IT-Risiken: Haftung und Versicherung
Transcrição
IT-Risiken: Haftung und Versicherung
IT-Risiken: Haftung und Versicherung Dr. Gero von Manstein Der Autor ist Abteilungsleiter Firmenkundengeschäft Haftpflicht/ Haftpflichtvermögen bei der Bayerischen Versicherungsbank AG, München. Teil 1 ○ ○ ○ ○ 1 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Wirtschaftsbereiche der Informationstechnologie ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 2 Haftungsrisiken 2.1 Technische Risiken 2.1.1 Unbefugte Eingriffe in Systeme, Hacking 2.1.2 Diebstahl von Informationen 2.1.3 Viren 2.1.4 Systemfehler, Fehlbedienung, Falschberatung 2.1.5 Haftung 2.2 Risiken aus Inhalten im Internet 2.2.1 Verletzung der Privatsphäre, Beleidigung, Verleumdung 2.2.2 Besonderheiten der Haftung von Internet-Diensten für Inhalte 2.2.3 Unlauterer Wettbewerb 2.2.4 Verletzung geistigen Eigentums (Schutzrechte) 122 PHi — 4/2002 Die Deckung der besonderen Haftpflichtrisiken von IT-Unternehmen hat in den letzten Jahren an Bedeutung gewonnen. Mit einem weiteren Wachstum dieses Versicherungszweigs ist zu rechnen, weil die betroffenen Unternehmen die Notwendigkeit eines Schutzes gegen Haftpflichtansprüche zunehmend erkennen. Dieser Beitrag stellt dar, welche Unternehmen betroffen sind und beleuchtet anschließend Risiken, Haftung und den dafür möglichen Versicherungsschutz. 1 Wirtschaftsbereiche der Informationstechnologie oder im Wege des E-Commerce Dienstleistungen auch über das Internet erbringen. Angesichts des schnellen technologischen Wandels gehört die klassische Einschätzung des Haftpflichtrisikos nach Betriebsbildern, wie sie über Jahrzehnte gängige Praxis war, in diesem Bereich der Vergangenheit an. Stattdessen bedarf jede Tätigkeit einer individuellen Einschätzung der sich daraus ergebenden Haftungsrisiken. 2 Haftungsrisiken Eine feststehende Definition, welche Unternehmen unter den mittlerweile zur Alltagssprache gehörenden Begriff der „Informationstechnologie“ zu zählen sind, gibt es nicht. Die Vielfalt einschlägiger Tätigkeiten ist ausgesprochen groß, doch sind dabei in jedem Fall folgende Tätigkeitsbereiche zu nennen: Erstellung und Handel mit Software1, Dienstleistungen im Bereich Wartung und Betrieb, das Betreiben von Rechenzentren und Netzwerken sowie Dienstleistungen im Bereich des Internet, wie etwa Internet-Service-Providing, der Betrieb von Internet-Portalen, Suchmaschinen, Auktionshäusern, Shops für Waren und Dienste, Finanzdienstleistungen/Online-Broking, Jobbörsen, Handelsplattformen, Rabattsystemen, Einkaufsgemeinschaften und Experten-Netzwerken. Die Reihe dieser Anwendungsbereiche ließe sich fortsetzen. Bei den hier behandelten Risiken ist voranzustellen, dass sich viele Schäden zugleich als Eigen- und als Drittschaden ereignen: häufig geht einer Schädigung anderer Unternehmen, etwa durch einen übertragenen Virus, eine entsprechende Schädigung des eigenen Unternehmens voraus. Dieser Eigenschaden ist versicherungstechnisch der Sach- bzw. Elektronikversicherung zugewiesen. Der Drittschaden kann hingegen nur von einer Haftpflichtversicherung abgedeckt werden. Im Drittschaden liegt eine besondere Brisanz, denn hier ist das mögliche Ausmaß schwer abzuschätzen. Dieses Problem stellt sich beim IT-Haftungsrisiko in schärferer Form als beim herkömmlichen Haftungsrisiko: durch die weltweite elektronische Vernetzung können Dritte geschädigt werden, mit denen zuvor noch niemals eine Beziehung bestand und deren Schädigung mithin von vornherein gar nicht in Betracht gezogen werden konnte.3 Neben solchen offensichtlich einschlägigen Industriezweigen sind zunehmend auch „herkömmliche“ Branchen mit Tätigkeiten befasst, die dem Bereich der Informationstechnologie zuzurechnen sind, wenn Unternehmen elektronisch Daten mit Geschäftspartnern austauschen, diesen Software-Komponenten zur Verfügung stellen2 Die möglichen Schadenbilder, die sich aus einer Tätigkeit im IT-Bereich ergeben können, sind vielfältig. Aus der bisherigen Schadenerfahrung lässt sich allerdings auf bestimmte Risikokategorien schließen: Zu unterscheiden sind einerseits „technische“ Risiken, wie unbefugte Eingriffe in Systeme, Hacking, Viren, Systemfehler, Fehlbe- dienung, Falschberatung und der Diebstahl von Informationen und andererseits Risiken, die sich in erster Linie aus Inhalten im Internet ergeben, wie Verletzung der Privatsphäre, Beleidigung, Verleumdung, Wettbewerbsverstöße und die Verletzung geistigen Eigentums (Schutzrechte). 2.1 Technische Risiken 2.1.1 Unbefugte Eingriffe in Systeme, Hacking Eine ernste Gefahr für Unternehmen sind Schäden, die durch unbefugte Eingriffe in Systeme verursacht werden. Solche Schäden sind häufig durch mangelnde Sicherheitsvorkehrungen bedingt. Dies stellt nicht allein ein erhebliches Risiko für die eigenen Systeme dar, sondern auch eine Gefährdung für Dritte, wenn etwa der eigene Rechner zum Angriff auf Dritte missbraucht wird oder im eigenen System gespeicherte Daten Dritter beschädigt werden. In solchen Fällen der Drittschädigung stellt sich die Frage der Haftung. Unbefugte Eingriffe in Systeme können intern aus dem Unternehmen selbst erfolgen oder als Angriffe von außen. Das interne, also von eigenen Mitarbeitern ausgehende Risiko gilt gemeinhin als eine unterschätzte Gefahr.4 Es ist deshalb besonders schwerwiegend, weil der entsprechende Schutz umfangreiche Vorkehrungen erfordert. Rein technische Lösungen, wie sie sich für die Abschirmung nach außen anbieten, genügen hier nicht. Ein Risiko stellen dabei nicht nur böswillige sondern auch unvorsichtige Mitarbeiter dar.5 Die allgemein angespannte Sicherheitssituation wird durch die verstärkte Fremdvergabe sicherheitsrelevanter Aufgaben noch verschärft. Wird etwa aus Kostenoder Kapazitätsgründen ein externer Dienstleister eingebunden, dann erschwert das die Kontrolle der vorhandenen Sicherheitsvorkehrungen und dementsprechend auch das Entdecken von Sicherheitslücken.6 Angriffe von außen drohen in Form von Hackerangriffen.7 Hacker sind eine Gefahr für alle Unternehmen, deren IT-Systeme auch von außen zugänglich sind, was praktisch immer der Fall ist. Die Zielrichtung von Hackerangriffen kann durchaus unterschiedlich sein, doch ist der Anteil der Angriffe, die gezielt bestimmten Unternehmen gelten, hoch.8 Eine Spielart böswilliger Angriffe von außen sind die sog. Distibuted Denial of Service Attacks (DDoSA), welche die Internet-Verbindungen der angegriffenen Unternehmen lahm legen. Bei einer DDoSA werden mehrere zuvor gehackte Internet-Rechner dazu missbraucht, auf Befehl des Angreifers einen bestimmten Netzwerkrechner zu einem bestimmten Zeitpunkt mit Datenpaketen gleichsam zu bombardieren. Der angegriffene Rechner ist dieser Datenflut nicht gewachsen und stellt den Dienst ein. Weltweit ereignen sich pro Woche vermutlich mehrere tausend solcher Attacken, was nur möglich ist, weil der offensichtlich mangelhafte Schutz zahlloser Rechner vor allem im Internet den Hackern die Arbeit erleichtert. Dies ist auch deshalb bedenklich, weil bereits eine kurzfristige DDoSA auf ein Unternehmen dieses allein wegen der anfallenden Arbeitszeit für EDV-Administratoren hohe Summen kosten kann. Mit Blick auf mögliche Haftungsansprüche sind unbefugte Eingriffe eine besondere Gefahr für solche Unternehmen, die für die Sicherheit der IT-Systeme bzw. Daten anderer einzustehen haben, sei es als Lieferanten von Software bzw. Systemkomponenten oder als Dienstleister. Stellt sich bei einem Drittschaden heraus, dass die erforderlichen Sicherheitsvorkeh- ○ 1 2 3 4 5 6 7 8 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Im Gegensatz zur Software-Herstellung, die mit der Produktion von Gütern im herkömmlichen Sinn wenig gemein hat, entspricht die Herstellung von IT-Hardware-Komponenten klassischen Produktionsmustern. Hier besteht deshalb bei den Versicherungslösungen Abgrenzungsbedarf zur „gewöhnlichen“ Betriebshaftpflichtversicherung und insbesondere der erweiterten Produkthaftpflichtversicherung. Anwendungsbeispiele hierfür sind die Homebanking-Module, die Banken ihren Kunden zur Verfügung stellen. Ein anderes Beispiel ist Software, die Automobilhersteller ihren Vertragswerkstätten zur Verfügung stellen, damit diese Reparaturen und Inspektionen an der Bordelektronik der Fahrzeuge vornehmen können. Der Missbrauch des firmeneigenen Rechners durch unbefugte Dritte zur Schädigung anderer, etwa zur Durchführung eines Distributed Denial of Service Angriffes, ist ein solcher Fall. Ein für diesen Bereich typischer Fall ereignete sich bei einem Chiphersteller, dessen gekündigter Mitarbeiter durch einen Fehler auch nach seiner Entlassung elektronischen Zugang zum Rechnersystem des Unternehmens hatte. Der Mitarbeiter nutzte diesen Zugang, um Produktionsdaten zu löschen, was zu einem erheblichen Schaden führte. Das klassische Beispiel hierfür ist das mit einem Notizzettel am Bildschirmrand für jeden sichtbar befestigte Passwort für den Systemzugang. Das Bundesamt für Sicherheit in der Informationstechnik stellte im Frühjahr 2001 fest, dass der Trend zum Outsourcing im Kreditwesen zu Sicherheitslücken in den Netzwerken der Banken geführt hat und erwähnte, dass die Sicherheitsstandards bei den externen Dienstleistern oft nicht so ausgeprägt seien, wie bei den Auftraggebern selbst, Heise Online 31.7. 