R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
BB - Betriebs-Berater
Header Pfeil
Wirtschaftsrecht
09.01.2025
Wirtschaftsrecht
OLG Schleswig: Cyberversicherungsvertrag – Anfechtung wegen arglistiger Täuschung (hier: Falschbeantwortung von Fragen im Risikofragebogen „ins Blaue hinein“)

OLG Schleswig, Hinweisbeschluss vom 14.10.2024 – 16 U 63/24

ECLI:DE:OLGSH:2024:1014.16U63.24.0A

Volltext: BB-Online BBL2025-77-1

unter www.betriebs-berater.de

Redaktioneller Leitsatz

Zur Anfechtung eines Cyberversicherungsvertrags wegen arglistiger Täuschung bei Falschbeantwortung von Fragen im Risikofragebogen „ins Blaue hinein“.

Sachverhalt

I.

Die Klägerin verlangt Leistung aus einer Cyber-Versicherung.

Die Klägerin betreibt in Norddeutschland an 16 Standorten einen Holzgroßhandel mit der Möglichkeit einer online-Bestellung für Ihre ausschließlich gewerblichen Kunden. Zum Betrieb des Workshops wurde ein Web-SQL-Server mit dem Betriebssystem Windows 2008 eingesetzt, für den seit Januar 2020 kein Software- und Sicherheitsupdate mehr bereitgestellt wurde; der Support und damit die Zusatzfunktionen für dieses Programm endeten bereits 2015, einen vom Hersteller angebotenen erweiterten Support- und Update-Vertrag hatte die Klägerin nicht abgeschlossen. Der Server verfügte auch weder über einen Virenscanner noch eine Antiviren-Software. Außerdem wurden mit einem Windows 2003-Betriebssystem neben einem Fax-Server zwei weitere Rechner als Speicherplatz eingesetzt, auf denen die (rund 400) Arbeitsplatzrechner im Betrieb der Klägerin zugreifen konnten; diese Server verfügten ebenfalls nicht über einen Virenscanner. Schließlich befand sich einer der beiden im Unternehmen (alternativ) eingesetzten Domain-Controller DC 09, die der zentralen Authentifizierung von Rechnern und Benutzern im Netz der Klägerin dienten, im Auslieferungszustand vom März 2019, war also seither ohne Aktualisierung oder Sicherheitsupdates geblieben.

Zum 12. März 2020 schloss die Klägerin eine Cyber-Versicherung bei der Beklagten ab, die hierbei von der C. als Assekuradeurin vertreten wurde. Im online-Portal der C. waren für eine von der Klägerin abzugebende Invitatio u.a. folgende sog. Risikofragen zu beantworten:

3. alle stationären und mobilen Arbeitsrechner sind mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet.

4. verfügbare Sicherheit Updates werden ohne schuldhaftes Zögern durchgeführt, und für die Software, die für den Betrieb des IT-Systems erforderlich ist, werden lediglich Produkte eingesetzt, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v.a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme).

Der Zeuge J., Leiter der fünfköpfigen IT-Abteilung der Klägerin, der für diese unter Beteiligung der (mit der C. kooperierenden) Assekuranzmaklerin B. Ba. die Invitatio abgab, bejahte das jeweils.

Am 10. Oktober 2020 kam es bei der Klägerin zu einem Hackerangriff, bei dem Schadsoftware eingeschleust wurde. Ihr IT-System wurde danach heruntergefahren. Die von ihr in Anspruch genommene Beklagte erklärte nach einer forensischen Analyse (Anlage BLD 2 mit u.a. den eingangs dargestellten Ergebnissen zum Status der genannten Rechner) den Rücktritt vom Vertrag und ihre Leistungsfreiheit; mit der Klageerwiderung vom 18. August 2021 hat sie zudem die Anfechtung wegen arglistiger Täuschung erklärt (Bl. 91 LGA).

Mit ihrer am 10. Juni 2021 (Bl. 29 LGA) zugestellten Klage hat die Klägerin zunächst die Feststellung der Verpflichtung der Beklagten zur Gewährung von Deckungsschutz und daneben die Zahlung vorgerichtlicher Rechtsanwaltskosten von 2.810,19 € nebst Rechtshängigkeitszinsen verlangt; mit Schriftsatz vom 5. Februar 2024 (Bl. 342 LGA) hat sie sodann statt der reinen Feststellung die Zahlung von 687.952,23 € (im Termin vom 28. Februar 2024 ob eines kalkulatorischen Fehlers reduziert auf 424.985,52 € [Bl. 386 LGA]), nebst Zinsen seit Zustellung (22. Februar 2024, Bl. 366 LGA) und die Feststellung begehrt, dass die Beklagte ihr auch darüber hinaus Versicherungsschutz zu gewähren habe.

Sie hat behauptet, ihre Invitatio und auch das nachfolgende Angebot der C. hätten ihr nicht, wie aber die Beklagte behauptet hat, als Bestandteil einer E-Mail, sondern nur zum Ausdruck oder Download zur Verfügung gestanden, sodass ihr weder die Fragen in Textform gestellt noch eine Belehrung gemäß § 19 Abs. 5 VVG in dieser Form vorgelegen habe. Sie habe die Risikofragen auch nicht falsch beantwortet; dies, wie sie am Ende noch geltend gemacht hat, schon deshalb nicht, weil die beiden nur als Speicherplatz zur Datenablage genutzten Windows 2003-Server der Web-SQL-Windows 2008-Server und der Domain Controller keine „Arbeitsrechner“ gewesen seien. Jedenfalls habe der Zeuge J. insoweit nicht vorsätzlich oder arglistig gehandelt; für Sicherheitsupdates und Windows-Patches sei der inzwischen verstorbene Mitarbeiter P. zuständig gewesen, auf dessen ordentliche Arbeit er, J., vertraut habe; an die Windows 2003-Rechner habe der Zeuge nicht gedacht. Für die notwendige Erneuerung der IT sei der mit dem Zahlungsantrag verlangte Aufwand entstanden.

Die Beklagte hat sich dem entgegengestellt. Sie hat behauptet, die Angaben der Invitatio seien als Bestandteil des Angebots mit einer (allerdings nicht vorgelegten) E-Mail übersandt worden. Der Zustand der IT der Klägerin sei entgegen ihrer Antworten auf die Risikofragen katastrophal gewesen; daneben hat sie das Fehlen klarer Verantwortung Abgrenzungen und Kontrollmechanismen gerügt. Der Zeuge J., den eine Erkundigungspflicht getroffen habe, habe die Angaben ohne eigene Erkenntnisse ins Blaue hinein und damit arglistig gemacht.

