Trotz Datensicherung hoher Vermögensschaden

Wie erfolgt Ihre Back-up Kontrolle?

IT-Freiberufler unterschätzen tagtäglich ihr Haftungsrisiko. Dies trifft insbesondere bei Routinearbeiten zu. Dabei haften IT-Experten für Schadenersatzansprüche mit Ihrem gesamten privaten (und auch zukünftigen) Vermögen. Eine Begrenzung gibt es für Freiberufler oder Einzelunternehmer qua Gesetz nicht. Hat der IT-Dienstleister über eine geeignete IT-Haftpflichtversicherung nicht ausreichend vorgesorgt, so kann dies im Extremfall den dauerhaften finanziellen Ruin bedeuten. Dabei ist bei Vertragsabschluss insbesondere auf das "Kleingedruckte" in den Versicherungsbedingungen zu achten. Hier entscheidet sich vielfach, ob ein Schadenfall vom Versicherer unkompliziert reguliert wird oder ob der IT-Freiberufler, trotz Versicherung, den Schaden aus eigener Tasche bezahlen muss.
Im nachstehenden Schadenfall erläutern wir Ihnen einige wichtige Ausschlussklauseln, die leider immer noch in vielen Versicherungsbedingungen anderer Versicherer vorzufinden sind.

Schadenhergang

Der IT-Experte hatte sich auf automatische Datenarchivierungssysteme spezialisiert. Ein kleineres Finanzinstitut (Investmentberatungsgesellschaft) erteilte ihm einen Auftrag zur kompletten automatischen Sicherung von allen relevanten Kundendaten (z.B. Kontaktdaten, Vertragsdaten, Beratungsdaten, Korrespondenzdaten, Mails, Faxe, etc.). Das täglich zu sichernde Volumen wurde auf 100 GB geschätzt. Neben der Planung und Installation sollte auch nach Abschluss des Auftrages der IT-Dienstleister die Servicewartung übernehmen. Das Backup-System war so aufgebaut, dass täglich eine Sicherungskopie der neu hinzu gekommenen oder bearbeiteten Kundendaten durchgeführt wurde. An jedem Wochenende wurde noch zusätzlich der komplette Datenbestand gesichert und, wie branchenüblich, der Systemadmin über die durchgeführte (erfolgreiche) Datensicherung per Mail informiert incl. einem  (erfolgreichen) Verlaufsprotokoll.

Nach neun Monaten wurde der Systemadministrator mit folgender Meldung konfrontiert: "Es konnte kein tägliches Backup erstellt werden". Der für die Servicewartungen zuständige IT-Dienstleister wurde aufgefordert die Fehlermeldung auf deren Ursache hin zu prüfen. Er stellte anhand des Protokollfiles einen Fehler im Meldesystem fest (nicht bei der Datensicherung selbst!). Der Meldefehler war schnell behoben. Aus Zeitgründen heraus wurde die gesamte Datensicherungsroutine weder auf Vollständigkeit noch auf sonstige Fehler geprüft. Die Investmentgesellschaft forderte den IT-Dienstleister auf, zeitnah eine komplette Überprüfung der automatischen Datensicherung vorzunehmen. Der IT-Dienstleister versäumte dies jedoch!

In der Zwischenzeit hatte ein schweres Gewitter im Bürokomplex einen Überspannungsschaden und "Absturz" der jeweiligen Arbeitsplatzrechner ausgelöst. Eine Rücksicherung war nun dringend erforderlich. Bei der Durchführung war überhaupt kein verwertbares Daten-Backup vorhanden. Dabei wurde festgestellt, dass das Datensicherungssystem seit vielen Monaten nicht mehr ordnungsgemäß funktionierte (ohne eine Fehlermeldung auszulösen). Zudem wurden die Festplatten für die Backups von Mitarbeitern der Investmentgesellschaften teilweise zu anderen Zwecken missbraucht. Die Speicherkapazität für die tägliche Datensicherung war ohnehin erschöpft. Hätte der IT-Dienstleister seinen Wartungsvertrag ordnungsgemäß ausgeführt, wären diese Fehler viel früher offensichtlich geworden.

Die  Eingabe aller relevanten Kunden- und Vertragsdaten musste mit zusätzlichem Personal sowie einer Vielzahl von Überstunden in Handarbeit wieder eingegeben werden. Aus schriftlichen Unterlagen, Bankabrechnungen und vielen anderen Quellen wurde der Datenbestand wieder mühselig rekonstruiert. Ein Sachverständiger schätzte den Eingabeaufwand auf ca. 6.500 Stunden und errechnete reine Arbeitskosten in Höhe von € 175.000. Neben einem Imageschaden (keine Neukundenaquise möglich), wechselten viele Bestandskunden der Investmentgesellschaft zum Wettbewerber, da eine qualitativ hochwertige Beratung und Abwicklung von gewünschten finanziellen Transaktionen aufgrund der fehlenden Datenbasis nicht möglich oder nur unzureichend war. Umsatz- und Gewinnausfall wurden auf € 150.000 taxiert.

