DV und Recht/Wie sich Anwender schützen können

Jahr 2000: Der Rückzug der IT-Haftpflichtversicherer

18.06.1999
Das Jahr-2000-Problem veranlaßt immer mehr IT-Haftpflichtversicherer zum Handeln: Während in den USA sogar spezielle Versicherungen möglich sind, entledigen sich viele Versicherer hierzulande diskret aller Risiken. Dagegen, so meinen Martin Schweinoch* und Andreas Reinhardt**, sollten IT-Unternehmen angehen.

Die Versicherungswirtschaft hat im Sommer 1998 erkannt, daß ein mögliches Deckungsrisiko wegen des Jahr-2000-Problems nicht nur ernst zu nehmen, sondern auch aktiv einzudämmen sei. Seitdem behandeln die Versicherer das Thema "Jahr 2000".

Fein heraus sind die Branchenvertreter, die erst seit kurzem (1998) IT-Haftpflichtverträge anbieten. Diese schließen nahezu lückenlos Risiken im Zusammenhang mit dem Jahr 2000 aus - entweder im Vertrag sichtbar unter der Rubrik "Nicht versicherte Risiken" oder verdeckt und für Laien kaum erkennbar. Für IT-Leistungen, die vor Beginn des Versicherungsvertrags erbracht wurden, wollen die Neuen keine Ansprüche Dritter abdecken.

Anbieter, die seit längerem IT-Haftpflichtverträge offerieren, hatten in ihren Vertragskonzepten bis vor kurzem keine Jahr-2000-Schäden ausgeschlossen. Da ihnen das Risiko inzwischen zu groß geworden ist, versuchen diese Versicherer nun, auch in vorhandene Verträge nachträglich Ausschlußklauseln zu integrieren. In neu angebotenen Verträgen sind sie bereits enthalten.

Da heißt es dann zum Beispiel: "Vom Versicherungsschutz ausgenommen sind Schäden, die direkt oder indirekt durch die Benutzung von Computersystemen, -software, -programmen, -prozessen oder sonstigen auch außerhalb von Computern verwendeten elektronischen Systemen entstehen, sofern diese Schäden Folge eines fehlerhaften Datumsübergangs zum Jahr 2000 oder eines anderen Datumswechsels (zum Beispiel 9.9.1999 oder Schaltjahresproblematik) sind."

Mit solchen Aktionen wollen sich die Versicherer schützen, da ihre Versicherungsnehmer, die IT-Unternehmen, von ihren Kunden zivilrechtlich für Jahr-2000-Schäden verantwortlich gemacht werden können. Wehrt sich das IT-Unternehmen, dem eine Vertragsänderung aufgedrängt wird, nicht, ist der Versicherungsschutz für Jahr-2000-Schäden in Gefahr.

Besonders kritisch ist die Situation der IT-Unternehmen, die bereits vor längerer Zeit Software geliefert, erstellt oder angepaßt haben. Für diese Konstellation werden in der juristischen Literatur die Haftungsrisiken teilweise kontrovers diskutiert: Üblicherweise sind die Gewährleistungsfristen der Kauf- und Werkverträge mit den Kunden am 1. Januar 2000 bereits abgelaufen. Manche gehen daher für etwa ab 1995 erbrachte Leistungen von einem arglistigen - also vorsätzlichen - Verschweigen eines Mangels aus.

Dieser Tatbestand soll vorliegen, wenn der Kunde über die fehlende Jahr-2000-Festigkeit vor Vertragsabschluß nicht informiert wurde und Schäden auftreten. In diesem Fall wäre der Lieferant für einen Zeitraum von 30 Jahren haftbar zu machen. Andere Juristen sehen keine aktive Aufklärungspflicht in diesem Ausmaß - und damit keine so extensive Haftung.

Unabhängig davon könnte der Softwarelieferant aber auch wegen "unerlaubter Handlung" haften müssen: Für ihn kann eine Produktbeobachtungs- und Warnpflicht bestehen, die ihn zu Hinweisen an seine Kunden und möglicherweise auch deren Abnehmer verpflichtet. Eine fahrlässige Verletzung dieser Warnpflicht würde zu einer Schadensersatzhaftung führen, die erst drei Jahre nach dem Schadenseintritt bei der Datumsumstellung verjährt. Eine höchstgerichtliche Klärung dieser Fragen wird auch nach dem 1. Januar 2000 noch geraume Zeit auf sich warten lassen.

Für das IT-Unternehmen bedeutet eine bestehende Haftpflichtdeckung einen Befreiungsanspruch, was gesetzliche Schadensersatzansprüche Dritter angeht. Der Versicherer muß den Schaden übernehmen und auch die Verteidigung des IT-Unternehmens tragen - unabhängig davon, ob Schadensersatzansprüche gerechtfertigt sind oder nicht.