Das Landgericht hat die Klage abgewiesen. Die Klägerin könne Versicherungsleistungen nicht beanspruchen, weil die Beklagte den Versicherungsvertrag wirksam angefochten habe.

Der Zeuge J., dessen Verhalten die Klägerin sich zurechnen lassen müsse, habe (die Einhaltung der Textform dahingestellt) die im Onlineportal sichtbaren Risikofragen jedenfalls hinsichtlich der Nr. 3 (nach der Ausstattung aller Arbeitsrechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware, die sich auf alle für den Betrieb funktionsrelevanten Rechner bezogen habe) und Nr. 4 (nach der Durchführung verfügbarer Sicherheitsupdates ohne schuldhaftes Zögern und Einsatz von Herstellerprodukte dafür) objektiv falsch beantwortet. Tatsächlich sei unstreitig auf einem Windows 2003-Rechner kein Virenschutzprogramm installiert gewesen und seien Sicherheitsupdates des Herstellers für die Klägerin nicht verfügbar gewesen; das gelte auch für den zum Betrieb des Webshops als Verbindung zum Warenwirtschaftssystem eingesetzten Windows 2008-Rechner, bei dem das Sicherheitsupdate abgelaufen gewesen und ein erweiterter Supportvertrag nicht abgeschlossen worden sei; zudem habe der als Web-SQL-Server genutzte Windows 2008-Rechner nicht über einen Virenscanner verfügt; und schließlich seien auch auf dem noch im Auslieferungszustand befindlichen Domaincontroller DC 09 weder Sicherheitsupdates erfolgt noch ein Virenschutz installiert. An der unrichtigen Beantwortung ändere sich auch dadurch nichts, wenn ausreichender Virenschutz über die mit den Windows 2003 verbundenen mobilen Arbeitsplatzrechner vermittelt worden sei oder sich der Windows 2008-SQL-Rechner zum Zeitpunkt des Vertrages in einer demilitarisierten Zone (DMZ) befunden habe; der Klägerin stehe es nicht zu, ohne Offenlegung eine eigene Risikobewertung vorzunehmen.

Der Zeuge J. habe die Fragen ins Blaue hinein unrichtig beantwortet und damit arglistig getäuscht. Soweit er angegeben habe, er habe an den Windows 2003-Server und an den Windows 2008-SQL-Server nicht gedacht oder das (wie er ausgesagt hat) „geflissentlich übersehen“ „bzw. sich auf korrekte Arbeit des verstorbenen Herrn P. bzw. des externen Dienstleisters F. verlassen, liege kein Fall der bloß fahrlässigen Unkenntnis vor, sondern vielmehr der bewussten Unkenntnis im Sinne eines „Na, wenn schon“. Bei den genannten drei Rechnersystemen habe es sich nicht um zum Teil untergeordnete Rechner gehandelt; vielmehr hätten sowohl die Windows 2003- Rechner (ein „riesiger USB-Stick“ als für alle Arbeitsplatzrechner erreichbarer zentraler Speicherplatz für Vertragsunterlagen, Rechnungen und sonstige Dokumente) und Windows 2008-Rechner (Herzstück des Unternehmens im Webshop mit Verbindung zum Warenwirtschaftssystem) als auch der Domain Controller 09 („ Telefonbuch des Unternehmens“, ohne welches bei der Klägerin praktisch keiner mehr arbeiten konnte) zentrale Funktionen im Betrieb der Klägerin, sodass nicht vorstellbar sei, dass sie „einfach vergessen“ worden seien. Hinzu komme, dass – vom Zeugen J. unterlassen – der Sicherheitszustand des IT-Netzwerkes im Hinblick auf Virenschutz relativ leicht durch Blick auf eine zentrale Konsole hätte überprüft werden können, die ohnehin eigentlich täglich angeschaut werden müsse; gleiches gelte für die über das von der Klägerin genutzte WSUS-System kontrollierbaren Sicherheitsupdates. Der Zeuge müsse es daher für jedenfalls möglich gehalten haben, dass die von ihm gegebenen Antworten falsch gewesen seien, ebenso, dass – was sich angesichts der Bedeutung der Absicherung des Netzwerkes durch Virenscanner und Sicherheitsupdates für das zu übernehmende Risiko ohne weiteres verstehe – der Vertrag bei wahrheitsgemäßer Beantwortung der Fragen nicht oder nicht so geschlossen worden wäre.

Hiergegen richtet sich die Berufung der Klägerin, die ihre letzten Anträge weiterverfolgt.

Es fehle, weil die Angebotsunterlagen nicht per E-Mail übermittelt worden seien, in Ermangelung der Einhaltung der Textform gemäß § 126 b BGB schon an Fragen des Versicherers im Sinne von § 19 Abs. 1 VVG; und ebenso wenig ergebe sich, nachdem das Produktinformationsblatt das Label der C. getragen habe, dass die Beklagte Fragen an die Klägerin gerichtet habe (Bl. 33 ff. eA).

Entgegen dem Landgericht liege in objektiver Hinsicht auch keine Falschbeantwortung der Risikofragen Nr. 3 und 4 vor. In Ansehung der Nr. 3 sei schon unklar, was unter dem Begriff eines „Arbeitsrechners“ zu verstehen sei, der im Glossar des Versicherungsvertrages nicht definiert sei, das mit seiner Definition des IT-Systems zeige, dass die Beklagte zwischen Arbeitsrechnern (Desktops, Notebooks, Tablets) einerseits und Servern andererseits differenziere (Bl. 37f. eA). Darüber hinaus werde dort nur nach vorhandenem Virenschutz und nicht danach gefragt, ob eine entsprechende Software auf dem Arbeitsrechner selbst installiert gewesen sei, insofern habe das Landgericht ihren Vortrag übergangen, dass sie die G Data- Software AVK einsetze, wodurch über einen Managementserver Updates in das lokale Netzwerk verteilt würden (Bl. 38/39 eA). Auch werde in der Frage nicht zwischen Software-Updates und dem Update des Virenscanners unterschieden (Bl. 39 eA).

