IT-Risiken: Haftung und Versicherung

IT-Risiken: Haftung und Versicherung
Dr. Gero von Manstein
Der Autor ist Abteilungsleiter
Firmenkundengeschäft Haftpflicht/
Haftpflichtvermögen bei der
Bayerischen Versicherungsbank AG,
München.
Teil 1
○
○
○
○
1
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Wirtschaftsbereiche der
Informationstechnologie
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
2
Haftungsrisiken
2.1 Technische Risiken
2.1.1 Unbefugte Eingriffe in
Systeme, Hacking
2.1.2 Diebstahl von
Informationen
2.1.3 Viren
2.1.4 Systemfehler, Fehlbedienung, Falschberatung
2.1.5 Haftung
2.2 Risiken aus Inhalten im
Internet
2.2.1 Verletzung der Privatsphäre,
Beleidigung, Verleumdung
2.2.2 Besonderheiten der Haftung
von Internet-Diensten für
Inhalte
2.2.3 Unlauterer Wettbewerb
2.2.4 Verletzung geistigen Eigentums (Schutzrechte)
122 PHi — 4/2002
Die Deckung der besonderen Haftpflichtrisiken von IT-Unternehmen
hat in den letzten Jahren an Bedeutung gewonnen. Mit einem
weiteren Wachstum dieses Versicherungszweigs ist zu rechnen,
weil die betroffenen Unternehmen
die Notwendigkeit eines Schutzes
gegen Haftpflichtansprüche zunehmend erkennen. Dieser Beitrag
stellt dar, welche Unternehmen
betroffen sind und beleuchtet anschließend Risiken, Haftung und
den dafür möglichen Versicherungsschutz.
1 Wirtschaftsbereiche der
Informationstechnologie
oder im Wege des E-Commerce
Dienstleistungen auch über das
Internet erbringen.
Angesichts des schnellen technologischen Wandels gehört die klassische Einschätzung des Haftpflichtrisikos nach Betriebsbildern, wie
sie über Jahrzehnte gängige Praxis
war, in diesem Bereich der Vergangenheit an. Stattdessen bedarf
jede Tätigkeit einer individuellen
Einschätzung der sich daraus ergebenden Haftungsrisiken.
2 Haftungsrisiken
Eine feststehende Definition, welche Unternehmen unter den mittlerweile zur Alltagssprache gehörenden Begriff der „Informationstechnologie“ zu zählen sind, gibt
es nicht. Die Vielfalt einschlägiger
Tätigkeiten ist ausgesprochen
groß, doch sind dabei in jedem
Fall folgende Tätigkeitsbereiche zu
nennen: Erstellung und Handel
mit Software1, Dienstleistungen im
Bereich Wartung und Betrieb, das
Betreiben von Rechenzentren und
Netzwerken sowie Dienstleistungen im Bereich des Internet, wie
etwa Internet-Service-Providing,
der Betrieb von Internet-Portalen,
Suchmaschinen, Auktionshäusern,
Shops für Waren und Dienste, Finanzdienstleistungen/Online-Broking, Jobbörsen, Handelsplattformen, Rabattsystemen, Einkaufsgemeinschaften und Experten-Netzwerken. Die Reihe dieser Anwendungsbereiche ließe sich fortsetzen.
Bei den hier behandelten Risiken
ist voranzustellen, dass sich viele
Schäden zugleich als Eigen- und
als Drittschaden ereignen: häufig
geht einer Schädigung anderer
Unternehmen, etwa durch einen
übertragenen Virus, eine entsprechende Schädigung des eigenen
Unternehmens voraus. Dieser Eigenschaden ist versicherungstechnisch der Sach- bzw. Elektronikversicherung zugewiesen. Der Drittschaden kann hingegen nur von
einer Haftpflichtversicherung abgedeckt werden. Im Drittschaden
liegt eine besondere Brisanz, denn
hier ist das mögliche Ausmaß
schwer abzuschätzen. Dieses Problem stellt sich beim IT-Haftungsrisiko in schärferer Form als beim
herkömmlichen Haftungsrisiko:
durch die weltweite elektronische
Vernetzung können Dritte geschädigt werden, mit denen zuvor
noch niemals eine Beziehung bestand und deren Schädigung mithin von vornherein gar nicht in Betracht gezogen werden konnte.3
Neben solchen offensichtlich einschlägigen Industriezweigen sind
zunehmend auch „herkömmliche“
Branchen mit Tätigkeiten befasst,
die dem Bereich der Informationstechnologie zuzurechnen sind,
wenn Unternehmen elektronisch
Daten mit Geschäftspartnern austauschen, diesen Software-Komponenten zur Verfügung stellen2
Die möglichen Schadenbilder, die
sich aus einer Tätigkeit im IT-Bereich ergeben können, sind vielfältig. Aus der bisherigen Schadenerfahrung lässt sich allerdings auf
bestimmte Risikokategorien schließen: Zu unterscheiden sind einerseits „technische“ Risiken, wie unbefugte Eingriffe in Systeme, Hacking, Viren, Systemfehler, Fehlbe-
dienung, Falschberatung und der
Diebstahl von Informationen und
andererseits Risiken, die sich in erster Linie aus Inhalten im Internet
ergeben, wie Verletzung der Privatsphäre, Beleidigung, Verleumdung, Wettbewerbsverstöße und
die Verletzung geistigen Eigentums (Schutzrechte).
2.1 Technische Risiken
2.1.1 Unbefugte Eingriffe in Systeme, Hacking
Eine ernste Gefahr für Unternehmen sind Schäden, die durch unbefugte Eingriffe in Systeme verursacht werden. Solche Schäden
sind häufig durch mangelnde Sicherheitsvorkehrungen bedingt.
Dies stellt nicht allein ein erhebliches Risiko für die eigenen Systeme dar, sondern auch eine Gefährdung für Dritte, wenn etwa der eigene Rechner zum Angriff auf Dritte missbraucht wird oder im eigenen System gespeicherte Daten
Dritter beschädigt werden. In solchen Fällen der Drittschädigung
stellt sich die Frage der Haftung.
Unbefugte Eingriffe in Systeme
können intern aus dem Unternehmen selbst erfolgen oder als Angriffe von außen. Das interne, also
von eigenen Mitarbeitern ausgehende Risiko gilt gemeinhin als eine unterschätzte Gefahr.4 Es ist
deshalb besonders schwerwiegend, weil der entsprechende
Schutz umfangreiche Vorkehrungen erfordert. Rein technische Lösungen, wie sie sich für die Abschirmung nach außen anbieten,
genügen hier nicht. Ein Risiko stellen dabei nicht nur böswillige sondern auch unvorsichtige Mitarbeiter dar.5 Die allgemein angespannte Sicherheitssituation wird durch
die verstärkte Fremdvergabe sicherheitsrelevanter Aufgaben noch
verschärft. Wird etwa aus Kostenoder Kapazitätsgründen ein externer Dienstleister eingebunden,
dann erschwert das die Kontrolle
der vorhandenen Sicherheitsvorkehrungen und dementsprechend
auch das Entdecken von Sicherheitslücken.6
Angriffe von außen drohen in
Form von Hackerangriffen.7 Hacker
sind eine Gefahr für alle Unternehmen, deren IT-Systeme auch von
außen zugänglich sind, was praktisch immer der Fall ist. Die Zielrichtung von Hackerangriffen kann
durchaus unterschiedlich sein,
doch ist der Anteil der Angriffe, die
gezielt bestimmten Unternehmen
gelten, hoch.8 Eine Spielart böswilliger Angriffe von außen sind die
sog. Distibuted Denial of Service
Attacks (DDoSA), welche die Internet-Verbindungen der angegriffenen Unternehmen lahm legen. Bei
einer DDoSA werden mehrere zuvor gehackte Internet-Rechner dazu missbraucht, auf Befehl des Angreifers einen bestimmten Netzwerkrechner zu einem bestimmten
Zeitpunkt mit Datenpaketen
gleichsam zu bombardieren. Der
angegriffene Rechner ist dieser
Datenflut nicht gewachsen und
stellt den Dienst ein. Weltweit ereignen sich pro Woche vermutlich
mehrere tausend solcher Attacken,
was nur möglich ist, weil der offensichtlich mangelhafte Schutz
zahlloser Rechner vor allem im
Internet den Hackern die Arbeit erleichtert. Dies ist auch deshalb bedenklich, weil bereits eine kurzfristige DDoSA auf ein Unternehmen
dieses allein wegen der anfallenden Arbeitszeit für EDV-Administratoren hohe Summen kosten
kann.
Mit Blick auf mögliche Haftungsansprüche sind unbefugte Eingriffe
eine besondere Gefahr für solche
Unternehmen, die für die Sicherheit der IT-Systeme bzw. Daten
anderer einzustehen haben, sei es
als Lieferanten von Software bzw.
Systemkomponenten oder als
Dienstleister. Stellt sich bei einem
Drittschaden heraus, dass die erforderlichen Sicherheitsvorkeh-
○
1
2
3
4
5
6
7
8
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Im Gegensatz zur Software-Herstellung,
die mit der Produktion von Gütern im
herkömmlichen Sinn wenig gemein hat,
entspricht die Herstellung von IT-Hardware-Komponenten klassischen Produktionsmustern. Hier besteht deshalb bei den
Versicherungslösungen Abgrenzungsbedarf zur „gewöhnlichen“ Betriebshaftpflichtversicherung und insbesondere der
erweiterten Produkthaftpflichtversicherung.
Anwendungsbeispiele hierfür sind die
Homebanking-Module, die Banken ihren
Kunden zur Verfügung stellen. Ein anderes Beispiel ist Software, die Automobilhersteller ihren Vertragswerkstätten zur
Verfügung stellen, damit diese Reparaturen und Inspektionen an der Bordelektronik der Fahrzeuge vornehmen können.
Der Missbrauch des firmeneigenen Rechners durch unbefugte Dritte zur Schädigung anderer, etwa zur Durchführung eines Distributed Denial of Service Angriffes, ist ein solcher Fall.
Ein für diesen Bereich typischer Fall ereignete sich bei einem Chiphersteller, dessen
gekündigter Mitarbeiter durch einen Fehler auch nach seiner Entlassung elektronischen Zugang zum Rechnersystem des
Unternehmens hatte. Der Mitarbeiter
nutzte diesen Zugang, um Produktionsdaten zu löschen, was zu einem erheblichen Schaden führte.
Das klassische Beispiel hierfür ist das mit
einem Notizzettel am Bildschirmrand für
jeden sichtbar befestigte Passwort für
den Systemzugang.
