Ein IT-Dienstleister soll die Website einer recht großen Optikerkette neu gestalten. Der Kunde wünscht außerdem, dass seine fast 150.000 Bestandskunden mit einem personalisierten Schreiben über den schicken Relaunch der Plattform informiert werden. Doch die scheinbar unkomplizierte Aktion geht gründlich schief. Die Namen und Adressen in der Liste stimmen nicht überein.
Dieser Fehler wird aber von niemandem bemerkt, auch weil aus Zeitgründen ein Probelauf ausfällt. Die Folge: Alle verschickten Postaussendungen kommen einige Tage später mit dem Vermerk „Unzustellbar“ an die Optikerkette zurück. Das Print-Mailing muss neu gedruckt und die Portokosten beim zweiten Versand nochmal bezahlt werden. Der Schaden, für den die Optikerkette den IT-Dienstleister haftbar macht, hat es in sich: 53.500 Euro.
Dabei handelt es sich nur um einen von zahlreichen weiteren Schadenfällen, mit denen das Versicherungsmaklerunternehmen „Konzept und Verantwortung“ immer wieder beschäftigt ist, seit es sich auf den Versicherungsbedarf von IT-Experten und IT-Dienstleistern spezialisiert hat. „Wir setzen seit 2004 als erster Online-Anbieter von IT-Haftpflichtversicherungen auf sachliche, leicht verständliche Informationen zur Risikosituation von IT-Dienstleistern, die wir auch durch konkrete Schadenbeispiele aus der Praxis verdeutlichen“, erläutert Matthias Talpa eine wichtige Säule der hauseigenen Vertriebsstrategie. Talpa ist Geschäftsführer des Portals KuV24.de, das hinter dem Maklerunternehmen steht.
„Leicht verständliche Informationen zur Risikosituation von IT-Dienstleistern“, wie es Talpa beschreibt, scheinen bitter nötig zu sein. Denn IT-Experten sind nicht automatisch auch Risikospezialisten, geschweige denn Versicherungsspezialisten. „Die Lücken sehen wir überall dort, wo IT-Dienstleister veraltete, nicht zeitgemäße Versicherungsprodukte nutzen“, sagt Marc Thamm, Underwriting Manager beim Versicherungsunternehmen Hiscox, das auf IT-Risiken spezialisiert ist. „Beispielsweise sind digitale Risiken wie der Ausfall der IT-Infrastruktur häufig nur bedingt abgedeckt“, weiß Thamm.
Dabei verweist er auf eine Studie des Versicherers, den „Hiscox IT-Versicherungsindex“ vom September 2019. Darin gaben 83 Prozent der 305 befragten IT-Spezialisten an, dass ihre Auftraggeber einen Nachweis über eine IT-Betriebshaftpflicht forderten. „Es besteht daher weiterhin hoher Bedarf an zeitgemäßen Versicherungslösungen, die der wachsenden Digitalisierung Rechnung tragen und den IT-Dienstleistern Sicherheit geben“, stellt der Hiscox-Manager klar.
Immerhin: Die Corona-Krise dürfte eher nicht als Ausrede taugen, wenn es darum geht, die nötigen Mittel für einen bedarfsgerechten und leistungsfähigen Versicherungsschutz aufzubringen – gilt doch die IT-Branche gemeinhin als Krisengewinner. Und offenbar verweigert sie sich den Marktanforderungen auch gar nicht.
„Eine erhöhte Nachfrage gibt es vor allem in zwei unserer Sparten“, meldet Daniel Blazquez, Head of Technology Lines beim Versicherungsunternehmen Markel in Deutschland, das auf das Geschäft mit gewerblichem Haftpflichtschutz ausgerichtet ist. Zum einen schlage sich die wachsende Nachfrage in der Cyber-Versicherung nieder. Und das bei durchweg allen Unternehmen, bei denen Risiken wie „Arbeiten im Homeoffice“ – einhergehend mit entsprechenden technischen Lösungen – vor der Covid-19-Pandemie kaum ein Thema waren, wie Blazquez erläutert. Andererseits verzeichne Markel eine steigende Nachfrage von den IT-Dienstleistern im Bereich Berufshaftpflicht. Diese führt er auf „die gestiegenen Auftragszahlen“ zurück.