Von der Versicherungsdeckung nicht erfaßt ist aber stets das Erfüllungsinteresse, also die Erbringung der mit dem Kunden vereinbarten Leistungen selbst oder von Leistungen, die sie ersetzen oder als Nachbesserung vervollständigen sollen (Erfüllungssurrogate). Die "Jahr-2000-Troubleshooter" können daher auch bei bestehenden Haftpflichtversicherungen (ohne Jahr-2000-Ausschluß) typischerweise für solche Leistungen nur mit einer inhaltlich stark eingeschränkten Deckung rechnen. Die Jahr- 2000-Fitneß der IT ist ihr Kernjob - nur entferntere Mangelfolgeschäden kommen für eine Versicherungsdeckung eventuell in Frage.

Sind Gewährleistungsansprüche gegen Softwarelieferanten und -ersteller noch nicht verjährt, dürften sie überwiegend als Bestandteil des Erfüllungsinteresses nicht von der Versicherung gedeckt werden. Der Versicherer tritt allenfalls für entferntere Mangelfolgeschäden ein, soweit das geschädigte Unternehmen seiner Schadensminderungspflicht ordnungsgemäß nachgekommen ist. Gerade zur Schadensminderungspflicht dürften aber die Vorkehrungen für das Jahr 2000 zählen.

Sogenannte arglistig verschwiegene Mängel lassen den Versicherer kalt: Für vorsätzlich verursachte Schäden haftet er nicht. Weniger einfach hat er es, wenn das IT-Unternehmen seine Kunden pflichtwidrig nicht vor der fehlenden Jahr-2000-Festigkeit seiner Produkte warnt. Der nachgewiesene fahrlässige Verstoß gegen eine bestehende Warnpflicht stellt eine unerlaubte Handlung dar. Diese ist von den Haftpflichtkonzepten ohne Jahr-2000-Ausschluß erfaßt und muß vom Versicherer gedeckt werden. Hier drückt die deutsche Versicherungswirtschaft ganz offensichtlich der Schuh.

Unabhängig davon, wie die Gerichte die Haftung der IT-Unternehmen im nächsten Jahrtausend beurteilen werden, ist für diese Gruppe eines klar: Die Leistungspflicht ihrer Versicherer im Schadensfall besteht nur während des inhaltlichen Wirksamkeitszeitraums des Versicherungsvertrags. Genau hier setzen die Versicherer an. Dieser Wirksamkeitszeitraum soll für "kritische Fälle" enden, bevor mögliche Schäden eintreten.

Die Ausstiegsversuche der Versicherer

Seit Mitte 1998 agieren die Versicherer mit dieser Zielrichtung: Als erstes wurden Fragebögen zu Jahr-2000-Risiken an die versicherten IT-Unternehmen versandt. Mit den Antworten wollen die Versicherer das individuelle Risikopotential des Kunden einschätzen, um gegebenenfalls "rechtzeitig" aus den Verträgen aussteigen zu können. So wurden Versicherungsverträge deshalb aufgekündigt, weil das IT-Unternehmen bis 1997 eine nicht Jahr-2000-feste IT-Leistung erbrachte.

Diese Fragebögen dienen aber nicht nur der Abfrage von Risikofaktoren: Vielmehr soll sich das IT-Unternehmen teilweise per Unterschrift zusätzlich verpflichten, dem Versicherer auch später gewonnene Erkenntnisse über Bestehen und Ausmaß von Jahr-2000-Risiken unverzüglich und vollständig anzuzeigen. Wenn der Fragebogen nicht komplett und fristgerecht beantwortet wird und das versicherte IT-Unternehmen sich auf eine Verkürzung der Kündigungsfrist nicht einläßt, kommt es zu Vertragskündigungen durch die Versicherer. Falsche oder lückenhafte Antworten könnten das IT-Unternehmen sogar noch härter treffen: Trotz des bestehenden Vertrags könnte der Versicherer mit dem Argument der Obliegenheitsverletzung versuchen, die Versicherungsdeckung für auftretende Schäden zu verweigern.

Wie 1998 werden die Versicherer auch in diesem Jahr die Vertragsbestände sortieren, die vergangenes Jahr von einer Kündigung verschont blieben. Die Fragestellung für den Versicherer, welcher Risiken er sich zu entledigen wünscht, bleibt unverändert bestehen. Er wird also bis zum 30. September 1999 (ohne Kündigungsfrist-Verkürzung) oder bis zum 30. November 1998 (bei Kündigungsfrist-Verkürzung) erneut entscheiden, ob die alten Verträge so weitergeführt werden und im Ergebnis auch Jahr-2000-Schäden decken können. Das Ziel wird dabei klar definiert bleiben: rechtzeitiger Ausstieg aus der Versicherungsdeckung vor dem 1. Januar 2000.