Das Bundesamt für Sicherheit in der Informationstechnik stellte im Frühjahr
2001 fest, dass der Trend zum Outsourcing im Kreditwesen zu Sicherheitslücken
in den Netzwerken der Banken geführt
hat und erwähnte, dass die Sicherheitsstandards bei den externen Dienstleistern
oft nicht so ausgeprägt seien, wie bei den
Auftraggebern selbst, Heise Online 31.7.
2001.
Die polizeiliche Kriminalstatistik 2001,
hrsg. vom Bundesminister des Innern,
führt 862 Fälle (2000: 513 Fälle) von Datenveränderung bzw. Computersabotage
auf.
Nach einer Untersuchung des US-amerikanischen Sicherheitsspezialisten Riptech
Inc. waren 39 % der in der Studie untersuchten Angriffe gezielt gegen die betroffenen Unternehmen geführt worden. Der
Studie zufolge waren dies vor allem Unternehmen in den Bereichen Energie, Finanzen und Hochtechnologie.
PHi — 4/2002 123
IT-Risiken: Haftung und
Versicherung
○
9
10
11
12
13
14
15
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Sicherheitslücken zur Verfügung
stehen. Eine ungenügende Absicherung von Systemen kann im Rahmen einer Haftungsprüfung Indiz
für ein gegebenes Verschulden sein,
insbesondere wenn entsprechende
Sicherheitslösungen ohne weiteres
verfügbar gewesen wären.
2.1.2 Diebstahl von Informationen
2.1.3 Viren
Neben der Beschädigung von Systemen und ihrem Missbrauch kann
auch der Diebstahl von Informationen zu Schäden und Haftungsansprüchen führen.9 Vom Schaden an
eigenen Daten abgesehen sind
Drittschäden insbesondere in zwei
Konstellationen denkbar: entweder
ein Unternehmen speichert in den
eigenen Systemen Daten Dritter,
die dann in die falschen Hände gelangen oder ein Unternehmen ist
als Dienstleister für Dritte tätig und
durch Fehler bei dieser Tätigkeit
werden dem Dritten Informationen
gestohlen. Informationsdiebstahl ist
ein häufiges Vorkommnis mit weiter
zunehmender Relevanz.10 In einem
Fall in den Vereinigten Staaten beschaffte sich ein Unternehmen
durch elektronische Spionage die
Kalkulation eines Wettbewerbers
und konnte diesen in einem Angebotsverfahren anschließend erfolgreich unterbieten.11 Ein Fernsehsender demonstrierte, wie ein von ihm
beauftragter Hacker in den Homebanking-Computer einer Bank einbrach und vertrauliche Kontoinformationen einsah.12 Hacker drangen
in die Rechner von E-CommerceUnternehmen ein und verschafften
sich dort Einblick in Kundendaten
einschließlich Kreditkarteninformationen.
Wie beim Hackerangriff ist auch
der Befall durch einen Virus zunächst ein Problem des primär betroffenen Unternehmens selbst.
Verbreitet sich der Virus allerdings
weiter – häufig durch unzureichende Schutzvorkehrungen –
und schädigt Dritte, stellt sich die
Haftungsfrage. Die Verbreitung
von Viren über das Internet, insbesondere über E-Mails, ereignet sich
häufig, ist allerdings weder die einzige, noch die vorherrschende Art
der Ausbreitung von Viren. Nach
einer Erhebung des Bundesamtes
für Sicherheit in der Informationstechnik (BSI)14 sind die Hauptverbreitungsquellen für Viren vielmehr Originalsoftware, vorinstallierte Software auf vertriebener
Hardware, Wartungs- und Servicepersonal sowie Anwender. Häufig
begünstigt eine bestimmte Software Viren in besonderer Weise,
wenn sie weit verbreitet ist oder
Schwachstellen besitzt, welche die
Verbreitung erleichtern. In den
Blickpunkt geraten bei der Verbreitung von Viren neben Unternehmen, die Software produzieren,
auch solche, die Systeme warten
oder installieren. Eklatante
Sicherheitsmängel sind nach verschiedenen Untersuchungen in
der Praxis gang und gäbe.15
An möglichen Schäden ist hier natürlich zum einen an den Missbrauch von Daten etwa der Kreditkarteninformationen zu denken.
Aber auch der Wert der Daten als
solcher, etwa von Kundendaten, ist
nicht zu unterschätzen. Finanzielle
Verluste in diesem Bereich sind allerdings schwierig zu beziffern.13
Bemerkenswert und beunruhigend
zugleich ist, dass der Diebstahl der
Informationen oftmals durch lange
bekannte Sicherheitslücken ermöglicht wird, zu denen längst entsprechende Patches, also Software-Ergänzungen zur Schließung dieser
2.1.4 Systemfehler, Fehlbedienung, Falschberatung
○
Die polizeiliche Kriminalstatistik 2001,
hrsg. vom Bundesminister des Innern,
führt 1463 Fälle (2000: 538 Fälle) des
Ausspähens von Daten auf.
Beispiele: Im Juni 2000 musste ein großer
Internet-Service-Provider einräumen, dass
es Hackern gelungen war, mit Hilfe eines
Virus Kundendaten auszuspähen und zu
verändern (CNET 16.6.2000). Zum gleichen Zeitpunkt entdeckte ein Domain
Name-Service eine Sicherheitslücke in seiner Software, durch die Hacker einen Zugang zu den Websites von Kunden hätten erlangen können (CNET 16.6.2000).
Im März 2000 kopierten sich zwei britische Hacker 26.000 Kreditkartennummern aus den Computern von OnlineKaufhäusern (Der Spiegel 20/2000 S.
73). Kurz zuvor hatte der Hacker „Maxus“ 350.000 Kreditkartennummern von
den Rechnern eines Internet-Musikanbieters gestohlen und veröffentlichte sie
im Internet. Zugleich versuchte er, USD
100.000 zu erpressen (CNET 24.3.2000).
In einem anderen Fall im Dezember 2000
konnten sogar die Kreditkarten-Informationen von 3,7 Mio. Kunden durch einen
Hacker eingesehen werden (Heise Online
24.12.2000).
Der Spiegel 20/2000, S. 77.
Fall HypoVereinsbank, Heise Online
16.9.2001.
In Betracht gezogen werden müssen
auch entgangene Umsätze in Folge der
Vernichtung von Kundendaten bzw. Kosten für Rechtsstreitigkeiten. In einem Fall
in den USA wurden mehrere USD 10.000
dafür gezahlt, dass die Daten eines in
Konkurs gegangenen Internet-Unternehmens nicht im Wege der Verwertung der
Konkursmasse verkauft, sondern vernichtet wurden (Fall ToySmart). Vor Informationsdiebstahl sind auch vermeintlich gut
gesicherte Systeme nicht in jedem Fall geschützt. Ende 2000 etwa erlangten Hakker Zugang zu vertraulichen ProgrammCodes eines großen Softwarehauses in
den USA, Heise Online 11.1.2001.
BSI-Kurzinformationen zu aktuellen Themen der IT-Sicherheit „Computer-Viren“
unter www.bsi.de.
Eine Untersuchung der TÜV-Nord Security
GmbH im Jahr 2000, bei der 100 OnlineShops auf ihre Sicherheit geprüft wurden,
kam zu dem Ergebnis, dass von den untersuchten Unternehmen 63 teilweise
eklatante Sicherheitsmängel aufwiesen.
Bei 57 Unternehmen waren sogar allgemein bekannte Sicherheitslücken vorhanden. Anderen Informationen zu Folge,
waren etwa im Jahr 2000 lediglich 30 %
aller Unternehmen mit ständig aktiven
Virenscannern und Firewalls gegen Angriffe geschützt., Spiegel Online
19.9.2001.
124 PHi — 4/2002
rungen nicht oder eben unzureichend getroffen wurden, rückt die
Haftungsfrage in Gestalt von Regressansprüchen ins Bild. Die böswilligen Verursacher der Schäden,
etwa Hacker, stehen dabei als Haftungsschuldner in der Regel nicht
zur Verfügung.
Neben böswillig herbeigeführten
Beschädigungen sind Schäden an
IT-Systemen häufig die Folge von
Systemfehlern, Fehlbedienung, falscher Unterweisung etc. Werden
durch solche Fehler Dritte geschädigt, stellt sich auch hier die Frage
der Haftung. Dies gilt insbesondere für Unternehmen, die Systemkomponenten an andere liefern,
Arbeiten an fremden Systemen
durchführen oder sonstige Dienstleistungen erbringen.
Bereits bei der Einrichtung von
Systemen oder Systemkomponenten können Unzulänglichkeiten in
der Auslegung bzw. handwerkliche Fehler zu Störungen führen.
So führt die fehlerhafte Installation
von Softwarekomponenten im
Netzwerkbereich in der Schadenpraxis öfter zu überhöhten Verbindungskosten. Software kann unter
Testbedingungen zwar richtig
funktionieren, im anschließenden
Praxisbetrieb aber unerwartete
Probleme bereiten. Häufig werden
Schwierigkeiten in der Praxis bereits bei der Auslegung eines Systems nicht vorausgesehen.16 Später können dann Arbeiten an EDVSystemen zu Schäden führen, die
häufig mit Folgeschäden durch
Stillstand und mangelnde Verfügbarkeit dieser Systeme verbunden
sind. So werden häufig versehentlich Daten gelöscht, obwohl diese
Gefahr den Beteiligten in der Regel
bewusst ist.17
2.1.5 Haftung
Wurden Dritte durch das Verhalten
eines Unternehmens geschädigt,
stellt sich die Frage, ob Haftungsansprüche bestehen. Existiert eine
vertragliche Beziehung zum Geschädigten, kann eine Haftung auf
vertraglicher Grundlage gegeben
sein. Daneben kann eine Haftung
auf außervertraglicher Rechtsgrundlage in Betracht kommen.
Im Bereich der IT-Schäden gelten
für die Haftung zwischen Geschäftspartnern die gleichen
Grundsätze wie in anderen Geschäftszweigen auch. Grundlage
für Ansprüche aus Vertrag auf Ersatz von Mangelfolgeschäden bildet nach dem neuen Schuldrecht
§ 280 Abs. 1 BGB in Verbindung
mit der für den jeweiligen Vertragstyp geltenden Verweisungsnorm.18 Verletzt der Schuldner eine Pflicht aus dem Vertragsverhältnis, kann der Gläubiger Ersatz des
hierdurch entstehenden Schadens
verlangen. Nach § 280 Abs. 1 S. 2
BGB ist ein Verschulden des Verkäufers erforderlich, dessen Vorliegen jedoch vermutet wird. Eine
Haftung auch ohne Verschulden
kann nach § 276 Abs. 1 BGB bestehen, wenn sie vertraglich vereinbart wurde oder der Schuldner
nach § 443 BGB eine Garantie
übernommen hat und die garantierte Beschaffenheit nicht gegeben ist. Ersatz kann auf dieser
Grundlage nicht allein für Personen- und Sachschäden, sondern
auch für Vermögensschäden verlangt werden.
