Skip to content

LG Kiel: Cyberversicherung muss bei falscher Beantwortung der Risikofragen im Schadensfall nicht zahlen sondern kann den Vertrag wegen arglistiger Täuschung anfechten

LG Kiel
Urteil vom 23.05.2024
5 O 128/21


Das LG Kiel hat entschieden, dass eine Cyberversicherung bei falscher Beantwortung der Risikofragen im Schadensfall nicht zahlen muss, sondern den Vertrag deshalb wegen arglistiger Täuschung anfechten kann.

Aus den Entscheidungsgründen:
Der Klägerin steht gegen die Beklagte kein Anspruch auf Zahlung von Versicherungsleistungen aus dem zwischen den Parteien geschlossenen Versicherungsvertrag zu, da der Vertrag aufgrund der von der Beklagten erklärten Anfechtung wegen arglistiger Täuschung nichtig ist (§§ 20, 22 VVG i.V.m. §§ 123 Abs. 1, 142 Abs. 1 BGB).

Die Beklagte hat mit der Klagerwiderung vom 18.08.2021 und damit noch binnen der Jahresfrist des § 124 BGB die Anfechtung des Vertrages wegen arglistiger Täuschung erklärt.

Die Klägerin hat die Beklagte bei Vertragsschluss über vertragsrelevante Risiken arglistig getäuscht, indem sie nach Überzeugung der Kammer jedenfalls die im Rahmen der Invitatio gestellten Risikofragen zu Ziffer 3) und 4) durch ihren beauftragten Verhandlungsgehilfen, den Zeugen J. falsch beantworten ließ, der seine Angaben im Bewusstsein seiner Unkenntnis ins Blaue hinein machte. Zwischen den Parteien ist unstreitig, dass, wie sich auch aus der von der Klägerin vorgelegten Anlage K 11 ergibt, dem Abschluss des Versicherungsvertrages zunächst eine sogenannte Invitatio vorausgeht, bei der der künftige Versicherungsnehmer, also hier die Klägerin über ihren Makler, nicht nur allgemeine Angaben zu ihrem Unternehmen und den Umfang des gewünschten Versicherungsschutzes über ein Onlineportal eingibt, sondern auch die dort abgefragten Risikofragen entweder mit ja oder nein beantworten muss, um im Anschluss die Invitatio starten zu können, das heißt die Beklagte als Versicherung zur Abgabe eines Angebotes auf Abschluss eines Versicherungsvertrages einzuladen. Es handelt sich also nicht um den von der Klägerseite angeführten Fall einer Täuschung über nicht erfragte Umstände. Unerheblich ist in diesem Zusammenhang, ob die über das Onlineportal gestellten Risikofragen im weiteren Verlauf der Vertragsverhandlung und des Abschlusses des Vertrages auch in Textform gemäß § 126b BGB, wie im Fall des § 19 Abs. 1 VVG gefordert, gestellt worden sind. Eine arglistige Täuschung liegt selbst dann vor, wenn vor dem Vertragsschluss gestellte mündliche Fragen objektiv falsch beantwortet worden sind. Dies gilt damit erst recht, wenn die über ein Onlineportal auf dem Bildschirm sichtbaren Fragen falsch beantwortet werden (OLG Celle VersR 2020, 830; OLG Hamm BeckRS 2019, 37498; Langheid/Wandt- Bußmann Münchener Komm. z. VVG § 22 R. 19; Piontek r+s 2019 S. 1 ff (4)). Anzumerken ist in diesem Zusammenhang jedoch, dass der Zeuge J., der zum Vertragsschluss und den dortigen Angaben vernommen worden ist von sich auch erklärte, dass er die dortigen Angaben und Erklärungen für sich nochmals ausgedruckt habe, da er noch ein Anhänger der Papierform sei, was gegen die Darstellung der Klägerseite spricht, die gestellten Risikofragen hätten vor Vertragsschluss nicht in Textform im Sinne des § 126b BGB vorgelegen.

Jedenfalls die hier gestellten Risikofragen zu Ziffer 3) und 4) wurden bezogen auf den als Speicherplatz genutzten Windows 2003 Rechner, den für den Betrieb des WEB-Shops eingesetzten Windows 2008 SQL-Server und den noch im Auslieferungszustand von 2019 befindlichen Domain-Controller DC09 objektiv falsch beantwortet, so dass dahin gestellt bleiben kann, inwieweit auch weitere Fragen falsch beantwortet worden sind. Die Frage zu 3), ob „alle stationären und mobilen Arbeitsrechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet“ sind, wurde mit „ja“ beantwortet. Ebenso wurde die Frage zu Ziffer 4) nach der Durchführung verfügbarer Sicherheitsupdates ohne schuldhaftes Zögern und dem Einsatz von Produkten für die Software für Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme usw., für die vom Hersteller Sicherheitsupdates bereitgestellt werden, bejaht. Tatsächlich war unstreitig auf dem Windows 2003 Rechner kein Virenschutzprogramm installiert und Sicherheitsupdates des Herstellers für die Klägerin nicht verfügbar. Das gilt auch für den zum Betrieb des WEB-Shops als Verbindung zum Warenwirtschaftssystem der Klägerin eingesetzten Windows 2008 Rechner. Auch hier war vor dem Vertragsschluss im Januar 2020 das von dem Hersteller bereit gestellte Sicherheitsupdate ausgelaufen. Einen erweiterten Supportvertrag, über den weiterhin Sicherheitsupdates hätten abgerufen werden können, hatte die Klägerin unstreitig für diesen Rechner nicht abgeschlossen. Zudem bestätigte der Zeuge J., dass, wie sich auch aus der von der Beklagten beauftragten forensischen Analyse durch die Diplom-Informatikerin R. ergibt, der Microsoft Windows 2008 R2 Rechner, der als WEB-SQL Server genutzt worden ist, nicht über einen Virenscanner verfügte. Schließlich befand sich auch der Domaincontroller DC 09 noch im Auslieferungszustand von 2019, dass heißt weder waren Sicherheitsupdates und Aktualisierung erfolgt noch ein Virenschutz installiert. Die Fragen zu Ziffer 3) und 4) sind damit objektiv falsch beantwortet worden.

Die Klägerin kann nicht damit gehört werden, dass unter den Begriff des Arbeitsrechners in Frage 3) lediglich die Arbeitsplatzrechner, auf denen ein Virenscanner installiert war, nicht jedoch die im Netzwerk der Klägerin installierten Server, insbesondere nicht der - nach dem Klägervortrag - bei Vertragsschluss in einer demilitarisierten Zone (DMZ) befindliche SQL- Server, erfasst sei.

Nach ständiger Rechtsprechung des Bundesgerichtshofs ist für die Auslegung von allgemeinen Versicherungsbedingungen wie auch für Erklärungen des Versicherers und damit den hier gestellten Risikofragen auf den durchschnittlichen, um Verständnis bemühten Versicherungsnehmer ohne versicherungsrechtliche Spezialkenntnisse abzustellen. In erster Linie ist bei der Auslegung vom Wortlaut auszugehen. Zudem ist der verfolgte Zweck und der Sinnzusammenhang zu berücksichtigen (BGH Urteil vom 23.06.1993 - IV ZR 135/92). Der Versicherungsnehmer, der eine Cyberversicherung zur Absicherung seines betrieblichen IT-Netzwerkes vor Schäden durch Hackerangriffe oder Ähnlichem absichern möchte, wird hierbei ohne weiteres erkennen, dass die vor dem Versicherungsvertragsschluss erfolgende Risikobewertung durch den Versicherer maßgeblich von verfügbaren Schutzmaßnahmen gegen IT-Angriffe von außen, wie installierten Virenschutzprogrammen und vom Hersteller bereitgestellten und auch abgerufenen Sicherheitsupdates abhängt. Gerade wenn die in der Verfügungsgewalt des Versicherungsnehmers stehenden Rechner in einem Netzwerk verbunden sind, ist ohne weiteres ersichtlich, dass die Gesamtheit des Netzes nur so sicher sein kann, wie deren schwächsten Glieder. Er wird daher den Begriff des Arbeitsrechners weiter verstehen als den des bloßen Arbeitsplatzrechners und hierunter alle Computersysteme verstehen, die in dem Betrieb Funktionen, sei es als Eingabegerät oder als Server wahrnehmen, weil bereits durch den Zugriff auf einzelne Komponenten mit Malware das gesamte Netzwerk Schaden nehmen kann. Er wird aus der Formulierung in Frage 4), in der nach „durchgeführten“ Sicherheitsupdates gefragt wird, des Weiteren erkennen, dass der Versicherer sich hier nach tatsächlich verfügbaren und von dem Anfragenden genutzte Sicherheitsupdates des Herstellers erkundigt.

Die Klägerin kann auch nicht damit gehört werden, dass ein ausreichender Virenschutz über die mit den Windows 2003 verbundenen mobilen Arbeitsplatzrechner gewährt worden sei oder der Windows 2008 SQL Rechner zum Zeitpunkt des Vertragsschlusses sich in einer sogenannten DMZ befunden habe und es sich hierbei nicht um einen Arbeitsrechner handele. Damit blieben weiterhin die im Netzwerk eingebundenen, als Speicherplatz genutzten Server mit dem Windows 2003 Betriebssystem sowie der WEB-SQL-Server mit dem Windows 2008 System ohne aktuellen Virenschutz und Sicherheitsupdates. Sie waren dennoch, wie der Sachverständige S. im Rahmen der Erörterung in der mündlichen Verhandlung erklärte, über die angeschlossenen Arbeitsplatzrechner mit dem Internet verbunden. Die älteren Rechner verfügten über allgemein bekannte Sicherheitsmängel, wie zum Beispiel das aktive SMB1 Protokoll, die von externen Angreifern zur Kompromittierung des gesamten Netzsystems genutzt werden konnten. Es steht der Klägerin als Versicherungsnehmerin nicht zu, an Stelle des Versicherers und ohne dies offen zu legen, die Risikobewertung selbst vorzunehmen. Dies ist vergleichbar mit dem Fall, in dem im Rahmen einer Berufsunfähigkeits- oder Lebensversicherung die Gesundheitsfrage nach einem Bluthochdruck von dem Versicherungsnehmer verneint wird, weil dieser durch die Einnahmen von Medikamenten gut eingestellt ist. Auch wenn daneben weitere Schutzmaßnahmen vor einem Schadangriff getroffen worden sein sollten, bleibt es dabei, dass die Fragen zu Ziffer 3) und 4) objektiv falsch beantwortet worden sind.

Der Zeuge J. hat die zu Ziffer 3)und 4) gestellten Fragen ins Blaue hinein unrichtig beantwortet und damit arglistig getäuscht.

Die Klägerin hat sich dahingehend eingelassen, dass der Zeuge J. bei der Beantwortung der Risikofragen weder an den Windows 2003 Server und Speicherplatz, noch an den als SQL Server für den Betrieb des WEB-Shops genutzten Windows 2008 Rechner gedacht habe. Auch sei ihm unbekannt gewesen, dass der Domain-Controller DC09 seit März 2019 kein Update oder Virenschutz erhalten hatte und sich noch im Auslieferungszustand befunden habe. Der Zeuge J. bestätigte diesen Vortrag der Klägerin im Rahmen seiner Vernehmung und gab an, er habe sich darauf verlassen, dass die von ihm hierzu beauftragten Mitarbeiter, wie der inzwischen verstorbene Angestellte P. sowie der externe Dienstleister F., die ihnen übertragenen Aufgaben zur Absicherung des Netzwerkes korrekt wahrgenommen hätten. Das überzeugt die Kammer nicht. Hinsichtlich der Falschbeantwortung der Risikofragen zu 3) und 4) zu den oben genannten Rechnern liegt kein Fall der bloß fahrlässigen Unkenntnis vor, sondern der „bewussten Unkenntnis“ in dem Sinne des „na wenn schon“, was den Tatbestand der arglistigen Täuschung erfüllt.

Der Zeuge J. gab im Rahmen seiner Vernehmung an, dass die als Speicherplatz genutzten Rechner mit Windows 2003 Betriebssystem bei Beantwortung der Risikofragen „geflissentlich übersehen“ worden seien. Zu berücksichtigen ist weiter, dass es sich bei den oben genannten drei Rechnersystemen nicht um im Betrieb funktionell untergeordnete Rechner handelte, wie beispielsweise der ebenfalls mit einem Windows 2003 System ausgestattete, nach Angaben des Zeugen J. nicht mehr genutzte, gleichwohl im Netz angeschlossene Fax-Server an dem Standort G.. Vielmehr hatten sowohl die Windows 2003 und 2008 Rechner als auch der Domain Controller 09 entscheidende und zentrale Funktionen im Betrieb der Klägerin, sodass es nicht vorstellbar ist, dass diese Rechner „einfach vergessen“ worden sind. So dienten die Windows 2003 Rechner als zentraler Speicherplatz für Vertragsunterlagen, Rechnungen oder sonstige Dokumente des Unternehmens, waren über die angeschlossenen Arbeitsplatzrechner erreichbar und auf diese Weise mit dem IT-Netz verbunden. Die Rechner wurden, wie es der Zeuge J. angab, als „riesiger USB-Stick“ genutzt.

