IT Haftpflicht VersicherungIT Haftpflicht Versicherung
Schadenersatzansprüche gegen Hard- und Software-Unternehmen und andere Unternehmen aus der Informationstechnologie und der Telekommunikation stellen mit der stetig wachsenden Bedeutung und Verbreitung der EDV und des Internets in allen Lebensbereichen ein zunehmendes Risiko einer sich rapide entwickelnden Branche dar.
Zugleich ändern sich die Anforderungen an IT Experten und IT Dienstleister rasant. Viren, Würmer oder sog. Trojanische Pferde können sowohl Schäden bei den IT Unternehmen als auch Schadenersatzansprüche Dritter auslösen.
Herkömmliche Betriebshaftpflichtversicherungen genügen den spezifischen Anforderungen an einen Versicherungsschutz für die sog. IT Branche nicht.
Dies gilt insbesondere für reine Vermögenschäden, die aus fehlerhaften Produkten oder Dienstleistungen resultieren, aber auch für Schäden aus dem sog. Erfüllungsbereich oder Vermögenschäden aus der Verletzung gewerblicher Schutzrechte.
Mehrere Versicherer haben spezielle Konzepte für die IT Haftpflicht Versicherung entwickelt, die die typischen Tätigkeitsfelder von der Herstellung von Soft- und Hardware über deren Implementierung bis hin zu Tätigkeiten im Zusammenhang mit dem Internet einbeziehen. Oftmals handelt es sich um Deckungskonzepte, die sowohl Personen- und Sachschäden als auch reine Vermögenschäden Dritter (z.B. Betriebsunterbrechung und entgangener Gewinn) umfassen. Bei Letzteren liegt ein Schwerpunkt der erforderlichen Absicherung.
Neuerdings bieten einige IT Haftpflicht Anbieter modularartig aufgebaute Datenschutzversicherungen an, die neben Haftpflichtelementen vor allem auch diverse Eigenschäden (z.B. durch Betriebsunterbrechung nach einem Hackerangriff beim Versicherungsnehmer) übernehmen.
Mögliche Schadenarten bei IT Unternehmen
Eine IT Haftpflicht Versicherung für Unternehmen der Informationstechnologie kann sowohl Personen-, Sach- als auch reine Vermögenschäden erfassen.
Personen- und Sachschäden
Bei Personenschäden (z.B. Verletzung oder Gesundheitsschädigung einer Person) oder Sachschäden (Beschädigung oder Zerstörung einer Sache) bestehen grundsätzlich keine Unterschiede zur herkömmlichen Betriebs- und Produkthaftpflichtversicherung.
Beispiel
Vermögenschäden
Um reine Vermögenschäden handelt es sich bei solchen Schäden, die weder auf einem Personen- noch auf einem Sachschaden beruhen (z.B. Betriebsstillstand ohne vorausgegangenen Sachschaden). Die Deckungskonzepte unterscheiden sich hier z.B. dadurch, dass einige Versicherer grundsätzlich eine volle Vermögenschadendeckung zur Verfügung stellen, während andere in Anlehnung an die erweiterte Produkthaftpflichtversicherung (sog. Baukastenprinzip) enumerativ aufgeführte Vermögenschäden einschließen. Wiederum andere IT Haftpflicht Versicherung Anbieter kombinieren eine erweiterte Produkthaftpflichtversicherung mit einer EDV Vermögenschadendeckung für den Softwarebereich.
Generelle Vermögenschadendeckung der IT Haftpflicht Versicherung
Für eine umfassende Vermögenschadendeckung durch hergestellte oder gelieferte Produkte lassen sich folgende Beispiele anführen:
Beispiele
Diese umfassende Vermögenschadendeckung, die sich auf entgangenen Gewinn erstreckt, wird bei den Versicherern regelmäßig dadurch eingeschränkt, dass die Deckungssumme für Vermögenschäden in der Gestalt von Produktionsausfällen, Betriebsunterbrechungen und entgangenem Gewinn auf z.B. 250.000 EUR begrenzt wird.
