Neue Haftungsszenarien in der Tech E&O Versicherung

Mit der rasanten Entwicklung der Informations- und Kommunikationstechnologie haben sich in den letzten Jahren moderne Software- und IT-Leistungen in nahezu allen Bereichen etabliert. Software ist einerseits als „Embedded Software“ Teil der eigenen Produkte eines Herstellers oder wird in Produkten Dritter implementiert. Cloud-basierte Anwendungen und -Dienste vernetzen die Unternehmen und ersetzen zunehmend lokale IT-Infrastruktur. Intelligente Produkte und Maschinen kommunizieren und interagieren miteinander („Internet of Things“ (Iot)). Hierbei spielen auch Anwendungen für künstliche Intelligenz (KI) inzwischen eine Rolle. Dabei sprechen wir nicht mehr nur über Geschäftsmodelle für Tech Unternehmen. Oft haben „traditionelle“ Unternehmen längst reagiert und ihr Leistungsportfolio um Software- und IT-Leistungen ergänzt. Diese nehmen an Bedeutung für die Unternehmensergebnisse zu.

Die neue Rolle von IT-Leistungen in Unternehmen

Produkte, Maschinen und Anlagen aller Art enthalten oft bereits digitale Elemente. Diese vernetzen die Geräte, sammeln Daten, ermöglichen eine Remote-Steuerung oder bieten zusätzliche Dienste an (z.B. vernetzte Thermostate oder intelligente Haushaltsgeräte). Digitale Elemente kommen auch in Industrieanlagen, Produktions- und Lieferprozessen zum Einsatz. Zur Erhöhung der Widerstandsfähigkeit der Lieferketten bei Störungen investieren Industrieunternehmen erheblich in die Digitalisierung der Produktions- und Lieferprozesse („Digital Factory“).

Im Maschinen- und Anlagenbau können die gelieferten Anlagen und Maschinen sowie die damit zusammenhängende Produktion analysiert und so Produktion und Wartung überwacht und optimiert werden. Über den Betrieb digitaler Plattformen werden in vielen Industrien nach dem Vorbild von Amazon nicht mehr nur die Leistungen des eigenen Unternehmens angeboten, sondern auch die Leistungen und Produkte anderer Unternehmen eingebunden.

Clouddienstleistungen wie Software as a Service (SaaS) ermöglichen Unternehmen u.a. eine flexible Skalierbarkeit der Ressourcen und Dienste nach Bedarf, erleichtern den Zugriff von verschiedenen Standorten und reduzieren die Notwendigkeit für „teure“ lokale IT-Infrastruktur. Software as a Service (SaaS) ist ein Bereitstellungsmodell für Softwareanwendungen, bei dem die Software über einen Webbrowser oder eine dedizierte Anwendung bereitgestellt wird, anstatt in der lokalen IT-Infrastruktur installiert zu sein.

Haftung für IT-Leistungen: Vom Datenverlust bis zur Sicherheitslücke

Es gibt verschiedene Haftungsszenarien, für die der Erbringer der IT-Leistung, der Lieferant der Softwarelösung oder der Hersteller der Produkte auf Schadenersatz in Anspruch genommen werden können. Mögliche Geschädigte und damit Anspruchsteller sind die Kunden als auch weitere betroffene Dritte.

Das wohl häufigste Szenario ist der Datenverlust oder die Datenveränderung der gespeicherten Daten. Darüber hinaus entstehen Schäden aus Sicherheits- oder Verfügbarkeitslücken. Es gibt aktuell verschiedene Gesetzesinitiativen, die die Haftung in diesem Bereich schärfen wollen. Der Entwurf zur Überarbeitung der EU-Produkthaftungsrichtlinie sieht vor, die Produkthaftung für Software und Datenverlust klarer zu regeln. Die Verletzung des Datenschutzes kann zu empfindlichen Schadenersatzansprüchen führen. Die Entwicklung der Rechtsprechung z.B. zu Schadenersatzansprüchen nach Art. 82 DSGVO erfährt aktuell ein besonderes Augenmerk.

Ein besonderes Risiko besteht in einem Kumulrisiko, da z.B. ein systematischer Programmfehler oder eine Sicherheitslücke sich bei einer Vielzahl von Kunden und weiteren Betroffenen gleichzeitig auswirken kann. Da schnell eine Vielzahl von Produkten und Systemen von demselben Fehler betroffen sein können, muss auch mit einer Vielzahl von Schadenersatzansprüchen und hohen Schäden gerechnet werden. Hinzu kommen die neuen Sammelklagemöglichkeiten für Verbraucher. Eine verträgliche Beschränkung der Haftung ist nur zum Teil möglich.