2001. Die polizeiliche Kriminalstatistik 2001, hrsg. vom Bundesminister des Innern, führt 862 Fälle (2000: 513 Fälle) von Datenveränderung bzw. Computersabotage auf. Nach einer Untersuchung des US-amerikanischen Sicherheitsspezialisten Riptech Inc. waren 39 % der in der Studie untersuchten Angriffe gezielt gegen die betroffenen Unternehmen geführt worden. Der Studie zufolge waren dies vor allem Unternehmen in den Bereichen Energie, Finanzen und Hochtechnologie. PHi — 4/2002 123 IT-Risiken: Haftung und Versicherung ○ 9 10 11 12 13 14 15 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Sicherheitslücken zur Verfügung stehen. Eine ungenügende Absicherung von Systemen kann im Rahmen einer Haftungsprüfung Indiz für ein gegebenes Verschulden sein, insbesondere wenn entsprechende Sicherheitslösungen ohne weiteres verfügbar gewesen wären. 2.1.2 Diebstahl von Informationen 2.1.3 Viren Neben der Beschädigung von Systemen und ihrem Missbrauch kann auch der Diebstahl von Informationen zu Schäden und Haftungsansprüchen führen.9 Vom Schaden an eigenen Daten abgesehen sind Drittschäden insbesondere in zwei Konstellationen denkbar: entweder ein Unternehmen speichert in den eigenen Systemen Daten Dritter, die dann in die falschen Hände gelangen oder ein Unternehmen ist als Dienstleister für Dritte tätig und durch Fehler bei dieser Tätigkeit werden dem Dritten Informationen gestohlen. Informationsdiebstahl ist ein häufiges Vorkommnis mit weiter zunehmender Relevanz.10 In einem Fall in den Vereinigten Staaten beschaffte sich ein Unternehmen durch elektronische Spionage die Kalkulation eines Wettbewerbers und konnte diesen in einem Angebotsverfahren anschließend erfolgreich unterbieten.11 Ein Fernsehsender demonstrierte, wie ein von ihm beauftragter Hacker in den Homebanking-Computer einer Bank einbrach und vertrauliche Kontoinformationen einsah.12 Hacker drangen in die Rechner von E-CommerceUnternehmen ein und verschafften sich dort Einblick in Kundendaten einschließlich Kreditkarteninformationen. Wie beim Hackerangriff ist auch der Befall durch einen Virus zunächst ein Problem des primär betroffenen Unternehmens selbst. Verbreitet sich der Virus allerdings weiter – häufig durch unzureichende Schutzvorkehrungen – und schädigt Dritte, stellt sich die Haftungsfrage. Die Verbreitung von Viren über das Internet, insbesondere über E-Mails, ereignet sich häufig, ist allerdings weder die einzige, noch die vorherrschende Art der Ausbreitung von Viren. Nach einer Erhebung des Bundesamtes für Sicherheit in der Informationstechnik (BSI)14 sind die Hauptverbreitungsquellen für Viren vielmehr Originalsoftware, vorinstallierte Software auf vertriebener Hardware, Wartungs- und Servicepersonal sowie Anwender. Häufig begünstigt eine bestimmte Software Viren in besonderer Weise, wenn sie weit verbreitet ist oder Schwachstellen besitzt, welche die Verbreitung erleichtern. In den Blickpunkt geraten bei der Verbreitung von Viren neben Unternehmen, die Software produzieren, auch solche, die Systeme warten oder installieren. Eklatante Sicherheitsmängel sind nach verschiedenen Untersuchungen in der Praxis gang und gäbe.15 An möglichen Schäden ist hier natürlich zum einen an den Missbrauch von Daten etwa der Kreditkarteninformationen zu denken. Aber auch der Wert der Daten als solcher, etwa von Kundendaten, ist nicht zu unterschätzen. Finanzielle Verluste in diesem Bereich sind allerdings schwierig zu beziffern.13 Bemerkenswert und beunruhigend zugleich ist, dass der Diebstahl der Informationen oftmals durch lange bekannte Sicherheitslücken ermöglicht wird, zu denen längst entsprechende Patches, also Software-Ergänzungen zur Schließung dieser 2.1.4 Systemfehler, Fehlbedienung, Falschberatung ○ Die polizeiliche Kriminalstatistik 2001, hrsg. vom Bundesminister des Innern, führt 1463 Fälle (2000: 538 Fälle) des Ausspähens von Daten auf. Beispiele: Im Juni 2000 musste ein großer Internet-Service-Provider einräumen, dass es Hackern gelungen war, mit Hilfe eines Virus Kundendaten auszuspähen und zu verändern (CNET 16.6.2000). Zum gleichen Zeitpunkt entdeckte ein Domain Name-Service eine Sicherheitslücke in seiner Software, durch die Hacker einen Zugang zu den Websites von Kunden hätten erlangen können (CNET 16.6.2000). Im März 2000 kopierten sich zwei britische Hacker 26.000 Kreditkartennummern aus den Computern von OnlineKaufhäusern (Der Spiegel 20/2000 S. 73). Kurz zuvor hatte der Hacker „Maxus“ 350.000 Kreditkartennummern von den Rechnern eines Internet-Musikanbieters gestohlen und veröffentlichte sie im Internet. Zugleich versuchte er, USD 100.000 zu erpressen (CNET 24.3.2000). In einem anderen Fall im Dezember 2000 konnten sogar die Kreditkarten-Informationen von 3,7 Mio. Kunden durch einen Hacker eingesehen werden (Heise Online 24.12.2000). Der Spiegel 20/2000, S. 77. Fall HypoVereinsbank, Heise Online 16.9.2001. In Betracht gezogen werden müssen auch entgangene Umsätze in Folge der Vernichtung von Kundendaten bzw. Kosten für Rechtsstreitigkeiten. In einem Fall in den USA wurden mehrere USD 10.000 dafür gezahlt, dass die Daten eines in Konkurs gegangenen Internet-Unternehmens nicht im Wege der Verwertung der Konkursmasse verkauft, sondern vernichtet wurden (Fall ToySmart). Vor Informationsdiebstahl sind auch vermeintlich gut gesicherte Systeme nicht in jedem Fall geschützt. Ende 2000 etwa erlangten Hakker Zugang zu vertraulichen ProgrammCodes eines großen Softwarehauses in den USA, Heise Online 11.1.2001. BSI-Kurzinformationen zu aktuellen Themen der IT-Sicherheit „Computer-Viren“ unter www.bsi.de. Eine Untersuchung der TÜV-Nord Security GmbH im Jahr 2000, bei der 100 OnlineShops auf ihre Sicherheit geprüft wurden, kam zu dem Ergebnis, dass von den untersuchten Unternehmen 63 teilweise eklatante Sicherheitsmängel aufwiesen. Bei 57 Unternehmen waren sogar allgemein bekannte Sicherheitslücken vorhanden. Anderen Informationen zu Folge, waren etwa im Jahr 2000 lediglich 30 % aller Unternehmen mit ständig aktiven Virenscannern und Firewalls gegen Angriffe geschützt., Spiegel Online 19.9.2001. 124 PHi — 4/2002 rungen nicht oder eben unzureichend getroffen wurden, rückt die Haftungsfrage in Gestalt von Regressansprüchen ins Bild. Die böswilligen Verursacher der Schäden, etwa Hacker, stehen dabei als Haftungsschuldner in der Regel nicht zur Verfügung. Neben böswillig herbeigeführten Beschädigungen sind Schäden an IT-Systemen häufig die Folge von Systemfehlern, Fehlbedienung, falscher Unterweisung etc. Werden durch solche Fehler Dritte geschädigt, stellt sich auch hier die Frage der Haftung. Dies gilt insbesondere für Unternehmen, die Systemkomponenten an andere liefern, Arbeiten an fremden Systemen durchführen oder sonstige Dienstleistungen erbringen. Bereits bei der Einrichtung von Systemen oder Systemkomponenten können Unzulänglichkeiten in der Auslegung bzw. handwerkliche Fehler zu Störungen führen. So führt die fehlerhafte Installation von Softwarekomponenten im Netzwerkbereich in der Schadenpraxis öfter zu überhöhten Verbindungskosten. Software kann unter Testbedingungen zwar richtig funktionieren, im anschließenden Praxisbetrieb aber unerwartete Probleme bereiten. Häufig werden Schwierigkeiten in der Praxis bereits bei der Auslegung eines Systems nicht vorausgesehen.16 Später können dann Arbeiten an EDVSystemen zu Schäden führen, die häufig mit Folgeschäden durch Stillstand und mangelnde Verfügbarkeit dieser Systeme verbunden sind. So werden häufig versehentlich Daten gelöscht, obwohl diese Gefahr den Beteiligten in der Regel bewusst ist.17 2.1.5 Haftung Wurden Dritte durch das Verhalten eines Unternehmens geschädigt, stellt sich die Frage, ob Haftungsansprüche bestehen. Existiert eine vertragliche Beziehung zum Geschädigten, kann eine Haftung auf vertraglicher Grundlage gegeben sein. Daneben kann eine Haftung auf außervertraglicher Rechtsgrundlage in Betracht kommen. Im Bereich der IT-Schäden gelten für die Haftung zwischen Geschäftspartnern die gleichen Grundsätze wie in anderen Geschäftszweigen auch. Grundlage für Ansprüche aus Vertrag auf Ersatz von Mangelfolgeschäden bildet nach dem neuen Schuldrecht § 280 Abs. 1 BGB in Verbindung mit der für den jeweiligen Vertragstyp geltenden Verweisungsnorm.18 Verletzt der Schuldner eine Pflicht aus dem Vertragsverhältnis, kann