{"id":58676,"date":"2023-10-05T12:52:28","date_gmt":"2023-10-05T03:52:28","guid":{"rendered":"https:\/\/monolith.law\/de\/?p=58676"},"modified":"2024-04-14T13:32:19","modified_gmt":"2024-04-14T04:32:19","slug":"vendor-compensation","status":"publish","type":"post","link":"https:\/\/monolith.law\/de\/it\/vendor-compensation","title":{"rendered":"Schaden durch Cyber-Angriffe. Was ist die Schadensersatzpflicht des Systemanbieters? Erkl\u00e4rung anhand von Vertragsbeispielen"},"content":{"rendered":"\n<p>In den letzten Jahren haben Cyber-Angriffe auf Unternehmen stetig zugenommen.<\/p>\n\n\n\n<p>Laut einer Untersuchung der Japanischen Netzwerksicherheitsvereinigung (JNSA), einer speziellen gemeinn\u00fctzigen Organisation, betrug der Anteil der Datenschutzverletzungen durch unbefugten Zugriff im Jahr 2013 (Heisei 25) nur 4,7% der Gesamtzahl, stieg jedoch bis 2018 (Heisei 30) auf 20,3% an (<a href=\"https:\/\/www.jnsa.org\/result\/incident\/2018.html\" target=\"_blank\" rel=\"noreferrer noopener\">Bericht zur Untersuchung von Sicherheitsvorf\u00e4llen 2018[ja]<\/a>).<\/p>\n\n\n\n<p>In diesem Artikel erl\u00e4utern wir, basierend auf fr\u00fcheren Gerichtsurteilen, den Verantwortungsbereich des Systemanbieters bei einem Cyber-Angriff. Dar\u00fcber hinaus erkl\u00e4ren wir auch die Rollen und Verantwortlichkeiten, die Anbieter und Nutzer in einem Vertrag festlegen sollten, um gemeinsam Cyber-Angriffe abzuwehren, basierend auf einem Modellvertrag.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Haften_Systemanbieter_fur_Schaden_durch_Cyberangriffe\" title=\"Haften Systemanbieter f\u00fcr Sch\u00e4den durch Cyberangriffe?\">Haften Systemanbieter f\u00fcr Sch\u00e4den durch Cyberangriffe?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Haftung_des_Systemanbieters_und_Beispiele_fur_Vertragsklauseln\" title=\"Haftung des Systemanbieters und Beispiele f\u00fcr Vertragsklauseln\">Haftung des Systemanbieters und Beispiele f\u00fcr Vertragsklauseln<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Softwareentwicklungsvertrag\" title=\"Softwareentwicklungsvertrag\">Softwareentwicklungsvertrag<\/a><ul class='ez-toc-list-level-4'><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Werkvertrag\" title=\"Werkvertrag\">Werkvertrag<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Quasi-Auftragsvertrag\" title=\"Quasi-Auftragsvertrag\">Quasi-Auftragsvertrag<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Systemwartungs-_und_Betriebsvertrage\" title=\"Systemwartungs- und Betriebsvertr\u00e4ge\">Systemwartungs- und Betriebsvertr\u00e4ge<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Vertrag_zur_Nutzung_von_Cloud-Diensten\" title=\"Vertrag zur Nutzung von Cloud-Diensten\">Vertrag zur Nutzung von Cloud-Diensten<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Kriterien_zur_Beurteilung_des_Schadensersatzumfangs_auf_Seiten_des_Systemanbieters\" title=\"Kriterien zur Beurteilung des Schadensersatzumfangs auf Seiten des Systemanbieters\">Kriterien zur Beurteilung des Schadensersatzumfangs auf Seiten des Systemanbieters<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Wurden_Masnahmen_entsprechend_dem_technischen_Stand_zum_Zeitpunkt_der_Entwicklung_durchgefuhrt\" title=\"Wurden Ma\u00dfnahmen entsprechend dem technischen Stand zum Zeitpunkt der Entwicklung durchgef\u00fchrt?\">Wurden Ma\u00dfnahmen entsprechend dem technischen Stand zum Zeitpunkt der Entwicklung durchgef\u00fchrt?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Gibt_es_ein_Verschulden_auf_Seiten_des_Nutzerunternehmens\" title=\"Gibt es ein Verschulden auf Seiten des Nutzerunternehmens?\">Gibt es ein Verschulden auf Seiten des Nutzerunternehmens?