Schaden durch Cyber-Angriffe. Was ist die Schadensersatzpflicht des Systemanbieters? Erklärung anhand von Vertragsbeispielen
In den letzten Jahren haben Cyber-Angriffe auf Unternehmen stetig zugenommen.
Laut einer Untersuchung der Japanischen Netzwerksicherheitsvereinigung (JNSA), einer speziellen gemeinnützigen Organisation, betrug der Anteil der Datenschutzverletzungen durch unbefugten Zugriff im Jahr 2013 (Heisei 25) nur 4,7% der Gesamtzahl, stieg jedoch bis 2018 (Heisei 30) auf 20,3% an (Bericht zur Untersuchung von Sicherheitsvorfällen 2018[ja]).
In diesem Artikel erläutern wir, basierend auf früheren Gerichtsurteilen, den Verantwortungsbereich des Systemanbieters bei einem Cyber-Angriff. Darüber hinaus erklären wir auch die Rollen und Verantwortlichkeiten, die Anbieter und Nutzer in einem Vertrag festlegen sollten, um gemeinsam Cyber-Angriffe abzuwehren, basierend auf einem Modellvertrag.
Haften Systemanbieter für Schäden durch Cyberangriffe?
Wenn ein Unternehmen auf der Nutzerseite einen Cyberangriff erleidet und Schäden entstehen, sollte zunächst der Täter des Cyberangriffs zur Verantwortung gezogen werden. Wenn jedoch durch Fahrlässigkeit in der Systementwicklung und -betrieb die Anfälligkeit für Angriffe erhöht wurde, kann es auch anerkannt werden, dass der Nutzer Schadensersatzansprüche gegen den Systemanbieter geltend macht.
Die Grundlagen für Schadensersatzansprüche gegen den Systemanbieter sind unter anderem:
- Vertragswidrige Haftung
- Verstoß gegen die Sorgfaltspflicht
Allerdings kann es auch vorkommen, dass durch Versäumnisse auf der Nutzerseite der Schaden vergrößert wird. In diesem Fall kann auch die Verantwortung des Nutzers anerkannt werden. In tatsächlichen Gerichtsverfahren wurde dies als Kompensation für Fahrlässigkeit berücksichtigt und es gab Fälle, in denen der Schadensersatz gegen den Systemanbieter begrenzt wurde.
Verwandter Artikel: Die drei Kategorien von Cyberkriminalität? Ein Anwalt erklärt die Schutzmaßnahmen für jedes Muster[ja]
Haftung des Systemanbieters und Beispiele für Vertragsklauseln
Als repräsentative Beispiele für IT-Systemverträge zwischen einem Systemanbieter und einem Unternehmensnutzer gibt es die folgenden drei:
- Softwareentwicklungsvertrag
- Systemwartungs- und Betriebsvertrag
- Cloud-Service-Nutzungsvertrag
Die Haftung für Schadensersatz wird durch den ursprünglichen Vertrag bestimmt, daher wird im Folgenden eine Erklärung für jede Vertragsart gegeben.
Softwareentwicklungsvertrag
Ein Softwareentwicklungsvertrag ist ein Vertrag, der abgeschlossen wird, wenn ein Unternehmen auf der Nutzerseite einem Softwareanbieter die Entwicklung seiner eigenen Systeme anvertraut.
Wenn ein Unternehmen auf der Nutzerseite einem Cyber-Angriff ausgesetzt ist und die Schwachstellen der Software die Ursache für die Ausweitung des Schadens sind, kann die Verantwortung vom Nutzer zum Anbieter verfolgt werden.
Die Verantwortung, die der Systemanbieter trägt, variiert je nach Art des Softwareentwicklungsvertrags und kann in zwei Kategorien unterteilt werden:
- Werkvertrag: Verantwortung für Vertragswidrigkeiten
- Quasi-Auftragsvertrag: Verletzung der Sorgfaltspflicht
Werkvertrag
Ein Werkvertrag ist ein Vertrag, der die Fertigstellung des Systems verspricht und für das resultierende Produkt eine Vergütung vorsieht.