der Gläubiger Ersatz des hierdurch entstehenden Schadens verlangen. Nach § 280 Abs. 1 S. 2 BGB ist ein Verschulden des Verkäufers erforderlich, dessen Vorliegen jedoch vermutet wird. Eine Haftung auch ohne Verschulden kann nach § 276 Abs. 1 BGB bestehen, wenn sie vertraglich vereinbart wurde oder der Schuldner nach § 443 BGB eine Garantie übernommen hat und die garantierte Beschaffenheit nicht gegeben ist. Ersatz kann auf dieser Grundlage nicht allein für Personen- und Sachschäden, sondern auch für Vermögensschäden verlangt werden. Aus der vertraglichen Beziehung ergeben sich gegenseitige Sorgfaltspflichten der Partner, die in Abhängigkeit vom Inhalt des Vertragsverhältnisses unterschiedlich ausgeprägt sein können. Gleichsam eine Mindestverpflichtung für alle Vertragspartner dürfte darin bestehen, die eigenen Systeme so abzusichern, dass sie weder bösartige Software, etwa Viren19, an den Vertragspartner übertragen, noch etwa dafür missbraucht werden können, Dritten als Einfallstor bzw. Angriffsmittel auf die Systeme des Partners zu dienen. Wird diese Sorgfaltspflicht verletzt und ergibt sich daraus ein Schaden, kann ein Schadensersatzanspruch nach § 280 Abs. 1 BGB bestehen. Die Frage, welcher Sorgfaltsmaßstab anzuwenden ist, richtet sich nach dem Inhalt des Vertrags und insbesondere nach der Art der geschuldeten Leistung. Abhängig von den vertraglichen Vereinbarungen können auch weitere Sorgfaltspflichten hinzutreten. Eine Verletzung vertraglicher Sorgfaltspflichten kann bspw. auch darin bestehen, dass eine gelieferte Software beim Auftraggeber wegen mangelnder Kompatibilität Systeme beschädigt, ein Dienstleister bei der Arbeit an Systemen des Auftraggebers dort versehentlich Daten löscht oder der mit einer Beratung oder Schulung beauftragte Dienstleister fehlerhafte oder unvollständige Weisungen erteilt, deren Befolgung dann zu Schäden führt. In der Regel wird die vertragliche Haftung durch allgemeine Geschäftsbedingungen ausgestaltet. Zahlreiche AGB-Bestimmungen haben dabei den Zweck, diese Haftung zu begrenzen. In der Praxis zeigt sich allerdings häufig, dass diese Bestimmungen nicht in der vom Verwender gewünschten Art und Weise zum Tragen kommen. Die Ursachen hierfür sind vielfältig. Haftungsbeschränkungen können ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 16 Beispiel: Bei der Programmierung einer Banksoftware wurde versäumt, eine Mitteilung an den Kunden vorzusehen, wenn eine Überweisung nicht erfolgreich ausgeführt wurde. Von den Kunden der Bank wurden Ersatzansprüche wegen verspäteter Zahlungsvorgänge geltend gemacht, welche diese ihrerseits an den Lieferanten der Software weitergab. 17 Einer größeren Öffentlichkeit bekannt wurden in jüngerer Zeit Fälle, in denen Internet-Service-Provider von Serviceausfällen betroffen waren. Kunden wurden dabei sowohl durch die zeitweise NichtErreichbarkeit ihrer Websites als auch durch den Verlust des Inhalts von Websites geschädigt, was entsprechenden Programmieraufwand zur Wiederherstellung desselben erforderlich machte. Einschränkungen bei der Verfügbarkeit bis hin zu vollständigen Betriebsunterbrechungen erlebten auch Finanzdienstleister im Internet. Auch der Bereich der Dienstleistungen im E-Commerce kennt entsprechende Fälle. 18 Liegt ein Kaufvertrag vor, ist dies § 437 Ziff. 3 BGB, bei einem Werkvertrag § 634 Ziff. 4 BGB. 19 Vgl. LG Hamburg, Urt. v. 18.7.2001, NJW 2001, 3486, Verpflichtung zum Einsatz neuester Anti-Viren-Programme bei vertragsgemäßer Überprüfung von Daten. PHi — 4/2002 125 IT-Risiken: Haftung und Versicherung dem Partner gegenüber nicht durchgesetzt werden, allgemeine Geschäftsbedingungen werden nicht wirksam vereinbart oder halten der gesetzlichen Inhaltskontrolle nicht stand. Insbesondere ist darauf hinzuweisen, dass eine Haftungsbeschränkung dann nicht zum Tragen kommt, wenn sich herausstellt, dass eine Beschaffenheitsgarantie übernommen wurde, vgl. §§ 444, 639 BGB. Hinsichtlich der Haftung ist schließlich festzuhalten, dass durch allgemeine Geschäftsbedingungen nur die Haftung dem Geschäftspartner gegenüber begrenzt werden kann, nicht jedoch die Haftung gegenüber nicht am Vertrag beteiligten Dritten. Gleichwohl stellen AGB, wenn sie richtig angewendet werden, ein wichtiges Mittel dar, um das Haftungsrisiko bewusst auszugestalten. Im außervertraglichen Bereich besteht bei schuldhafter Verletzung eines absoluten Rechtsguts eine Haftung nach Deliktsrecht, § 823 Abs. 1 BGB. Geht es jedoch – wie in der Mehrzahl der Fälle – um reine Vermögensschäden, greift die Anspruchsgrundlage des § 823 Abs. 1 BGB nur in Ausnahmefällen. Bei einer in der Praxis wichtigen Fallgruppe, der Beschädigung von Daten, ist die Frage, ob es sich dabei um Sachschäden und damit um eine Eigentumsverletzung i.S.v. § 823 Abs. 1 BGB oder um Vermögensschäden handelt, umstritten. In den Fällen, in denen die Daten auf einem Datenträger gespeichert sind und dieser samt den darauf befindlichen Daten beschädigt wird, ist von einem Sachschaden auszugehen. Noch nicht endgültig geklärt ist dagegen die Beurteilung eines Datenverlusts ohne physische Beschädigung eines Datenträgers. ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 20 Näheres im nachfolgenden Abschnitt „Verletzung der Privatsphäre, Beleidigung, Verleumdung“. 21 Gesetz über Rahmenbedingungen für elektronische Signaturen, BGBl. I 2001, 876, zuletzt geändert durch Art. 2 G. v. 16.5.2001 I, 876. 126 PHi — 4/2002 ○ Eine deliktische Haftung kann sich ferner nach § 823 Abs. 2 BGB gegen denjenigen richten, der gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Auf der Grundlage von § 823 Abs. 2 BGB können auch reine Vermögensschäden ersetzt verlangt werden. Als Schutzgesetze sind auch strafrechtliche Normen zu nennen: Nach § 202 a StGB handelt straf- bar, wer sich oder anderen unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, verschafft. Nach § 303a StGB macht sich strafbar, wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert. § 303b StGB stellt die Störung fremder Datenverarbeitung unter Strafe. Auch Normen aus dem Bereich des Datenschutzes sind hier zu nennen.20 Im Bereich der Produkthaftung ist haftungsverschärfend die Beweislastumkehr zu Lasten des Produzenten zu beachten. Neben dem Deliktsrecht des BGB ist hier als zusätzliche Anspruchsgrundlage das Produkthaftungsgesetz zu nennen. Es stellt eine Anspruchsgrundlage zur Verfügung, wenn durch ein fehlerhaftes Produkt, das § 3 ProdHG als bewegliche Sache sowie Elektrizität definiert, ein Personen- oder Sachschaden verursacht wurde. Das Produkt muss seiner Art nach gewöhnlich für den privaten Ge- oder Verbrauch bestimmt sein. Das kann auf Software zutreffen, soweit sie dem Empfänger auf Datenträger übergeben wird oder beim Online-Bezug heruntergeladen werden kann. Es gilt nach § 11 ProdHG eine Selbstbeteiligung des Geschädigten bei Sachbeschädigung in Höhe von EUR 500. Dies, zusammen mit der Beschränkung auf den privaten Bereich dürfte die Bedeutung des Produkthaftungsgesetzes als Anspruchsgrundlage im IT-Bereich allerdings begrenzen. Besondere Haftungsvorschriften bestehen für Anbieter von Zertifizierungsdiensten im Zusammenhang mit der elektronischen Signatur und für Anbieter von Telekommunikationsdienstleistungen für die Öffentlichkeit. Der Zertifizierungsdiensteanbieter haftet aus seiner Tätigkeit nach § 11 Signaturgesetz21 und unterliegt nach § 12 SigG der Pflicht zu einer Deckungsvorsorge mit einer Mindestdeckungssumme von EUR 250.000 für jeden durch ein haftungsauslösendes Ereignis verursachten Schaden. Für Telekommunikationsunternehmen gilt bei Schäden gegenüber ihren Kunden nach § 7 der Telekommunikations-Kundenschutzverordnung22 eine Haftungsbeschränkung für Vermögensschäden von EUR 12.500 je Nutzer und von EUR 10 Mio. pro Schadenereignis. Insbesondere bei aus dem Internet herrührenden Streitigkeiten ist der internationale Aspekt zu berücksichtigen. Schädiger und Anspruchsteller haben ihren Sitz nicht notwendigerweise im selben Land. Es stellt sich dann die Frage nach der internationalen Gerichtszuständigkeit und auch nach dem anwendbaren Recht. Im Rahmen dieses Beitrags kann diesen Fragen allerdings nicht vertieft nachgegangen werden. 