a Randstad company
Login

IT-Haftpflicht: Wichtige Kriterien für den Versicherungsschutz

08.03.2007
Ralph Günther
Artikel teilen:

Teil 1 | Teil 2

Die komplexen und komplizierten Produkte, Tätigkeiten und Dienstleistungen von IT-Experten und IT-Dienstleistern unterliegen einem ständigen Fortschritt und Wandel. Viele der am Markt angebotenen Versicherungslösungen hinken dieser Entwicklung stets hinterher. So sind mittlerweile Schäden an der Tagesordnung, für die die Allgemeinen Haftpflichtbedingungen (AHB) - auf der die meisten deutschen Haftpflichtangebote basieren - noch keine Deckung vorsehen. In dieser "Zwickmühle" befinden sich IT-Selbstständige wie auch IT-Dienstleister, von denen immer öfter eine Haftpflichtversicherung im Rahmen des Projektvertrages gefordert wird. Der Versicherungsexperte Ralph Günther stellt Schadenfälle aus der Praxis vor und erläutert wichtige Klauseln, die für einen umfassenden Versicherungsschutz relevant sind.

Suboptimale Versicherungskonzepte, die oft nicht in das Bewusstsein gerückten großen Schadenfälle, sowie die teilweise vorherrschende irrige Meinung, man könne sämtliche Haftungsproblematiken durch AGB ausschließen, führen erfahrungsgemäß dazu, dass der Absicherung von IT-Risiken vielfach noch zu wenig Beachtung geschenkt wird. In der Praxis kommen dennoch immer wieder Schäden vor, die nachfolgend exemplarisch dargestellt werden.

Erhebliche Personenschäden nicht ausgeschlossen

Zwar spielen Personenschäden in vielen IT-Projekten, insbesondere im Bereich Consulting, eine untergeordnete Rolle. Trotzdem kann es auch hier, wie die nachfolgenden zwei Beispiele zeigen, zu erheblichen Schäden kommen:

  • Aufgrund einer fehlerhaft programmierten Steuerungssoftware für eine Bühnentechnik stürzt in Österreich eine Opernsängerin aus ca. 5 m Höhe ab. Sie verletzt sich dabei schwer am Fuß (Knochenbrüche, Bänderabrisse) und muss operiert werden. (Mehr zum Schadenfall im Artikel " Unfall in der Oper").
  • Die Steuersoftware eines Bahnüberganges versagt, die Bahnschranken werden nicht geschlossen. Ein Auto wird vom Zug erfasst, der Fahrer wird getötet.

Zum Glück sind solche extremen Schadenfälle mit "Gefahr für Leib und Leben" eher die Ausnahme als die Regel. Weitaus öfter kommt es im IT-Bereich dagegen zu Sachschäden, z.B. wenn es durch den fehlerhaften Anschluss mehrerer Hardwarekomponenten zur Überhitzung und damit zum Defekt einer Maschine kommt.

Echter oder unechter Vermögensschaden

Neben Personen- und Sachschäden spielt im IT-Bereich vor allem der so genannte Vermögensschaden eine wesentliche Rolle. Als Vermögensschaden bezeichnet man Situationen, bei denen weder eine Person noch eine Sache unmittelbaren Schaden erleiden, einem Dritten aber durch schuldhaftes Verhalten finanzieller Schaden zugefügt wird. Dabei wird zwischen "echten" bzw. "reinen" Vermögensschäden und Sach- bzw. Personenfolgeschäden als "unechten" Vermögensschäden unterschieden.

In den folgenden beiden Praxisbeispielen liegt ein echter bzw. reiner Vermögensschaden vor:

  • Durch ein fehlerhaft installiertes Backup-System konnten Kundendaten einer Vermögensverwaltung nicht mehr rückgesichert werden. Für die langwierige Datenrekonstruktion zahlte der Versicherer 130.000 Euro. (Mehr zum Schadenfall im Artikel " Fehlerhaftes Backup löst hohen Vermögensschaden aus").
  • Aufgrund eines einfachen Programmierfehlers werden knapp 3.000 formatierte Datensätze, die im Rahmen einer Marketingkampagne generiert wurden, nicht weitergeleitet. Der Fehlschlag der Aktion hat eine schmerzhafte Kürzung des Werbebudgets der beauftragten Marketingagentur zur Folge. Diese erhält vom Versicherer des IT-Dienstleisters Schadenersatz in Höhe von 200.000 Euro. (Mehr zum Schadenfall im Artikel " Wenn ein kleiner Auftrag einen hohen Schaden verursacht").

