Versicherung von IT - Risiken

Home Nach oben

Ralf Hansen

Wie und in welchen Grenzen

man IT - Risiken versichern kann

Eine Rezension zu:

Robert Koch

Versicherbarkeit von IT - Risiken

in der Sach-, Vertrauensschaden und Haftpflichtversicherung

 

Erstauflage

Berlin: Erich Schmidt Verlag, 2004, 1078 S.

ISBN 3-503-08328-6

http://www.esv.info/3-503-08328-6

 

Ein präventiver Schutz gegen Fehlverhalten bei der Bedienung ist ebenso auszuschließen wie die Überwindung entsprechender Absicherungssysteme durch Hacker oder Cracker. Der technisch letztlich kaum völlig zu verhindernde Ausfall von IT - Systemen wirft die Frage nach der Versicherbarkeit derartiger Risiken auf. Hier fehlte es bislang an einer umfassenden versicherungsrechtlichen Analyse. Die Schwierigkeiten der Versicherung von IT - Risiken sind letztlich alle damit in Berührung stehenden Praktikern bekannt, weshalb eine derart umfassende und differenzierte Analyse das Interesse der Praxis wecken muss. Die Bereitschaft solche Risiken zu versichern, stößt bei den Versicherern nach wie vor auf eine verhaltene Bereitschaft, auch bei den Rückversicherungen. Der Verfasser, der sich mit dieser Analyse einem Arbeitsaufwand unterzogen hat, der nur mit Staunen und Bewunderung zur Kenntnis genommen werden kann, hat hier eine Analyse vorgelegt, die jedenfalls in Deutschland derzeit ihresgleichen nicht findet. Der Band hat etwa den Stand von Juli 2004, berücksichtigt aber etwa schon die AHB 2004..

Der Text geht mit guten Gründen von einer weiten Begriffsbestimmung der IT-Risiken aus und zählt dazu nicht nur die Herstellung und den Vertrieb von Haftware und Software, sondern auch die bloße Nutzung von Hardware, IT-Anwendungen sowie IT-Infrastrukturen wie Netzwerken, worunter auch Internetanwendungen fallen. Nach einer kurzen Einführung in die Kernprobleme, geht der Verfasser in Teil B in einer umfassenden Analyse auf die Pflicht der Unternehmensleitung zur Einrichtung eines Risiko-Management-Systems ein, wobei allerdings nach dem ARAG/Garmenbeck-Urteil des BGH ein nicht unerheblicher Einschätzungsspielraum besteht. Allerdings bestehen streckenweise auch gesetzliche Pflichten für einen Versicherungsschutz, jedoch folgt die Verpflichtung meist aus der Vermögensinteressenwahrnehmung, auch wenn hierzu bislang wenig verwertbare Rechtsprechung auszumachen ist. Der Verfasser weist indessen überzeugend auf die Haftungsrisiken des Managements hin, die sich bei Nichtversicherung bestehen können und die selbst wiederum durch einen Versicherungsschutz nicht aufgefangen werden, weil insoweit erhebliche Ausschlüsse bestehen. Auch wer dem Verfasser hier nicht in jeder Hinsicht Folgen will, wird nicht umhinkönnen einzuräumen, dass die faktisch bestehenden Schadensmöglichkeiten den Versuch einer Absicherung durch Deckungskonzepte von Versicherungen wenigstens nahe legen.

Teil C beschäftigt sich kurz mit der Erfassung von IT-Risiken, während Teil D der Identifikation und der Bewertung von IT-Eigenschadenrisiken gewidmet ist, an die sich in Teil E eine Analyse der Fremdschadenrisiken durch Schadensersatzansprüche Dritter anschließt, die weit ausgreift und auch ausländisches Recht mit einbezieht. Die Darstellung differenziert insoweit zwischen Schäden aus IT - Nutzung, der Herstellung und dem Vertrieb von IT - Produkten und der Erbringung von IT - Dienstleistungen. Die Darstellung orientiert sich an den denkbaren Anspruchsgrundlagen und kombiniert diese mit möglichen Schadensquellen anhand klug gewählter Beispielsfälle. Die Analyse ist derartig umfassend, dass sich hier letztlich ein Katalog fast aller denkbaren Schadensformen und deren rechtliche Bewältigung ergibt, der auch für die Bearbeitung von Schadensfälle eine heuristische Funktion haben kann. Die Darstellung mündet denn auch in Checklisten für die Bearbeitung entsprechender Fallgestaltungen ein, die auch jeweils eine Risikobewertung enthalten. Würde man darauf näher eingehen, müsste man jeweils Details "herauspicken", was an dieser Stelle nicht für sinnvoll gehalten wird.

Im Aufbau völlig konsequent untersucht Teil F die traditionellen Deckungskonzepte für die Versicherbarkeit von IT - Eigenschadenrisiken, während Teil G dies für die Fremdschäden unternimmt. Es geht hierbei insbesondere darum Schutzlücken eingehend herauszuarbeiten. Dies geschieht durch eine eingehende Analyse der einschlägigen Allgemeinen Versicherungsbedingungen. Erst der Teil H untersucht dann auf der Basis dieser Defizitanalyse eine Darstellung neuer, IT-bezogener Deckungskonzepte. Auch wird wieder bei den IT-Eigenschäden angesetzt, da derzeit kein Versicherungsmodell bekannt ist, das Eigen- wie Fremdschäden gleichermaßen versichert. Die Recherchen des Verfassers haben ergeben, dass nur zwei Versicherer Policen anbieten, die über den aufgezeigten Schutz von IT-Eigenschäden hinausgehen und insbesondere auch eine Vertrauensschadenabsicherung und eine Absicherung gegen Hackerangriffe sowie eine Deckung für Erpressung mit Computerdelikten enthält. Allerdings enthalten diese Policen erhebliche Risikoausschlüsse. Bei den Fremdschäden wird intensiv auf die BHV-IT und die BBR-IT von 2004 eingegangen. Die Policen am deutschen Markt sind nahezu ausschließlich auf IT - Dienstleister und hier auf die Hard - und Softwareindustrie zugeschnitten, die teilweise jetzt auch Schutz gegen immaterielle Ansprüche wie Namensrechtsverletzungen bieten. Auch hier bestehen erhebliche Risikoausschlüsse im Deckungskonzept. Die äußerst interessanten Einzelanalysen zeigen, dass für Content - Providing kein angemessener Schutz zur Verfügung steht und nach vor erhebliche Lücken in IT-Versicherungskonzepten bestehen.

Das Handbuch stellt eine derzeit einzigartige Leistung dar, die den Untersuchungsgegenstand erschöpfend analysiert und insbesondere auch Schutzlücken konsequent herausarbeitet.