Bei Frage Nr. 4 werde im ersten Teil danach gefragt, ob verfügbare Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt würden, wovon der Zeuge J. im Hinblick auf die ihm mitgeteilten Angaben des Zeugen P. ausgegangen sei. Ab wann nicht mehr von einem schuldhaften Zögern auszugehen sei, werde nicht näher definiert, sodass J. habe annehmen können, dass die mit der Replik vorgetragene Vorgehensweise des Herrn P. nicht zu beanstanden sei. Im zweiten Teil werde danach gefragt, ob lediglich Software-Produkte eingesetzt würden, für die vom Hersteller Sicherheitsupdates bereitgestellt würden; solche Produkte habe die Klägerin eingesetzt. Im Übrigen erstrecke sich die Frage auch nur auf Software, die für den Betrieb des IT Systems-erforderlich sei, wobei unklar bleibe, ob damit das IT-System als Ganzes oder nur der einzelne Server gemeint sei, und auch zu berücksichtigen sei, dass sich der Windows 2008-Server seinerzeit in einer DMZ befunden habe und damit nicht Teil der internen IT der Klägerin gewesen sei (Bl. 40 eA), weiter, dass für die vier Windows 2008-Server Sicherheitsupdates noch für weitere drei Jahre nach Ablauf des Supports im Januar 2020 verfügbar gewesen seien (nach dem Abschluss erweiterter Supportverträge sei nicht gefragt worden), außerdem, dass die drei Windows 2003-Server nicht für den Betrieb des IT-Systems erforderlich gewesen seien, schließlich, dass bezüglich des Domain-Controller die Beklagte selbst nicht vortrage, dass Software eingesetzt worden sei, für die der Hersteller keine Sicherheitsupdates bereitstelle (Bl. 41 eA).

Zu Unrecht habe das Landgericht arglistiges Verhalten des Zeugen J. bejaht. Es gebe keine allgemeinen Satz der Lebenserfahrung, dass eine bewusst unrichtige Beantwortung von Fragen immer oder nur in der Absicht gemacht zu werden pflege, auf den Willen des Versicherers Einfluss zu nehmen. Der Zeuge J. sei unstreitig erstmals in den Abschluss einer Cyber-Police involviert gewesen, sodass ihm nicht bekannt gewesen sei, unter welchen Umständen die Beklagte Anträge ablehne. Auch sei Arglist nicht nachgewiesen, wenn der Versicherungsnehmer einem Irrtum unterliege (Bl. 42 eA). Hier sei J. aufgrund der ihm durch Herrn P. mitgeteilten Informationen davon ausgegangen, dass Updates ordnungsgemäß durchgeführt worden seien; eine Verpflichtung, das Funktionieren eines arbeitsteiligen Vorgehens (mit klaren Arbeitsanweisungen, Bl. 44 eA) vor Abschluss eines Versicherungsvertrags überprüfen zu müssen, gebe es nicht. Soweit das Landgericht darauf abstelle, für den Zeugen sei der Sicherheitsstatus des Netzwerks leicht erkennbar gewesen, entferne es sich vom Wortlaut der gestellten Fragen und stelle außerdem eine angenommene Nachlässigkeit arglistigem Verhalten gleich (Bl. 43 eA). Ebenso wenig überzeuge die Erwägung des Landgerichtes, dass ein „einfaches Vergessen“ nicht vorstellbar sei, dies umso weniger, da es sich bei dem Domain-Controller nicht um einen Arbeitsrechner im Sinne der Frage 3 gehandelt habe (und auch ein Windows 2003-Server eine reine Datenablage gewesen sei, Bl. 44/45 eA) und zudem der Zeuge J. bestätigt habe, dass der zuständige Mitarbeiter P. in der Vergangenheit stets sorgfältig gearbeitet habe. Arglist dagegen würde voraussetzen, dass der Zeuge J. zumindest damit gerechnet haben müsste, dass der Patch-Status des Domain-Controllers nicht aktuell gewesen sei; es könne aber nach der Lebenserfahrung nicht angenommen werden, dass der Leiter der IT-Abteilung eines Unternehmens mit 16 Filialen einen veralteten Status sehenden Auges hinnehme (Bl. 45 eA).

Es treffe auch nicht zu, dass sich die Klägerin das Verhalten des Zeugen J. zurechnen lassen müsse. Nach der Klausel A 338 sei Repräsentant der GmbH nur deren Geschäftsführer (Bl. 46 eA).

Schließlich könne auch die Gefahrerheblichkeit der angeblich verschwiegenen Umstände nicht bejaht werden; die Beklagte habe dies nicht hinreichend substantiiert, zum Beispiel durch Vorlage der Risikoprüfungsgrundsätze (Bl. 47 eA).

Die Klägerin beantragt,

unter Abänderung des angefochtenen Urteils

1. a) die Beklagte zu verurteilen, an sie 424.985,52 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Zustellung des Schriftsatzes der Klägerin vom 5. Februar 2024 (22. Februar 2024, Bl. 366 LGA) zu zahlen;

b) festzustellen, dass die Beklagte verpflichtet ist, der Klägerin auch darüber hinaus aus dem Versicherungsvertrag DE01.002.100099.300001.Z. Versicherungsschutz für den Schadenfall vom 10.10.2020, Schadenfall Nr. 103312 zu gewähren;

2. die Beklagte zu verurteilen, an sie vorgerichtliche Rechtsanwaltskosten in Höhe von 2.810,19 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit (10. Juni 2021, Bl. 28R LGA) zu zahlen.

Die Beklagte beantragt,

die Berufung zurückzuweisen.

Aus den Gründen

II. Die Berufung der Klägerin hat nach der einstimmigen Auffassung des Senats keine Aussicht auf Erfolg, § 522 Abs. 2 ZPO.

Zu Recht hat das Landgericht die Klage auf Leistung aus der Cyber-Versicherung abgewiesen. Die Berufung geht fehl; weder beruht das angefochtene Urteil auf einem Rechtsfehler, § 546 ZPO, noch rechtfertigen die nach § 529 ZPO zugrunde zu legenden Tatsachen eine andere Entscheidung, § 513 Abs. 1 ZPO.

Der Klägerin stehen aus der mit der Beklagten eingegangenen Cyber-Versicherung wegen des Schadensfalles vom Oktober 2020 keine Entschädigungsansprüche zu, weil die Beklagte den Versicherungsvertrag wegen arglistiger Täuschung, §§ 22 VVG, 123 Abs. 1 BGB, wirksam angefochten hat mit der Folge, dass der Vertrag als von Anfang an nichtig anzusehen ist, § 142 Abs. 1 BGB.

