Damit das Haftungsrisiko nicht zur Katastrophe führt
Quelle: AXA

Damit das Haftungsrisiko nicht zur Katastrophe führt

Von Bruno Schläfli

ICT-Projekte sind nicht risikolos. Mit konsequentem Risikomanagement und einer abgestimmten Versicherungslösung lässt sich ein allfälliger Schaden in Grenzen halten.

Artikel erschienen in Swiss IT Magazine 2013/09

     

Die Geschäftsbeziehung zwischen einem ICT-Dienstleister und seinem Kunden kann komplex ausfallen. Oft bietet der Dienstleister eine Gesamtlösung an, von der Evaluation über die Hardwarebeschaffung und Entwicklung bis zu Betrieb und Support, und tritt damit als Generalunternehmer auf. Es versteht sich von selbst, dass sich eine solche Kundenbeziehung nicht per Handschlag regeln lässt – ein sorgfältig ausgearbeiteter Vertrag ist Pflicht.

Komplexe Vertragsgestaltung


Und anders als zum Beispiel im Handel, wo es eindeutige gesetzliche Richtlinien gibt und ein Standard-Kaufvertrag oft genügt, müssen bei solchen Projekten mehrere Vertragstypen kombiniert werden, die rechtlich unterschiedlich geregelt sind: Aspekte eines Kaufvertrags für die Beschaffung, werkvertragliche Regelungen für die Umsetzung individueller Lösungen und Elemente des Auftragsrechts für Dienstleistungen wie Beratung und Support. Essentiell für die Vertragsgestaltung ist ein umfassendes Pflichtenheft, eine Definition der Anforderungen und Leistungen, in dem die Rechte und Pflichten beider Vertragspartner genau festgelegt sind.
Den «ICT-Dienstleistungsvertrag» an sich gibt es nicht. Je nach Projekt kommen Elemente verschiedener Vertragstypen in unterschiedlicher Zusammenführung ins Spiel. Um die Gestaltung der Vertragsbeziehungen dennoch zu erleichtern, bieten die Branchenverbände SWICO und SwissICT unter www.modellvertraege.ch zahlreiche Checklisten und Musterverträge an, die auf verschiedene in der ICT-Branche gängige Projektarten und Kundenbeziehungen massgeschneidert sind. Die Nutzung dieser Musterverträge ist kostenpflichtig. Die Investition lohnt sich jedoch, denn mit einem guten Vertrag lassen sich viele Fallstricke vermeiden.

Möglichst ohne Nebenwirkungen


Auch das bestgeplante ICT-Projekt ist nicht risikolos. Es kann immer etwas Unvorhergesehenes passieren – und sei es nur durch einen technischen Ausfall oder einen Bedienungsfehler. Eine im Auftrag der AXA durchgeführte Studie zeigt, dass das wichtigste Risiko für ICT-Dienstleister im Datenverlust liegt. Gleich danach kommen Schadenersatzforderungen von Kunden, Probleme wegen mangelnder Funktionalität der angebotenen Lösungen und Services sowie Konventionalstrafen, wenn vertragliche Bedingungen nicht eingehalten werden konnten.
Mit anderen Worten: Obwohl sich viele ICT-Dienstleister angesichts eines erfolgreichen Abschlusses und über der Freude an genialen technischen Lösungen dessen nicht bewusst sind, droht immer ein Haftungsrisiko. Dies umso mehr, als es überhaupt nicht möglich ist, per Vertrag die Haftung vollständig auszuschliessen. Um die vor allem finanziellen «Nebenwirkungen» solcher Risiken gering zu halten, bieten sich zwei Wege an, die idealerweise kombiniert werden: Konsequentes Risikomanagement und eine exakt auf die Situation abgestimmte Versicherungslösung.

Risikominderung durch Risikomanagement


Risikomanagement wird leider oft als kostspielige Übung für einen Ernstfall angesehen, der ja sowieso kaum eintritt. So sollte man nicht denken. Für nicht allzu umfangreiche Projekte reicht meist ein Risikoworkshop von wenigen Stunden. In einem Brainstorming nimmt das ganze Projektteam die möglichen Risiken unter die Lupe, stellt einen Katalog der wichtigsten Risiken zusammen und ermittelt Anzeichen, die schon frühzeitig auf das Eintreten eines Risikos hinweisen könnten.
Auf diese Weise lassen sich die bedeutendsten Risiken mit geringem Aufwand identifizieren und bewerten, und es können Strategien zur Risikobewältigung angegangen werden. Risiken können ganz vermieden werden, indem bestimmte Aktivitäten nicht stattfinden oder die Strategie massgeblich geändert wird – dann vergibt man sich aber womöglich auch attraktive Chancen. Meist lassen sich sowohl die Eintrittswahrscheinlichkeit als auch die Folgen von Risiken durch einfache Massnahmen deutlich mindern. Gegen Datenverlust mag eine Backup-Strategie mit kontinuierlicher Sicherung und Off-Site-Backup helfen. Oder man greift zum Risikotransfer, indem riskante Aktivitäten an einen externen Anbieter ausgelagert werden, der dafür besser gerüstet ist – das Hosting empfindlicher Daten überlässt man zum Beispiel besser einem Spezialisten mit State-of-the-Art-Rechenzentrum, statt einen Server in den eigenen Keller zu stellen.