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Drei_Schlusselpunkte_fur_eine_sichere_Systementwicklung\" title=\"Drei Schl\u00fcsselpunkte f\u00fcr eine sichere Systementwicklung\">Drei Schl\u00fcsselpunkte f\u00fcr eine sichere Systementwicklung<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Verstehen_Sie_die_Cyber-Risiken_die_von_Behorden_und_anderen_hingewiesen_werden\" title=\"Verstehen Sie die Cyber-Risiken, die von Beh\u00f6rden und anderen hingewiesen werden\">Verstehen Sie die Cyber-Risiken, die von Beh\u00f6rden und anderen hingewiesen werden<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Beide_Parteien_verstehen_die_Notwendigkeit_von_Sicherheit\" title=\"Beide Parteien verstehen die Notwendigkeit von Sicherheit\">Beide Parteien verstehen die Notwendigkeit von Sicherheit<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Beide_Parteien_arbeiten_gemeinsam_gegen_Cyber-Angriffe\" title=\"Beide Parteien arbeiten gemeinsam gegen Cyber-Angriffe\">Beide Parteien arbeiten gemeinsam gegen Cyber-Angriffe<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Zusammenfassung_Konsultieren_Sie_einen_Anwalt_bei_der_Erstellung_eines_Systementwicklungsvertrags\" title=\"Zusammenfassung: Konsultieren Sie einen Anwalt bei der Erstellung eines Systementwicklungsvertrags\">Zusammenfassung: Konsultieren Sie einen Anwalt bei der Erstellung eines Systementwicklungsvertrags<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/monolith.law\/de\/it\/vendor-compensation\/#Masnahmen_unserer_Kanzlei\" title=\"Ma\u00dfnahmen unserer Kanzlei\">Ma\u00dfnahmen unserer Kanzlei<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Haften_Systemanbieter_fur_Schaden_durch_Cyberangriffe\"><\/span>Haften Systemanbieter f\u00fcr Sch\u00e4den durch Cyberangriffe?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/02\/shutterstock_134919143.jpg\" alt=\"Haften Systemanbieter f\u00fcr Sch\u00e4den durch Cyberangriffe?\" class=\"wp-image-58926\" \/><\/figure>\n\n\n\n<p>Wenn ein Unternehmen auf der Nutzerseite einen Cyberangriff erleidet und Sch\u00e4den entstehen, sollte zun\u00e4chst der T\u00e4ter des Cyberangriffs zur Verantwortung gezogen werden. Wenn jedoch durch Fahrl\u00e4ssigkeit in der Systementwicklung und -betrieb die Anf\u00e4lligkeit f\u00fcr Angriffe erh\u00f6ht wurde, kann es auch anerkannt werden, dass der Nutzer Schadensersatzanspr\u00fcche gegen den Systemanbieter geltend macht.<\/p>\n\n\n\n<p>Die Grundlagen f\u00fcr Schadensersatzanspr\u00fcche gegen den Systemanbieter sind unter anderem:<\/p>\n\n\n\n<ul>\n<li>Vertragswidrige Haftung<\/li>\n\n\n\n<li>Versto\u00df gegen die Sorgfaltspflicht<\/li>\n<\/ul>\n\n\n\n<p>Allerdings kann es auch vorkommen, dass durch Vers\u00e4umnisse auf der Nutzerseite der Schaden vergr\u00f6\u00dfert wird. In diesem Fall kann auch die Verantwortung des Nutzers anerkannt werden. In tats\u00e4chlichen Gerichtsverfahren wurde dies als Kompensation f\u00fcr Fahrl\u00e4ssigkeit ber\u00fccksichtigt und es gab F\u00e4lle, in denen der Schadensersatz gegen den Systemanbieter begrenzt wurde.<\/p>\n\n\n\n<p>Verwandter Artikel: <a href=\"https:\/\/monolith.law\/corporate\/categories-of-cyber-crime\" target=\"_blank\" rel=\"noreferrer noopener\">Die drei Kategorien von Cyberkriminalit\u00e4t? Ein Anwalt erkl\u00e4rt die Schutzma\u00dfnahmen f\u00fcr jedes Muster[ja]<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Haftung_des_Systemanbieters_und_Beispiele_fur_Vertragsklauseln\"><\/span>Haftung des Systemanbieters und Beispiele f\u00fcr Vertragsklauseln<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Als repr\u00e4sentative Beispiele f\u00fcr IT-Systemvertr\u00e4ge zwischen einem Systemanbieter und einem Unternehmensnutzer gibt es die folgenden drei:<\/p>\n\n\n\n<ol>\n<li>Softwareentwicklungsvertrag<\/li>\n\n\n\n<li>Systemwartungs- und Betriebsvertrag<\/li>\n\n\n\n<li>Cloud-Service-Nutzungsvertrag<\/li>\n<\/ol>\n\n\n\n<p>Die Haftung f\u00fcr Schadensersatz wird durch den urspr\u00fcnglichen Vertrag bestimmt, daher wird im Folgenden eine Erkl\u00e4rung f\u00fcr jede Vertragsart gegeben.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Softwareentwicklungsvertrag\"><\/span>Softwareentwicklungsvertrag<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Ein Softwareentwicklungsvertrag ist ein Vertrag, der abgeschlossen wird, wenn ein Unternehmen auf der Nutzerseite einem Softwareanbieter die Entwicklung seiner eigenen Systeme anvertraut.