Wenn das gelieferte Produkt “nicht dem Vertragszweck entspricht”, entsteht für den Auftragnehmer eine bestimmte Zeit nach der Übergabe eine Verantwortung für Vertragswidrigkeiten (nach Artikel 559 und 562 des japanischen Bürgergesetzbuches[ja]).
Das bedeutet, dass es ein Risiko gibt, dass der Nutzer Schadenersatz aufgrund von Vertragswidrigkeiten verlangt, wenn das Produkt durch einen Cyber-Angriff leicht Systemausfälle verursacht, da es “nicht dem Vertragszweck entspricht”.
Ob dieser Anspruch anerkannt wird, hängt vom Sicherheitsniveau der Software ab, das die Parteien im Voraus festgelegt haben.
【Beispiel für die Aufnahme der Verantwortung für Vertragswidrigkeiten】
Artikel X Nach Abschluss der Abnahme gemäß dem vorherigen Artikel, wenn eine Nichtübereinstimmung (einschließlich Bugs, im Folgenden in diesem Artikel als “Vertragswidrigkeit” bezeichnet) zwischen den gelieferten Waren und den Systemspezifikationen entdeckt wird, kann der Auftraggeber vom Auftragnehmer die Nachbesserung der genannten Vertragswidrigkeit (im Folgenden in diesem Artikel als “Nachbesserung” bezeichnet) verlangen, und der Auftragnehmer ist verpflichtet, diese Nachbesserung durchzuführen. Allerdings kann der Auftragnehmer, sofern dies nicht eine unzumutbare Belastung für den Auftraggeber darstellt, eine Nachbesserung durch eine Methode durchführen, die von der vom Auftraggeber verlangten Methode abweicht.
2. Ungeachtet des vorherigen Absatzes, wenn das Ziel des Einzelvertrags auch durch die genannte Vertragswidrigkeit erreicht werden kann und die Nachbesserung übermäßige Kosten verursacht, ist der Auftragnehmer nicht verpflichtet, die im vorherigen Absatz festgelegte Nachbesserungspflicht zu erfüllen.
3. Wenn der Auftraggeber durch die genannte Vertragswidrigkeit (die auf einen Umstand zurückzuführen ist, der dem Auftragnehmer zuzurechnen ist) einen Schaden erleidet, kann der Auftraggeber vom Auftragnehmer Schadenersatz verlangen.
Zitat: Informationssystem-Modelltransaktionsvertrag (2. Ausgabe)[ja]
Quasi-Auftragsvertrag
Bei einem Quasi-Auftragsvertrag gibt es keine Anwendung der Verantwortung für Vertragswidrigkeiten, da keine Verpflichtung zur Fertigstellung des Produkts besteht. Stattdessen besteht die Verpflichtung, “die Auftragsangelegenheiten mit der Sorgfalt eines guten Verwalters zu bearbeiten” (Sorgfaltspflicht).
Wenn ein Systemausfall durch einen Cyber-Angriff verursacht wird, kann die Entwicklung eines solchen Systems als “Verletzung der Sorgfaltspflicht” angesehen werden (Artikel 656 und 644 des japanischen Bürgergesetzbuches[ja]), selbst wenn das Sicherheitsniveau zum Zeitpunkt des Vertragsabschlusses nicht festgelegt wurde, und es besteht die Möglichkeit, dass Schadenersatzansprüche geltend gemacht werden.
【Beispiel für die Aufnahme der Sorgfaltspflicht】
Artikel X Der Auftragnehmer schließt den in Artikel X festgelegten Einzelvertrag ab und bietet dem Auftraggeber Dienstleistungen zur Unterstützung bei der Erstellung von Anforderungsspezifikationen (im Folgenden “Anforderungsdefinitionserstellungsunterstützungsdienste” genannt) auf der Grundlage von Informationssystemkonzepten, Systemplanungsdokumenten usw., die der Auftraggeber erstellt hat.