Ebenso hatte der als WEB-SQL-Server genutzte, mit dem Windows 2008 Betriebssystem ausgestattete Rechner, der schließlich das Einfallstor für den Hackerangriff bot, eine zentrale Rolle im Unternehmen der Klägerin. Er diente zum Betrieb des Herzstückes des Unternehmens, nämlich dem Betrieb des WEB-Shops, indem er eine Verbindung zu dem Warenwirtschaftssystem der Klägerin herstellte. Hierdurch erhielt der bestellende Kunde eine Rückmeldung, inwieweit der von ihm angefragte Artikel auf Lager und verfügbar war. Hierbei war man sich im Unternehmen der Klägerin durchaus der Risiken eines Schadangriffes auf diesen Server bewusst, da dieser, nach ihrem Vortrag, durch eine doppelte Firewall abgesichert gewesen sei und sich in einer sogenannten DMZ befunden habe. Es ist nicht vorstellbar, dass dieser so gesondert gesicherte Server bei den ausdrücklich gestellten Risikofragen nach Software zum Erkennen und Vermeiden von Schadsoftware und Sicherheitsupdates von dem Zeugen J. als Leiter der IT-Abteilung einfach vergessen worden ist.

Schließlich kam auch dem Domain-Controller DC09 eine zentrale Funktion im Unternehmen zu. Der Domain-Controller, der von der Beklagten als „Schatztruhe mit den Schlüsseln zum Königreich“ bezeichnet worden ist, wurde von dem Zeugen J. weniger poetisch als „Telefonbuch des Unternehmens“ bezeichnet. Die Funktion des Domain-Controller sei so wichtig, wie der Zeuge J. weiter anmerkte, dass im Unternehmen deshalb zwei davon zur Verfügung stünden, da bei einem Ausfall eines Domain-Controllers bei der Klägerin praktisch niemand mehr arbeiten könne. Der Domain-Controller ist ein Server zur zentralen Authentifizierung von Computern und Rechner in einem Rechnernetz, also von zentraler Bedeutung für die Funktionsweise des gesamten, 400 Rechner umfassenden Rechnernetzes der Klägerin.

Hinzu kommt, dass, wie der Sachverständige S. im Termin vom 28.02.2024 erläuterte, der Sicherheitszustand des IT-Netzwerkes von dem Zeugen J. vor Beantwortung der Risikofragen relativ leicht durch einen Blick hätte überprüft werden können. So gibt es in der Regel eine zentrale Konsole, über die der Virenschutz verwaltet wird und die nach den Angaben des Sachverständigen eigentlich auch täglich angeschaut werden müsste, um den Sicherheitszustand des IT-Systems zu prüfen. Hierdurch wäre für den Zeugen J. leicht erkennbar gewesen, inwieweit der Virenschutz im Netzwerk vollständig vorliegt und aktualisiert ist und ob hiervon alle Rechner, wie angegeben, erfasst sind. Gleiches gilt für die durchgeführten, vom Hersteller angebotenen Sicherheitsupdates. Diese hätten über das im Betrieb der Klägerin genutzte WSUS-System sofort erfasst werden können und hier wären dann die nicht aktualisierten Windows-Rechner und der Domain-Controller in der Gruppe der Rechner aufgefallen, bei denen kein Update erfolgt war. Eine Kontrolle dieser Systeme hatte der Zeuge J. nach eigenen Angaben nicht vorgenommen, so dass er seine Antworten ins Blaue hinein abgegeben hat. Er hat, jedenfalls nach der ersten Antwort auf die Frage, welche Erkundigungen er vor Beantwortung der Risikofragen eingeholt habe, bekundet, dass er sich heute nicht daran erinnere, bezüglich der Risikofragen Rücksprache mit Herrn P. gehalten zu haben. Er hatte vor Beantwortung der Risikofragen auch keine Systemüberprüfung durchgeführt, obgleich, wie oben geschildert, dies durch einen einfachen Blick möglich gewesen wäre. Die nach seinen Vorgaben dem Mitarbeiter des Maklers, dem Zeugen H., mitgeteilten Antworten auf die Risikofragen waren danach ungeprüft mitgeteilt worden. Der Zeuge J. hielt es daher jedenfalls für möglich, dass die von ihm auf die Risikofragen der Beklagten abgegebenen Antworten falsch waren. Auch Verhaltensweisen, die auf bedingten Vorsatz im Sinne eines „Fürmöglichhalten“ reduziert sind, sind von der Arglist im Sinne des § 123 BGB umfasst. Die Kammer ist nach Wertung aller Gesamtumstände zudem davon überzeugt, dass der Zeuge J. es jedenfalls für möglich hielt, dass die Beklagte durch seine Antworten zum Vertragsschluss bestimmt wird und den Vertrag jedenfalls bei der wahrheitsgemäßen Beantwortung der Fragen diesen nicht oder zu anderen Bedingungen geschlossen hätte.

Das Verhalten des Zeugen J. muss sich die Klägerin zurechnen lassen. Sie hat sich des Zeugen als Verhandlungsgehilfen bei Abschluss des Versicherungsvertrages bezüglich der Beantwortung der Risikofragen bedient. Er ist daher nicht Dritter im Sinne des § 123 Abs. 2 Satz 1 BGB (Münchener Kommentar Langheid/Wandt/Bußmann VVG § 22 Rn. 37).

Schließlich war die Falschbeantwortung der Risikofragen und damit die erfolgte Täuschung auch kausal für den Vertragsschluss. Dies ist bereits dann der Fall, wenn der Vertrag nicht in der erfolgten Weise abgeschlossen worden wäre. Es versteht sich ohne weiteres, dass die Frage der Absicherung des IT-Netzwerkes durch verfügbare Virenscanner oder auch Sicherheitsupdates entscheidend ist für die Frage eines möglichen zukünftigen Schadenseintritts und damit geeignet ist, die Entscheidung der Beklagten zur Übernahme dieses Risikos und zum Abschluss des Versicherungsvertrages zu beeinflussen. Jedenfalls auf die Höhe der zu entrichtenden Prämie hat die Beantwortung der Risikofragen, wie sich aus der eingereichten Anlage K 11 unmittelbar ergibt, Einfluss. Der Eindeckungsprozess erfolgt danach in einzelnen Schritten, wie sie in der Anlage K 11 anhand von Screenshots dargestellt ist. Nach der Eingabe allgemeiner Unternehmensdaten und der Auswahl des Versicherungsschutzes wird zunächst eine sogenannte Indikationsprämie, also eine vorläufige Prämie angegeben. Dann erfolgt unter Schritt 5 die Beantwortung der im Tatbestand dargestellten Risikofragen, indem der Anfragende die neben den Fragen befindlichen Button entweder bei ja oder nein festlegen kann. Im Anschluss erfolgt unter Schritt 6 eine neue Prämienübersicht, in der nun die endgültig ausgewiesene individuelle Prämie angegeben wird. Damit steht fest, dass jedenfalls die Höhe der Versicherungsprämie durch die Falschbeantwortung der Risikofragen beeinflusst wird.

Nach alledem ist der Versicherungsvertrag aufgrund der begründeten Anfechtung des Vertrages wegen arglistiger Täuschung nichtig. Die Beklagte ist zur Erbringung der vereinbarten Versicherungsleistungen nicht verpflichtet. Angesichts der arglistigen Täuschung kommt es auf die Regelung in der Anerkenntnisklausel in der Sondervereinbarung der X-Gruppe nicht an. Die Klage ist daher insgesamt, das heißt auch bezüglich des geltend gemachten Feststellungsantrages und der als Nebenforderungen beantragten vorgerichtlichen Rechtsanwaltskosten abzuweisen.


Den Volltext der Entscheidung finden Sie hier:

BGH: Geltendmachung des Widerspruchsrechts nach § 5a VVG a.F. bei fehlender oder fehlerhafter Widerspruchsbelehrung kann gegen Treu und Glauben verstoßen

BGH
Urteil vom 19.07.2023
IV ZR 268/21
BGB §§ 812 Abs. 1 Satz 1 Alt. 1, 242
VVG vom 21. Juli 1994 § 5a Abs. 1 Satz 1


Der BGH hat entschieden, dass die Geltendmachung des Widerspruchsrechts nach § 5a VVG a.F. bei fehlender oder fehlerhafter Widerspruchsbelehrung gegen Treu und Glauben verstoßen kann.

Leitsätze des BGH:
a) Der Senat hält auch unter Berücksichtigung der neueren Rechtsprechung des Gerichtshofs der Europäischen Union (Urteile vom 24. Februar 2022, u.a. [Unit-Linked-Versicherungsverträge], C-143/20 und C-213/20,EU:C:2022:118 = NJW 2022, 1513; vom 9. September 2021, Volkswagen
Bank u.a., C-33/20, C-155/20 und C-187/20, EU:C:2021:736 = NJW 2022, 40; vom 19. Dezember 2019, Rust-Hackner u.a., C-355/18 bis C-357/18 und C-479/18, EU:C:2019:1123 = NJW 2020, 667) daran fest, dass die Geltendmachung des Widerspruchsrechts gemäß § 5a Abs. 1 Satz 1 VVG (hier in der Fassung vom 21. Juli 1994) auch bei einer fehlenden oder fehlerhaften Widerspruchsbelehrung ausnahmsweise Treu und Glauben (§ 242 BGB) widersprechen und damit unzulässig sein kann, wenn besonders gravierende Umstände des Einzelfalles vorliegen, die vom Tatrichter festzustellen sind (Fortführung des Senatsurteils vom 15. März 2023 - IV ZR 40/21,
VersR 2023, 631 Rn. 21).

b) Zum Einwand von Treu und Glauben ist keine Vorlage an den Gerichtshof der Europäischen Union geboten (Fortführung des Senatsurteils vom 15. Februar 2023 - IV ZR 353/21, r+s 2023, 298 Rn. 27 ff.).

BGH, Urteil vom 19. Juli 2023 - IV ZR 268/21 - OLG Karlsruhe in Freiburg - LG Freiburg

Den Volltext der Entscheidung finden Sie hier:



LG Tübingen: Zur Einstandspflicht einer Cyberversicherung bei einem Angriff auf IT-Infrastruktur eines Unternehmens

LG Tübingen
Urteil vom 26.05.2023
4 O 193/21


Das LG Tübingen hat sich in diesem Verfahren mit der Einstandspflicht einer Cyberversicherung bei einem Angriff auf die IT-Infrastruktur eines Unternehmens befasst.

Aus den Entscheidungsgründen:

Dem Feststellungsantrag fehlt das erforderliche Feststellungsinteresse (§ 256 ZPO).

1. Nach der Rechtsprechung des BGH hängt die Zulässigkeit einer Feststellungsklage bei reinen Vermögensschäden von der Wahrscheinlichkeit eines auf die Verletzungshandlung zurückzuführenden Schadenseintritts ab (BGH, Urt. v. 15.10.1992 – IX ZR 43/92 , MDR 1993, 693 = WM 1993, 251 [259 f.]; v. 24.1.2006 – XI ZR 384/03 – Rz. 27, BGHZ 166, 84 = MDR 2006, 940 m.w.N.; v. 20.3.2008 – IX ZR 104/05 – Rz. 8, MDR 2008, 799 = WM 2008, 1042). Ausreichend ist, dass nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge mit hinreichender Wahrscheinlichkeit ein erst künftig aus dem Rechtsverhältnis erwachsender Schaden angenommen werden kann (BGH MDR 2014, 1341, 1342).

2. Dies ist vorliegend zu verneinen. Die Schadensentwicklung bei der Klägerin selbst ist abgeschlossen. Diesen Schaden hat die Klägerin in Klageantrag Ziffer 1 beziffert. Der Feststellungsantrag betrifft nur potentielle Versicherungsfälle im Falle einer Verletzung der DSGVO bzw. den möglicherweise bei Dritten entstandenen Schaden, wenn die bei dem Cyber-Angriff erlangten Daten veröffentlicht werden, und die daraus folgende mögliche Inanspruchnahme der Klägerin durch diese Dritten. Dazu hat der Geschäftsführer der Klägerin im Zuge der letzten mündlichen Verhandlung mitgeteilt, dass bislang keine Kunden oder dritte Firmen mit entsprechenden Forderungen an die Klägerin herangetreten seien und auch sonst nicht bekannt geworden sei, dass Daten veröffentlicht bzw. im Internet auffindbar seien (Protokoll vom 28.04.2023, Bl. 584 d.A.). Nach der Lebenserfahrung und dem gewöhnlichen Verlauf der Dinge ist angesichts des langen Zeitablaufs jetzt auch nicht mehr mit einer derartigen Inanspruchnahme der Klägerin zu rechnen, so dass es an der hinreichenden Wahrscheinlichkeit eines Schadenseintritts fehlt.