Damit standen Schadenersatzansprüche gegen den IT-Dienstleister in Höhe von € 325.000 im Raum.

Kompetente Schadenregulierung

In Höhe von € 1,5 Mio. für Personen- und Sach- und Vermögensschäden hatte der IT-Dienstleister seit 2003 eine IT-Haftpflichtversicherung bei einem Spezialanbieter. Nachdem der IT-Experte den Schadenfall sofort nach Kenntniserhalt an die Versicherungsgesellschaft meldete, übernahm die zuständige Schadenabteilung die kompetente Abwicklung im Interesse des Kunden.

Es erfolgte eine Vergleichszahlung an den Geschädigten in Höhe von € 130.000. Die Schadenszahlung bezog sich dabei auf die Kostenerstattung der Datenrekonstruktion. Ebenfalls wurden vom Versicherer die Sachverständigenkosten von € 5.000 übernommen. Der entgangene Gewinn- und Umsatzausfall wurde nicht erstattet, da der Investmentgesellschaft ein Mitverschulden durch den Missbrauch der Festplatten (Datenspeicherung zu anderen Zwecken ohne Kenntnis des IT-Freiberuflers) angelastet wurde. Die Schwierigkeit für den tatsächlichen Gewinn- und Umsatzausfall lag auch in der kausalen Nachweisbarkeit, die die Investmentfirma für den Folgeschaden daraus hätte erbringen müssen. Die Investmentgesellschaft scheute auch das Kostenrisiko diese weiteren schwer bezifferbaren Ansprüche vor langwierigen Gerichtsverhandlungen feststellen zu lassen. So konnte durch eine schnelle Vergleichszahlung für alle betroffenen Parteien eine zufriedenstellende Lösung erreicht werden. Alleine hätte der IT-Dienstleister weder das finanzielle und persönliche Durchhaltevermögen noch das Know-how für eine effiziente Schadenabwicklung gehabt.

Beurteilung von Ausschlussklauseln in den Versicherungsbedingungen

Die Versicherungsangebote für die IT-Haftpflichtversicherungen unterscheiden sich neben dem Preis ganz erheblich in den jeweiligen Versicherungsbedingungen. Im Schadensfall hat dies elementare Bedeutung für den IT-Experten. Einige Ausschlussklauseln und Vertragskomponenten sollen an dieser Stelle beschrieben werden.

Erprobungs- oder Experimentierklausel

Diese Klausel birgt ein großes Streitpotential zwischen Versicherungsnehmer und Versicherungsgesellschaft und schränkt den Versicherungsschutz erheblich ein. Wann liegen angemessene Programmtests oder eine ausreichende Erprobung vor? In weniger geeigneten Bedingungswerken sind beispielsweise folgende Formulierungen der Erprobungs- und Experimentierklausel anzutreffen:

  1.  "Nicht versichert sind… Ansprüche, die daraus resultieren, dass Produkte und Leistungen, deren Verwendung oder Wirkung im Hinblick auf den konkreten Verwendungszweck nicht ausreichend - z.B. nicht dem Stand der Technik gemäß oder bei Software ohne übliche und angemessene Programmtests oder sonstiger Weise – erprobt waren."
  2. "Nicht versichert sind ... Ansprüche aus Sach- und Vermögensschäden durch Erzeugnisse, deren Verwendung oder Wirkung im Hinblick auf den konkreten Verwendungszweck nicht nach dem Stand der Technik ausreichend erprobt waren. Gab es keinen Stand der Technik für die Erprobung muss eine ausreichende Erprobung in sonstiger Weise erfolgt sein."
  3. "…ausgeschlossen sind Schäden, die durch Mehraufwand hätten vermieden werden können."


Durch den gewünschten Systemtest hätte vermutlich der Fehler frühzeitig erkannt werden können und der Schaden wäre vermieden worden. Die ausgewiesene Fehlermeldung im Sicherungsprotokoll hätte dem Versicherer sofort einen prima-facie-Beweis (Anscheinsbeweis) für nicht ausreichende Programmtests geliefert und einen eleganten Weg aufgezeigt die Schadenregulierung mit Hinweis auf die Erprobungsklausel abzulehnen.

