Rechtliche Vorsorge bei Cybervorfällen: Wenn Angreifer den Vertrag testen

Cyberangriffe sind längst kein Ausnahmefall mehr, sondern ein absehbares Unternehmensrisiko. Ransomware-Attacken oder andere Angriffe auf IT-Systeme und der Abfluss sensibler Daten haben unmittelbare rechtliche und wirtschaftliche Folgen. Sie betreffen nicht nur unternehmensinterne Prozesse, sondern stellen auch die bestehenden Vertragswerke auf die Probe.

So kann es etwa passieren, dass ein Software-as-a-Service-(SaaS)-Dienstleister die zugesagte Verfügbarkeit nicht mehr gewährleisten kann, dass ein IT-Provider seiner Unterstützungs- und Meldepflicht nicht nachkommt oder dass eine Cyberversicherung die Schadenregulierung verweigert, weil bestimmte vertragliche Anforderungen und Sorgfaltspflichten verletzt wurden. In all diesen Fällen zeigt sich, wie krisenfest Verträge tatsächlich ausgestaltet sind.

Wer auf solche Szenarien nicht vorbereitet ist, riskiert erhebliche Schäden und Kosten, für die gegebenenfalls weder Verursacher noch Versicherer aufkommen. Daher empfiehlt es sich, Verträge frühzeitig auf ihre Tauglichkeit im Ernstfall zu prüfen und gezielt abzusichern.

Verträge als Teil der Cyberabwehr

Cyberangriffe lassen sich kaum vollständig verhindern. Unternehmen können und müssen jedoch Vorkehrungen treffen, um im Krisenfall handlungsfähig zu bleiben. Neben technischen und organisatorischen Sicherheitsmaßnahmen gehört dazu auch die rechtliche Vorsorge – insbesondere durch eine geeignete Vertragsgestaltung und ein gutes Vertragsmanagement.

Verträge sollten daraufhin überprüft werden, ob sie Risiken im Zusammenhang mit Cyberangriffen sachgerecht abbilden. Insbesondere gilt es, zugesagte Leistungen, Unterstützungspflichten und Haftungsregelungen zu prüfen. So kann es etwa nachteilig sein, Risiken aus Cyberangriffen pauschal von der Haftung auszunehmen oder zu enge oder weite Haftungsgrenzen zu vereinbaren.

Ein häufiges Problem ist die Unmöglichkeit, vertraglich zugesicherte Leistungen während oder nach einem Angriff zu erbringen – etwa vereinbarte Verfügbarkeiten bei SaaS-Produkten zu gewährleisten. Dienstleisterkonstellationen werfen zudem Fragen zu gegenseitigen Unterstützungs- und Informationspflichten auf: Wer informiert wen, wann und welche Informationen müssen die Beteiligten bereitstellen? Die vertragliche Regelung dieser Pflichten ist oft unzureichend und beschränkt sich beispielsweise auf das für Auftragsverarbeitungsverträge erforderliche Mindestmaß.

Um Datenverluste oder andere Datenschutzvorfälle zu vermeiden beziehungsweise zu begrenzen, sollten Verträge konkrete Vorgaben zu Verschlüsselungs- und Backup-Maßnahmen, Zugriffsbeschränkungen sowie eindeutige Melde- und Unterstützungsleistungen enthalten. Letztere können Aufgaben von der Bereitstellung detaillierter Informationen bis hin zu technischen Supportleistungen umfassen.

Versicherungen, die Schäden aus Cyberangriffen abdecken sollen, enthalten darüber hinaus häufig bestimmte Pflichten, Verhaltensanforderungen (Obliegenheiten) und Ausschlussregelungen, die Unternehmen genau kennen und beachten müssen.

Daher sollten insbesondere:

• Hauptleistungspflichten klar und präzise geregelt sein,
• mögliche Verfügbarkeitseinschränkungen/Ausfallzeiten durch Cyberangriffe bei Verfügbarkeitsversprechen berücksichtigt werden,
• technische und organisatorische Maßnahmen implementiert und vertraglich festgehalten werden,
• Informations- und Unterstützungspflichten eindeutig beschrieben sein und
• Versicherungsbedingungen sorgfältig geprüft werden.

Damit werden Verträge zu einem elementaren Baustein der Cyberabwehr: Sie allein können Angriffe zwar nicht verhindern, können jedoch dabei unterstützen, deren Folgen kontrollierbarer zu machen und die Handlungsfähigkeit im Ernstfall zu sichern.

Typische Risikofelder und Vertragslücken

Viele Vertragswerke gehen von einem störungsfreien Betrieb aus und berücksichtigen primär wartungsbedingte Ausfallzeiten. Sie beachten jedoch nicht in ausreichendem Maße die Möglichkeit, dass Cyberangriffe erhebliche, potenziell existenzbedrohende Konsequenzen haben können.