II. Die Klägerin kann von der Beklagten aus § 1 VVG i.V.m. A1-1, A1-4, A2-2, A4 ff. AVB Zahlung von 2.858.923,54 € zuzüglich Zinsen wie aus dem Tenor ersichtlich verlangen. Im Übrigen war die Klage abzuweisen.

1. Zwischen den Parteien ist ein wirksamer Versicherungsvertrag über verschiedene Cyber-Deckungsbausteine zustande gekommen, der das Risiko einer Betriebsunterbrechung mit einschließt.

2. Mit dem Cyber-Angriff vom 29./30.05.2020 ist der Versicherungsfall eingetreten, A1-4 AVB i.V.m. A1-1 AVB. Dies wird von der Beklagten nicht in Abrede gestellt.

3.. Die Beklagte ist weder wegen Verletzung einer vorvertraglichen Anzeigepflicht nach B3-1.2.1 Abs. 1 Satz 2 AVB (a) noch wegen Gefahrerhöhung nach B3-2.5 AVB leistungsfrei geworden (b).

a. Zur Verletzung einer vorvertraglichen Anzeigepflicht

Es kann dahin stehen, ob die Klägerin die ihr gestellten Risikofragen vorsätzlich oder grob fahrlässig falsch beantwortet und insofern ihre vorvertragliche Anzeigepflicht nach B3-1.1 AVB verletzt hat. Jedenfalls hat die Klägerin gem. § 21 Abs. 2 S. 1 VVG nachgewiesen, dass eine möglicherweise falsche Beantwortung der Risikofragen weder für den Eintritt des Versicherungsfalls noch für die Feststellung oder den Umfang der Leistung ursächlich gewesen ist (sog. Kausalitätsgegenbeweis), so dass die Beklagte nach B3-1.2.1 Abs. 4 Satz 1 AVB den Versicherungsschutz nicht versagen darf (dazu unter aa.). Eine arglistige Verletzung der Anzeigepflicht (B3-1.2.1 Abs. 4 Satz 2 AVB) liegt nicht vor (dazu unter bb.). Daher bedarf auch die von der Klägerin aufgeworfene Frage keiner abschließenden Entscheidung, ob es sich bei den im Tatbestand wiedergegebenen Risikofragen überhaupt um zulässige Fragen gehandelt hat.

aa. Kausalitätsgegenbeweis

Der Sachverständige Dr. [...] hat - für die Kammer nachvollziehbar und überzeugend - ausgeführt, dass zwar eine Vielzahl der von der Klägerin eingesetzten Server nicht über aktuelle Sicherheits-Updates verfügten und damit veraltet waren, sich dies aber weder auf den Eintritt des Versicherungsfalls noch auf das Ausmaß des hierdurch ausgelösten Schadens ausgewirkt hat. Der Sachverständige ist seit 20 Jahren selbständig beratend im IT-Bereich tätig und arbeitet gegenwärtig überwiegend für eine Bank (Protokoll vom 28.04.2023 Seite 19, Bl. 601 d.A.), weshalb er insbesondere für den Bereich der IT-Sicherheit über eine große Expertise verfügt. Die Einholung eines Obergutachtens nach § 412 Abs. 1 ZPO, wie von der Beklagten beantragt, war daher nicht veranlasst.

Nach dem Cyber-Angriff konnten die Daten von insgesamt 21 der von der Klägerin teils betriebsintern, teils extern bei dem IT-Dienstleister Bechtle eingesetzten Servern forensisch gesichert werden. Von diesen 21 Servern verfügten nach den Feststellungen des Sachverständigen lediglich 10 über die erforderlichen Sicherheits-Updates; dagegen waren 11 Server nicht auf dem aktuellen Stand (Gutachten S. 27, Bl. 464 d.A.). Der Cyber-Angriff verlief jedoch bei insgesamt 16 der 21 Server erfolgreich (Gutachten S. 22, Bl. 459 d.A.) und betraf Systeme mit allen Betriebssystemversionen, darunter auch die - aktuellen - Windows Server 2019 (Gutachten S. 24, Bl. 461 d.A.). Verschlüsselt wurden sogar die bei der Fa. B. AG ausgelagerten Server. Dies erklärt sich daraus, dass über die Phishing-Mail an den Nutzer „[...]“ letztendlich die Administratorrechte u.a. für die Domäne Paradigma erbeutet wurden (Gutachten S. 27, Bl. 464 d.A.). Diese Administratorrechte erlaubten den Angreifern - was insbesondere auch für das Ausmaß des eingetretenen Schadens maßgeblich ist -, mit dem System „alles [...] zu machen“ (Protokoll vom 28.04.2023 Seite 18, Bl. 600 d.A.). Den Angreifern war es dadurch ohne Weiteres möglich, vorhandene Schutzmaßnahmen wie etwa den Virenscanner und die Firewall zu deaktivieren (Protokoll vom 28.04.2023 Seite 4, Bl. 586 d.A.). Dies ergibt sich ebenso aus dem von Beklagtenseite vorgelegten Parteigutachten [...] vom 24.06.2020 (Anlage BLD 1), wonach bei der Analyse verschiedener Server festgestellt wurde, dass der Antivirenscanner Trend Micro Apex ONE NT, der Windows Defender und die Windows Firewall zu jeweils unterschiedlichen Zeitpunkten am 30.05.2023, also zeitlich nach dem Pass-the-Hash-Angriff, deaktiviert wurden (a.a.O. Seite 22, 42 und 51). Der auf dem betroffenen Notebook „[...]“ installierte Virenscanner Trend Micro OfficeScan hatte am 29.05.2020 noch einen Schadsoftwarebefall festgestellt, der sich jedoch augenscheinlich nicht bereinigen ließ (a.a.O. Seite 8).

Soweit die Beklagte nun erstmals mit (nicht nachgelassenem) Schriftsatz vom 04.05.2023 vorträgt, dass die Firewalls bereits zum Schadenzeitpunkt deaktiviert gewesen seien (dort Seite 4, Bl. 555 d.A.), und mit (ebenfalls nicht nachgelassenem) Schriftsatz vom 15.05.2023 (dort Seite 6, Bl. 610 d.A.) in Frage stellt, ob der Anti-Virus-Verwaltungsserver im Zeitpunkt des Angriffs aktiviert war, kann offenbleiben, ob dies zutrifft oder sogar in Widerspruch zu dem Gutachten der [...] vom 24.06.2020 (Anlage BLD 1) und damit zum eigenen bisherigen Vortrag der Beklagten steht; jedenfalls ist dieser Vortrag verspätet und aus diesem Grund prozessual unbeachtlich, § 296a Satz 1 ZPO.

Nach den Feststellungen des Sachverständigen Dr. [...], denen sich das Gericht nach eigener Überzeugungsbildung anschließt, wurde bei dem streitgegenständlichen Cyber-Angriff eine vorhandene Schwachstelle (sog. „Design-Schwäche“) von Windows ausgenutzt (Gutachten S. 33, Bl. 470 d.A.), die unabhängig von der Aktualität des betroffenen Systems besteht. Der Sachverständige kommt daher nachvollziehbar und überzeugend zu dem Ergebnis, dass auch ein Einspielen der versäumten Updates weder den Angriff selbst abgewehrt noch das Ausmaß des angerichteten Schadens hätte beeinflussen können. Weder die Anzahl der betroffenen Server noch der Schaden wären verringert worden (Gutachten S. 27 und 33, Bl. 464 und 470 d.A.).

Soweit die Beklagte bezüglich des Schadensumfangs (sog. „lateral movement“) auf denkbare weitere Sicherheitsmaßnahmen seitens der Klägerin verweist, etwa eine Zwei-Faktoren-Authentifizierung oder ein Monitoring-System, so verkennt sie den Bezugspunkt der Regelung in B3-1.2.1 AVB. Diese Regelung knüpft (allein) an die Verletzung der vorvertraglichen Anzeigepflicht durch Falschbeantwortung der Risikofragen an (B3-1.1 AVB). Die von der Beklagten vermissten weiteren Sicherheitsmaßnahmen waren jedoch nicht Gegenstand der bei Antragstellung von der Klägerin zu beantwortenden Risikofragen. Dies gilt auch für die Risikofrage 5, deren Falschbeantwortung die Beklagte erstmals mit (nicht nachgelassenem) Schriftsatz vom 04.05.2023 gerügt hat. Die Risikofrage 5 ist derart weit formuliert, dass sie bereits zu bejahen ist, wenn lediglich grundlegende Regelungen wie etwa über die Nicht-Weitergabe von Login-Daten und -Passwörtern existieren und überwacht werden. Spezifische Sicherheitsmaßnahmen zur Abwehr von Pass-the-Hash- bzw. Verschlüsselungs-Angriffen sind hiervon nicht zwingend erfasst.

bb. keine Arglist

Von einer arglistigen Verletzung der Anzeigepflicht seitens der Klägerin bzw. der Maklerin konnte sich die Kammer nicht überzeugen.

(1) Die bewusste Falsch- oder Nichtbeantwortung von Fragen genügt für sich genommen nicht für Arglist. Vielmehr muss in subjektiver Hinsicht hinzukommen, dass der Versicherungsnehmer auf die Entschließung des Versicherers Einfluss nehmen will und sich daher bewusst ist, dass der Versicherer möglicherweise (bedingter Vorsatz genügt) seinen Antrag nicht oder nur unter erschwerten Bedingungen annehmen werde, wenn er die Wahrheit sage (BGH VersR 2007, 785 Rn. 8; 2011, 337 Rn. 19; OLG Koblenz VersR 2013, 1113, 1114; OLG Karlsruhe NJW 2014, 3733; OLG Hamm VersR 2018, 282, 283; 2020, 538, 539). Eine Vermögensschädigung braucht aber nicht geplant zu sein (RGZ 96, 345, 346; BGH VersR 1957, 351, 352; 2007, 785 Rn. 8; 2008, 809 Rn. 8; OGH VersR 1978, 954). Unkenntnis entlastet den Versicherungsnehmer nicht, wenn er im Bewusstsein seiner Unkenntnis „ins Blaue hinein“ Angaben macht (OLG Hamm VersR 1990, 765; OLG München VersR 2000, 711, 712; OLG Koblenz VersR 2004, 849, 851; KG VersR 2007, 381, 382; OLG Frankfurt/M. ZfS 2009, 269; OLG Saarbrücken VersR 2020, 91 (Ls.) = BeckRS 2019, 23766 Rn. 35; OLG Hamm VersR 2020, 538, 539). Dasselbe gilt, wenn er sich sehenden Auges der Kenntnis verschließt (BGH VersR 1993, 170, 171). Dass Arglist vorgelegen hat, muss der Versicherer darlegen und beweisen (BeckOK VVG/Spuhl, 18. Ed. 1.2.2023, VVG § 21 Rn. 55).

(2) Nach B3-1.1 Absatz 2 und 3 AVB kommt es sowohl auf die Kenntnis des Versicherungsnehmers selbst als auch auf die Kenntnis seines Vertreters an.

Die Klägerin hat sich beim Vertragsschluss durch den von ihr eingeschalteten Makler L. vertreten lassen, welcher die Antworten auf die Risikofragen in das Online-Portal der Beklagten eingegeben hat (Protokoll vom 04.02.2022 Seite 18, Bl. 231 d.A., und Seite 7, Bl. 220 d.A.). Wie die einzelnen Fragen zu beantworten waren, hatte dem Makler der Zeuge G. vorgegeben, welcher die Risikofragen zuvor mit dem IT-Manager U. der Klägerin durchgesprochen hatte (Protokoll vom 04.02.2022 Seite 8, Bl. 221 d.A., Seite 17, Bl. 230 d.A., und Seite 34f, Bl. 247f d.A.).

(3) Nach dem Ergebnis der Beweisaufnahme lässt sich weder bei den verantwortlichen Mitarbeitern der Klägerin noch beim Zeugen L. eine vorsätzliche, erst recht keine arglistige Falschbeantwortung der Risikofragen - konkret der Fragen 3, 4 und 6 - feststellen.