Unterlassene Wartung und Pflege

Um den Auftraggeber langfristig zu binden, werden oft nach Abschluss von EDV-Projekten Service- und Wartungsverträge abgeschlossen. Der IT-Experte kann mit laufenden Einnahmen rechnen und der Auftraggeber erhält eine regelmäßige Betreuung. Trotzdem findet man in den Versicherungsbedingungen immer noch folgende Ausschlussformulierung:

  • "nicht versichert sind ... Ansprüche, die daraus resultieren, dass der Versicherungsnehmer die geschuldete Wartung oder Pflege von Hard- und Software, Datenbanken oder Computernetzwerken nicht durchführt".

 

Werden Wartungs- und Pflegeintervalle nicht regelmäßig durchgeführt, hat ein Versicherer auch hier die Möglichkeit über diese Ausschlussklausel eine Schadenablehnung vorzunehmen.

Unser IT-Experte hatte diesen Passus nicht in seinen IT-Versicherungsbedingungen. Damit hatte die Versicherungsgesellschaft kein Argument für den nicht wahrgenommenen Servicetermin durch den IT-Dienstleister.

Folgeschäden nur teilweise versichert

Schadenkosten können in unmittelbare Vermögensschäden sowie Folgeschäden differenziert werden. Oft handelt es sich dabei um Gewinn- und Umsatzausfälle, die betragsmäßig den größten Teil einer Schadenregulierung ausmachen. Einige Versicherungsgesellschaften haben Ihre Versicherungsbedingungen bei dieser Leistungsposition verbraucherunfreundlich gestaltet oder versichern solche Komponenten nur auf spezielle Anfrage und mit Beitragszuschlägen:

Negativbeispiel:

"versichert ist... die gesetzliche Haftpflicht aus Schäden durch versehentliche Datenlöschung, Änderung der Datenstruktur und Abhandenkommen von Daten (z.B. Datenverluste durch vorzeitige Freigabe von Bändern, Fehlversand bei Datenträgeraustausch), soweit es sich um Kosten der Wiederherstellung der gelöschten oder abhandengekommenen Daten sowie der Datenstruktur handelt."

Positivbeispiel (auf Antrag und mit Beitragszuschlag):

"versichert ist... die gesetzliche Haftpflicht aus Schäden durch versehentliche Datenlöschung, Änderung der Datenstruktur und Abhandenkommen von Daten (z.B. Datenverluste durch vorzeitige Freigabe von Bändern, Fehlversand bei Datenträgeraustausch), einschließlich der aus Ihnen resultierenden unmittelbaren Folgeschäden."

Versicherungssummen ausreichend absichern

Haftpflichtversicherungen für die IT-Branche decken i.d.R. Personen-, Sach- und Vermögensschäden ab. Sehr selten werden auch nur Vermögensschäden alleine abgesichert. Im Schadenfall kann oft nicht zugeordnet werden, ob es sich um einen Vermögensschaden oder um einen Sachschaden handelt. Die bisherige Rechtsprechung hat hierzu noch keinen Konsens finden können. Das LG Konstanz urteilte auf Vermögensschaden im Jahre 1997 bei einem IT-Schadenfall. Ein Jahr zuvor vertrat das OLG Karlsruhe eine andere Meinung und entschied auf Sachschaden bei einem ähnlich gelagerten IT-Fall. Für reine Vermögensschäden stellen die Versicherungsgesellschaften oft nur reduzierte Deckungssummen zur Verfügung, insbesondere bei Start-Up-Unternehmen. Der IT-Freiberufler muss sich dann mit Versicherungssummen von nur € 50.000 zufrieden geben.

In der Praxis treten jedoch überwiegend Vermögensschäden und Vermögensfolgeschäden auf, die nicht der Sachschadendeckung zuordenbar sind. Reicht dann die Versicherungssumme für reine Vermögensschäden nicht aus, so muss der IT-Dienstleister die übersteigenden Schadenkosten (dazu gehören auch die Anwalts- und Gerichtskosten) aus eigener Tasche bezahlen.

Tipp: Die Mindestversicherungssumme bei echten Vermögensschäden sollte € 500.000 betragen und nicht durch zusätzliche weitere Klauseln und summenmäßige Begrenzungen (sogenannte Sublimite) wieder beschnitten werden, sondern in vollem Umfang zur Verfügung stehen

Fazit
Mit der richtigen Bedingungsauswahl in der IT-Haftpflichtversicherung kann jeder IT-Experte viele Problemfelder rechtzeitig vor einem Schadenfall vermeiden. Nicht zu unterschätzen ist die Absicherung von hohen Versicherungssummen, insbesondere bei Vermögensschäden. 

Der Autor behält sich alle Rechte am Artikel vor.
© Dipl.-Kfm. Manfred Vosseler