2.2 Risiken aus Inhalten im Internet Neben den zuvor behandelten „technischen“ Haftungsrisiken, die sich in erster Linie aus dem Versagen von Software, von technischen Komponenten oder aus fehlerhaften Dienstleistungen im Bereich von IT-Systemen ergeben können, bringt das Internet einen weiteren Risikobereich mit sich: Informationen, die im Web zur Verfügung gestellt werden, können falsch sein und dadurch zu Schäden führen. Sie können auch anderweitige Rechte Dritter verletzen und hierdurch zu Ansprüchen auf Schadensersatz führen. Anspruchsgrundlagen sind u.a. § 823 BGB, § 97 UHG und §§ 1, 3, 13 UWG. Der Vorwurf, mit im Internet angebotenen Inhalten Rechte anderer zu verletzen, trifft zuerst den eigentlichen Anbieter solcher Inhalte, der diese als eigenen „Content“ zur Verfügung stellt. Dies ist in der Regel der Betreiber einer Website oder derjenige, der strittige Inhalte bspw. in ein Internet-Forum einstellt. Daneben können sich Ansprüche aber insbesondere auch gegen die Provider richten, die durch ihre Dienstleistung, etwa das Hosting der betreffenden Website oder des Forums, diese Inhalte im Internet zugänglich machen. Neben der Veröffentlichung rechtswidriger Informationen kann auch der Umgang mit gewonnenen Informationen gegen fremde Rechte verstoßen. 2.2.1 Verletzung der Privatsphäre, Beleidigung, Verleumdung Verletzungen im Bereich der Persönlichkeitsrechte sind vor allem im Internet relevant. Ein Schadenszenario liegt darin, dass Inhalte, die im Internet öffentlich zur Verfügung gestellt werden, Personen beleidigen oder in anderer Weise in ihrem Persönlichkeitsrecht verletzen. Derartige Fälle sind keineswegs selten. So musste etwa ein Internet-Service-Provider Schadensersatz zahlen, weil er eine beleidigende Schmähschrift eines Kunden auf dessen Website nicht nach einer Aufforderung durch das Opfer entfernt hatte.23 Ein Anbieter von kostenlosem Webspace musste dieses Angebot einstellen, nachdem zahlreiche Nutzer den Dienst dafür missbraucht hatten, illegale Inhalte wie Kinderpornographie, Nazi-Propaganda, Aufrufe zu Mord und Brandanschlägen, menschenverachtendes Material, beleidigende Äußerungen sowie sonstiges verletzendes Material zu veröffentlichen.24 Eine haftungsrechtliche Verantwortlichkeit trifft in solchen Fällen die Urheber der Informationen, unter Umständen aber auch die beteiligten Provider. Eine andere Schadenmöglichkeit liegt in der ungewollten Veröffentlichung persönlicher Informationen. Anbieter von E-Mail-Diensten, Online-Versicherungsvermittler, Online-Steuerberater und andere Unternehmen offenbarten in zahlreichen Fällen versehentlich vertrauliche Informationen über einzelne Kunden im Internet. In der Regel waren Systemfehler die Ursache. Eine weitere Quelle von Ansprüchen kann das Sammeln persönlicher Informationen im Internet über einzelne Personen ohne deren Zustimmung bzw. vorherige Aufklärung sein. Es ist eine weithin geübte Praxis im Internet, persönliche Informationen über Kunden und Besucher von Websites zu sammeln. Die technischen Möglichkeiten hierzu sind vielfältig. Dieses sog. Profiling erlaubt es, Profile von Personen anzulegen, die dann für die verschiedensten Zwecke, insbesondere zum Marke- ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 22 BGBl. I 1997, 2910, zuletzt geändert durch Art. 19 G. v. 7.5.2002 I, 1529. 23 Der britische Provider zahlte deshalb umgerechnet EUR 24.500 Schadensersatz und EUR 376.300 Gerichtskosten, Spiegel Online 30.3.2000. Vgl. zur Schadensersatzpflicht bei ehrverletzenden Äußerungen im Internet auch LG Hamburg, Urt. v. 12.5.1998, JurPC Web-Dok. 86/1998, Abs. 1-13. 24 Fall Yoobay.net. PHi — 4/2002 127 IT-Risiken: Haftung und Versicherung ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ting sowie zum Maßschneidern von Online-Angeboten verwendet werden können. Eine Möglichkeit, an diese Informationen zu gelangen, besteht in der Verwendung von sog. Cookies. Diese kleinen Datensätze, die beim Besuch von Websites auf dem PC des Besuchers abgelegt werden, ermöglichen es den Diensteanbietern im Internet, die verschiedenen Nutzer zu identifizieren und ihren Weg durch das Netz zu verfolgen. Das Gesetz über den Datenschutz bei Telediensten (TDDSG)25 enthält detaillierte Vorschriften über die Erhebung und Auswertung von Daten im Internet, insbesondere solcher Daten, die mit Hilfe von Cookies gesammelt werden. ○ ○ ○ ○ 25 BGBl. I 1997, 1870, 1871, geändert durch Art. 3 und 4 Abs. 2 G. v. 14.12.2001 I, 3721, s. § 3 Abs. 2, 5 und § 6 TDDSG. 26 BGBl. I 1990, 2954, 2955, Zuletzt geändert durch Art. 3 Nr. 2 G. v. 20.12.2001 I, 3926. 27 Gesetz über die Nutzung von Telediensten, BGBl. I 1997, 1870, zuletzt geändert durch Art. 1 und 4 Abs. 1 G. v. 14.12. 2001 I, 3721. 28 LG Hamburg, Urt. v. 4.11.1999 - 3 U 274/98, MMR 2000, 92 ff. 128 PHi — 4/2002 Werden Persönlichkeitsrechte Dritter verletzt, richten sich Ansprüche hiergegen häufig auf Beseitigung oder Unterlassung. Daneben können aber auch Ansprüche auf Schadensersatz bestehen. Die Grundlage der Ansprüche kann vertraglicher Natur sein, wenn etwa korrekte Datenverarbeitung geschuldet und diese Pflicht verletzt wird, aber auch deliktsrechtlicher Natur. Nach § 823 Abs. 1 BGB kann der Geschädigte bei Verletzung des „allgemeinen Persönlichkeitsrechts“ Ersatz auch für immaterielle Schäden verlangen. Dies gilt auch für Ansprüche nach § 823 Abs. 2 BGB in Verbindung mit einem Schutzgesetz. Solche Schutzgesetze sind bspw. § 202 a (Ausspähen von Daten), das Fernmeldegeheimnis nach § 85 TKG und § 206 StGB sowie datenschutzrechtliche Bestimmungen. Nach § 824 BGB hat derjenige, der wahrheitswidrig eine Tatsache behauptet oder verbreitet, die geeignet ist, den Kredit eines anderen zu gefährden oder sonstige Nachteile für dessen Erwerb oder Fortgang herbeizuführen, dem anderen den daraus entstehenden Schaden zu ersetzen. Nach § 826 BGB ist derjenige, der in einer gegen die guten Sitten verstoßenden Weise – etwa durch Verbreitung von Tatsachen aus dem Privatbereich – einem anderen vorsätzlich Schaden zufügt, diesem zum Ersatz des Schadens verpflichtet. Auch § 7 des Bundesdatenschutzgesetzes (BDSG)26 bildet eine Grundlage für Ansprüche auf Schadensersatz im Fall einer unzulässigen oder unrichtigen Erhebung, Verarbeitung oder Nutzung personenbezogener Daten. 2.2.2 Besonderheiten der Haftung von Internet-Diensten für Inhalte Content-Provider: Die eben dargestellte Haftungssituation betrifft in dieser uneingeschränkten Form in erster Linie denjenigen, der als Autor für eine veröffentlichte Information selbst verantwortlich ist. Dies wird durch § 8 Abs. 1 des Ende 2001 in Anpassung an die ECommerce-Richtlinie geänderten Teledienstegesetzes (TDG)27 bestätigt, wonach Diensteanbieter für eigene Informationen, die sie zur Nutzung bereithalten, nach den allgemeinen Gesetzen verantwortlich sind. Soweit ein Anbieter eigene Inhalte bereithält, bezeichnet man ihn auch als Content-Provider. Bei der haftungsrechtlichen Verantwortlichkeit für eigene Inhalte auf Websites ist das Sonderproblem der Haftung aus Links zu beachten. Das Setzen von Links auf andere Websites kann dazu führen, dass der Inhalt jener Websites demjenigen, der den Link dorthin gesetzt hat, inhaltlich zugerechnet wird. Auf diese Weise kann sich eine Verantwortlichkeit nicht allein für die selbst gestalteten Inhalte auf der eigenen Website ergeben, sondern auch für Inhalte Dritter auf deren Websites, die für den Link-Setzer sehr viel schwerer zu kontrollieren sind, als die eigenen Inhalte. So wurde der deutsche Betreiber einer Website, von der aus über ein Link die Seite eines im Ausland ansässigen Betreibers eines in Deutschland nicht genehmigten Glücksspiels zugänglich war, als wettbewerbsrechtlicher Störer abgemahnt.28 Bei der Frage der Zurechnung des Inhalts verlinkter Websites ist von Bedeutung, ob und inwieweit sich der Setzer des Links die fremden Inhalte zu eigen macht. Dabei ist insbesondere die Art und Weise von Bedeutung, wie der Link technisch ausgestaltet ist. Mit einem Link, der den Besucher auf die Eingangsseite eines anderen Internet- angebots führt (auch als SurfaceLink bezeichnet), wird sich der Setzer des Links die fremden Inhalte regelmäßig nicht zu eigen machen.29 Anders liegt es bei InlineLinks, die bestimmte Inhalte der „verlinkten“ Websites unmittelbar in der „verlinkenden“ Website erscheinen lassen, ohne dass der Besucher den Link noch aktivieren muss. Eine Zurechenbarkeit kann auch bei Frame-Links gegeben sein: bei deren Aktivierung wird der Besucher nicht auf eine andere Website geführt, sondern die andere Website erscheint innerhalb der Ausgangs-Website in einem „Rahmen“. Je nach Ausgestaltung dieses Rahmens kann mehr oder weniger deutlich erkennbar sein, dass hier der Inhalt einer anderen Website erscheint. Access-Provider: Anders als für den Content-Provider regelt das TDG in § 9 die Haftung der Teledienste, sobald es sich um fremde Informationen handelt. Einen Diensteanbieter, der fremde Informationen lediglich übermittelt oder zugänglich macht, bezeichnet man auch als Access-Provider. Dieser ist für die von ihm übertragenen fremden Inhalte nicht verantwortlich, ähnlich einer Telefongesellschaft30 für die von ihr übertragenen Telefongespräche. Damit scheiden auch Schadensersatzansprüche gegen den Access-Provider wegen der übermittelten Informationen aus. Voraussetzung für diese Haftungsfreistellung ist allerdings u.a., dass der