Trotz des Einsatzes von zumindest 11 veralteten Servern (siehe oben) ist allenfalls die Frage 4 bei der Antragstellung im April 2020 falsch beantwortet worden. Der Klägerin ist zuzugeben, dass die Risikofrage 3 sich auf stationäre und mobile Arbeitsrechner und eben nicht auf Server bezieht. Die Risikofrage 6 ist derart weit formuliert, dass die Klägerin sie richtig beantwortet hat, denn dass überhaupt „Hard- und Software zum Schutz des Unternehmensnetzwerks“ eingesetzt wurde in Form eines Virenscanners sowie einer Firewall, stellt auch die Beklagte nicht in Abrede.

Auch bezüglich der Risikofrage 4 ist jedoch nicht von einer vorsätzlich und erst recht nicht von einer arglistig falschen Beantwortung auszugehen. Unabhängig von der rechtlichen Einordnung der Veranstaltung am 13.02.2020 und der genauen Rolle des Zeugen B. hat die Beweisaufnahme ergeben, dass für die Mitarbeiter der Klägerin durch diese Veranstaltung übereinstimmend der Eindruck entstanden ist, dass seitens der Beklagten keine hohen Anforderungen hinsichtlich der IT-Sicherheit gestellt werden. So haben mehrere Zeugen unabhängig voneinander die Äußerung des Zeugen B. bestätigt, dass hinsichtlich der Firewall „jede Fritzbox“ ausreichen würde. Diese Äußerung war sowohl dem Zeugen G. (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.) als auch den Zeugen U. (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.), R. (Protokoll vom 06.05.2022 Seite 4, Bl. 336 d.A.) und M. (Protokoll vom 06.05.2022 Seite 11, Bl. 343 d.A.) im Gedächtnis. Der Zeuge B. konnte sich an Details nicht mehr erinnern, hat jedoch nicht ausgeschlossen, dass die Firewall Thema der Besprechung gewesen sei; eine Risikobewertung würde er jedoch generell nicht vornehmen (Protokoll vom 06.05.2022 Seite 24, Bl. 237 d.A.). Die Rückmeldung seitens des Zeugen B. scheint insofern jedoch auch nicht ausschlaggebend gewesen zu sein. Auffallend ist nämlich, dass sich die Zeugen teils gar nicht an die konkreten Antworten des Zeugen B. erinnern, dennoch aber den Eindruck gewonnen haben, die Anforderungen an die IT-Sicherheit seien nicht besonders hoch. Der Zeuge S. hat ausdrücklich angegeben, er habe sich gewundert, welche geringen Anforderungen gestellt würden (Protokoll vom 06.05.2022 Seite 14, Bl. 346 d.A.). Ähnlich habe sich seiner Erinnerung nach auch die Zeugin M. später im Lenkungskreis Digitalisierung geäußert (Protokoll vom 06.05.2022 Seite 16, Bl. 348 d.A.). Der Zeuge G. gab an, sie seien alle etwas verwundert darüber gewesen, dass die Anforderungen offenbar letztlich nicht viel höher seien als im privaten Bereich (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.). Maßgeblich für diesen kollektiven Eindruck erscheint vor allem die offenbar ausbleibende Reaktion von B. auf die Mitteilung des Zeugen U., dass die Klägerin auch ältere Server einsetze, die nicht mehr upgedatet werden könnten. Diese Mitteilung haben neben dem Zeugen U. selbst (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.) die Zeugen G. (Protokoll vom 04.02.2022 Seite 5, Bl. 218 d.A.), R. (Protokoll vom 06.05.2022 Seite 4, Bl. 336 d.A.), M. (Protokoll vom 06.05.2022 Seite 10, Bl. 342 d.A.) und S. (Protokoll vom 06.05.2022 Seite 14, Bl. 346 d.A.) bestätigt. Der Zeuge B. selbst hat ausgesagt, sich generell nicht zu Anforderungen an die IT-Infrastruktur zu äußern (Protokoll vom 04.02.2022 Seite 23, 24 und 25, Bl. 236, 237 und 238 d.A.). Herr U. war sich nicht mehr sicher, ob der Zeuge B. ihm überhaupt auf diese Mitteilung geantwortet hatte, glaubte aber, er habe keine Antwort bekommen (Protokoll vom 04.02.2022 Seite 33, Bl. 246 d.A.). Entsprechend hat der Zeuge U. angegeben, die Risikofrage 4 trotz der vorhandenen veralteten Server bejaht zu haben, da er dem Zeugen B. ja in der Veranstaltung am 13.02.2020 über „unsere Situation mit den älteren Servern“ berichtet habe (Protokoll vom 04.02.2022 Seite 35, Bl. 248 d.A.). Unabhängig davon, welche rechtliche Bedeutung einer derartigen mündlichen Äußerung zukommt, so schließt die entsprechende Vorstellung doch Vorsatz und erst recht Arglist aus.

Dem Zeugen L. war nicht mehr erinnerlich, ob am 13.02.2020 seitens der Mitarbeiter der Klägerin die Rede davon war, dass ältere Server eingesetzt werden, die aus technischen Gründen nicht mehr upgedatet werden können (Protokoll vom 04.02.2022 Seite 16, Bl. 229 d.A.). Vor dem Vertragsschluss, so der Zeuge L. weiter, habe er sich zu keinem Zeitpunkt mit seinem Ansprechpartner bei der Klägerin, dem Zeugen G., zu diesem Thema ausgetauscht (Protokoll vom 04.02.2022 Seite 18, Bl. 231 d.A.). Demnach handelte auch der Zeuge L. nicht erwiesenermaßen arglistig.

b. Gefahrerhöhung

Es kann offen bleiben, ob nach Vertragsschluss eine Gefahrerhöhung eingetreten ist, indem die Klägerin weitere Software-Updates nicht durchgeführt bzw. anders als in der Veranstaltung am 13.02.2020 angekündigt die veralteten Server (noch) nicht ausgetauscht hat. Da der Klägerin der Kausalitätsgegenbeweis gelingt (siehe oben), wäre die Beklagte selbst bei einer solchen Gefahrerhöhung nicht leistungsfrei; auch eine Kürzung des Anspruchs ist ausgeschlossen (§ 26 Abs. 3 Nr. 1 VVG i.V.m. B3-2.5.3 lit. a AVB).

4. Der erstattungsfähige Schaden der Klägerin beläuft sich insgesamt auf 2.858.923,54 €.

a. Betriebsunterbrechungsschaden

Die Klägerin hat einen zu ersetzenden Betriebsunterbrechungsschaden in Höhe von 2.507.809 € erlitten. Eine Betriebsunterbrechung gem. Ziffer A4-1.1.1 ist fraglos eingetreten, weil bei der Klägerin infolge unbefugter Nutzung von IT-Systemen elektronische Daten und informationsverarbeitende Systeme nicht zur Verfügung standen bzw. nicht die übliche Leistung erbrachten, was zu einem Schaden der Klägerin geführt hat.

aa. Der Unterbrechungsschaden wird in Ziffer A4-1.1.2 AVB definiert und stellt sich danach letztlich als der Betriebsgewinn zuzüglich der trotz der Unterbrechung fortlaufenden Kosten dar. Unter Ziffer A4-1.3.6 lit. d enthalten die AVB Vorgaben zur Feststellung der Schadenshöhe; allerdings betreffen diese das dort geregelte Sachverständigenverfahren und sind außerhalb dieses Verfahrens nicht anwendbar.

Es sind daher - neben Ziffer A4-1.3.1 - die allgemeinen Grundsätze zur Schadensermittlung heranzuziehen. Nach der Rechtsprechung muss ein Geschädigter, der Schadensersatz in Form eines Betriebsunterbrechungsschadens geltend macht, wie bei der Geltendmachung des entgangenen Gewinns gemäß § 252 Satz 1 BGB alle konkreten Umstände darlegen und gegebenenfalls beweisen, aus denen sich die Erlöserwartung ergibt. Es ist somit darzulegen, welche konkreten betriebsbezogenen Erlöse nicht erwirtschaftet werden konnten und welche konkreten betriebsbezogenen Kosten erspart wurden (vgl. OLG Hamm RuS 2013, 440). Dabei genügt entsprechend § 252 Satz 2 BGB die bloße Wahrscheinlichkeit der Erwartung des Erlöses anstelle des positiven Nachweises, sofern die Vorkehrungen und Anstalten, aus denen die Erlöserwartung hergeleitet wird, in der geschilderten Weise dargetan werden. Erforderlich ist mithin die schlüssige Darlegung von Ausgangs- bzw. Anknüpfungstatsachen, die geeignet sind, dem Ermessen bei der Wahrscheinlichkeitsprüfung eine Grundlage zu geben und eine Schadensschätzung gemäß § 287 ZPO zu ermöglichen (vgl. zum entgangenen Gewinn BGH WM 1998, S. 1787; BGH WuM 1991, S. 545). Während der Versicherungsnehmer den Eintritt des Versicherungsfalles und die hierdurch verursachte Betriebsunterbrechung auf der Grundlage von § 286 ZPO darzulegen und zu beweisen hat, kommt ihm beim Kausalzusammenhang zwischen der Betriebsunterbrechung und dem eingetretenen Schaden die Beweiserleichterung des § 287 ZPO zugute (BGH VersR 2014,104).

bb. Vor diesem Hintergrund kann der Schadensberechnung der Klägerin, welche einen Rohertrag je geleisteter Personenstunde zugrunde legt und diesen mit den angeblich ausgefallenen Personenstunden multipliziert, nicht gefolgt werden. Denn die Annahme, dass das wegen der Betriebsunterbrechung nicht eingesetzte Personal den gleichen Rohertrag erwirtschaftet hätte wie das zum Einsatz gelangte Personal, ist nicht nachvollziehbar und nicht einmal für eine Schätzung nach § 287 ZPO geeignet.

cc. Die Schätzung hat anhand der von der Klägerin vorgelegten betriebswirtschaftlichen Auswertungen zu erfolgen, somit auf Grundlage der Anlagen K 13 (Jahresabschluss für 2019), K 14 (betriebswirtschaftliche Auswertung für 2020) und K 15 (betriebswirtschaftliche Auswertung für 2021). Soweit die Beklagte mit Schriftsatz vom 04.05.2023 die Richtigkeit dieser betriebswirtschaftlichen Auswertungen bestreitet, ist dieser nach der letzten mündlichen Verhandlung am 28.04.2023 mit nicht nachgelassenem Schriftsatz erfolgte Vortrag verspätet und nach § 296a Satz 1 ZPO aus prozessualen Gründen unbeachtlich. Die Klägerin hat mit ebenfalls nicht nachgelassenem Schriftsatz vom 19.05.2023 die Jahresabschlüsse für 2020 (Anlage K21) und für 2021 (Anlage K 22) nachgereicht, welche ebenfalls nach § 296a Satz 1 ZPO unbeachtlich sind. Allerdings weichen die Kennzahlen in den Jahresabschlüssen ohnehin nur ganz geringfügig von den Werten in den betriebswirtschaftlichen Auswertungen ab.

dd. Der Schadensschätzung sind die Geschäftszahlen der Jahre 2020 (mit Betriebsunterbrechung) und 2021 (ohne Betriebsunterbrechung), nicht auch diejenigen des Jahres 2019 zugrunde zu legen.

Nach § 252 Satz 2 BGB gilt als entgangen der Gewinn, welcher nach dem gewöhnlichen Lauf der Dinge oder nach den besonderen Umständen, insbesondere nach den getroffenen Anstalten und Vorkehrungen, mit Wahrscheinlichkeit erwartet werden konnte.

Solche besonderen Umstände liegen vorliegend in Form des von der Bundesregierung im Oktober 2019 beschlossenen Klimaschutzprogramms 2030 vor, für das für klimaschutzrelevante Maßnahmen für den Zeitraum 2020 bis 2023 Mittel in Höhe von etwa 54 Milliarden Euro bereitgestellt wurden. Soweit die Beklagte die Existenz eines solchen Förderprogramms mit Nichtwissen bestritten hat, lässt sich die Behauptung der Klägerin durch eine einfache Internetrecherche verifizieren (https://www.bmwk.de/Redaktion/DE/Textsammlungen/Industrie/klimaschutz.html?cms_artId=9df37a6e-49dc-4c07-955d-f80ea3503730, zuletzt abgerufen am 23.05.2023). Die Tatsache ist daher allgemein bekannt; einer Beweiserhebung bedurfte es nicht.