<\/p>\n\n\n\n<p>Wenn ein Unternehmen auf der Nutzerseite einem Cyber-Angriff ausgesetzt ist und die Schwachstellen der Software die Ursache f\u00fcr die Ausweitung des Schadens sind, kann die Verantwortung vom Nutzer zum Anbieter verfolgt werden.<\/p>\n\n\n\n<p>Die Verantwortung, die der Systemanbieter tr\u00e4gt, variiert je nach Art des Softwareentwicklungsvertrags und kann in zwei Kategorien unterteilt werden:<\/p>\n\n\n\n<ul>\n<li>Werkvertrag: Verantwortung f\u00fcr Vertragswidrigkeiten<\/li>\n\n\n\n<li>Quasi-Auftragsvertrag: Verletzung der Sorgfaltspflicht<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Werkvertrag\"><\/span>Werkvertrag<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Ein Werkvertrag ist ein Vertrag, der die Fertigstellung des Systems verspricht und f\u00fcr das resultierende Produkt eine Verg\u00fctung vorsieht.<\/p>\n\n\n\n<p>Wenn das gelieferte Produkt &#8220;nicht dem Vertragszweck entspricht&#8221;, entsteht f\u00fcr den Auftragnehmer eine bestimmte Zeit nach der \u00dcbergabe eine Verantwortung f\u00fcr Vertragswidrigkeiten (nach <a href=\"https:\/\/elaws.e-gov.go.jp\/document?lawid=129AC0000000089\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 559 und 562 des japanischen B\u00fcrgergesetzbuches[ja]<\/a>).<\/p>\n\n\n\n<p>Das bedeutet, dass es ein Risiko gibt, dass der Nutzer Schadenersatz aufgrund von Vertragswidrigkeiten verlangt, wenn das Produkt durch einen Cyber-Angriff leicht Systemausf\u00e4lle verursacht, da es &#8220;nicht dem Vertragszweck entspricht&#8221;.<\/p>\n\n\n\n<p>Ob dieser Anspruch anerkannt wird, h\u00e4ngt vom Sicherheitsniveau der Software ab, das die Parteien im Voraus festgelegt haben.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Beispiel f\u00fcr die Aufnahme der Verantwortung f\u00fcr Vertragswidrigkeiten\u3011<\/p>\n\n\n\n<p>Artikel X Nach Abschluss der Abnahme gem\u00e4\u00df dem vorherigen Artikel, wenn eine Nicht\u00fcbereinstimmung (einschlie\u00dflich Bugs, im Folgenden in diesem Artikel als &#8220;Vertragswidrigkeit&#8221; bezeichnet) zwischen den gelieferten Waren und den Systemspezifikationen entdeckt wird, kann der Auftraggeber vom Auftragnehmer die Nachbesserung der genannten Vertragswidrigkeit (im Folgenden in diesem Artikel als &#8220;Nachbesserung&#8221; bezeichnet) verlangen, und der Auftragnehmer ist verpflichtet, diese Nachbesserung durchzuf\u00fchren. Allerdings kann der Auftragnehmer, sofern dies nicht eine unzumutbare Belastung f\u00fcr den Auftraggeber darstellt, eine Nachbesserung durch eine Methode durchf\u00fchren, die von der vom Auftraggeber verlangten Methode abweicht.<\/p>\n\n\n\n<p>2. Ungeachtet des vorherigen Absatzes, wenn das Ziel des Einzelvertrags auch durch die genannte Vertragswidrigkeit erreicht werden kann und die Nachbesserung \u00fcberm\u00e4\u00dfige Kosten verursacht, ist der Auftragnehmer nicht verpflichtet, die im vorherigen Absatz festgelegte Nachbesserungspflicht zu erf\u00fcllen.<\/p>\n\n\n\n<p>3. Wenn der Auftraggeber durch die genannte Vertragswidrigkeit (die auf einen Umstand zur\u00fcckzuf\u00fchren ist, der dem Auftragnehmer zuzurechnen ist) einen Schaden erleidet, kann der Auftraggeber vom Auftragnehmer Schadenersatz verlangen.<\/p>\n\n\n\n<p>Zitat: <a href=\"https:\/\/www.ipa.go.jp\/ikc\/reports\/20201222.html\" target=\"_blank\" rel=\"noreferrer noopener\">Informationssystem-Modelltransaktionsvertrag (2. Ausgabe)[ja]<\/a><\/p>\n<\/div><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Quasi-Auftragsvertrag\"><\/span>Quasi-Auftragsvertrag<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Bei einem Quasi-Auftragsvertrag gibt es keine Anwendung der Verantwortung f\u00fcr Vertragswidrigkeiten, da keine Verpflichtung zur Fertigstellung des Produkts besteht. Stattdessen besteht die Verpflichtung, &#8220;die Auftragsangelegenheiten mit der Sorgfalt eines guten Verwalters zu bearbeiten&#8221; (Sorgfaltspflicht).