Nach § 123 Abs. 1 BGB kann, wer (u.a.) zur Abgabe einer Willenserklärung durch arglistige Täuschung bestimmt worden ist, diese Erklärung anfechten. Gemäß § 22 VVG bleibt das Recht des Versicherers, den Vertrag wegen arglistiger Täuschung anzufechten, unberührt, woraus folgt, dass der Versicherer sich bei falschen Angaben über erfragte Gefahrumstände nicht nur nach dem Regime der §§ 19ff. VVG von dem geschlossenen Vertrag lösen kann.

Die Voraussetzungen für eine Anfechtung, die die Beklagte mit der Klageerwiderung innerhalb der Jahresfrist des § 124 Abs. 1 BGB erklärt hat, liegen im Streitfall vor.

 

1. Für die Anfechtbarkeit kommt es – mit dem Landgericht (U 11) und entgegen der Berufung – nicht darauf an, ob die Risikofragen der Klägerin im Sinne von §§ 19 Abs. 1 Satz 1 VVG, 126 b BGB förmlich in Textform gestellt worden sind. Schon unerfragt gemachte falsche Angaben vermögen eine arglistige Täuschung zu begründen (vgl. nur Langheid/Wandt-Bußmann, VVG, Kommentar, 3. Auflage, § 22 Rn. 18 m.w.N.). Erst recht kann die Falschbeantwortung nur mündlicher, aber tatsächlich gestellter Fragen eine arglistige Täuschung auslösen (Langheid/Wandt-Bußmann, ebd. Rn. 19 m.w.N.). Das muss entsprechend umso mehr gelten, wenn die Fragen wie hier nicht nur mündlich, sondern genau ausformuliert in einer lesbaren Form gestellt worden sind.

Für die Arglistanfechtung bedarf es auch nicht eines ordnungsgemäßen, textförmigen Hinweises über die Folgen unrichtiger Antragsangaben gemäß § 15 Abs. 5 VVG (vgl. BGH, Urteil vom 12. März 2014, IV ZR 306/13, VersR 2014, 565, Rn. 9 ff. bei juris [BB 2014, 769-770 Ls.]).

Die Klägerin kann der Anwendbarkeit der Anfechtungsregeln auch nicht entgegenhalten, dass es sich nicht um Fragen des Versicherers gehandelt habe oder das dies jedenfalls nicht hinreichend erkennbar gewesen sei. Die zu Ziffer A.4. gestellten Fragen waren als Risikofragen überschrieben. Sie richteten sich mit der Frage nach der Betreuung durch mindestens einen IT-Spezialisten (Nr. 1), nach regelmäßigen (mindestens wöchentlichen) Datensicherungen (Nr. 2), nach der Ausstattung aller Arbeitsrechner mit aktueller Viren-Software (Nr. 3), nach der zügigen Durchführung von Sicherheitsupdates mit vom Hersteller bereitgestellten Produkten (Nr. 4), nach Regelungen zum Umgang mit IT-Zugangsdaten (Nr. 5), nach dem Einsatz von Firewalls (Nr. 6), nach der Zulässigkeit der Nutzung privater Geräte für dienstliche Zwecke (Nr. 7) und nach Cyber-Schäden oder Datenschutzvorfällen in den letzten drei Jahren (Nr. 8) unverkennbar auf Umstände, die für die Einschätzung des Risikos in der abzuschließenden Cyber-Versicherung von Bedeutung waren. Auch ohne Erfahrungen mit dem Abschluss einer solchen Versicherung muss für den von der Klägerin mit dem Abschluss der Versicherung beauftragten Zeugen J. auf der Hand gelegen haben, dass es sich um Fragen handelte, die im Interesse des Risikoträgers zur Klärung seiner Annahmebereitschaft gestellt wurden, und dafür ist auch ohne Belang, ob – worauf der Einwand der Klägerin im Tatsächlichen hinausläuft – der Zeuge seinerzeit erkennen konnte, ob dieser Risikoträger nun die Beklagte oder die C. sein würde. Dass die Fragen etwa von letztlich uninteressierter Seite und lediglich colorandi causa gestellt worden sein könnten, ist jedenfalls gänzlich fernliegend, und auch die Klägerin, die auf den hier abgehandelten Einwand erst ganz am Ende des Prozesses verfällt, trägt nicht vor, dass der Zeuge J. eine solche oder ähnliche Vorstellung gehabt hätte.

 

2. Der Zeuge J. hat die Risikofragen objektiv falsch beantwortet.

 

a) Zunächst sind entgegen der Auffassung der Berufung die beiden hier maßgeblichen Risikofragen Nr. 3 und Nr. 4 eindeutig und nicht etwa unklar oder missverständlich.

 

aa) Die Frage Nr. 3, ob alle stationären und mobilen Arbeitsrechner mit aktueller Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet sind, bezieht sich, wie das Landgericht (U 12f.) zutreffend befunden und begründet hat, nach dem maßgeblichen Verständnis eines durchschnittlichen Versicherungsnehmers – hier nach der Art der Versicherung (vgl. BGH, Urteil vom 21. April 2010, IV ZR 308/07, VersR 2010, 809, Rn. 12 bei juris) also eines kaufmännischen, umfassend im online-Geschäft tätigen Unternehmers – ersichtlich auf den aktuellen Virenschutz-Status aller Rechner, die in dem Netzwerk des Betriebes Funktionen ausüben und in diesem Sinne „arbeiten“. Mit Rücksicht darauf, dass nach allen stationären und mobilen Rechnern gefragt wird und auch im Hinblick auf den abgefragten Schutz gegen Angriffe von außen nicht im mindesten einleuchtet, warum Server von dieser Abfrage ausgeschlossen sein sollten, ist die Annahme abwegig, dass mit „Arbeitsrechnern“ nur „Arbeitsplatzrechner“ gemeint gewesen sein könnten, und tatsächlich ist auch gar nicht ersichtlich, dass der Zeuge J. (vgl. seine bemerkenswert ehrliche Aussage zu Protokoll vom 28. Februar 2029, S. 3 ff., Bl. 387 ff. LGA) die Frage anders verstanden und deshalb so wie erfolgt beantwortet hätte. Dementsprechend lässt sich Gegenteiliges auch nicht aus dem Glossar im Teil D des Versicherungsvertrages entnehmen, auch wenn dort der Begriff des IT-Systems umschrieben wird. Eine zwingende Definition des hier maßgebenden Begriffs des „Arbeitsrechners“ ist nicht enthalten, so dass es noch nicht einmal darauf ankommt, dass dem Zeugen J. der Vertragstext mit dem Glossar bei Beantwortung der Risikofragen noch gar nicht vorlag und daher seine Vorstellung auch nicht hat prägen können (vgl. Darstellung des Bestellvorgangs in der Anlage WH 11).