2. Der Auftragnehmer führt auf der Grundlage von Fachwissen und Erfahrung in der Informationsverarbeitungstechnologie Unterstützungsdienste wie Untersuchungen, Analysen, Organisation, Vorschläge und Beratung durch, um sicherzustellen, dass die Arbeiten des Auftraggebers reibungslos und angemessen durchgeführt werden, mit der Sorgfalt eines guten Verwalters.
Zitat: Informationssystem-Modelltransaktionsvertrag (2. Ausgabe)[ja]
Systemwartungs- und Betriebsverträge
Ein Systemwartungs- und Betriebsvertrag ist ein Vertrag, in dem ein Unternehmen einem Softwareanbieter die Aufgabe der Wartung und des Betriebs bestehender Software überträgt. Bei Abschluss eines Wartungs- und Betriebsvertrags ist es üblich, das zu erfüllende Sicherheitsniveau in den Vertrag einzubeziehen, beispielsweise in Form von technischen Spezifikationen.
Wenn durch einen Cyber-Angriff Schäden entstehen und das Sicherheitsniveau des Systems unter dem bei Vertragsabschluss vereinbarten Niveau liegt, kann die Verantwortung für die Nichterfüllung der Verpflichtungen auf der Grundlage einer Vertragsverletzungsklausel geltend gemacht werden.
Wenn jedoch das Sicherheitsniveau nicht im Voraus festgelegt wurde, kann die Wartung und der Betrieb eines Systems, das anfällig für Cyber-Angriffe ist, als Verstoß gegen die Pflicht zur ordnungsgemäßen Verwaltung angesehen werden, und die Verantwortung kann geltend gemacht werden.
Vertrag zur Nutzung von Cloud-Diensten
Ein Vertrag zur Nutzung von Cloud-Diensten ist ein Vertrag, der abgeschlossen wird, wenn ein Nutzer einen Service in Anspruch nimmt, der vom Anbieter in der Cloud bereitgestellt wird. Da davon ausgegangen wird, dass der Anbieter denselben Service für eine Vielzahl von Nutzern bereitstellt, wird der Vertrag häufig in Übereinstimmung mit den vom Anbieter festgelegten Nutzungsbedingungen abgeschlossen.
In der Regel wird in diesem Vertrag im Voraus festgelegt, wer die Verantwortung trägt, wenn der Service aufgrund eines Cyber-Angriffs nicht bereitgestellt werden kann.
In einem Vertrag zur Nutzung von Cloud-Diensten werden normalerweise die folgenden Punkte festgelegt:
- SLA (Service Level Agreement): Garantie und Betriebsregeln bezüglich der Qualität
- Haftungsbeschränkungsklausel: Umfang der Haftung des Anbieters bei Schadensfällen
Ein SLA ist eine schriftliche Vereinbarung über das vom Nutzer geforderte Leistungsniveau und die Betriebsregeln des Anbieters. Wenn der im SLA festgelegte Service nicht bereitgestellt werden kann, kann der Nutzer Schadenersatz wegen teilweiser Nichterfüllung verlangen. Darüber hinaus kann im Vertrag eine “Haftungsbeschränkungsklausel” festgelegt werden, die die Voraussetzungen für eine Schadenersatzforderung gegen den Anbieter im Voraus begrenzt und den Schadenersatzbetrag auch dann begrenzt, wenn eine Haftung anerkannt wird.
Allerdings sind Haftungsbeschränkungsklauseln oft zugunsten des Anbieters formuliert, so dass sie in einem Streitfall durch die japanische Rechtsprechung eingeschränkt werden können.
【Beispiel für eine Haftungsbeschränkungsklausel】
Artikel X: Wenn Partei A oder Partei B Schaden erleidet, der auf ein Verschulden der anderen Partei zurückzuführen ist, kann sie von der anderen Partei Schadenersatz verlangen (begrenzt auf den Schaden von XXX). Dieser Anspruch kann jedoch nicht geltend gemacht werden, wenn seit dem Tag der Abnahme der Lieferung oder der Bestätigung des Abschlusses der Arbeiten im Rahmen des betreffenden Einzelvertrags X Monate vergangen sind.
