18 Jan Die Anwendbarkeit von Kriegsausschlussklauseln im Zusammenhang mit Cyberangriffen
A. Einleitung
Durch die voranschreitende Digitalisierung und der damit verbundenen Zunahme von Angriffen auf digitale Datenbestände ist nicht erst seit Beginn des Krieges zwischen Russland und der Ukraine in diesem Jahr die Auslegung des klassischen Kriegsausschlusses problematischer geworden. Fast kein Versicherungsvertrag wird ohne einen solchen Ausschluss abgeschlossen. Hierbei stellt sich insbesondere die Frage, ob dieser Ausschlusstatbestand dann eingreift, wenn Cyberangriffe im Rahmen eines alleinigen „Cyberwar“ bzw. „Cyberkriegs“ verübt werden. Aber auch die Situation, in der eine sog. „hybride“ Kriegsführung stattfindet, also neben den klassischen Kriegsereignissen zusätzlich auch Cyberangriffe durch die involvierten Länder vorgenommen werden, ist im Hinblick auf das Eingreifen des Kriegsausschlusses zu untersuchen. Beispielsweise könnte eine Schadsoftware eingesetzt werden, um wichtige IT-Systeme im angegriffenen Land auszuschalten oder unter seine Kontrolle zu bringen. Hierbei kann es aber zu „Kollateralschäden“ kommen, indem die Schadsoftware nicht im angegriffenen Land, sondern auch außerhalb dieses Landes Schäden anrichtet.
B. Beispielklauseln
Um beurteilen zu können, ob ein Kriegsausschluss bei Cyberangriffen eingreift oder nicht, ist es – wie immer bei Klauseln in Allgemeinen Versicherungsbedingungen – erforderlich, von der konkreten Formulierung der jeweiligen Klausel auszugehen. Daher sollen nachfolgend zwei Klauseln aus den GDV-Musterbedingungen dargestellt werden, anhand derer die Beantwortung der Frage u. a. erfolgen wird.
I. GDV-Musterbedingungen
In fast sämtlichen GDV-Musterbedingungen sind Kriegsausschlüsse enthalten. Diese werden häufig wie die nachfolgenden beiden Beispielklauseln formuliert:
Beispielklausel Sachversicherungen (§ 2 Ziff. 1 AFB 2010)
„Die Versicherung erstreckt sich ohne Rücksicht auf mitwirkende Ursachen nicht auf Schäden durch Krieg, kriegsähnliche Ereignisse, Bürgerkrieg, Revolution, Rebellion oder Aufstand.“
Beispielklausel Cyberversicherung (Ziff. A1-17. 2 AVB Cyber, Stand: April 2017)
„Vom Versicherungsschutz ausgeschlossen sind ohne Rücksicht auf mitwirkende Ursachen […]
A1-17. 2 Krieg
Versicherungsfälle oder Schäden aufgrund von Krieg.
Krieg bedeutet: Krieg, Invasion, Bürgerkrieg, Aufstand, Revolution, Aufruhr, militärische oder andere Form der Machtergreifung.“
Auffällig ist bei der zweiten Beispielklausel, dass der Begriff „Cyberwar“ bzw. „Cyberkrieg“ hier nicht erwähnt wird, obwohl es sich um eine Cyberversicherung handelt. Insoweit sind die Inhalte der beiden Klauseln fast identisch.
II. Alternative Formulierungen des Kriegsausschlusses
Insbesondere in Cyberversicherungen werden teilweise andere Formulierungen hinsichtlich des Kriegsausschlusses gewählt. So werden beispielsweise die Begriffe „Cyberwar“ bzw. „Cyberkrieg“ verwendet. Teils werden diese Begriffe in den Bedingungen näher definiert, teilweise auch nicht.
C. Auslegung der Begriffe „Krieg“, „kriegsähnliche Ereignisse“ und „Cyberwar“ bzw. „Cyberkrieg“
Um bestimmen zu können, welche konkreten Situationen unter die in Ziffer B genannten Klauselgestaltungen fallen, ist eine Auslegung der entsprechenden Klausel nach den Grundsätzen der ständigen Rspr. des BGH vorzunehmen. Nach dieser ist es bekanntlich für die Auslegung entscheidend, wie ein durchschnittlicher VN den in den AVB enthaltenen Begriff
„bei verständiger Würdigung, aufmerksamer Durchsicht und Berücksichtigung des erkennbaren Sinnzusammenhangs verstehen kann. Dabei kommt es auf die Verständnismöglichkeiten eines VN ohne versicherungsrechtliche Spezialkenntnisse und damit auch auf seine Interessen an. In erster Linie ist vom Wortlaut der jeweiligen Klausel auszugehen. Der mit dem Bedingungswerk verfolgte Zweck und der Sinnzusammenhang der Klauseln sind zusätzlich zu berücksichtigen, soweit sie für den VN erkennbar sind. 1 “
Dabei kommt es zudem nur auf die Sicht des VN an, der die typische Zielgruppe des entsprechenden Versicherungsvertrages darstellt2. Im Folgenden wird daher unterstellt, dass die Kriegsausschlussklauseln im gewerblichen – und nicht im privaten – Bereich angewandt werden und der durchschnittliche VN im Regelfall Kaufmann, zumindest aber geschäftserfahren und mit AGB vertraut ist. Des Weiteren ist zu beachten, dass es sich bei allen Beispielklauseln um Risikoausschlüsse handelt und daher eine enge Auslegung der darin enthaltenen Begriffe geboten ist3.