Bausteinartige Vermögenschadendeckung der IT Haftpflicht Versicherung
In Anlehnung an die erweiterte Produkthaftpflichtversicherung wird Versicherungsschutz für bestimmte, enumerativ aufgezählte Vermögenschäden im sog. Baukastensystem geboten, z.B.:
Verbindung, Vermischung, Verarbeitung
Der Versicherungsnehmer liefert Speichermodule, die von seinem Abnehmer auf Platinen gelötet werden. Anschließend zeigt sich, dass die Module den Spezifikationen nicht entsprechen. Dem Kunden sind für die vergeblichen Lötarbeiten usw. Kosten entstanden.
Weiterverarbeitung und -bearbeitung
Der Versicherungsnehmer liefert fehlerhafte Rechnereinheiten, die von seinem Abnehmer weiterverarbeitet werden, indem sie für den Außeneinsatz präpariert werden (z.B. bezüglich der Wasserdichtigkeit). Dem Abnehmer sind für die vergebliche Weiterverarbeitung Kosten entstanden.
Aus- und Einbaukosten
Der Versicherungsnehmer liefert Speicherbausteine, die sein Abnehmer mit der darauf integrierten Software in von ihm hergestellte Maschinen einbaut. Nach Auslieferung der Maschinen stellt sich heraus, dass diese Fehlfunktionen aufweisen, die auf die vom Versicherungsnehmer gelieferten Speicherbausteine zurückzuführen sind. Der Schaden besteht in den Kosten für den Austausch der Bausteine durch den Abnehmer.
Steuerungselemente
Der Versicherungsnehmer liefert Hard- und Software, die für die Steuerung einer Produktionsmaschine bestimmt sind. Da die Produkte fehlerhaft sind, kommt es bei der Maschine des Abnehmers zu Fehlsteuerungen und zur Produktion von Ausschuss.
Lagerhaltung
Der Versicherungsnehmer liefert Steuereinheiten für automatische Beschickungssysteme für Hochregallager. Aufgrund der Fehlerhaftigkeit der Steuereinheiten werden nach Inbetriebnahme des Lagers die dort nach einem bestimmten System abzulegenden Waren unkoordiniert abgelegt und von den Systemen nicht mehr wieder aufgefunden. Der Schaden besteht in den Kosten für das komplette Ausräumen des Lagers, die Neusortierung und das richtige Wiedereinräumen der zu lagernden Güter.
Rechtsgrundlagen
Die Haftpflichtversicherung für IT Unternehmen der Informationstechnologie beruht in der Regel auf folgenden gesetzlichen und vertraglichen Bestimmungen:
VVG (Versicherungsvertragsgesetz),
AHB (Allgemeine Versicherungsbedingungen für die IT Haftpflicht Versicherung),
Besondere Bedingungen und Vereinbarungen zur Betriebs- und Produkthaftpflichtversicherung.
Häufig verwenden Versicherer auch Deckungskonzepte, die von den AHB usw. losgelösten Versicherungsschutz bieten.
Die Versicherungsbedingungen der einzelnen Anbieter sind im Übrigen unterschiedlich zugeschnitten, z.B.:
Versicherung des gesamten IT Bereiches,
Versicherung explizit und abschließend aufgezählter Risikobereiche,
Versicherungsschutz für Schäden, die nach Abschluss der Arbeiten oder nach der Beratung entstehen,
Versicherungsschutz für Schäden, die während der Installation oder Ausführung der Leistung auftreten,
Versicherungsschutz, der neben Haftpflichtschäden auch Eigenschäden einschließt.
Betriebsbeschreibung
Versichert ist die gesetzliche Haftpflicht des Versicherungsnehmers und seiner Mitarbeiter aus allen Eigenschaften, Rechtsverhältnissen und Tätigkeiten, die sich im Zusammenhang mit dem unter Ziffer 2 dokumentierten Unternehmenscharakter ergeben. In der Betriebsbeschreibung wird der Tätigkeitsbereich des versicherten Unternehmens, innerhalb dessen der Versicherungsschutz zur Verfügung gestellt wird, umschrieben, z.B.:
Herstellung, Vertrieb, Installierung, Reparatur, Wartung und Pflege von Hard- und Software,
EDV-Beratung, Organisation von DV-Systemen und Netzwerken, Analyse des Kundenbedarfes,
Beratung, Einweisung und Schulung von Mitarbeitern,
Netzwerkplanung, -installation, -integration und -pflege,
Zugangsvermittlung zum Internet (z.B. Access Providing), Bereithaltung fremder Inhalte (z.B. Host Providing), Bereithaltung eigener Inhalte (z.B. Content Providing),
Betrieb von Rechenzentren,
Datenerfassung und Datenbearbeitung.
