![[externer Link]](../../../../images/link.gif)
www.reinhardtunderben.de). Er engagiert
sich zudem als Vorsitzender in dem Fachausschuss Versicherungsrecht
des
BITKOM.Versicherungen bestehen in einem permanenten Spannungsverhältnis: Dem Wunsch des Versicherungsnehmers, möglichst viel unternehmerisches Risiko gegen geringe Risikoprämie an die Versicherer zu übertragen, steht der Wunsch der Versicherer gegenüber, möglichst geringes Risiko gegen viel Risikoprämie zu übernehmen. In den klassischen Sparten wie Sach-, Elektronik-, Betriebsunterbrechungs- und Produkthaftpflichtversicherung hat das in Deutschland zu einem – im internationalen Vergleich – eher mager etablierten Versicherungsschutz geführt, der verbreitet erhältlich ist.
Für die Informationstechnologie, besonders Internet-Risiken, Appliciation Service Providing (ASP) und generell für Vermögensschäden aus der Nichtverfügbarkeit von Daten, Soft- und Hardware sowie auch für fehlende Datensicherheit gibt es bisher jedoch nur eine Handvoll ernstzunehmende Versicherer und Konzepte. Oft verpacken Versicherer oder Versicherungsvermittler eine Kombination alter Bedingungswerke lediglich in neue Aufmachungen. Warum auch neue Risiken eingehen, bei denen für die Versicherer die Gefahr besteht, aufgrund mangelnden Know-hows Geld zu verlieren, wenn die Versicherungsnehmer – die Unternehmen – sich mit den alten Leistungsinhalten zufrieden stellen lassen?
Erst im Schadenfall zeigt sich recht schnell, ob das in den Versicherungsschutz investierte Geld richtig angelegt war: Wird dem Versicherer der Schadenfall (fristgerecht) angezeigt, prüft dieser zuerst seine Einstandspflicht aus dem Versicherungsvertrag. Diese Prüfung nimmt jedoch die Schadenabteilung vor, nicht die Vertriebsabteilung, die seinerzeit den Versicherungsvertrag mit dem Versicherungsnehmer abgeschlossen hat. Ob die Schadenabteilung den Leistungsinhalt des Versicherungsvertrages dann so auslegt, wie die Vertriebsabteilung dies aus Marketinggründen seinerzeit dargestellt hat, bleibt vorerst ungewiss.
Ist diese erste Hürde genommen, taucht sogleich die nächste auf: Laut Versicherungsvertrag muss der Versicherungsnehmer den ihm oder einem Dritten (Kunden) entstandenen Schaden beweisen – im Fall eines Eigenschadens immer, und auch bei Fremdschäden, wo eigentlich der Kunde den Beweis liefern müsste, ist in der Praxis meistens der Versicherungsnehmer gefragt.
Handelt es sich um einen Schadenfall aus dem Bereich der Nichtverfügbarkeit von Daten oder der fehlenden Datensicherheit, sind – nach Kenntnis des Autors – derzeit die Schadenabteilungen der deutschen Versicherer nur in Ausnahmefällen in der Lage, den Schaden sachgerecht und zügig abzuwickeln. Schwierigkeiten enstehen hierbei in erster Linie durch fehlendes Know-how in den Bereichen Informationstechnologie und IT-Sicherheit.
Eine weitere Schwierigkeit kann die Philosophie des Versicherers darstellen. Es gibt Anbieter, deren Schadenabteilung darauf ausgerichtet ist, die Ansprüche der Versicherungsnehmer so niedrig wie möglich zu bedenken. Dann droht die schnelle 60-%-Scheck-Zahlung gegen Verzichtserklärung des Versicherungsnehmers auf weitere Ansprüche. Etliche Schadenabteilungen sind natürlich auch zu fairem Ausgleich von Leistungspflichten aus den Versicherungsverträgen angewiesen. Welche Praxis in einer bestimmten Schadenabteilung üblich ist, dürfte jedoch nur äußerst wenigen Versicherungsnehmern bekannt sein.
Risiken im Zusammenhang mit dem Begriff "Internet" haben sich als vielschichtig erwiesen. Nicht zuletzt deshalb, weil der Begriff "Internet" lediglich als Synonym steht für einen globalen Austausch elektronischer Daten auf der Basis definierter Protokolle und Übertragungsmedien – im Folgenden als Global Electronic Data Interchange, kurz GEDI, bezeichnet.