Leistungsversprechen

Nach einem erfolgreichen Cyberangriff mit erheblichen Schäden entsteht häufig Streit darüber, was die Parteien eigentlich ursprünglich hätten tun müssen und ob dies möglicherweise den Erfolg des Cyberangriffs oder dessen schwere Konsequenzen hätte verhindern können. Deshalb sind aussagekräftige Regelungen ratsam, welche Leistungen die Parteien (unabhängig von einem Cyberangriff) erwarten können, um im Ernstfall Klarheit hierüber zu haben.

Verfügbarkeit

Auch Verfügbarkeitszusagen, beispielsweise im Rahmen von SaaS-Verträgen, die im Ernstfall eines Cyberangriffs nicht eingehalten werden können, führen mitunter dazu, dass durch die (zeitweise) Nichtverfügbarkeit von Daten oder Diensten erhebliche Schäden bei den Kunden entstehen, die möglicherweise ersetzt werden müssen. Daher ist es sinnvoll, hier mögliche Cyberangriffe bei der Kalkulation von Verfügbarkeiten zu berücksichtigen und bei Bedarf sachgerechte Sonderregelungen zu treffen.

Datenschutz

Cyberangriffe betreffen regelmäßig auch personenbezogene Daten, sodass Unternehmen auch datenschutzrechtliche Vorgaben beachten müssen. Neben den gesetzlichen Anforderungen der Datenschutzgrundverordnung (DSGVO) – wie der Pflicht zur rechtzeitigen Meldung von Datenschutzverletzungen an Aufsichtsbehörden, betroffene Personen und/oder Auftraggeber – bestehen auch vertragliche Risiken, die Standardklauseln in IT- oder SaaS-Verträgen oft nicht ausreichend abbilden.

Diese Problematiken stellen sich zwar auch außerhalb des Anwendungsbereichs des Datenschutzrechts, sind hier jedoch besonders relevant. Neben dem Datenschutzrecht kommen hier auch zahlreiche weitere Pflichten aus dem Cybersicherheitsrecht in Betracht, zum Beispiel NIS-2 und DORA.

Zu beachten sind in diesem Zusammenhang besonders:

• Meldepflichten: Das Datenschutzrecht ist insbesondere bei den gesetzten Fristen und der Mitteilung von Datenschutzvorfällen zwar konkret, Details in Verträgen bleiben jedoch im Zusammenhang mit diesen Pflichten oft unzureichend. Hier sollte vertraglich möglichst klar geregelt sein, wer wann wen auf welchem Wege informiert, welche Informationen hierbei im Einzelnen bereitzustellen sind und in welcher Detailtiefe dies zu erfolgen hat.
• Unterstützungspflichten: Auch die Frage, inwieweit ein von einem Cyberangriff betroffener Vertragspartner bei der Behebung und Folgenbeseitigung unterstützen muss, bedarf klarer Regelungen. Dies kann neben der Bereitstellung von Informationen/Zugriffsmöglichkeiten auch aktive Sicherungs- und Forensikmaßnahmen umfassen.
• Technische Maßnahmen: Vor allem Backups, Verschlüsselungsmaßnahmen und Zugriffsbeschränkungen sollten nicht nur umgesetzt, sondern auch vertraglich verankert sein.
• Verantwortlichkeiten: Verträge sollten datenschutzrechtliche Verantwortlichkeiten unmissverständlich abbilden und auch dafür sorgen, dass die nötigen Regelungen entlang der gesamten Kette von Auftragsverarbeitern funktionieren.

Haftung

Bei Cyberrisiken ist es entscheidend, die Haftung differenziert zu betrachten:

• Schadensarten: Bei der Verhandlung von Verträgen und insbesondere Haftungsklauseln sollten nicht nur unmittelbare Schäden berücksichtigt werden, sondern auch Folgeschäden von Cyberangriffen wie Betriebsunterbrechungen, entgangene Gewinne, Reputations- oder Drittschäden.
• Haftungshöchstgrenzen: Standardmäßige Limits erweisen sich häufig als nicht sachgerecht, da potenzielle Schäden schnell die vertraglich vereinbarte Summe um ein Vielfaches übersteigen können. Risikoangepasste Regelungen sind hier sinnvoll.
• Pflichten und Obliegenheiten: Der Umfang der Haftung kann davon abhängen, inwieweit der Vertragspartner vertraglich geregelte Pflichten und Obliegenheiten, etwa zur Implementierung von Sicherheitsmaßnahmen oder zur Erfüllung von Meldepflichten, einhält.
• Schadensminderung: Auch die erwartbaren Maßnahmen zur Schadensminderung sollten festgehalten werden.