Künstliche Intelligenz (KI): Chancen und neue Haftungsrisiken

Anwendungen für künstliche Intelligenz (KI) werden nicht nur vielfach diskutiert, sondern in immer mehr Bereichen eingesetzt. Im Gesundheitswesen werden KI-Systeme für die Diagnose von Krankheiten, individualisierte Behandlungsmethoden und Arzneimittel sowie für die Analyse medizinischer Bilder eingesetzt. Bei Finanzdienstleistungen unterstützt KI bei der Risikobewertung und beim automatisierten Handel. Im Kundenservice oder bei Assistance-Leistungen nutzen Unternehmen KI für die Kommunikation via Chatbots. Versicherer setzen KI bei der Bearbeitung von (Bagatell-)Schäden ein. In Personalabteilungen hilft KI bei der Auswahl von Bewerbern.

Geht bei der Verwendung von KI etwas schief, kann es schwierig sein zu ermitteln, wer die Verantwortung trägt, und welcher Schaden entstanden ist. Verantwortlichkeiten können bei Betreiber, Hersteller, Verwender oder denjenigen, die die KI mit Daten trainieren, liegen. Bisher wurde KI oft in einer unterstützenden Rolle eingesetzt. Zum Beispiel haben Bildanalyse-Systeme Ärzte nicht ersetzt, sondern unterstützen diese bei der Diagnose. Die Entwicklung weist aber in Richtung von umfassender einsetzbaren KI. Angesichts der immer größer werdenden Bedeutung und damit der Notwendigkeit klarer rechtlicher Rahmenbedingungen arbeiten Gesetzgeber an neuen Regeln für den Einsatz und zur Haftung für Folgen des Einsatzes von KI.

Der richtige Versicherungsschutz für IT-Leistungen

Die Versicherungskonzepte der Unternehmen sind anzupassen, um die Haftung für Schäden Dritter aus den neuen Haftungsszenarien adäquat abzusichern.

Betriebs- und Produkthaftpflichtversicherung:
Schutz für Personen- und Sachschäden

Versicherungsschutz für Schadenersatzansprüche Dritter wegen Personen- oder Sachschäden besteht hauptsächlich in der Betriebs- und Produkthaftpflichtversicherung. Aufgrund der AHB-Ausschlüsse wird in vielen Betriebshaftpflichtversicherungen der Versicherungsschutz für Personen- und Sachschäden zum Teil nur über eine Zusatzklausel und im Rahmen der dafür vereinbarten, eingeschränkten Versicherungssumme gewährt. Daneben sind auch moderne Betriebs- und Produkthaftpflichtversicherungen ohne diese Beschränkungen erhältlich.

Deckungslücken bei Vermögensschäden:
Warum herkömmliche Versicherungen nicht ausreichen

Im Fokus werden aber Schadenersatzansprüche wegen „reiner“ Vermögensschäden stehen. Konventionelle Betriebs-/Produkthaftpflichtversicherungen sichern die Risiken aus IT-Produkten oder IT-Leistungen nur unzureichend ab, da Vermögensschäden nur in einem eingeschränkten, eng definierten Umfang mitversichert werden. Die Betriebs-/Produkthaftpflichtversicherung bietet oft keinen geeigneten Versicherungsschutz für „reine“ Vermögensschäden aus IT-Leistungen. Die Cyberversicherung ist zwar eine spezielle Versicherung für die finanziellen Folgen von Cyberangriffen und Datenschutzverletzungen, gewährt aber oftmals keinen oder keinen ausreichenden Versicherungsschutz für Haftpflichtschäden aufgrund von IT-Produkten oder IT-Leistungen.

Tech E&O Versicherung:
Umfassender Schutz für IT-Risiken und Vermögensschäden

Für eine angemessene Absicherung bedarf es daher besonderer Versicherungskonzepte. Im Wesentlichen lassen sich diese Versicherungskonzepte als IT-Haftpflichtversicherung und als Technology Errors & Omissions Versicherungen (Tech E&O) beschreiben. Sie fokussieren sich auf die Absicherung der Haftung für Vermögensschaden Dritter.

IT-Haftpflichtversicherungen sind entweder als Weiterentwicklung einer Betriebshaftpflichtversicherung auf AHB-Basis oder als Weiterentwicklung der (allgemeinen) Vermögensschadenhaftpflichtversicherung jeweils mit IT-spezifischen Modifizierungen ausgestaltet. Die Tech E&O Versicherung ist eine moderne Weiterentwicklung der IT-Haftpflichtversicherung. Ihr liegen speziell auf diese Risiken abgestimmte frei formulierte Versicherungsbedingungen zugrunde.