Die Frage ist mit dem unmissverständlichen Wortlaut der Ausstattung aller Rechner mit aktueller Software auch im Hinblick auf das von der Klägerin in der Berufung noch aufgemachte Problem eindeutig, ob die entsprechende Software auf dem Arbeitsrechner selbst installiert sein muss oder ob auch eine Verteilung von Updates über einen Managementserver ausreichend sein könne. Gemeint ist in der maßgeblichen Perspektive nicht die technische Form der Umsetzung, sondern vielmehr, ob alle Rechner praktisch über einen aktuellen Virenschutz verfügen, und auch insoweit ist nicht zu erkennen, dass der Zeuge J. das anders verstanden haben könnte.

 

bb) Gleichermaßen eindeutig ist die Frage Nr. 4, ob verfügbare Sicherheitsupdates ohne schuldhaftes Zögern durchgeführt werden, und ob für die Software, die für den Betrieb des IT-Systems erforderlich ist, lediglich Produkte eingesetzt werden, für die vom Hersteller Sicherheitsupdates bereitgestellt werden (dies betrifft v.a. Betriebssysteme, Virenscanner, Firewall, Router, NAS-Systeme).

Sie zielt ersichtlich darauf, ob sichergestellt ist, dass die im Netz des Unternehmens verwendete Software mit Herstellerprodukten auf dem neuesten Stand gehalten wird.

Die Frage ist zunächst nicht im Hinblick darauf unklar, dass nicht näher definiert wird, binnen welcher Zeit die Durchführung eines Sicherheitsupdates noch als rechtzeitig angesehen werden kann. Ein Kaufmann, der wie die Klägerin sein Geschäft mit einem verzweigten IT-System zu mindestens weiten Teilen online betreibt und deshalb um die Gefahr von Cyber-Angriffen wissen muss, wird sich, wenn er im Zusammenhang mit dem Abschluss einer Cyber-Versicherung danach gefragt wird, ob Updates ohne schuldhaftes Zögern durchgeführt werden, verstehen, dass damit die Erwartung verbunden ist, dass diese Updates so zügig durchgeführt werden, wie das bei der Betreuung durch mindestens einen IT-Spezialisten (gemäß Frage Nr. 1) nach den betrieblichen Gegebenheiten möglich und angezeigt ist. Und erneut erschließt sich nicht ansatzweise, dass der Zeuge J. das anders verstanden haben könnte (im Übrigen auch nicht, was das an der noch zu erörternden Falschbeantwortung in Bezug auf Server, die tatsächlich zum Zeitpunkt der Invitatio schon seit längerem keine Updates mehr erhalten hatten, sollte ändern können).

Unklarheiten ergeben sich auch nicht etwa im Hinblick darauf, dass im zweiten Teil der Frage nach der Verwendung von vom Hersteller bereitgestellten Softwareprodukten gefragt wird. Nachdem die beiden Teile der Frage mit einem „und“ verbunden sind, versteht sich schon vom Wortlaut, dass insgesamt danach gefragt wird, ob sichergestellt ist, dass die Updates zügig mit Herstellerprodukten durchgeführt werden. Es kann schließlich auch keinen Zweifel (so aber die Klägerin) dahingehend geben, ob sich die Frage auf das „IT-System als Ganzes oder nur einzelne Server“ bezieht; denn sie bezieht sich nach ihrem eindeutigen Wortlaut auf die gesamte „Software, die für den Betrieb des IT-Systems erforderlich ist“, hat also ersichtlich keinen Hardware-Bezug. Auch in Ansehung dieser beiden Umstände gilt schließlich, dass nicht zu erkennen ist, dass der Zeuge J. ein Verständnisproblem gehabt haben könnte.

 

b) Die demgemäß eindeutigen Fragen hat der Zeuge J. objektiv falsch beantwortet.

 

aa) Richtigerweise hätte er die Frage Nr. 3 verneinen müssen.

Es waren nicht alle im Betrieb fungierenden Rechner mit einer aktuellen Software zur Erkennung und Vermeidung von Schadsoftware ausgestattet. Unstreitig verfügte der Web-SQL-Server weder über einen Virenscanner noch eine Antiviren-Software. Das gleiche galt ebenso unstreitig für die beiden als Speicherplatz eingesetzten Rechner mit dem Windows 2003-Betriebssystem. Und nichts anderes gilt schließlich auch für den noch im Auslieferungszustand befindlichen Domain-Controller DC 09.

 

bb) Richtigerweise hätte der Zeuge J. darüber hinaus auch die Frage Nr. 4 zu verneinen gehabt.

Für den Web-SQL-Server mit dem Betriebssystem Windows 2008 war die Durchführung von Updates tatsächlich nicht gesichert. Seit Januar 2020 wurde für diesen kein Software- und Sicherheitsupdate mehr bereitgestellt; der Support endete bereits im Jahr 2015; einen vom Hersteller angebotenen erweiterten Support- und Update-Vertrag hatte die Klägerin nicht abgeschlossen.

Unstreitig waren auch bezüglich des Domain-Controller DC 09 keine Updates erfolgt. Er befand sich bei der Schadensuntersuchung im Oktober 2020 (und entsprechend auch zum Zeitpunkt der Antragstellung im März 2020 noch im Auslieferungszustand, obwohl es, wie sich aus der eidesstattlichen Versicherung des Herrn P. (Anlage WH 15) ergibt, Updates gab.