Ein finanzieller Nachteil des Versicherungsnehmers durch GEDI kann aus versicherungsrechtlicher Sicht unterschieden werden als Schaden,
Beispiele für Eigenschäden sind: Betriebsunterbrechung durch Viren, Hacker, Kommunikationsstörungen durch Denial of Service, Stromunterbrechung, finanzieller Nachteil durch eigene Mitarbeiter bis hin zu Erpressung als Folge von Hackereingriffen. Beispiele für Fremdschäden: Haftungsrisiken aus dem Betreiben einer Web-Site, aus E-Business, dem Erstellen von Internet-Software, Verletzung von Persönlichkeitsrechten oder Schutzrechten Dritter. Vermischte Tatbestände sind beispielsweise: Unterbrechung der eigenen IT-Leistung, die zugleich zu Unterbrechungsschäden bei einigen, vielen, oder allen Kunden führt (wie im Falle von Rechenzentren oder ASP-Anbietern).
Informationsprozesse und die zugehörige Ausrüstung sind permanenten Veränderungen unterworfen. Die Abhängigkeit der Betriebs- und Produktionsprozesse von der Verfügbarkeit von Daten, Soft- und Hardware sowie von deren Sicherheit nimmt schneller zu, als Unternehmen in der Regel solche Veränderungen wahrnehmen.
Versicherungsschutz zählt zu den permanenten Investitionen zur Risikominimierung, da hierfür fortdauernd Kosten entstehen – eine wirtschaftlich oftmals ungünstige Lösung. Folglich sollte man nur diejenigen Risiken den Versicherungsmärkten antragen, die nicht durch andere (einmalige oder revolvierende) Investitionen zu erledigen sind. Hierfür kann der Begriff von so genannten Restrisiken Anwendung finden.
Restrisiken eines finanziellen Nachteils aus der Nichtverfügbarkeit von Daten, Soft- und Hardware oder aus fehlender Datensicherheit sind in Deutschland entgegen der Meinung vieler Versicherungsvermittler durchaus versicherbar – unabhängig davon, ob es sich um Eigenschäden, Fremdschäden oder vermischte Tatbestände handelt. Diese Aussage bezieht sich wohlbemerkt nicht auf die seit Jahrzehnten versicherbaren Folgeschäden eines Sachsubstanzschadens (s. u.), sondern exakt auf die genannten echten Vermögensschäden.
Um zu wirtschaftlich tragfähigen Lösungen zu kommen, ist aus der Sichtweise des Versicherungsnehmers ein modularer Aufbau des Versicherungsschutzes Voraussetzung. Dieser muss sich flexibel und automatisch ohne Einhaltung von normalen Versicherungsvertragslaufzeiten an die tatsächlichen Bedürfnisse anpassen. Zugleich darf aber dabei keinesfalls die Rechtssicherheit für den Schadenfall leiden.
Aus der Sichtweise der Versicherungsmärkte bereitet das erhebliche Schwierigkeiten. Negativ-Beispiel einer Klausel aus der Praxis: "Jeder die Gefahr und das Risiko erhöhende Sachverhalt ist vom Versicherungsnehmer dem Versicherer vor Eintritt der Risikoerhöhung anzuzeigen." Eine solche Klausel führt in einem GEDI-Schadenfall mit an Sicherheit grenzender Wahrscheinlichkeit zu einem Dissens zwischen den Vertragsparteien. Andernfalls wäre der Versicherungsnehmer gezwungen, dem Versicherer jede noch so unbedeutend erscheinende Veränderung in seiner IT-Landschaft anzuzeigen – ganz abgesehen davon, dass der Versicherer mit Detailinformationen über Veränderungen in der IT-Landschaft normalerweise sowieso nichts anfangen kann.
Versicherungsvertragsbedingungen können unter verschiedenen Gesichtspunkten entworfen werden. Leider findet man allzu oft marketingorientierte Bedingungswerke, die durch Verwendung positiv besetzter Begriffe einen Leistungsumfang suggerieren, der gar nicht vereinbart ist. Beispiel aus der Praxis: In IT-Haftpflichtverträgen steht irgendwo im Vertragstext oder der Betriebsbeschreibung der Begriff "ASP", ein Versicherungsschutz für ASP-Risiken ist aber definitiv ausgeschlossen. Des Weiteren gehört hierzu die immer wieder anzutreffende Praxis, Risikoaussschlüsse nicht unter einem Kapitel "Risikoausschlüsse" zu positionieren, sondern anderswo zu verstecken, wo Versicherungsnehmer nicht gezielt danach suchen. Glasklare Bedingungswerke zeichnen sich andererseits oft durch eine epische Länge aus und erscheinen insofern nicht anwenderfreundlich – im Schadenfall sind sie es aber dennoch.