<\/p>\n\n\n\n<p>Wenn ein Systemausfall durch einen Cyber-Angriff verursacht wird, kann die Entwicklung eines solchen Systems als &#8220;Verletzung der Sorgfaltspflicht&#8221; angesehen werden (<a href=\"https:\/\/elaws.e-gov.go.jp\/document?lawid=129AC0000000089\" target=\"_blank\" rel=\"noreferrer noopener\">Artikel 656 und 644 des japanischen B\u00fcrgergesetzbuches[ja]<\/a>), selbst wenn das Sicherheitsniveau zum Zeitpunkt des Vertragsabschlusses nicht festgelegt wurde, und es besteht die M\u00f6glichkeit, dass Schadenersatzanspr\u00fcche geltend gemacht werden.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Beispiel f\u00fcr die Aufnahme der Sorgfaltspflicht\u3011<\/p>\n\n\n\n<p>Artikel X Der Auftragnehmer schlie\u00dft den in Artikel X festgelegten Einzelvertrag ab und bietet dem Auftraggeber Dienstleistungen zur Unterst\u00fctzung bei der Erstellung von Anforderungsspezifikationen (im Folgenden &#8220;Anforderungsdefinitionserstellungsunterst\u00fctzungsdienste&#8221; genannt) auf der Grundlage von Informationssystemkonzepten, Systemplanungsdokumenten usw., die der Auftraggeber erstellt hat.<\/p>\n\n\n\n<p>2. Der Auftragnehmer f\u00fchrt auf der Grundlage von Fachwissen und Erfahrung in der Informationsverarbeitungstechnologie Unterst\u00fctzungsdienste wie Untersuchungen, Analysen, Organisation, Vorschl\u00e4ge und Beratung durch, um sicherzustellen, dass die Arbeiten des Auftraggebers reibungslos und angemessen durchgef\u00fchrt werden, mit der Sorgfalt eines guten Verwalters.<\/p>\n\n\n\n<p>Zitat: <a href=\"https:\/\/www.ipa.go.jp\/ikc\/reports\/20201222.html\" target=\"_blank\" rel=\"noreferrer noopener\">Informationssystem-Modelltransaktionsvertrag (2. Ausgabe)[ja]<\/a><\/p>\n<\/div><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Systemwartungs-_und_Betriebsvertrage\"><\/span>Systemwartungs- und Betriebsvertr\u00e4ge<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Ein Systemwartungs- und Betriebsvertrag ist ein Vertrag, in dem ein Unternehmen einem Softwareanbieter die Aufgabe der Wartung und des Betriebs bestehender Software \u00fcbertr\u00e4gt. Bei Abschluss eines Wartungs- und Betriebsvertrags ist es \u00fcblich, das zu erf\u00fcllende Sicherheitsniveau in den Vertrag einzubeziehen, beispielsweise in Form von technischen Spezifikationen.<\/p>\n\n\n\n<p>Wenn durch einen Cyber-Angriff Sch\u00e4den entstehen und das Sicherheitsniveau des Systems unter dem bei Vertragsabschluss vereinbarten Niveau liegt, kann die Verantwortung f\u00fcr die Nichterf\u00fcllung der Verpflichtungen auf der Grundlage einer Vertragsverletzungsklausel geltend gemacht werden.<\/p>\n\n\n\n<p>Wenn jedoch das Sicherheitsniveau nicht im Voraus festgelegt wurde, kann die Wartung und der Betrieb eines Systems, das anf\u00e4llig f\u00fcr Cyber-Angriffe ist, als Versto\u00df gegen die Pflicht zur ordnungsgem\u00e4\u00dfen Verwaltung angesehen werden, und die Verantwortung kann geltend gemacht werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Vertrag_zur_Nutzung_von_Cloud-Diensten\"><\/span>Vertrag zur Nutzung von Cloud-Diensten<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Ein Vertrag zur Nutzung von Cloud-Diensten ist ein Vertrag, der abgeschlossen wird, wenn ein Nutzer einen Service in Anspruch nimmt, der vom Anbieter in der Cloud bereitgestellt wird. Da davon ausgegangen wird, dass der Anbieter denselben Service f\u00fcr eine Vielzahl von Nutzern bereitstellt, wird der Vertrag h\u00e4ufig in \u00dcbereinstimmung mit den vom Anbieter festgelegten Nutzungsbedingungen abgeschlossen.<\/p>\n\n\n\n<p>In der Regel wird in diesem Vertrag im Voraus festgelegt, wer die Verantwortung tr\u00e4gt, wenn der Service aufgrund eines Cyber-Angriffs nicht bereitgestellt werden kann.<\/p>\n\n\n\n<p>In einem Vertrag zur Nutzung von Cloud-Diensten werden normalerweise die folgenden Punkte festgelegt:<\/p>\n\n\n\n<ul>\n<li>SLA (Service Level Agreement): Garantie und Betriebsregeln bez\u00fcglich der Qualit\u00e4t<\/li>\n\n\n\n<li>Haftungsbeschr\u00e4nkungsklausel: Umfang der Haftung des Anbieters bei Schadensf\u00e4llen<\/li>\n<\/ul>\n\n\n\n<p>Ein SLA ist eine schriftliche Vereinbarung \u00fcber das vom Nutzer geforderte Leistungsniveau und die Betriebsregeln des Anbieters. Wenn der im SLA festgelegte Service nicht bereitgestellt werden kann, kann der Nutzer Schadenersatz wegen teilweiser Nichterf\u00fcllung verlangen. Dar\u00fcber hinaus kann im Vertrag eine &#8220;Haftungsbeschr\u00e4nkungsklausel&#8221; festgelegt werden, die die Voraussetzungen f\u00fcr eine Schadenersatzforderung gegen den Anbieter im Voraus begrenzt und den Schadenersatzbetrag auch dann begrenzt, wenn eine Haftung anerkannt wird.