Provider die übermittelten fremden Informationen nicht ausgewählt oder verändert und auch den Adressaten der übermittelten Informationen nicht ausgewählt hat. Die bei der Übertragung übliche automatische kurzzeitige Zwischenspeicherung (Caching) der übertragenen Informationen ist unschädlich. Host-Provider: Im Gegensatz zum Access-Provider speichert der sog. Host-Provider Informationen seiner Kunden für diese in seinen Systemen und hält die Informationen im Auftrag der Kunden für den Zugriff Dritter bereit. Ein typischer Anwendungsfall ist dabei das Speichern („Hosting“) von Websites. Nach § 11 TDG ist der Host-Provi- der für diese Informationen nicht verantwortlich, was wiederum Schadensersatzansprüche diesbezüglich ausschließt. Diese Haftungsprivilegierung des Host-Providers besteht allerdings nur dann, wenn er keine Kenntnis von der Rechtswidrigkeit einer Information hat, und ihm im Fall von Schadensersatzansprüchen auch keine Tatsachen oder Umstände bekannt sind, aus denen die Rechtswidrigkeit offensichtlich wird. Außerdem muss er, sobald er die entsprechende Kenntnis erlangt hat, unverzüglich tätig geworden sein, um die Information zu entfernen oder den Zugang zu ihr zu sperren. Nach § 8 Abs. 2 TDG sind der Access-Provider und der Host-Provider nicht verpflichtet, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Stellt sich aber heraus, dass vom Host- bzw. Access-Provider übermittelte Informationen gegen Rechte Dritter verstoßen, lässt § 8 Abs. 2 TDG eine sich auf anderer Rechtsgrundlage ergebende Verpflichtung zur Entfernung oder Sperrung solcher Informationen unberührt. Das Internet erleichtert die Entstehung grenzüberschreitender Rechtsbeziehungen. Als Folge davon besteht auch die gesteigerte Möglichkeit, von Anspruchstellern im Ausland in Anspruch genommen zu werden. In Fällen, in denen dies geschieht, stellt sich neben prozessualen Fragen, wie der Zuständigkeit des Gerichts, die Frage des anwendbaren Rechts. Für das Internet bestimmt § 4 TDG, dass hierbei das sog. Herkunftslandprinzip zur Anwendung kommt. Danach gilt für in Deutschland niedergelassene Diensteanbieter das deutsche Recht auch dann, wenn die Dienste in einem anderen EU-Staat angeboten oder erbracht werden. Allerdings gilt § 4 TDG mit dem Herkunftslandprinzip ausschließlich für das Internet und ferner nicht für den Warenaustausch sowie für weitere Bereiche, etwa die Produkthaftung, das Urheberrecht, ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 29 Umstritten. Für eine Zurechnung LG Hamburg, MMR 1998, 547, weitere Nachweise bei Attendorn, Wegfall der Haftungsprivilegierung für Links nach der TDG-Novelle, MMR 2002, V, m.w. N. 30 Deren Haftung richtet sich nicht nach dem TDG sondern nach § 40 Telekommunikationsgesetz (TKG) i.V.m. § 7 der Telekommunikations-Kundenschutzverordnung (TKV). PHi — 4/2002 129 IT-Risiken: Haftung und Versicherung das Marken-, Patent- und Musterrecht und den Datenschutz. 2.2.3 Unlauterer Wettbewerb Ein weiterer Schauplatz rechtlicher Auseinandersetzungen im IT-Bereich ist das Wettbewerbsrecht. Gerade in umkämpften Märkten bieten sich Anlässe für Auseinandersetzungen auf diesem Feld. Diese sind oftmals von einer Gestalt, dass ein Versicherungsschutz für Ansprüche Dritter, die aus solchen Streitigkeiten resultieren, von vornherein ausscheiden muss (Vorsatzausschluss). Der Bereich des Internets eröffnet allerdings auch neue und zuvor unbekannte Möglichkeiten, in wettbewerbsrechtliche Streitigkeiten verwickelt zu werden. Da diese für die Haftung der Unternehmen von nicht unerheblicher Bedeutung sind, soll auf einige dieser neuartigen Haftungsszenarien kurz eingegangen werden. ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 31 S. dazu Dittrich, Zur Frage der urheberund wettbewerbsrechtlichen Zulässigkeit von Hyperlinks, JurPC Web-Dok. 72/ 2002, Abs. 1-28. 130 PHi — 4/2002 ○ Metatags: Ein Anknüpfungspunkt für wettbewerbsrechtliche Vorwürfe kann die Verwendung sog. Metatags sein. Bei Metatags handelt es sich um Inhalte einer Website, die in deren Programmcode enthalten, für den Betrachter der Website jedoch nicht sichtbar sind. Diese Metatags werden etwa von Suchmaschinen gelesen und dienen für diese als wichtige Informationsträger über Inhalt und Zielrichtung der betreffenden Website. Da es die Zielrichtung der meisten Betreiber von Websites ist, möglichst oft in den Suchergebnissen der Suchmaschinen aufzutauchen, besteht die Versuchung, in den Metatags nicht lediglich Informationen über den tatsächlichen Inhalt der Website im engsten Sinn abzulegen, sondern vielmehr die Formulierung derselben so weitgehend zu gestalten, dass sie auf möglichst viele Suchabfragen passend erscheinen. Kritisch wird diese Praxis in dem Moment, in dem die verwendeten Metatags mit dem Inhalt der Website in keinem Zusammenhang mehr stehen oder der Inhalt von Metatags gezielt dazu genutzt wird, Suchabfragen, die eigentlich anderen Websites gelten sollen, auf die eigene Seite umzuleiten. Dabei kann die Ver- wendung von Markennamen als Metatags zu Ansprüchen nicht nur auf wettbewerbsrechtlicher sondern auch auf markenrechtlicher Grundlage führen. Links: Unabhängig von der zuvor angesprochenen Frage einer Zurechnung fremder Inhalte können Links auch Anlass für wettbewerbsrechtliche Ansprüche sein. Wird durch die Art, in der ein Link realisiert ist, nicht deutlich, dass die Inhalte der verlinkten Seite von jemand anderem stammen, können Ansprüche auf Unterlassung und ggf. auf Schadensersatz unter den Gesichtspunkten der Irreführung, §§ 1, 3 UWG, oder der unlauteren Leistungsausbeutung erwachsen. Diskutiert wird auch die Frage, ob ein Verstoß gegen § 1 UWG unter dem Gesichtspunkt der Werbebehinderung durch sog. Deep-Links möglich ist. Ein DeepLink verweist nicht auf die Titeloder Eingangsseite des anderen Anbieters (wo dieser möglicherweise bezahlte Werbung platziert hat), sondern auf eine Unterseite. Dadurch können letzterem Werbeeinnahmen verloren gehen.31 Spamming: Auch das sog. Spamming hat eine Relevanz im Bereich des Wettbewerbsrechts. Hierbei handelt es sich um das unaufgeforderte, massenhafte Versenden von E-Mails zu Werbezwecken. Dieses Spamming, gegen das sich viele Dienste im Internet mit Hilfe besonderer Techniken zu schützen versuchen, kann die Ursache für zivilrechtliche Auseinandersetzungen sein: In dem Augenblick, in dem Datenmengen massenhaft bspw. an die Benutzer eines Online-Dienstes versandt werden, beansprucht dies die Rechner und Übertragungskapazitäten eben dieses Online-Dienstes erheblich, was für diesen zum einen Aufwand bedeutet und zum anderen möglicherweise die Übertragung sonstiger Daten bzw. das übrige Serviceangebot vorübergehend beeinträchtigt. Aus diesem Grund ergingen bereits zahlreiche Gerichtsentscheidungen gegen sog. Spammer. Als Rechtsgrundlage stehen dem Betroffenen § 823 Abs. 1 BGB i.V. m. § 1004 BGB unter dem Gesichtspunkt des Ein- griffs in den eingerichteten und ausgeübten Gewerbebetrieb32 und bei wettbewerbsrechtlicher Betroffenheit § 1 UWG analog zur Verfügung. Auf der anderen Seite kann es auch ungewollte Folgen haben, sich mit technischen Mitteln gegen Spammer zur Wehr zu setzen. Verschiedentlich beschwerten sich die Versender seriöser E-Mails, etwa die Versender von Newslettern, die regelmäßige E-Mails an Abonnenten ihres Newsletters senden, dass sie durch die Anti-Spam-Systeme von Providern daran gehindert wurden, ihre Abonnenten zu erreichen. Das Bemühen, die Übertragung von Spam-E-Mails zu unterbinden, kann also dazu führen, dass Hindernisse errichtet werden, welche die wirtschaftliche Betätigung unbeteiligter Unternehmen beeinträchtigt. Werbung im Internet: Viele Geschäftsmodelle im Internet basieren auf Werbeeinnahmen. Auch bei der Werbung wirft das Internet besondere Fragestellungen auf. Durch den im Vergleich etwa zu Printmedien beschränkten sichtbaren Raum, den eine Website zur Verfügung stellt, ist besonders das Trennungsgebot zu nennen, das eine deutliche Trennung von Werbung einerseits und redaktionellen Inhalten andererseits vorschreibt. Die Geltung des Trennungsgebots wird für den Bereich der Mediendienste im Mediendienste-Staatsvertrag33 ausdrücklich festgestellt. Ähnliches ergibt sich aus § 7 TDG. Neue Geschäftsmodelle: Schließlich ergibt sich eine wettbewerbsrechtliche Brisanz daraus, dass das Internet eine Reihe von Geschäftsmodellen hervorgebracht hat, die ohne dieses Medium gar nicht denkbar wären. Ein Beispiel ist etwa das sog. Powershopping, bei dem sich mehrere Käufer elektronisch zusammenfinden, um hierdurch günstigere Preise zu erzielen.34 Anspruchsgrundlagen bei wettbewerbsrechtlichen Verstößen sind, auch im IT-Bereich, zunächst die allgemeinen Vorschriften der §§ 1, 3, 13 UWG. Für den Bereich des Internet sind zusätzlich zu den bereits erwähnten Sonderregelungen des Teledienstegesetzes die „besonderen Informationspflichten bei kommerzieller Kommunikation“ zu beachten, die § 7 TDG bzw. für Mediendienste die entsprechenden Vorschriften des Mediendienste-Staatsvertrags den im Internet werbend tätigen Diensteanbietern auferlegen. Danach muss kommerzielle Kommunikation klar als solche zu erkennen und die natürliche oder juristische Person in deren Auftrag sie erfolgt, klar identifizierbar sein. Für Maßnahmen zur Verkaufsförderung sowie Preisausschreiben oder Gewinnspiele mit Werbecharakter gelten weitere Anforderungen. 