Die Wahl der richtigen Versicherung ist für IT-Dienstleister von entscheidender Bedeutung, um sich gegen eine Vielzahl von Risiken zu schützen, die in ihrer täglichen Arbeit auftreten können. Zwei wesentliche Versicherungstypen in diesem Bereich sind die allgemeine Haftpflichtversicherung und die spezielle Technologie-Haftpflichtversicherung. In diesem Artikel werden die Unterschiede zwischen diesen beiden Versicherungsarten detailliert erörtert, um IT-Dienstleister eine fundierte Entscheidungsgrundlage für ihren Versicherungsschutz zu bieten.
1. Allgemeine Betriebshaftpflicht
Die allgemeine Haftpflichtversicherung, oft auch Betriebshaftpflichtversicherung genannt, bietet Schutz vor Ansprüchen Dritter im Falle von Personen- oder Sachschäden, die durch die betrieblichen Aktivitäten des Versicherten verursacht wurden. Diese Form der Versicherung ist für nahezu jedes Unternehmen grundlegend und deckt typischerweise die folgenden Risiken ab:
- Verletzungen Dritter, die auf dem Betriebsgelände oder während der Ausführung der betrieblichen Tätigkeit entstehen
- Beschädigung oder Zerstörung fremden Eigentums im Rahmen der Geschäftstätigkeit
- keine Vermögensschäden, es sei denn, sie sind die Folge eines Personen- oder Sachschadens.
Für IT-Dienstleister kann die allgemeine Haftpflichtversicherung zum Beispiel greifen, wenn ein Mitarbeiter versehentlich die Einrichtung eines Kunden beschädigt oder ein Dritter auf dem Unternehmensgelände zu Schaden kommt. Im Gegensatz zur allgemeinen Haftpflichtversicherung ist die IT-Haftpflichtversicherung allerdings speziell auf die Risiken zugeschnitten, die in der Technologiebranche häufig auftreten. Sie umfasst nicht nur die klassischen Deckungen der allgemeinen Haftpflichtversicherung, sondern erweitert diese um spezifische Elemente, die für die IT-Branche besonders relevant sind. Diese zusätzlichen Deckungen sind für IT-Dienstleister von großer Bedeutung, da Fehler in der Softwareentwicklung oder im IT-Consulting gravierende finanzielle Folgen haben können, die weit über den Geltungsbereich einer allgemeinen Haftpflichtversicherung hinausgehen.
2. Besonderheiten der IT-Haftpflicht
Zwar erfolgt die Hauptabsicherung von Schäden, die von IT-Systemen bei Dritten entstehen, in erster Linie über Haftpflichtversicherungen für den Versicherungsnehmer. Es gibt drei grundlegende Ansätze in spezialisierten IT-Versicherungskonzepten.
Die meisten IT-Haftpflichtversicherungen basieren auf den Allgemeinen Haftpflichtbedingungen (AHB), wobei der übliche Ausschluss von Schäden an elektronischen Daten gemäß Ziffer 7.15 AHB 2008 bzw. § 4 Abs. 1 Nr. 10 AHB nicht gilt. Darüber hinaus enthalten sie oft erweiterte Produkthaftpflichtbedingungen, die Vermögensschäden einschließen oder klarstellen, dass Datenschäden wie Sachschäden behandelt werden.
Eine alternative Herangehensweise basiert auf den Allgemeinen Versicherungsbedingungen für das Vermögen (AVB-Vermögen), die um IT-spezifische Modifikationen ergänzt werden und den Einschluss von Sach- und Personenschäden ermöglichen.
Eine dritte Methode besteht aus speziell formulierten Versicherungsbedingungen, die gezielt auf IT-Unternehmen zugeschnitten sind. Im Vergleich zu den anderen Ansätzen bietet dieser Ansatz aufgrund der langjährigen Rechtsprechung und der ausführlichen Auseinandersetzung mit den Rechtsbegriffen der AHB und AVB-Vermögen eine höhere Rechtssicherheit durch präzise Formulierung der Bedingungen. Dieses Modell ist allerdings vor allem in den USA weit verbreitet und ist in Deutschland weniger gängig.
4. Rechtliche Themen
Die IT-Haftpflichtversicherungskonzepte bieten umfassenden Versicherungsschutz im Bereich Fremdschäden und Haftung gegen IT-Risiken. Traditionelle Haftpflichtversicherungskonzepte mussten entsprechend angepasst werden, um den spezifischen Herausforderungen dieser Risiken gerecht zu werden. Die nachfolgende kurze Darstellung typischer Rechtsprobleme soll veranschaulichen, dass bei der Auswahl und Bewertung der auf dem Versicherungsmarkt angebotenen Policen größte Vorsicht und Aufmerksamkeit geboten ist.
4.1. Sach- oder Vermögensschäden
Die Haftpflichtversicherungskonzepte hatten Schwierigkeiten mit der Unterscheidung zwischen Sach- und Vermögensschäden, was sich in verschiedenen Anforderungen, beispielsweise beim Eintritt des Versicherungsfalls, widerspiegelte. Ein zentrales Problem war, ob Daten und Software als Sachen betrachtet werden sollten, und ob Schäden an ihnen als Sachschäden über die traditionelle Haftpflichtversicherung (auf Basis der AHB) gedeckt sind. Diese deckt nämlich nur Haftungsansprüche aufgrund von Sachschäden ab. Wenn jedoch ein Schaden an Software oder Daten als Vermögensschaden eingestuft wurde, gab es früher keinen Schutz durch die AHB, sondern nur durch die auf Vermögensschäden spezialisierte Haftpflichtversicherung (auf Basis der AVB-Vermögen).
