Weitergedacht 

Warum Lieferketten rechtlich mehr sind als eine Aneinanderreihung von Verträgen.

Und warum das Risikomanagement dort neu ansetzen muss.

Fachbeitrag | Cliffrock

Ausgangslage

Cyberrisiken werden im Risikomanagement regelmäßig als eines der zentralen Unternehmensrisiken eingeordnet.


Die Bedrohung entsteht dabei längst nicht mehr nur aus den eigenen Systemen, sondern zunehmend aus ausgelagerten Leistungen und mehrstufigen Lieferketten.

 

Moderne IT- und Geschäftsmodelle sind ohne den Einsatz externer Dienstleister und Subdienstleister kaum noch denkbar.


Lieferketten sind damit faktisch Risikoketten.

 

Vor diesem Hintergrund stellt sich weniger die Frage, ob ausgelagert wird, sondern wie Verantwortung in diesen Strukturen rechtlich organisiert ist.

 

Weitergedacht bedeutet hier: Verantwortung endet nicht beim Hauptdienstleister – und nicht beim Vertragsschluss.

Verträge als Ausgangspunkt – nicht als Absicherung

In der Praxis zeigt sich immer wieder:

 

Nicht die Anzahl oder Komplexität von Verträgen entscheidet über Steuerbarkeit und Sicherheit, sondern die Einigung der Vertragsparteien über konkrete Verantwortungsmechanismen.

 

Verträge schaffen keinen Schutz per se.


Sie sind ein Instrument – und ihre Wirkung hängt davon ab, worauf sich die Parteien tatsächlich verständigt haben.

 

Gerade bei Auslagerungen und mehrstufigen Lieferketten werden zentrale Punkte häufig nur abstrakt geregelt:

 

  • Welche Verantwortung trägt der Hauptdienstleister tatsächlich für Subunternehmer?
  • Welche Pflichten treffen Subunternehmer unmittelbar gegenüber dem Auftraggeber oder dem Institut?
  • Welche Steuerungs-, Eingriffs- und Kontrollrechte bestehen jenseits formaler Zusicherungen?

Weitergedacht heißt: Verträge müssen nicht nur rechtlich korrekt, sondern operativ belastbar sein.

Berichtspflichten und Vorfälle: der Belastungstest

Besonders deutlich wird die Qualität vertraglicher Regelungen im Umgang mit Störungen und Sicherheitsvorfällen.

 

Risikomanagement endet nicht bei Präventionsmaßnahmen.
Es umfasst auch klare Berichts- und Informationspflichten bei Incidents – entlang der gesamten Leistungskette.

 

Entscheidend ist dabei nicht nur der Incident selbst, sondern:

  • ob Meldewege eindeutig definiert sind,
  • ob Fristen, Inhalte und Eskalationsstufen klar geregelt sind,
  • und ob diese Pflichten auch gegenüber Subdienstleistern durchsetzbar vereinbart wurden.

An dieser Stelle zeigt sich, was ein Vertrag tatsächlich leistet
und wie nachhaltig sich die Parteien bereits vor Eintritt eines Vorfalls über Verantwortung verständigt haben.

Spannungsfeld der Interessen

Ein strukturelles Spannungsfeld ist dabei kaum zu vermeiden:

 

Der Dienstleister agiert als eigenständiges Unternehmen mit eigenen wirtschaftlichen Interessen. Der Auftraggeber hingegen ist darauf angewiesen, den Dienstleister funktional wie eine ausgelagerte Fachabteilung zu steuern.

 

Dieses Spannungsfeld lässt sich nicht auflösen, aber vertraglich gestalten.

 

Weitergedacht heißt hier: Verträge müssen anerkennen, dass Autonomie des Dienstleisters und Steuerungsbedarf des Auftraggebers kollidieren können – und genau dafür klare Regelungen treffen.

Unsere Perspektive

Unsere Aufgabe ist es nicht, Komplexität zu erhöhen.


Unsere Aufgabe ist es, Verantwortungsstrukturen rechtlich so zu ordnen, dass sie im Alltag tragen. Das betrifft insbesondere:

  • klare Zuweisung von Verantwortlichkeiten über Lieferketten hinweg,
  • belastbare Regelungen zu Berichtspflichten und Eingriffsrechten,
  • und Vertragsstrukturen, die auch unter Druck funktionieren.

Weitergedacht heißt für uns: Verträge so zu gestalten, dass Verantwortung nicht theoretisch verteilt, sondern praktisch wahrgenommen werden kann

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.