01.03.2022, Handels- und Vertriebsrecht

Vertriebsverträge und Cyber-Risiken

Hacker-Angriff auf IT-Systeme der Firma Oiltanking

Ein Beitrag von Dr. Bernd Fleischer, Fachanwalt für Gewerblichen Rechtsschutz

Die Firma Oiltanking gehört zur Hamburger Firmengruppe Marquard & Bahls und wurde Ende Januar 2022 Opfer eines Cyberangriffs. Durch einen Hacker Angriff wurde das IT-System der Ladesysteme der Firma lahmgelegt Hierdurch wurde für kurze Zeit auch die Versorgung zur Tankstellenkette Shell unterbrochen.

Nach einer entsprechenden Mitteilung an Geschäftspartner hatte Oiltanking mitgeteilt, dass alle Be- und Entladesysteme der Firma betroffen seien, sodass zeitweise keine Tankwagen beladen werden konnten, um die abnehmenden Kunden zu beliefern.

Zunehmende Gefahr von Cyber-Risiken

Statistisch war mindestens die Hälfte aller deutschen Unternehmen bereits einem Cyber-Risiko ausgesetzt. Infolge der stark zunehmenden Digitalisierung wird diese Zahl vermutlich weiter ansteigen. Hacker-Angriffe können unter Umständen zum Ausfall der gesamten IT-Infrastruktur innerhalb eines Unternehmens führen und große Schäden für ein Unternehmen nach sich ziehen. Welche Möglichkeiten haben die Unternehmen, um hier gegenzusteuern und sich abzusichern?

Prüfung der Vertriebsverträge

Unternehmen sollten das enorm gestiegene Cyber-Risiko dazu nutzen, ihre vorhandenen Distributionskanäle und Vertriebsverträge auf einen möglichen Haftungsausschluss etwaiger Nichtlieferung wegen eines Cyber-Angriffs zu überprüfen. Hierbei spielt es keine Rolle, wie der Vertrag mit seinem Geschäftspartner genau bezeichnet ist. Dies kann ein Vertragshändlervertrag sein, ein Liefervertrag oder ein Lizenzvertrag. Vielseitige Risiken können für den Unternehmer durch kriminelle Cyber-Aktivitäten dadurch – wie im obigen Beispiel der Firma Oiltanking – entstehen, dass infolge des Ausfalls der IT-System die eigene vertraglich zugesicherte Leistung nicht erbracht werden und keine Lieferung erfolgen kann. Manchmal kommt es auch zu erheblichen Datenverlusten des Unternehmens und von Kunden des betroffenen Unternehmens. Hieraus resultieren sodann weitergehende Handlungspflichten des betroffenen Unternehmens.

Nichtlieferung wegen Cyber-Angriff höhere Gewalt?

In nahezu jedem Vertriebsvertrag ist in der Regel eine Klausel über die Folgen „höherer Gewalt“ enthalten. Nach der Rechtsprechung wird unter höherer Gewalt „ein von außen kommendes, keinen betrieblichen Zusammenhang aufweisendes und auch durch die äußerste vernünftigerweise zu erwartende Sorgfalt nicht abwendbares Ereignis“ (BGH, Urteil vom 16.5.2017 – X ZR 142/15, Rn. 8; m.w.N.) verstanden. Um sich einem Schadensersatzanspruch ausgesetzt zu sehen, bedarf es neben der Nichtlieferung als weitere Voraussetzung zudem einer schuldhaften, das heißt einer fahrlässigen oder vorsätzlichen Pflichtverletzung.

IT- Infrastruktur im Unternehmen

Oiltanking unterlag wie oben ausgeführt einem Cyber-Angriff und konnte deshalb keine Be- und Entladesystem mehr bedienen. Es ist somit unmöglich geworden, die vereinbarten Waren (u.a. an Shell) auszuliefern. Das Unternehmen wird von der entsprechenden Pflicht befreit. Bei der nachgelagerten Frage des Schadensersatzes ist es jedoch entscheidend maßgeblich, ob das Unternehmen den Umstand, der zur Unmöglichkeit führte, auch selbst verschuldet hat. Nutzte Oiltanking etwa keine Firewall und schaffte dadurch ein erhöhtes Risiko, einem Cyber-Angriff zu erliegen, so dürfte ein Verschulden anzunehmen sein und eine Schadensersatzhaftung gegeben sein. Wenn die IT-Sicherheit durch ein gutes Cyber-Security System abgesichert war und dem anerkannten Stand der Technik entsprach, dürfte ein Verschulden ausscheiden. Am sichersten ist es jedoch, wenn die Unternehmen in ihren Vertriebsverträgen einen Haftungsausschluss bei einem vorhandenen Cyber-Angriff als höhere Gewalt ausschließen. Die jetzigen Standardformulierungen reichen hierfür nicht aus.

Cyber-Versicherung ebenfalls ratsam

Zusätzlich zu der Optimierung der eigenen Vertriebsverträge und Einbindung des Cyber-Angriffs als expliziten Aspekt einer Vertragsklausel der höheren Gewalt, ist auch der Abschluss einer Cyber-Versicherung zu empfehlen. Eine Cyber-Versicherung schützt Unternehmen und ihre Mitarbeiter gegen Vermögensschäden, die durch Cyber-Angriffe entstehen können. Eine Cyber-Versicherung kann auch sogenannte Drittschäden übernehmen, also wenn ein Kunde durch den Cyber-Angriff des Unternehmens geschädigt wird. Darunter fallen Datenschutzrechts- oder Persönlichkeitsrechtsverletzungen, aber auch Rufschädigung oder etwaige Schadensersatzansprüche.

Cyber-Angriffe ernst nehmen

Als Fazit der oben dargestellten Sachlage lässt sich ausführen, dass Unternehmen die Möglichkeit von Schäden durch Cyber-Angriffe durchaus ernstnehmen und keinesfalls unterschätzen sollten. Der Aufbau einer guten IT-Infrastruktur, die auch Cyber-Sicherheitsaspekte umfasst, die Prüfung des Vertragsmanagements und der eigenen Vertriebsverträge und der Abschluss einer Cyber-Versicherung gehören zu sinnvollen Schutzmaßnahmen auch im Vorfeld eines Hacker-Angriffes, die ergriffen werden können und sollten.

Kontaktformular für unverbindliche Mandatsanfragen

Schildern Sie uns Ihr Anliegen und/oder lassen Sie sich zurückrufen.

Hiermit willige ich in die Verarbeitung meiner Daten gemäß der Datenschutzerklärung (Ziffer VIII.) ein. Die Daten werden zur Bearbeitung meiner Kontaktanfrage benötigt und nicht an Dritte weitergegeben. Diese Einwilligung kann ich jederzeit mit Wirkung für die Zukunft durch Erklärung gegenüber ROSE & PARTNER widerrufen.