I. Begriff „Krieg“
Zentraler Begriff bei allen unter Ziffer B genannten Beispielklauseln ist das Wort „Krieg“. Fraglich ist, wie der durchschnittliche VN nach der BGH-Rspr. diesen Begriff versteht.
- Bisheriger Diskussionsstand
Die Frage, wie der Begriff „Krieg“ auszulegen ist, beschäftigt die Literatur und Rspr. schon über 100 Jahre. Während des Ersten Weltkriegs hatte schon das Reichsgericht die Frage zu klären, ob der Kriegsausschluss bei einer Einbruchdiebstahlversicherung eingriff4. Die vom Reichsgericht in dieser Entscheidung entwickelten Grundsätze wenden Literatur und Rspr. auch noch heute im Wesentlichen an5. Für die Frage, ob ein Krieg vorliegt, ist nicht das völkerrechtliche Kriegsverständnis relevant6. Vielmehr ist der Anwendungsbereich dieses Begriffs im Versicherungsrecht weiter als im Völkerrecht7. Ausreichend ist das Vorliegen eines „tatsächlichen Kriegszustands“8. Insoweit kann ein Krieg nach dem versicherungsrechtlichen Begriff schon vor Kriegsbeginn oder nach Kriegsende vorliegen9. Mit anderen Worten: Der völkerrechtliche Kriegsbegriff erfüllt immer den versicherungsrechtlichen Kriegsbegriff. Umgekehrt gilt dies aber nicht10. Nach dem Zweiten Weltkrieg wurde dann insbesondere diskutiert, wie weit der zeitliche Anwendungsbereich der Kriegsausschlussklausel reicht. Noch Jahre und Jahrzehnte nach Kriegsende konnten u. a. Schäden durch Blindgänger und noch gelagerte (Kriegs-) Munition eintreten11. Ohne den Zweiten Weltkrieg wären diese Schäden gar nicht entstanden. Insoweit könnte man argumentieren, dass auch diese sog. Spätschäden noch unter den Ausschlusstatbestand fallen.
a) Kausalität
Eine Einschränkung der Kriegsausschlussklauseln wurde durch das Erfordernis der Kausalität vorgenommen. Insbesondere muss der Krieg für den konkret eingetretenen Schaden kausal iSd Äquivalenztheorie geworden sein12. Daran fehlt es beispielsweise, wenn im Krieg Russlands gegen die Ukraine ein Einbruchdiebstahl von einem ukrainischen Staatsbürger in Moskau verübt wird, der mit dem Krieg in keinem Zusammenhang steht, insbesondere nicht durch diesen begünstigt wird. Anhand der Blindgängerschäden wird allerdings deutlich, dass diese Kausalität nach der conditio sine qua non-Formel den Anwendungsbereich des Ausschlusses nur geringfügig einschränkt13. Denn nach dieser Formel wäre es noch immer kausal, wenn ein explodierender Blindgänger noch Jahrzehnte nach Kriegsende einen Schaden anrichtet. Zu diesem Zeitpunkt hat sich aber die allgemeine Lage idR stabilisiert und daher wird ein durchschnittlicher VN nicht damit rechnen, dass für diese Situation der Kriegsausschluss noch eingreift.
Aus dem vorgenannten Grund findet noch eine weitere Einengung der Kriegsausschlussklausel statt. Diese greift nur dann ein, wenn die kriegsbedingten Vorgänge für die versicherte Sache „eine anormale ganz erheblich erhöhte Gefahrenlage“ darstellen, „die in ihrem Eintritt und Ablauf unberechenbar war und der mit dem Einsatz normaler Mittel nicht mehr begegnet werden konnte.14“ Zudem muss diese erhöhte Gefahrenlage adäquat den Schadenfall verursacht haben15. Aus diesem Grund darf der Krieg somit nicht nur ein zufälliges Moment darstellen16. Der Ausschlusstatbestand greift daher nicht ein, wenn sich keine erhöhte Gefahr des Krieges verwirklicht hat17. Dies ist insbesondere dann der Fall, wenn sich das durch den Krieg verursachte Risiko auf einem erhöhten Niveau stabilisiert hat und nunmehr die Umstände angemessen in Versicherungsverträgen – insbesondere hinsichtlich der Prämie – berücksichtigt werden können18. Nicht erforderlich ist es allerdings, dass das gleiche Sicherheitsniveau besteht, das vor dem Krieg vorhanden war. Es wird somit für das Eingreifen des Ausschlusses gefordert, dass beim Schadenfall noch ein enger zeitlicher Zusammenhang mit dem Krieg besteht19. Im konkreten Einzelfall ist dieses Kriterium allerdings nur schwer zu greifen und wird nicht immer einheitlich beurteilt20.
Aus der Formulierung der unter Ziffer B. I. genannten Klauseln („[…] ohne Rücksicht auf mitwirkende Ursachen […]“) wird zudem hinreichend deutlich, dass der Krieg den Schaden nicht alleine verursacht haben muss. Eine Mitursächlichkeit ist somit für dessen Eingreifen ausreichend. Wird ein Brandschaden z. B. durch eine Bombe hervorgerufen, aber durch die mangelhafte Abdeckung des betreffenden Gebiets durch eine Feuerwehr vergrößert, ist der gesamte Schaden nicht erstattungsfähig. Etwas anderes gilt, soweit der Krieg zwar nicht den ursprünglichen Schaden herbeigeführt, diesen aber vergrößert hat. Hier greift der Kriegsausschluss lediglich bezüglich des vergrößerten Schadens ein21. Nur insoweit ist der VR nicht zur Erbringung einer Versicherungsleistung verpflichtet.
b) Weitere Voraussetzungen
In räumlicher Hinsicht ist der Kriegsausschluss nicht beschränkt22. Mit anderen Worten: Der Schaden muss nicht zwingend im Kriegsgebiet selbst eingetreten sein23. Nach überwiegender Ansicht setzt der Begriff Krieg“ zudem voraus, dass mindestens von einer Kriegspartei Waffen – und zwar nicht nur zu Zwecken der Drohung – gebraucht worden oder Streitkräfte auf fremdes Gebiet vorgestoßen sind24. Soweit also weder Waffen eingesetzt werden, noch Streitkräfte ein fremdes Land betreten, greift der Ausschlusstatbestand nicht ein. Zum Teil wird gefordert, dass der Krieg „von einer gewissen Dauer“ sein muss25. Diese Einschränkung ist aber abzulehnen, da eine sachgerechte Eingrenzung bereits durch das Kausalitätserfordernis erfolgt. Insoweit sind auch Kriege vom Ausschluss erfasst, die nur wenige Tage oder sogar Stunden dauern.
c) Anwendbarkeit bei Cyberangriffen
Der Fokus hinsichtlich des Eingreifens der Kriegsausschlussklauseln richtet sich heute auch verstärkt auf die Frage, ob unter dem Begriff „Krieg“ Cyberangriffe fallen können. Es ist strittig, inwieweit solche Angriffe diesen Begriff erfüllen. Teilweise wird vertreten, dass alleinige Cyberangriffe nicht unter den Kriegsbegriff subsumiert werden können26. Dies folge insbesondere aus dem Wortlaut. Unter den Begriff „Krieg“ wird der durchschnittliche VN nur eine physische Auseinandersetzung mit Waffen verstehen. Bei alleinigen Cyberangriffen werden aber gerade keine Waffen im klassischen Sinne eingesetzt und die „Streitkräfte“ treffen auch nur virtuell zusammen27.
Andere verstehen den Kriegsbegriff dahin gehend, dass dieser auch Cyberangriffe umfassen kann. Dies soll insbesondere im Rahmen einer hybriden Kriegsführung, also wenn diese virtuellen Angriffe neben klassischen Waffen eingesetzt werden, der Fall sein28. Für das Eingreifen des Ausschlusses außerhalb der hybriden Kriegsführung ist hingegen nach dieser Ansicht entscheidend, ob der Cyberangriff zu physischen Schäden geführt hat oder bei Fehlen solcher die Auswirkungen des Cyberkriegs einem klassischen Krieg nahekommen29. Allerdings sei diese Stufe – auch bei der Schadsoftware „NotPetya“ – bisher noch nicht erreicht worden30.
- Alleiniger „Cyberkrieg“
Soweit ein alleiniger Cyberkrieg31 vorliegt, also sich die Streitparteien gerade nicht physisch mit Waffengewalt auseinandersetzen, sondern die Angriffe ausschließlich im virtuellen Raum stattfinden, ist nicht einfach zu beurteilen, ob der Kriegsausschluss eingreift. Wie bereits geschildert, ist hier strittig, ob der Ausschluss überhaupt anwendbar ist32. Eine solche Diskussion ist auch Gegenstand von zwei gerichtlichen Verfahren in den USA.
a) Gerichtliche Verfahren in den USA
Im Verfahren Mondelez International Inc. (im Folgenden „Mondelez“) gegen die Zurich American Insurance Company vor dem Circuit Court of Cook County33 geht es um die Frage, ob die Schäden, die bei Mondelez durch die Schadsoftware „NotPetya“ verursacht worden sind, unter die im Sachversicherungsvertrag34 vereinbarte „Exclusion B.2(a)“ fallen, die einen Ausschluss für Schäden im Zusammenhang mit Kriegsereignissen enthält. Dieses Verfahren wurde mittlerweile durch die Parteien im Vergleichswege beendet, sodass eine gerichtliche Klärung der streitgegenständlichen Frage ausgeblieben ist.
In einem anderen Verfahren (Merck & Co Inc. & International Indemnity Ltd. gegen Ace American Insurance Company et. al.) vor dem Superior Court of New Jersey35 wurde hingegen am 6.12.2021 von der zuständigen Richterin ein Zwischenurteil erlassen. Auch in diesem Verfahren geht es ebenfalls um die Frage, ob ein Ausschluss hinsichtlich von der Schadsoftware „NotPetya“ verursachten Schäden im Rahmen einer „All risk“-Sachversicherung eingreift. In diesem Verfahren kam die zuständige Richterin zu der Auffassung, dass der dort vereinbarte Kriegsausschluss für Schäden, die durch „NotPetya“ verursacht worden sind, nicht eingreife. Dieses Ergebnis begründete sie im Wesentlichen mit dem Wortlaut der Klausel. Aus diesem werde der VN entnehmen, dass nur solche Fälle erfasst seien, die durch bewaffnete Streitkräfte („armed forces“) verursacht werden.
Die in den vorgenannten Verfahren verwendeten Kriegsausschlussklauseln weisen allerdings erhebliche Abweichungen beim Wortlaut im Vergleich zu den deutschen Klauseln auf, da sie detaillierter die Voraussetzungen für deren Anwendbarkeit regeln. Insoweit sind die Aussagen der amerikanischen Gerichte zum Kriegsausschluss – schon aufgrund des abweichenden Wortlauts – nur sehr eingeschränkt auf die deutschen Ausschlussklauseln übertragbar. Lediglich dort, wo die Voraussetzungen unter beiden Klauselgestaltungen identisch sind, kann man sich die Argumentation der amerikanischen Gerichte zunutze machen.
b) Auslegung des Kriegsbegriffs
Eine Auslegung des Kriegsbegriffs nach den Grundsätzen der Rspr. des BGH ergibt, dass Schäden, die durch einen alleinigen Cyberkrieg verursacht worden sind, nicht unter den Kriegsausschluss fallen. Hierbei ist zunächst vom Wortlaut auszugehen. Der Wortlaut spricht von Krieg. Nach dem Duden handelt es sich hierbei um einen „mit Waffengewalt ausgetragenen Konflikt zwischen Staaten, Völkern“ oder um eine „größere militärische Auseinandersetzung, die sich über einen längeren Zeitraum erstreckt“36. Dieses Verständnis vom Wort „Krieg“ wird auch der durchschnittliche VN besitzen. Er wird den Begriff „Krieg“ insbesondere unter den historischen Eindrücken der vergangenen Kriege auslegen. Hierbei handelte es sich aber stets um bewaffnete Konflikte zwischen zwei oder mehreren Staaten. Er wird somit als wesentliche Merkmale des Krieges den physischen Einsatz von Waffen und/oder den Einmarsch von militärischen Truppen in ein fremdes Gebiet ansehen. Bereits nach dem Wortlaut fällt somit ein Cyberkrieg nicht unter den Begriff „Krieg“.
Dieses Ergebnis wird auch durch die systematische Auslegung gestützt. In den unter Ziffer B. I. genannten Beispielklauseln sind noch weitere Begriffe enthalten, die der durchschnittliche VN bei seiner Auslegung berücksichtigen wird. Auch diese Begriffe rufen bei ihm den Eindruck hervor, dass es für die Anwendung des Ausschlusstatbestandes entscheidend auf eine physische Auseinandersetzung und nicht auf eine reine virtuelle „Kriegsführung“ ankommt. Diese zusätzlichen Begriffe prägen daher maßgeblich das Verständnis des durchschnittlichen VN mit, wie er der Begriff „Krieg“ versteht37.
Allenfalls könnte noch überlegt werden, ob eine andere Auslegung des Wortes „Krieg“ in der Beispielklausel der Cyberversicherung vorzunehmen ist. Dies ist aber zu verneinen. Es ist kein Grund ersichtlich, warum ein durchschnittlicher VN den Kriegsausschluss bei Cyberversicherungen anders verstehen sollte als bei Sachversicherungen. Insbesondere wird die Art der Versicherung nicht sein Wortverständnis des Begriffs „Krieg“ entscheidend verändern.
Irrelevant für die Frage, ob ein Cyberkrieg unter den Kriegsausschluss fällt, ist es ebenfalls, ob der Cyberkrieg vom Umfang her einem klassischen Krieg entspricht und entsprechende Sachschäden hervorruft. Nach der Rspr. des BGH sind Ausschlussklauseln grundsätzlich eng auszulegen und sie schränken den Versicherungsschutz nicht weiter ein, „als es ihr Sinn unter Beachtung ihres wirtschaftlichen Zwecks und der gewählten Ausdrucksweise erfordert“38. Diese Schwelle ist aber hier überschritten. Wie bereits oben dargelegt, wird der durchschnittliche VN gerade nicht erwarten, dass auch Cyberkriege unter diesen Ausschluss fallen, sodass bereits die durch den VR gewählte Ausdrucksweise die Reichweite des Ausschlusses begrenzt. Zudem stellt die Anwendung auf gleichartige Sachverhalte eine Analogie dar. Eine solche Analogie ist grundsätzlich – insbesondere bei der gebotenen engen Auslegung von Risikoausschlüssen – unzulässig39.
Zusammenfassend lässt sich somit festhalten, dass ein alleiniger Cyberkrieg nicht unter den Begriff „Krieg“ subsumiert werden kann und der Kriegsausschluss daher zumindest diesbezüglich nicht eingreift.
- Hybrider Krieg
Es stellt sich aber auch noch die Frage, ob Schäden im Rahmen einer hybriden Kriegsführung dem Kriegsausschluss unterfallen. Bei einer hybriden Kriegsführung werden sowohl die Elemente eines klassischen als auch eines Cyberkrieges von den Kriegsparteien verwendet. Bei Schäden durch virtuelle Angriffe ist bei der Anwendbarkeit des Ausschlusses wie folgt zu unterscheiden: Werden diese Angriffe als Unterstützung der klassischen Kriegsführung vorgenommen, sind Schäden durch diese vom Kriegsausschluss noch als umfasst anzusehen. Dies ist insbesondere der Fall, wenn durch den Cyberangriff die Stellungen der feindlichen Armee in Erfahrung gebracht, Verteidigungssysteme funktionsunfähig gemacht oder Raketen mit falschen Zielinformationen versehen werden. Auch wenn die Anwendbarkeit nicht unproblematisch ist40, besteht hier noch die notwendige (Mit-)Ursächlichkeit zwischen dem Krieg und den konkret eingetretenen Schäden. Schließlich hat der Krieg den Anlass für die virtuellen Angriffe gegeben41.
Nicht vom Versicherungsschutz ausgeschlossen sind hingegen virtuelle Angriffe im Rahmen der hybriden Kriegsführung, die nicht durch den Krieg veranlasst worden sind. Insbesondere fallen hierunter Angriffe, die die klassische Kriegsführung nicht unterstützen. Schäden, die allein auf solchen virtuellen Angriffen beruhen und bei denen der Krieg keine Mitursächlichkeit hatte, sind somit weiterhin versichert. Beispielsweise könnte hier an Ransomware-Attacken gedacht werden, die im gleichen Umfang auch ohne den Krieg vorgenommen worden wären und die den Krieg auch nicht finanziell unterstützen sollen.
