaden der Beklagten. Sie war der Ansicht, der Eingriff des Schädigers in den laufenden E-Mailverkehr und den über ein Online-Banking-System abgewickelten Zahlungsverkehr zwischen ihr und ihrem Lieferanten sei ein Eingriff in ihr Telekommunikationsnetzwerk. Dieses sei "gehackt" worden. Die Beklagte lehnte die Regulierung des Schadens ab. Die Netzwerke und Computersysteme der Klägerin seien weder angegriffen noch technisch kompromittiert worden. Vielmehr mache die Klägerin mit ihrer Klage einen reinen Täuschungsschaden geltend.
Das LG hat die Klage abgewiesen.
Die Gründe:
Die Klägerin hat keinen Anspruch auf Zahlung von 85.000 € gegen die Beklagte aus dem bestehenden Versicherungsvertrag über eine Cyber-Versicherung i.V.m. § 1 VVG, denn es lag kein Versicherungsfall vor, weil es an einer Informationssicherheitsverletzung i.S.d. der AVB fehlte.
Eine Verletzung datenschutzrechtlicher Bestimmungen lag schon deshalb nicht vor, weil die Klägerin als Versicherungsnehmerin keinen Verstoß gegen datenschutzrechtliche Bestimmungen begangen hatte. Für eine Vertraulichkeitsverletzung i.S.d. AVB fehlte es an einer Verletzung der Vertraulichkeit Daten Dritter durch die Klägerin. Auch eine Netzwerksicherheitsverletzung lag nicht vor. Dies ergab die Auslegung der zugrundeliegenden AVB.
Ein durchschnittlicher und verständiger Versicherungsnehmer würde erkennen, dass der vorliegende Fall nicht zu den versicherten Risiken zählt. Voraussetzung des Versicherungsschutzes bleibt eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer selbst, die hier aber nicht vorlag. Beeinträchtigungen bei Dritten sind keine Netzwerksicherheitsverletzung bei der Klägerin. In Abgrenzung zu einem Cyber-Angriff handelte es sich im vorliegenden Fall einer dem "normalen" Betrug nahen Tat. Die Klägerin ist auf eine betrügerische E-Mail hereingefallen. Dieses Risiko ist heute allgegenwärtig und nichts, was notwendigerweise durch eine Cyber-Versicherung abzusichern wäre. Andernfalls wäre jedweder E-Mail-Verkehr mit Spam- oder Phishing-Mails eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer. Das versicherte Risiko würde sich auf den weltweiten E-Mail-Verkehr ausweiten.
Zwar umfasst der Versicherungsschutz des Teil D der AVB dem Wortlaut und auch dem Sinn und Zweck nach betrügerische Handlungen die das Vertrauen des Versicherungsnehmers ausnutzen. Die Vertrauensschadenversicherung bietet - je nach Ausgestaltung - gerade auch Versicherungsschutz für vorsätzliche Eingriffe in informationsverarbeitende Systeme des Versicherungsnehmers, durch eine Vertrauensperson oder Dritte, und dadurch unmittelbar verursachte Schäden. Da allerdings immer auch eine Informationssicherheitsverletzung erforderlich ist, war der Anwendungsbereich der Vertrauensschadenversicherung hier nicht eröffnet.
Mehr zum Thema:
Beratermodul IT-Recht
Die perfekte Online-Ausstattung für das IT-Recht: Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
Beratermodul VersR - Zeitschrift für Versicherungsrecht
Das Beratermodul für den gezielten digitalen Zugriff auf sämtliche Inhalte der VersR zum Versicherungsrecht, zum Schadenrecht und zum Haftungsrecht. Inklusive online Archiv und Selbststudium nach § 15 FAO.
Mit dem Beratermodul VersR haben Sie Zugriff auf das Archiv der Zeitschrift VersR seit 1970 mit jeweils 24 Ausgaben pro Jahr. 4 Wochen gratis nutzen!
Justiz NRW
Die Klägerin hatte am 11.5.2020 bei der Beklagten einen Cyber-Versicherungsvertrag abgeschlossen. Der Versicherung liegen die Allgemeinen Versicherungsbedingungen für die Versicherung von Cyber-Risiken, Stand: 4.2019 (im Folgenden "AVB") zugrunde. Der Versicherungsumfang erstreckt sich auch auf den Versicherungsschutz für den Baustein "Cyber-Vertrauensschäden" i.S.v. Teil D der AVB. Versicherungsschutz bestand demnach für alle im Zeitraum zwischen Versicherungsbeginn und Versicherungsende vom Versicherungsnehmer entdeckten Informationssicherheitsverletzungen. Diese galten mt dem Zeitpunkt der ersten nachprüfbaren Feststellung durch den Versicherungsnehmer als entdeckt (Versicherungsfall). Unter Teil A 3.3.1. der AVB waren zudem positive und negative Beispiele für Netzwerksicherheitsverletzungen aufgeführt.