2.2.4 Verletzung geistigen Eigentums (Schutzrechte) Die Verletzung geistigen Eigentums spielt in rechtlichen Auseinandersetzungen im IT-Bereich eine erhebliche Rolle. Die meisten Gerichtsentscheidungen, die im Zusammenhang mit Tätigkeiten im Internet veröffentlicht werden, betreffen die Verletzung von Marken-, Namens- und Urheberrechten. Das Urheberrecht schützt etwa Musikdateien, Fotos und redaktionelle Beiträge gegen die nicht autorisierte Verwertung. Ein großer Online-Dienst wurde für das Bereithalten illegaler Musikdateien auf seinen Rechnern haftbar gemacht. Ein Erwachsenen-Magazin machte erfolgreich Ansprüche gegen Betreiber anderer Websites wegen unerlaubter Verwendung von Fotografien geltend. Freie Mitarbeiter einer Zeitung klagten wegen Verwendung ihrer Beiträge im Internet-Auftritt des Blattes und brachten vor, dass sie die Erlaubnis zur Veröffentlichung lediglich für den Abdruck in Zeitungen erteilt hätten. Zu erwähnen ist auch der besondere Schutz, den nach §§ 87 a bis 87 e Urheberrechtsgesetz (UrhG) Datenbankhersteller genießen. Der Schöpfer einer Datenbank hat nach diesen Vorschriften das ausschließliche Recht, die von ihm geschaffene Datenbank insgesamt oder einen nach Art oder Umfang wesentlichen Teil zu vervielfältigen, zu verbreiten und öffentlich wiederzugeben.35 Durch ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 32 Vgl. Urt. LG Berlin vom 13.10.1998, Az. 16 O 320/98; AG Dachau, Urt. v. 10.7. 2001, JurPC WebDok. 190/2001, Abs. 122: kein Schadensersatz bei bloßer Belästigung. 33 § 9 Abs. 2 Staatsvertrag über Mediendienste, in Kraft getreten am 1.8.1997, zuletzt geändert durch G. zum Fünften Staatsvertrag zur Änderung rundfunkrechtlicher Staatsverträge (Fünfter Rundfunkänderungsstaatsvertrag) vom 6. Juli 2000 bis 7. August 2000. 34 Zum Verstoß des „Powershopping“ gegen § 1 UWG, OLG Köln, Urt. v. 1.6. 2001, Az. 6 U 204/2001, JurPC Web-Dok. 151/2001, Abs. 1-44. 35 Vgl. hierzu LG Köln, Urt. v. 2.5.2001, Az. 28 O 141/01, JurPC Web-Dok. 211/2001, Abs. 1-21. PHi — 4/2002 131 IT-Risiken: Haftung und Versicherung die Verwendung von Links in der Gestalt von Inline-Links und Frame-Links können unter Umständen Urheberpersönlichkeitsrechte Dritter verletzt werden, was neben Unterlassungs- auch Schadensersatzansprüche zur Folge haben kann.36 Beispiele für die Verletzung von Markenrechten sind etwa Streitigkeiten um Domain-Namen sowie die unberechtigte Verwendung von fremden Marken bei Web-Auftritten. Beim Inhalt von Websites genügt unter bestimmten Umständen bereits die Erwähnung einer fremden, geschützten Marke auf der Website für den Vorwurf einer Markenrechtsverletzung. Auch die Verletzung von Patentrechten ist als Risiko zu nennen. Während es im Bereich der Software darum gehen kann, dass bestimmte Programmcodes Patentrechte anderer verletzen, betreffen patentrechtliche Vorwürfe im Bereich des Internets bisweilen auch Geschäftsmodelle und Funktionalitäten von Websites. 36 S.a. hierzu Dittrich, a.a.O. (Fn. 31). Zur Verletzung der ausschließlichen Rechte des Datenbankbetreibers durch Einsatz von Deep Links LG Köln, Urt. v. 28.2. 2001, Az. 28 O 692/00, JurPC Web-Dok. 138/2001, Abs. 1-29. 132 PHi — 4/2002 Eine Haftung für die Verletzung von Schutzrechten kann sich bei Bestehen vertraglicher Beziehungen mit dem Anspruchsteller aus Vertrag, im Übrigen auch aus Vorschriften des Urheber, Marken-, Namens- und Datenschutzrechts ergeben. Zu berücksichtigen sind auch hier die bereits erwähnten Vorschriften des Telekommunikationsrechts. Im Fall der Nutzung fremden geistigen Eigentums sind auch Ansprüche aus Bereicherungsrecht oder wegen Geschäftsführung ohne Auftrag denkbar. Bei Verstößen im Bereich des Urheberrechts ergibt sich aus § 1 UrhG ein verschuldensunabhängiger Anspruch auf Beseitigung und Unterlassung. Bei vorsätzlichem oder fahrlässigem Handeln kann sich aus § 97 Abs. 1 UrhG ein Anspruch auf Schadensersatz ergeben. Nach § 97 Abs. 2 UrhG können Urheber, Verfasser wissenschaftlicher Ausgaben, Fotografen und ausübende Künstler wegen eines Schadens, der nicht Vermögensschaden ist, eine Entschädigung in Geld verlangen, wenn und soweit es der Billigkeit entspricht. § 97 Abs. 3 UrhG stellt ausdrücklich klar, dass Ansprüche aus anderen gesetzlichen Vorschriften unberührt bleiben. Weitere Ansprüche können aus dem Namensrecht (§ 12 BGB) folgen. Domain-Namen stellen nach der Rechtsprechung einen eigenständigen wirtschaftlichen Wert dar. Im Fall einer Verletzung von Marke und Geschäftsbezeichnung können sich aus §§ 14, 15 Markengesetz Ansprüche ergeben. Fortsetzung des Beitrags in Heft 5/ 2002. IT-Risiken: Haftung und Versicherung (Teil 2) Dr. Gero von Manstein Der Autor ist Abteilungsleiter Firmenkundengeschäft Haftpflicht/ Haftpflichtvermögen bei der Bayerischen Versicherungsbank AG, München. Der 1. Teil ist erschienen in PHi 4/ 2002, 122 - 132. ○ ○ 3 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ Der Schutz durch die Haftpflichtversicherung Deckung für reine Vermögensschäden in der IT-Haftpflichtversicherung Deckung für Datenschäden Deckung für Hacker- und Virenschäden Deckung für Informationsdiebstahl Deckung für Tätigkeitsschäden Deckung für Auslandsschäden Wettbewerbs- und Schutzrechtsverletzungen Ausschlüsse/ Risikoabgrenzungen ○ 3 Der Schutz durch die Haftpflichtversicherung Die Haftpflichtversicherung hat die Abwehr unberechtigter und die Befriedigung berechtigter Ansprüche, die von Dritten gegen das versicherte Unternehmen geltend gemacht werden, zum Inhalt. Dies gilt auch für die Konzepte zur Haftpflichtversicherung, die zur Absicherung von IT-Risiken angeboten werden. Der Versicherungsmarkt ist in diesem Bereich von einer großen Vielfalt an Versicherungskonzepten gekennzeichnet.37 Dies macht es unmöglich, einen detaillierten Überblick über die angebotenen Lösungen zu geben. Einen gewissen Anhalt gibt indes das Verbandskonzept für die Versicherung von Softwarehäusern,38 dem in Kürze eine weitere Verbandsempfehlung zur Versicherung von IT-Dienstleistern folgen wird. Im Schadenfall ist zuerst die Frage zu beantworten, ob es sich bei einem geltend gemachten Schadensersatzanspruch auch um einen gedeckten Schaden handelt. Die Frage der Deckung beantwortet sich auf Grundlage der im Einzelfall zur Anwendung kommenden Versicherungsbedingungen, also der Allgemeinen Bedingungen für die Haftpflichtversicherung (AHB) sowie der Besonderen Bedingungen und Risikobeschreibungen der einzelnen Versicherer für die ITHaftpflichtversicherung. Die AHB liegen dem überwiegenden Teil der auf dem Markt befindlichen Konzepte für die IT-Haftpflichtversicherung zugrunde. Dies gilt auch für die Musterbedingungen des GDV für Softwarehäuser. Diese Musterbedingungen sind die erste vom Verband herausgegebene Empfehlung zur Versicherung von Risiken im Bereich der Informationstechnologie. Im Folgenden soll auf einige Gesichtspunkte eingegangen werden, die für die De- 180 PHi — 5/2002 ckung durch die IT-Haftpflichtversicherung von besonderem Interesse sind. 3.1 Deckung für reine Vermögensschäden in der IT-Haftpflichtversicherung Die Betriebshaftpflichtversicherung bietet klassischerweise Versicherungsschutz für Personen und Sachschäden. Darüber hinaus ist in der allgemeinen Betriebshaftpflichtversicherung eine Deckung für bestimmte, jedoch stark eingegrenzte Vermögensschadentatbestände enthalten. Eine umfangreichere Deckung für Vermögensschäden bietet die erweiterte Produkthaftpflichtversicherung durch eine Reihe genau benannter und eingegrenzter Vermögensschadentatbestände, wie sie als Folge der Erbringung von Leistungen und der Lieferung von Produkten typischerweise auftreten. Zu nennen sind hier insbesondere die Deckungstatbestände der Verbindungs-/Vermischungsschäden, Verarbeitungsschäden sowie Ein- und Ausbaukosten. Neben der erweiterten Produkthaftpflichtversicherung bieten weitere Konzepte, wie etwa die Rückrufkostenversicherung, Deckung für reine Vermögensschäden in Form von bestimmten genau benannten Kostenpositionen. Diese Konzepte stoßen allerdings im Bereich der Informationstechnologie mit ihrem exponierten Vermögensschadenrisiko an ihre Grenzen. In der umfangreichen Deckung von reinen Vermögensschäden i.S. von § 1 Ziff. 3 AHB liegt daher der wesentliche