CR 2022, 281 ff.

Nutzung von Cloud-Services im Unternehmen – Shared Responsibility zwischen Anbieter und Nutzer

Abstract

Die jährlichen Schäden durch Cyberangriffe in Deutschland sind in den Jahren 2015 bis 2021 von 51,2 Mrd. Euro auf 223,5 Mrd. Euro gestiegen. Ein Ende der Entwicklung ist nicht in Sicht und so erwartet die Versicherungswirtschaft vermehrt Haftungsfälle für Manger, die es unterlassen haben, angemessene technische und organisatorische IT-Sicherheitsmaßnahmen zu treffen. Die einschlägigen gesetzlichen Regelungen stellen klar, dass dies zu den unabweisbaren Compliance- und Bestandssicherungspflichten jeder Unternehmensleitung gehört.  

Der Beitrag stellt zunächst dar, woraus sich die Angemessenheit von IT-Sicherheitsmaßnahmen ergibt. Ausgehend von einem für jedes System festzustellenden Schutzbedarf sind auf der Basis pflichtgemäßen Ermessens (s.g. Business Judgement Rule) Maßnahmen festzulegen, die weder so viele Mittel binden, dass die unternehmerischen Ziele nicht erreicht werden können, andererseits jedoch ein ausreichendes Schutzniveau gewährleisten.

Es gilt, die richtige Balance zu finden.

Soweit Schäden versicherbar sind ist zu beachten, dass negative Presse und Cyberratings zunehmend Einfluss auf die Versicherbarkeit, die Finanzierungskosten und die Marktzutrittschancen eines Unternehmens haben.

Der sachgerechte Umgang mit Cyberrisiken bei der Auslagerung von Prozessen in die Cloud eines Anbieters erfordert, die Gefahrenquellen und die Möglichkeiten zur Mitigation in den einzelnen Komponenten der Cloud Services zu kennen. Bei genauerer Betrachtung ergeben sich, je nach Art der Nutzung (Saas, PaaS, laaS) unterschiedliche, technisch kontrollierbare Verantwortungsbereiche für die Vertragspartner (shared responsibility). Nach der sog. „Sphärentheorie“ des BGH folgt den so festgestellten Verantwortungsbereichen auch die rechtliche Verantwortung und damit die Haftung für bestehende oder entstehende Sicherheitslücken.

Der Beitrag setzt sich intensiv mit der Frage auseinander, ob „übliche“ Sicherheitslücken von der erwartbaren Beschaffenheit i.S.d. § 535 BGB bzw. einem mittleren Ausführungsstand i.S.d. § 243 Abs. 1 BGB, § 360 HGB umfasst sind.

In diesem Zusammenhang wird auch dargestellt, dass der Begriff des „jeweiligen und anwendbaren Stand der Technik“ entgegen weit verbreiteter Ansicht im konkreten Fall durchaus greifbar und justiziabel ist. Soweit festgestellt wird, dass der Anbieter über den gesamten Zeitraum der Vertragslaufzeit die Sicherheit nach dem Stand der Technik zu gewährleisten hat, wird besonders darauf hingewiesen, dass der Nutzer gerade in der Zeit zwischen dem Bekanntwerden einer neuen Angriffsmethode und der Lieferung eines Sicherheitspatches auf eigene Gefahr die Cloud-Anwendung nutzt. Solange es keinen Patch gibt, bleibt der bisherige Stand der Technik maßgeblich.

Ohne umfassende und klare vertragliche Vereinbarungen besteht erhebliche Rechtsunsicherheit in Bezug auf die angesprochenen Aspekte. Urteile oder rechtswissenschaftliche Auseinandersetzungen zur Haftung für die Sicherheit der Cloud bzw. in der Cloud gibt es neben diesem Beitrag wenige.

Ich danke Herrn PD Dr. Sarre für die schöne Zusammenarbeit: https://www.projective.de/de/index.htm