2. Die Gesamtsumme der Schadenersatzansprüche im Zusammenhang mit der Erfüllung dieses Vertrags und der Einzelverträge ist unabhängig von der Art des Anspruchs, ob es sich um Nichterfüllung (einschließlich Haftung für Vertragswidrigkeit), ungerechtfertigte Bereicherung, unerlaubte Handlung oder andere handelt, auf den Betrag von XXX begrenzt, der im Einzelvertrag festgelegt ist, der die Ursache für die Haftung war.
3. Der vorstehende Absatz findet keine Anwendung, wenn die Schadenersatzpflicht auf Vorsatz oder grobe Fahrlässigkeit des Schadenersatzpflichtigen zurückzuführen ist.
Quelle: Informationssystem-Modelltransaktionsvertrag (zweite Ausgabe)[ja]
Kriterien zur Beurteilung des Schadensersatzumfangs auf Seiten des Systemanbieters
Wenn durch einen Cyberangriff Schäden bei einem Nutzerunternehmen entstehen, in welchen konkreten Fällen könnte dann die Verantwortung des Systemanbieters in Frage gestellt werden?
Im Folgenden erläutern wir dies anhand von tatsächlichen Gerichtsfällen, in denen die Verantwortung des Systemanbieters in Frage gestellt wurde.
Wurden Maßnahmen entsprechend dem technischen Stand zum Zeitpunkt der Entwicklung durchgeführt?
In tatsächlichen Gerichtsverfahren, in denen die Verantwortung strittig ist, wird besonderes Augenmerk darauf gelegt, ob der Systemanbieter Sicherheitsmaßnahmen auf dem Niveau durchgeführt hat, das den Warnhinweisen und Handbüchern von Behörden und Branchenverbänden zum Zeitpunkt der Entwicklung entspricht.
Es gibt Gerichtsurteile, die den Systemanbieter zur Schadensersatzleistung für Schäden durch Cyberangriffe verurteilt haben, wie im folgenden Beispiel.
【Gerichtsfall】Tokyo District Court, 23. Januar 2014 (Heisei 26)
Nutzer: X-Gesellschaft, die Einzelhandel und Versandhandel von Innenausstattungsmaterialien betreibt
Anbieter: Y-Gesellschaft, die mit der Planung und Wartung des Web-Bestellsystems beauftragt war
Fall, in dem durch einen Cyberangriff die Kreditkarteninformationen von 7.000 Kunden durchgesickert sind
■Urteil
Verpflichtung des Systemanbieters zur Zahlung von etwa 20 Millionen Yen Schadensersatz
Ein Betrag, der die Entwicklungskosten von etwa 2 Millionen Yen übersteigt, wurde anerkannt
X-Gesellschaft wurde auch eine Fahrlässigkeit anerkannt, 30% Fahrlässigkeitsausgleich
■Grund
・Der Systemanbieter hat es versäumt, Sicherheitsmaßnahmen entsprechend dem damaligen technischen Stand durchzuführen.
・Obwohl das Nutzerunternehmen eine Risikoerklärung vom Systemanbieter erhalten hatte, hat es versäumt, Maßnahmen zu ergreifen. Daher wurde eine Fahrlässigkeit von 30% anerkannt.
Im Jahr 2014 waren “SQL-Injection-Angriffe” die Hauptmethode für Cyberangriffe, und das japanische Ministerium für Wirtschaft, Handel und Industrie hatte ein Dokument mit dem Titel “Hinweis zur Durchführung von Sicherheitsmaßnahmen für persönliche Daten auf der Grundlage des japanischen Gesetzes zum Schutz persönlicher Informationen[ja]” veröffentlicht, in dem auf das Cyber-Risiko hingewiesen und zur Stärkung des Systems aufgerufen wurde.
Das Urteil erkannte die Verantwortung des Systemanbieters an, der keine Maßnahmen ergriffen hatte, und ordnete Schadensersatz an. Gleichzeitig wurde dem Nutzerunternehmen eine Fahrlässigkeit zugeschrieben und ein Fahrlässigkeitsausgleich von 30% anerkannt.
Gibt es ein Verschulden auf Seiten des Nutzerunternehmens?
