Traditionelle Unternehmen sind meist keine IT-Dienstleister oder Hosting-Provider. Durch die Digitalisierung und zunehmenden Angebote an digitalen Services oder Produkten können sie jedoch unbewusst zu solchen Anbietern werden. Dieses Szenario tritt oft bei Transaktionen ein, wenn Teile des Unternehmens oder Tochtergesellschaften verkauft werden und die IT-Infrastruktur temporär zur Verfügung gestellt wird. Daraus ergeben sich gewisse Implikationen.

Partner-Inhalte
 
 
 
 
 
 

Transaktionen sind generell komplex. Bei einem Verkauf mit fortbestehender IT-Bereitstellung entsteht ein hochkomplexes Zusammenspiel aus verschiedenen Rechtsgebieten, Haftungsregeln, Datenschutzvorgaben, Lizenzvereinbarungen und operativer Trennung, bei dem Unschärfen schnell zu nicht kalkulierten Risiken führen können.

Über die Autoren

Anna Lara Weigelt ist Fachspezialistin Special Risks bei Kessler & Co AG, einem führenden Schweizer Unternehmen für ganzheitliche Risiko-, Versicherungs- und Vorsorgeberatung.

Carlos Casián, Fachspezialist Special Risks bei Kessler & Co AG.

Haftungsrisiken bei IT-Ausfällen

Typischerweise regelt ein Transition Service Agreement (TSA) die IT-Bereitstellung zwischen Käufer und Verkäufer. Darin festgelegt sind Leistungsbeschreibung, Service Level Agreements, Kosten, Haftungsgrenzen, Haftungsausschlüsse, Daten- und Sicherheitsanforderungen, Übergangs- und Exit-Vereinbarungen, Kündigungsmodalitäten sowie Eskalationsprozesse. Oft wird jedoch übersehen, dass der Verkäufer damit faktisch die Rolle eines professionellen IT-Dienstleisters übernimmt und neue Haftungsrisiken entstehen, die nicht geprüft oder korrekt adressiert wurden. Der Einwand, man stelle «nur» die eigenen Systeme und Dienstleistungen weiterhin zur Verfügung, die zuvor auch intern erbracht wurden, lässt sich so nicht halten. 

Fällt das IT-System aus, etwa durch einen Cyberangriff, kann der Verkäufer seine im TSA zugesagte Leistung nicht mehr erbringen. Für den Käufer ist dies kein internes IT-Problem, sondern ein Leistungsversagen seines IT-Providers. Schadenersatzforderungen oder Vertragsstrafen können die Folge sein und den Verkäufer in seiner Rolle als IT-Dienstleister treffen.

Der Umgang mit diesem Risiko sollte früh im Transaktionsprozess erfolgen. Es empfiehlt sich eine saubere Risikobewertung und die Überprüfung der Versicherungsstruktur in einer interdisziplinären Runde mit Legal-, IT-, M&A-Spezialisten sowie Broker/Versicherungsberater. Andernfalls können Deckungslücken entstehen, die ein nicht einkalkuliertes, finanzielles Risiko für den Verkäufer darstellen. Besonders Cyber- und Haftpflicht-Versicherungen sollten geprüft werden, da es im Kontext von Cybervorfällen und IT-Dienstleistungen Abgrenzungsthematiken gibt, die adressiert werden müssen. 

Deckungslücken im TSA-Szenario

Bei der Cyberversicherung, die generell die finanziellen Folgen eines Cyberangriffs auf das versicherte IT-System sowie Ansprüche Dritter wegen Datenschutz- und Vertraulichkeitsverletzungen deckt, ergeben sich mindestens zwei Herausforderungen. Erstens: Die Cyberversicherung des Verkäufers schützt das finanzielle Interesse des Versicherungsnehmers. Entsteht durch einen Cyberangriff ein Schaden bei der abgespaltenen Gesellschaft, stimmt diese Vermögenseinbusse nicht zwingend mit dem finanziellen Interesse des Verkäufers überein.

Zweitens stellt sich aus Sicht einer allfälligen Cyberversicherung des Käufers die Frage, ob das vom Verkäufer bereitgestellte IT-System tatsächlich als versichertes IT-System gilt und mögliche Schäden darüber gedeckt sind. Dies ist entsprechend abzuklären.

HZ Insurance WEEKLY REVIEW

Zum Start in das Wochenende in der Mailbox – exklusiv für Abonnentinnen und Abonnenten. Ein kompakter Überblick über die relevantesten Beiträge, Analysen und Hintergrundberichte der Woche. Ideal, wenn Effizienz und Tempo Vorrang haben, Sie aber gleichwohl nichts verpassen möchten.

Was passiert, wenn eine Pflichtverletzung des Verkäufers zu einem Schaden beim Käufer führt? Handelt es sich um einen reinen Vermögensschaden ohne Personen- oder Sachschaden, ist die Berufshaftpflicht-Versicherung zu prüfen. Diese wird jedoch vorwiegend von Unternehmen abgeschlossen, die Dienstleistungen anbieten.

Viele Unternehmen in der Rolle eines temporären IT-Providers verfügen allerdings in der Regel nicht über eine spezifische Berufshaftpflicht-Versicherung. Falls doch, gilt es zu prüfen, ob sie im vorliegenden IT-Kontext greift, denn Einschränkungen hinsichtlich Cybervorfällen oder Ausschlüssen bei Technologieprodukten sind keine Seltenheit.

Die Komplexität dieses vermeintlichen Nebenrisikos bei Transaktionen zeigt sich an mehreren Stellen: Erstens beim Erkennen, dass das Unternehmen zumindest temporär zu einem IT-Dienstleister wird. Zweitens bei der klaren Festlegung der Rechte und Pflichten im Rahmen eines TSA. Und drittens bei den Implikationen für den Versicherungsschutz und dem daraus resultierenden Handlungsbedarf.

Eine frühzeitige Analyse und gezielte Absicherung helfen somit Unternehmen, Haftungsrisiken im Transaktionsprozess zu erkennen und zu minimieren.

Dieser Beitrag ist Teil des am 12. März 2026 erschienenen HZ-Insurance-Print-Specials «Cyber Risk».