II. Begriff „kriegsähnliche Ereignisse“
Der Kriegsausschluss wird auch nicht deshalb bei Cyberangriffen anwendbar, weil in der Beispielklausel Sachversicherungen neben dem Begriff „Krieg“ auch noch „kriegsähnliche Ereignisse“ erwähnt werden. Es wird bereits nicht einheitlich beurteilt, ob dem Begriff „kriegsähnliche Ereignisse“ ein eigenständiger Anwendungsbereich zukommt42. Zudem ist unklar, wie die Ähnlichkeit dieser Ereignisse beschaffen sein soll oder zu bestimmen ist43. Selbst wenn man allerdings diese Ähnlichkeit bestimmen kann44, wird man zumindest verlangen müssen, dass es zu einem bewaffneten Konflikt kommt, da dies eine wesentliche Voraussetzung des Krieges darstellt. Daher können Cyberangriffe, die nicht im Zusammenhang mit einem klassischen Krieg und ausschließlich im virtuellen Raum stattfinden, auch nicht unter den Begriff „kriegsähnliches Ereignis“ subsumiert werden.
III. Verständnis vom Begriff „Cyberwar“ bzw. „Cyberkrieg“
Wie bereits erwähnt, wird in den Versicherungsbedingungen teilweise der Begriff „Cyberwar“ oder „Cyberkrieg“ verwendet. Soweit in den Bedingungen diese Begriffe nicht ausdrücklich definiert werden, stellt sich die Frage, wie ein durchschnittlicher VN diese versteht. Auszugehend ist auch hier von der Wortlautauslegung. Der durchschnittliche VN wird zunächst erkennen, dass der Begriff aus zwei Bestandteilen besteht: zum einen „Cyber“, zum anderen „War“ bzw. „Krieg“. Da das englische Wort „War“ mit „Krieg“ übersetzt werden kann, wird im Folgenden davon ausgegangen, dass der durchschnittliche VN beiden Wörtern dieselbe Bedeutung zumisst.
Aus dem Wortbestandteil „Cyber“ leitet der durchschnittliche VN her, dass die Angriffe nicht physischer Art sein müssen, sondern im virtuellen Raum stattfinden. Insoweit werden physische Angriffe, wie diese beim klassischen Krieg vorliegen, von diesem Begriff nach seinem Verständnis gerade nicht erfasst. Aus dem weiteren Wortbestandteil „Krieg“ zieht der durchschnittliche VN den Rückschluss, dass nicht jegliche Angriffe im virtuellen Raum ausreichend sind, um den Ausschlusstatbestand zu erfüllen. Vielmehr müssen durch diese Angriffe mit einem Krieg vergleichbare Zustände hervorgerufen werden. Hieraus wird er zwei Schlussfolgerungen ziehen: Zum einen muss es sich auch bei einem Cyberkrieg um einen Angriff von einem Staat auf mindestens einen anderen Staat handeln. Nicht ausreichend ist somit, wenn der Cyberangriff alleine einer Privatperson bzw. einem Privatunternehmen gilt45. Dies ergibt sich bereits daraus, dass der durchschnittliche VN die staatliche Beteiligung als einen wesentlichen Bestandteil des Begriffs „Krieg“ ansehen wird. Diesbezüglich werden in der Praxis aber häufig Nachweisprobleme existieren46. Auf der anderen Seite dürfen die Angriffe auch nicht lediglich von Privatpersonen oder Privatunternehmen ohne jegliche staatliche Unterstützung ausgehen47. Auch diese Angriffe fallen daher nicht unter den Begriff „Cyberwar“ bzw. „Cyberkrieg“.
Zum anderen muss auch eine mit einem Krieg vergleichbare Gefahr durch den Cyberangriff hervorgerufen werden. Insoweit reicht nicht jegliche Schadengefahr aus, sondern es muss der Eintritt von erheblichen Schäden entweder für das Vermögen und/oder Personen und/oder Sachen drohen, oder es müssen erhebliche Bereiche des angegriffenen Staates beeinträchtigt sein. Insoweit sind die Voraussetzungen für einen Cyberkrieg dann nicht erfüllt, wenn der Cyberangriff lediglich das Ausspähen von Informationen zum Gegenstand hat, ohne hierdurch die Funktionsfähigkeit des entsprechenden IT-Systems zu beeinträchtigen.
Zusammenfassend lässt sich somit festhalten, dass unter den Begriff „Cyberwar“ bzw. „Cyberkrieg“ Angriffe eines Staates unter ausschließlicher Nutzung des virtuellen Raums zu verstehen sind, die sich gegen andere Staaten richten und geeignet sind, erhebliche Schäden für das Vermögen, Sachen und/oder Personen herbeizuführen oder erhebliche Bereiche des angegriffenen Staates zu beeinträchtigen. Zu empfehlen ist allerdings, dass eine explizite Definition dieser Begriffe in die Versicherungsbedingungen aufgenommen wird – wie dies bereits häufig erfolgt –, damit Konflikte bei der Auslegung bereits im Vorfeld vermieden werden.