 

3. Der Zeuge J. hat dabei auch arglistig gehandelt.

 

a) Die Annahme einer von einem Versicherungsnehmer begangenen arglistigen Täuschung erfordert kein besonderes Unwerturteil und bedarf auch nicht der Feststellung einer Bereicherungsabsicht. Sie setzt eine Vorspiegelung falscher oder ein Verschweigen wahrer Tatsachen gegenüber dem Versicherer zum Zwecke der Erregung oder Aufrechterhaltung eines Irrtums voraus. Der Versicherungsnehmer muss vorsätzlich handeln, indem er bewusst und willentlich auf die Entscheidung des Versicherers einwirkt. Dabei entlastet Unkenntnis den Versicherungsnehmer nicht, wenn er im Bewusstsein seiner Unkenntnis Angaben „ins Blaue hinein“ macht; unter solchen Umständen schließt auch guter Glaube Arglist nicht aus, wenn der Handelnde das Fehlen einer zuverlässigen Beurteilungsgrundlage nicht offenlegt. Weiterhin rechtfertigen bewusst falsche Angaben allein den Schluss auf eine arglistige Täuschung noch nicht; eine bewusst unrichtige Beantwortung einer Antragsfrage muss nicht zwangsläufig in Manipulationsabsicht erfolgen; vielmehr muss in subjektiver Hinsicht hinzukommen, dass der Versicherungsnehmer auf die Entschließung des Versicherers Einfluss nehmen will und sich daher bewusst ist, dass dieser möglicherweise (bedingter Vorsatz) seinen Antrag nicht oder nur unter erschwerten Bedingungen annehmen werde, wenn er die Wahrheit sage (vgl. statt aller nur Prölss/Martin-Armbrüster, VVG, Kommentar, 32. Auflage, § 22 Rn. 7 und 9 m.w.N.; zur mangelnden Offenlegung der Beurteilungsgrundlage Palandt/Ellenberger, BGB, Kommentar, 83. Auflage, § 123 Rn. 11 m.w.N).

Die Beweislast für Täuschung und Arglist trägt der Versicherer, wobei der Beweis – wie stets – auch durch Indizien und unter Heranziehung von Erfahrungssätzen geführt werden kann; allerdings muss der Versicherungsnehmer im Rahmen seiner sekundären Darlegungslast die Umstände, die seiner Sphäre angehören, namentlich die Gründe für die Falschangaben, dartun und der Nachprüfung zugänglich machen (vgl. Prölss/Martin-Armbrüster, § 22 Rn. 43 f. m.w.N.).

 

b) In Anlegung dieser Maßstäbe ist es berufungsrechtlich nicht zu beanstanden, dass das Landgericht dazu gefunden hat, dass der Zeuge J. arglistig gehandelt habe; der Senat teilt diese Beurteilung, §§ 286,529 ZPO.

 

aa) Die Klägerin treffen bei der Beantwortung der Risikofragen nach den Umständen besondere Sorgfaltspflichten. Sie ist nicht (um ein typisches Beispiel aus der Fallgruppe unrichtiger Angaben bei der Antragstellung zu nennen) ein „kleiner angestellter Handwerker“, der eine Berufsunfähigkeitsversicherung beantragt. Sie ist ein Unternehmen mit mehr als 400 Mitarbeitern und einem Jahresumsatz (laut Deklaration) von rund 143,5 Mio. €. In der Sache geht es auch nicht etwa (um im Beispiel zu bleiben) um die mangelnde Erinnerung an eine knapp fünf Jahre zurückliegende einmalige Behandlung wegen Rückenbeschwerden, sondern um Angaben zum aktuellen Status der Sicherheit eines umfassenden IT-Systems. Schon deshalb, weil die Klägerin Kaufmann und der Zeuge J. als Leiter der fünfköpfigen IT-Abteilung denknotwendig mit einer gewissen Fachkompetenz ausgestattet ist, der sich nach eigenen Angaben in seiner zeugenschaftlichen Vernehmung vom 28. Februar 2024 zudem in regelmäßigem Austausch mit dem Systemadministrator P. befand, der jedenfalls einer der in der Risikofrage Nr. 1 erfragten betreuenden IT-Spezialisten war (Bl. 393 LGA), kann von ihnen in Bezug auf die Beantwortung von derlei Fragen eine besondere Sorgfalt erwartet werden. Das gilt umso mehr, da, worauf die Beklagte (Schriftsatz vom 30. Januar 2023, S. 4 f., Bl. 238 f. LGA) zutreffend und unwidersprochen verweist, nach dem IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit (BSI-OPS1.3) in Ansehung des Patch- und Änderungsmanagements im Hinblick auf typische Gefahren (u.a. mangelhafte Kommunikation und unzureichende Ressourcen beim Änderungsmanagement) als Basis-Anforderungen u.a. ein Konzept für das Management, die Festlegung von Zuständigkeiten und die regelmäßige Aktualisierung von IT-Systemen und Software gelten. Nach den ebenfalls unwidersprochenen Angaben des Sachverständigen Schwarz (Protokoll vom 28. Februar 2024, S. 14, Bl. 398, und S. 15, Bl. 399) ist es darüber hinaus geboten, die verfügbare Konsole zum Virenschutz täglich anzuschauen und das WSUS-System zur Umsetzung von Sicherheitsupdates wöchentlich zu überprüfen. Dies erschließt sich ohne weiteres, ist doch das Risiko offenkundig, das von dem Zugriff der 400 Mitarbeitenden der Klägerin auf die IT-Infrastruktur ausgeht, denn niemand kann ausschließen, dass eine dieser Personen durch eine Unachtsamkeit oder schlichte Unwissenheit versehentlich Schadsoftware in das IT-System einträgt. Ein Versicherer, der eine Cyber-Versicherung anbieten will und explizit nach dem aktuellen Sicherheitsstatus des IT-Systems fragt, kann ohne weiteres erwarten, dass ein kaufmännisches Unternehmen, zumal eines von der Größe der Klägerin, derartige Standards beachtet und sich bei der Beantwortung der gestellten Fragen nicht (wie etwa der Handwerker im Beispiel) situativ „aus der Lameng“ erklärt, sondern seine Antworten – erst recht wenn sie von dem Leiter der IT-Abteilung, der in IT-Sicherheitsfragen bereits qua Aufgabe sensibilisiert sein musste, gegeben werden – aus der konkret und aktuell verfügbaren Kenntnis anhand der vorbezeichneten Standards gewonnen hat.

Tatsächlich aber gab es bei der Klägerin derartige Standards nicht. Namentlich gab es – sie hat nichts anderes behauptet – kein nennenswertes Konzept, schon gar kein schriftliches. Es ist auch nicht zu erkennen, dass die Zuständigkeiten klar geregelt gewesen wären; der Zeuge J. hat (Protokoll vom 28. Februar 2024, S. 9, Bl. 393) angegeben, der verstorbene Herr P. sei für die Hardware-Infrastruktur zuständig und „insofern schon für die Sicherheitsupdates der Rechner verantwortlich“ gewesen; eine klare Zuständigkeit sieht anders aus. Darüber hinaus gab es, was die Erfüllung dieser Aufgaben anging, auch keinerlei Kontrolle es ist weder vorgetragen noch sonst ersichtlich, dass der Zeuge J. als Leiter der IT-Abteilung Herrn P. in irgendeiner Weise überwacht hätte, im Gegenteil hat die Klägerin lediglich vorgetragen, er habe auf dessen ordnungsgemäße Arbeit vertraut. Ebenso wenig gab es, soweit ersichtlich, Routinen zur Überprüfung des Sicherheitsstatus´ (sondern nach Angaben des Zeugen J. [Protokoll vom 28. Februar 2024, S., 388 LGA] lediglich ein Bestandsverzeichnis und eine Liste, die jährlich überprüft werden) oder sonst eine eingerichtete Kommunikationsstruktur im Hinblick auf die Behandlung von Virenschutz und Updates.