Auch das Nutzerunternehmen, das die Systementwicklung in Auftrag gibt, hat Pflichten zu erfüllen, und wenn es ein Verschulden gibt, kann es die volle Verantwortung tragen.
Obwohl es sich nicht um einen Fall von Cyberangriff handelt, gibt es auch Präzedenzfälle, in denen die volle Verantwortung des Nutzerunternehmens anerkannt und Schadensersatz angeordnet wurde, wie im folgenden Beispiel.
【Gerichtsfall】Asahikawa District Court, 31. August 2017 (Heisei 29)
Nutzer: Universitätsklinik
Anbieter: Systemfirma, die von der Universitätsklinik mit der Entwicklung eines elektronischen Patientenakten-Systems beauftragt wurde
Kurz nach Beginn des Projekts gab es eine Reihe von zusätzlichen Anforderungen von den Ärzten vor Ort.
Die Anforderungen hörten nicht auf und die Entwicklung verzögerte sich, und die Universitätsklinik kündigte den Vertrag wegen der Verzögerung.
■Urteil (Berufungsinstanz)
Verpflichtung der Universitätsklinik zur Zahlung von etwa 1,4 Milliarden Yen Schadensersatz
Aufhebung des erstinstanzlichen Urteils, das beiden Parteien Schadensersatz auferlegte
■Grund
・Es wurde problematisiert, dass das Krankenhaus die Warnungen des Anbieters, dass die Einhaltung der zusätzlichen Anforderungen nicht termingerecht möglich wäre, ignoriert hat.
Dieser Fall betraf eine Klage, in der sowohl das Nutzerunternehmen als auch der Systemanbieter Schadensersatz von der anderen Partei verlangten, nachdem das Nutzerunternehmen den Vertrag wegen Verzögerungen bei der Systementwicklung gekündigt hatte.
Das Urteil stellte fest, dass die Ursache für die Verzögerung der Entwicklung darin lag, dass das Nutzerunternehmen die Warnungen des Systemanbieters ignoriert hatte, und erkannte dem Nutzerunternehmen 100% der Verantwortung zu, während es die Forderung des Nutzerunternehmens ablehnte. Auf Seiten des Systemanbieters besteht die Pflicht zur “Projektmanagement”, um sicherzustellen, dass das Projekt termingerecht abgeschlossen wird. Auf der anderen Seite hat das Nutzerunternehmen eine “Mitwirkungspflicht”, und wenn es diese Pflicht vernachlässigt, kann es die volle Verantwortung tragen. In tatsächlichen Gerichtsverfahren wird die Schadensersatzpflicht je nach Anteil festgelegt.
Drei Schlüsselpunkte für eine sichere Systementwicklung
Um sich gegen Cyber-Risiken zu wappnen, ist es wichtig, dass sowohl die Nutzerseite als auch die Anbieterseite gemeinsam an Gegenmaßnahmen arbeiten.
Im Folgenden erläutern wir die Maßnahmen, die Anbieter und Nutzer jeweils aus ihrer Perspektive ergreifen können.
Verstehen Sie die Cyber-Risiken, die von Behörden und anderen hingewiesen werden
Systemanbieter sollten die Richtlinien von Fachbehörden wie dem japanischen Ministerium für Wirtschaft, Handel und Industrie und der unabhängigen Verwaltungsbehörde Information-Technology Promotion Agency (IPA) überprüfen, um die aktuellen Cyber-Risiken und deren Gegenmaßnahmen zu verstehen, bevor sie mit der Entwicklung und dem Betrieb beginnen.
Nicht nur die Anbieterseite, sondern auch die Nutzerseite sollte den Inhalt der Richtlinien in gewissem Maße verstehen und eine Entwicklung und Betrieb gemäß den Richtlinien anfordern, und eine Klausel über das Sicherheitsniveau in den Vertrag aufnehmen.
