Fallstricke der IT-Haftpflichtversicherer: Hoher Vermögensschaden durch fehlerhaftes Backup
Die Alltagspraxis zeigt: Ohne IT-Haftpflichtversicherung begeben sich freiberufliche IT-Dienstleister auf dünnes Eis, denn schon ein kleiner Fehler kann verheerende Wirkung haben. Diesem Risiko sind sich auch immer mehr Auftraggeber bewusst. Laut Studien fordert bereits ein Drittel von ihnen eine IT-Haftpflichtversicherung von den externen IT-Dienstleistern. Nicht immer ist solch eine Versicherung jedoch eine Garantie dafür, dass der Schaden vollumfänglich übernommen wird. exali-Geschäftsführer Ralph Günther erklärt anhand eines Praxisbeispiels, welche Klauseln sich als Fallstricke erweisen können.
Auftrag des IT-Dienstleisters: System zur Datensicherung
Schaden: Backup-System funktioniert nicht
Schadenersatzforderung in Höhe von 325.000,00 Euro
IT-Haftpflichtversicherer nimmt sich des Schadens an
Schaden in jedem Fall versichert?
IT-Dienstleister plant und betreut System zur Datensicherung
Ein mittelständischer IT-Dienstleister, der auf Netzwerke, Systemintegration und automatische Datenarchivierungssysteme spezialisiert ist, bekam den Auftrag, für ein Investmentberatungsunternehmen ein System zur umfassenden Datensicherung zu planen, zu installieren und anschließend laufend zu betreuen.
Das Anforderungsprofil des Kunden: Alle elektronischen Daten (Nachrichten, Beratungsprotokolle, Vertragsdaten, Vorlagen, Korrespondenz, etc.) mit einem Datenvolumen von etwa 100 GB sollten über ein Backup-System täglich automatisch gesichert werden.
Der IT-Dienstleister implementierte daraufhin ein Backup-System, das jeden Abend eine Sicherungskopie der einzelnen neuen und veränderten Arbeitsplatzdaten erstellte - sowie einmal pro Woche eine Komplettkopie aller Daten. Dabei wurde auch ein System integriert, das den Erfolg der Backuperstellung automatisch überprüft, dokumentiert und per Mail eine Bestätigung an den Systemadministrator vor Ort versendet.
Schaden: Backup-System funktioniert nicht
So weit, so gut. Doch nach einem dreiviertel Jahr meldete das Kontrollsystem folgenden Fehler: “Ein Tagesbackup konnte nicht erstellt werden”. Daraufhin wurde ein Servicemitarbeiter des IT-Dienstleisters zur Überprüfung und Behebung des Fehlers gerufen.
Er stellte einen Fehler des Kontrollmeldesystems (nicht des Backup-Systems) fest und behob ihn. Eine vollständige Kontrolle der Backups nahm er jedoch an diesem Tag nicht mehr vor. Auch die Qualität und Vollständigkeit der erstellten Backups prüfte er nicht. Stattdessen vereinbarte der einen weiteren Servicetermin für eine vollständige Systemkontrolle, der jedoch niemals wahrgenommen wurde. Die Investmentgesellschaft erinnerte deshalb nochmals an den ausstehenden Service.
Kurz darauf führte ein gewitterbedingter überspannungsschaden zur Zerstörung der Daten auf den Arbeitsplatzsystemen der Investmentberatungsgesellschaft. Beim Versuch, die Daten vom installierten Backup-System rückzusichern, stellten die Verantwortlichen fest: Kein brauchbares Backup war vorhanden.
Der Grund: Tatsächlich hatte das Backup-System seit etwa einem Jahr nicht (mehr) richtig funktioniert, was jedoch trotz Servicetermin unbemerkt blieb. Die Backup-Festplatten waren (ohne Kenntnis des IT-Dienstleisters) auch zur Abspeicherung anderer Daten benutzt worden, weshalb die Kapazität für die täglichen Backups nicht mehr ausreichte. In Folge wurden nur noch unbrauchbare Fragmente gespeichert. Das Problem: Der zu spät erschienene Mitarbeiter des IT-Dienstleisters hätte dies bemerken und “reparieren” können, wenn er die überprüfung gewissenhaft durchgeführt hätte.
