Fehlerhaftes Backup löst hohen Vermögensschaden aus

Fallstricke der IT-Haftpflichtversicherer

19.07.2006
Ralph Günther
Artikel teilen:

Teil 1 | Teil 2 | Teil 3 | Teil 4 | Teil 5 | Teil 6 | Teil 7 | Teil 8 | Teil 9 | Teil 10 | Teil 11

Ohne IT-Haftpflichtversicherung begeben sich IT-Freiberufler auf dünnes Eis, denn schon ein kleiner Fehler kann verheerende Wirkung haben. Dieses Risikos sind sich nicht nur die freiberuflichen IT-Experten bewusst, sondern auch immer mehr Auftraggeber, die deshalb von ihren externen IT-Dienstleistern den Abschluss einer IT-Haftpflichtversicherung fordern. Jedoch ist das Vorhandensein einer solchen nicht immer eine Garantie, dass diese für einen auftretenden Schaden auch voll haftet. So versuchen Versicherer durch Ausschlussklauseln, geringe Deckungssummen oder Einschränkung von Folgeschäden ihre Leistungspflicht zu reduzieren. Der GULP Versicherungsexperte Ralph Günther erläutert anhand eines Praxisbeispiels, welche Klauseln einer IT-Haftpflichtversicherung sich im Schadenfall als Fallstricke erweisen können.

Ein mittelständischer IT-Dienstleister, der auf Netzwerke, Systemintegration und automatische Datenarchivierungssysteme spezialisiert ist, bekam den Auftrag, für ein Investmentberatungsunternehmen ein System zur umfassenden Datensicherung zu planen, zu installieren und anschließend laufend zu betreuen. Das Anforderungsprofil des Kunden: Alle elektronischen Daten (Nachrichten, Beratungsprotokolle, Vertragsdaten, Vorlagen, Korrespondenz, etc.) mit einem Datenvolumen von ca. 100 GB sollten automatisch über ein Backup-System täglich gesichert werden. Der IT-Dienstleister implementierte daraufhin ein Backup-System, das jeden Abend eine Sicherungskopie der einzelnen neuen und veränderten Arbeitsplatzdaten erstellte sowie einmal in der Woche eine Komplettkopie sämtlicher Daten. Dabei wurde auch ein System integriert, das den Erfolg der Backuperstellung automatisch überprüft, dokumentiert und per Mail eine "Vollzugsbestätigung" an den Systemadministrator vor Ort versendet.

Schadenhergang

Nach einem dreiviertel Jahr meldete das Kontrollsystem folgenden Fehler: "Ein Tagesbackup konnte nicht erstellt werden!" Ein Servicemitarbeiter des IT-Dienstleisters wurde daraufhin zur Überprüfung und Behebung des Fehlers gerufen. Dieser stellte einen Fehler des Kontrollmeldesystems (nicht des Backup-Systems!) fest und behob diesen. Eine vollständige Kontrolle der Backups nahm er jedoch an diesem Tag nicht mehr vor. Ebenfalls unterblieb die Überprüfung der Qualität und Vollständigkeit der erstellten Backups. Der Mitarbeiter vereinbarte zwar einen weiteren Servicetermin für eine vollständige Systemkontrolle, der jedoch nicht wahrgenommen wurde. Die Investmentgesellschaft erinnerte nach dem ausgefallenen Termin noch einmal an den ausstehenden Service.

Kurz darauf führte ein gewitterbedingter Überspannungsschaden zur Zerstörung der Daten auf den Arbeitsplatzsystemen der Investmentberatungsgesellschaft. Beim Versuch der Rücksicherung der Daten vom installierten Backup-System wurde festgestellt, dass kein brauchbares Backup vorhanden war. Der Grund: Tatsächlich hatte das Backup-System seit ca. einem Jahr nicht (mehr) richtig funktioniert, was jedoch trotz Servicetermin unbemerkt blieb. Die Backup-Festplatten wurden (ohne Kenntnis des IT-Dienstleisters) auch zur Abspeicherung anderer Daten benutzt, weswegen die Kapazität für die täglichen Backups nicht mehr ausreichte. In Folge wurden nur noch unbrauchbare Fragmente gespeichert. Dies hätte der zur Wartung erschienene Mitarbeiter der IT-Firma jedoch bemerken und Abhilfe schaffen können, wenn er dies gewissenhaft geprüft hätte.

Schadensumfang

Die Investmentberatungsgesellschaft musste alle Kunden und Vertragsdaten in Handarbeit aus Akten und anderen Quellen nachpflegen. Dazu wurden erhebliche Überstunden der Angestellten geleistet, wofür die Geschädigte neben dem normalen Lohn entsprechende Zuschläge zahlen musste. Eine erste Schätzung der Geschädigten lag noch im niedrigen fünfstelligen Euro-Bereich. Doch schnell wurde klar, dass die Datenrekonstruktion viel aufwändiger sein würde, als es zunächst den Anschein hatte. Ein vom Versicherer eingeschalteter Gutachter taxierte den Schaden auf ca. 175.000 Euro (6.500 Arbeitsstunden). Zudem hatte die Firma für einen längeren Zeitraum keine Möglichkeit, zeitnah auf die notwendigen Kundendaten zuzugreifen, um Investmentgeschäfte anzubahnen und durchzuführen. Als Folge wechselten "vernachlässigte" Bestandskunden ihre Beratungsgesellschaft. Zudem konnten Neukunden nur schwer akquiriert werden (Imageschaden). Die Schätzungen für diesen entgangenen Umsatz und Gewinn wurde auf bis zu 150.000 Euro geschätzt. In Summe wurde somit eine Schadenhöhe von 325.000 Euro festgestellt.