Referenz: Japanisches Ministerium für Wirtschaft, Handel und Industrie | Cyber-Sicherheitsmanagement-Leitlinien Ver 2.0[ja]
Referenz: Information-Technology Promotion Agency | Wie man eine sichere Website erstellt[ja]
Insbesondere in Bereichen wie dem Finanzsektor kann ein hohes Sicherheitsniveau durch Gesetze und Richtlinien gefordert werden. Sicherheitsmaßnahmen für Kryptowährungen werden im Folgenden ausführlich erläutert.
Verwandter Artikel: Was sind Sicherheitsmaßnahmen für Kryptowährungen? Erklärung mit drei Leckfällen[ja]
Beide Parteien verstehen die Notwendigkeit von Sicherheit
In den “Cyber-Sicherheitsmanagement-Leitlinien Ver 2.0” des japanischen Ministeriums für Wirtschaft, Handel und Industrie wird ausdrücklich darauf hingewiesen, dass “Cyber-Sicherheitsmaßnahmen eine Managementfrage” sind.
Anstatt die Sicherheit einfach an die Anbieterseite zu delegieren, weil man sie nicht versteht, sollte die Unternehmensseite das Risikomanagement als Teil des Managements betrachten und sich verantwortungsbewusst an den Gegenmaßnahmen beteiligen.
Beide Parteien arbeiten gemeinsam gegen Cyber-Angriffe
Im Falle eines Cyber-Angriffs sollten Auftraggeber und Anbieter nicht versuchen, die Verantwortung auf den anderen abzuwälzen, sondern zusammenarbeiten, um den Schaden so gering wie möglich zu halten.
Leider neigt die Auftraggeberseite bei der Systementwicklung dazu, eine stärkere Position einzunehmen, und die Systementwicklung wird oft auf Kosten und Lieferzeit ausgerichtet. Es kann vorkommen, dass der Anbieterseite nicht genügend Geld und Zeit zur Verfügung gestellt wird und Vorschläge zur Sicherheit nicht akzeptiert werden.
Die Richtlinien weisen jedoch darauf hin, dass Unternehmen auf der Nutzerseite die Umsetzung von Sicherheitsmaßnahmen nicht als “Kosten”, sondern als notwendige Investition für zukünftige Geschäftsaktivitäten und Wachstum betrachten sollten.
Bei der Systementwicklung ist es wichtig, dass Anbieter und Nutzer auf gleicher Augenhöhe zusammenarbeiten, um Cyber-Angriffen zu begegnen.
Zusammenfassung: Konsultieren Sie einen Anwalt bei der Erstellung eines Systementwicklungsvertrags
Im Falle eines Schadens durch einen Cyber-Angriff kann der an der Systementwicklung beteiligte Anbieter von der Nutzerfirma zur Verantwortung gezogen werden, wenn er die Cyber-Risikovorsorge vernachlässigt hat.
Jedoch gibt es auch eine Verantwortung auf Seiten des Nutzerunternehmens, das seine Pflicht zur Zusammenarbeit mit dem Anbieter vernachlässigt hat.
Um den Schaden durch Cyber-Angriffe so gering wie möglich zu halten, ist es notwendig, im Vertrag das Systemniveau und die jeweiligen Verantwortungsbereiche festzulegen.
Bei der Erstellung von Verträgen für die Systementwicklung sollten Sie einen Anwalt mit umfassendem Fachwissen konsultieren, der die Inhalte der Richtlinien und die aktuellen Cyber-Risiken versteht.
Maßnahmen unserer Kanzlei
Die Monolith Rechtsanwaltskanzlei ist eine Kanzlei mit hoher Fachkompetenz in IT, insbesondere Internet und Recht. Bei der Unterzeichnung eines Systementwicklungsvertrags ist die Erstellung eines Vertragsdokuments erforderlich. Unsere Kanzlei erstellt und überprüft Vertragsdokumente für eine Vielzahl von Fällen, von Unternehmen, die an der Tokyo Stock Exchange gelistet sind, bis hin zu Start-up-Unternehmen. Wenn Sie Probleme mit Vertragsdokumenten haben, lesen Sie bitte den folgenden Artikel.
Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: Rechtsangelegenheiten im Zusammenhang mit der Systementwicklung[ja]
Category: IT
Tag: CybercrimeIT