Was ist der Unterschied zwischen einem echten und einem unechten Vermögensschaden? Deckt eine IT-Haftpflichtversicherung auch Personenschäden ab? Wer zahlt beim Datenverlust bei einem „head-crash“? Mit konkreten Schadensfällen aus der IT-Praxis erläutert Versicherungsexperte Ralph Günther in Teil 2 unserer Serie zur IT-Haftpflichtversicherung, welche Fallstricke in Vertragsklauseln und Allgemeinen Geschäftsbedingungen lauern. Ferner – eine Checkliste mit wichtigen Versicherungskriterien für die IT-Branche.
Zwei weit verbreitete Irrtümer im Zusammenhang mit Haftpflichtversicherung :
1. Nur bei „großen Projekten“ treten „große Schäden“ auf.
2. Richtig formulierte AGB schließen sämtliche Haftungsrisiken aus.
Gerade freiberufliche IT-Experten und kleinere Dienstleister messen aus diesen Gründen dem Risikomanagement durch eine Haftpflichtversicherung keinen großen Stellenwert zu. Das kann teuer werden. Denn die gängigen Allgemeinen Haftpflichtbedingungen (AHB) sehen in vielen Schadensfällen keine Deckung vor. Nicht ohne Grund fordern inzwischen viele Auftraggeber in der IT-Branche schon beim Projektvertrag vom Auftragnehmer den Nachweis einer Haftpflichtversicherung.
Beispiele aus der Praxis zeigen exemplarisch, wie Versicherungen Schadenarten definieren:
1. Personenschäden nicht ausgeschlossen
Personenschäden spielen in IT-Projekten, ebenso im Bereich Consulting, eine untergeordnete Rolle. Trotzdem kann es auch hier zum Schlimmsten kommen:
- Aufgrund einer fehlerhaft programmierten Steuerungssoftware für eine Bühnentechnik stürzt eine Opernsängerin aus rund fünf Metern Höhe ab. Sie verletzt sich dabei schwer am Fuß und muss operiert werden.
- Nach einem Todesfall in einem Unternehmen wird auch gegen den IT-Dienstleister ermittelt, der ein Programm für die Steuerung einer Entlüftungsanlage geschrieben hatte.
Die Absicherung von Personenschäden ist in den speziellen IT-Haftpflichtkonzepten durchweg problemlos.
Zum Glück sind solche extremen Schadensfälle mit „Gefahr für Leib und Leben“ eher die Ausnahme. Weitaus öfter kommt es im IT-Bereich dagegen zu Sachschäden und Sachfolgeschäden.
2. Sachschäden
Bei der Wartung eines Servers durch den IT-Dienstleister in einer größeren Steuerkanzlei kommt es zur Beschädigung einer Hardwarekomponente. Bis das Austauschteil am nächsten Tag per Kurier geliefert wird, kann an den Arbeitsplätzen nicht mehr mit der Steuersoftware gearbeitet werden. Neben dem Sachschaden am Server entsteht durch den Ausfall von knapp zwei Tagen ein erheblicher Sachfolgeschaden.
Achtung: Sachfolgeschäden wie eine Betriebsunterbrechung und Gewinnausfall sind nicht in jeder IT-Betriebshaftpflicht versichert. Teilweise gilt ein so genannter zeitlicher Selbstbehalt, etwa für die ersten 24 oder 48 Stunden der Betriebsunterbrechung.
3. Echter und unechter Vermögensschaden
Im IT-Bereich spielt vor allem der so genannte Vermögensschaden eine wesentliche Rolle. Vermögensschäden entstehen, wenn weder eine Person noch eine Sache unmittelbaren Schaden erleiden, aber dennoch einem Dritten durch schuldhaftes Verhalten finanzieller Schaden zugefügt wird. Dabei wird zwischen „echten“ bzw. „reinen“ Vermögensschäden und Sach- bzw. Personenfolgeschäden als „unechten“ Vermögensschäden unterschieden.
Beispiele für echte bzw. reine Vermögensschäden:
- Durch ein fehlerhaft installiertes Backup-System konnten Kundendaten einer Vermögensverwaltung nicht mehr rückgesichert werden. Für die langwierige Datenrekonstruktion zahlte der Versicherer 130.000 Euro.
- Aufgrund eines einfachen Programmierfehlers werden knapp 3.000 formatierte Datensätze, die im Rahmen einer Marketingkampagne generiert wurden, nicht weitergeleitet. Der Fehlschlag der Aktion hat eine schmerzhafte Kürzung des Werbebudgets der beauftragten Marketingagentur zur Folge. Diese erhält vom Versicherer des IT-Dienstleisters Schadenersatz in Höhe von 200.000 Euro.