Die IT-Haftpflichtversicherungskonzepte haben dieses Problem entschärft, indem sie Schäden an Daten wie Sachschäden behandeln und mit dem Ausschluss gemäß Ziff. 7.15 AHB 2008 klargestellt haben, dass es für den Versicherungsschutz unerheblich ist, ob Daten als körperliche Sachen gelten. Dennoch bleibt die Frage offen, wann eine Beschädigung von Daten als Sachschaden einzustufen ist und somit versichert ist. Versicherungsbedingungen sollten daher klar definieren, ob ein Schaden an Software oder Daten als Sach- oder Vermögensschaden zählt und bei welcher Schadensqualität ein versicherter Sachschaden vorliegt, um Abgrenzungsprobleme zu vermeiden.
4.2. Zeitpunkt des Versicherungsfalls
Ein Problem bei IT-Haftpflichtversicherungen betrifft den Zeitpunkt des Versicherungsfalls. Die Versicherung leistet nur, wenn der Schaden während der Versicherungsdauer auftritt. Durch komplexe Schadensfälle, insbesondere im Haftungsbereich, entstehen Nachweisschwierigkeiten. Der Zeitpunkt des Versicherungsfalls wird je nach Versicherungsbedingungen unterschiedlich definiert, beispielsweise durch den Schadenseintritt, die Schadensverursachung, Schadensmeldung oder Schadenskenntnis. Für Versicherungsnehmer ist es vorteilhaft, den Zeitpunkt des Versicherungsfalls auf die Kenntnis des Schadens festzulegen. Eine Nachhaftungszeit für Schadensmeldungen kann vereinbart werden, mildert jedoch nicht das Problem, dass der Versicherungsfall während der Vertragslaufzeit eingetreten sein muss.
4.3. Risikoausschluss oder verdeckte Obliegenheit
Früher schlossen die meisten IT-Haftpflichtversicherungen das Risiko aus, wenn der Versicherungsnehmer keine Standard-Datensicherungsmaßnahmen wie Antivirenprogramme, Firewalls oder Verschlüsselung nutzte. Bei Softwareversicherungen sind diese Anforderungen als Obliegenheiten formuliert, was den Vorteil hat, dass der Versicherer nur bei eigenem Verschulden keine Leistungen erbringt. Ein Risikoausschluss hingegen würde auch ohne Verschulden des Versicherungsnehmers greifen. Solche Klauseln könnten als verdeckte Obliegenheiten gelten und wegen Benachteiligung des Versicherungsnehmers unwirksam sein. Einige aktuelle Versicherungen umgehen diese Problematik, indem sie die Datensicherungsanforderungen als vertragliche Obliegenheiten gestalten. In den Musterbedingungen des GDV für IT-Dienstleister (BBR IT-D) sind diese weiterhin als Risikoausschlüsse formuliert. Zudem sind die Begriffe „üblich“ und „Stand der Technik“ betreffend Sicherungsmaßnahmen schwer zu interpretieren, was zu unangemessenen Beurteilungsspielräumen führen und die Klauseln unwirksam machen könnte. Bei Unwirksamkeit stellt sich dann die Frage der ergänzenden Vertragsauslegung.
5. Schlussfolgerung
Während die allgemeine Haftpflicht grundlegende Risiken abdeckt, bietet die Technologie-Haftpflicht erweiterten Schutz für berufsspezifische Risiken. Zu beachten ist ferner, dass die Technologie-Haftpflichtversicherung ist aufgrund ihres erweiterten Deckungsumfangs in der Regel teurer als eine allgemeine Haftpflichtversicherung. IT-Dienstleister sollten überlegen, ob die spezifischen Risiken ihrer Branche den zusätzlichen Schutz rechtfertigen.
Des Weiteren sollten IT-Dienstleister beachten, dass die IT-Haftpflichtversicherung Eigenschäden wie Hardware- oder Datenverluste, Betriebsunterbrechungen, Vermögensschäden durch Betrug oder Rechtskosten nicht abgedeckt. Auch Kurs- oder Imageschäden durch Datenlecks oder falsche Informationen sind ausgeschlossen. Eine solche Erweiterung des Versicherungsschutzes würde zu einer möglichen Ausweitung der Haftung führen. Eine Cyberversicherung könnte hier sinnvoll sein, da sie speziell für den Eigenschadenbereich von IT-Risiken Versicherungsschutz bietet. Die Entscheidung hängt stark von der Art der durchgeführten IT-Dienstleistungen und den damit verbundenen Risiken ab.
Sollten Sie sich eine Beratung zur allgemeinen Haftpflichtversicherung, IT-Haftpflichtversicherung oder Cyberversicherung wünschen, treten Sie gerne mit unserem fachkundigen STC-Team in Kontakt. Wir helfen Ihnen gerne bei der Auswahl der auf Ihre Bedürfnisse zugeschnittenen Police.
