ISMS

IT-Sicherheitsklauseln in Verträgen: Was du von Dienstleistern fordern solltest

19 Min. Lesezeit
TL;DR
  • Jeder Vertrag mit einem IT-Dienstleister, der Zugang zu deinen Daten oder Systemen hat, braucht explizite Sicherheitsklauseln.
  • Die fünf Kernbereiche sind: Sicherheitsstandards, Meldepflichten bei Vorfällen, Audit-Recht, SLA mit Sicherheitskennzahlen und Haftungsregelungen.
  • Das Audit-Recht ist die wichtigste Einzelklausel: Ohne die Möglichkeit, die Sicherheit deines Dienstleisters zu prüfen, bist du ihm ausgeliefert.
  • ISO 27001 oder vergleichbare Zertifizierungen des Dienstleisters ersetzen keine vertraglichen Regelungen, ergänzen sie aber sinnvoll.
  • NIS2 verschärft die Anforderungen an die Lieferkettensicherheit erheblich. Unternehmen müssen die Sicherheit ihrer Dienstleister aktiv managen.

Deine Sicherheit endet nicht an der Firmengrenze

Kaum ein Unternehmen betreibt heute seine IT vollständig allein. Cloud-Provider hosten die Infrastruktur, SaaS-Anbieter stellen Anwendungen bereit, Managed-Service-Provider übernehmen den IT-Betrieb, Entwicklungsdienstleister schreiben Software und Berater haben Zugang zu vertraulichen Informationen. Jeder dieser Dienstleister ist ein potenzielles Einfallstor für Angreifer und ein potenzieller Verursacher von Datenpannen.

Die Angriffe auf SolarWinds (2020), Kaseya (2021) und MOVEit (2023) haben gezeigt, dass Supply-Chain-Angriffe zu den gefährlichsten Bedrohungen gehören. Ein kompromittierter Dienstleister kann Hunderte oder Tausende seiner Kunden gleichzeitig betreffen.

Trotzdem enthalten viele Verträge mit IT-Dienstleistern keine oder nur rudimentäre Sicherheitsklauseln. "Der Auftragnehmer gewährleistet angemessene Sicherheitsmaßnahmen" ist eine Leerformel, die im Streitfall nichts wert ist, weil niemand definiert hat, was "angemessen" bedeutet.

Rechtliche Grundlagen

NIS2 und Lieferkettensicherheit

Die NIS2-Richtlinie (und das deutsche Umsetzungsgesetz NIS2UmsuCG) verschärft die Anforderungen an die Sicherheit in der Lieferkette erheblich. Artikel 21 Absatz 2 Buchstabe d fordert explizit "Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern."

Das bedeutet: Wenn du unter NIS2 fällst, musst du die Cybersicherheit deiner Dienstleister aktiv managen, vertragliche Anforderungen an die Cybersicherheit stellen und die Einhaltung kontrollieren.

ISO 27001

Die ISO 27001:2022 adressiert das Thema in mehreren Kontrollen: A.5.19 (Informationssicherheit in Lieferantenbeziehungen), A.5.20 (Berücksichtigung der Informationssicherheit in Lieferantenvereinbarungen), A.5.21 (Management der Informationssicherheit in der IKT-Lieferkette), A.5.22 (Überwachung, Überprüfung und Management von Änderungen bei Lieferantendienstleistungen).

DSGVO

Wenn der Dienstleister personenbezogene Daten in deinem Auftrag verarbeitet, brauchst du zusätzlich einen Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 DSGVO. Der AVV regelt die datenschutzrechtlichen Aspekte und enthält eigene Sicherheitsanforderungen. Die IT-Sicherheitsklauseln im Hauptvertrag ergänzen den AVV, ersetzen ihn aber nicht.

Die fünf Kernbereiche der IT-Sicherheitsklauseln

1. Sicherheitsstandards und Mindestanforderungen

Definiere konkret, welche Sicherheitsstandards der Dienstleister einhalten muss. Allgemeine Formulierungen wie "Stand der Technik" sind zu unbestimmt. Stattdessen solltest du spezifische Anforderungen benennen. Eine Lieferanten-Sicherheitsrichtlinie liefert den übergeordneten Rahmen, aus dem du die konkreten Klauseln ableitest.

Musterformulierung: "Der Auftragnehmer verpflichtet sich, ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001 oder einem vergleichbaren Standard zu betreiben und aufrechtzuerhalten. Der Auftragnehmer weist die Einhaltung durch ein gültiges Zertifikat einer akkreditierten Zertifizierungsstelle oder durch erfolgreiche Absolvierung eines vom Auftraggeber durchgeführten oder beauftragten Audits nach."

Wenn eine ISO-27001-Zertifizierung für den Dienstleister nicht realistisch ist (z. B. bei kleinen Anbietern), kannst du stattdessen einen konkreten Anforderungskatalog als Vertragsanlage beifügen. Dieser Katalog listet die Sicherheitsmaßnahmen auf, die du erwartest: Verschlüsselung, Zugriffsmanagement, Patch-Management, Backup, Logging und so weiter.

