Alle scheinen sich einig: die IT-Sicherheitslage ist schlechter denn je. Die IT-Sicherheitsforschung, IT-Sicherheits- und Datenschutzaufsichtsbehörden, Anwender und erst recht die Anbieter von IT-Sicherheitslösungen sehen das. Und kennen die Gründe wie komplexer werdende Angriffe, wachsende technische Möglichkeiten, einfacherer Zugang zu destruktiven Werkzeugen, hybride Kriegsführung, organisierte Kriminalität und auch Fachkräftemangel. Mehr für IT-Sicherheit unternehmen zu müssen, ist ebenfalls Konsens. Unternehmen und Verwaltung bemühen sich vermehrt um bessere IT-Sicherheit.
Wenn IT-Sicherheit verhandelt und beauftragt wird, wenn es um IT-Sicherheitsvereinbarungen geht, gibt es jedoch keine Einigkeit. Nicht einmal ein Problembewusstsein. Verträge können sicherstellen, dass ein Auftraggeber eine konkrete Leistung mit einer bestimmten Qualität vom Auftragnehmer verlangen kann, die Leistungen prüfbar und die Kosten vorhersehbar sind. Und beide Seiten einen juristischen Hebel zur Hand haben, wenn das Vertragsverhältnis in die Schieflage gerät.
IT-sicherheitsbezogene Verträge oft frappierend schlecht
Für Verträge über IT-Sicherheitsleistungen gilt das bislang nicht, unabhängig davon, ob IT-Sicherheit den Kern der Leistung oder nur eine Nebenleistung darstellt. Wir stellen Hi-Tech-Lösungen frappierend schlechte Verträge zur Seite. Das Phänomen betrifft den Bereich der Betreiber Kritischer Infrastrukturen und ihre Zulieferer ebenso wie nahezu jegliches andere Unternehmen und jede Behörde. Das, was da vereinbart wird, ist nicht belastbar oder prüffähig. Schlimmer noch: man regelt weder das technisch Erforderliche noch das rechtlich Hinreichende. Statt guter IT-Sicherheit und Compliance wird seit Jahren Scheinsicherheit unterzeichnet.
Zur Verdeutlichung: Software wird immer seltener auf den Systemen des Anwenders betrieben. Anwender beauftragen stattdessen Software-as-a-Service (SaaS). Dazu wird eine Vereinbarung über die Nutzungsmöglichkeit der Software getroffen, die auf den Systemen des Anbieters und dessen Unterauftragnehmern läuft. Für die Sicherheit des SaaS-Betriebs ist der Anwender folglich auf den Anbieter angewiesen. Nur der Anbieter verantwortet vertraglich gegenüber dem Anwender die Sicherheit der Anwendung und der eingebundenen IT-Systeme.
Man würde also erwarten, dass die Parteien Festlegungen zum Betrieb und zur Umsetzung eines Schwachstellen-Managements durch den Anbieter treffen. Schließlich kann nur er wissen, welche bekannten IT-Sicherheitslücken für seine IT-Systeme relevant sind, welche Dringlichkeit besteht und wie die Lücken zu schließen sind. Vor allem kann nur er die Lücken auch tatsächlich schließen. Ähnliches gilt für Bedrohungen, also Umstände, die die IT-Systeme stören oder anders beeinträchtigen können. Kommt es zu IT-Sicherheitsvorfällen, sollte klar sein, wie der Anbieter vorzugehen hat, um Schäden beim Anwender zu vermeiden, zu mindern oder zu ersetzen.
In den Verträgen findet man dazu nichts. Verhandeln Parteien ausnahmsweise darüber, mangelt es an Informationen, Verfahren oder Zusagen.
Im Entwurf des Cyber Resilience Acts hat die EU-Kommission bereits entsprechende Pflichten konfiguriert und nach den Rollen in der Lieferkette abgeschichtet.