Doch der IT-Boom hält auch Schattenseiten für die sich eigentlich auf der Sonnenseite wähnenden IT-Dienstleister bereit – und zwar schon vor Corona. „Angesichts wachsender Auftragszahlen sowie zunehmend komplexer Projekte zeigen sich Dienstleister verunsichert, welche Folgen ein beruflicher Fehler nach sich ziehen könnte“, teilte Hiscox bereits im September 2019 auf Basis seines IT-Versicherungsindex mit. Ein beunruhigendes Ergebnis: 51 Prozent der deutschen IT-Dienstleister sind demnach der Ansicht, „dass digitale Risiken in ihrem Beruf unkalkulierbar sind“. Ist die Lage wirklich so dramatisch oder ist das nur etwas aufgebauschte PR?
Matthias Talpa hält das Ergebnis der Umfrage für glaubwürdig und ernstzunehmend: „Dass digitale Risiken im Beruf IT-Dienstleister unkalkulierbar sind, ist eine sehr realistische Einschätzung des Terrains, auf das sich alle Nutzer digitaler Medien wagen.“ Dabei beträfen die damit verbundenen Gefahren nicht nur Privatleute, sondern auch viele, die darüber gespottet hätten, so Talpa, „dass Kanzlerin Angela Merkel das Internet bei einer Pressekonferenz im Juni 2013 als ,Neuland‘ bezeichnet hat“. Anders gesagt: Auch selbst ernannte IT-Profis sind nicht immer vor den Tücken der Technik gefeit.
Denn die Fehlerquellen und Gefahren liegen Talpa zufolge keineswegs nur in eigener Unkenntnis, wenn es um den Dschungel zunehmender technischer Komplexität von Soft- und Hardware, Apps und Devices geht. „Nicht zu unterschätzende Gefahren gehen von Cyber-Kriminellen, aber auch von abmahnwütigen Anwälten aus“, berichtet der Experte. Hinzu kämen die Unwägbarkeiten, „die aus kontinuierlich verschärften gesetzlichen Regelungen, wie der Datenschutzgrundverordnung, erwachsen“.
Bei Verstößen drohten „empfindliche Strafen“, warnt Talpa – und gibt zumindest an dieser Stelle Entwarnung: Immerhin würden die Versicherer all diese Risiken finanziell nicht als „unkalkulierbar“ einstufen, sondern böten „schon seit vielen Jahren bedarfsgerechte, zunehmend ausgefeilte Versicherungslösungen im Bereich IT-Haftpflichtversicherung an“.
Unkalkulierbar sind die Risiken für IT-Dienstleister womöglich nicht, aber eben doch herausfordernd. Das fängt damit an, dass die Risiken „in ihrer Ausprägung sehr unterschiedlich“ seien, wie Markel-Manager Blazquez erklärt. Das sei abhängig vom jeweiligen Einsatzbereich und der Komplexität des Projektes. Damit sei auch der finanzielle Schaden, welcher aus einem Fehler des IT-Dienstleisters resultiere, im Vorhinein schwer zu beziffern.
„Nichtsdestotrotz lassen sich die Risiken für IT-Dienstleister durch Haftungsbegrenzungen in den Verträgen und AGBs auf ein kalkulierbares Risiko reduzieren“, sagt Blazquez und betont zugleich, dass solche Haftungsbegrenzungen im Idealfall die Höhe der Versicherungssumme für IT-Haftpflichtschäden nicht überschreiten sollten. Kurzum: „Wenn ein Auftraggeber eine höhere Begrenzungssumme verlangt, sollte hier auch der Versicherungsschutz angepasst werden“, empfiehlt Blazquez.
Stichwort angepasster Versicherungsschutz: Mitbewerber Hiscox bietet seinen versicherten IT-Dienstleistern mittlerweile an, das Basismodul der IT-Haftpflicht um ein Cyber-Modul zu erweitern. „Ersteres deckt die Berufshaftpflicht ab und greift bei Fehlern im Rahmen einer IT-Tätigkeit, die zu Vermögensschäden und damit zu Schadenersatzforderungen führen können“, erklärt Thamm. Das Cyber-Zusatzmodul trage indes der steigenden Digitalisierung Rechnung und decke zusätzlich Cyber- und Datenrisiken bei Cyber-Zwischenfällen ab.
