Jedes sechste Projekt läuft völlig aus dem Ruder: Das ist das Ergebnis einer Untersuchung von McKinsey und der Said Business School der University of Oxford. So passierte das auch diesem freiberuflichen IT-Dienstleister: Für einen großen Sportverband programmierte er eine Software. Als das Projekt längst abgeschlossen war, folgte der Albtraum eines jeden Freiberuflers: Die Software zur Kennzeichnung von 30.000 Mitgliedsausweisen funktionierte nicht – und der Auftraggeber forderte Schadenersatz in Höhe von 23.000 Euro.
Vermögensschadenspezialist Ralph Günther vom Versicherungsportal exali schildert den echten Schadenfall aus dem IT-Projektgeschäft und nimmt dabei zwei wichtige Punkte unter die Lupe: Warum die IT-Haftpflicht in jedem Fall echte Vermögensschäden absichern sollte und warum es auch auf die Vorumsatzdeckung in den Versicherungsbedingungen ankommt.
Fail im IT-Projekt: 30.000 Mitgliederausweise funktionieren nicht
Der Schadenfall und seine ganze Geschichte: Von einem großen deutschen Sportverband war der freiberufliche IT-Dienstleister damit beauftragt worden, eine Individualsoftware zu programmieren. Damit wollte der Verband für seine einzelnen Mitglieder Ausweise anfertigen – mit einem besonderen Gimmick: Das aufgedruckte Logo konnte personalisiert und mit individuellen Berechtigungen versehen werden.
Drei Monate wurden die Ausweise mit der speziellen Software des IT-Dienstleisters bereits produziert, als klar wurde: Was reibungslos gestartet war, ging nun völlig nach hinten los. Denn auf insgesamt 30.000 Mitgliederausweisen waren die persönlichen Berechtigungen schlichtweg falsch hinterlegt. Schuld daran war ein Bug in der Kennzeichnungsroutine, der eindeutig auf das Konto des IT-Dienstleisters ging.
Das Unvermeidliche ließ sich nicht vermeiden: Ca. 30.000 Ausweise mussten neu produziert und wieder an die einzelnen Vereine des Sportverbands verschickt werden. Ein Mehraufwand mit Kosten in Höhe von 23.000 Euro, die der Sportverband nun von dem IT-Dienstleister zurückforderte. Schließlich machte er ihn für das misslungene Projekt verantwortlich.
IT-Haftpflicht sollte echte Vermögensschäden abdecken
Der Bug in der Programmierung des IT-Dienstleisters ist ein typischer Schaden im IT-Bereich. Ein Schaden, der sich mit einer IT-Haftpflicht versichern lässt – vorausgesetzt, sie deckt „echte“ Vermögensschäden ab. Denn um diese Schadenart handelt es sich bei dem beschriebenen Beispiel.
Zur Erklärung: Als „echte“ Vermögensschäden werden versicherungstechnisch Schäden bezeichnet, die weder ein Personen- oder Sachschaden sind – noch eine Folge aus einer dieser beiden Schadenarten.
Übrigens: Das Risiko einen solchen Vermögensnachteil (= Vermögensschaden) zu verursachen, ist für IT-Dienstleister im IT-Projektgeschäft hoch. Personen- und Sachschäden, wie sie über herkömmliche Betriebshaftpflichtversicherungen abgesichert sind, spielen in vielen Projekten eine untergeordnete Rolle. Aus versicherungstechnischer Sicht fallen i.d.R. auch Schäden durch Datenlöschungen, Rechtsverletzungen, eine Server-Fehlkonfiguration oder ein Programmierfehler unter die Rubrik „echte Vermögensschäden“.
In der Versicherungspraxis muss ich jedoch immer wieder feststellen, das IT-Dienstleister nur gegen „unechte“ Vermögensschäden abgesichert sind, wodurch kritische Versicherungslücken entstehen. So werden Vermögensfolgeschäden bezeichnet, die aus einem vorhergegangenen Sach- oder Personenschaden resultieren.
Vorumsatzdeckung: Eintrittszeitpunkt des Schadens relevant
Und noch ein weiteres Kriterium ist in punkto bedarfsgerechte Absicherung wichtig. Das verdeutlicht auch der beschriebene Schadenfall. Die Tücke lag im zeitlichen Ablauf:
Der freiberufliche IT-Dienstleister war bereits mitten in der Programmierung der besagten fehlerhaften Software, als er seine IT-Haftpflicht für „echte“ Vermögensschäden abschloss. Den überwiegenden Teil seiner Arbeitsleistung hatte er also bereits vor dem Abschluss seiner Versicherung erbracht.
Und trotzdem kam der Versicherer für den entstandenen Schaden auf. Der Grund: In den Versicherungsbedingungen seiner IT-Haftpflicht kommt die sogenannte Schadenereignistheorie zum Tragen. Demnach sind auch Vorumsätze versichert und damit Tätigkeiten und Leistungen, die vor dem Versicherungsbeginn erbracht wurden. Ausschlaggebend ist also der Zeitpunkt, an dem der Schaden eintritt. Wann der Schaden verursacht wurde (z.B. Zeitpunkt der fehlerhaften Programmierung), darauf kommt es nicht an. Im Versicherungsjargon wird das als die „Vorumsatzdeckung“ bezeichnet.
Doch Vorsicht: Es gibt IT-Haftpflichtversicherungen, die in solch einem Fall nicht zahlen würden. Das Kann z.B. der Fall sein, wenn anstatt der Schadenereignistheorie die Verstoßtheorie verwendet wird. Dann muss der Programmierfehler (= Verstoß) auch im Versicherungszeitraum liegen. Oder wenn durch eine Zusatzklausel die Vorumsatzdeckung von bestimmten Auflagen abhängig gemacht oder gar ganz ausgeschlossen wird.
Sie finden dann in den Versicherungsbedingungen Formulierungen wie: „Für Ansprüche und Schäden durch Erzeugnisse, Arbeiten oder sonstigen Leistungen, die vor Inkrafttreten des Versicherungsvertrages ausgeführt wurden, besteht kein Versicherungsschutz.“
Mehr echte Schadenfälle aus der Versicherungspraxis finden Sie auch im Blog „Vermögensschaden: Versicherung neu denken“ von Ralph Günther.