Aus der vertraglichen Beziehung
ergeben sich gegenseitige Sorgfaltspflichten der Partner, die in
Abhängigkeit vom Inhalt des Vertragsverhältnisses unterschiedlich
ausgeprägt sein können. Gleichsam eine Mindestverpflichtung für
alle Vertragspartner dürfte darin
bestehen, die eigenen Systeme so
abzusichern, dass sie weder bösartige Software, etwa Viren19, an den
Vertragspartner übertragen, noch
etwa dafür missbraucht werden
können, Dritten als Einfallstor bzw.
Angriffsmittel auf die Systeme des
Partners zu dienen. Wird diese
Sorgfaltspflicht verletzt und ergibt
sich daraus ein Schaden, kann ein
Schadensersatzanspruch nach
§ 280 Abs. 1 BGB bestehen. Die
Frage, welcher Sorgfaltsmaßstab
anzuwenden ist, richtet sich nach
dem Inhalt des Vertrags und insbesondere nach der Art der geschuldeten Leistung. Abhängig von den
vertraglichen Vereinbarungen können auch weitere Sorgfaltspflichten hinzutreten. Eine Verletzung
vertraglicher Sorgfaltspflichten
kann bspw. auch darin bestehen,
dass eine gelieferte Software beim
Auftraggeber wegen mangelnder
Kompatibilität Systeme beschädigt, ein Dienstleister bei der Arbeit an Systemen des Auftraggebers dort versehentlich Daten
löscht oder der mit einer Beratung
oder Schulung beauftragte Dienstleister fehlerhafte oder unvollständige Weisungen erteilt, deren Befolgung dann zu Schäden führt.
In der Regel wird die vertragliche
Haftung durch allgemeine Geschäftsbedingungen ausgestaltet.
Zahlreiche AGB-Bestimmungen haben dabei den Zweck, diese Haftung zu begrenzen. In der Praxis
zeigt sich allerdings häufig, dass
diese Bestimmungen nicht in der
vom Verwender gewünschten Art
und Weise zum Tragen kommen.
Die Ursachen hierfür sind vielfältig.
Haftungsbeschränkungen können
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
16 Beispiel: Bei der Programmierung einer
Banksoftware wurde versäumt, eine Mitteilung an den Kunden vorzusehen, wenn
eine Überweisung nicht erfolgreich ausgeführt wurde. Von den Kunden der Bank
wurden Ersatzansprüche wegen verspäteter Zahlungsvorgänge geltend gemacht, welche diese ihrerseits an den Lieferanten der Software weitergab.
17 Einer größeren Öffentlichkeit bekannt
wurden in jüngerer Zeit Fälle, in denen
Internet-Service-Provider von Serviceausfällen betroffen waren. Kunden wurden
dabei sowohl durch die zeitweise NichtErreichbarkeit ihrer Websites als auch
durch den Verlust des Inhalts von Websites geschädigt, was entsprechenden
Programmieraufwand zur Wiederherstellung desselben erforderlich machte. Einschränkungen bei der Verfügbarkeit bis
hin zu vollständigen Betriebsunterbrechungen erlebten auch Finanzdienstleister im Internet. Auch der Bereich der
Dienstleistungen im E-Commerce kennt
entsprechende Fälle.
18 Liegt ein Kaufvertrag vor, ist dies § 437
Ziff. 3 BGB, bei einem Werkvertrag § 634
Ziff. 4 BGB.
19 Vgl. LG Hamburg, Urt. v. 18.7.2001, NJW
2001, 3486, Verpflichtung zum Einsatz
neuester Anti-Viren-Programme bei vertragsgemäßer Überprüfung von Daten.
PHi — 4/2002 125
IT-Risiken: Haftung und
Versicherung
dem Partner gegenüber nicht
durchgesetzt werden, allgemeine
Geschäftsbedingungen werden
nicht wirksam vereinbart oder halten der gesetzlichen Inhaltskontrolle nicht stand. Insbesondere ist
darauf hinzuweisen, dass eine
Haftungsbeschränkung dann nicht
zum Tragen kommt, wenn sich
herausstellt, dass eine Beschaffenheitsgarantie übernommen wurde, vgl. §§ 444, 639 BGB. Hinsichtlich der Haftung ist schließlich festzuhalten, dass durch allgemeine
Geschäftsbedingungen nur die
Haftung dem Geschäftspartner gegenüber begrenzt werden kann,
nicht jedoch die Haftung gegenüber nicht am Vertrag beteiligten
Dritten. Gleichwohl stellen AGB,
wenn sie richtig angewendet werden, ein wichtiges Mittel dar, um
das Haftungsrisiko bewusst auszugestalten.
Im außervertraglichen Bereich besteht bei schuldhafter Verletzung
eines absoluten Rechtsguts eine
Haftung nach Deliktsrecht, § 823
Abs. 1 BGB. Geht es jedoch – wie
in der Mehrzahl der Fälle – um reine Vermögensschäden, greift die
Anspruchsgrundlage des § 823
Abs. 1 BGB nur in Ausnahmefällen.
Bei einer in der Praxis wichtigen
Fallgruppe, der Beschädigung von
Daten, ist die Frage, ob es sich dabei um Sachschäden und damit
um eine Eigentumsverletzung
i.S.v. § 823 Abs. 1 BGB oder um
Vermögensschäden handelt, umstritten. In den Fällen, in denen die
Daten auf einem Datenträger gespeichert sind und dieser samt den
darauf befindlichen Daten beschädigt wird, ist von einem Sachschaden auszugehen. Noch nicht endgültig geklärt ist dagegen die Beurteilung eines Datenverlusts ohne
physische Beschädigung eines Datenträgers.
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
20 Näheres im nachfolgenden Abschnitt
„Verletzung der Privatsphäre, Beleidigung, Verleumdung“.
21 Gesetz über Rahmenbedingungen für
elektronische Signaturen, BGBl. I 2001,
876, zuletzt geändert durch Art. 2 G. v.
16.5.2001 I, 876.
126 PHi — 4/2002
○
Eine deliktische Haftung kann sich
ferner nach § 823 Abs. 2 BGB gegen denjenigen richten, der gegen
ein den Schutz eines anderen bezweckendes Gesetz verstößt. Auf
der Grundlage von § 823 Abs. 2
BGB können auch reine Vermögensschäden ersetzt verlangt werden. Als Schutzgesetze sind auch
strafrechtliche Normen zu nennen:
Nach § 202 a StGB handelt straf-
bar, wer sich oder anderen unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert
sind, verschafft. Nach § 303a StGB
macht sich strafbar, wer rechtswidrig Daten löscht, unterdrückt,
unbrauchbar macht oder verändert. § 303b StGB stellt die Störung fremder Datenverarbeitung
unter Strafe. Auch Normen aus
dem Bereich des Datenschutzes
sind hier zu nennen.20
Im Bereich der Produkthaftung ist
haftungsverschärfend die Beweislastumkehr zu Lasten des Produzenten zu beachten. Neben dem
Deliktsrecht des BGB ist hier als zusätzliche Anspruchsgrundlage das
Produkthaftungsgesetz zu nennen.
Es stellt eine Anspruchsgrundlage
zur Verfügung, wenn durch ein
fehlerhaftes Produkt, das § 3
ProdHG als bewegliche Sache sowie Elektrizität definiert, ein Personen- oder Sachschaden verursacht
wurde. Das Produkt muss seiner
Art nach gewöhnlich für den privaten Ge- oder Verbrauch bestimmt
sein. Das kann auf Software zutreffen, soweit sie dem Empfänger auf
Datenträger übergeben wird oder
beim Online-Bezug heruntergeladen werden kann. Es gilt nach
§ 11 ProdHG eine Selbstbeteiligung des Geschädigten bei Sachbeschädigung in Höhe von EUR
500. Dies, zusammen mit der Beschränkung auf den privaten Bereich dürfte die Bedeutung des
Produkthaftungsgesetzes als Anspruchsgrundlage im IT-Bereich allerdings begrenzen.
Besondere Haftungsvorschriften
bestehen für Anbieter von Zertifizierungsdiensten im Zusammenhang mit der elektronischen Signatur und für Anbieter von Telekommunikationsdienstleistungen für
die Öffentlichkeit. Der Zertifizierungsdiensteanbieter haftet aus
seiner Tätigkeit nach § 11 Signaturgesetz21 und unterliegt nach
§ 12 SigG der Pflicht zu einer Deckungsvorsorge mit einer Mindestdeckungssumme von EUR 250.000
für jeden durch ein haftungsauslösendes Ereignis verursachten Schaden. Für Telekommunikationsunternehmen gilt bei Schäden gegenüber ihren Kunden nach § 7
der Telekommunikations-Kundenschutzverordnung22 eine Haftungsbeschränkung für Vermögensschäden von EUR 12.500 je
Nutzer und von EUR 10 Mio. pro
Schadenereignis.
Insbesondere bei aus dem Internet
herrührenden Streitigkeiten ist der
internationale Aspekt zu berücksichtigen. Schädiger und Anspruchsteller haben ihren Sitz
nicht notwendigerweise im selben
Land. Es stellt sich dann die Frage
nach der internationalen Gerichtszuständigkeit und auch nach dem
anwendbaren Recht. Im Rahmen
dieses Beitrags kann diesen Fragen
allerdings nicht vertieft nachgegangen werden.
2.2 Risiken aus Inhalten im Internet
Neben den zuvor behandelten
„technischen“ Haftungsrisiken, die
sich in erster Linie aus dem Versagen von Software, von technischen Komponenten oder aus fehlerhaften Dienstleistungen im Bereich von IT-Systemen ergeben
können, bringt das Internet einen
weiteren Risikobereich mit sich: Informationen, die im Web zur Verfügung gestellt werden, können
falsch sein und dadurch zu Schäden führen. Sie können auch anderweitige Rechte Dritter verletzen
und hierdurch zu Ansprüchen auf
Schadensersatz führen. Anspruchsgrundlagen sind u.a. § 823 BGB,
§ 97 UHG und §§ 1, 3, 13 UWG.