Gegenstand des Versicherungsschutzes
Die IT Haftpflicht Versicherung gewährt den Versicherten Versicherungsschutz, wenn diese wegen betrieblicher Risiken eines versicherten Unternehmens von einem Dritten aufgrund von gesetzlichen Haftpflichtbestimmungen privatrechtlichen Inhalts für einen Personen-, Sach- oder Vermögenschaden verantwortlich gemacht werden.
Sonderproblem Datenlöschung
Während Schäden an der Hardware haftungsrechtlich unstreitig als Eigentumsverletzung nach § 823 Abs. 1 BGB und versicherungsrechtlich als Sachschäden einzustufen sind, ist die Ersatzfähigkeit von versehentlich gelöschten Daten und deren versicherungsrechtliche Einordnung umstritten.
Der BGH hat zu einzelnen Rechtsbereichen entschieden, dass Dateninformationen als solche immaterieller Natur sind, aber zusammen mit dem Datenträger als bewegliche körperliche Sache zu behandeln seien, weil sie auf diesem verkörpert sind.
Ferner ist Standardsoftware nach Auffassung des BGH als bewegliche Sache anzusehen, falls entsprechende Programme in einem bestimmten Datenträger verkörpert sind. Offen ist, ob die höchstrichterliche Rechtsprechung Daten allgemein als körperliche Sachen im Sinne von § 90 BGB betrachten wird.
Demnach werden in der IT Haftpflicht Versicherung regelmäßig Klauseln aufgenommen, wonach Schäden durch Datenlöschung gedeckt sind. Diese werden dann ausdrücklich entweder als Sachschäden oder als Vermögenschäden definiert. Eine solche Klausel kann z.B. wie folgt lauten:
Für Schäden durch fehlerhafte Software nach Abschluss der Arbeiten und Leistungen besteht ebenfalls in diesem Umfang Versicherungsschutz der IT Haftpflicht Versicherung.
Abgrenzung zur Betriebs-/ Produkthaftpflichtversicherung
Die Betriebs-/ Produkthaftpflichtversicherung beruht auf den AHB. Dort heißt es in Ziff. 2.1 AHB, dass die gesetzliche Haftpflicht wegen Vermögensschädigung, die weder durch Personenschaden noch durch Sachschaden entstanden ist, nur bei besonderer Vereinbarung gedeckt ist.
Regelmäßig sind zwar in einer Betriebs-/ Produkthaftpflichtversicherung Vermögenschäden (bis zu einer Deckungssumme von 100.000 EUR) gedeckt. Hier gilt aber ein Ausschlusskatalog, der für EDV-Unternehmen bezüglich folgender Punkte relevant ist:
Ausschluss für Vermögenschäden durch vom Versicherungsnehmer hergestellte oder gelieferte Sachen oder geleistete Arbeiten,
Ausschluss für Vermögenschäden aus Tätigkeiten im Zusammenhang mit Datenverarbeitung, Rationalisierung und Automatisierung.
Soweit eine Betriebshaftpflichtversicherung um eine sog. erweiterte Produkthaftpflichtversicherung ergänzt wurde, sind dort bestimmte reine Vermögenschäden (z.B. Aus- und Einbaukosten) gedeckt.
Deckungssummen der IT Haftpflicht Versicherung
Die Problematik der Deckungssummenwahl stellt sich hier ebenso wie in der herkömmlichen Betriebs- und Produkthaftpflichtversicherung. Die Haftung für Schäden Dritter besteht grundsätzlich in unbegrenzter Höhe. Das Produkthaftungsgesetz mit seiner verschuldensunabhängigen Haftung sieht eine Haftungshöchstgrenze von 85 Mio. EUR für Personenschäden vor. Jeder IT Betrieb hat somit zu prüfen, wie hoch ein Schaden schlimmstenfalls sein könnte. Anhaltspunkte sind dann z.B.: Art/ Gefährlichkeit der Produkte, Serienproduktion/ Standardsoftware Erstellung, Abnehmerbranchen usw.