Ungeklärt erscheint, wie die permanente Gefahr- und Risiko-Veränderung versicherungsrechtlich abzubilden ist. Ein zukunftsweisender Weg könnte sein, den Versicherungsvertrag als solchen auf eine Laufzeit von einem Jahr abzuschließen und zu Beginn des Versicherungsjahres ein Risikoprofil zu erstellen, das Bestandteil des Versicherungsvertrages wird. Damit ist der aktuelle Stand der IT-Landschaft verbindlich vereinbart. Für zu Beginn des Versicherungsvertrags noch unbekannte Änderungen in der IT werden innerhalb des Risikoprofils spezifische Elemente beschrieben, bei deren Modifikation der Versicherungsnehmer den Versicherer in Kenntnis setzen muss. Nach Ablauf des Versicherungsjahres bedarf es zur Vertragsverlängerung einer Erneuerung des Risikoprofils, womit der Zyklus von neuem beginnt.
Der Leistungsinhalt einer Versicherung bestimmt sich durch den direkt im Vertrag offen oder versteckt enthaltenen Ausschlusskatalog und durch allgemeine Versicherungsvertragsbedingungen. Diese können wiederum einen klaren Ausschlusskatalog enthalten oder lediglich in Nebensätzen Begriffe als ausgeschlossene Tatbestände erwähnen, zu denen sich wiederum eine ständige Rechtssprechung entwickelt hat. Spätestens im letzten Fall sind Versicherungsnehmer und wohl fast alle Versicherungsvermittler hoffnungslos überfordert. Leider betrifft dieser schlechtest denkbare Fall fast alle IT-Haftpflichtversicherungsverträge. Hierzu ein Beispiel aus der Praxis:
Die Allgemeinen Bedingungen zur Haftpflichtversicherung (AHB), die auch Basis fast aller IT-Haftpflicht-Versicherungsvertragsbedingungen sind, erklären (§ 4 I Nr. 6 AHB, vierter Satz): "Die Erfüllung von Verträgen und die an die Stelle der Erfüllungsleistung tretende Ersatzleistung ist nicht Gegenstand der Haftpflichtversicherung…". Wird dieser zentrale Risikoausschluss in dem verwendeten Bedingungswerk nicht explizit behandelt – was fast nie der Fall ist –, steht der Versicherungsnehmer im Regen: Beginnt der Versicherungsschutz denn nun nach Abnahme, Übergabe, Fertigstellung einer IT-Leistung? Und wie sieht die Schadenabteilung den häufigen Fall, dass IT-Leistungen zwar erbracht worden sind, der geschuldete IT-Leistungsumfang (ausgedrückt in Funktionalität) aber entweder unklar ist oder nicht zu 100 Prozent erbracht wurde? Wie grenzen sich dann die versicherten von den nichtversicherten Haftungsansprüchen ab?
Gelten die AHB jedoch nicht als Basis des IT-Haftpflichtbedingungswerkes, sieht es auch nicht besser aus: Durch die Verwendung neuer Begrifflichkeiten, die ebenfalls nicht klar definiert werden, klärt sich dann oft genug erst im Schadenfall, was der Versicherer eigentlich damit gemeint hat. Im Ergebnis ist in der Abgrenzung der versicherten von den nichtversicherten Tatbeständen bei etlichen Haftpflichtversicherern im Schadenfall mit Schwierigkeiten zu rechnen – unter anderem bei Allianz, Chubb, Gothaer, Hiscox, St. Paul, Victoria, Zürich-Agrippina, um nur einige zu nennen.
Immer wieder argumentieren Vertriebsabteilungen bestimmter IT-Haftpflichtversicherer, Verzug sei versicherbar. Etliche Versicherungsvermittler haben diese Argumente nur allzu gerne in ihre Vertriebsstrategien übernommen. Haftungsansprüche Dritter aus Verzug sind jedoch – bis auf Ausnahmen – nicht versicherbar. Um den Rahmen dieses Artikels nicht zu sprengen, hierzu lediglich ein logisches Argument: Wären die Haftungsansprüche Dritter aus Verzug des Auftragnehmers versicherbar, könnte dieser beliebig viele Aufträge annehmen und terminlich zusagen und im Laufe der Jahre abarbeiten. Jegliche Schadenersatzforderung Dritter aus Verzug bis hin zum Rücktritt vom Vertrag würde dann von der Versicherungswirtschaft getragen, deren schnelles Ende damit besiegelt wäre.
Neuerdings wird manchen Versicherungsnehmern erklärt, die Absicherung von Haftungsrisiken aus dem Application Service Providing, somit aus der Nichtverfügbarkeit von Daten oder fehlender Datensicherheit, sei in IT-Haftpflichtversicherungsverträgen abgesichert. Das ist fast immer falsch. Grund sind die bereits erwähnten Risikoausschlüsse bezüglich der Erfüllung von Verträgen sowie der an die Stelle der Erfüllungsleistung tretenden Ersatzleistungen. Die Hauptleistungspflicht des ASP im Sinne eines Dauerschuldverhältnisses besteht nun einmal gerade in der Zusage der Verfügbarkeit und Sicherheit. Und diese Hauptleistungspflicht ist in den IT-Haftpflichtkonzepten nicht versicherbar.