Es kann auch nicht festgestellt werden, dass der Zeuge J. den Systemadministrator P. vor der Beantwortung der Fragen zum Status der Rechner befragt hätte, konnte sich der Zeuge doch just hieran nicht erinnern (Bl. 393 LGA) jedenfalls hat er das nicht in dem gebotenen, auf die konkreten Fragen bezogenen Umfang getan. Die Klägerin hat sich während der ersten knapp dreieinhalb Jahre seit dem Schadensfall allein darauf zurückgezogen, dass der Zeuge J. auf „ordentliche Arbeit“ des Herrn P. vertraut habe. Eine Einbindung des verstorbenen Herrn P. in die Beantwortung der Fragen ergibt sich auch nicht aus dessen eidesstattlicher Versicherung vom 8. August 2023 (Anlage WH 15). Zu etwas anderem hat sich die Klägerin erstmals mit dem Schriftsatz vom 4. April 2024 verstanden (S. 9, Bl. 416: „die ihm [d. h., dem Zeugen J.] mitgeteilten Angaben des Zeugen P.“, dies wiederholt in der Berufungsbegründung). Das ist aber ersichtlich unrichtig. Der Zeuge J. hat (zu Protokoll vom 28. Februar 2024, S. 8f., Bl. 362f.) im Einklang mit der Darstellung der Klägerin zur Antragstellung angegeben, er sei, nachdem ihn ein Mitarbeiter der Maklerfirma von der Sinnhaftigkeit der Versicherung überzeugt habe, in einem zweistündigen Telefonat mit Herrn H. (von der B. Ba.) den Versicherungsvertrag durchgegangen und dabei auch die in der Anfrage angegebenen Risikofragen; befragt dazu, ob er bezüglich dieser Fragen mit Herrn P. Rücksprache gehalten habe, hat er zunächst erklärt, das erinnere er nicht mehr. Erst auf weitere Nachfrage hat er unbestimmt erklärt, er werde, da er die Fragen nicht „ganz blind“ beantwortet habe, „sicher mit Herrn P. Rücksprache genommen haben, ob alles so sei, wie es sein solle“, wobei er indes nicht erinnere, ob er Herrn P. die Risikofragen auch vorgelegt habe (S. 10, Bl. 394). Aus all dem kann – mit dem Landgericht (U 15: „erste Antwort, dass er sich nicht daran erinnere“; U 16: „Antworten ungeprüft“) – vernünftigerweise nur der Schluss gezogen werden, dass es eine – jedenfalls auf den konkreten Inhalt der Fragen bezogene – Einbindung des Herrn P. nicht tatsächlich gegeben hat: Das Vorbringen erfolgt nach Jahren und einer für die Klägerin nicht eben günstige Zeugenaussage „auf den letzten Drücker“ es steht im Widerspruch zu dem bisherigen Vortrag, J. habe sich nur auf ordentliche Arbeit von P. verlassen; eine Rücksprache mit Herrn P. ist der anfänglichen Schilderung des Zeugen J. zu den Umständen der Abgabe der Invitatio nicht ansatzweise zu entnehmen; noch auf erste Nachfrage gibt er nichts anderes an; erst bei einem weiteren Anlauf äußert er ohne konkrete Erinnerung als bloße Vermutung, er werde sicher Rücksprache genommen haben, dies allerdings auch nur, ohne dass er angegeben hätte, wann das denn gewesen sein könnte (es ist nicht ersichtlich, dass P. bei dem Invitatio-Gespräch mit Herrn H. anwesend gewesen wäre) und was denn Herr P. ihm dazu erklärt habe, und auch ohne dass er hätte angeben wollen, dass er Herrn P. überhaupt die konkreten Fragen gestellt habe; schließlich wäre in Anbetracht des tatsächlichen Systemzustandes und der fehlenden Überprüfungsroutinen auch gar recht nachvollziehbar, wie sich Herr P. aus dem Stand zu der Äußerung hätte verstehen können, es sei tatsächlich „alles so, wie es sein solle“.

 

bb) Unter diesen Umständen liegt praktisch auf der Hand, dass der Zeuge J. tatsächlich über den aktuellen Zustand des IT-Systems im Hinblick auf Virenschutz und Software-Aktualisierung nichts Genaues wusste. Er hat demgemäß wahrheitsgemäß auch selbst angegeben, dass ihm „die Einzelheiten nicht so bekannt“ waren (Protokoll vom 28. Februar 2024, S. 10, Bl. 394 LGA) Er hätte demgemäß auf die Fragen zu solchen Einzelheiten redlicherweise nur mit „weiß nicht genau“ oder „glaube schon“ antworten dürfen, nicht aber jeweils mit einem glatten „Ja“, das der Beklagten eine verantwortete Bestätigung aufgrund erwartbarer Routinen und naheliegender Überprüfungsmöglichkeiten suggerieren musste. Die glatte und umstandslose Bejahung der Fragen stellt sich als eine jeweilige Erklärung ins Blaue hinein dar.