Unterschied der Versicherungskonzepte für die IT-Haftpflichtversicherung im Vergleich zur herkömmlichen Betriebshaftpflichtversicherung. Dort, wo die Deckung nicht in der oben beschriebenen Weise enumerativ prä- zisiert, sondern einfach als Deckung für Vermögensschäden zur Verfügung gestellt wird, spricht man von einer offenen Vermögensschadendeckung. Diese wird unter Verwendung bestimmter Eingrenzungen verschiedentlich am Markt angeboten. In der Praxis beschreiten die Versicherer unterschiedliche Wege, um Deckung für die sog. reinen Vermögensschäden zur Verfügung zu stellen. Eine Möglichkeit, Deckung für reine Vermögensschäden zu bieten und gleichzeitig den Überblick über das damit versicherte Gefahrenpotential zu behalten, besteht darin, wie bei der erweiterten Produkthaftpflichtversicherung enumerativ bestimmte, genau beschriebene Tatbestände in die Deckung aufzunehmen, womit zugleich alle Schadenbilder, die diesen Tatbeständen nicht entsprechen, von der Deckung ausgenommen sind. Dies ist der klassische Weg, das schwer überschaubare Vermögensschadenrisiko zu versichern. Ein häufig verwendeter Deckungstatbestand ist in diesem Zusammenhang die explizite Deckung von Schäden, die durch Löschung und Beschädigung von Daten entstehen. Zur Versicherung in Bereichen, die nahe an der Nahtstelle zu „herkömmlichen“ Produkten liegen, wie die Steuer-, Mess- und Regeltechnik, werden zum Teil auch direkt die Bausteine des Produkthaftpflichtmodells herangezogen. Die Deckung von reinen Vermögensschäden wird gelegentlich auch auf bestimmte Schadenfolgen bezogen, die erfahrungsgemäß häufig eintreten. So bieten einige Versicherungskonzepte in Anlehnung an die Software-Deckung in der Elektronikversicherung Deckung für die Folgen einer Lö- schung oder Beschädigung von Daten, indem die Kosten für die erforderlichen Maßnahmen zur Wiederherstellung bzw. -gewinnung dieser Daten versichert werden. Eine weitere Möglichkeit, die Deckung zu präzisieren, ist eine in den Besonderen Bedingungen enthaltene Liste der im Vermögensschadenbereich versicherten Tätigkeiten/Risiken. So kann etwa die Deckung für Haftungsansprüche aus Inhalten im Internet auf fremde Inhalte beschränkt werden, für die der Versicherungsnehmer als Provider in Anspruch genommen wird. Die Haftung für eigene, vom Versicherungsnehmer selbst eingestellte Inhalte ist dann von vornherein nicht vom Versicherungsschutz erfasst. Zumeist ist auch die Tätigkeit der Zertifizierungsstellen und Telekommunikationsunternehmen aus der Reihe der versicherten Risiken ausgenommen, da hier besondere gesetzliche Anforderungen zu erfüllen sind, was Spezialkonzepte erforderlich macht. Üblicherweise wird die Deckung in Teilbereichen an besondere Anforderungen geknüpft, die vom Versicherungsnehmer zu erfüllen sind, um Deckung zu erhalten. Ein Beispiel ist das Erfordernis einer ausreichenden Datensicherung oder des Einsatzes von Virenscannern. Daneben kommen besondere Ausschlüsse, wie etwa Experimentierklauseln zur Anwendung. In vielen Konzepten steht für die reinen Vermögensschäden eine besondere Deckungssumme zur Verfügung, und es gelten in diesem Bereich besondere Selbstbehalte. 3.2 Deckung für Datenschäden In der praktischen Diskussion spielt die deckungsrechtliche Behandlung von Schäden, die durch die Löschung oder Beschädigung von Daten entstehen, eine erhebliche ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 37 Dieses Phänomen ist auch in anderen Versicherungsmärkten zu beobachten, etwa in den USA, wo entsprechende Deckungskonzepte bereits einige Jahre zuvor entwickelt wurden. 38 „Besondere Bedingungen und Risikobeschreibungen für die Haftpflichtversicherung von Software-Häusern“, Musterbedingungen des GDV vom März 2001. PHi — 5/2002 181 IT-Risiken: Haftung und Versicherung (Teil 2) Rolle. Kernpunkt ist dabei die Frage, ob man solche Schäden als Vermögens- oder als Sachschäden ansieht. Die Konsequenzen in der Deckung sind unterschiedlich: Viele Bedingungskonzepte sehen für Vermögens- und Sachschäden unterschiedliche Versicherungssummen vor, und auch der Versicherungsumfang kann sich verschieden darstellen. Die Musterbedingungen des GDV für die Haftpflichtversicherung von Software-Häusern lösen diese Frage ausdrücklich: Schäden Dritter durch Datenlöschung, -beschädigung oder Beeinträchtigung der Datenordnung werden nach dem Bedingungswortlaut wie Sachschäden behandelt. In anderen auf dem Markt befindlichen Bedingungen findet sich auch die umgekehrte Festlegung, wonach Datenschäden wie Vermögensschäden behandelt werden. Wieder andere Konzepte treffen keine derartige Zuweisung und lassen damit offen, wie eine Behandlung dieser Schäden im Einzelfall erfolgt. Eine weitere, ebenfalls praktizierte Möglichkeit ist schließlich, eine Sonderregelung speziell für die Deckung von Datenschäden mit darauf bezogener Versicherungssumme vorzusehen, die eine Festlegung hinsichtlich der Rechtsnatur von Datenschäden entbehrlich macht. 3.3 Deckung für Hacker- und Virenschäden Ein besonderes Risiko stellen, wie bereits dargestellt, Angriffe durch Hacker sowie Schäden durch Viren dar. Die Musterbedingungen des GDV für die Haftpflichtversicherung von Software-Häusern enthalten einen ausdrücklichen Ausschluss für Schäden durch Viren („Software, die geeignet ist, die Datenordnung zu verändern oder zu zerstören, z.B. Software-Viren, Trojanische Pferde und dgl.“) und Hacker („Schäden, die dadurch entstehen, dass Dritte unberechtigte Eingriffe in interne und/oder externe Datennetze vornehmen [z.B. Hacker-Attacken]“). 182 PHi — 5/2002 Zahlreiche Versicherungskonzepte bieten hingegen auch für Ansprüche aufgrund derartiger Schäden Versicherungsschutz. Allerdings ist diese Deckung angesichts des erheblichen Gefahrenpotentials i.d.R. an bestimmte Voraussetzungen geknüpft bzw. unterliegt verschiedenen Einschränkungen. Im Bereich der Virenschäden wird zumeist verlangt, dass der Versicherungsnehmer seine Systeme mit einer regelmäßig aktualisierten Anti-VirenSoftware schützt. Versicherungsschutz im Fall von Hackerangriffen wird üblicherweise zumindest von der Unterhaltung eines FirewallSystems abhängig gemacht. 3.4 Deckung für Informationsdiebstahl Die IT-Haftpflichtversicherung bietet für Schäden durch Diebstahl von Informationen Dritter dann Versicherungsschutz, wenn – auch ohne eine ausdrückliche Erwähnung derartiger Schäden – eine offene Vermögensschadendeckung besteht oder bei enumerativer Deckungsbeschreibung die Versicherung solcher Schäden ausdrücklich erwähnt wird. 3.5 Deckung für Tätigkeitsschäden Der klassische Ausschluss des § 4 I 6 b AHB für Tätigkeitsschäden hat auch im Bereich der IT-Haftpflichtversicherung seine Bedeutung. Allerdings bereitet die Anwendung der klassischen Formulierung des Tätigkeitsschadens – Schäden, die an fremden Sachen durch eine gewerbliche oder berufliche Tätigkeit des Versicherungsnehmers an oder mit diesen Sachen entstanden sind – auf Sachverhalte in der Informationstechnologie bisweilen Schwierigkeiten, etwa, wenn ein Dienstleister an einer Software seines Auftraggebers tätig wird und im Anschluss an dieses Tätigwerden andere Programme auf dem System nicht mehr ordnungsgemäß arbeiten. Aus diesem Grund gehen einige Versicherer den Weg, Deckung für Implementierungsschäden über eine speziell formulierte Klausel zu bieten. 3.6 Deckung für Auslandsschäden Die Möglichkeit von Auslandsschäden erfordert wegen der grenzüberschreitenden Natur insbesondere von Dienstleistungen im IT-Bereich besondere Aufmerksamkeit. Die Verbandsempfehlung für die Versicherung von Softwarehäusern bietet für Auslandsschäden aus Anlass von Geschäftsreisen sowie der Teilnahme an Ausstellungen, Messen und Märkten weltweiten Versicherungsschutz. Auch für indirekten Export wird weltweiter Versicherungsschutz geboten. Ein Sonderproblem ist die Frage, ob die elektronische Datenübertragung ins Ausland als direkter bzw. indirekter Export einzustufen ist. Bei einer gezielt veranlassten und direkten elektronischen Datenübertragung an einen bestimmten Empfänger im Ausland ist noch ziemlich eindeutig von einem direkten Export auszugehen. Schwieriger ist jedoch die Einordnung beim schlichten Bereithalten von Daten: Inhalte einer Website können weltweit von jedem Rechner aus abgerufen werden. Ähnlich liegt es bei Dateien, die im Internet zum Download bereitgehalten werden. Das Verbandsmodell bietet hier, ohne die Frage der Einordnung zu entscheiden, Deckung für „Schäden durch abgerufene Daten im Bereich des global electronic data interchange (z.B. Internet)“, soweit diese Schäden in Europa eintreten. Andere Versicherungskonzepte wählen den Weg, positiv festzustellen, dass in diesem Fall ein Direktexport vorliegt. Die Deckung für Schäden durch Erzeugnisse, die durch direkten Export ins Ausland gelangen, ist im Verbandsmodell auf das europäische Ausland beschränkt. Für Reparatur, Wartungs- und Pflegearbeiten besteht weltweit Deckung, unter der Voraussetzung, dass diese Arbeiten im Inland oder im europäischen Ausland durchgeführt werden. 