<\/p>\n\n\n\n<p>Allerdings sind Haftungsbeschr\u00e4nkungsklauseln oft zugunsten des Anbieters formuliert, so dass sie in einem Streitfall durch die japanische Rechtsprechung eingeschr\u00e4nkt werden k\u00f6nnen.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Beispiel f\u00fcr eine Haftungsbeschr\u00e4nkungsklausel\u3011<\/p>\n\n\n\n<p>Artikel X: Wenn Partei A oder Partei B Schaden erleidet, der auf ein Verschulden der anderen Partei zur\u00fcckzuf\u00fchren ist, kann sie von der anderen Partei Schadenersatz verlangen (begrenzt auf den Schaden von XXX). Dieser Anspruch kann jedoch nicht geltend gemacht werden, wenn seit dem Tag der Abnahme der Lieferung oder der Best\u00e4tigung des Abschlusses der Arbeiten im Rahmen des betreffenden Einzelvertrags X Monate vergangen sind.<\/p>\n\n\n\n<p>2. Die Gesamtsumme der Schadenersatzanspr\u00fcche im Zusammenhang mit der Erf\u00fcllung dieses Vertrags und der Einzelvertr\u00e4ge ist unabh\u00e4ngig von der Art des Anspruchs, ob es sich um Nichterf\u00fcllung (einschlie\u00dflich Haftung f\u00fcr Vertragswidrigkeit), ungerechtfertigte Bereicherung, unerlaubte Handlung oder andere handelt, auf den Betrag von XXX begrenzt, der im Einzelvertrag festgelegt ist, der die Ursache f\u00fcr die Haftung war.<\/p>\n\n\n\n<p>3. Der vorstehende Absatz findet keine Anwendung, wenn die Schadenersatzpflicht auf Vorsatz oder grobe Fahrl\u00e4ssigkeit des Schadenersatzpflichtigen zur\u00fcckzuf\u00fchren ist.<\/p>\n\n\n\n<p>Quelle: <a href=\"https:\/\/www.ipa.go.jp\/ikc\/reports\/20201222.html\" target=\"_blank\" rel=\"noreferrer noopener\">Informationssystem-Modelltransaktionsvertrag (zweite Ausgabe)[ja]<\/a><\/p>\n<\/div><\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Kriterien_zur_Beurteilung_des_Schadensersatzumfangs_auf_Seiten_des_Systemanbieters\"><\/span>Kriterien zur Beurteilung des Schadensersatzumfangs auf Seiten des Systemanbieters<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/02\/shutterstock_646598212.jpg\" alt=\"Kriterien zur Beurteilung des Schadensersatzumfangs auf Seiten des Systemanbieters\" class=\"wp-image-58928\" \/><\/figure>\n\n\n\n<p>Wenn durch einen Cyberangriff Sch\u00e4den bei einem Nutzerunternehmen entstehen, in welchen konkreten F\u00e4llen k\u00f6nnte dann die Verantwortung des Systemanbieters in Frage gestellt werden?<\/p>\n\n\n\n<p>Im Folgenden erl\u00e4utern wir dies anhand von tats\u00e4chlichen Gerichtsf\u00e4llen, in denen die Verantwortung des Systemanbieters in Frage gestellt wurde.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Wurden_Masnahmen_entsprechend_dem_technischen_Stand_zum_Zeitpunkt_der_Entwicklung_durchgefuhrt\"><\/span>Wurden Ma\u00dfnahmen entsprechend dem technischen Stand zum Zeitpunkt der Entwicklung durchgef\u00fchrt?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>In tats\u00e4chlichen Gerichtsverfahren, in denen die Verantwortung strittig ist, wird besonderes Augenmerk darauf gelegt, ob der Systemanbieter Sicherheitsma\u00dfnahmen auf dem Niveau durchgef\u00fchrt hat, das den Warnhinweisen und Handb\u00fcchern von Beh\u00f6rden und Branchenverb\u00e4nden zum Zeitpunkt der Entwicklung entspricht.<\/p>\n\n\n\n<p>Es gibt Gerichtsurteile, die den Systemanbieter zur Schadensersatzleistung f\u00fcr Sch\u00e4den durch Cyberangriffe verurteilt haben, wie im folgenden Beispiel.