Der Vorwurf, mit im Internet angebotenen Inhalten Rechte anderer
zu verletzen, trifft zuerst den eigentlichen Anbieter solcher Inhalte, der diese als eigenen „Content“
zur Verfügung stellt. Dies ist in der
Regel der Betreiber einer Website
oder derjenige, der strittige Inhalte
bspw. in ein Internet-Forum einstellt. Daneben können sich Ansprüche aber insbesondere auch
gegen die Provider richten, die
durch ihre Dienstleistung, etwa
das Hosting der betreffenden Website oder des Forums, diese Inhalte
im Internet zugänglich machen.
Neben der Veröffentlichung
rechtswidriger Informationen kann
auch der Umgang mit gewonnenen Informationen gegen fremde
Rechte verstoßen.
2.2.1 Verletzung der Privatsphäre,
Beleidigung, Verleumdung
Verletzungen im Bereich der Persönlichkeitsrechte sind vor allem
im Internet relevant. Ein Schadenszenario liegt darin, dass Inhalte,
die im Internet öffentlich zur Verfügung gestellt werden, Personen
beleidigen oder in anderer Weise
in ihrem Persönlichkeitsrecht verletzen. Derartige Fälle sind keineswegs selten. So musste etwa ein
Internet-Service-Provider Schadensersatz zahlen, weil er eine beleidigende Schmähschrift eines
Kunden auf dessen Website nicht
nach einer Aufforderung durch das
Opfer entfernt hatte.23 Ein Anbieter
von kostenlosem Webspace musste dieses Angebot einstellen, nachdem zahlreiche Nutzer den Dienst
dafür missbraucht hatten, illegale
Inhalte wie Kinderpornographie,
Nazi-Propaganda, Aufrufe zu Mord
und Brandanschlägen, menschenverachtendes Material, beleidigende Äußerungen sowie sonstiges
verletzendes Material zu veröffentlichen.24 Eine haftungsrechtliche
Verantwortlichkeit trifft in solchen
Fällen die Urheber der Informationen, unter Umständen aber auch
die beteiligten Provider.
Eine andere Schadenmöglichkeit
liegt in der ungewollten Veröffentlichung persönlicher Informationen. Anbieter von E-Mail-Diensten,
Online-Versicherungsvermittler,
Online-Steuerberater und andere
Unternehmen offenbarten in zahlreichen Fällen versehentlich vertrauliche Informationen über einzelne Kunden im Internet. In der
Regel waren Systemfehler die Ursache.
Eine weitere Quelle von Ansprüchen kann das Sammeln persönlicher Informationen im Internet
über einzelne Personen ohne deren Zustimmung bzw. vorherige
Aufklärung sein. Es ist eine weithin
geübte Praxis im Internet, persönliche Informationen über Kunden
und Besucher von Websites zu
sammeln. Die technischen Möglichkeiten hierzu sind vielfältig.
Dieses sog. Profiling erlaubt es,
Profile von Personen anzulegen,
die dann für die verschiedensten
Zwecke, insbesondere zum Marke-
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
22 BGBl. I 1997, 2910, zuletzt geändert
durch Art. 19 G. v. 7.5.2002 I, 1529.
23 Der britische Provider zahlte deshalb umgerechnet EUR 24.500 Schadensersatz
und EUR 376.300 Gerichtskosten, Spiegel
Online 30.3.2000. Vgl. zur Schadensersatzpflicht bei ehrverletzenden Äußerungen im Internet auch LG Hamburg, Urt.
v. 12.5.1998, JurPC Web-Dok. 86/1998,
Abs. 1-13.
24 Fall Yoobay.net.
PHi — 4/2002 127
IT-Risiken: Haftung und
Versicherung
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
ting sowie zum Maßschneidern
von Online-Angeboten verwendet
werden können. Eine Möglichkeit,
an diese Informationen zu gelangen, besteht in der Verwendung
von sog. Cookies. Diese kleinen
Datensätze, die beim Besuch von
Websites auf dem PC des Besuchers abgelegt werden, ermöglichen es den Diensteanbietern im
Internet, die verschiedenen Nutzer
zu identifizieren und ihren Weg
durch das Netz zu verfolgen. Das
Gesetz über den Datenschutz bei
Telediensten (TDDSG)25 enthält
detaillierte Vorschriften über die
Erhebung und Auswertung von
Daten im Internet, insbesondere
solcher Daten, die mit Hilfe von
Cookies gesammelt werden.
○
○
○
○
25 BGBl. I 1997, 1870, 1871, geändert
durch Art. 3 und 4 Abs. 2 G. v.
14.12.2001 I, 3721, s. § 3 Abs. 2, 5 und
§ 6 TDDSG.
26 BGBl. I 1990, 2954, 2955, Zuletzt geändert durch Art. 3 Nr. 2 G. v. 20.12.2001 I,
3926.
27 Gesetz über die Nutzung von Telediensten, BGBl. I 1997, 1870, zuletzt geändert
durch Art. 1 und 4 Abs. 1 G. v. 14.12.
2001 I, 3721.
28 LG Hamburg, Urt. v. 4.11.1999 - 3 U
274/98, MMR 2000, 92 ff.
128 PHi — 4/2002
Werden Persönlichkeitsrechte Dritter verletzt, richten sich Ansprüche
hiergegen häufig auf Beseitigung
oder Unterlassung. Daneben können aber auch Ansprüche auf
Schadensersatz bestehen. Die
Grundlage der Ansprüche kann
vertraglicher Natur sein, wenn
etwa korrekte Datenverarbeitung
geschuldet und diese Pflicht verletzt wird, aber auch deliktsrechtlicher Natur. Nach § 823 Abs. 1 BGB
kann der Geschädigte bei Verletzung des „allgemeinen Persönlichkeitsrechts“ Ersatz auch für immaterielle Schäden verlangen. Dies
gilt auch für Ansprüche nach
§ 823 Abs. 2 BGB in Verbindung
mit einem Schutzgesetz. Solche
Schutzgesetze sind bspw. § 202 a
(Ausspähen von Daten), das Fernmeldegeheimnis nach § 85 TKG
und § 206 StGB sowie datenschutzrechtliche Bestimmungen.
Nach § 824 BGB hat derjenige, der
wahrheitswidrig eine Tatsache behauptet oder verbreitet, die geeignet ist, den Kredit eines anderen
zu gefährden oder sonstige Nachteile für dessen Erwerb oder Fortgang herbeizuführen, dem anderen den daraus entstehenden
Schaden zu ersetzen. Nach § 826
BGB ist derjenige, der in einer gegen die guten Sitten verstoßenden
Weise – etwa durch Verbreitung
von Tatsachen aus dem Privatbereich – einem anderen vorsätzlich
Schaden zufügt, diesem zum Ersatz des Schadens verpflichtet.
Auch § 7 des Bundesdatenschutzgesetzes (BDSG)26 bildet eine
Grundlage für Ansprüche auf
Schadensersatz im Fall einer unzulässigen oder unrichtigen Erhebung, Verarbeitung oder Nutzung
personenbezogener Daten.
2.2.2 Besonderheiten der Haftung
von Internet-Diensten für Inhalte
Content-Provider: Die eben dargestellte Haftungssituation betrifft in
dieser uneingeschränkten Form in
erster Linie denjenigen, der als Autor für eine veröffentlichte Information selbst verantwortlich ist.
Dies wird durch § 8 Abs. 1 des
Ende 2001 in Anpassung an die ECommerce-Richtlinie geänderten
Teledienstegesetzes (TDG)27 bestätigt, wonach Diensteanbieter für
eigene Informationen, die sie zur
Nutzung bereithalten, nach den
allgemeinen Gesetzen verantwortlich sind. Soweit ein Anbieter eigene Inhalte bereithält, bezeichnet
man ihn auch als Content-Provider.
Bei der haftungsrechtlichen Verantwortlichkeit für eigene Inhalte
auf Websites ist das Sonderproblem der Haftung aus Links zu beachten. Das Setzen von Links auf
andere Websites kann dazu führen, dass der Inhalt jener Websites
demjenigen, der den Link dorthin
gesetzt hat, inhaltlich zugerechnet
wird. Auf diese Weise kann sich
eine Verantwortlichkeit nicht allein
für die selbst gestalteten Inhalte
auf der eigenen Website ergeben,
sondern auch für Inhalte Dritter
auf deren Websites, die für den
Link-Setzer sehr viel schwerer zu
kontrollieren sind, als die eigenen
Inhalte. So wurde der deutsche Betreiber einer Website, von der aus
über ein Link die Seite eines im
Ausland ansässigen Betreibers eines in Deutschland nicht genehmigten Glücksspiels zugänglich
war, als wettbewerbsrechtlicher
Störer abgemahnt.28 Bei der Frage
der Zurechnung des Inhalts verlinkter Websites ist von Bedeutung, ob und inwieweit sich der
Setzer des Links die fremden Inhalte zu eigen macht. Dabei ist insbesondere die Art und Weise von Bedeutung, wie der Link technisch
ausgestaltet ist. Mit einem Link,
der den Besucher auf die Eingangsseite eines anderen Internet-
angebots führt (auch als SurfaceLink bezeichnet), wird sich der Setzer des Links die fremden Inhalte
regelmäßig nicht zu eigen machen.29 Anders liegt es bei InlineLinks, die bestimmte Inhalte der
„verlinkten“ Websites unmittelbar
in der „verlinkenden“ Website erscheinen lassen, ohne dass der Besucher den Link noch aktivieren
muss. Eine Zurechenbarkeit kann
auch bei Frame-Links gegeben
sein: bei deren Aktivierung wird
der Besucher nicht auf eine andere
Website geführt, sondern die andere Website erscheint innerhalb
der Ausgangs-Website in einem
„Rahmen“. Je nach Ausgestaltung
dieses Rahmens kann mehr oder
weniger deutlich erkennbar sein,
dass hier der Inhalt einer anderen
Website erscheint.