Massenweise Alibi-Verträge im Datenschutz
Ein weiteres Beispiel betrifft die Datenschutzvereinbarungen, die Parteien zu schließen haben, wenn eine Verarbeitung von Daten mit Personenbezug ausgelagert wird. Das sind in der Praxis meist die sogenannten Auftragsverarbeitungs-Vereinbarungen im Sinne der Datenschutzgrundverordnung (DSGVO). Diese regeln die Bedingungen der Verarbeitung von „fremden Daten“ zu fremden Zwecken durch einen Dritten. Dazu gehören die IT-Sicherheitsmaßnahmen – die höchst selten gesetzeskonform vereinbart werden. Denn:
▪ die Beschreibung der Maßnahmen hat detailliert und prüfbar zu erfolgen, und nicht nur generisch. Davon sind die meisten Maßnahmenlisten weit entfernt.
▪ Art. 32 DSGVO fordert ein Verfahren zur Wirksamkeitsprüfung der IT-Sicherheitsmaßnahmen. Gesehen habe ich eine Wirksamkeitsprüfung noch in keiner AV-Vereinbarung.
▪ Der Verantwortliche hat den Stand der Technik zu berücksichtigen. Inzwischen haben wir technische und rechtliche Methoden und Maßstäbe zu dessen Bestimmung. In den Verträgen finden sich dazu allenfalls nutzlose Platzhalter und
▪ die getroffenen Maßnahmen müssen zum Schutzbedarf passen. Es scheint offensichtlich, dass der Schutzbedarf dann auch Vertragsbestandteil werden sollte, was aber nicht geschieht.
Die Ursachen dieser schlechten IT-Sicherheitsvereinbarungen ließen sich in der Anwaltschaft suchen. Da ist auch etwas dran. Selbst technikaffine IT-Rechtsanwältinnen und IT-Rechtsanwälte könnten sich mehr mit IT-Sicherheit befassen. Es sollte allseits erkannt werden, dass die rechtliche Lösung nur interdisziplinär zu finden ist, zusammen mit der IT- und IT-Sicherheitsexpertise. Es ist aber ebenso wichtig, dass die Parteien sich ernsthaft vornehmen, gute IT-Sicherheit gut zu vereinbaren. Und dafür die notwendigen Informationen und Ressourcen bereitstellen und Entscheidungen treffen.
Technik und Verträge sollten State-of-the-Art sein
Die Vertragspartner würden auch davon profitieren, wenn nationale Gesetze und die EU-Regulierung konsolidiert und handwerklich besser würden. Schneller ließe sich die Lage zudem verbessern, wenn die zuständigen Aufsichtsbehörden die Unternehmen und Behörden besser mit rechtlich belastbaren Informationen ausstatteten. Es gibt beispielsweise bis heute kein erkennbares Konzept zur aufsichtsbehördlichen Prüfung des Stands der Technik von IT-Sicherheitsmaßnahmen. Dafür hantieren Aufsichtsbehörden noch immer (wie zu Zeiten des alten Bundesdatenschutzgesetzes) mit generischen Maßnahmenlisten, mit denen weder IT-Sicherheitsexperten noch IT-Sicherheitsrechtsanwälte arbeiten können. Das sollten wir uns nicht mehr leisten.
Zu guter Letzt ist es die Verantwortung der Geschäfts- oder Behördenleitung, dieses Thema zu bewegen. Vielleicht sollten Führungskräfte ihrem Team zum Einstieg zwei Fragen stellen:: „In welchen Vertragsverhandlungen zur IT-Sicherheit befinden wir uns derzeit? Wie stellen wir sicher, dass die Vereinbarungen tatsächlich zu IT-Sicherheit und Rechtskonformität führen?“
Karsten U. Bartels ist Rechtsanwalt und Partner bei HK2 Rechtsanwälte. Er ist Vorsitzender der Arbeitsgemeinschaft IT-Recht (Davit) im Deutschen Anwaltverein und stellvertretender Vorstandsvorsitzender des Bundesverbands IT-Sicherheit (Teletrust).