Die Versicherung übernimmt

Die Versicherung ist eigentlich auch eine Form des Risikotransfers: Der Versicherer übernimmt zu klaren Bedingungen und planbaren Kosten einen Teil des finanziellen Risikos. Das ist aber längst nicht alles. Ein gutes Versicherungsunternehmen unterstützt seine Kunden auch beim Risikomanagement und steht im Schadenfall als versierter Partner mit Rat und Tat zur Seite – und zwar rasch und unkompliziert.
Dabei ist eines wichtig: Die Versicherungslösung muss auf den Kunden abgestimmt sein. Für einen kleinen Softwareentwickler kommen Versicherungen nur schon aus Kostengründen nicht in Frage, die für einen international aktiven Systemintegrator selbstverständlich sind. Ein seriöses Versicherungsunternehmen berücksichtigt die Verhältnisse des Kunden und die Art seiner Projekte, berät den Kunden sorgfältig und offeriert eine passende Lösung zu erschwinglichen Konditionen.


Bruno Schläfli ist Produktentwickler Vermögensschadenhaftpflicht bei AXA.

Aus der Praxis

Schadenfall 1
Die Hauser AG ist auf die ICT-Beratung von Arztpraxen spezialisiert und liefert Lösungsvorschläge. Umgesetzt werden die Projekte von lokalen Drittanbietern.
Die Röntgenpraxis Phönix suchte nach einer Ablösung für ihre in die Jahre gekommene IT-Infrastruktur. Die Hauser AG offerierte eine Lösung, die vom lokalen Dienstleister Anton Schreiber installiert wurde. Schreiber installierte zusätzlich eine Schnittstelle zum elektronischen Austausch von Röntgenbildern mit Spitälern. Dies funktionierte aber nicht richtig. Das System fiel regelmässig aus, Daten gingen verloren oder waren nicht vollständig lesbar.
Daraufhin liess Phönix die erst kürzlich installierte Anlage durch ein leistungsfähigeres System ersetzen und stellte die Mehrkosten der Hauser AG in Rechnung. Der Vorwurf: Hauser habe die Bedürfnisse nicht abgeklärt und eine untaugliche Infrastruktur empfohlen.
Eine Abklärung durch die AXA, bei der die Hauser AG versichert ist, ergab aber eine perfekt dokumentierte Bestandsaufnahme und Bedürfnisabklärung. Unter anderem war darin enthalten, dass aus Datenschutzgründen keine elektronische Übermittlung der Röntgenbilder erfolgen sollte. Der Mangel ergab sich also aus der nachträglich von Phönix verlangten Schnittstelle. Die Forderung wurde zurückgewiesen. Phönix führte trotzdem Klage gegen Hauser – aber das Gericht empfahl, die Klage zurückzuziehen.
Die Hauser AG verzichtete zugunsten eines Vergleichs auf eine Prozessentschädigung. AXA übernahm die Kosten für die Abwehr nicht berechtigter Forderungen und die Anwaltskosten für die Verteidigung der Hauser AG von immerhin 45’000 Franken.

Aus der Praxis

Schadenfall 2
Ein IT-Dienstleister, der bei der AXA versichert ist, entwickelte eine Lösung für einen Internet-Provider. Mit der Software sollten die Nutzungszeiten der Provider-Kunden erfasst und dem jeweiligen Tarif zugeordnet werden. Die Software ist aber fehlerhaft: Es wird nur der Zeitpunkt der Einwahl registriert, nicht aber die Dauer der Online-Session. Der Fehler wird erst bemerkt, als mehrere Kunden beim Provider nachfragen, weil ihre Rechnungen auffallend niedrig waren.
Wegen des Softwarefehlers kann der Provider die tatsächlich geschuldeten Beträge nicht mehr rekonstruieren und stellt gegenüber dem IT-Dienstleister einen Betrag von über 1 Mio. Franken in Rechnung. Die Nachforschungen der AXA zeigen indes, dass dem Provider Nutzungsgebühren, gestützt auf Erfahrungen der Vergangenheit, in Höhe von rund 750’000 Franken entgangen sind. Nebst der Schadenbearbeitung kam die AXA für die entgangenen Nutzungsgebühren auf.

Aus der Praxis

Schadenfall 3
Ein Finanzdienstleister liess von einer Werbeagentur auf verschiedenen Websites sogenannte Pop-ups schalten. Interessenten sollten so ihre Adresse eingeben, um weitere Informationen zu erhalten. Die eingegebenen Daten sollten direkt an den Finanzdienstleister weitergeleitet werden. Die Werbeagentur beauftragte einen bei der AXA versicherten Entwickler mit der Programmierung der Pop-ups.
Offenbar funktionierte die Datenweiterleitung aber nicht. Denn auch zwei Monate nach dem Aufschalten war noch kein einziger Datensatz beim Finanzdienstleister eingegangen. Das Problem: Der Entwickler hatte die Pop-ups vor der Live-Schaltung zwar ausgiebig getestet, aber nicht unter Live-Bedingungen. Als Fehler stellte sich ein zu viel eingegebenes «$»-Zeichen im Code heraus, so dass die Adressen nicht per E-Mail übermittelt werden konnten.
Der Finanzdienstleister entzog daraufhin der Werbeagentur das gesamte Budget in Höhe einer Million Franken. Die Agentur machte nun gegenüber dem Entwickler einen Schaden von 250’000 Franken wegen entgangenen Gewinns geltend. Mit Unterstützung durch AXA konnte der Schadenfall mit einem Vergleich über 100’000 Franken geschlossen werden.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER