Vertragsgestaltung bei IT-Sicherheitsleistung

IT-Sicherheitsdienstleistung: Die IT-Sicherheit ist heute – zu Recht – das alles beherrschende Thema und spielte sogar weiterhin eine immer noch gesteigerte Rolle im Alltag. Ein wenig noch aus dem Fokus geraten ist die Frage, wie damit umzugehen ist, wenn Unternehmen externe Dienstleister zur Absicherung ihrer Systeme engagieren.

Dieser Beitrag gibt einen verständlichen und abgekürzten Überblick darüber, was bei der Vertragsgestaltung für eine IT-Sicherheitsleistung berücksichtigt werden sollte, um beide Parteien – Anbieter und Kunde – abzusichern.

IT-Sicherheit als Dienstleistung?

Jetzt, da IT-Sicherheit nicht nur in aller Munde ist, sondern auch zunehmend Geld ausgegeben wird, entstehen natürlich auch zahlreiche Angebote. Doch nur weil man Technik kann (oder glaubt Technik zu können) ist so ein Angebot auch ein Selbstläufer.

ITler sehen gerne nur die technische Seite, juristische Fragen werden als nerviges Beiwerk abgetan. Wenn, dann soll der -Vertrag mit wenigen Zeilen Umfang reichen, am besten kostenfrei aus dem Internet kopiert. Und während man in der IT das Thema noch halbwegs präsent auf dem Schirm hat, gehen dann die wirklich wichtigen Fragen, allen voran die der eigenen Pflichten und Haftung, vollständig unter.

Hier geht es nun alleine um einen Vertrag über Leistungen für IT-Sicherheitsberatung und Einrichtung entsprechender Produkte („IT-Sicherheitsdienstleistung“). Zum Themenbereich des Penetrationstest-Vertrags gibt es im Blog einen eigenen Beitrag.

Vertragliche Fragen bei IT-Sicherheitsleistung

Ohne dass man ein Muster zu einem Vertrag bei einer IT-Sicherheitsdienstleistung vorgibt und auch wenn klar ist, dass der Einzelfall immer eine Rolle spielt, so gibt es dann doch einige allgemeine Hinweise, die mitunter auch recht trivial wirken können.

Dabei ist der Bereich der IT-Sicherheit immer mit einer Beratung verbunden, auch wenn man (vermeintlich) nur Produkte verkauft – denn der Verkauf von Produkten kann (vorvertragliche) Beratungspflichten auslösen. Spätestens aber, wenn nicht nur der schlichte Verkauf, sondern auch die Installation bzw. Integration in ein konkretes Umfeld vereinbart wird, wird es kompliziert. Dabei muss dann auch bedacht werden, dass verkaufte Hardware nicht nur passen muss, sondern auch längerfristig genutzt werden kann, die bestehende Rechtsprechung zur nicht vorhandenen Hinweispflicht auf bestehende Sicherheitslücken ist in diesem Szenario nicht anwendbar.

Klare Definition des Leistungsumfangs

Die vom IT-Sicherheitsdienstleister zu erbringenden Leistungen müssen im Vertrag detailliert beschrieben werden. Es ist wichtig, dass die Beschreibung der IT-Sicherheitsmaßnahmen wie -Konfiguration, Monitoring, Support und Wartung genau definiert wird. Dazu gehören auch weiterführende Dienstleistungen wie Deep Packet Inspection, Stateful Packet Inspection und das Monitoring der Netzwerksicherheit. Eine detaillierte Leistungsbeschreibung hilft, spätere Unstimmigkeiten zu vermeiden und stellt sicher, dass die erbrachten Leistungen den Erwartungen entsprechen. Gleichzeitig wird hier der Grundstein für die Frage gelegt, welche Art von Vertrag am Ende abgeschlossen werden soll.

Festlegung von Qualitäts- und Sicherheitsstandards

Es wird dringend empfohlen, spezifische Sicherheitsstandards und Qualitätsanforderungen zu vereinbaren, die während der Vertragslaufzeit eingehalten werden müssen. Dabei können natürlich bestimmte Zertifizierungen oder Standards wie ISO/IEC 27001 als Referenz dienen. Darüber hinaus sollten regelmäßige Überprüfungen und Audits durchgeführt werden, um die Einhaltung dieser Standards zu gewährleisten. Aus meiner Sicht werden die abstrakten Vorgaben des § 30 NIS2-Umsetzungsgesetz eine absolute Richtschnur bieten, an der man sich orientieren sollte.

Mitwirkungspflichten und Verantwortlichkeiten

Der Auftraggeber hat in der Regel bestimmte Mitwirkungspflichten zu erfüllen, damit der Dienstleister seine Aufgaben effektiv erfüllen kann. Dazu gehört die rechtzeitige Bereitstellung der notwendigen Informationen und Infrastrukturen. Gleichzeitig muss klar geregelt sein, welche Maßnahmen der Dienstleister bei Sicherheitsvorfällen ergreift und welche Schritte zur Problembehebung unternommen werden. Allen Beteiligten muss klar sein, dass eine mangelnde Mitwirkung nicht nur im Rahmen des Vertrages eine Rolle spielt, sondern auch zu einem Mitverschulden des Kunden bei einem Sicherheitsvorfall führen kann, mit der Folge, dass Schadenersatzzahlungen im Innenverhältnis anteilig zu übernehmen sind.

Haftung und Gewährleistung

Die Haftung darf sich nicht auf die eigentliche Leistung beschränken! Wird ein IT-Sicherheitspaket angeboten, das mangelhaft ist und letztlich kausal für einen Sicherheitsvorfall (mit-)verantwortlich ist, dann schlägt die Haftung in alle Richtungen aus. In einem Vertrag über IT-Sicherheitsdienstleistungen sollte genau festgelegt werden, in welchem Umfang der Anbieter für Schäden haftet, die durch Sicherheitslücken oder andere Serviceprobleme entstehen. Dabei ist darauf zu achten, dass eine klare Abgrenzung zwischen geschuldeten und nicht mehr geschuldeten Leistungen erfolgt, damit nicht unbemerkt Verpflichtungen entstehen, die im Falle eines Sicherheitsvorfalles zu einer Haftung führen können.

Häufig wird die Haftung in Allgemeinen Geschäftsbedingungen auf Vorsatz und grobe Fahrlässigkeit beschränkt. Auch für die Freiheit von Malware und anderen schädlichen Programmen in den erbrachten Dienstleistungen sollten konkrete Zusicherungen gemacht werden. Bitte beachten Sie zum Thema Haftung auch die ausführlichen Hinweise weiter unten.

Vertragslaufzeit und Kündigungsrechte

Die Vertragsdauer sollte klar definiert sein, mit Angaben zu Beginn und Ende sowie zu den Bedingungen, unter denen der Vertrag verlängert oder gekündigt werden kann. Die Regelungen zu ordentlichen und außerordentlichen Kündigungsrechten müssen explizit sein, um beiden Parteien Klarheit über ihre Optionen zu geben.

Datenschutz und Vertraulichkeit

Da IT-Sicherheitsdienstleister häufig Zugang zu sensiblen Daten haben, müssen Datenschutzvereinbarungen und Vertraulichkeitspflichten ein integraler Bestandteil des Vertrages sein. Die Einhaltung der und anderer relevanter Datenschutzgesetze ist hierbei unerlässlich.

Achtung: Haftung!

ITler müssen lernen, über das Thema Haftung nachzudenken – in anderem Szenario als bisher: Die Beraterhaftung hat zwar einerseits hohe Hürden; andererseits kann sie unheimlich um sich greifend sein. Dabei bietet gerade die Cybersecurity das Risiko, dass sich ein vermeintlich kleiner Fehler unheimlich schnell „weiterfrisst“ und zu massiven Schäden führt.

Dabei ist schon der erste Schritt entscheidend: Es ist denkbar, dass ein Vertrag über eine IT-Sicherheitsdienstleistung selbst dann als eingestuft wird, wenn man ihn ausdrücklich als Dienstleistungsvertrag bezeichnet und auf Basis von Zeiten abrechnet. Letztlich wird man im Einzelfall prüfen müssen, ob ein Geschäftsbesorgungsvertrag, Werkvertrag, Dienstvertrag oder ein gemischttypischer Vertrag vorliegt.

Doch es geht noch weiter: Mit der ausufernden Rechtsprechung wird man im Regelfall einen (Beratungs-)Vertrag mit Schutzwirkung zu Gunsten Dritter annehmen müssen (dazu nur BGH, IX ZR 56/22; OLG Düsseldorf, I-2 U 78/13). Wenn man also nur einen Vorstand berät, kann sich gleichwohl daraus eine Pflicht gegenüber der gesamten Gesellschaft ergeben.

IT-Sicherheitsberatung und Haftung

IT-Sicherheitsdienstleistung: Wenn der Ratschlag teuer wird …

IT-Berater sind dafür verantwortlich, dass ihre IT-Sicherheitsdienstleistung den vertraglichen Vereinbarungen und den allgemeinen fachlichen Standards entspricht. Verstößt der Berater gegen diese Pflichten, kann er haftbar gemacht werden, insbesondere wenn dadurch Schäden entstehen. Das bedeutet zunächst: IT-Berater, die im Rahmen eines Dienst- oder Werkvertrages tätig werden, haben die vertraglich vereinbarten Leistungen sorgfältig und nach den anerkannten fachlichen Standards zu erbringen.

IT-Sicherheitsrecht & Sicherheitsvorfall

Wir bieten juristische Beratung bei einem Sicherheitsvorfall sowie im IT-Sicherheitsrecht: rund um Verträge, Haftung und wird Hilfe in der Cybersecurity von jemandem geboten, der es kann – IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!