Bei Unterbrechungsversicherungen beziehen sich die gängigen Bedingungswerke auf die Sach- oder Elektronikversicherungsbedingungen. Im Ergebnis bedeutet dies, dass ein Versicherungsschutz für Unterbrechungsschäden immer nur dann besteht, wenn zuvor eine Sache in ihrer Substanz nicht unwesentlich beeinträchtigt worden ist (beschädigt bzw. zerstört) oder die Sache gestohlen wurde und dieser Sachsubstanzschaden der Grund für die Betriebsunterbrechung war. Stromausfall, Viren, Hacker, Denial of Service sowie Erpressung als Folge von Informationsdiebstahl sind aber keine Sachsubstanzschäden, folglich besteht hierfür auch kein Versicherungsschutz. Versuche von Spezial-Elektronik-Versicherern, einen solchen Schutz für die genannten echten Vermögensschäden aufzubauen, sind bisher regelmäßig in Ansätzen steckengeblieben. Es fehlt der Mut zum Risiko, auch die Erfahrung und stets die versicherungsvertragliche Basis eines Risikoprofils.
Vorsicht ist auch bei der Bewertung von Versicherungssummen geboten. Die maßgebliche Versicherungssumme für IT-Haftpflichtverträge und alle Schadenfälle aus einer Nichtverfügbarkeit und fehlender Datensicherheit ist die Versicherungssumme für Vermögensschäden. Manche altmodischen IT-Haftpflichtverträge stellen die Vermögensschäden den Sachschäden gleich, sodass diese nicht als separate Versicherungssumme in dem Versicherungsvertrag auftauchen. Dann wird nur aus dem Bedingungswerk ersichtlich, ob Vermögensschäden überhaupt versichert sind oder nicht.
Sind Vermögensschäden als Versicherungssumme in dem Versicherungsvertragsdokument ausgewiesen oder ergibt sich dies aus dem Bedingungswerk, sind damit aber auch nicht automatisch Vermögensschäden aus IT-Leistungen gedeckt: Der Versicherungsschutz kann sich auch lediglich auf Vermögensschäden aus Ansprüchen nach dem Bundesdatenschutzgesetz beziehen.
Und selbst wenn sich die Versicherungssumme für Vermögensschäden auf IT-Leistungen bezieht und dies auch im Bedingungswerk so beschrieben wird, kann diese Versicherungssumme dennoch (evtl. weiter hinten im Bedingungswerk) für Vermögensschäden aus erbrachter IT-Leistung auf lediglich 10 Prozent der Versicherungssumme für (allgemeine) Vermögensschäden begrenzt sein. Zumindest wurden in der Vergangenheit solche IT-Haftpflichtverträge vom Gerling-Konzern und Versicherungsvermittlern angeboten und verkauft. Gerling ist hierbei juristisch nichts vorzuwerfen, denn es herrscht Vertragsfreiheit; der kundige Versicherungsnehmer muss einen solchen Vertrag selbst entsprechend zu "würdigen" wissen.
Ein weiterer Fallstrick sind IT-Haftpflichtversicherungsverträge, die nur mit einfacher Deckung ausgestattet sind. In der Fachsprache nennt sich das "einfach maximiert". Die Versicherungssumme steht pro Versicherungsjahr dann nur einmal zur Verfügung – eine eher als dürftig einzuschätzende Lösung. Gute IT-Haftpflichtverträge verfügen als maximale Leistung des Haftpflichtversicherers die doppelte Versicherungssumme für alle Schadensfälle eines Versicherungsjahres.
Rechtssicherheit bei Schadenfällen aus der Nichtverfügbarkeit von Daten, Software-Applikationen und Equipment sowie aus fehlender Datensicherheit stellt sich nur ein, wenn
Leider erfüllt derzeit de facto kein in Deutschland anbietender Versicherer alle drei Punkte. Ein bedauerlicher Zustand, der sich wohl erst ändern wird, wenn die Versicherungsnehmer die Anbieter und ihre Vermittler hierzu forcieren oder andernfalls die notwendige Deckung im Ausland einkaufen.
Andreas Reinhardt ist zugelassener Rechtsberater
für Versicherungsrecht und Mitglied der Geschäftsleitung
der REINHARDT UND ERBEN GmbH, Berlin ( www.reinhardtunderben.de). Er engagiert
sich zudem als Vorsitzender in dem Fachausschuss Versicherungsrecht
des
BITKOM.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/3, Seite 60