Zusätzlich geht die Kammer davon aus, dass die Corona-Pandemie keinen „besonderen Umstand“ im Sinne des § 252 Satz 2 BGB darstellt. Bezüglich der gesamtwirtschaftlichen Entwicklung ist der Beklagten zuzustimmen, dass es im Jahr 2020 infolge der Auswirkungen der COVID-19-Pandemie allgemein zu Umsatzeinbrüchen kam. Dabei ist auch nicht auszuschließen, dass auch die Klägerin, welche u.a. in der Produktion von Heizungskomponenten tätig ist, betroffen war, insbesondere was Lieferengpässe betrifft. Solche Effekte bestanden aber für das Jahr 2020 ebenso wie für das Jahr 2021, da die Corona-Pandemie weiterhin andauerte. Indem eben die Jahre 2020 und 2021 miteinander verglichen werden, wirken sich mögliche Umsatzeinbrüche infolge der Pandemie rechnerisch nicht in relevanter Weise aus.

ee. Entgegen der Auffassung der Klägerin sind jedoch die Werte aller 12 Monate eines Jahres gleichermaßen heranzuziehen. Die Klägerin beruft sich auf zyklische Schwankungen der Geschäftsentwicklung im Jahresverlauf. Solche außergewöhnlichen Schwankungen lassen sich den vorgelegten betriebswirtschaftlichen Auswertungen jedoch nicht entnehmen. Soweit die Klägerin mit (nicht nachgelassenem) Schriftsatz vom 19.05.2023 als Anlagen K 23 und K 24 die betriebswirtschaftlichen Auswertungen für 2019 und 2022 vorlegt und ihren Vortrag zusätzlich auf diese Unterlagen stützt (Bl. 674f d.A.), ist dies verspätet und gemäß § 296a Satz 1 ZPO unbeachtlich.

ff. Bei der Berechnung des Deckungsbeitrags folgt die Kammer im Ansatz der - zweiten - Berechnungsweise der Klägerin, wobei vom erzielten jährlichen Gesamtumsatz als Kosten ein Teil des Materialaufwands abgezogen wird. Diese Berechnungsmethode erscheint der Kammer plausibel und entspricht im Übrigen der Definition des Betriebsunterbrechungsschadens in A4-1.1.2 AVB i.V.m. A469 des Glossars. Soweit die Klägerin meint, auf das so ermittelte Ergebnis sei zusätzlich ein prozentualer Aufschlag vorzunehmen (Schriftsatz vom 30.03.2022 Seite 18f, Bl. 279f d.A.), ist dies dagegen nicht nachvollziehbar.

Auf den weiteren Vortrag der Beklagten zum Betriebsunterbrechungsschaden in den Schriftsätzen vom 04.05.2023 und vom 17.05.2023, insbesondere das als Anlage BLD 13 vorgelegte Parteigutachten der [...] GmbH vom 16.05.2023, welches (erst) am 09.05.2023 in Auftrag gegeben worden ist, ist wegen § 296a Satz 1 ZPO nicht einzugehen. Soweit die Beklagte einwendet, die Berechnung der Klägerin sei aus betriebswirtschaftlicher Sicht falsch, da Bestandsveränderungen sehr wohl zu berücksichtigen seien, findet dies jedenfalls keinen Niederschlag in den Regelungen der AVB und ist für die Kammer daher nicht nachvollziehbar.

Der in den betriebswirtschaftlichen Auswertungen ausgewiesene Materialaufwand ist nicht nur zur Erwirtschaftung der Umsatzerlöse, sondern auch für die Erhöhung bzw. Verminderung des Bestandes an fertigen und unfertigen Produkten angefallen, welcher nach den AVB aber unberücksichtigt zu bleiben hat, da dort allein an den Umsatz angeknüpft wird. Der Anteil der auf die Bestandsveränderungen entfallenden Materialkosten ist daher herauszurechnen. Im Wege der Schätzung nach § 287 ZPO setzt die Kammer zunächst die Gesamtmaterialkosten ins Verhältnis zur Gesamtleistung der Klägerin, welche sich aus der Summe der Umsatzerlöse und der Bestandsveränderungen, ggf. auch der aktivierten Eigenleistungen ergibt, und geht sodann davon aus, dass der Anteil von Gesamtmaterialkosten zur Gesamtleistung dem Anteil der Materialkosten, die zur Erwirtschaftung allein der Umsatzerlöse erforderlich waren, zu den Umsatzerlösen entspricht.

Für 2020 ergibt sich gemäß Anlage K 14 danach folgende Berechnung:

Umsatzerlöse: 57.863.135 €

Anteil Gesamtmaterialkosten 26.967.378 € zur Gesamtleistung 58.041.198 € (= Umsatzerlöse 57.863.135 € + Bestandsveränderung (Lagerleistung) 162.130 € + aktivierte Eigenleistungen 15.930 €): 46,46%

somit Materialkosten allein zur Erwirtschaftung der Umsatzerlöse: Umsatzerlöse 57.863.135 € x 46,46% = 26.883.212,52 €, gerundet: 26.883.213 €

somit Deckungsbeitrag für 2020: Umsatzerlöse 57.863.135 € - diesbezügliche Materialkosten 26.883.213 € = 30.979.922 €.

Für 2021 ergibt sich gemäß Anlage K 15 folgende Berechnung:

Umsatzerlöse: 70.837.492 €

Anteil Gesamtmaterialkosten 35.223.076 € zur Gesamtleistung 73.924.577 € (= Umsatzerlöse 70.837.492 € + Bestandsveränderung (Lagerleistung) 3.087.082 € + aktivierte Eigenleistungen 0 €): 47,65%

somit Materialkosten allein zur Erwirtschaftung der Umsatzerlöse: Umsatzerlöse 70.837.492 € x 47,65% = 33.754.064,94 €, gerundet: 33.754.065 €

somit Deckungsbeitrag für 2021: Umsatzerlöse 70.837.492 € - diesbezügliche Materialkosten 33.754.065 € = 37.083.427 €.

Der erstattungsfähige Betriebsunterbrechungsschaden errechnet sich damit wie folgt:

Deckungsbeitrag pro Jahr

Deckungsbeitrag pro Monat

2020

30.979.922 €

2.581.660 €

2021

37.083.427 €

3.090.286 €

Einbuße pro Monat


508.626 €

Einbuße Juni 2020 bis
Oktober 2020 (5 Monate)


2.543.130 €

abzüglich Sub-Selbstbehalt
12 Stunden
gemäß Police Seite 3
(2.543.130 € : 108
Arbeitstage Juni bis Okt.
2020 = 23.547,50 €, bei
achtstündigem Arbeitstag,
12 Std daher 23.547,50 € x 1,5)


- 35.321 €

Ergibt


2.507.809 €

Infolge des Cyberangriffs vom 29./30.05.2020 war der Betrieb der Klägerin von Juni 2020 bis Oktober 2020 unterbrochen (5 Monate) und somit für einen Zeitraum, der innerhalb der Haftzeit von 12 Monaten liegt. Soweit die Beklagte erstmals mit Schriftsatz vom 04.05.2023 mit Nichtwissen bestreitet, dass die Betriebsunterbrechung erst im Oktober 2020 endete (Bl. 570 d.A.), ist dies wegen Verspätung nach § 296a Satz 1 ZPO wiederum aus prozessualen Gründen unbeachtlich.

Bezüglich des Sub-Selbstbehalts von 12 Stunden (vgl. Seite 3 der Police, Anlage K 1) ist der im Unterbrechungszeitraum eingebüßte Betrag (2.543.130 €) durch die Anzahl der Arbeitstage im betreffenden Zeitraum zu teilen. Abzüglich Wochenenden und gesetzlicher Feiertage, die nicht auf das Wochenende fielen, gab es im Zeitraum Juni bis Oktober 2020 insgesamt 108 Arbeitstage. Wenn man von einem achtstündigen Arbeitstag ausgeht, ist der so ermittelte Betrag auf 12 Stunden hochzurechnen.

Insgesamt ergibt sich unter Berücksichtigung des Sub-Selbstbehalts ein zu erstattender Betriebsunterbrechungsschaden von 2.507.809 €.

b. Sachschaden an IT-Geräten, Daten und Software

Die Klägerin hat Anspruch auf Ersatz des geltend gemachten Sachschadens an IT-Geräten, Daten und Software (vgl. Tabelle auf Seite 11f der Klageschrift, Bl. 11f d.A., Anlagenkonvolut K 3) in Höhe von 322.040,58 €.

aa. Der Erstattungsanspruch folgt aus A4-2.1 AVB (bzgl. Daten) bzw. A4-3.1 AVB (bzgl. Sachen). Versicherungsschutz besteht danach für notwendige Aufwendungen zur Wiederherstellung der betroffenen Daten sowie für die Entfernung der Schadsoftware bzw. zur Reparatur, Wiederherstellung oder Wiederbeschaffung der versicherten Sachen.

bb. Es kann dahin stehen, ob die Regelungen in C2.3.3 AVB (bzgl. IT-Geräten), C2.4.3 AVB (bzgl. Maschinen und technischen Anlagen), C2.5.3 AVB (bzgl. Betriebseinrichtung), C3.3.3 und C3.4.3 (bzgl. Reparatur oder Austausch von mitversicherten Sachen als Folge aus der Beeinträchtigung, Beschädigung oder Unbrauchbarmachung von Software und Daten), wonach Voraussetzung eines Erstattungsanspruchs ist, dass die Leistungen durch die [...] GmbH beauftragt und gesteuert wurden, den Versicherungsnehmer entgegen den Geboten von Treu und Glauben unangemessen benachteiligen im Sinne des § 307 Abs. 1 Satz 1 BGB oder überraschend im Sinne des § 305c Abs. 1 BGB sind, wenn - wie hier - eine Regulierung durch den Versicherer abgelehnt wird. Denn die Klägerin hat unwidersprochen vorgetragen, dass die Maßnahmen von der [...] GmbH (mit-)initiiert und koordiniert wurden.

cc. Entgegen der Auffassung der Beklagten ist weder eine Sachsubstanzschädigung erforderlich, noch dass die beschädigten Sachen im Eigentum der Klägerin standen.

Der Begriff der Beschädigung wird in A460 des Glossars als jede Einwirkung auf eine Sache, die ihre stoffliche Zusammensetzung negativ verändert oder ihre bestimmungsgemäße Brauchbarkeit nicht nur geringfügig beeinträchtigt, definiert. Ausdrücklich ist dort bestimmt, dass eine Substanzverletzung nicht erforderlich ist.

Gemäß A4-3.2 Absatz 2 AVB werden geleaste oder gemietete IT-Geräte beziehungsweise Maschinen und technische Anlagen solchen Sachen gleichgestellt, die sich im Eigentum des Versicherungsnehmers befinden.

dd. Der Einwand der Beklagten, die geltend gemachten Aufwendungen seien teils nicht notwendig, da die Klägerin insoweit nicht nur den Zustand vor dem Cyber-Angriff wiederhergestellt, sondern darüber hinaus Verbesserungen vorgenommen habe, greift nicht durch.

Die diesbezügliche Darlegungs- und Beweislast liegt bei der Beklagten. Nach der Formulierung der Ziffer A4-2.4.2 Satz 2 AVB (“Der Versicherer leistet keine Entschädigung für: a. Mehrkosten (A231) durch Änderungen oder Verbesserungen, die über die Wiederherstellung hinausgehen“) handelt es sich um eine Ausnahme von Satz 1, welcher die grundsätzliche Erstattungspflicht des Versicherers statuiert (“Der Versicherer leistet Entschädigung in Höhe der notwendigen Aufwendungen ...“).