Schadenabwicklung

Der IT-Dienstleister hatte im Juni 2003 eine IT-Haftpflichtversicherung abgeschlossen. Die Deckungssummen wurden dabei mit 1,5 Mio. Euro pauschal für Personen- Sach- und Vermögensschäden mit einer festen Selbstbeteiligung von 1.000 Euro vereinbart. Der Versicherer wurde durch die IT-Firma sofort vom Schaden unterrichtet und konnte sich entsprechend früh dem Schaden annehmen. Die geschädigte Investmentfirma erhielt eine Zahlung über 130.000 Euro. Darüber hinaus trug der Versicherer die Gutachterkosten in Höhe von ca. 5.000 Euro. Im Gegenzug verzichtete die Investmentfirma auf die Geltendmachung des Folgeschadens durch entgangenen Gewinn. Nicht unerheblich dürfte dabei der Umstand gewesen sein, dass z.B. ohne Wissen des IT-Dienstleisters auch andere Daten auf den Festplatten gespeichert wurden (Stichwort "Mitverschulden") und ein erheblicher Aufwand bestanden hätte, den entgangenen Gewinn zu beziffern und tatsächlich nachzuweisen. (Anmerkung: Den Nachweis des entstandenen (Folge-)Schadens hat der Geschädigte zu erbringen.) So konnte durch den Vergleich ein langwieriger Streit mit einem nicht unerheblichem Rechtsanwalts- und Gerichtskostenrisiko für die Geschädigte vermieden werden.

Wäre der Schaden bei jedem Versicherer voll abgedeckt gewesen?

Der dargestellte Fall ist für den Verursacher (und wohl auch für die Geschädigte) gut verlaufen, da seine IT-Haftpflichtversicherung den Schaden übernommen, den Vergleich geschlossen und die Vergleichsumme zeitnah an die Geschädigte ausgezahlt hat. Der mittelständische IT-Dienstleister hätte wohl weder das Know-how für diesen Vergleich, noch die finanziellen Mittel für die geleistete Schadenzahlung kurzfristig verfügbar gehabt. Dieser positive Verlauf einer Schadenregulierung ist jedoch nicht automatisch zu erwarten. Folgende Fallstricke halten u. a. Versicherer mit "suboptimalen" Versicherungsbedingungen bereit:

1. Fallstrick: Zu niedrige Deckungssummen

Die Mehrzahl der am Markt angebotenen IT-Haftpflichtversicherungen sehen eine Aufspaltung zwischen Personen-, Sach- und Vermögensschäden vor. Jedoch gibt es keine hinreichend gesicherte Rechtssprechung, die eine Abgrenzung zwischen Sach- und Vermögensschäden bei IT-Schadenfällen eindeutig macht. So entschied das OLG Karlsruhe in einem Fall 1996 auf Sachschaden, wohingegen das LG Konstanz 1997 zur gegenteiligen Auffassung gelangte. Da gerade die großen Versicherungsgesellschaften für reine Vermögensschäden erheblich niedrigere Deckungssummen (meist 25.000 bis 50.000 Euro) in ihren Verträge ausweisen, kann dies - wie der beschriebene Fall zeigt - enorme Risiken bergen. Setzt man voraus, dass es sich bei diesem Schaden um einen reinen Vermögens- und Vermögensfolgeschaden handelt (zu dieser Auffassung gelangte übrigens auch der involvierte Versicherer), wären bei einem Vertrag mit einer Deckungssumme für Vermögensschäden von 50.000 Euro tatsächlich 80.000 Euro der Schadenzahlung beim IT-Dienstleister "hängen geblieben". Und dies trotz bestehender IT-Haftpflichtversicherung! Bei einem langwierigen Rechtsstreit hätte zudem die IT-Firma u. U. anteilig die übersteigenden Anwalts- und Gerichtskosten tragen müssen. Die IT-Firma hatte jedoch einen Vertrag, der keine Unterscheidung von Sach- und Vermögensschäden vornimmt und unabhängig davon eine Deckungssumme bis zu 1,5 Mio. Euro zur Verfügung stellt.

Der Vollständigkeit halber sei auch erwähnt, dass Versicherer in ihren Policen auf den ersten Blick hohe Deckungssummen für Vermögensschäden ausweisen, diese dann jedoch im Bezug auf "EDV-Vermögensschäden" in den beigefügten, umfangreichen Versicherungsbedingungen wieder deutlich reduzieren. Eine rechtsichere Definition, was diese Versicherer unter einem EDV-Vermögensschaden letztendlich verstehen, konnte in den Versicherungsbedingungen bisher nicht gefunden werden. Auch die teilweise vorgenommene Abgrenzung und Unterscheidung von "besonderen Vermögensschäden" ist sehr problematisch.