Access-Provider: Anders als für den
Content-Provider regelt das TDG
in § 9 die Haftung der Teledienste,
sobald es sich um fremde Informationen handelt. Einen Diensteanbieter, der fremde Informationen
lediglich übermittelt oder zugänglich macht, bezeichnet man auch
als Access-Provider. Dieser ist für
die von ihm übertragenen fremden Inhalte nicht verantwortlich,
ähnlich einer Telefongesellschaft30
für die von ihr übertragenen Telefongespräche. Damit scheiden
auch Schadensersatzansprüche
gegen den Access-Provider wegen
der übermittelten Informationen
aus. Voraussetzung für diese Haftungsfreistellung ist allerdings
u.a., dass der Provider die übermittelten fremden Informationen
nicht ausgewählt oder verändert
und auch den Adressaten der
übermittelten Informationen nicht
ausgewählt hat. Die bei der Übertragung übliche automatische
kurzzeitige Zwischenspeicherung
(Caching) der übertragenen Informationen ist unschädlich.
Host-Provider: Im Gegensatz zum
Access-Provider speichert der sog.
Host-Provider Informationen seiner
Kunden für diese in seinen Systemen und hält die Informationen
im Auftrag der Kunden für den Zugriff Dritter bereit. Ein typischer
Anwendungsfall ist dabei das Speichern („Hosting“) von Websites.
Nach § 11 TDG ist der Host-Provi-
der für diese Informationen nicht
verantwortlich, was wiederum
Schadensersatzansprüche diesbezüglich ausschließt. Diese Haftungsprivilegierung des Host-Providers besteht allerdings nur dann,
wenn er keine Kenntnis von der
Rechtswidrigkeit einer Information
hat, und ihm im Fall von Schadensersatzansprüchen auch keine
Tatsachen oder Umstände bekannt
sind, aus denen die Rechtswidrigkeit offensichtlich wird. Außerdem
muss er, sobald er die entsprechende Kenntnis erlangt hat, unverzüglich tätig geworden sein,
um die Information zu entfernen
oder den Zugang zu ihr zu sperren.
Nach § 8 Abs. 2 TDG sind der Access-Provider und der Host-Provider nicht verpflichtet, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige
Tätigkeit hinweisen. Stellt sich aber
heraus, dass vom Host- bzw. Access-Provider übermittelte Informationen gegen Rechte Dritter
verstoßen, lässt § 8 Abs. 2 TDG
eine sich auf anderer Rechtsgrundlage ergebende Verpflichtung zur
Entfernung oder Sperrung solcher
Informationen unberührt.
Das Internet erleichtert die Entstehung grenzüberschreitender
Rechtsbeziehungen. Als Folge davon besteht auch die gesteigerte
Möglichkeit, von Anspruchstellern
im Ausland in Anspruch genommen zu werden. In Fällen, in denen dies geschieht, stellt sich neben prozessualen Fragen, wie der
Zuständigkeit des Gerichts, die Frage des anwendbaren Rechts. Für
das Internet bestimmt § 4 TDG,
dass hierbei das sog. Herkunftslandprinzip zur Anwendung
kommt. Danach gilt für in
Deutschland niedergelassene
Diensteanbieter das deutsche
Recht auch dann, wenn die Dienste in einem anderen EU-Staat angeboten oder erbracht werden. Allerdings gilt § 4 TDG mit dem Herkunftslandprinzip ausschließlich
für das Internet und ferner nicht
für den Warenaustausch sowie für
weitere Bereiche, etwa die Produkthaftung, das Urheberrecht,
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
29 Umstritten. Für eine Zurechnung LG
Hamburg, MMR 1998, 547, weitere
Nachweise bei Attendorn, Wegfall der
Haftungsprivilegierung für Links nach der
TDG-Novelle, MMR 2002, V, m.w. N.
30 Deren Haftung richtet sich nicht nach
dem TDG sondern nach § 40 Telekommunikationsgesetz (TKG) i.V.m. § 7 der Telekommunikations-Kundenschutzverordnung (TKV).
PHi — 4/2002 129
IT-Risiken: Haftung und
Versicherung
das Marken-, Patent- und Musterrecht und den Datenschutz.
2.2.3 Unlauterer Wettbewerb
Ein weiterer Schauplatz rechtlicher
Auseinandersetzungen im IT-Bereich ist das Wettbewerbsrecht.
Gerade in umkämpften Märkten
bieten sich Anlässe für Auseinandersetzungen auf diesem Feld.
Diese sind oftmals von einer Gestalt, dass ein Versicherungsschutz
für Ansprüche Dritter, die aus solchen Streitigkeiten resultieren, von
vornherein ausscheiden muss
(Vorsatzausschluss). Der Bereich
des Internets eröffnet allerdings
auch neue und zuvor unbekannte
Möglichkeiten, in wettbewerbsrechtliche Streitigkeiten verwickelt
zu werden. Da diese für die Haftung der Unternehmen von nicht
unerheblicher Bedeutung sind, soll
auf einige dieser neuartigen Haftungsszenarien kurz eingegangen
werden.
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
31 S. dazu Dittrich, Zur Frage der urheberund wettbewerbsrechtlichen Zulässigkeit
von Hyperlinks, JurPC Web-Dok. 72/
2002, Abs. 1-28.
130 PHi — 4/2002
○
Metatags: Ein Anknüpfungspunkt
für wettbewerbsrechtliche Vorwürfe kann die Verwendung sog.
Metatags sein. Bei Metatags handelt es sich um Inhalte einer Website, die in deren Programmcode
enthalten, für den Betrachter der
Website jedoch nicht sichtbar sind.
Diese Metatags werden etwa von
Suchmaschinen gelesen und dienen für diese als wichtige Informationsträger über Inhalt und Zielrichtung der betreffenden Website.
Da es die Zielrichtung der meisten
Betreiber von Websites ist, möglichst oft in den Suchergebnissen
der Suchmaschinen aufzutauchen,
besteht die Versuchung, in den
Metatags nicht lediglich Informationen über den tatsächlichen Inhalt der Website im engsten Sinn
abzulegen, sondern vielmehr die
Formulierung derselben so weitgehend zu gestalten, dass sie auf
möglichst viele Suchabfragen passend erscheinen. Kritisch wird diese Praxis in dem Moment, in dem
die verwendeten Metatags mit
dem Inhalt der Website in keinem
Zusammenhang mehr stehen oder
der Inhalt von Metatags gezielt
dazu genutzt wird, Suchabfragen,
die eigentlich anderen Websites
gelten sollen, auf die eigene Seite
umzuleiten. Dabei kann die Ver-
wendung von Markennamen als
Metatags zu Ansprüchen nicht nur
auf wettbewerbsrechtlicher sondern auch auf markenrechtlicher
Grundlage führen.
Links: Unabhängig von der zuvor
angesprochenen Frage einer Zurechnung fremder Inhalte können
Links auch Anlass für wettbewerbsrechtliche Ansprüche sein.
Wird durch die Art, in der ein Link
realisiert ist, nicht deutlich, dass
die Inhalte der verlinkten Seite von
jemand anderem stammen, können Ansprüche auf Unterlassung
und ggf. auf Schadensersatz unter
den Gesichtspunkten der Irreführung, §§ 1, 3 UWG, oder der unlauteren Leistungsausbeutung erwachsen. Diskutiert wird auch die
Frage, ob ein Verstoß gegen § 1
UWG unter dem Gesichtspunkt
der Werbebehinderung durch sog.
Deep-Links möglich ist. Ein DeepLink verweist nicht auf die Titeloder Eingangsseite des anderen
Anbieters (wo dieser möglicherweise bezahlte Werbung platziert
hat), sondern auf eine Unterseite.
Dadurch können letzterem Werbeeinnahmen verloren gehen.31
Spamming: Auch das sog. Spamming hat eine Relevanz im Bereich
des Wettbewerbsrechts. Hierbei
handelt es sich um das unaufgeforderte, massenhafte Versenden
von E-Mails zu Werbezwecken.
Dieses Spamming, gegen das sich
viele Dienste im Internet mit Hilfe
besonderer Techniken zu schützen
versuchen, kann die Ursache für zivilrechtliche Auseinandersetzungen sein: In dem Augenblick, in
dem Datenmengen massenhaft
bspw. an die Benutzer eines Online-Dienstes versandt werden, beansprucht dies die Rechner und
Übertragungskapazitäten eben
dieses Online-Dienstes erheblich,
was für diesen zum einen Aufwand bedeutet und zum anderen
möglicherweise die Übertragung
sonstiger Daten bzw. das übrige
Serviceangebot vorübergehend
beeinträchtigt. Aus diesem Grund
ergingen bereits zahlreiche Gerichtsentscheidungen gegen sog.
Spammer. Als Rechtsgrundlage
stehen dem Betroffenen § 823
Abs. 1 BGB i.V. m. § 1004 BGB unter dem Gesichtspunkt des Ein-
griffs in den eingerichteten und
ausgeübten Gewerbebetrieb32 und
bei wettbewerbsrechtlicher Betroffenheit § 1 UWG analog zur Verfügung. Auf der anderen Seite kann
es auch ungewollte Folgen haben,
sich mit technischen Mitteln gegen
Spammer zur Wehr zu setzen. Verschiedentlich beschwerten sich die
Versender seriöser E-Mails, etwa
die Versender von Newslettern, die
regelmäßige E-Mails an Abonnenten ihres Newsletters senden, dass
sie durch die Anti-Spam-Systeme
von Providern daran gehindert
wurden, ihre Abonnenten zu erreichen. Das Bemühen, die Übertragung von Spam-E-Mails zu unterbinden, kann also dazu führen,
dass Hindernisse errichtet werden,
welche die wirtschaftliche Betätigung unbeteiligter Unternehmen
beeinträchtigt.
Werbung im Internet: Viele Geschäftsmodelle im Internet basieren auf Werbeeinnahmen. Auch
bei der Werbung wirft das Internet
besondere Fragestellungen auf.
Durch den im Vergleich etwa zu
Printmedien beschränkten sichtbaren Raum, den eine Website zur
Verfügung stellt, ist besonders das
Trennungsgebot zu nennen, das
eine deutliche Trennung von Werbung einerseits und redaktionellen
Inhalten andererseits vorschreibt.
Die Geltung des Trennungsgebots
wird für den Bereich der Mediendienste im Mediendienste-Staatsvertrag33 ausdrücklich festgestellt.
Ähnliches ergibt sich aus § 7 TDG.