Schadenersatzforderung in Höhe von 325.000,00 Euro
Der Investmentberatungsgesellschaft half das nicht viel weiter: Sie musste alle Kunden und Vertragsdaten in Handarbeit aus Akten und anderen Quellen nachpflegen. Dazu wurden erhebliche Überstunden der Angestellten geleistet, wofür die geschädigte Gesellschaft neben dem normalen Lohn entsprechende Zuschläge zahlen musste.
Eine erste Schätzung dieser zusätzlichen Kosten lag noch im niedrigen fünfstelligen Euro-Bereich. Doch schnell wurde klar, dass die Datenrekonstruktion viel aufwändiger sein würde, als es zunächst den Anschein hatte. So taxierte ein vom Versicherer eingeschalteter Gutachter den Schaden auf ca. 175.000,00 Euro (6.500 Arbeitsstunden).
Zudem hatte die Firma für einen längeren Zeitraum keine Möglichkeit, zeitnah auf die notwendigen Kundendaten zuzugreifen, um Investmentgeschäfte anzubahnen und durchzuführen. Als Folge wechselten ”vernachlässigte” Bestandskunden ihre Beratungsgesellschaft. Zudem konnten Neukunden nur schwer akquiriert werden (Imageschaden). Der Schaden dieses entgangenen Umsatzes und Gewinns wurde auf bis zu 150.000,00 Euro geschätzt. Insgesamt summierte sich die Schadenersatzforderung wegen des fehlerhaften Backups so auf 325.000,00 Euro.
IT-Haftpflichtversicherer nimmt sich des Schadens an
Der IT-Dienstleister hatte im Juni 2003 eine IT-Haftpflichtversicherung abgeschlossen. Die Deckungssummen wurden dabei mit 1,5 Millionen. Euro pauschal für Personen-, Sach- und Vermögensschäden vereinbart (mit einer festen Selbstbeteiligung von 1.000,00 Euro).
Der IT-Dienstleister unterrichtete seinen Versicherer sofort von dem - der sich deshalb entsprechend früh dem Schaden annehmen konnte. Die geschädigte Investmentfirma erhielt eine Zahlung über 130.000,00 Euro. Darüber hinaus trug der Versicherer die Gutachterkosten in Höhe von rund 5.000,00 Euro.
Im Gegenzug verzichtete die Investmentfirma darauf, den Folgeschaden durch entgangenen Gewinn geltend zu machen. Nicht unerheblich dürfte dabei der Umstand gewesen sein, dass ohne Wissen des IT-Dienstleisters auch andere Daten auf den Festplatten gespeichert wurden (Stichwort “Mitverschulden”). Zudem hätte ein erheblicher Aufwand darin bestanden, den entgangenen Gewinn zu beziffern und tatsächlich nachzuweisen. (Anmerkung: Den Nachweis des entstandenen (Folge-)Schadens muss der Geschädigte erbringen.) Am Ende konnte so durch den Vergleich ein langwieriger Streit mit einem nicht unerheblichem Rechtsanwalts- und Gerichtskostenrisiko vermieden werden.
Wäre der Schaden bei jedem Versicherer voll abgedeckt gewesen?
Der dargestellte Fall ist für den Verursacher (den IT-Dienstleister) und auch die Geschädigte (das Investmentberatungsunternehmen) gut verlaufen: Der IT-Haftpflichtversicherer übernahm den Schaden, schloss den Vergleich und zahlte die Vergleichssumme zeitnah an die geschädigte Gesellschaft aus. Der mittelständische IT-Dienstleister hätte wohl weder das Know-how für diesen Vergleich, noch die finanziellen Mittel für die geleistete Schadenzahlung gehabt.
Doch nicht jede Schadenregulierung verläuft so reibungslos: Viele Versicherer halten Fallstricke bereit - mit “suboptimalen” Versicherungsbedingungen. Ein überblick über solche “Hintertürchen” im Kleingedruckten finden Sie im zweiten Teil.