Sind Ihre Verträge auf Cyberangriffe vorbereitet?

5 min

Neben technischen Aspekten wie der Implementierung geeigneter technischer und organisatorischer Maßnahmen sollten Verträge auf einen möglichen Cyberangriff vorbereitet und entsprechende Regelungen getroffen werden. Dabei geht es um Verträge mit Geschäftspartnern, Kunden und Versicherungen. Wir zeigen Ihnen, worauf es ankommt.

Unverbindliches Erstgespräch vereinbaren

Inhalt

Verträge und Haftung gegenüber Geschäftspartnern und Kunden

Grundsätzlich sollten Verträge daraufhin überprüft werden, ob diese sachgerechte Regelungen treffen. Insbesondere sollten auch mögliche Risiken im Zusammenhang mit Cyberangriffen behandelt und bspw. bei der Festlegung etwaiger Haftungsgrenzen berücksichtigt werden. So kann es bspw. stark nachteilig für einen Vertragspartner sein, die Folgen von Cyberangriffen weitgehend aus der Haftung auszunehmen oder die Haftung der Höhe nach zu stark einzugrenzen.

Ein regelmäßiger Streitpunkt ist auch die (zeitweise) Unmöglichkeit für das betroffene Unternehmen, während bzw. im Nachgang des Angriffs vertraglich zugesicherte Leistungen zu erbringen – z. B. zugesicherte Verfügbarkeiten bei einem SaaS-Produkt zu gewährleisten.

Gerade in Dienstleisterkonstellationen kommen oft Fragen nach gegenseitigen Unterstützungspflichten auf, insbesondere wer wen im Ernstfall in welchem Umfang zu informieren hat und welche Informationen er binnen welcher Fristen bereitstellen muss. Auch der Umfang weiterer Unterstützungsleistungen im Rahmen der Behebung eines Angriffs und seiner Folgen ist oft unzureichend geregelt.

Deshalb sollten insbesondere:

  • gegenseitige Hauptleistungspflichten klar und präzise geregelt sein,
  • mögliche Downtimes durch Cyberangriffe bei der Berechnung von Verfügbarkeitsversprechen berücksichtigt werden,
  • sachgerechte technische und organisatorische Maßnahmen implementiert und vertraglich vereinbart sein und
  • Informations- und Unterstützungspflichten möglichst klar geregelt sein.

Ein weiterer Aspekt sind mögliche Datenverluste und Datenschutzvorfälle im Rahmen von Cyberattacken – etwa wenn Dienstleister Daten ihrer Kunden in ihren Systemen verarbeiten oder über Schnittstellen darauf Zugriff haben.

Für diesen Fall sollten Sie:

  • Verschlüsselungs- und Backup-Maßnahmen sowie sachgerechte Zugriffsbeschränkungen vertraglich regeln,
  • Melde- und Unterstützungspflichten festhalten.

Letztere sollten konkrete Unterstützungsleistungen enthalten, damit im Ernstfall beide Parteien wissen, was sie leisten müssen bzw. was sie einfordern können. Diese können je nach Art der Kooperation sehr unterschiedlich ausgestaltet sein und Aufgaben von der kurzfristigen Bereitstellung detaillierter Informationen zu Ursache, Hergang und Ausmaß eines Vorfalls bis hin zu konkreten technischen Supportleistungen umfassen.

Newsletter

Für Ihre Inbox

Wichtiges zu Datenschutz, KI, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Bitte addieren Sie 6 und 3.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Cyberversicherungen

Der Abschluss einer Cyberversicherung ist aufgrund des entstehenden finanziellen Schadens durch einen Cyberangriff im Hinblick auf mögliche Umsatzeinbußen, die Wiederherstellung von Systemen, Schadensersatzansprüche von Geschäftspartnern und Kunden sowie weitere Schäden zuweilen ratsam.

Je nach Art der Versicherung kann eine Cyberversicherung verschiedene Felder abdecken, wie z. B.:

  • die Deckung von Ausfällen, Eigenschäden und Haftpflichtschäden,
  • den Wiederaufbau der IT-Infrastruktur,
  • Rechtsberatung und Forensik,
  • Ansprüche Dritter.

Zu beachten ist dabei, dass es mitunter Ausnahmeregelungen und Ausschlüsse gibt – sowohl hinsichtlich bestimmter Leistungsaspekte als auch der Höhe nach. Die Haftungssumme ist regelmäßig auf einen gewissen Betrag begrenzt.