 

Um einen unechten Vermögensschaden (Personen-/ Sachfolgeschaden) handelt es sich in diesem Fall: Durch den "head-crash" einer Serverfestplatte kommt es zu einem zeitweisen Betriebsstillstand. Neben dem Sachschaden (kaputte Festplatte) entsteht durch die Betriebsunterbrechung der weit größere, "unechte" Vermögensschaden (Umsatz und Gewinnausfall), hier als Sach-Folgeschaden.

Abgrenzungsprobleme zwischen Sach- und Vermögensschäden

Es gibt keine verlässliche Rechtssprechung, die eine Abgrenzung zwischen Sach- und Vermögensschäden bei IT-Schadensfällen in der Praxis eindeutig macht. Im Streitfall können die Gerichte zu unterschiedlicher Auffassung gelangen. Nehmen wir als Beispiel einen Schaden, der in der Hauptsache durch einen Datenverlust entstanden ist. Ist Datenverlust ein (reiner) Vermögensschaden oder ein Sachschaden bzw. Sachfolgeschaden?

Gehen wir davon aus, dass der Datenverlust durch einen so genannten "head-crash", d. h. durch eine physische Beschädigung der Festplatte verursacht wurde. Eine derartige Beschädigung der Festplatte ist ein Sachschaden. Der Verlust der Daten ist eine direkte Folge davon. Somit kann der Datenverlust als Sachschaden bzw. direkter Sachfolgeschaden bewertet werden.

Würde jedoch der Datenverlust z.B. durch ein fehlerhaft ausgeführtes Backup eintreten, gibt es keine physische Beeinträchtigung des Systems und damit auch keinen Sachschaden. Der Datenverlust könnte in diesem Beispiel als reiner bzw. echter Vermögensschaden gesehen werden. In einem ähnlichen Fall gelangte das OLG Konstanz 1997 bei einem Schaden mit Datenverlust zu dieser Auffassung.

Abgrenzungsproblematik beeinflusst auch den Versicherungsschutz

Warum ist die beschriebene Abgrenzung so entscheidend? Gerade große Versicherungsgesellschaften weisen für reine Vermögensschäden regelmäßig niedrigere Deckungssummen (so genannte Sublimite) in ihren Verträgen aus. Dies kann zu Streitigkeiten mit dem Versicherer und zu großen Deckungslücken im Versicherungsschutz des betroffenen IT-Experten oder IT-Dienstleisters führen. Z.B. wenn der Versicherungsnehmer auf Sachschaden und damit auf die höhere Deckungssumme plädiert, der Versicherer jedoch den Schaden als reinen Vermögensschaden wertet und folglich nur im Rahmen der kleineren Deckungssumme leistet. Daraus ergeben sich weitere Spannungsfelder.

So berücksichtigen die AHB aufgrund ihrer historischen Entstehung den reinen Vermögensschaden nicht als Schadenfall und sehen dafür keine Deckung vor. Dies führt in allen Haftpflichtverträgen auf AHB-Basis, die keine speziellen Deckungserweiterungen für reine Vermögensschäden beinhalten, zu bedrohlichen Lücken im Versicherungsschutz: Für nach Vertragsschluss neu hinzugekommene Risiken (z.B. durch weitere Tätigkeiten im Rahmen eines neuen Projektes/ Auftrages), die nicht im Versicherungsschein genannt oder nach den Versicherungsbedingungen automatisch mitversichert sind, gilt die so genannte Vorsorgeklausel. D.h. diese neuen Risiken sind im Rahmen der Versicherungsbedingungen bis zur nächsten Hauptfälligkeit oder bis zur Nachfrage des Versicherers beitragsfrei mitversichert. Diese Vorsorgeklausel gewährt nach den AHB jedoch nur Deckung für Personen- und Sachschäden. Versicherungsschutz für die wichtigen (reinen) Vermögensschäden, wie sie z.B. durch den bereits beschriebenen Datenverlust entstehen können, besteht nicht!