Ein IT-Sicherheitsberatungsvertrag wird sich – im Übrigen analog zum Unternehmensberatungsvertrag (dazu Müller-Feldhammer in NJW 2008, 1777) – regelmäßig als gemischter Werk-/Dienstvertrag darstellen. Er gliedert sich rechtlich in eine vorbereitende Analysephase und eine anschließende Umsetzungsphase. Eine Schlechtleistung, z.B. eine fehlerhafte oder unzureichende Beratung, die zu einem Schaden beim Auftraggeber führt, kann Schadensersatzansprüche nach §§ 280, 281 BGB auslösen. Neben diese vertragliche Haftung kann auch eine deliktische Haftung nach § 823 BGB treten, wenn durch die fehlerhafte Beratung Rechtsgüter des Auftraggebers wie sein Eigentum oder sein Vermögen verletzt werden.

Von besonderer Relevanz dürfte die Haftung für die Verletzung von Kardinalpflichten sein: Kardinalpflichten sind wesentliche Vertragspflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Vertragspartner regelmäßig vertraut und vertrauen darf. Die Verletzung solcher Pflichten kann selbst dann zu einer Haftung führen, wenn im Vertrag Haftungsbeschränkungen vereinbart wurden.

Gleich ob man mehr werkvertragliche Pflichten annimmt (dann kommt es auf die Beschaffenheit an) oder im Schwerpunkt eine Dienstleistung annimmt (dann landet man auf kurz oder lang beim §280 I BGB), die Vorgaben des NIS2-Umsetzungsgesetzes werden eine erhebliche Rolle spielen.

Speziell §30 II des Gesetzes wird die Maßgabe sein, an der sich eine IT-Sicherheitsberatung messen lassen muss; hinzu kommen Anforderungen an Zertifikate bei eingesetzter Hardware, speziell §30 VI ist zu beachten, mit dem (besonders) wichtige Einrichtungen durch Rechtsverordnung nach § 58 III bestimmte IKT-Produkte, IKT-Dienste und IKT-Prozesse nur verwenden dürfen, wenn diese über eine Cybersicherheitszertifizierung gemäß europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881 verfügen. Dabei wird gelten, dass eine mangelhafte (Beratungs-)Leistung in diesem Bereich zum Schadensersatz auch hinsichtlich im Nachgang folgender Sicherheitsvorfälle führt. Der Streit wird insoweit schon jetzt absehbar seltener zu führen sein über das „Ob“ der Haftung als vielmehr über das „wie viel“ der Haftung. Betroffene Unternehmen werden sich mit eigenem Mitverschulden beim Zustandekommen des Sicherheitsvorfalls (§254 BGB) ebenso auseinandersetzen müssen, wie mit der beweisrechtlichen Problematik des Nachweises eines Schadens der Höhe nach.

Hinweis: In der Praxis versuchen IT-Berater häufig, ihre Haftung durch allgemeine Geschäftsbedingungen (AGB) zu beschränken. Solche Haftungsbeschränkungen sind jedoch nur innerhalb der gesetzlichen Grenzen zulässig. Unzulässig ist etwa der Ausschluss der Haftung für Vorsatz, grobe Fahrlässigkeit oder die Verletzung von Kardinalpflichten.

IT-Sicherheitsdienstleistung - Haftung und Vertragsgestaltung bei IT-Sicherheitsleistungen; Rechtsanwalt und IT-Fachanwalt Ferner zur IT-Sicherheitsdienstleistung

Eine IT-Sicherheitsdienstleistung ist anspruchsvoll und kann ruinös sein, wenn am Ende die Haftung für ein erhebliches Datenleck im Raum steht!


Vorsicht bei IT-Sicherheitsleistung

IT-Sicherheit ist kein rein technischer, sondern ein juristisch-technischer Begriff: Es ist absehbar, dass hier ein riesiger Markt entsteht, und jeder will ein Stück vom Kuchen abhaben. Doch wer als IT-Berater mit IT-Security Geld verdienen will, hat einiges zu tun. Und muss die Risiken kennen. Wer dabei zu kleinteilig denkt, läuft offenen Auges in ein unüberschaubares Risiko: IT-Sicherheit ist allem voran ein konzeptionelles Projekt, was automatisch starke Begrenzungen geschuldeter Leistungen erschwert.

Das Haftungsrisiko ist nicht von der Hand zu weisen und enorm. Wer sich als Berater nicht durch eine geeignete Rechtsform und Haftpflichtversicherung absichert, lebt nicht nur riskant, sondern betreibt betriebswirtschaftlichen Irrsinn.

Durch die direkte Haftung von Geschäftsführern für Sicherheitsvorfälle sind Regressforderungen bereits vorprogrammiert und werden zwangsweise durchgesetzt. Sei es durch den oder dessen D&O-Versicherung.

Die Gestaltung eines umfassenden Vertrages für IT-Sicherheitsdienstleistungen erfordert daher die sorgfältige Berücksichtigung verschiedener rechtlicher und technischer Aspekte. Nur durch präzise vertragliche Regelungen können Risiken minimiert und eine effektive Zusammenarbeit zwischen Auftraggeber und Dienstleister gewährleistet werden. Ein gut strukturierter Vertrag ist ein wesentlicher Bestandteil einer erfolgreichen Sicherheitsstrategie in der digitalen Welt.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.