Die Klägerin steht in einer regelmäßigen Geschäftsbeziehung zu einem polnischen Lieferanten, mit dem sie per E-Mail kommuniziert. Am 25.1.2023 erhielt die Klägerin eine E-Mail, mit welcher der vermeintliche Lieferant eine geplante Änderung seiner Bankmitteilung kommunizierte und dies damit begründete, dass die Kontoführungsgebühren der üblichen Bankverbindung zu hoch seien. Aufgrund dieser Nachricht änderte die Klägerin die bei ihr für den Lieferanten hinterlegten Kontodaten. Die nun folgenden Rechnungen über insgesamt 85.000,00 € zahlte sie auf das ihr neu mitgeteilte Bankkonto. Im Nachhinein stellte sich heraus, dass diese E-Mails nicht von dem eigentlichen Lieferanten kamen, sondern Fälschungen waren und auch das Konto, auf welches die Zahlungen geflossen sind, kein Konto des Lieferanten war.
Die Klägerin erstatte daraufhin Strafanzeige und versuchte, eine Rücküberweisung des Geldtransfers zu erreichen. Eine solche war jedoch nicht mehr möglich. Infolgedessen meldete die Klägerin den Schaden der Beklagten. Sie war der Ansicht, der Eingriff des Schädigers in den laufenden E-Mailverkehr und den über ein Online-Banking-System abgewickelten Zahlungsverkehr zwischen ihr und ihrem Lieferanten sei ein Eingriff in ihr Telekommunikationsnetzwerk. Dieses sei "gehackt" worden. Die Beklagte lehnte die Regulierung des Schadens ab. Die Netzwerke und Computersysteme der Klägerin seien weder angegriffen noch technisch kompromittiert worden. Vielmehr mache die Klägerin mit ihrer Klage einen reinen Täuschungsschaden geltend.
Das LG hat die Klage abgewiesen.
Die Gründe:
Die Klägerin hat keinen Anspruch auf Zahlung von 85.000 € gegen die Beklagte aus dem bestehenden Versicherungsvertrag über eine Cyber-Versicherung i.V.m. § 1 VVG, denn es lag kein Versicherungsfall vor, weil es an einer Informationssicherheitsverletzung i.S.d. der AVB fehlte.
Eine Verletzung datenschutzrechtlicher Bestimmungen lag schon deshalb nicht vor, weil die Klägerin als Versicherungsnehmerin keinen Verstoß gegen datenschutzrechtliche Bestimmungen begangen hatte. Für eine Vertraulichkeitsverletzung i.S.d. AVB fehlte es an einer Verletzung der Vertraulichkeit Daten Dritter durch die Klägerin. Auch eine Netzwerksicherheitsverletzung lag nicht vor. Dies ergab die Auslegung der zugrundeliegenden AVB.
Ein durchschnittlicher und verständiger Versicherungsnehmer würde erkennen, dass der vorliegende Fall nicht zu den versicherten Risiken zählt. Voraussetzung des Versicherungsschutzes bleibt eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer selbst, die hier aber nicht vorlag. Beeinträchtigungen bei Dritten sind keine Netzwerksicherheitsverletzung bei der Klägerin. In Abgrenzung zu einem Cyber-Angriff handelte es sich im vorliegenden Fall einer dem "normalen" Betrug nahen Tat. Die Klägerin ist auf eine betrügerische E-Mail hereingefallen. Dieses Risiko ist heute allgegenwärtig und nichts, was notwendigerweise durch eine Cyber-Versicherung abzusichern wäre. Andernfalls wäre jedweder E-Mail-Verkehr mit Spam- oder Phishing-Mails eine Netzwerksicherheitsverletzung bei dem Versicherungsnehmer. Das versicherte Risiko würde sich auf den weltweiten E-Mail-Verkehr ausweiten.
Zwar umfasst der Versicherungsschutz des Teil D der AVB dem Wortlaut und auch dem Sinn und Zweck nach betrügerische Handlungen die das Vertrauen des Versicherungsnehmers ausnutzen. Die Vertrauensschadenversicherung bietet - je nach Ausgestaltung - gerade auch Versicherungsschutz für vorsätzliche Eingriffe in informationsverarbeitende Systeme des Versicherungsnehmers, durch eine Vertrauensperson oder Dritte, und dadurch unmittelbar verursachte Schäden. Da allerdings immer auch eine Informationssicherheitsverletzung erforderlich ist, war der Anwendungsbereich der Vertrauensschadenversicherung hier nicht eröffnet.
Beratermodul IT-Recht
Die perfekte Online-Ausstattung für das IT-Recht: Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
Beratermodul VersR - Zeitschrift für Versicherungsrecht
Das Beratermodul für den gezielten digitalen Zugriff auf sämtliche Inhalte der VersR zum Versicherungsrecht, zum Schadenrecht und zum Haftungsrecht. Inklusive online Archiv und Selbststudium nach § 15 FAO.
Mit dem Beratermodul VersR haben Sie Zugriff auf das Archiv der Zeitschrift VersR seit 1970 mit jeweils 24 Ausgaben pro Jahr. 4 Wochen gratis nutzen!
Beratermodul Zeitschriften Wirtschaftsrecht
Führende Zeitschriften zum Wirtschaftsrecht, Aktienrecht, Gesellschaftsrecht und Versicherungsrecht stehen hier zur Online-Recherche bereit. Inklusive Selbststudium nach § 15 FAO bei ausgewählten Zeitschriften (GmbHR, ZIP, VersR). Wann immer es zeitlich passt: Für Fachanwälte bietet das Beratermodul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!