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Gerichtsfall\u3011Tokyo District Court, 23. Januar 2014 (Heisei 26)<br>Nutzer: X-Gesellschaft, die Einzelhandel und Versandhandel von Innenausstattungsmaterialien betreibt<br>Anbieter: Y-Gesellschaft, die mit der Planung und Wartung des Web-Bestellsystems beauftragt war<\/p>\n\n\n\n<p>Fall, in dem durch einen Cyberangriff die Kreditkarteninformationen von 7.000 Kunden durchgesickert sind<\/p>\n\n\n\n<p>\u25a0Urteil<br>Verpflichtung des Systemanbieters zur Zahlung von etwa 20 Millionen Yen Schadensersatz<br>Ein Betrag, der die Entwicklungskosten von etwa 2 Millionen Yen \u00fcbersteigt, wurde anerkannt<br>X-Gesellschaft wurde auch eine Fahrl\u00e4ssigkeit anerkannt, 30% Fahrl\u00e4ssigkeitsausgleich<\/p>\n\n\n\n<p>\u25a0Grund<br>\u30fbDer Systemanbieter hat es vers\u00e4umt, Sicherheitsma\u00dfnahmen entsprechend dem damaligen technischen Stand durchzuf\u00fchren.<br>\u30fbObwohl das Nutzerunternehmen eine Risikoerkl\u00e4rung vom Systemanbieter erhalten hatte, hat es vers\u00e4umt, Ma\u00dfnahmen zu ergreifen. Daher wurde eine Fahrl\u00e4ssigkeit von 30% anerkannt.<\/p>\n<\/div><\/div>\n\n\n\n<p>Im Jahr 2014 waren &#8220;SQL-Injection-Angriffe&#8221; die Hauptmethode f\u00fcr Cyberangriffe, und das japanische Ministerium f\u00fcr Wirtschaft, Handel und Industrie hatte ein Dokument mit dem Titel &#8220;<a href=\"https:\/\/www.meti.go.jp\/policy\/it_policy\/privacy\/kanki.html\" target=\"_blank\" rel=\"noreferrer noopener\">Hinweis zur Durchf\u00fchrung von Sicherheitsma\u00dfnahmen f\u00fcr pers\u00f6nliche Daten auf der Grundlage des japanischen Gesetzes zum Schutz pers\u00f6nlicher Informationen[ja]<\/a>&#8221; ver\u00f6ffentlicht, in dem auf das Cyber-Risiko hingewiesen und zur St\u00e4rkung des Systems aufgerufen wurde.<\/p>\n\n\n\n<p>Das Urteil erkannte die Verantwortung des Systemanbieters an, der keine Ma\u00dfnahmen ergriffen hatte, und ordnete Schadensersatz an. Gleichzeitig wurde dem Nutzerunternehmen eine Fahrl\u00e4ssigkeit zugeschrieben und ein Fahrl\u00e4ssigkeitsausgleich von 30% anerkannt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Gibt_es_ein_Verschulden_auf_Seiten_des_Nutzerunternehmens\"><\/span>Gibt es ein Verschulden auf Seiten des Nutzerunternehmens?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Auch das Nutzerunternehmen, das die Systementwicklung in Auftrag gibt, hat Pflichten zu erf\u00fcllen, und wenn es ein Verschulden gibt, kann es die volle Verantwortung tragen.<\/p>\n\n\n\n<p>Obwohl es sich nicht um einen Fall von Cyberangriff handelt, gibt es auch Pr\u00e4zedenzf\u00e4lle, in denen die volle Verantwortung des Nutzerunternehmens anerkannt und Schadensersatz angeordnet wurde, wie im folgenden Beispiel.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Gerichtsfall\u3011Asahikawa District Court, 31. August 2017 (Heisei 29)<\/p>\n\n\n\n<p>Nutzer: Universit\u00e4tsklinik<br>Anbieter: Systemfirma, die von der Universit\u00e4tsklinik mit der Entwicklung eines elektronischen Patientenakten-Systems beauftragt wurde<\/p>\n\n\n\n<p>Kurz nach Beginn des Projekts gab es eine Reihe von zus\u00e4tzlichen Anforderungen von den \u00c4rzten vor Ort.<br>Die Anforderungen h\u00f6rten nicht auf und die Entwicklung verz\u00f6gerte sich, und die Universit\u00e4tsklinik k\u00fcndigte den Vertrag wegen der Verz\u00f6gerung.<\/p>\n\n\n\n<p>\u25a0Urteil (Berufungsinstanz)<br>Verpflichtung der Universit\u00e4tsklinik zur Zahlung von etwa 1,4 Milliarden Yen Schadensersatz<br>Aufhebung des erstinstanzlichen Urteils, das beiden Parteien Schadensersatz auferlegte<\/p>\n\n\n\n<p>\u25a0Grund<br>\u30fbEs wurde problematisiert, dass das Krankenhaus die Warnungen des Anbieters, dass die Einhaltung der zus\u00e4tzlichen Anforderungen nicht termingerecht m\u00f6glich w\u00e4re, ignoriert hat.<\/p>\n<\/div><\/div>\n\n\n\n<p>Dieser Fall betraf eine Klage, in der sowohl das Nutzerunternehmen als auch der Systemanbieter Schadensersatz von der anderen Partei verlangten, nachdem das Nutzerunternehmen den Vertrag wegen Verz\u00f6gerungen bei der Systementwicklung gek\u00fcndigt hatte.