Checkliste wichtiger Versicherungskriterien

Bei Neuabschluss oder bei Überprüfung des bestehenden Versicherungsschutzes sollten selbstständige IT-Experten deshalb auf folgende Kriterien achten (Hinweis: Die Liste erhebt keinen Anspruch auf Vollständigkeit):

  1. Vereinbaren Sie pauschale, möglichst hohe Deckungssummen für Sach- und (reine/ echte) Vermögensschäden. (Nach unseren bisherigen Erfahrungen sollten IT-Freiberufler eine Deckungssumme für reine Vermögensschäden von mindestens 500.000 Euro absichern. Höhere Deckungssummen sind durchaus sinnvoll und werden mittlerweile sogar von Auftraggebern explizit vorgeschrieben.) Anmerkung: Wird eine Pauschalregelung nicht angeboten, sollte zumindest eine klare Regelung im Vertrag getroffen werden, welche Schäden als Sachschaden und welche Schäden als (reine) Vermögensschaden behandelt werden.
  2. Wählen Sie IT-Deckungskonzepte, die eine "offene Deckung" von IT-Risiken vorsehen. Anmerkung: Wird trotz umfangreicher Recherche keine offene Deckung angeboten, sollte auf jeden Fall darauf geachtet werden, dass die so genannte Vorsorgeversicherung (automatische Mitversicherung für nach Vertragsabschluss neu hinzu gekommene Risiken) bis zur Höhe der im Versicherungsschein angegebenen Summe vereinbart wird. Nur so stellen Sie sicher, dass auch neue Projekte mit anderen Tätigkeitsschwerpunkten in vollem Umfang mitversichert sind.
  3. Der Versicherungsschutz sollte nicht durch eine Reihe von Sublimiten (= Unterversicherungssummen) eingeschränkt werden. Sonst werden Sie mit auf den ersten Blick hohen Versicherungssummen "geködert", müssen dann jedoch im Schadenfall feststellen, dass bestimmte wichtige Bereiche wie z.B. Tätigkeitsschäden, Rechtsverletzungen, Produkthaftung oder Folgeschäden nicht ausreichend versichert sind.
  4. Da selbstständige IT-Experten meist nicht ortsgebunden arbeiten, sollte die IT-Haftpflicht einen weltweiten Versicherungsschutz bieten (Sonderregelung für USA/ Kanada sind üblich).
  5. Der Einsatz freiberuflicher Mitarbeiter und Subunternehmer sollte mitversichert sein. Anmerkung: Dabei ist es üblich, dass der Versicherer nach Abwicklung des Schadenfalles den Subunternehmer (bei entsprechendem Verschulden) in Regress nehmen kann. Diese Klausel ersetzt damit nicht den eigenen Haftpflichtvertrag des Subunternehmers.
  6. Der Vertrag sollte ein einfaches und verständliches Bedingungswerk haben, um sich nicht im "Dschungel des Kleingedruckten" zu verstricken. Aus unserer Sicht sind dabei Versicherungsbedingungen zu bevorzugen, die nicht AHB-basiert sind, sondern die der Versicherer eigens für den IT-Bereich verfasst hat.
  7. Ausschlüsse wie
    - Experimentierklauseln,
    - nicht reproduzierbare Fehler,
    - Leistungsausschluss bei unterlassener Software-Wartung und Pflege,
    - Folgeschäden durch Betriebsunterbrechung,
    - gewerblicher Schutz-, Urheber- oder Persönlichkeitsrechte
    sollten unbedingt vermieden werden.
  8. Die Versicherungsbedingungen sollten keine Differenzierung des Schadens vor und nach Erbringung der Leistung vornehmen.
  9. Wählen Sie keinen prozentualen, sondern einen festen Selbstbehalt, damit im Schadenfall die finanzielle Belastung für Sie kalkulierbar bleibt.
  10. Wählen Sie bei der IT-Haftpflichtversicherung eine Vertragslaufzeit von nur einem Jahr (ohne Rumpfjahr bei unterjährigem Beginn), um flexibler auf Marktveränderungen reagieren zu können. Lassen Sie sich dabei nicht durch Laufzeit-Rabatte von z.B. 5 bis 10 Prozent zu einer langen Vertragsdauer verleiten. Ein Angebot muss auch ohne Sonderrabatte wettbewerbsfähig sein.
  11. Der Schadenservice spielt eine entscheidende Rolle. Der ausgewählte Versicherer sollte langjährige Erfahrung in der Abwicklung von IT-Schäden haben. Dieser Punkt ist zugegebenermaßen für einen "Außenstehenden" schwer zu prüfen. Eine Möglichkeit wäre, Ihren zuständigen Vertreter oder Makler nach den letzten ihm bekannten IT-Schäden und deren Abwicklung bei seiner Versicherung zu fragen. Eine ausführliche Antwort wäre ein erstes Indiz für entsprechende Erfahrung. I. d. R. geben Versicherer relevante Schadenfälle (wenn Sie denn beim Versicherer vorliegen) an ihre Vermittler weiter.

 

Nähere Informationen bei Ralph Günther.
Der Autor behält sich alle Rechte am Artikel vor. © 2007 exali GmbH