Über Ralph Günther

Als Gründer der exali GmbH verfüge ich über langjährige Erfahrung im Riskmanagement und der Versicherung von IT-Experten, Medienschaffenden und Consultants. Mehr

Zum Versicherungsportal

exali.de - Mein Business bestens versichert

RSS

RSS

Networking

Follow exali on Twitter  

Meta

Diese Seite wird überprüft von der Initiative-S

Die zwei Seiten einer Medaille: Innovative Technologien und Services wie Cloud Computing und Software as a Service (SaaS) bergen für Softwarenanbieter einerseits wirtschaftliche Chancen, andererseits aber auch haftungsrechtliche Risiken. Das Schadenrisiko für Anbieter in diesem Tätigkeitsfeld beschränkt sich dabei nicht nur auf Programmierfehler oder fehlerhafte Backups, sondern umfasst auch Rechtsverletzungen und Datenverlust. Dies habe ich bereits im ersten Teil „Haftungsrisiken von Softwareanbietern“ dieser Serie skizziert.

Zwei Seiten einer Medaille: Innovative Technologien und Services wie Cloud Computing und SaaS bergen für Softwarenanbieter wirtschaftliche Chancen, aber auch haftungsrechtliche Risiken.

Zwei Seiten einer Medaille: Innovative Technologien und Services wie Cloud Computing und SaaS bergen für Softwarenanbieter wirtschaftliche Chancen, aber auch haftungsrechtliche Risiken.

Ein weiteres Haftungsfeld neben dem Ausfall- und Verlustrisiko von Daten ergibt sich daraus, dass der Softwareanbieter in aller Regel  auch für die Sicherheit der Daten gegenüber Dritten verantwortlich ist. Besteht bei der SaaS-Lösung beispielsweise eine Sicherheitslücke, durch die Dritte in das System eindringen und an die Datensätze des SaaS-Kunden gelangen, ist der Softwarehersteller klar in der Verantwortung.

Auch bei solchen „Hackerangriffen“ von Dritten handelt es sich versicherungstechnisch um so genannte Vermögensschäden. Die Absicherung dieser Risiken stellt eine zusätzliche Herausforderung dar und ist in herkömmlichen Betriebshaftpflichtversicherungen standardgemäß nicht enthalten.

Besonderheit bei Cloud-Computing: Security Service Level Agreements (SSLA)

Hinsichtlich des Versicherungsschutzes waren vertragliche Zusagen über SLAs (Service Level Agreement) bereits in der Vergangenheit problematisch. Speziell beim Cloud Computing kommen jedoch zusätzlich oft SSLAs, also Security Service Level Agreements, zum Einsatz. Genau wie bei SLAs muss der Cloud-Anbieter also vorsehen, dass nicht nur die gesetzliche Haftung, sondern auch die vertragliche Haftung (Vertragszusagen) in den Versicherungsschutz eingeschlossen ist.

Wird bekannt, dass Adressdatensätze des SaaS-Kunden an Unbefugte gelangt sind, werden u.U. dessen Kunden die Geschäftsbeziehung auflösen. Dafür hat der SaaS-Kunde gegenüber dem Softwareanbieter einen Haftungsanspruch. Zudem kann er Schadenersatz für Maßnahmen zum Wiederherstellen des Kundenvertrauens, z.B. durch kostenintensive Marketingmaßnahmen, fordern. Versicherungstechnisch spricht man in einem solchen Fall von einem Folgeschaden.

Sichere Option: Vermögensschadenhaftpflicht mit „All-Risk-Deckung“

Zusammenfassend lässt sich sagen, dass durch Cloud Computing neue Risiken aber auch Verschiebungen der Risikoschwerpunkte für Softwareanbieter entstehen können. Dabei handelt es sich insbesondere um Vermögensschadenrisiken (versicherungstechnisch meist so genannte reine Vermögensschäden) wie:

  • Datenverlust, Datendiebstahl (Hackerangriffe)
  • Sicherheitslücken
  • Datenschutzrechtsverletzungen
  • Verfügbarkeit (vertragliche Zusagen)
  • Programmierfehler  und falsche Prozessverarbeitung
  • Folgeschäden z.B. durch Betriebsunterbrechung

Softwareanbieter, die im Versicherungsschutz auf eine sogenannte „All-Risk Deckung“ bauen, können diese Risiken über derzeit am Markt verfügbare Versicherungsverträge abdecken. Denn diese Form der Vermögensschadenhaftpflicht versichert pauschal alle Schäden, die nicht explizit ausgeschlossen sind.