Dem Vortrag der Klägerin, soweit Verbesserungen erfolgt seien, seien diese technisch nicht vermeidbar gewesen, ist die Beklagte erst mit nicht nachgelassenen Schriftsätzen nach der letzten mündlichen Verhandlung entgegengetreten, welche nach § 296a Satz 1 ZPO unbeachtlich sind.

ee. Der Anspruch der Klägerin ist auch nicht auf den Zeitwert begrenzt. Zwar ist nach A4-3.5 Ziff. 1 lit. a AVB der Neuwertanteil nur geschuldet, wenn die Wiederbeschaffung der vom Schaden betroffenen, versicherten Sachen innerhalb von zwölf Monaten nach Eintritt des Versicherungsfalles erfolgt. Sämtliche von der Klägerin im Anlagenkonvolut K 3 vorgelegten Rechnungen wurden jedoch innerhalb eines Jahres ab dem Versicherungsfall (29./30.05.2020) gestellt, so dass die abgerechneten Leistungen ebenfalls innerhalb Jahresfrist erfolgt sind.

ff. Gemäß A4-3.5 Ziff. 1 lit. c AVB macht die Klägerin jeweils (nur) den Rechnungsbetrag ohne Umsatzsteuer geltend.

gg. Weiterer Vortrag der Beklagten, mit welchem einzelne Rechnungen/ Rechnungspositionen sowie die Bezahlung der vorgelegten Rechnungen bestritten und deren Prüffähigkeit gerügt wird, insbesondere auch die Vorlage der gutachterlichen Stellungnahmen zur Rechnungsprüfung gem. den Anlagen BLD 11 und BLD 12, ist nach der letzten mündlichen Verhandlung mit nicht nachgelassenen Schriftsätzen erfolgt und daher nach § 296a Satz 1 ZPO unbeachtlich.

hh. Insgesamt ist ein Betrag in Höhe von 322.540,58 € grundsätzlich erstattungsfähig. Hiervon ist allerdings gemäß Seite 3 der Police (Anlage K1) der vereinbarte Sub-Selbstbehalt von 500 € abzuziehen. Zu erstatten ist daher ein Schaden in Höhe von 322.040,58 €.

c. Schadensminderungsmaßnahmen

Die Klägerin kann gemäß §§ 83 Abs. 1 Satz 1, 82 Abs. 1 VVG Ersatz in Höhe von 29.073,96 € für diejenigen Aufwendungen verlangen, welche sie unter Anleitung der [...] GmbH getätigt hat, um die Betriebsunterbrechung so rasch wie möglich zu beenden (s. Tabelle auf Seite 14 der Klageschrift, Bl. 14 d.A., Rechnungen in Anlage K 5). Soweit die Beklagte mit Schriftsatz vom 04.05.2023 (dort Seite 20, Bl. 571 d.A.) mit Nichtwissen bestritten hat, dass die aufgeführten Arbeiten zur Schadenminimierung objektiv erforderlich waren und die Kosten angemessen und ortsüblich sind, ist dieser Vortrag einerseits verspätet gemäß § 296a Satz 1 ZPO und anderseits prozessual unzulässig, da diese Aufwendungen gemäß den Schadenmanagementklauseln der AVB (siehe oben unter b. bb.) unter Mitwirkung der [...] GmbH erfolgt sind. Die Tätigkeit der [...] GmbH ist der Beklagten zuzurechnen, so dass ein Bestreiten mit Nichtwissen gemäß § 138 Abs. 4 ZPO ausscheidet.

d. Kosten der Schadensfeststellung

Dagegen hat die Klägerin keinen Anspruch auf Erstattung der geltend gemachten Kosten der Schadensfeststellung (s. Tabelle auf Seite 14 der Klageschrift, Bl. 14 d.A.).

Es fehlt hierzu an hinreichendem Vortrag bzw. an einem Beweisantritt seitens der darlegungs- und beweisbelasteten Klägerin. Die Klägerin trägt vor, ihr Geschäftsführer sowie zwei Mitarbeiter aus dem Bereich Controlling seien mehrere Tage im Einsatz gewesen, um den Schaden festzustellen, und verweist auf eine Tabelle der ausgefallenen Personentage (Anlage K4), welche die Klägerin bereits der (ersten) Berechnung des Betriebsunterbrechungsschadens zugrunde gelegt hat. Die Beklagte hat diesen Vortrag als unsubstantiiert zurückgewiesen und die Anzahl der Mitarbeiter und der Ausfalltage bestritten, insbesondere dass diesbezüglich auch noch ein Jahr nach dem Schadensfall Personentage angefallen sein sollen. Weiterer Vortrag der Klägerin ist nicht erfolgt. Im Übrigen ist darauf hinzuweisen, dass ausgefallene Personentage bereits in die Ermittlung des Unterbrechungsschadens eingeflossen sind. Dass dem Geschäftsführer oder den Mitarbeitern der Klägerin schadensbedingt über das normale Gehalt hinaus eine zusätzliche Vergütung bezahlt worden wäre, wird von der Klägerin nicht behauptet.

e. Kosten für Gutachten der [...] GmbH

Schließlich hat die Klägerin keinen Anspruch auf Erstattung der Kosten des vorgerichtlich eingeholten Gutachtens der [...] GmbH (vgl. Rechnungen Anlage K 6). Es fehlt an einer Anspruchsgrundlage.

Zwar ist gemäß Seite 2 der Police (Anlage K1) der Baustein „Kosten eigener Sachverständiger“ mitversichert. Nach C5.1.1 AVB betrifft dies allerdings nur die im Rahmen des Sachverständigenverfahrens gemäß AVB anfallenden Gutachterkosten. Es bleibt daher bei der allgemeinen Regelung des § 85 Abs. 2 VVG. Danach hat der Versicherer Kosten, die dem Versicherungsnehmer durch die Zuziehung eines Sachverständigen entstehen, nicht zu erstatten, es sei denn, der Versicherungsnehmer ist zu der Zuziehung vertraglich verpflichtet oder vom Versicherer aufgefordert worden. Da die genannten Ausnahmen nicht vorliegen, bleibt es bei dem Grundsatz, dass diese Kosten nicht erstattungsfähig sind.

f. allgemeiner Selbstbehalt

Ein weiterer Selbstbehalt ist nicht abzuziehen. Zwar ist gemäß Seite 2 der Police (Anlage K1) ein allgemeiner Selbstbehalt (sog. Policen-Selbstbehalt) von 25.000 € vereinbart. Aus A1-15.2 AVB ergibt sich jedoch, dass es sich dabei um einen Mindest-Selbstbehalt handelt. Die bisherigen zu berücksichtigenden Sub-Selbstbehalte addieren sich auf 35.821 € (= Betriebsunterbrechung 35.321 € + Sachschaden 500 €), so dass der allgemeine Selbstbehalt aufgrund dieser speziellen Selbstbehalte bereits abgegolten ist.

5. Der Anspruch der Klägerin ist nicht wegen grob fahrlässiger Herbeiführung des Versicherungsfalls zu kürzen.

Nach § 81 Abs. 2 VVG, auf welchen sich die Beklagte berufen hat, ist der Versicherer berechtigt, seine Leistung in einem der Schwere des Verschuldens des Versicherungsnehmers entsprechenden Verhältnis zu kürzen, wenn der Versicherungsnehmer den Versicherungsfall grob fahrlässig herbeigeführt hat.

a. Der gerichtliche Sachverständige hat mehrere denkbare Maßnahmen aufgeführt, durch welche der Cyber-Angriff verhindert oder zumindest erschwert worden wäre. Hier sind insbesondere die Zwei-Faktoren-Authentifizierung und das sog. Monitoring zu nennen. Bei der Zwei-Faktoren-Authentifizierung ist neben dem Passwort eine weitere Komponente für die Anmeldung beim Netzwerk erforderlich. Diese weitere Komponente wird etwa über einen USB-Stick oder aber über eine App für das Handy bereitgestellt (Protokoll vom 28.04.2023 Seite 4, Bl. 586 d.A.). Das Monitoring schlägt Alarm, wenn Unregelmäßigkeiten auftreten, also etwa alle Server zeitgleich angegriffen werden, indem ein Mitarbeiter der Firma verständigt wird, etwa per SMS über das Handy. Dieser Mitarbeiter ist dann verpflichtet, sich beim System anzumelden und Überprüfungen vorzunehmen. Sollte dabei ein Angriff entdeckt werden, können, falls notwendig, alle Server vom Netz genommen werden, um Schlimmeres zu verhindern (Protokoll vom 28.04.2023 Seite 5, Bl. 587 d.A.).

b. Die Norm des § 81 Abs. 2 VVG ist vorliegend jedoch bereits nicht anwendbar, weshalb eine Kürzung ausscheidet.

Der Anwendungsbereich des § 81 Abs. 2 VVG ist dann nicht eröffnet, wenn die betreffende Gefahrenlage bereits bei Vertragsschluss bestand und bereits Grundlage der Risikoprüfung des Versicherers war bzw. hätte sein können (OLG Hamm, Urteil vom 18. Mai 1988 – 20 U 232/87, Rn. 39, juris, zu § 61 VVG a.F.; Prölss/Martin/Armbrüster, 31. Aufl. 2021, VVG § 81 Rn. 15; BeckOK VVG/Klimke, 18. Ed. 1.2.2023, VVG § 81 Rn. 9; ähnlich BGH NJW 1965, 156, 157). So liegt der Fall hier. Bei der Klägerin hat sich die Risikolage bis zum 29./30.05.2020 gegenüber dem Zustand bei Vertragsschluss im April 2020 nicht geändert. Denn bereits damals verfügte die Klägerin weder über eine Zwei-Faktoren-Authentifizierung noch über ein Monitoring oder eine andere vergleichbare Maßnahme zur Vermeidung von Cyber-Angriffen. Die Beklagte hätte es selbst in der Hand gehabt, die Existenz solcher zusätzlichen Sicherheitsmaßnahmen durch passende Risikofragen abzuklären. Indem die Beklagte hierauf verzichtete, hat sie die Klägerin als Versicherungsnehmerin mit der bestehenden Risikolage akzeptiert und kann von Beginn an bestehende Risiken nicht über § 81 Abs. 2 VVG (ganz oder teilweise) der Versicherungsnehmerin aufbürden. Zu einer Abänderung, insbesondere Verbesserung der bei Vertragsschluss bestehenden Risikolage ist der Versicherungsnehmer nämlich nicht verpflichtet (OLG Hamm, Urteil vom 18. Mai 1988 – 20 U 232/87, Rn. 39, juris, zu § 61 VVG a.F.). Diese Überlegungen gelten auch nach der VVG-Reform fort und finden daher auf § 81 VVG ebenso Anwendung wie auf § 61 VVG a.F. (vgl. zum neuen Recht: BeckOK VVG/Klimke, 18. Ed. 1.2.2023, VVG § 81 Rn. 9; Prölss/Martin/Armbrüster, 31. Aufl. 2021, VVG § 81 Rn. 15; anders wohl Langheid/Wandt/Looschelders, 3. Aufl. 2022, VVG § 81 Rn. 26).

6. Der Anspruch ist nach §§ 286 Abs. 1, Abs. 2 Nr. 3, 288 Abs. 1 BGB ab dem 05.06.2020 mit dem gesetzlichen Zinssatz zu verzinsen. Die Beklagte hat mit dem Rücktrittsschreiben vom 04.06.2020 (Anlage K 7) die Leistung aus dem Versicherungsvertrag ernsthaft und endgültig verweigert und befindet sich daher ab dem Folgetag im Verzug (BGH, 27.09.1989 – IVa ZR 156/88, VersR 1990, 153; Armbrüster, in Prölss/Martin, Versicherungsvertragsgesetz, 31. Auflage 2021, § 14 Rn. 29 m.w.N.).


Den Volltext der Entscheidung finden Sie hier:


BGH: Ausübung des Widerrufsrechts nach § 5a Abs. 1 Satz 1 VVG a.F. kann bei einem geringfügigen Belehrungsfehler gegen Treu und Glauben verstoßen

BGH
Urteil vom 15.02.2023
IV ZR 353/21
BGB § 242; VVG § 5a Abs. 1 Satz 1 a.F.


Der BGH hat entschieden, dass die Ausübung des Widerrufsrechts nach § 5a Abs. 1 Satz 1 VVG a.F. bei einem geringfügigen Belehrungsfehler gegen Treu und Glauben verstoßen kann.

Leitsatz des BGH:
Die Ausübung des Widerspruchsrechts gemäß § 5a Abs. 1 Satz 1 VVG a.F. (hier: Fassung vom 13. Juli 2001) verstößt gegen Treu und Glauben (§ 242 BGB), wenn ein geringfügiger Belehrungsfehler vorliegt, durch den dem Versicherungsnehmer nicht die Möglichkeit genommen wird, sein Widerspruchsrecht im Wesentlichen unter denselben Bedingungen wie bei zutreffender Belehrung auszuüben (hier: Schriftform statt Textform).

BGH, Urteil vom 15. Februar 2023 - IV ZR 353/21 - Kammergericht LG Berlin

Den Volltext der Entscheidung finden Sie hier:

OLG Düsseldorf: "Service Calls" eines Versicherungsmaklers die auch die Wechselwilligkeit des Kunden abfragen sind Werbung im Sinne von § 7 Abs. 2 Nr. 2 UWG

OLG Düsseldorf
Urteil vom 19.09.2019
15 U 37/19


Das OLG Düsseldorf hat entschieden, dass "Service Calls" eines Versicherungsmaklers, die auch die Wechselwilligkeit des Kunden abfragen, Werbung im Sinne von § 7 Abs. 2 Nr. 2 UWG sind.

Aus den Entscheidungsgründen:

"b) Eine unzumutbare Belästigung i.S.v. § 7 Abs. 1 S. 1 UWG ist stets u.a. bei einer Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung anzunehmen (§ 7 Abs. 2 Nr. 2 UWG).

aa) Unstreitig rief die Verfügungsbeklagte zu 1) den Geschäftsführer der Verfügungsklägerin mehrfach in dessen Eigenschaft als einem Verbraucher zwecks Durchführung sog. „Service Calls“ an. Entgegen der Berufung stellen entsprechende „Service Calls“ - wie die Verfügungsbeklagte zu 1) sie durchführt - „Werbung“ i.S.v. § 7 Abs. 1 S. 2, Abs. 2 Nr. 2 UWG dar.