3.7 Wettbewerbs- und Schutzrechtsverletzungen Wie bereits eingangs erwähnt, entziehen sich zahlreiche Risikoszena- rien im Bereich des Wettbewerbsrechts und der Schutzrechte einer versicherungstechnischen Lösung. In der Betriebs- und Produkthaftpflichtversicherung sind diese Risiken bereits über § 1 Nr. 1 AHB (Personen- und Sachschäden) sowie im Bereich der VermögensschadenHaftpflichtversicherung über einen besonderen Ausschluss von der Versicherung ausgenommen. Dies erfolgt vor dem Hintergrund, dass derartige Risiken von Betrieb zu Betrieb höchst individuell und zudem für den Versicherer äußerst schwierig einzuschätzen sind. Die Beherrschung dieses Risiko mittels entsprechender Recherchen durch die Unternehmen selbst ist üblicherweise eine effektivere und zugleich kostengünstigere Lösung des Problems als der Versuch, diese Risiken mit Hilfe einer Haftpflichtversicherung abzusichern. Dies gilt grundsätzlich auch für IT-Unternehmen. Der Hersteller einer Software weiß selbst am besten, ob und in welchem Ausmaß die von ihm verwendeten Programmcodes mögliche Rechte anderer verletzen. Ein Unterschied besteht allerdings im Bereich des Internets. Der Provider kann die Inhalte, die seine Kunden im Internet anbieten, nur bedingt kontrollieren. Gleichwohl hat er, wie oben erwähnt, durchaus ein Haftungsrisiko in diesem Bereich. Die Folge können gegen den Provider gerichtete Ansprüche auf Unterbindung etc. sein, die i.d.R. im Wege des einstweiligen Rechtsschutzes geltend gemacht werden. Aus diesem Grund bieten einige Versicherungskonzepte Versicherungsschutz für Gerichts- und Anwaltskosten von Verfahren, mit denen Unterlassungsklagen oder der Erlass einer einstweiligen Verfügung gegen den Versicherungsnehmer begehrt werden. Obliegenheit ist in solchen Fällen die unverzügliche Benachrichtigung des Versicherers. 3.8 Ausschlüsse/Risikoabgrenzungen Die in der allgemeinen Betriebshaftpflichtversicherung üblichen Ausschlüsse finden auch im Bereich der IT-Haftpflichtversicherung Anwendung. Schwierigkeiten bereitet wegen der Eigenart der hier übliPHi — 5/2002 183 IT-Risiken: Haftung und Versicherung (Teil 2) chen Vertragsformen gelegentlich der Ausschluss von Erfüllungsschäden, § 4 I 6 Abs. 3 AHB. Dies gilt insbesondere im Bereich der Verträge über Erstellung und Pflege von Software. Die Frage, ob es sich bei einem geltend gemachten Anspruch um eine auf die Erfüllung eines Vertrags gerichtete Forderung handelt, ist zuerst davon abhängig, welche Leistung vertraglich vereinbart wurde. Hier kommt es auf den Einzelfall an. Allerdings können die vorkommenden Leistungsbilder zumeist auf entsprechende Vertragstypen und diese i.d.R. auf die Vertragsarten des BGB zurückgeführt werden. Solche Vertragstypen sind bspw. Software-Erstellungsverträge, Software-Überlassungsverträge, Wartungsverträge, Beratungsverträge, Providerverträge, Kaufverträge für Soft-/Hardware oder Mietverträge. Bei einem Vertrag über die Lieferung von StandardSoft- oder Hardware handelt es sich i.d.R. um einen Kaufvertrag, da hier nach dem Vertragstypus die vertragliche Erfüllungsleistung des Verkäufers darin besteht, das Produkt mit den vertraglich vereinbarten Eigenschaften zu übergeben und dem Käufer das Eigentum daran zu verschaffen. Bei einem Vertrag über die Erstellung von Individualsoftware handelt es sich hingegen i.d.R. um einen Werkvertrag, da vertraglich in diesem Fall die Herstellung der Software geschuldet ist. Verträge über Software-Pflege werden als Werkverträge, Dienstverträge oder als Vertragstyp eigener Art39 angesehen. Selbstverständlich kann der einzelne Vertrag weitere bzw. abgewandelte Vertragspflichten vorsehen, die dann maßgeblich für die Feststellung sind, was dem vertraglichen Erfüllungsbereich unterfällt. ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 39 S. dazu jüngst Bartsch, NJW 2002, 1526 ff. m.w.N. 40 Also etwa ein Minderwert der erbrachten Leistung, entgangener Gewinn und entgangener Nutzen bei ausbleibender oder eingeschränkter Leistung. 184 PHi — 5/2002 Neben der Frage, welche Leistung vertraglich geschuldet ist, kann vor allem im Bereich der Softwareerstellung die Feststellung des Zeitpunkts, zu dem eine vertragliche Leistung als abgeschlossen gilt (Abnahme), problematisch sein. Insbesondere im Bereich der Diensteanbieter (Provider etc.) ist darauf hin- zuweisen, dass nicht allein die unmittelbar vertraglich geschuldete Leistung, sondern auch der Bereich der sog. Erfüllungssurrogate40 von dem Ausschluss erfasst ist. Über die Ausschlüsse in den AHB hinaus finden sich auch in den auf dem Markt befindlichen Besonderen Bedingungen für die IT-Haftpflichtversicherung eine Reihe von speziellen Ausschlüssen. Dazu gehört zunächst der Ausschluss von Schäden, die, so etwa die Formulierung in den Musterbedingungen für Softwarehäuser, „daraus resultieren, dass der Versicherungsnehmer oder ein von ihm beauftragter Dritter nicht oder nicht in angemessenen Intervallen Daten sichert“. Gelegentlich findet sich der Ausschluss auch mit der Formulierung der „unzureichenden Datensicherung“. Dieser Ausschluss orientiert sich an dem Erfahrungssatz aus der Praxis, dass wertvolle Daten i.d.R. auch sorgfältig gesichert werden. Wo diese Sorgfalt bereits von vornherein nicht beachtet wird, stößt auch die Versicherbarkeit der Folgen an ihre Grenzen. Gleichwohl spielen Schäden durch Löschung und Beschädigung von Daten in der Schadenpraxis der Versicherer eine erhebliche Rolle. Aufmerksamkeit verdient daher die Frage, was unter Datensicherung zu verstehen ist, und wann man bei der Datensicherung von „angemessenen Intervallen“ bzw. überhaupt von einem ausreichenden Niveau sprechen kann. Beide Fragen sind nicht generell, sondern nur im Einzelfall zu beantworten. Dabei ist der zu fordernde Aufwand im Hinblick auf den möglichen Schaden zu bestimmen. Je größer dieser potentielle Schaden ist, desto höher sind auch die Anforderungen, die an die Intensität, Verlässlichkeit und Häufigkeit der vorzunehmenden Datensicherung zu stellen sind. Auch wenn es für die Datensicherung bislang keine allgemein verbindlichen Normen gibt, können als Hilfsmaßstab Richtlinien wie jene des Bundesamts für Sicherheit in der Informationstechnik herangezogen werden, das Mindeststandards für die Datensicherung in Abhängigkeit von der Gefährdung der Daten definiert hat. Zum Teil werden in der Praxis Schäden durch Hacker und Viren ausgeschlossen. Hierauf wurde bereits eingegangen. Die Musterbedingungen für Softwarehäuser schließen ferner Ansprüche wegen Aufwendungen in Erwartung ordnungsgemäßer Leistung (z.B. vergebliche Investitionen) vom Versicherungsschutz aus. Von Bedeutung ist auch der Ausschluss von Ansprüchen im Zusammenhang mit der Verletzung von gewerblichen Schutzrechten, Urheberrechten sowie des Kartellund Wettbewerbsrechts. Dieser Ausschluss wird, wenn und soweit Deckung für einstweiligen Rechtsschutz geboten wird, abbedungen, ist aber im Übrigen erforderlich, da die IT-Haftpflichtversicherung im Unterschied zu einer normalen Betriebshaftpflichtversicherung in großem Umfang reine Vermögensschäden deckt – und um solche geht es im Bereich dieser Rechtsverletzungen. Ansprüche hieraus können, wie bereits gezeigt, im Einzelfall durchaus von Bedeutung sein, doch sind sie einer pauschalen Versicherungslösung nicht zugänglich. Insofern gilt für Unternehmen im IT-Bereich nichts anderes als für andere Wirtschaftszweige. gemessener Programmtests konkretisiert wird. Zu nennen ist schließlich der Ausschluss von Ansprüchen, die daraus resultieren, dass der Versicherungsnehmer die geschuldete Wartung oder Pflege von Hard- oder Software vollständig unterlässt. Dieser Ausschluss versagt entsprechend der Formulierung die Deckung jedoch nicht bei versehentlichem Unterlassen nur einzelner Wartungsschritte. Der Ausschluss des sog. Experimentierrisikos ist insbesondere im Bereich der Software-Erstellung von Bedeutung. Danach sind Ansprüche ausgeschlossen, die daraus resultieren, dass Produkte und Leistungen hinsichtlich ihrer konkreten Verwendung nicht ausreichend getestet wurden. Hintergrund für diese Regelung ist die Absicht, die Testphase als letzte Stufe der Produkterstellung vom Versicherungsschutz auszunehmen. Die Frage, was in diesem Zusammenhang als ausreichend anzusehen ist, lässt sich wiederum nicht generell sondern nur im Einzelfall beantworten. Die Musterbedingungen für Softwarehäuser führen in Anlehnung an das Produkthaftpflicht-Modell den Stand von Wissenschaft und Technik als Maßstab auf, der bezogen auf den Bereich Software auf die Durchführung üblicher und anPHi — 5/2002 185