Versicherungsschutz besteht in der Regel pauschal für alle Vermögensschäden aus den versicherten Risiken. Vom Versicherungsschutz umfasst ist die Haftung für Vermögensschaden Dritter wie Produktionsausfall, Betriebsunterbrechung oder entgangenem Gewinn, Ersatz vergeblicher Aufwendungen des Auftraggebers in Erwartung ordnungsgemäßer Leistung, in einem bestimmten Umfang Verzögerungsschäden (Verzug), Schäden aus dem Verlust, der Veränderung oder der Nichtverfügbarkeit von elektronischen Daten, Verletzung von Persönlichkeitsrechten / Schutzrechten sowie Anspruche wegen Schaden aufgrund einer fehlgeschlagenen Installation von Software. Neben dem Versicherungsschutz für Schadenersatzansprüche Dritter kann der Versicherungsschutz um einige, sublimitierte Kostenbausteine ergänzt werden (z.B. Benachrichtigungskosten in Folge einer Datenschutzverletzung, vergebliche Aufwendungen im Falle des Rücktritts des Auftraggebers, Krisenberatungskosten).

Relevant ist die Tech E&O Versicherung zunehmend als Absicherung von Schadenersatz- und Regressansprüchen, wenn die Leistungen des Versicherungsnehmers zu Cybervorfällen bei Kunden und weiteren betroffenen Dritten führen. In einem Beispiel liefert der Versicherungsnehmer, ein Chemieunternehmen, an seine Kunden Sensoren als auch die Software, die die Sensordaten mit dem IT-System des Versicherungsnehmers zur Datenanalyse verbindet. Die Kunden können über die IT-Systeme des Versicherungsnehmers auf die Analyse ihrer Produktions- und Prozessdaten zugreifen. Die Software ist fehlerhaft und Kunden erleiden Cyberangriffe. Die Schäden der Kunden wie kompromittierte Daten und Ausfallzeiten sind ggf. über Cyberversicherungen versichert. Die Kunden bzw. die Cyberversicherer der Kunden machen die Schäden als Schadenersatz- / Regressansprüche beim Versicherungsnehmer geltend.

Ebenso werden Kunden Schadenersatzansprüche geltend machen, wenn die fehlerhaft arbeitende Softwarelösung des Versicherungsnehmers dazu führt, dass der Kunde seine Prozesse ändert und dies zu falschen Mischverhältnissen führt.

Sinnvolle Absicherung: Harmonisierung der Versicherungskonzepte

Da immer mehr Unternehmen digitale Leistungen für Dritte erbringen und die IT-Infrastruktur der Unternehmen sich vernetzen, ist es wichtig, die Bedingungen der Tech E&O Versicherung und der Cyberversicherung richtig aufeinander abzustimmen.

Der Versicherungsnehmer in dem vorgenannten Beispiel bietet seinen Kunden an, die Produktions- und Prozessdaten der Kunden über seine IT-Systeme zu überwachen und zu analysieren. Die Software, die die Sensordaten mit dem IT-System des Versicherungsnehmers zur Datenanalyse verbindet, wird über die IT-Systeme des Versicherungsnehmers aktualisiert. Die IT-Systeme des Versicherungsnehmers werden gehackt und Schadsoftware wird mit der Aktualisierung in die Systeme der Kunden aufgespielt. Aufgrund dessen erleiden auch die Kunden Cyberangriffe und machen die Schäden beim Versicherungsnehmer geltend. Sowohl die Tech E&O Versicherung als auch die Cyberversicherung des Versicherungsnehmers können in diesem Fall betroffen sein.

Für eine möglichst adäquate Absicherung ist daher auch entscheidend, dass Cyberversicherung und IT-Haftpflichtversicherung passgenau aufeinander abgestimmt sind. Die hierzulande angebotenen Cyberversicherungen regeln das Verhältnis zu IT-Haftpflichtversicherungen bis dato nicht einheitlich.

Abzulehnen ist der Versuch einiger Versicherer, einen Cyberausschluss auch in IT-Haftpflichtversicherungen und Tech E&O Versicherungen zu vereinbaren. Dies kann in zahlreichen Fällen dazu führen, dass weder in der Cyberversicherung noch in der IT-Haftpflicht-/ Tech E&O Versicherung Versicherungsschutz besteht.

Fazit: Tech E&O als Schlüssel zur Absicherung neuer Haftungsszenarien

Die Unternehmen und die Assekuranz müssen sich mit den neuen Haftungsszenarien verstärkt beschäftigen. Betriebs-/Produkthaftpflichtversicherung und Cyberversicherung sichern die Haftungsrisiken aus IT-Leistungen nicht ausreichend ab. War die Produkthaftpflichtversicherung bei der Absicherung von Schäden Dritter aus den konventionellen Produkten in der Vergangenheit die maßgebliche Haftpflichtversicherung, wird die Tech E&O Versicherung in Zukunft eine ebenso bedeutende Rolle für die neuen Haftungsszenarien einnehmen. Für einen adäquaten Versicherungsschutz ist es wichtig, alle Versicherungen genau aufeinander abzustimmen.