(1) Der Begriff der Werbung ist im UWG nicht legaldefiniert. Er ist grundsätzlich dem Begriff der „Direktwerbung“ in Art. 13 Abs. 3 Datenschutz-RL 2002/58/EG zuzuordnen, da § 7 Abs. 2 Nr. 2 UWG der Umsetzung dieser Bestimmung dient. Unter Direktwerbung ist eine Werbung zu verstehen, die sich unmittelbar an einen Marktteilnehmer wendet, wie dies bei der Telefonwerbung der Fall ist. Da die Richtlinie (nachfolgend kurz: “RL“) 2002/58/EG den Begriff der (Direkt-) Werbung nicht selbst definiert hatte, ist davon auszugehen, dass der europäische Gesetzgeber ihn seinerzeit i.S.d. Art. 2 Nr. 1 Irreführungs-RL 84/450/EWG verstanden wissen wollte (Köhler, in: Köhler/Bornkamm/Feddersen, UWG, 37. A., 2019, § 7 Rn. 129), welche unverändert in Art. 2 lit. a Werbe-RL 2006/114/EG übernommen worden ist und wie folgt lautet:

„‚Werbung‘ ist jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen zu fördern.“

In diesem Sinne ist daher grundsätzlich auch der Begriff der Werbung in § 7 Abs. 2 Nr. 2 UWG zu verstehen (BGH GRUR 2009, 980 Rn. 13 – E-Mail-Werbung II; BGH WRP 2013, 1579 Rn. 17 – Empfehlungs-E-Mail; BGH WRP 2016, 958 Rn. 27 – Freunde finden).

Allerdings ist der Anwendungsbereich der Werbe-RL 2006/114/EG auf Gewerbetreibende beschränkt und bezieht sich daher nicht auf „Verbraucher“. Im Hinblick auf letztere ist daher grundsätzlich die UGP-RL heranzuziehen, die in Art. 2 lit. d UGP-RL die Werbung als Unterfall der „kommerziellen Mitteilung“ bzw. in Art. 7 Abs. 5 UGP-RL als Unterfall der „kommerziellen Kommunikation“ versteht (vgl. dazu die Definition der „kommerziellen Kommunikation“ in Art. 2 lit. f RL 2000/31/EG). Darunter fällt nicht nur die unmittelbar produktbezogene Werbung, sondern auch die mittelbare Absatzförderung, etwa durch Imagewerbung oder Sponsoring (vgl. BGH WRP 2016, 958 Rn. 27 – Freunde finden). Von einem Ziel der Äußerung, den Absatz von Waren oder Dienstleistungen zu fördern, ist auszugehen, wenn sie objektiv darauf gerichtet ist, durch Beeinflussung der geschäftlichen Entscheidung des Verbrauchers (oder sonstigen Marktteilnehmers) den Absatz zu fördern (BGH WRP 2013, 1183 Rn. 17, 18 – Standardisierte Mandatsbearbeitung). Insoweit ist der Begriff der geschäftlichen Entscheidung weit auszulegen (vgl. OLG Frankfurt WRP 2016, 1544 Rn. 18; Köhler, a.a.O. Rn. 129).

Das Ziel der Förderung des Absatzes oder Bezugs von Waren oder Dienstleistungen ist stets gegeben, wenn der Angerufene unmittelbar zu einem Geschäftsabschluss bestimmt werden soll. Dazu genügt es, wenn im Rahmen eines bestehenden Vertragsverhältnisses die Fortsetzung oder Erweiterung der Vertragsbeziehung angestrebt wird. Das ist z.B. der Fall, wenn es um die Versicherung eines weiteren Risikos oder die Erhöhung der Versicherungssumme geht (vgl. BGH GRUR 1995, 220 – Telefonwerbung V; OLG Frankfurt GRUR-RR 2013, 74 (75)). Ein Werbezweck liegt aber auch dann vor, wenn der Anruf bloß mittelbar das Ziel verfolgt, den Absatz oder Bezug von Waren oder Dienstleistungen zu fördern, z.B. mittels eines Anrufes zu dem Zweck, die Aufmerksamkeit des Verbrauchers auf ein bestimmtes Produkt zu lenken (OLG Stuttgart NJW-RR 2002, 767 (768); OLG Frankfurt WRP 2016, 1544 Rn. 18).

Kundenzufriedenheitsanfragen sind nach der Rechtsprechung des Bundesgerichtshofs Werbung, weil sie jedenfalls auch dazu dienen, Kunden zu behalten und damit künftige Geschäftsabschlüsse zu fördern (BGH WM 2018, 1853 Rn. 18; ebenso: OLG Köln GRUR-RR 2014, 80 (82); OLG Dresden GRUR-RR 2016, 462; KG GRUR-RR 2017, 245). Dies gilt erst recht, wenn der werbliche Charakter des Anrufs dadurch verschleiert wird, dass er als Kundenbefragung bezeichnet wird (OLG Köln GRUR-RR 2014, 80 (82)). Unerheblich ist es, wenn die Anfrage mit einem anderen Anliegen verknüpft wird. Insoweit verfängt die abweichende Auffassung der Verfügungsbeklagten zu 1), wonach anderes gelte, wenn sonstige Beweggründe im Vordergrund stehen, nicht.

(2) Die vorstehend referierte Rechtsprechung zu Kundenzufriedenheitsanfragen hat das Landgericht zu Recht auf die hier streitgegenständlichen „Service Calls“ erstreckt.

(2.1) Namentlich steht dem nicht entgegen, dass die Verfügungsbeklagte zu 1) - wie die Berufung vergeblich geltend macht -, gesetzlich zur Vertragsbetreuung gehalten sei, was die Erkundigung nach der Zufriedenheit des Kunden einschließe. Keineswegs ist es „evident“, dass mit den „Service Calls“ keinerlei werbliche Absichten verbunden (gewesen) seien. Auch wenn derartige “Service Calls“ (teilweise) ohne Berücksichtigung „neuer Angebote“ erfolgen sollten, geht es nichts desto trotz ersichtlich darum, die Wechselwilligkeit des Kunden zu überprüfen und bei sich erweisendem Bedarf diesem entsprechende Angebote zu übermitteln. So räumen die Verfügungsbeklagten selbst ein, dass der Dienst als Makler angedient werde, wenn der Kunde im Rahmen des „Service Calls“ seinen „dringenden Änderungsbedarf anmeldet“. Jedenfalls dienen die Service Calls damit (auch) dazu, künftige Vertragsschlüsse zu erleichtern.

(2.2) Die hier vertretene Sichtwiese behindert die Verfügungsbeklagte zu 1) keineswegs (unbillig) in der Erfüllung der sie - in ihrer Rolle als Versicherungsmaklerin - ggf. treffenden gesetzlichen Verpflichtungen zur „Nachbetreuung“:

Nach § 61 Abs. 1 S. 1 VVG hat der Versicherungsvermittler den Versicherungsnehmer, soweit nach der Schwierigkeit, die angebotene Versicherung zu beurteilen, oder der Person des Versicherungsnehmers und dessen Situation hierfür Anlass besteht, nach seinen Wünschen und Bedürfnissen zu befragen und, auch unter Berücksichtigung eines angemessenen Verhältnisses zwischen Beratungsaufwand und der vom Versicherungsnehmer zu zahlenden Prämien, zu beraten sowie die Gründe für jeden zu einer bestimmten Versicherung erteilten Rat anzugeben. Es kann für die Entscheidung des vorliegenden Falles ausdrücklich dahinstehen, ob sich aus § 61 Abs. 1 S. 1 VVG, welcher ausweislich der Legaldefinition des § 59 Abs. 1 VVG auch für Versicherungsmakler wie die Verfügungsbeklagte zu 1) gilt, eine gesetzliche Pflicht des Versicherungsmaklers zu einer (Nach-)Betreuung seines Kunden ergibt.

Selbst wenn die Verfügungsbeklagte zu 1) entsprechend zu einer (Nach-)Betreuung gesetzlich verpflichtet sein sollte, hat sie ihre korrespondierenden Pflichten in jedem Falle im Einklang mit dem Wettbewerbsrecht zu erfüllen. Etwaige versicherungsrechtliche Betreuungspflichten dispensieren nicht von gleichrangigen gesetzlichen Pflichten aus dem UWG. Dies bedeutet mit Blick auf den vorliegenden Einzelfall, dass ein Versicherungsmakler in Erfüllung seiner Betreuungspflichten kein unlauteres Werbeverhalten an den Tag legen darf. Kommt er seiner (etwaigen) auf versicherungsrechtlicher Basis beruhenden Betreuungspflicht nach, indem er den Kunden telefonisch kontaktiert, darf er diese telefonische Kontaktaufnahme gem. § 7 Abs. Nr. 2 UWG nur dann für eine (mittelbare) Werbung nutzen, wenn er zuvor eine ausdrückliche Einwilligung des Kunden eingeholt hat. Demzufolge hat der Versicherungsmakler im hier interessierenden Kontext folgende Wahl, um seinen versicherungs- und wettbewerbsrechtlich begründeten Verpflichtungen im Rahmen von „Service Calls“ kumulativ genügen zu können: Er kann eine telefonische Kontaktaufnahme zum Kunden durch die vorherige ausdrückliche Einwilligung legitimieren lassen. In Ermangelung einer vorherigen ausdrücklichen Einwilligung kann er alternativ einen anderen Kommunikationsweg anstelle der in § 7 Abs. 2 Nr. 2 und 3 UWG genannten Kontaktwege wählen.

bb) Die Telefonwerbung der Verfügungsbeklagten zu 1) erfolgte ohne die nach alledem erforderliche vorherige ausdrückliche Einwilligung des Geschäftsführers der Verfügungsklägerin.

(1) Mit dem Begriff „ausdrücklich“ soll in § 7 Abs. 2 Nr. 2 UWG klargestellt werden, dass eine konkludente Einwilligung nicht genügt. Art. 2 lit. f RL 2002/58/EG verwies auf die Definition der Einwilligung der betroffenen Person iSd Art. 2 lit. h RL 95/46/EG, welche lautet:

„jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.“

Die RL 95/46/EG wurde allerdings mit Wirkung vom 25.5.2018 durch die DS-GVO aufgehoben und Verweise auf diese Richtlinie gelten nach Art. 94 I DS-GVO als Verweise auf diese VO, die ab dem 25.5.2018 gilt. Dementsprechend ist ab diesem Zeitpunkt die Definition der Einwilligung in Art. 4 Nr. 11 DS-GVO maßgebend, die wie folgt lautet:

„jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.

Hier fand der letzte streitgegenständliche „Service Call“ am 05.09.2018 statt, so dass zumindest dieser an der DS-GVO zu messen ist.

„Ausdrücklich“ i.S.v. § 7 Abs. 2 Nr. 2 UWG ist - unabhängig davon, welche VO hier anzuwenden ist - keinesfalls gleichbedeutend mit „schriftlich“. Die Einwilligung kann vielmehr auch formlos, insbesondere elektronisch oder (fern)mündlich (OLG Köln GRUR-RR 2013, 219 (221)) oder durch Anklicken eines Kästchens (Erwägungsgrund 32 DS-GVO) erfolgen.

Die Darlegungs- und Beweislast für das Vorliegen einer vorherigen ausdrücklichen Einwilligung trägt der Werbende (BGH GRUR 2004, 517 (519) – E-Mail-Werbung I; BGH WRP 2013, 1579 Rn. 24 – Empfehlungs-E-Mail). Für den Nachweis der Einwilligung ist deren vollständige Dokumentation erforderlich. Erst wenn der Werbende seiner Darlegungslast genügt, obliegt es wieder dem anderen Teil darzulegen, dass dennoch kein Einverständnis mit Werbeanrufen erklärt worden sei (BGH WRP 2011, 1153 Rn. 40 – Double-opt-in-Verfahren).

(2) Der Verfügungsbeklagten zu 1) ist die demnach ihr obliegende Glaubhaftmachung einer vom Geschäftsführer der Verfügungsklägerin zuvor erteilten ausdrücklichen Einwilligung nicht gelungen.

Substanzlos sind in diesem Zusammenhang die Ausführungen der Verfügungsbeklagten zu 1) zu einer angeblichen Überraschungsentscheidung des Landgerichts. Dass das Landgericht die Voraussetzungen für einen Verstoß gegen § 7 Abs. 2 Nr. 2 UWG als erfüllt ansah, ergab sich bereits vor dem Zeitpunkt der Verhandlung über den Widerspruch klar aus dem Umstand der zuvor erlassenen Beschlussverfügung. Insofern hatte u.a. die Verfügungsbeklagte zu 1) hinreichenden Grund, sich darauf vorzubereiten, die Erteilung der notwendigen vorherigen Einwilligung (ggf. mit präsenten Beweismitteln) glaubhaft machen zu müssen.