IV. Eingrenzungen bei Cyberangriffen
Bei denjenigen Klauseln, die auch Cyberangriffe – z. B. im Rahmen von Cyberkriegen – vom Versicherungsschutz ausschließen, stellt sich die Frage, ob deren Anwendungsbereich über die vorgenannten Voraussetzungen hinaus einzuschränken ist. Dies ist zu bejahen. Der Cyberkrieg muss – wie bei klassischen Kriegsereignissen auch – kausal für den konkreten Schadenfall geworden sein. Teilweise ergibt sich diese Notwendigkeit bereits aus dem Wortlaut, da Schäden ausgeschlossen werden, die „durch“ das jeweilige vorgenannte Ereignis verursacht worden sind. Aber selbst wenn der Wortlaut diesbezüglich nicht ausdrücklich darauf hinweisen würde, besteht trotzdem ein Kausalitätserfordernis. Denn der Ausschluss kann nur insoweit zur Anwendung kommen, wie er den konkreten Schaden auch beeinflusst hat. Wäre ein Schaden hingegen genauso auch ohne den Cyberkrieg eintreten, besteht kein Bedürfnis für die Anwendung des Ausschlusses. Daher sind die Kausalitätsanforderungen, die bei klassischen Kriegsausschlussklauseln gelten48, sinngemäß auch auf Klauseln anzuwenden, die Schäden im Zusammenhang mit Cyberkriegen ausschließen.
Dies bedeutet zunächst, dass der Cyberkrieg kausal im Sinne der conditio sine qua non-Formel für den Schaden geworden sein muss. Insoweit darf der Cyberkrieg nicht hinweggedacht werden können, ohne dass der konkret eingetretene Schaden entfiele49. Hiernach fallen Schäden aus dem Anwendungsbereich der Ausschlussklausel heraus, bei denen der Cyberkrieg keinen – auch keinen mittelbaren – Einfluss auf den Schaden hatte. Dies ist beispielsweise dann der Fall, wenn eine Hackergruppe unabhängig von den vorgenannten Vorgängen Cyberangriffe bei angegriffenen Staaten oder bei Unternehmen, die im Kriegsgebiet einer Konfliktpartei liegen, durchführen. Zu diesen Angriffen wäre es auch in denselben Umfang ohne den Krieg gekommen, sodass dieser keinen Einfluss auf die eingetretenen Schäden hatte. Wird hingegen im Rahmen eines Cyberkriegs eine Schadsoftware eingesetzt, die zwar in erster Linie die IT-Systeme im angegriffenen Staat befallen soll, aber auch IT-Systeme außerhalb infizieren kann, ist eine Kausalität zu bejahen.
Die vorgenannte Voraussetzung reicht allerdings allein nicht aus, um den zu weiten Anwendungsbereich der Klausel zu begrenzen. Vielmehr muss der Cyberkrieg auch eine anormale, ganz erheblich erhöhte Gefahrenlage hervorgerufen und diese den konkreten Schaden adäquat verursacht haben. In diesem Zusammenhang stellt sich zunächst die Frage, wann eine erheblich erhöhte Gefahrenlage durch einen Cyberkrieg hervorgerufen wird. Dies ist – in Anlehnung an die Einschränkung beim klassischen Krieg – dann nicht mehr der Fall, wenn der Cyberkrieg beendet ist. Somit bleiben Schadenfälle weiterhin gedeckt, die in keinem engen zeitlichen Zusammenhang mit dem Cyberrieg eintreten sondern erst einige Zeit danach.
Des Weiteren wird man eine erheblich erhöhte Gefahrenlage nur dann annehmen können, wenn durch den Cyberkrieg die Gefahr von Cyberangriffen erhöht wird. Dies ist beispielsweise dann der Fall, wenn eine Kriegspartei IT-Verteidigungssysteme ausschaltet und es dadurch auch Dritten erleichtert wird, Cyberangriffe zu verüben. Auch die von den Kriegsparteien eingesetzte Schadsoftware stellt eine erheblich erhöhte Gefahrenlage dar, soweit sie nicht zielgerichtet ist und sich unkontrolliert – also auch auf IT-Systemen von Unbeteiligten – verbreiten kann. Hingegen ist die Gefahrenlage für Unternehmen, die nicht den beteiligten Kriegsparteien angehören und diese auch nicht unterstützen (z. B. durch Waffen- oder Warenlieferungen), für zielgerichtete Cyberangriffe nicht durch den Cyberkrieg erhöht. Auch im Rahmen eines Cyberkrieges ist es nämlich für zielgerichtete Angriffe nicht wahrscheinlich, dass hiervon unbeteiligte Dritte betroffen werden. Für Schäden bei diesen Unternehmen besteht somit auch dann Versicherungsschutz, wenn sie durch einen virtuellen Angriff einer Kriegspartei verursacht werden.
Eine räumliche Einschränkung ist hingegen auch bei denjenigen Klauseln, die einen Cyberkrieg vom Versicherungsschutz ausschließen, eher die Ausnahme. Hier gelten somit auch die zum klassischen Kriegsausschluss getätigten Ausführungen entsprechend50. Insoweit kommt es – soweit eine räumliche Einschränkung nicht ausdrücklich in der Klausel enthalten ist – für die Anwendung des Ausschlusses nicht darauf an, wo konkret der Schadenfall eintritt. Allerdings stellen sich insbesondere bei Cyberangriffen, die auf Unternehmen verübt werden, die ihren Sitz in einem Staatsgebiet eines nicht angegriffen Landes haben, Nachweisprobleme hinsichtlich der Kausalität51.
D. Darlegungs- und Beweislast
Da es sich bei allen Kriegsausschlussklauseln um Risikoausschlüsse handelt, ist der VR nach den allgemeinen Grundsätzen dafür verantwortlich, die Voraussetzungen für das Eingreifen des Ausschlusses darzulegen und zu beweisen52. Insoweit ist vom ihm der Vollbeweis nach § 286 ZPO zu erbringen.