Um einen unechten Vermögensschaden (Personen-/ Sachfolgeschaden) handelt es sich in diesem Fall:
- Durch den „head-crash“ einer Serverfestplatte kommt es zu einem zeitweisen Betriebsstillstand. Neben dem Sachschaden (kaputte Festplatte) entsteht durch die Betriebsunterbrechung der weit größere, „unechte“ Vermögensschaden, hier als Sachfolgeschaden – nämlich Umsatz- und Gewinnausfall.
3.1 Abgrenzung zwischen Sach- und Vermögensschäden führt zu Problemen
Zur Abgrenzung zwischen Sach- und Vermögensschäden bei IT-Schadensfällen gibt es keine eindeutige Rechtsprechung. Im Streitfall gelangten die Gerichte in der Vergangenheit zu unterschiedlichen Auffassungen. Beispiel: Ein Schaden, der in der Hauptsache durch einen Datenverlust entstanden ist. Liegt beim Datenverlust ein (reiner) Vermögensschaden oder ein Sachschaden bzw. Sachfolgeschaden vor?
Wird der Datenverlust durch einen so genannten „head-crash“, also durch eine physische Beschädigung der Festplatte verursacht, liegt ein Sachschaden vor. Der Verlust der Daten ist eine direkte Folge davon. Somit kann der Datenverlust als Sachschaden bzw. direkter Sachfolgeschaden bewertet werden.
Würde jedoch der Datenverlust z.B. durch ein fehlerhaft ausgeführtes Backup eintreten, ohne vorherige physische Beeinträchtigung des Systems, ist es auch kein Sachschaden. Der Datenverlust könnte in diesem Beispiel als reiner bzw. echter Vermögensschaden gesehen werden.
3.2 Abgrenzungsproblematik beeinflusst auch den Versicherungsschutz
Warum ist diese Abgrenzung so entscheidend? Weil Versicherer in der Regel für Vermögensschäden eine geringere Deckungssumme als für Sachschäden anbieten. Sie nennen auf den ersten Blick angemessene Deckungssummen für Vermögensschäden, schränken diese aber in den Versicherungsbedingungen für bestimmte Fälle durch deutlich niedrigere Deckungssummen (so genannte Sublimite) wieder ein.
Streitigkeiten mit dem Versicherer und Deckungslücken im Versicherungsschutz des betroffenen IT-Experten oder IT-Dienstleisters sind damit programmiert: Der Versicherungsnehmer plädiert auf Sachschaden und damit auf die höhere Deckungssumme, der Versicherer jedoch wertet den Schaden als reinen Vermögensschaden und leistet folglich nur im Rahmen der niedrigeren Deckungssumme.
Dieses Abgrenzungsproblem zwischen Sach- und Vermögensschäden birgt weitere Fallstricke. Wie im Teil 1 der Serie beschrieben: Es kann sein, dass es für während des Versicherungsjahres neu hinzugekommene Risiken (Tätigkeiten in einem neuen Projekt) in AHB-basierten Versicherungsbedingungen keinen Versicherungsschutz gibt. Verständlich, dass in derartigen Fällen die Frage nach Sachschaden, unechtem oder reinem Vermögensschaden essentiell ist.
4. Checkliste: Wichtige Versicherungskriterien für die IT-Branche
Es gibt IT-Haftpflichtversicherungen, die mit vielen Einschränkungen aufwarten. Und es gibt Angebote, die dem Freelancer enorm weitreichenden Versicherungsschutz bieten. Bei Neuabschluss oder Überprüfung eines bestehenden Versicherungsschutzes sollten selbständige IT-Experten deshalb auf folgende Kriterien achten. Hierzu gibt es Versicherungsangebote zu vernünftigen Preisen. Ein Hinweis: Die Liste erhebt keinen Anspruch auf Vollständigkeit:
1. Pauschale Deckungssummen:
Vereinbaren Sie pauschale Deckungssummen von Sach- und Vermögensschäden, um Abgrenzungsprobleme zu vermeiden. Alternativ denkbar ist ein Angebot, bei dem Vermögensschäden ausreichend hoch bemessen sind (ab 500.000 €) und bei dem der Versicherer durch eine klare Definition des Vermögensschadens ausreichende Rechtssicherheit schafft.
2. Sublimite vermeiden:
Der Versicherungsschutz sollte nicht durch eine Reihe von Sublimiten (Unterversicherungssummen) eingeschränkt werden. Lassen Sie sich nicht durch hohe Versicherungssummen ködern, die im Kleingedruckten wieder wichtige Bereiche wie Tätigkeitsschäden, Rechtsverletzungen, Produkthaftung oder Folgeschäden einschränken.
