Risikomanagement – IT-Dienstleister einbeziehen

Risikomanagement – IT-Dienstleister einbeziehen

Fast jedes Unternehmen arbeitet in irgendeiner Form mit IT-Dienstleistern zusammen. Je nach Größe eines IT-Projektes oder Umfang des Outsourcings trifft den IT-Dienstleister eine hohe Verantwortung. Kommt es zum Ausfall der IT oder dem Verlust sensibler Daten, stellt sich schnell die Frage nach Haftung und Schadenersatz. Trotzdem werden IT-Dienstleistungen heute nur selten in das Risikomanagement von Unternehmen einbezogen. Laut Dirk Kalinowski, Produktmanager IT und Cyber bei der AXA Versicherung, ein nicht ungefährliches Phänomen. Er rät, Schadenszenarien und Haftungsfragen bereits bei Vertragsabschluss zu berücksichtigen.

 

Herr Kalinowski: Worauf sollten Unternehmen bei der Auswahl von IT-Dienstleistern achten?

Je sensibler die eingekaufte Dienstleistung für das Unternehmen ist, desto selbstverständlicher sollte es sein, nicht nur auf den Preis zu achten, sondern auch auf die Zuverlässigkeit, die Kompetenz und den Leistungsumfang des Anbieters. IT-Dienstleister gehören in vielen Fällen zu den externen Dienstleistern, die in einem Unternehmen einen hohen Schaden verursachen können. Wenn durch sie verursachte Ausfälle nicht ausreichend abgesichert oder Haftungsregeln nicht eindeutig definiert sind, kann sich die vermeintlich preisgünstigere Lösung schnell als Fehlkalkulation entpuppen.

 

Wenn dann die Wahl auf einen Dienstleister gefallen ist: Was sollte bei der Vertragsgestaltung beachtet werden?

Wichtig ist eine klare Regelung für den Fall, wenn doch einmal etwas passiert. Dabei sind zulässige Ausfallzeiten meist ein entscheidendes Kriterium. Hier können Service Level Agreements (SLAs) mit Angabe zu Kontrollvorgängen und -pflichten weiterhelfen. Wurde zum Beispiel eine 98-prozentige Verfügbarkeit des Anbieters vereinbart, haftet der Dienstleister bei einer Störung in der Regel erst, wenn diese Grenzen unterschritten wurden. Doch das Feststellen einer Haftung allein reicht nicht aus, um einen möglichen Schaden ersetzt zu bekommen. Unternehmen sollten sich daher auch vorab über den vorhandenen Versicherungsschutz des IT-Dienstleisters informieren.

 

Ist es übliche Praxis, vor Vertragsabschluss Einblick in die Versicherungspolice des Dienstleisters zu verlangen?

Leider nein. Wir haben kürzlich eine kleine Befragung unter 40 IT-Anwendern gemacht: Obwohl jedes zehnte Unternehmen schon einmal einen Schaden durch einen IT-Dienstleister verzeichnen musste, verlangt nur knapp die Hälfte der Unternehmen von ihrem Dienstleister den Nachweis einer Haftpflichtversicherung. Dabei sind IT-Dienstleister im Rahmen der sogenannten Dienstleistungsinformationsverordnung verpflichtet, darüber Auskunft zu geben. Das wissen viele Unternehmen nicht.

 

Kommt denn der Versicherer für alle Schäden auf, wenn eine vertragliche Haftung nachgewiesen wurde?

Man muss grundsätzlich zwischen gesetzlicher und rein vertraglicher Haftung unterscheiden. In der Regel tritt die Haftpflichtversicherung nur für gesetzliche Ansprüche ein. Gehen Regelungen über die gesetzliche Haftpflicht hinaus – etwa bei Vertragsstrafen – greift die Haftpflichtversicherung in der Regel nicht.

 

Welche Versicherungsfragen gilt es denn konkret vorab zu klären?

Zunächst ist zu fragen, ob die Haftpflichtversicherung auch reine Vermögensschäden absichert. Dies ist zum Beispiel bei speziellen IT-Haftpflichtversicherungen, wie wir sie anbieten, der Fall. Dann sollte auf die Deckungssumme eingegangen werden. Denn wenn der vom Anbieter verursachte Schaden die Deckungssumme des Versicherungsschutzes übersteigt, kann das Unternehmen auf den Kosten sitzen bleiben. Die Höhe möglicher Vermögensschäden ist insbesondere abhängig von der Art der Tätigkeit des Unternehmens beziehungsweise von den Geschäftsprozessen, die von der IT abhängig sind. So kann auch eine kurzfristige Betriebsunterbrechung aufgrund eines IT-Ausfalls bei einem E-Commerce-Unternehmen, einem Logistiker oder einem produzierenden Unternehmen schnell hohe Schäden verursachen. Dementsprechend unterschiedlich sind die Anforderungen in Bezug auf Deckungssummen. Zu beachten ist dabei auch, dass Versicherungsunternehmen zwischen Sach-, Personen- und Vermögensschäden unterscheiden und die Deckungssumme entsprechend aufsplitten. Möglicherweise gibt es auch eine Sublimitierung für Betriebsunterbrechungsschäden. Auf mögliche Ausschlüsse sollte ebenfalls geachtet werden.

 

Was ist mit Datenschutzthemen?

Sie sollten ebenso diskutiert und einbezogen werden. Denn neben strengeren rechtlichen Anforderungen ist auch die öffentliche Sensibilität hierfür stark gewachsen. So kann sich beispielsweise der Verlust von Kundendaten überaus negativ auf das Image des Unternehmens auswirken, wie diverse bekannte Fälle zeigen. Für die Vereinbarungen mit IT-Dienstleistern bedeutet das, dass rechtliche Datenschutzanforderungen vertraglich fixiert werden sollten.

 

Zum Abschluss: Welche Punkte für eine Checkliste würden Sie Verantwortlichen in Unternehmen mit auf den Weg geben, wenn neue IT-Dienstleister engagiert werden?

Ich halte fünf Punkte für relevant: Zunächst sollte der Leistungsumfang der Dienstleistung immer konkret beschrieben werden, damit es im Rahmen der Leistungserbringung nicht zu Missverständnissen kommt. Neben dem Umfang der zu erbringenden Leistungen sollten auch Service-Levels eindeutig definiert werden. Hierzu gehört auch die Frage, wie eine Überwachung beziehungsweise ein Nachweis der Einhaltung erfolgen kann. Als Drittes sollten Rollen und Verantwortlichkeiten bei Projekten beziehungsweise Aufträgen eindeutig geklärt -werden. Dann gilt es mögliche Haftungsbegrenzungen zu prüfen. Was geschieht zum Beispiel, wenn durch eine leichte Fahrlässigkeit des Dienstleisters ein Schaden eintritt? Wie wird höhere Gewalt bewertet? Last but not least sollte eine vertragliche Regelung zur Beauftragung von Sub-Unternehmern oder Freelancern durch den IT-Dienstleister getroffen werden. Denn ein Unternehmen sollte immer wissen, wer in welchem Umfang Zugang zu seiner IT hat. Noch eine Tipp zum Schluss: Haftungsrechtliche Regelungen sollten mit dem Versicherer diskutiert werden, um für den Schadenfall Klarheit zu haben.

 

Herr Kalinowski, vielen Dank für dieses Gespräch. 

 


autor_dirk_kalinovskiDirk Kalinowski,
Produktmanager IT und Cyber,
AXA Versicherung