Ein später Ausstieg im Jahr 1999 birgt für den Versicherer das Risiko, daß sich Schäden im Zusammenhang mit der Datumsumstellung bereits im Vorfeld des Stichtags ereignen können - etwa bei zukunftsgerichteten Verarbeitungsabläufen. Das versicherte Unternehmen könnte einen späten Ausstieg zudem als treuwidriges Vorgehen auffassen und angreifen.

Das Ziel der Versicherer, aus riskanten Verträgen rechtzeitig herauszukommen, hat für IT-Unternehmen unangenehme Konsequenzen: Sie riskieren eine - vermeidbare - Deckungslücke für Jahr-2000-Schäden, für die ein Ersatz auf dem deutschen Versicherungsmarkt kaum verfügbar ist.

Ein gekündigter Haftpflichtvertrag kann für das IT-Unternehmen auch Konsequenzen gegenüber seinen Auftraggebern haben: Waren Abschluß und Aufrechterhalten einer bestimmten Haftpflichtdeckung im Rahmen eines Auftrags vereinbart, wird das Unternehmen jetzt vertragsbrüchig. Es besteht kaum eine Möglichkeit, den zugesagten Deckungsumfang durch eine Alternative wiederherzustellen.

Wie können IT-Unternehmen reagieren? Bei der Beantwortung des von der Versicherung zugesandten Fragebogens sollten sie alle nicht eindeutig formulierten Fragestellungen vom Versicherer so präzisieren lassen, daß deren Tragweite klar erkennbar wird. Nur so können auch eindeutige Antworten gegeben werden. Zusätzliche Pflichten zur späteren Selbstbezichtigung sollten aus dem Fragebogen gestrichen werden. Zur Sicherheit sollte dem Versicherer bei der Rücksendung erklärt werden, daß dieser weder Bestandteil des ursprünglichen Versicherungsvertrags noch eines späteren Nachtrags wird.

Wann man einen neuen Partner suchen sollte

Wird vom Versicherer als Alternative zur sofortigen Kündigung eine Kündigungsfrist-Verkürzung auf einen Monat vorgeschlagen, ist es für das IT-Unternehmen Zeit, nach Alternativen zu suchen. Schließlich hat der Versicherer seinem Kunden mitgeteilt, daß er die Fortsetzung des Versicherungsvertrags so nicht wünscht. Wird vom Versicherer dann die Änderungskündigung ausgesprochen, hat das IT-Unternehmen sonst von der ursprünglich für die Suche nach Alternativen verfügbaren Zeit bereits den größten Teil nutzlos verstreichen lassen.

Angeklickt

Das Jahr 2000 naht, und viele IT-Unternehmen stehen ohne Versicherungsschutz da, wenn ihre Kunden fehlerhafte Software und Systeme beanstanden. Mit allen möglichen Winkelzügen versuchen sich die Versicherungen aus der Verantwortung zu stehlen - oft geben die Kunden nach, obwohl sie es nicht müßten. Das Risiko ist groß, auch weil viele Unternehmen ihren Kunden bei Vertragsabschluß garantiert haben, durch eine IT-Haftpflicht geschützt zu sein.

Der Ausstiegskalender

Versicherer berufen sich für eine ordentliche Kündigung auf den Vertrag und das Versicherungsvertrags-Gesetz. Dort heißt es in ñ8, Abs. 2: "Ist ein Versicherungsverhältnis auf unbestimmte Zeit eingegangen (dauernde Versicherung), so kann es von beiden Teilen nur für den Schluß der laufenden Versicherungsperiode gekündigt werden. Die Kündigungsfrist muß für beide Teile gleich sein und darf nicht weniger als einen Monat, nicht mehr als drei Monate betragen."

Versicherungsverträge sind für IT-Unternehmen typischerweise als (Kalender-) Jahresverträge gestaltet. Die übliche Frist für eine ordentliche Kündigung beträgt drei Monate zum Ablauf (Jahresende). Will der Versicherer einen Vertrag nicht weiterführen, kündigt er ihn mit dieser dreimonatigen Frist zum 30. September (mit Wirkung zum 31. Dezember 1999).

Andererseits kann der Versicherer versuchen, die Kündigungsfrist durch eine mit dem IT-Unternehmen vereinbarte Vertragsänderung (vor dem Hintergrund der drohenden Kündigung des Versicherers) auf einen Monat zu verkürzen. So soll das IT-Unternehmen doch noch von der Notwendigkeit des Jahr-2000-Ausschlusses überzeugt werden. In diesem Fall wäre der späteste Kündigungstermin der 30. November 1999. Alle Schadenereignisse nach dem 31. Dezember 1999 (also fast alle Jahr-2000-Schadenersatzansprüche) sind bei rechtzeitiger Kündigung in beiden Fällen nicht mehr versichert.

*Martin Schweinoch ist Rechtsanwalt in der Kanzlei Schlawien Naab in München.**Andreas Reinhard ist Versicherungsberater und Geschäftsführer der Reinhard und Erben GmbH in Berlin.