Wer ältere IT-Betriebshaftpflichtverträge besitzt, läuft Gefahr, an der ein oder anderen Stelle eine Versicherungslücke in den Versicherungsbedingungen zu haben. Denn in herkömmlichen Betriebshaftpflichtverträgen sind die erlaubten versicherten Tätigkeiten und Gefahren in aller Regel abschließend benannt. Hier besteht das Risiko, dass Cloud- und SaaS-Tätigkeiten nicht genannt und somit nicht versichert sind. Zudem besteht für reine Vermögensschäden meist kein oder nur ein sehr eingeschränkter Versicherungsumfang.

Checkliste: Benötigte Leistungen der Versicherung

In jedem Fall sollten sie prüfen, dass folgende Leistungskriterien von der IT-Haftpflichtversicherung bzw. IT-spezifischen Vermögensschadenhaftpflichtversicherung umfasst sind:

  • Hohe Versicherungssummen bzw. Deckungssummen für reine Vermögensschäden (je nach Umfang der angebotenen Leistungen mind. 1 bis 2,5 Mio. Euro).
  • All-Risk-Deckung“ für alle Risiken eines IT-Unternehmens (nicht nur benannte Gefahren).
  • Mitversicherung von Vermögensfolgeschäden wie Gewinnausfall des Kunden, Betriebsunterbrechung oder Verzögerungsschaden.
  • Mitversicherung von Mehrkosten des Kunden in Erwartung einer ordnungsgemäßen Leistung.
  • Der Vertrag sollte keine Ausschlüsse oder Sublimite (reduzierte Versicherungssummen) für Rechtsverletzungen wie Datenschutzrechtsverletzungen, Urheberrechtsverletzungen oder Persönlichkeitsrechtsverletzungen aufweisen.
  • Die fahrlässige Übermittlung von Viren aller Art, sowie Hackerangriffe Dritter (die z.B. auf Sicherheitslücken der Software zurückzuführen) sollten mitversichert sein.
  • Versicherungsschutz für das Abweichen von der vereinbarten Beschaffenheit (z.B. im Rahmen von Service Level Agreements) von Sachen, Lieferungen oder Leistungen, auch wenn verschuldensunabhängig gehaftet werden muss.
  • Die Vergabe von Leistungen an Subunternehmer sollte ausdrücklich versichert sein.
  • Da bei SaaS- und Cloud-Lösungen den vertraglichen Regelungen mit Kunden und Subunternehmern (wie z.B. Hostprovidern) eine sehr wichtige Bedeutung zukommt, müssen auch bestimmte Bereiche der vertraglichen Haftung* mitversichert sein.
*Wichtiger Hinweis: Fast alle IT-Betriebshaftpflicht- und IT-Vermögens-schadenhaftpflichtversicherungen versichern ausschließlich die gesetzliche Haftung. Somit besteht kein Versicherungsschutz sobald durch abweichende vertragliche Regelungen (z.B. SLAs, SSLAs) eine weitergehende Haftung entsteht!

Lesen Sie in Teil 3 „Cloud Computing und SaaS: Rechtliche Regelungen und Vorgaben“ mehr zu rechtlichen Regelungen und Vorgaben im Gastkommentar von Werner Grohmann, Herausgeber SaaS Forum und Cloud Computing Report.

Weiterführende Informationen

Eine Antwort auf “Cloud Computing und SaaS: Mit einer Vermögensschadenhaftpflicht auf der sicheren Seite”

  1. […] Teil 2: Mit einer Vermögensschadenhaftpflichtversicherung auf der sicheren Seite […]

Schreiben Sie einen Kommentar

Wenn Sie einen Kommentar abgeben, speichern wir zu den eingegebenen Daten Ihre IP-Adresse. Weitere Informationen finden sie in unserer Datenschutzerklaerung.

Time limit is exhausted. Please reload CAPTCHA.