Problematisch ist die Erfüllung der Darlegungs- und Beweislast bei Kriegsausschlussklauseln, die Cyberangriffe im Rahmen von Cyberkriegen vom Versicherungsschutz ausschließen. Dies hängt insbesondere mit der Anonymität des Internets zusammen. Insoweit kann idR nicht sicher festgestellt werden, von welcher konkreten Person der Angriff ausgegangen ist. Für den Nachweis, dass die Voraussetzungen des Ausschlusses vorliegen, ist es aber im Rahmen von § 286 ZPO nicht ausreichend, dass lediglich ein staatlicher Zusammenhang der Angriffe vermutet wird. Vielmehr müssen vom VR Tatsachen vorgetragen und bewiesen werden, die einen sicheren Rückschluss auf die Identität des Angreifers und dessen Unterstützung durch einen Staat zulassen. Dieser Nachweis wird dann noch zusätzlich erschwert, wenn Cyberangriffe auf Unternehmen vorgenommen werden, die außerhalb des Staatsgebiets eines angegriffenen Staates liegen. Hier stellt sich insbesondere die Frage, ob überhaupt noch ein Zusammenhang mit dem Cyberkrieg besteht.
E. Fazit
Die Auslegung der Kriegsausschlussklauseln ist durch die voranschreitende Digitalisierung nicht einfacher geworden. Festzuhalten ist, dass Cyberangriffe im Rahmen eines alleinigen Cyberkrieges nicht von klassischen Kriegsausschlussklauseln, die lediglich die Begriffe „Krieg“ oder „kriegsähnliche Ereignisse“ verwenden, erfasst sind. Bei der hybriden Kriegsführung wird man hingegen unterscheiden müssen, ob die Cyberangriffe noch kausal auf den Krieg zurückzuführen sind oder nicht. Nur im ersten Fall können die klassischen Kriegsausschlussklauseln eingreifen.
Auch auf Kriegsausschlussklauseln, die für Cyberangriffe anwendbar sind, sind die Anforderungen hinsichtlich der Kausalität bei klassischen Kriegsausschlussklauseln zu übertragen. Der Cyberkrieg muss eine anormale, ganz erheblich erhöhte Gefahrenlage hervorgerufen und diese den konkreten Schaden adäquat verursacht haben.
Hoffentlich wird sich die Praxisrelevanz von Kriegsausschlussklauseln auch in nächster Zeit nicht signifikant erhöhen. Es soll bei allen Diskussionen über den Kriegsausschluss nämlich nicht vergessen werden:
„War […] What is it good for? […] Absolutely nothing […]“ (Text aus dem Song „War“ von Edwin Starr).
1 BGH, Urt. v. 6.7.2016 – IV ZR 44/15, r+s 2016, 466 (467) mwN.
2 BGH, Urt. v. 25.5.2011 – IV ZR 117/09, r+s 2011, 295 (296).
3 St. Rspr., BGH, Urt. v. 20.7.2016 – IV ZR 245/15, NJW-RR 2016, 1505 (1507) mwN.
4 RG, Urt. v. 8.7.1917 – VII 114/17, RGZ 90, 378.
5 Vgl. hierzu Rapp, VersR 2020, 136 (143 ff.); Dahlke, VersR 2003, 25.
6 Armbrüster, in: Prölss/Martin, 31. Aufl. 2021, AFB 2010 § 2 Rn. 2.
7 Krahe, VersR 1991, 634.
8 RG, Urt. v. 8.7.1917 – VII 114/17, RGZ 90, 378.
9 Dahlke, VersR 2003, 25; Schneider, in: Höra, Münchener Anwaltshandbuch Versicherungsrecht, 5. Aufl. 2022, § 5 Rn. 65.
10 So Krahe, VersR 1991, 634.
11 Siehe hierzu die Übersicht in r+s 2012, 498 f. und bei Krahe, in: Wälder/Hoenicke/Krahe, Sach- und Betriebsunterbrechungsversicherung, 2022, G. Rn. 22.
12 RG, Urt. v. 8.7.1917 – VII 114/17, RGZ 90, 378; Fricke, VersR 1991, 1098.
13 Krahe, VersR 1991, 634.
14 BGH, Urt. v. 28.11.1951 – II ZR 7/51, BeckRS 1951, 31202583; BGH, Urt. v. 2.5.1951 – II ZR 110/50, NJW 1951, 884 (884 f.). Häufig wird diese Frage im Rahmen der Adäquanz diskutiert. Die Frage, ob sich diese Einschränkung tatsächlich aus den Grundsätzen der Adäquanz herleitet oder nicht vielmehr richtigerweise der „Schutzzweck des Ausschlusses“ dessen Anwendungsbereich in diesem Fall einschränkt, ist eher theoretischer Natur und soll daher hier nicht weiter vertieft werden.
15 BGH, Urt. v. 28.11.1951 – II ZR 7/51, BeckRS 1951, 31202583.
16 Armbrüster, in: Prölss/Martin, 31. Aufl. 2021, AFB 2010 § 2 Rn. 2.
17 Fricke, VersR 1991, 1098; Armbrüster, in: Prölss/Martin, 31. Aufl. 2021, AFB 2010 § 2 Rn. 2.
18 Krahe, in: Wälder/Hoenicke/Krahe, Sach- und Betriebsunterbrechungsversicherung, 2022, G. Rn. 14; Armbrüster, in: Prölss/Martin, 31. Aufl. 2021, AFB 2010 § 2 Rn. 5. mwN.