Die Deckungssumme für Personen- und Sachschäden sollte möglichst nicht unter 5 Mio. EUR pauschal liegen. In diesem Umfang wären dann auch nicht EDV typische Haftungsrisiken eines Betriebes (z.B. Arbeitsunfälle/ Regress der Berufsgenossenschaft) gedeckt. Für reine Vermögenschäden sehen die Versicherer regelmäßig eine niedrigere Deckungssumme vor. Diese sollte aber möglichst nicht unter 500.000 EUR liegen. Für bestimmte Bereiche (z.B. Tätigkeitsschäden oder Allmählichkeitsschäden) werden üblicherweise separate, niedrigere Deckungssummen vereinbart (z.B. 200.000 EUR für Tätigkeits- bzw. Implementierungsschäden).
Auf die Durchsetzung seiner Allgemeinen Geschäftsbedingungen kann sich ein EDV-Unternehmen nicht immer verlassen. Dies liegt vor allem daran, dass eine Haftungsbegrenzung bei Eigenschaftszusicherungen nicht zulässig ist, dass einzelne Bestimmungen nicht mit dem AGB-Gesetz in Einklang stehen können, und dass die Allgemeinen Geschäftsbedingungen bei Ansprüchen Dritter nicht einschlägig sind.
Selbstbeteiligung
Die Vereinbarung eines Selbstbehalts ist in der IT Haftpflicht Versicherung (EDV Haftpflichtpolice) wie auch in der Betriebs-/ Produkthaftpflicht möglich und üblich. Entweder wird ein fester Selbstbehalt (z.B. 500 EUR) oder ein prozentualer Selbstbehalt mit Mindest- und Höchstselbstbehalt vereinbart (z.B. 10 %, mindestens 500 EUR, höchstens 5.000 EUR). Der Selbstbehalt kann auch auf den Bereich der erweiterten Produkthaftpflicht bzw. Vermögenschäden begrenzt werden. Im Übrigen ist es gängige Praxis, bei bestimmten Deckungserweiterungen (z.B. Tätigkeitsschäden) ebenfalls separate Selbstbeteiligungen zu vereinbaren.
Praxistipp
Zeitliche Begrenzung
Anknüpfungspunkt für die Leistungspflicht des Versicherers in zeitlicher Hinsicht ist der Eintritt des Versicherungsfalles während der Laufzeit des Versicherungsvertrages. Auch für Unternehmen der Informationstechnologie gilt das Schadenereignisprinzip gemäß Ziff. 1.1 AHB. Somit muss das Schadenereignis innerhalb der Versicherungsperiode eingetreten sein. Als Schadenereignis gilt das Ereignis, als dessen Folge die Schädigung des Dritten unmittelbar entstanden ist. Auf den Zeitpunkt der Schadenverursachung, die zum Schadenereignis geführt hat, kommt es nicht an.
Für Schäden aus dem Bereich der erweiterten Produkthaftpflichtdeckung sehen die Versicherungsbedingungen in der Regel vor, dass der Versicherungsschutz nur eingreift, falls die Schäden durch nach Beginn des Versicherungsvertrages ausgelieferte Produkte verursacht worden sind. Sogenannte Vorumsätze sind dann ausgeschlossen. Sie können aber durch besondere Vereinbarung eingeschlossen werden. Dies geschieht entweder durch die ersatzlose Streichung der sogenannten Vorumsatzklausel oder durch eine zeitliche Rückwirkung, wonach während der Vertragslaufzeit eintretende Schäden gedeckt sind, die z.B. auf bis zu zwei Jahre vor Vertragsabschluss ausgelieferten Produkten beruhen.
Praxistipp
In den Versicherungsbedingungen wird zusätzlich häufig festgehalten, dass für Schäden, welche zwar während der Vertragslaufzeit eingetreten sind, jedoch nicht binnen einer bestimmten Nachmeldefrist (z.B. drei oder fünf Jahre nach Beendigung des Versicherungsvertrages) dem IT Haftpflichtversicherer gemeldet werden, keine Deckung besteht.