Neue Geschäftsmodelle: Schließlich ergibt sich eine wettbewerbsrechtliche Brisanz daraus, dass das
Internet eine Reihe von Geschäftsmodellen hervorgebracht hat, die
ohne dieses Medium gar nicht
denkbar wären. Ein Beispiel ist etwa das sog. Powershopping, bei
dem sich mehrere Käufer elektronisch zusammenfinden, um hierdurch günstigere Preise zu erzielen.34
Anspruchsgrundlagen bei wettbewerbsrechtlichen Verstößen sind,
auch im IT-Bereich, zunächst die
allgemeinen Vorschriften der §§ 1,
3, 13 UWG. Für den Bereich des
Internet sind zusätzlich zu den bereits erwähnten Sonderregelungen
des Teledienstegesetzes die „besonderen Informationspflichten
bei kommerzieller Kommunikation“ zu beachten, die § 7 TDG
bzw. für Mediendienste die entsprechenden Vorschriften des Mediendienste-Staatsvertrags den im
Internet werbend tätigen Diensteanbietern auferlegen. Danach
muss kommerzielle Kommunikation klar als solche zu erkennen und
die natürliche oder juristische Person in deren Auftrag sie erfolgt,
klar identifizierbar sein. Für Maßnahmen zur Verkaufsförderung sowie Preisausschreiben oder Gewinnspiele mit Werbecharakter
gelten weitere Anforderungen.
2.2.4 Verletzung geistigen Eigentums (Schutzrechte)
Die Verletzung geistigen Eigentums spielt in rechtlichen Auseinandersetzungen im IT-Bereich eine
erhebliche Rolle. Die meisten Gerichtsentscheidungen, die im Zusammenhang mit Tätigkeiten im
Internet veröffentlicht werden, betreffen die Verletzung von Marken-, Namens- und Urheberrechten.
Das Urheberrecht schützt etwa
Musikdateien, Fotos und redaktionelle Beiträge gegen die nicht autorisierte Verwertung. Ein großer
Online-Dienst wurde für das Bereithalten illegaler Musikdateien
auf seinen Rechnern haftbar gemacht. Ein Erwachsenen-Magazin
machte erfolgreich Ansprüche gegen Betreiber anderer Websites
wegen unerlaubter Verwendung
von Fotografien geltend. Freie Mitarbeiter einer Zeitung klagten wegen Verwendung ihrer Beiträge im
Internet-Auftritt des Blattes und
brachten vor, dass sie die Erlaubnis
zur Veröffentlichung lediglich für
den Abdruck in Zeitungen erteilt
hätten. Zu erwähnen ist auch der
besondere Schutz, den nach §§ 87
a bis 87 e Urheberrechtsgesetz
(UrhG) Datenbankhersteller genießen. Der Schöpfer einer Datenbank hat nach diesen Vorschriften
das ausschließliche Recht, die von
ihm geschaffene Datenbank insgesamt oder einen nach Art oder
Umfang wesentlichen Teil zu vervielfältigen, zu verbreiten und öffentlich wiederzugeben.35 Durch
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
32 Vgl. Urt. LG Berlin vom 13.10.1998, Az.
16 O 320/98; AG Dachau, Urt. v. 10.7.
2001, JurPC WebDok. 190/2001, Abs. 122: kein Schadensersatz bei bloßer Belästigung.
33 § 9 Abs. 2 Staatsvertrag über Mediendienste, in Kraft getreten am 1.8.1997,
zuletzt geändert durch G. zum Fünften
Staatsvertrag zur Änderung rundfunkrechtlicher Staatsverträge (Fünfter Rundfunkänderungsstaatsvertrag) vom 6. Juli
2000 bis 7. August 2000.
34 Zum Verstoß des „Powershopping“ gegen § 1 UWG, OLG Köln, Urt. v. 1.6.
2001, Az. 6 U 204/2001, JurPC Web-Dok.
151/2001, Abs. 1-44.
35 Vgl. hierzu LG Köln, Urt. v. 2.5.2001, Az.
28 O 141/01, JurPC Web-Dok. 211/2001,
Abs. 1-21.
PHi — 4/2002 131
IT-Risiken: Haftung und
Versicherung
die Verwendung von Links in der
Gestalt von Inline-Links und
Frame-Links können unter Umständen Urheberpersönlichkeitsrechte Dritter verletzt werden, was
neben Unterlassungs- auch Schadensersatzansprüche zur Folge haben kann.36
Beispiele für die Verletzung von
Markenrechten sind etwa Streitigkeiten um Domain-Namen sowie
die unberechtigte Verwendung
von fremden Marken bei Web-Auftritten. Beim Inhalt von Websites
genügt unter bestimmten Umständen bereits die Erwähnung einer
fremden, geschützten Marke auf
der Website für den Vorwurf einer
Markenrechtsverletzung.
Auch die Verletzung von Patentrechten ist als Risiko zu nennen.
Während es im Bereich der Software darum gehen kann, dass bestimmte Programmcodes Patentrechte anderer verletzen, betreffen
patentrechtliche Vorwürfe im Bereich des Internets bisweilen auch
Geschäftsmodelle und Funktionalitäten von Websites.
36 S.a. hierzu Dittrich, a.a.O. (Fn. 31). Zur
Verletzung der ausschließlichen Rechte
des Datenbankbetreibers durch Einsatz
von Deep Links LG Köln, Urt. v. 28.2.
2001, Az. 28 O 692/00, JurPC Web-Dok.
138/2001, Abs. 1-29.
132 PHi — 4/2002
Eine Haftung für die Verletzung
von Schutzrechten kann sich bei
Bestehen vertraglicher Beziehungen mit dem Anspruchsteller aus
Vertrag, im Übrigen auch aus Vorschriften des Urheber, Marken-,
Namens- und Datenschutzrechts
ergeben. Zu berücksichtigen sind
auch hier die bereits erwähnten
Vorschriften des Telekommunikationsrechts. Im Fall der Nutzung
fremden geistigen Eigentums sind
auch Ansprüche aus Bereicherungsrecht oder wegen Geschäftsführung ohne Auftrag denkbar. Bei
Verstößen im Bereich des Urheberrechts ergibt sich aus § 1 UrhG ein
verschuldensunabhängiger Anspruch auf Beseitigung und Unterlassung. Bei vorsätzlichem oder
fahrlässigem Handeln kann sich
aus § 97 Abs. 1 UrhG ein Anspruch
auf Schadensersatz ergeben. Nach
§ 97 Abs. 2 UrhG können Urheber,
Verfasser wissenschaftlicher Ausgaben, Fotografen und ausübende
Künstler wegen eines Schadens,
der nicht Vermögensschaden ist,
eine Entschädigung in Geld verlangen, wenn und soweit es der Billigkeit entspricht. § 97 Abs. 3 UrhG
stellt ausdrücklich klar, dass Ansprüche aus anderen gesetzlichen
Vorschriften unberührt bleiben.
Weitere Ansprüche können aus
dem Namensrecht (§ 12 BGB) folgen. Domain-Namen stellen nach
der Rechtsprechung einen eigenständigen wirtschaftlichen Wert
dar. Im Fall einer Verletzung von
Marke und Geschäftsbezeichnung
können sich aus §§ 14, 15 Markengesetz Ansprüche ergeben.
Fortsetzung des Beitrags in Heft 5/
2002.
IT-Risiken: Haftung und Versicherung
(Teil 2)
Dr. Gero von Manstein
Der Autor ist Abteilungsleiter Firmenkundengeschäft Haftpflicht/
Haftpflichtvermögen bei der
Bayerischen Versicherungsbank AG,
München.
Der 1. Teil ist erschienen in PHi 4/
2002, 122 - 132.
○
○
3
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
Der Schutz durch die
Haftpflichtversicherung
Deckung für reine Vermögensschäden in der IT-Haftpflichtversicherung
Deckung für Datenschäden
Deckung für Hacker- und
Virenschäden
Deckung für Informationsdiebstahl
Deckung für Tätigkeitsschäden
Deckung für Auslandsschäden
Wettbewerbs- und Schutzrechtsverletzungen
Ausschlüsse/
Risikoabgrenzungen
○
3 Der Schutz durch die
Haftpflichtversicherung
Die Haftpflichtversicherung hat die
Abwehr unberechtigter und die Befriedigung berechtigter Ansprüche,
die von Dritten gegen das versicherte Unternehmen geltend gemacht werden, zum Inhalt. Dies
gilt auch für die Konzepte zur Haftpflichtversicherung, die zur Absicherung von IT-Risiken angeboten
werden. Der Versicherungsmarkt
ist in diesem Bereich von einer großen Vielfalt an Versicherungskonzepten gekennzeichnet.37 Dies
macht es unmöglich, einen detaillierten Überblick über die angebotenen Lösungen zu geben. Einen
gewissen Anhalt gibt indes das
Verbandskonzept für die Versicherung von Softwarehäusern,38 dem
in Kürze eine weitere Verbandsempfehlung zur Versicherung von
IT-Dienstleistern folgen wird.
Im Schadenfall ist zuerst die Frage
zu beantworten, ob es sich bei einem geltend gemachten Schadensersatzanspruch auch um einen gedeckten Schaden handelt.
Die Frage der Deckung beantwortet sich auf Grundlage der im Einzelfall zur Anwendung kommenden Versicherungsbedingungen,
also der Allgemeinen Bedingungen
für die Haftpflichtversicherung
(AHB) sowie der Besonderen Bedingungen und Risikobeschreibungen
der einzelnen Versicherer für die ITHaftpflichtversicherung.
Die AHB liegen dem überwiegenden Teil der auf dem Markt befindlichen Konzepte für die IT-Haftpflichtversicherung zugrunde. Dies
gilt auch für die Musterbedingungen des GDV für Softwarehäuser.
Diese Musterbedingungen sind die
erste vom Verband herausgegebene Empfehlung zur Versicherung
von Risiken im Bereich der Informationstechnologie. Im Folgenden
soll auf einige Gesichtspunkte eingegangen werden, die für die De-
180 PHi — 5/2002
ckung durch die IT-Haftpflichtversicherung von besonderem Interesse sind.
3.1 Deckung für reine Vermögensschäden in der IT-Haftpflichtversicherung
Die Betriebshaftpflichtversicherung
bietet klassischerweise Versicherungsschutz für Personen und
Sachschäden. Darüber hinaus ist in
der allgemeinen Betriebshaftpflichtversicherung eine Deckung
für bestimmte, jedoch stark eingegrenzte Vermögensschadentatbestände enthalten.
Eine umfangreichere Deckung für
Vermögensschäden bietet die erweiterte Produkthaftpflichtversicherung durch eine Reihe genau
benannter und eingegrenzter
Vermögensschadentatbestände,
wie sie als Folge der Erbringung
von Leistungen und der Lieferung
von Produkten typischerweise auftreten. Zu nennen sind hier insbesondere die Deckungstatbestände
der Verbindungs-/Vermischungsschäden, Verarbeitungsschäden
sowie Ein- und Ausbaukosten.