Wichtig ist, dass bei Vertragsabschluss die Realitäten eines Cyberangriffs berücksichtigt und alle Pflichten und Obliegenheiten in diesem Licht sorgsam geprüft und beachtet werden, da nur so sachgerechte Regelungen getroffen werden können. Im Ernstfall kommt es vor allem darauf an, dass die Vertragsparteien ihre Pflichten kennen und befolgen, um Vertragsverletzungen und damit mögliche weitere Schäden zu vermeiden.

Cyberversicherung

Der Abschluss einer Cyberversicherung kann aufgrund der finanziellen Schäden durch einen Cyberangriff – darunter mögliche Umsatzeinbußen, Kosten für die Wiederherstellung von Systemen, Schadensersatzansprüche von Geschäftspartnern und Kunden sowie weitere Schäden – sinnvoll sein. Sie dient jedoch nur als Ergänzung und nicht als Ersatz sachgerechter technischer und organisatorischer Maßnahmen und entsprechender vertraglicher Regelungen.

Je nach Art der Versicherung kann eine Cyberversicherung verschiedene Felder abdecken, beispielsweise Kosten für

• die Deckung von Ausfällen, Eigenschäden und Haftpflichtschäden
• den Wiederaufbau der IT-Infrastruktur,
• Rechtsberatung und Forensik,
• Ansprüche Dritter.

Zu beachten ist dabei, dass es mitunter Ausnahmeregelungen und Ausschlüsse gibt – sowohl hinsichtlich bestimmter Leistungsaspekte als auch der Höhe nach. Die Haftungssumme ist in der Regel auf einen festgelegten Betrag begrenzt.

Sowohl bei Vertragsabschluss als auch im Ernstfall müssen alle Pflichten und Obliegenheiten sorgsam geprüft und beachtet werden, da Verstöße zum teilweisen oder vollständigen Verlust des Versicherungsschutzes führen können.

Dazu gehören insbesondere:

• wahrheitsgemäße Angaben und sachgerechte Maßnahmen,
• die rechtzeitige Information und Einbindung bei Schadensfällen,
• eventuell auch die Bedingung, dass die Versicherung bei Abhilfe- und Informationsmaßnahmen ein Mitspracherecht bekommt.

Einkaufs- und Vertragsmanagement: Risiken frühzeitig berücksichtigen

Neben der Prüfung und Anpassung von Verträgen sollten auch die Prozesse im Einkaufs- und Vertragsmanagement im eigenen Unternehmen geprüft werden. Ziel ist, dass relevante Aspekte im Zusammenhang mit Cyberangriffen und anderen sicherheits- oder datenschutzrelevanten Vorfällen ausreichend beachtet und abgebildet werden.

Bei der Auswahl und Beauftragung externer Dienstleister helfen Checklisten, Mindestanforderungen abzuprüfen. Außerdem bieten sich Standardklauseln oder Ergänzungsvereinbarungen an, um Risiken aus Cyberangriffen zu begegnen. Auch sollte ein klares Mapping von Pflichten und Obliegenheiten erfolgen, damit im Ernstfall nicht umfangreiche Vertragsdokumente geprüft werden müssen – deren Verfügbarkeit schlimmstenfalls sogar stark eingeschränkt sein kann. Unternehmen sollten daher eine übersichtliche Zusammenfassung der Regelungen über verschiedene Verträge hinweg erstellen, um schnell handlungsfähig zu sein.

Fazit: Vertragswerke fortlaufend anpassen

Wichtigste Maßnahmen gegen Cyberangriffe sind und bleiben technische und organisatorische Sicherheitsmaßnahmen sowie die Sensibilisierung von Beschäftigten. Parallel sollten Unternehmen jedoch unbedingt bestehende und neue Verträge daraufhin überprüfen, ob Pflichten und Obliegenheiten (insbesondere im Ernstfall) klar geregelt sind und ob allen Risiken, die mit Cyberangriffen einhergehen können, hinreichend Rechnung getragen wurde.

Dies sollte Hand in Hand gehen mit einer Betrachtung der entsprechenden Prozesse zur Erkennung und Behandlung von Cyberangriffen und anderen Vorfällen. Zudem müssen besonders etwaige Melde- und Informationspflichten gemäß der DSGVO eingehalten werden können.

Unternehmen sollten ihre Pflichten und Obliegenheiten kennen. Es lohnt sich also, klare Vereinbarungen zu treffen, einen Blick in (bestehende) Verträge zu werfen und diese speziell auf mögliche Risiken aus dem Kontext von Cyberangriffen zu überprüfen und bei Bedarf entsprechende (neue) Regelungen zu treffen.