Die Erklärungen sind darüber hinaus auch als bewusst unrichtig zu bewerten. Dem Zeugen J. ist nicht etwa nur, wie die Klägerin geltend machen lässt, ein Irrtum unterlaufen. Es liegt auch nicht etwa ein Fall „einfachen Vergessens“ vor. Da ihm seine mangelnde Einbindung in die allein Herrn P. überlassene Tätigkeit, die mangelnde Kontrolle und Kommunikation über die in Rede stehenden Fragen bekannt waren, wusste er (gemäß seiner eben zitierten eigenen Aussage, dass ihm „die Einzelheiten nicht so bekannt“ waren), dass er über die erfragten Umstände eigentlich keine hinreichend genauen Kenntnisse hatte. Ihm muss demgemäß auch vor Augen gestanden haben, dass er sich praktisch auf gut Glück ins Blaue hinein erklärte. Ihn kann, nachdem er das Fehlen einer zuverlässigen Beurteilungsgrundlage nicht offengelegt hat, insoweit weder Unkenntnis entlasten, noch sein guter Glaube daran, dass P. schon ordentlich gearbeitet haben werde, schon gar nicht, dass, wie er angegeben hat, auf einer Bestandsliste (von der er nicht einmal angegeben hat, dass er sie bei der Beantwortung der Fragen zurate gezogen habe) einen Windows 2003-Rechner „geflissentlich übersehen“ (Protokoll vom 28. Februar 2024, S. 4, Bl. 388 LGA) bzw. an den Windows 2008-Server „nicht mehr gedacht“ (Protokoll S. 9, Bl. 393 LGA) zu haben.

All das lässt sich knapp dahinter zusammenfassen, dass der Zeuge J. die Fragen zwar nicht „ganz blind“ (so er selbst zu Protokoll S. 10, Bl. 394), aber doch jedenfalls „weitestgehend blind“ beantwortet hat. Daraus rechtfertigt sich zwanglos ein bedingter Vorsatz im Sinne eines „na, wenn schon“, mit dem das Landgericht (U 14) seine diesbezüglichen Erwägungen eingeleitet hat.

Schließlich ist auch zwanglos anzunehmen, dass der Zeuge sich bewusst gewesen ist, dass der Versicherer die Invitatio nicht glattweg in einen dann nur noch anzunehmenden Antrag umwandeln, sondern jedenfalls möglicherweise zu einem Vertrag nicht oder nur unter erschwerten Bedingungen annehmen werde, wenn er, J., sich zutreffend erklärt hätte. Auch ohne besondere Kenntnisse über die Gepflogenheiten bei einer Cyber-Versicherung konnte dem Zeugen als IT-Spezialisten nach deren Gegenstand (der Absicherung nicht zuletzt gegen unbefugte Eingriffe von außen) und nach den praktisch ausnahmslos auf die in dem Unternehmen dagegen getroffenen konkreten Maßnahmen gerichteten, ausdrücklich als solche bezeichneten Risikofragen schlechterdings nicht entgehen, dass es dem Versicherer für die Einschätzung des Risikos auf eben diese erfragten Standards ankam; dann kann er sich schwerlich der sich unmittelbar daraus ergebenden Erkenntnis verschlossen haben, dass negative oder auch nur unzureichende Angaben zu diesen Umständen Einfluss auf die (uneingeschränkte) Vertragsbereitschaft des Versicherers haben würden.

 

4. Die arglistige Täuschung war auch kausal für den Vertragsabschluss.

Der (dem Versicherer obliegende) Beweis kann prima facie geführt werden (vgl. nur Prölss/Martin-Armbrüster, § 22 Rn. 46 m.w.N.). Dazu bedarf es entgegen der Rüge der Berufung keines Aufweises der Annahmerichtlinien der Beklagten. Das ist entbehrlich, wenn die Erheblichkeit der erfragten Umstände auf der Hand liegt (vgl. statt aller nur etwa Prölss/Martin-Armbrüster, a.a.O., § 19 Rn. 5 m.w.N.). So liegt es hier.

Die ersten sechs Risikofragen betreffen sämtlich die nähere Abklärung der im Unternehmen im Hinblick auf das zu übernehmende Risiko (einer unbefugten Nutzung des IT-Systems im Sinne von Teil A Ziffer A1-1 der Bedingungen) konkret getroffenen Vorkehrungen. Es versteht sich daraus, wie schon soeben ausgeführt, von selbst, dass die Beklagte aus der Verneinung bestimmter Fragen Konsequenzen für die Ausgestaltung des Vertrages ziehen würde. Und dass die Beklagte solchenfalls von vornherein nur eingeschränkten Versicherungsschutz geboten hätte, kann die Klägerin im Versicherungsschein nachlesen, in dem es unmittelbar unter den dort wiedergegebenen Risikofragen (und den dazu gegebenen Antworten) heißt, dass, sollten mit * markierte Fragen (das sind eben die Fragen Nr. 1 bis 6) im Zeitpunkt der Antragstellung mit Nein beantwortet worden sein, kein Versicherungsschutz besteht, soweit ein Schaden adäquat kausal auf die fehlende Schutzmaßnahme zurückzuführen ist.

 

5. Die Klägerin kann der Anfechtung wegen Arglist auch nicht entgegen halten, dass das Verhalten des Zeugen J. als das eines Dritten im Sinne von  § 138 Abs. 2 BGB einzuordnen sei.

Danach ist eine Erklärung, die einem anderen gegenüber abzugeben war, nur dann anfechtbar, wenn dieser die Täuschung kannte oder kennen musste, sofern ein Dritter die Täuschung verübt hat.

Vorliegend hat die Klägerin den Zeugen J. als ihren Vertreter eingesetzt. Die von ihm angegebenen Willens- und Wissenserklärungen wirken daher für und gegen sie. Der Zeuge ist deshalb auch nicht als Dritter i. S. v. § 123 Abs. 2 BGB einzuordnen (vgl. st. Rspr. seit RGZ 72, 133 (135 ff.); 61, 207 (212); MüKoBGB/Armbrüster, 9. Auflage, § 123 Rn. 72), so dass die Beklagte den Versicherungsvertrag nach § 123 Abs. 1 BGB anfechten kann. Etwas anderes folgt entgegen der Berufung auch nicht aus Teil D Nr. 338 der Bedingungen. Bei der dortigen Bestimmung des Repräsentanten im Teil D, Glossar, handelt es sich schon nicht um eine Klausel, sondern eine bloße Begriffsdefinition, auf die die Bedingungen bei einzelnen Klauseln Bezug nehmen, wenn sie den Begriff verwenden. Eine (§ 166 Abs. 1 BGB abändernde) Regelung, dass die Beklagte beim Vertragsschluss nur Erklärungen des GmbH-Geschäftsführers für beachtlich erachten wolle, enthalten die – ohnehin erst mit Vertragsschluss verbindlichen – Bedingungen nicht. Darauf, dass sich nicht erschließt, wie unter der Geltung einer solchen „Repräsentanten-Regel“, nach der nur Geschäftsführerhandeln zählte, überhaupt vom Zustandekommen des Vertrags mit dem Zeugen J. als Vertreter sollte ausgegangen werden können, kommt es nicht einmal mehr an.

 

stats