Letztlich kann diese Frage ebenso dahinstehen wie diejenige, ob § 531 ZPO im einstweiligen Rechtsschutz Anwendung findet (vgl. zum Streitstand: Cassardt, in: Cepl/Voß, Prozesskommentar zum Gewerblichen Rechtsschutz, 2. A., 2018, § 530 Rn. 18 m. umfangreichen Nachweisen). Denn selbst wenn man das neue und bestrittene Vorbringen der Verfügungsbeklagten zu 1) zu den erstmals in der Berufungsinstanz überreichten Anlagen B 1 und B 2 berücksichtigt, ist es keineswegs überwiegend wahrscheinlich, dass der Geschäftsführer der Verfügungsklägerin noch vor dem ersten streitgegenständlichen „Service Call“ im Jahre 2014 eine entsprechende (wirksame) Einwilligung abgegeben hatte.

(2.1) Wie die Verfügungsklägerin - gegenbeweislich - durch eidesstattliche Versicherung ihres Geschäftsführers (Anlage AS 13) glaubhaft gemacht hat, fand der „Service Call“ am 07.08.2014 um 15:41 Uhr statt und damit zeitlich vor der behaupteten Registrierung (vgl. Screenshot gem. Anlage B 2) des Geschäftsführers der Verfügungsklägerin auf der Webseite der Verfügungsbeklagten zu 1) um 17:14 Uhr. Überdies waren dem Geschäftsführer der Verfügungsklägerin vor seiner angeblichen Registrierung bereits die Unterlagen der …..-Versicherung zugegangen. Soweit die Verfügungsbeklagte zu 1) mutmaßt, der Geschäftsführer der Verfügungsklägerin habe auch noch Vermittlungsleistungen anderer Versicherungsmakler in dieser Zeit beansprucht und diese Unterlagen deshalb vorher erhalten, erfolgt dies ersichtlich „ins Blaue hinein“. Belastbare objektive Anhaltspunkte für diese Behauptung sind weder dargetan noch sonst wie ersichtlich.

Zudem ergibt sich aus der Anlage B2 in keiner Weise, dass diese auf einer - bestrittenen - Registrierung seitens des Geschäftsführers der Verfügungsklägerin beruht und dieser in Kenntnis der Sachlage auf den konkreten Fall bezogen (wissentlich) sein Einverständnis mit einem Telefonanruf erklärt hatte. Die Anlage B2 enthält zwar Angaben in der Rubrik „submitted“ sowie Anrede, Name, Telefonnummer und Mailadresse. Wer diese tabellarische Liste erstellt hat und wie sie zustande gekommen ist, ist allerdings nicht erkennbar. Es handelt sich bloß um einen (undatierten) Screenshot, dem nicht zu entnehmen ist, wer die Inhalte/Daten eingepflegt hat, auf welchem Vorgang die Einträge beruhen und wer oder was dort eigentlich „submitted“ worden ist. Es handelt sich augenscheinlich um eine Datei/Tabelle, die nur von den Verfügungsbeklagten eingesehen und bearbeitet werden kann. Die Tabelle ist auch nicht mit einem „Häkchen“ im Rahmen eines Opt-in oder Opt-out-Verfahrens vergleichbar. Eine Einverständniserklärung in elektronischer Form ist damit nicht nachgewiesen.

Das nach alledem allenfalls anzunehmende „non liquet“ in Bezug auf die Behauptung der Existenz der erforderlichen vorherigen Einwilligung seitens des Geschäftsführers der Verfügungsklägerin geht zu Lasten der beweisbelasteten Verfügungsbeklagten zu 1).

(2.2) Soweit die Verfügungsbeklagte zu 1) ihren Vortrag zum Einverständnis (auch) auf Anlage B1 gestützt hat, verhilft ihr auch das nicht zum Erfolg.

Eine Einwilligung gem. § 7 Abs. 2 Nr. 2 UWG kann zwar grundsätzlich auch durch Inkorporierung Allgemeiner Geschäftsbedingungen („AGB“) erfolgen. Eine Einwilligung ist jedoch nur wirksam, wenn sie in Kenntnis der Sachlage und für den konkreten Fall erklärt wird. Dies setzt voraus, dass der Verbraucher hinreichend auf die Möglichkeit von Werbeanrufen hingewiesen wird und weiß, auf welche Art von Werbemaßnahmen und auf welche Unternehmen sich seine Einwilligung bezieht (BGH GRUR 2013, 531 – Einwilligung in Werbeanrufe II; BGH WRP 2017, 100; BGH GRUR 2018, 545 – mehrere Werbekanäle).

Diesen Anforderungen genügt das als Anlage B 1 präsentierte Regelwerk der Verfügungsbeklagten zu 1) keineswegs. Den dortigen Regelungen ist zunächst wiederum nichts zu einem Tätigwerden eines Kunden - geschweige denn des Geschäftsführers der Verfügungsklägerin - zu entnehmen. Es wird im Rahmen der Datenschutzerklärung gem. § 3 bloß gesagt, dass Daten gespeichert werden, und im § 5 wird ein Widerrufsrecht erklärt. Von einer Registrierung, die ausdrücklich ein Einverständnis mit Werbeanrufen beinhaltet, ist demgemäß in den betreffenden AGB der Verfügungsbeklagten zu 1) nicht die Rede. Ebenso wenig ist zu erkennen, dass der Verbraucher bei einer etwaigen Registrierung vorab überhaupt die betreffenden AGB zur Kenntnis erhalten hat und diese so mittels einer Registrierung überhaupt Vertragsgegenstand werden konnten. Nicht ersichtlich ist ferner, dass der Verbraucher überhaupt wissen konnte, dass eine etwaige Registrierung ein Einverständnis darstellen soll und worauf dieses sich bezieht. Der § 3 der Datenschutzerklärung leidet insgesamt darunter, dass in dieser Klausel weder zum Ausdruck kommt, auf welchem Kommunikationsweg (z. B. Anruf, E-Mail, SMS, Post) die Verfügungsbeklagte zu 1) dem Kunden „Informationen“ zukommen lassen will, noch sind die in der Klausel genannten „Dritten“ namentlich benannt oder erklärt, welche Dienstleistungen diese anbieten sollen.

d) Dass die Wiederholungsgefahr mangels Abgabe einer strafbewehrten Unterlassungserklärung nicht entfallen ist, hat das Landgericht rechtsfehlerfrei und unangefochten festgestellt.

BGH: Zur Unzulässigkeit der Unkündbarkeit einer zusammen mit einer Lebens- oder Rentenversicherung abgeschlossenen Kostenausgleichsvereinbarung - Nettopolice

BGH
Urteil vom 12.03.2014
IV ZR 295/13


Die Pressemitteilung des BGH:


"Bundesgerichtshof zur Unzulässigkeit der Unkündbarkeit einer zusammen mit einer Lebens- oder Rentenversicherung abgeschlossenen Kostenausgleichsvereinbarung (sog. Nettopolice)"


Der für das Versicherungsvertragsrecht zuständige IV. Zivilsenat des Bundesgerichtshofs hat entschieden, dass die vereinbarte Unkündbarkeit gesonderter Kostenausgleichsvereinbarungen zwischen Versicherungsnehmer und Versicherer bei Abschluss eines Vertrages über eine fondsgebundene Renten- oder Lebensversicherung unzulässig ist.

In den zur Beurteilung anstehenden Fällen bot die Klägerin, ein in Liechtenstein ansässiger Lebensversicherer, in Deutschland wohnenden Kunden den Abschluss von (fondsgebundenen) Rentenversicherungen an. Die auf einem einheitlichen Formular aufgenommenen Anträge beinhalteten zum einen den Versicherungsvertrag sowie zum anderen eine sogenannte Kostenausgleichsvereinbarung. In dieser verpflichtete sich der Versicherungsnehmer, einen bestimmten Betrag für Abschluss- und Einrichtungskosten in 48 monatlichen Raten an den Versicherer zu zahlen. Im Antrag ist bestimmt, dass die Auflösung des Versicherungsvertrages grundsätzlich nicht zur Beendigung der Kostenausgleichsvereinbarung führt und dass diese auch nicht kündbar ist. Die beklagten Versicherungsnehmer kündigten den Versicherungsvertrag, stellten die Zahlung auf die Kostenausgleichsvereinbarung ein und widerriefen ihre Vertragserklärungen. Die Parteien streiten jeweils mit Klage und Widerklage um die Zahlungsansprüche aus den Verträgen. Die Klägerin verlangt mit ihren Klagen die Zahlung restlicher Abschluss- und Einrichtungskosten gemäß der Kostenausgleichsvereinbarung. Die Versicherungsnehmer begehren im Wege der Widerklage die Rückzahlung der auf die Kostenausgleichsvereinbarung bereits geleisteten Beträge zuzüglich des Rückkaufswertes des Versicherungsvertrages.

In der Sache IV ZR 295/13 haben die Vorinstanzen der Klage stattgegeben und die Widerklage abgewiesen, in der Sache IV ZR 255/13 haben sie die Klage abgewiesen und der Widerklage stattgegeben. Mit ihren von den Berufungsgerichten zugelassenen Revisionen verfolgen die Parteien jeweils ihr Begehren weiter, soweit sie in den Vorinstanzen unterlegen sind.

Der Bundesgerichtshof hat entschieden, dass dem Versicherer kein Zahlungsanspruch aus der jeweiligen Kostenausgleichsvereinbarung mehr zusteht, die Klagen des Versicherers also keinen Erfolg haben. Zwar ist der Abschluss einer Kostenausgleichsvereinbarung, die rechtlich selbständig neben dem Versicherungsvertrag steht, nicht wegen Verstoßes gegen § 169 Abs. 3 Satz 1, § 169 Abs. 5 Satz 2 VVG unwirksam und es liegt auch keine unzulässige Umgehung vor.

Die Versicherungsnehmer waren aber berechtigt, die Kostenausgleichsvereinbarung zu kündigen. Der vereinbarte Kündigungsausschluss der Kostenausgleichsvereinbarung ist unwirksam. Eine Regelung in Allgemeinen Geschäftsbedingungen, nach der die Kostenausgleichsvereinbarung unkündbar ist und der Versicherungsnehmer die Abschlusskosten unabhängig vom Fortbestand des Versicherungsvertrages zu zahlen hat, verstößt wegen unangemessener Benachteiligung des Versicherungsnehmers gegen § 307 Abs. 2 Nr. 2 BGB. Während ein Abzug bei der Verrechnung der Abschlusskosten mit den Prämien allenfalls dazu führen kann, dass der Versicherungsnehmer keinen oder einen nur ganz geringfügigen Rückkaufswert erhält, aber in keinem Fall mit weiteren noch nicht getilgten Abschlusskosten belastet wird, kann die gesonderte Kostenausgleichsvereinbarung, wenn sie als unkündbar ausgestaltet wird, dazu führen, dass der Versicherungsnehmer mit Verbindlichkeiten belastet wird, die über dem Rückkaufswert liegen. Er erhält dann trotz Kündigung der Versicherung wirtschaftlich nicht nur keinen Rückkaufswert, sondern muss weitere Zahlungen an den Versicherer leisten.

Ob in den von den Versicherungsnehmern abgegebenen Erklärungen jeweils eine Kündigung der Kostenausgleichsvereinbarung zu sehen ist, konnte in beiden zur Entscheidung anstehenden Fällen im Ergebnis offen bleiben. Dem Zahlungsanspruch der Klägerin steht jedenfalls der von den Beklagten erklärte Widerruf ihrer auf Abschluss des Versicherungsvertrages gerichteten Willenserklärungen entgegen. Die Beklagten konnten den Vertrag noch widerrufen, da die dreißigtägige Widerrufsfrist noch nicht zu laufen begonnen hatte. Der Beginn der Widerrufsfrist setzt nach § 8 Abs. 2 Satz 1 Nr. 2 VVG eine deutlich gestaltete Belehrung über das Widerrufsrecht und die Rechtsfolgen des Widerrufs voraus. Dies hätte in der Widerrufsbelehrung zum Versicherungsvertrag einen Hinweis erfordert, dass im Falle eines Widerrufs auch der Vertrag über die Kostenausgleichsvereinbarung nicht zustande kommt. Daran fehlte es. Da der wirksame Widerruf auf den Zeitpunkt des Vertragsschlusses zurückwirkt, waren die Widerklagen der Versicherungsnehmer erfolgreich.