<\/p>\n\n\n\n<p>Das Urteil stellte fest, dass die Ursache f\u00fcr die Verz\u00f6gerung der Entwicklung darin lag, dass das Nutzerunternehmen die Warnungen des Systemanbieters ignoriert hatte, und erkannte dem Nutzerunternehmen 100% der Verantwortung zu, w\u00e4hrend es die Forderung des Nutzerunternehmens ablehnte. Auf Seiten des Systemanbieters besteht die Pflicht zur &#8220;Projektmanagement&#8221;, um sicherzustellen, dass das Projekt termingerecht abgeschlossen wird. Auf der anderen Seite hat das Nutzerunternehmen eine &#8220;Mitwirkungspflicht&#8221;, und wenn es diese Pflicht vernachl\u00e4ssigt, kann es die volle Verantwortung tragen. In tats\u00e4chlichen Gerichtsverfahren wird die Schadensersatzpflicht je nach Anteil festgelegt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Drei_Schlusselpunkte_fur_eine_sichere_Systementwicklung\"><\/span>Drei Schl\u00fcsselpunkte f\u00fcr eine sichere Systementwicklung<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/02\/shutterstock_2004030665.jpg\" alt=\"Drei Schl\u00fcsselpunkte f\u00fcr eine sichere Systementwicklung\" class=\"wp-image-58929\" \/><\/figure>\n\n\n\n<p>Um sich gegen Cyber-Risiken zu wappnen, ist es wichtig, dass sowohl die Nutzerseite als auch die Anbieterseite gemeinsam an Gegenma\u00dfnahmen arbeiten.<\/p>\n\n\n\n<p>Im Folgenden erl\u00e4utern wir die Ma\u00dfnahmen, die Anbieter und Nutzer jeweils aus ihrer Perspektive ergreifen k\u00f6nnen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Verstehen_Sie_die_Cyber-Risiken_die_von_Behorden_und_anderen_hingewiesen_werden\"><\/span>Verstehen Sie die Cyber-Risiken, die von Beh\u00f6rden und anderen hingewiesen werden<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Systemanbieter sollten die Richtlinien von Fachbeh\u00f6rden wie dem japanischen Ministerium f\u00fcr Wirtschaft, Handel und Industrie und der unabh\u00e4ngigen Verwaltungsbeh\u00f6rde Information-Technology Promotion Agency (IPA) \u00fcberpr\u00fcfen, um die aktuellen Cyber-Risiken und deren Gegenma\u00dfnahmen zu verstehen, bevor sie mit der Entwicklung und dem Betrieb beginnen.<\/p>\n\n\n\n<p>Nicht nur die Anbieterseite, sondern auch die Nutzerseite sollte den Inhalt der Richtlinien in gewissem Ma\u00dfe verstehen und eine Entwicklung und Betrieb gem\u00e4\u00df den Richtlinien anfordern, und eine Klausel \u00fcber das Sicherheitsniveau in den Vertrag aufnehmen.<\/p>\n\n\n\n<p>Referenz: Japanisches Ministerium f\u00fcr Wirtschaft, Handel und Industrie | Cyber-Sicherheitsmanagement-Leitlinien Ver 2.0[ja]\n\n\n\n<p>Referenz: <a href=\"https:\/\/www.ipa.go.jp\/security\/vuln\/websecurity.html\" target=\"_blank\" rel=\"noreferrer noopener\">Information-Technology Promotion Agency | Wie man eine sichere Website erstellt[ja]<\/a><\/p>\n\n\n\n<p>Insbesondere in Bereichen wie dem Finanzsektor kann ein hohes Sicherheitsniveau durch Gesetze und Richtlinien gefordert werden. Sicherheitsma\u00dfnahmen f\u00fcr Kryptow\u00e4hrungen werden im Folgenden ausf\u00fchrlich erl\u00e4utert.<\/p>\n\n\n\n<p>Verwandter Artikel: <a href=\"https:\/\/monolith.law\/corporate\/cryptoassets-security\" target=\"_blank\" rel=\"noreferrer noopener\">Was sind Sicherheitsma\u00dfnahmen f\u00fcr Kryptow\u00e4hrungen? Erkl\u00e4rung mit drei Leckf\u00e4llen[ja]<\/a><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Beide_Parteien_verstehen_die_Notwendigkeit_von_Sicherheit\"><\/span>Beide Parteien verstehen die Notwendigkeit von Sicherheit<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>In den &#8220;Cyber-Sicherheitsmanagement-Leitlinien Ver 2.0&#8221; des japanischen Ministeriums f\u00fcr Wirtschaft, Handel und Industrie wird ausdr\u00fccklich darauf hingewiesen, dass &#8220;Cyber-Sicherheitsma\u00dfnahmen eine Managementfrage&#8221; sind.<\/p>\n\n\n\n<p>Anstatt die Sicherheit einfach an die Anbieterseite zu delegieren, weil man sie nicht versteht, sollte die Unternehmensseite das Risikomanagement als Teil des Managements betrachten und sich verantwortungsbewusst an den Gegenma\u00dfnahmen beteiligen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Beide_Parteien_arbeiten_gemeinsam_gegen_Cyber-Angriffe\"><\/span>Beide Parteien arbeiten gemeinsam gegen Cyber-Angriffe<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Im Falle eines Cyber-Angriffs sollten Auftraggeber und Anbieter nicht versuchen, die Verantwortung auf den anderen abzuw\u00e4lzen, sondern zusammenarbeiten, um den Schaden so gering wie m\u00f6glich zu halten.