Schließlich kann für den Fall der endgültigen und völligen Betriebs- bzw. Lieferungseinstellung vereinbart werden, dass für künftige Versicherungsfälle durch vor Beendigung des Versicherungsvertrages hergestellte oder gelieferte Erzeugnisse, Arbeiten oder sonstige Leistungen im Umfang des Vertrages Versicherungsschutz der IT Haftpflicht Versicherung noch für eine bestimmte Dauer (z.B. drei Jahre nach Vertragsaufhebung) gewährt wird.
Risikoanalyse
Vor der Abgabe eines Angebotes führen die Versicherer regelmäßig eine sogenannte Risikoanalyse durch. Hierbei werden u.a. Fragen zu folgenden Bereichen gestellt:
Berufliche Qualifikation der wichtigsten Mitarbeiter,
Fortbildungsmaßnahmen,
Qualitätssicherung,
Tests bei den jeweiligen Entwicklungsphasen,
Qualifikation von Subunternehmern,
Kundenstamm,
Export,
Eigenschaftszusicherungen,
Geschäftsbedingungen.
Beiträge zur IT Haftpflicht Versicherung
Die Prämie für eine EDV Haftpflichtpolice (IT Haftpflicht Versicherung) wird individuell unter Berücksichtigung vor allem folgender Punkte kalkuliert:
Gegenstand der betrieblichen Tätigkeit,
Deckungssummen,
Selbstbehalte,
Art der Soft- und Hardware,
Jahresumsatz,
Schadenverlauf der letzten Jahre.
Kombinationsprodukte
Über reine Versicherungskonzepte hinaus, stellen einige Anbieter Versicherungsprodukte für Unternehmen der Informationstechnologie zur Verfügung, die mit Beratungsleistungen auf dem Sektor des professionellen Krisenmanagements kombiniert werden. Interessierten IT Unternehmen wird hier zugesagt, dass sie bei Bedarf eine genaue Prüfung durch IT Spezialisten oder auch forensische Beratungsunternehmen in Anspruch nehmen können.
Modulartige Datenschutzversicherung
Einige IT Haftpflicht Versicherung Anbieter bieten Versicherungen etwa unter der Bezeichnung modulartige Datenschutzversicherung an. Es wird Versicherungsschutz geboten z.B. für:
Ansprüche wegen Vermögenschäden durch Datenrechtsverletzungen einschließlich aller elektronischen und nicht elektronischen Störungen wie z.B. Phishing,
Ansprüche wegen Datenrechtsverletzungen durch Dritte, z.B. durch Verlust oder Diebstahl von Geräten, die personenbezogene Daten enthalten,
von Dritten geltend gemachte Vermögenschäden, die z.B. aufgrund von Verletzungen von Rechten durch Inhalte von E-Mails, durch den Intranet- oder Extranet-Auftritt, durch die Website, durch eine Verlinkung oder durch ein Framing von anderen Websites entstanden sind. Voraussetzung ist hier eine Veränderung der derzeitigen Medien des Versicherungsnehmers oder der mitversicherten Personen durch einen Hackerangriff,
die Folgen gezielten Handelns eines Dritten, wenn etwa der Zugang zu der Website, zum Intranet, zum Netzwerk, zum Computersystem, zu den Programmen oder zu den elektronisch aufbewahrten Daten des Versicherungsnehmers oder der mitversicherten Personen elektronisch blockiert wird (Hacker-Angriff oder Denial-of-Service-Attacken) und hierdurch der Vertrieb über das Internet unterbrochen oder erheblich beeinträchtigt wird (Ertragsausfallschaden),
Lösegeldzahlungen bei Nichtverwirklichung von Drohungen, die Website, das Intranet oder Ähnliches zu beschädigen oder zu zerstören, Viren, Würmer, Logische Bomben oder Trojanische Pferde einzuschleusen oder Informationen zu veröffentlichen, die einen wirtschaftlichen Schaden anrichten würden,
die finanziellen Folgen der nach einem Hackerangriff notwendigen forensischen Untersuchungen,
Kosten im Zusammenhang mit Imagekampagnen und PR-Dienstleistungen,
finanzielle Schäden durch Betriebsunterbrechung (z.B. entgangener Gewinn eines Onlineshops infolge eines Hackerangriffs).