19 Gierschek, in: Dietz/Fischer/Gierschek, Wohngebäudeversicherung, 3. Aufl. 2014, VGB 2010 – Wert 1914 § 1A Rn. 37; Rüffer, in: HK-VVG, 4. Aufl. 2020, AFB 2010 § 2 Rn. 2.
20 Siehe hierzu die Übersicht bei Krahe, in: Wälder/Hoenicke/Krahe, Sach- und Betriebsunterbrechungsversicherung, 2022, G. Rn. 22.
21 BGH, Urt. v. 2.5.1951 – II ZR 110/50, NJW 1951, 884 (885).
22 RG, Urt. v. 8.7.1917 – VII 114/17, RGZ 90, 378.
23 Vgl. hierzu schon RG, Urt. v. 8.7.1917 – VII 114/17, RGZ 90, 378.
24 Fricke, VersR 1991, 1098 (1100) mwN; Gierschek, in: Dietz/Fischer/Gierschek, Wohngebäudeversicherung, 3. Aufl. 2014, VGB 2010 – Wert 1914 § 1A Rn. 36.
25 Mangen, in: Beckmann/Matusche-Beckmann, Versicherungsrechts-Handbuch, München, 3. Aufl. 2015, § 47 Rn. 65.
26 Fortmann, r+s 2019, 429 (433); Klimke, in: Prölss/Martin, 31. Aufl. 2021, AVB Ziffer Ziff. A1-17 Rn. 8.
27 Fortmann, r+s 2019, 429 (433); Klimke, in: Prölss/Martin, 31. Aufl. 2021, AVB Ziffer Ziff. A1-17 Rn. 8.
28 Günther, VW 2022, 68 (70); so auch wohl Salm, in: HK-VVG, 4. Aufl. 2020, AVB Cyber Ziff. A1-17 Rn. 2, der das Eingreifen des Ausschlusses anhand verschiedener Merkmale (wie Zwischenstaatlichkeit, Dauererfordernis, Ort, Ausmaß des Cyberkrieges als auch physische Schäden) prüfen möchte.
29 Günther, VW 2022, 68 (70).
30 Günther, VW 2022, 68 (70).
31 Zur Definition dieses Begriffs siehe Ziffer C. III.
32 Siehe zum Streitgegenstand Ziff. C. I.1. c).
33 Az. 2018 L 01108.
34 Teilweise wird fälschlicherweise angenommen, bei dem Versicherungsvertrag handele es sich um eine Cyber- und nicht um eine Sachversicherung.
35 Az. UNN-L-2682-18.
36 Stichwort „Krieg“ auf Duden online (https://www.duden.de/rechtschreibung/Krieg, zuletzt abgerufen am 2.7.2022).
37 So auch Rixecker, in: Langheid/Rixecker, Versicherungsvertragsgesetz, 6. Aufl. 2019, § 28 Rn. 21.
38 BGH, Urt. v. 27.6.2012 – IV ZR 212/10, r+s 2012, 490 (491).
39 Vgl. BGH, Urt. v. 15.2.2006 – IV ZR 192/04, r+s 2006, 199 (200).
40 Bzgl. der Anwendbarkeit des Ausschlusses auch zweifelnd: Klimke, in: Prölss/Martin, 31. Aufl. 2021, AVB Ziffer Ziff. A1-17 Rn. 8.
41 Im Ergebnis ebenfalls bejahend Günther, VW 2022, 68 (70).
42 So wird von Gierschek, in: Dietz/Fischer/Gierschek, Wohngebäudeversicherung, 3. Aufl. 2014, VGB 2010 – Wert 1914 § 1A Rn. 38 vertreten, dass neben dem weiten Anwendungsbereich des Begriffs „Krieg“ kein Anwendungsbereich mehr für kriegsähnliche Ereignisse verbleibt.
43 Siehe hierzu die Ausführungen bei Krahe, in: Wälder/Hoenicke/Krahe, Sach- und Betriebsunterbrechungsversicherung, 2022, G. Rn. 16. mwN.
44 So werden von Ehlers, r+s 2002, 133 (137) u. a. folgende Konflikte hierunter verstanden: Grenzkonflikte, von der Staatsgewalt geplante Terroranschläge, aber auch Blockade von Schiffen und Gütern wie im Irak/Iran-Krieg oder im Suez-Konflikt 1967; Klimke, in: Prölss/Martin, 31. Aufl. 2021, VHB 2016 Ziff. A1 Rn. 5 hingegen definiert den Begriff als bewaffnete Auseinandersetzungen unter Gruppen und Staaten mit militärischer Organisation.
45 AA Salm, in: HK-VVG, 4. Aufl. 2020, AVB Cyber Ziff. A1-17 Rn. 3.
46 Siehe hierzu Ziffer D.
47 Auch hier aA Salm, in: HK-VVG, 4. Aufl. 2020, AVB Cyber Ziff. A1-17 Rn. 3.
48 Siehe hierzu Ziffer C. I.1. a).
49 Oetker, in: MünchKomm-BGB, 9. Aufl. 2022, BGB § 249 Rn. 103 mwN.
50 Siehe hierzu Ziffer C. I.1. b).
51 Siehe hierzu Ziffer D.
52 Schimikowski, Versicherungsvertragsrecht, 6. Aufl. 2017, Rn. 261.
Prof. Dr. Michael Fortmann, LL. M.: Der Autor ist Professor für Versicherungsrecht und Haftpflichtversicherung am Institut für Versicherungswesen (ivwKöln) der TH Köln.