<\/p>\n\n\n\n<p>Leider neigt die Auftraggeberseite bei der Systementwicklung dazu, eine st\u00e4rkere Position einzunehmen, und die Systementwicklung wird oft auf Kosten und Lieferzeit ausgerichtet. Es kann vorkommen, dass der Anbieterseite nicht gen\u00fcgend Geld und Zeit zur Verf\u00fcgung gestellt wird und Vorschl\u00e4ge zur Sicherheit nicht akzeptiert werden.<\/p>\n\n\n\n<p>Die Richtlinien weisen jedoch darauf hin, dass Unternehmen auf der Nutzerseite die Umsetzung von Sicherheitsma\u00dfnahmen nicht als &#8220;Kosten&#8221;, sondern als notwendige Investition f\u00fcr zuk\u00fcnftige Gesch\u00e4ftsaktivit\u00e4ten und Wachstum betrachten sollten.<\/p>\n\n\n\n<p>Bei der Systementwicklung ist es wichtig, dass Anbieter und Nutzer auf gleicher Augenh\u00f6he zusammenarbeiten, um Cyber-Angriffen zu begegnen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Zusammenfassung_Konsultieren_Sie_einen_Anwalt_bei_der_Erstellung_eines_Systementwicklungsvertrags\"><\/span>Zusammenfassung: Konsultieren Sie einen Anwalt bei der Erstellung eines Systementwicklungsvertrags<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Im Falle eines Schadens durch einen Cyber-Angriff kann der an der Systementwicklung beteiligte Anbieter von der Nutzerfirma zur Verantwortung gezogen werden, wenn er die Cyber-Risikovorsorge vernachl\u00e4ssigt hat.<\/p>\n\n\n\n<p>Jedoch gibt es auch eine Verantwortung auf Seiten des Nutzerunternehmens, das seine Pflicht zur Zusammenarbeit mit dem Anbieter vernachl\u00e4ssigt hat.<\/p>\n\n\n\n<p>Um den Schaden durch Cyber-Angriffe so gering wie m\u00f6glich zu halten, ist es notwendig, im Vertrag das Systemniveau und die jeweiligen Verantwortungsbereiche festzulegen.<\/p>\n\n\n\n<p>Bei der Erstellung von Vertr\u00e4gen f\u00fcr die Systementwicklung sollten Sie einen Anwalt mit umfassendem Fachwissen konsultieren, der die Inhalte der Richtlinien und die aktuellen Cyber-Risiken versteht.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Masnahmen_unserer_Kanzlei\"><\/span>Ma\u00dfnahmen unserer Kanzlei<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Die Monolith Rechtsanwaltskanzlei ist eine Kanzlei mit hoher Fachkompetenz in IT, insbesondere Internet und Recht. Bei der Unterzeichnung eines Systementwicklungsvertrags ist die Erstellung eines Vertragsdokuments erforderlich. Unsere Kanzlei erstellt und \u00fcberpr\u00fcft Vertragsdokumente f\u00fcr eine Vielzahl von F\u00e4llen, von Unternehmen, die an der Tokyo Stock Exchange gelistet sind, bis hin zu Start-up-Unternehmen. Wenn Sie Probleme mit Vertragsdokumenten haben, lesen Sie bitte den folgenden Artikel.<\/p>\n\n\n\n<p>Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: <a href=\"https:\/\/monolith.law\/systemdevelopment\" target=\"_blank\" rel=\"noreferrer noopener\">Rechtsangelegenheiten im Zusammenhang mit der Systementwicklung[ja]<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>In den letzten Jahren haben Cyber-Angriffe auf Unternehmen stetig zugenommen. Laut einer Untersuchung der Japanischen Netzwerksicherheitsvereinigung (JNSA), einer speziellen gemeinn\u00fctzigen Organisatio [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":69540,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[35,19],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/posts\/58676"}],"collection":[{"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/comments?post=58676"}],"version-history":[{"count":3,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/posts\/58676\/revisions"}],"predecessor-version":[{"id":69542,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/posts\/58676\/revisions\/69542"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/media\/69540"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/media?parent=58676"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/categories?post=58676"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/tags?post=58676"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}