2. Fallstrick: Experimentier- oder Erprobungsklauseln

Einige Versicherer haben anscheinend bewusst oder unbewusst Ausschlüsse in den Versicherungsbedingungen aus anderen Branchensparten übernommen, die für IT-Versicherungen ein erhebliches Risiko darstellen. Zwei Beispiele für derartige Klauseln:

  • "Nicht versichert sind… Ansprüche, die daraus resultieren, dass Produkte und Leistungen, deren Verwendung oder Wirkung im Hinblick auf den konkreten Verwendungszweck nicht ausreichend – z.B. nicht dem Stand der Technik gemäß oder bei Software ohne übliche und angemessene Programmtests oder sonstiger Weise – erprobt waren."
  • "…ausgeschlossen sind Schäden, die durch Mehraufwand hätten vermieden werden können."

Das Vorhandensein einer Fehlfunktion, wie in diesem Fall die fehlerhafte Datensicherung, die zu einem erheblichen Schaden führt, liefert letztendlich immer den Anscheinsbeweis "frei Haus", dass keine ausreichenden Tests vorgenommen wurden. Im beschriebenen Fall hätte ein Versicherer mit derartiger Klausel mit hoher Wahrscheinlichkeit diese Hintertür genutzt und dem IT-Dienstleister den Versicherungsschutz versagt. Denn tatsächlich hätte der Schaden wohl durch den anberaumten aber nicht durchgeführten Systemtest vermieden werden können.

3. Fallstrick: Klausel unterlassene Wartung und Pflege

Ein weiterer, gern verwendeter Ausschluss der gerade bei Service- und Wartungsverträgen zu Komplikationen führen kann, lautet wie folgt: Nicht versichert sind "Ansprüche, die daraus resultieren, dass der Versicherungsnehmer die geschuldete Wartung oder Pflege von Hard- und Software, Datenbanken oder Computernetzwerken nicht durchführt". Hier kann leicht der Bogen zum versäumten Servicetermin bzw. beim ersten Servicetermin nicht durchgeführten kompletten Systemüberprüfung gespannt werden. Eine Ablehnung des Versicherungsschutzes durch den Versicherer bei Verwendung o. g. Klausel ist durchaus wahrscheinlich. Im bestehenden Haftpflichtvertrag des IT-Dienstleisters gab es keine derartige Einschränkungen.

4. Fallstrick: Einschränkung von Folgeschäden

Leider findet man gerade bei den großen Versicherern sehr bedenkliche Ausschlüsse bei der Thematik "Folgeschäden durch Umsatz- und Gewinnausfall". Sie definieren z.B. in den besonderen Bedingungen bestimmte Tätigkeiten für die überhaupt Versicherungsschutz besteht (keine offene Deckung, 1. Einschränkung!). Meist werden Tätigkeiten im Bereich Hard- und Software und spezielle Internet- und datenbezogene Dienstleistungen abschließend aufgeführt. Unter letztere fallen z.B. " Betrieb, Wartung und Pflege von Computernetzwerken". Über eine Deckungserweiterung werden anschließend nur bestimmte Folgeschäden z.B. "für die Löschung und Beschädigung von verkörperten Daten und daraus resultierende Folgeschäden" eingeschlossen (2. Einschränkung). Diese Erweiterung wird in Folge jedoch über eine weitere Klausel für "Spezielle internet- und datenbankbezogene Dienstleistungen" wieder erheblich eingeschränkt, indem nur Schäden als versichert gelten, die " …die Folge eines unbefugten Eingriffs Dritter in das DV-System des Versicherungsnehmers…" sind (3. Einschränkung). Im beschriebenen Fall war der Datenverlust jedoch keine Folge eines unbefugten Eingriffs Dritter. Die oben beschriebenen Einschränkungen der Deckungssummen wirken sich i. d. R. ebenfalls negativ auf Folgeschäden aus, die aus einem reinen Vermögensschaden resultieren, da diese auch auf die niedrigere Versicherungssumme begrenzt sind (4. Einschränkung).

Der dargestellte Fall zeigt sehr anschaulich, wie aber gerade Folgeschäden durch Umsatz- und Gewinnausfall enorme Schadenssummen erreichen können (oft auch höher als der primäre verursachte Schaden). Derartige Einschränkungen in den Versicherungsbedingungen sind für den IT-Dienstleister durchaus existenzbedrohend.

Dank seiner IT-Haftpflichtversicherung hatte der IT-Dienstleister noch mal Glück im Unglück, denn eine zu geringe Deckungssumme oder eine Ausschlussklausel in den Versicherungsbedingungen hätten für ihn leicht den existentiellen Ruin bedeuten können. Vor Versicherungsabschluss sollte deshalb jeder das Leistungsangebot und die beigefügten Versicherungsbedingungen genau prüfen und ggf. beim Versicherer hinterfragen.

Nähere Informationen bei Ralph Günther.
Der Autor behält sich alle Rechte am Artikel vor. © 2006 exali GmbH .