Wichtig ist, dass hier sowohl bei Vertragsabschluss als auch im Ernstfall alle Pflichten und Obliegenheiten sorgsam geprüft und beachtet werden, da Verstöße dazu führen können, dass der Versicherungsschutz teilweise oder vollständig entfällt.

Dazu gehören insbesondere:

  • wahrheitsgemäße Angaben und sachgerechte Maßnahmen,
  • die rechtzeitige Information und Einbindung bei Schadensfällen,
  • ggf. auch die Bedingung, dass die Versicherung bei Abhilfe- und Informationsmaßnahmen ein Mitspracherecht bekommt.

Einkaufs- und Vertragsmanagement

Neben der Prüfung und ggf. Anpassung von Verträgen sollten auch Einkaufs- und Vertragsmanagement-Prozesse geprüft und ggf. angepasst werden, um sicherzustellen, dass relevante Punkte mit Bezug zu Cyberangriffen und anderen sicherheits- bzw. datenschutzrelevanten Vorfällen hinreichende Beachtung finden und ggf. Standardklauseln vereinbart werden.

So sollte sichergestellt sein, dass Risiken möglicher Cyberangriffe bereits bei der Auswahl und Beauftragung externer Dienstleister berücksichtigt und geprüft werden und hier sachgerechte Regelungen getroffen werden. Auch sollte ein klares Mapping von Pflichten und Obliegenheiten erfolgen, die im Falle eines Cyberangriffs von den Vertragsparteien zu berücksichtigen sind, um nicht im Ernstfall umfangreiche Vertragsdokumentation prüfen zu müssen (deren Verfügbarkeit ggf. auch stark eingeschränkt ist).

Hier bietet es sich an, eine übersichtliche Zusammenfassung der Regelungen über verschiedene Verträge hinweg anzulegen.

Fazit

Wichtigste Maßnahmen gegen Cyberangriffe sind und bleiben technische und organisatorische Sicherheitsmaßnahmen sowie die Sensibilisierung von Beschäftigten. Parallel sollten jedoch unbedingt bestehende und neue Verträge daraufhin überprüft werden, ob Pflichten und Obliegenheiten – insbesondere im Ernstfall – klar geregelt sind und ob allen Risiken, die mit Cyberangriffen einhergehen können, hinreichend Rechnung getragen wurde.

Dies sollte Hand in Hand gehen mit einer Betrachtung der entsprechenden Prozesse zur Erkennung und Behandlung von Cyberangriffen und anderen Vorfällen. Zudem müssen insbesondere etwaige Melde- und Informationspflichten gemäß der DSGVO eingehalten werden können.

Unternehmen sollten ihre Pflichten und Obliegenheiten kennen. Es lohnt sich also, klare Vereinbarungen zu treffen, einen Blick in (bestehende) Verträge zu werfen und diese speziell auf mögliche Risiken aus dem Kontext von Cyberangriffen zu überprüfen und bei Bedarf entsprechende (neue) Regelungen zu treffen.

Unsere Leistungen

Als spezialisierte Anwaltskanzlei unterstützen wir Sie umfassend bei der vertraglichen Vorbereitung auf Cyberangriffe. Unsere Leistungen umfassen insbesondere:

  • Vertragsprüfung: Analyse bestehender Verträge im Hinblick auf Sicherheits-, Datenschutz- und Haftungsregelungen,
  • Vertragsgestaltung: Erstellung maßgeschneiderter Vertragsklauseln zur Absicherung gegen Cyberrisiken,
  • Verhandlung und Anpassung: Unterstützung bei der Nachverhandlung mit Geschäftspartnern und Dienstleistern,
  • Einbindung von TOM und Meldepflichten: Juristische Absicherung technischer Maßnahmen und interner Prozesse,
  • Begleitung beim Abschluss von Cyberversicherungen: Rechtliche Prüfung und Beratung zu Versicherungsbedingungen, Pflichten und Ausschlüssen.

Sprechen Sie uns an – wir beraten Sie praxisnah, individuell und mit einem klaren Fokus auf rechtssichere Lösungen im digitalen Zeitalter.

Vereinbaren Sie jetzt ein unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Inhalt

Ihre Ansprechpartner:innen

Raphael Jünemann

Rechtsanwalt, Senior Associate Berlin

Dr. Jan Scharfenberg, LL.M. (Stellenbosch)

Rechtsanwalt, Counsel Berlin