Neben der erweiterten Produkthaftpflichtversicherung bieten weitere Konzepte, wie etwa die Rückrufkostenversicherung, Deckung
für reine Vermögensschäden in
Form von bestimmten genau benannten Kostenpositionen.
Diese Konzepte stoßen allerdings
im Bereich der Informationstechnologie mit ihrem exponierten Vermögensschadenrisiko an ihre
Grenzen. In der umfangreichen
Deckung von reinen Vermögensschäden i.S. von § 1 Ziff. 3 AHB liegt
daher der wesentliche Unterschied
der Versicherungskonzepte für die
IT-Haftpflichtversicherung im Vergleich zur herkömmlichen Betriebshaftpflichtversicherung. Dort, wo
die Deckung nicht in der oben beschriebenen Weise enumerativ prä-
zisiert, sondern einfach als Deckung für Vermögensschäden zur
Verfügung gestellt wird, spricht
man von einer offenen Vermögensschadendeckung. Diese wird
unter Verwendung bestimmter Eingrenzungen verschiedentlich am
Markt angeboten.
In der Praxis beschreiten die Versicherer unterschiedliche Wege, um
Deckung für die sog. reinen Vermögensschäden zur Verfügung zu
stellen.
Eine Möglichkeit, Deckung für reine Vermögensschäden zu bieten
und gleichzeitig den Überblick
über das damit versicherte Gefahrenpotential zu behalten, besteht
darin, wie bei der erweiterten Produkthaftpflichtversicherung enumerativ bestimmte, genau beschriebene Tatbestände in die Deckung aufzunehmen, womit zugleich alle Schadenbilder, die diesen Tatbeständen nicht entsprechen, von der Deckung ausgenommen sind. Dies ist der klassische Weg, das schwer überschaubare Vermögensschadenrisiko zu
versichern. Ein häufig verwendeter
Deckungstatbestand ist in diesem
Zusammenhang die explizite Deckung von Schäden, die durch Löschung und Beschädigung von Daten entstehen.
Zur Versicherung in Bereichen, die
nahe an der Nahtstelle zu „herkömmlichen“ Produkten liegen,
wie die Steuer-, Mess- und Regeltechnik, werden zum Teil auch direkt die Bausteine des Produkthaftpflichtmodells herangezogen.
Die Deckung von reinen Vermögensschäden wird gelegentlich
auch auf bestimmte Schadenfolgen bezogen, die erfahrungsgemäß häufig eintreten. So bieten einige Versicherungskonzepte in Anlehnung an die Software-Deckung
in der Elektronikversicherung Deckung für die Folgen einer Lö-
schung oder Beschädigung von
Daten, indem die Kosten für die erforderlichen Maßnahmen zur Wiederherstellung bzw. -gewinnung
dieser Daten versichert werden.
Eine weitere Möglichkeit, die Deckung zu präzisieren, ist eine in den
Besonderen Bedingungen enthaltene Liste der im Vermögensschadenbereich versicherten Tätigkeiten/Risiken. So kann etwa die Deckung für Haftungsansprüche aus
Inhalten im Internet auf fremde Inhalte beschränkt werden, für die
der Versicherungsnehmer als Provider in Anspruch genommen
wird. Die Haftung für eigene, vom
Versicherungsnehmer selbst eingestellte Inhalte ist dann von vornherein nicht vom Versicherungsschutz erfasst. Zumeist ist auch die
Tätigkeit der Zertifizierungsstellen
und Telekommunikationsunternehmen aus der Reihe der versicherten Risiken ausgenommen, da
hier besondere gesetzliche Anforderungen zu erfüllen sind, was
Spezialkonzepte erforderlich
macht.
Üblicherweise wird die Deckung in
Teilbereichen an besondere Anforderungen geknüpft, die vom Versicherungsnehmer zu erfüllen sind,
um Deckung zu erhalten. Ein Beispiel ist das Erfordernis einer ausreichenden Datensicherung oder des
Einsatzes von Virenscannern. Daneben kommen besondere Ausschlüsse, wie etwa Experimentierklauseln zur Anwendung. In vielen
Konzepten steht für die reinen Vermögensschäden eine besondere
Deckungssumme zur Verfügung,
und es gelten in diesem Bereich besondere Selbstbehalte.
3.2 Deckung für Datenschäden
In der praktischen Diskussion spielt
die deckungsrechtliche Behandlung von Schäden, die durch die
Löschung oder Beschädigung von
Daten entstehen, eine erhebliche
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
37 Dieses Phänomen ist auch in anderen
Versicherungsmärkten zu beobachten,
etwa in den USA, wo entsprechende Deckungskonzepte bereits einige Jahre zuvor entwickelt wurden.
38 „Besondere Bedingungen und Risikobeschreibungen für die Haftpflichtversicherung von Software-Häusern“, Musterbedingungen des GDV vom März
2001.
PHi — 5/2002 181
IT-Risiken: Haftung und
Versicherung (Teil 2)
Rolle. Kernpunkt ist dabei die Frage, ob man solche Schäden als Vermögens- oder als Sachschäden ansieht. Die Konsequenzen in der Deckung sind unterschiedlich: Viele
Bedingungskonzepte sehen für
Vermögens- und Sachschäden unterschiedliche Versicherungssummen vor, und auch der Versicherungsumfang kann sich verschieden darstellen.
Die Musterbedingungen des GDV
für die Haftpflichtversicherung von
Software-Häusern lösen diese Frage ausdrücklich: Schäden Dritter
durch Datenlöschung, -beschädigung oder Beeinträchtigung der
Datenordnung werden nach dem
Bedingungswortlaut wie Sachschäden behandelt.
In anderen auf dem Markt befindlichen Bedingungen findet sich auch
die umgekehrte Festlegung, wonach Datenschäden wie Vermögensschäden behandelt werden.
Wieder andere Konzepte treffen keine derartige Zuweisung und lassen
damit offen, wie eine Behandlung
dieser Schäden im Einzelfall erfolgt.
Eine weitere, ebenfalls praktizierte
Möglichkeit ist schließlich, eine
Sonderregelung speziell für die Deckung von Datenschäden mit darauf bezogener Versicherungssumme vorzusehen, die eine Festlegung hinsichtlich der Rechtsnatur
von Datenschäden entbehrlich
macht.
3.3 Deckung für Hacker- und
Virenschäden
Ein besonderes Risiko stellen, wie
bereits dargestellt, Angriffe durch
Hacker sowie Schäden durch Viren
dar.
Die Musterbedingungen des GDV
für die Haftpflichtversicherung von
Software-Häusern enthalten einen
ausdrücklichen Ausschluss für Schäden durch Viren („Software, die
geeignet ist, die Datenordnung zu
verändern oder zu zerstören, z.B.
Software-Viren, Trojanische Pferde
und dgl.“) und Hacker („Schäden,
die dadurch entstehen, dass Dritte
unberechtigte Eingriffe in interne
und/oder externe Datennetze vornehmen [z.B. Hacker-Attacken]“).
182 PHi — 5/2002
Zahlreiche Versicherungskonzepte
bieten hingegen auch für Ansprüche aufgrund derartiger Schäden
Versicherungsschutz. Allerdings ist
diese Deckung angesichts des erheblichen Gefahrenpotentials i.d.R.
an bestimmte Voraussetzungen geknüpft bzw. unterliegt verschiedenen Einschränkungen. Im Bereich
der Virenschäden wird zumeist verlangt, dass der Versicherungsnehmer seine Systeme mit einer regelmäßig aktualisierten Anti-VirenSoftware schützt. Versicherungsschutz im Fall von Hackerangriffen
wird üblicherweise zumindest von
der Unterhaltung eines FirewallSystems abhängig gemacht.
3.4 Deckung für Informationsdiebstahl
Die IT-Haftpflichtversicherung bietet für Schäden durch Diebstahl
von Informationen Dritter dann
Versicherungsschutz, wenn – auch
ohne eine ausdrückliche Erwähnung derartiger Schäden – eine offene Vermögensschadendeckung
besteht oder bei enumerativer Deckungsbeschreibung die Versicherung solcher Schäden ausdrücklich
erwähnt wird.
3.5 Deckung für Tätigkeitsschäden
Der klassische Ausschluss des
§ 4 I 6 b AHB für Tätigkeitsschäden
hat auch im Bereich der IT-Haftpflichtversicherung seine Bedeutung. Allerdings bereitet die Anwendung der klassischen Formulierung des Tätigkeitsschadens –
Schäden, die an fremden Sachen
durch eine gewerbliche oder berufliche Tätigkeit des Versicherungsnehmers an oder mit diesen
Sachen entstanden sind – auf Sachverhalte in der Informationstechnologie bisweilen Schwierigkeiten,
etwa, wenn ein Dienstleister an einer Software seines Auftraggebers
tätig wird und im Anschluss an dieses Tätigwerden andere Programme auf dem System nicht mehr
ordnungsgemäß arbeiten. Aus diesem Grund gehen einige Versicherer den Weg, Deckung für Implementierungsschäden über eine
speziell formulierte Klausel zu bieten.
3.6 Deckung für Auslandsschäden
Die Möglichkeit von Auslandsschäden erfordert wegen der grenzüberschreitenden Natur insbesondere von Dienstleistungen im IT-Bereich besondere Aufmerksamkeit.
Die Verbandsempfehlung für die
Versicherung von Softwarehäusern
bietet für Auslandsschäden aus Anlass von Geschäftsreisen sowie der
Teilnahme an Ausstellungen, Messen und Märkten weltweiten Versicherungsschutz. Auch für indirekten
Export wird weltweiter Versicherungsschutz geboten. Ein Sonderproblem ist die Frage, ob die elektronische Datenübertragung ins Ausland als direkter bzw. indirekter Export einzustufen ist. Bei einer gezielt
veranlassten und direkten elektronischen Datenübertragung an einen
bestimmten Empfänger im Ausland
ist noch ziemlich eindeutig von einem direkten Export auszugehen.
Schwieriger ist jedoch die Einordnung beim schlichten Bereithalten
von Daten: Inhalte einer Website
können weltweit von jedem Rechner aus abgerufen werden. Ähnlich
liegt es bei Dateien, die im Internet
zum Download bereitgehalten werden.
Das Verbandsmodell bietet hier,
ohne die Frage der Einordnung zu
entscheiden, Deckung für „Schäden durch abgerufene Daten im
Bereich des global electronic data
interchange (z.B. Internet)“, soweit
diese Schäden in Europa eintreten.
Andere Versicherungskonzepte
wählen den Weg, positiv festzustellen, dass in diesem Fall ein Direktexport vorliegt.