3. Offene Deckung:
Wählen Sie IT-Haftpflichtversicherungen, die eine „offene Deckung“ vorsehen, d.h. die keine abgeschlossene Aufzählung an versicherten Risiken oder Tätigkeiten beinhalten. Dies wird im Projektgeschäft mit seinen wechselnden Anforderungen problematisch. Achten Sie bei Angeboten ohne offene Deckung auf die so genannte Vorsorgeversicherung (automatische Mitversicherung für nach Vertragsabschluss neu hinzu gekommene Risiken) bis zur Höhe der im Versicherungsschein angegebenen Summe. Nur so stellen Sie sicher, dass auch neue Projekte mit anderen Tätigkeitsschwerpunkten in vollem Umfang mitversichert sind.
4. Örtliche Geltung der Versicherung:
Da selbständige IT-Experten meist ortsungebunden arbeiten, sollte die IT-Berufshaftpflicht einen weltweiten Versicherungsschutz bieten. Selbst die Mitversicherung der USA und von Kanada ist mittlerweile möglich. Sonderregelungen z.B. durch eine höhere Selbstbeteiligung sind dabei üblich.
5. Freie Mitarbeiter/ Subunternehmer:
Der Einsatz freiberuflicher Mitarbeiter und Subunternehmer sollte mitversichert sein.
Anmerkung: Hier ist es üblich, dass der Versicherer nach Abwicklung des Schadensfalles den Subunternehmer (bei entsprechendem Verschulden) in Regress nehmen kann. Diese Klausel ersetzt daher nicht den eigenen Haftpflichtvertrag des Subunternehmers.
6. Versicherungsbedingungen:
Der Vertrag sollte ein einfaches und verständliches Bedingungswerk haben. Dabei sind Versicherungsbedingungen zu bevorzugen, die nicht auf AHB oder AVB basieren, sondern frei formuliert und speziell für den IT-Bereich verfasst wurden (eigenes Wording). Die Versicherungsbedingungen sollten keine Differenzierung des Schadens vor und nach Erbringung der Leistung vornehmen.
7. Versicherungsumfang:
Meiden Sie unbedingt Leistungsausschlüsse wie:
- Experimentier- und Erprobungsklauseln
- nicht reproduzierbare Fehler
- Schäden durch unterlassene Software-Wartung und -Pflege
- Folgeschäden durch Betriebsunterbrechung
- gewerbliche Urheberrechte, Namensrechte oder Datenschutzrechte
Anmerkung: IT-Dienstleister, die sich auf Softwareimplementierung spezialisiert haben, sollten auch den Ausschluss von Leistungsverzögerungen vermeiden.
8. Selbstbeteiligung:
Vermeiden Sie prozentuale Selbstbeteiligungen, wie sie im Vermögensschadenbaustein gerne mit 10% (mind. 250 €, max. 25.000 €) angeboten werden. Wählen Sie stattdessen einen festen Selbstbehalt (z.B. 500 € oder 1.000 €). Im Schadensfall ist so die finanzielle Belastung für Sie kalkulierbar.
Auch ein zeitlicher Selbstbehalt bei Betriebsunterbrechung (z.B. in den ersten 24 oder 48 Stunden) sollte vermieden werden. Gerade für IT-Freiberufler kann bereits ein Ausfall von mehreren Stunden finanziell nicht mehr tragbar sein.
9. Vertragslaufzeit:
Wählen Sie bei der IT-Berufshaftpflicht eine Vertragslaufzeit von nur einem Jahr, um flexibler auf Marktveränderungen reagieren zu können. Lassen Sie sich nicht durch Laufzeit-Rabatte zu einer langen Vertragsdauer verleiten. Ein Angebot muss auch ohne Sonderrabatte wettbewerbsfähig sein.
10. Schadenservice:
Der Schadenservice spielt eine entscheidende Rolle insbesondere für den passiven Rechtsschutz. Der ausgewählte Versicherer sollte langjährige Erfahrung in der Abwicklung von IT-Schäden haben.
Anmerkung: Dieser Punkt ist zugegebenermaßen ein „weiches Kriterium“, da für einen Außenstehenden schwer zu überprüfen. Eine Möglichkeit wäre, Ihren zuständigen Vertreter oder Makler nach den letzten ihm bekannten IT-Schäden und deren Abwicklung bei seiner Versicherung zu fragen. Eine ausführliche Antwort wäre ein erstes Indiz für entsprechende Erfahrung