Die Deckung für Schäden durch Erzeugnisse, die durch direkten Export
ins Ausland gelangen, ist im Verbandsmodell auf das europäische
Ausland beschränkt. Für Reparatur,
Wartungs- und Pflegearbeiten besteht weltweit Deckung, unter der
Voraussetzung, dass diese Arbeiten
im Inland oder im europäischen
Ausland durchgeführt werden.
3.7 Wettbewerbs- und Schutzrechtsverletzungen
Wie bereits eingangs erwähnt, entziehen sich zahlreiche Risikoszena-
rien im Bereich des Wettbewerbsrechts und der Schutzrechte einer
versicherungstechnischen Lösung.
In der Betriebs- und Produkthaftpflichtversicherung sind diese Risiken bereits über § 1 Nr. 1 AHB (Personen- und Sachschäden) sowie im
Bereich der VermögensschadenHaftpflichtversicherung über einen
besonderen Ausschluss von der
Versicherung ausgenommen. Dies
erfolgt vor dem Hintergrund, dass
derartige Risiken von Betrieb zu Betrieb höchst individuell und zudem
für den Versicherer äußerst schwierig einzuschätzen sind. Die Beherrschung dieses Risiko mittels entsprechender Recherchen durch die
Unternehmen selbst ist üblicherweise eine effektivere und zugleich
kostengünstigere Lösung des Problems als der Versuch, diese Risiken
mit Hilfe einer Haftpflichtversicherung abzusichern. Dies gilt grundsätzlich auch für IT-Unternehmen.
Der Hersteller einer Software weiß
selbst am besten, ob und in welchem Ausmaß die von ihm verwendeten Programmcodes mögliche Rechte anderer verletzen.
Ein Unterschied besteht allerdings
im Bereich des Internets. Der Provider kann die Inhalte, die seine Kunden im Internet anbieten, nur bedingt kontrollieren. Gleichwohl hat
er, wie oben erwähnt, durchaus
ein Haftungsrisiko in diesem Bereich. Die Folge können gegen den
Provider gerichtete Ansprüche auf
Unterbindung etc. sein, die i.d.R.
im Wege des einstweiligen Rechtsschutzes geltend gemacht werden.
Aus diesem Grund bieten einige
Versicherungskonzepte Versicherungsschutz für Gerichts- und Anwaltskosten von Verfahren, mit denen Unterlassungsklagen oder der
Erlass einer einstweiligen Verfügung gegen den Versicherungsnehmer begehrt werden. Obliegenheit ist in solchen Fällen die unverzügliche Benachrichtigung des
Versicherers.
3.8 Ausschlüsse/Risikoabgrenzungen
Die in der allgemeinen Betriebshaftpflichtversicherung üblichen
Ausschlüsse finden auch im Bereich
der IT-Haftpflichtversicherung Anwendung. Schwierigkeiten bereitet
wegen der Eigenart der hier übliPHi — 5/2002 183
IT-Risiken: Haftung und
Versicherung (Teil 2)
chen Vertragsformen gelegentlich
der Ausschluss von Erfüllungsschäden, § 4 I 6 Abs. 3 AHB. Dies gilt
insbesondere im Bereich der Verträge über Erstellung und Pflege
von Software. Die Frage, ob es sich
bei einem geltend gemachten Anspruch um eine auf die Erfüllung eines Vertrags gerichtete Forderung
handelt, ist zuerst davon abhängig,
welche Leistung vertraglich vereinbart wurde. Hier kommt es auf den
Einzelfall an. Allerdings können die
vorkommenden Leistungsbilder
zumeist auf entsprechende Vertragstypen und diese i.d.R. auf die
Vertragsarten des BGB zurückgeführt werden.
Solche Vertragstypen sind bspw.
Software-Erstellungsverträge, Software-Überlassungsverträge,
Wartungsverträge, Beratungsverträge, Providerverträge, Kaufverträge für Soft-/Hardware oder
Mietverträge. Bei einem Vertrag
über die Lieferung von StandardSoft- oder Hardware handelt es
sich i.d.R. um einen Kaufvertrag,
da hier nach dem Vertragstypus
die vertragliche Erfüllungsleistung
des Verkäufers darin besteht, das
Produkt mit den vertraglich vereinbarten Eigenschaften zu übergeben und dem Käufer das Eigentum
daran zu verschaffen.
Bei einem Vertrag über die Erstellung von Individualsoftware handelt es sich hingegen i.d.R. um einen Werkvertrag, da vertraglich in
diesem Fall die Herstellung der
Software geschuldet ist. Verträge
über Software-Pflege werden als
Werkverträge, Dienstverträge oder
als Vertragstyp eigener Art39 angesehen. Selbstverständlich kann der
einzelne Vertrag weitere bzw. abgewandelte Vertragspflichten vorsehen, die dann maßgeblich für
die Feststellung sind, was dem vertraglichen Erfüllungsbereich unterfällt.
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
39 S. dazu jüngst Bartsch, NJW 2002, 1526
ff. m.w.N.
40 Also etwa ein Minderwert der erbrachten Leistung, entgangener Gewinn und
entgangener Nutzen bei ausbleibender
oder eingeschränkter Leistung.
184 PHi — 5/2002
Neben der Frage, welche Leistung
vertraglich geschuldet ist, kann vor
allem im Bereich der Softwareerstellung die Feststellung des Zeitpunkts, zu dem eine vertragliche
Leistung als abgeschlossen gilt (Abnahme), problematisch sein. Insbesondere im Bereich der Diensteanbieter (Provider etc.) ist darauf hin-
zuweisen, dass nicht allein die unmittelbar vertraglich geschuldete
Leistung, sondern auch der Bereich
der sog. Erfüllungssurrogate40 von
dem Ausschluss erfasst ist.
Über die Ausschlüsse in den AHB hinaus finden sich auch in den auf dem
Markt befindlichen Besonderen Bedingungen für die IT-Haftpflichtversicherung eine Reihe von speziellen
Ausschlüssen. Dazu gehört zunächst
der Ausschluss von Schäden, die, so
etwa die Formulierung in den
Musterbedingungen für Softwarehäuser, „daraus resultieren, dass der
Versicherungsnehmer oder ein von
ihm beauftragter Dritter nicht oder
nicht in angemessenen Intervallen
Daten sichert“.
Gelegentlich findet sich der Ausschluss auch mit der Formulierung
der „unzureichenden Datensicherung“. Dieser Ausschluss orientiert
sich an dem Erfahrungssatz aus der
Praxis, dass wertvolle Daten i.d.R.
auch sorgfältig gesichert werden.
Wo diese Sorgfalt bereits von vornherein nicht beachtet wird, stößt
auch die Versicherbarkeit der Folgen an ihre Grenzen. Gleichwohl
spielen Schäden durch Löschung
und Beschädigung von Daten in
der Schadenpraxis der Versicherer
eine erhebliche Rolle. Aufmerksamkeit verdient daher die Frage, was
unter Datensicherung zu verstehen
ist, und wann man bei der Datensicherung von „angemessenen Intervallen“ bzw. überhaupt von einem ausreichenden Niveau sprechen kann. Beide Fragen sind nicht
generell, sondern nur im Einzelfall
zu beantworten. Dabei ist der zu
fordernde Aufwand im Hinblick auf
den möglichen Schaden zu bestimmen. Je größer dieser potentielle
Schaden ist, desto höher sind auch
die Anforderungen, die an die Intensität, Verlässlichkeit und Häufigkeit der vorzunehmenden Datensicherung zu stellen sind. Auch
wenn es für die Datensicherung
bislang keine allgemein verbindlichen Normen gibt, können als
Hilfsmaßstab Richtlinien wie jene
des Bundesamts für Sicherheit in
der Informationstechnik herangezogen werden, das Mindeststandards für die Datensicherung in
Abhängigkeit von der Gefährdung
der Daten definiert hat.
Zum Teil werden in der Praxis
Schäden durch Hacker und Viren
ausgeschlossen. Hierauf wurde bereits eingegangen.
Die Musterbedingungen für
Softwarehäuser schließen ferner
Ansprüche wegen Aufwendungen
in Erwartung ordnungsgemäßer
Leistung (z.B. vergebliche Investitionen) vom Versicherungsschutz
aus.
Von Bedeutung ist auch der Ausschluss von Ansprüchen im Zusammenhang mit der Verletzung von
gewerblichen Schutzrechten, Urheberrechten sowie des Kartellund Wettbewerbsrechts. Dieser
Ausschluss wird, wenn und soweit
Deckung für einstweiligen Rechtsschutz geboten wird, abbedungen, ist aber im Übrigen erforderlich, da die IT-Haftpflichtversicherung im Unterschied zu einer normalen Betriebshaftpflichtversicherung in großem Umfang reine Vermögensschäden deckt – und um
solche geht es im Bereich dieser
Rechtsverletzungen. Ansprüche
hieraus können, wie bereits gezeigt, im Einzelfall durchaus von
Bedeutung sein, doch sind sie einer
pauschalen Versicherungslösung
nicht zugänglich. Insofern gilt für
Unternehmen im IT-Bereich nichts
anderes als für andere Wirtschaftszweige.
gemessener Programmtests konkretisiert wird.
Zu nennen ist schließlich der Ausschluss von Ansprüchen, die daraus resultieren, dass der Versicherungsnehmer die geschuldete Wartung oder Pflege von Hard- oder
Software vollständig unterlässt.
Dieser Ausschluss versagt entsprechend der Formulierung die Deckung jedoch nicht bei versehentlichem Unterlassen nur einzelner
Wartungsschritte.
Der Ausschluss des sog. Experimentierrisikos ist insbesondere im Bereich der Software-Erstellung von
Bedeutung. Danach sind Ansprüche ausgeschlossen, die daraus resultieren, dass Produkte und Leistungen hinsichtlich ihrer konkreten
Verwendung nicht ausreichend getestet wurden. Hintergrund für diese Regelung ist die Absicht, die Testphase als letzte Stufe der Produkterstellung vom Versicherungsschutz auszunehmen. Die Frage,
was in diesem Zusammenhang als
ausreichend anzusehen ist, lässt
sich wiederum nicht generell sondern nur im Einzelfall beantworten.
Die Musterbedingungen für Softwarehäuser führen in Anlehnung
an das Produkthaftpflicht-Modell
den Stand von Wissenschaft und
Technik als Maßstab auf, der bezogen auf den Bereich Software auf
die Durchführung üblicher und anPHi — 5/2002 185