Musterformulierung (Anforderungskatalog): "Der Auftragnehmer implementiert und betreibt die in Anlage X beschriebenen technischen und organisatorischen Maßnahmen. Änderungen an den Maßnahmen, die das Sicherheitsniveau beeinflussen, bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers."

2. Meldepflichten bei Sicherheitsvorfällen

Im Falle eines Sicherheitsvorfalls beim Dienstleister musst du schnell informiert werden, damit du eigene Maßnahmen ergreifen kannst (Incident Response, Benachrichtigung der Betroffenen, Meldung an die Aufsichtsbehörde).

Musterformulierung: "Der Auftragnehmer meldet dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, jeden Sicherheitsvorfall, der die Vertraulichkeit, Integrität oder Verfügbarkeit der Daten oder Systeme des Auftraggebers beeinträchtigen könnte. Die Meldung erfolgt an [Kontaktstelle] und enthält mindestens: (a) Beschreibung des Vorfalls, (b) betroffene Systeme und Daten, (c) Zeitpunkt der Entdeckung, (d) bereits ergriffene Gegenmaßnahmen, (e) geschätzte Auswirkungen."

Die 24-Stunden-Frist ist bewusst kürzer als die 72-Stunden-Frist der DSGVO, weil du als Auftraggeber noch eigene Bewertungs- und Meldepflichten hast. Manche Unternehmen vereinbaren sogar kürzere Fristen (4 bis 8 Stunden) für kritische Dienstleister.

Ergänzend empfehlenswert: "Der Auftragnehmer unterstützt den Auftraggeber bei der Untersuchung des Vorfalls, stellt relevante Log-Daten und Forensik-Ergebnisse zur Verfügung und kooperiert mit den vom Auftraggeber beauftragten Incident-Response-Teams."

3. Audit-Recht

Das Audit-Recht ist die wichtigste Einzelklausel. Ohne die Möglichkeit, die Sicherheitsmaßnahmen deines Dienstleisters zu prüfen, bleiben alle anderen Klauseln Lippenbekenntnisse.

Musterformulierung: "Der Auftraggeber hat das Recht, die Einhaltung der in diesem Vertrag vereinbarten Sicherheitsanforderungen durch eigene Mitarbeiter oder beauftragte Dritte (Auditoren) zu prüfen. Das Audit-Recht umfasst: (a) Vor-Ort-Inspektionen der relevanten Räumlichkeiten und Systeme, (b) Einsicht in relevante Dokumentation (Richtlinien, Prozessbeschreibungen, Protokolle), (c) Interviews mit relevanten Mitarbeitern des Auftragnehmers, (d) technische Prüfungen (Schwachstellenscans, Konfigurationsprüfungen) nach vorheriger Abstimmung. Audits werden mit einer Vorankündigungsfrist von 10 Werktagen angekündigt. Der Auftragnehmer gewährt den erforderlichen Zugang und unterstützt das Audit in angemessenem Umfang. Die Kosten des Audits trägt der Auftraggeber, es sei denn, das Audit deckt wesentliche Verstöße auf; in diesem Fall trägt der Auftragnehmer die Kosten."

Pragmatischer Ansatz für kleinere Dienstleister: Viele kleinere Dienstleister lehnen umfangreiche Vor-Ort-Audits ab, weil sie den Aufwand scheuen. Als Kompromiss kannst du vereinbaren, dass der Dienstleister jährlich einen Sicherheitsbericht vorlegt, der die Einhaltung der vereinbarten Maßnahmen dokumentiert, und dass ein vollständiges Audit nur bei konkretem Anlass (Sicherheitsvorfall, Beschwerde, wesentliche Änderung) durchgeführt wird.

Zertifikate als Audit-Ersatz: Du kannst vereinbaren, dass ein gültiges ISO-27001-Zertifikat das regelmäßige Audit ersetzt, solange der Geltungsbereich des Zertifikats die für dich relevanten Dienstleistungen abdeckt. Achte auf den Geltungsbereich: Ein Zertifikat für den Standort München hilft nicht, wenn deine Daten in Frankfurt verarbeitet werden.

4. SLA mit Sicherheitskennzahlen

Service Level Agreements (SLA) regeln traditionell Verfügbarkeit und Reaktionszeiten. Ergänze sie um sicherheitsrelevante Kennzahlen.

Verfügbarkeit: "Der Auftragnehmer gewährleistet eine Verfügbarkeit des Dienstes von 99,9 Prozent im Monatsdurchschnitt, gemessen am Zugang zum Produktivsystem. Geplante Wartungsfenster werden mindestens 5 Werktage im Voraus angekündigt und zählen nicht als Ausfallzeit."

Patch-Management: "Der Auftragnehmer behebt kritische Sicherheitslücken (CVSS 9.0 oder höher) innerhalb von 48 Stunden nach Bekanntwerden. Hohe Sicherheitslücken (CVSS 7.0-8.9) werden innerhalb von 7 Tagen behoben. Die Einhaltung wird monatlich berichtet."

Reaktionszeit bei Vorfällen: "Bei sicherheitsrelevanten Vorfällen beginnt der Auftragnehmer innerhalb von 2 Stunden nach Kenntniserlangung mit der Analyse und Eindämmung. Der Auftraggeber erhält innerhalb von 4 Stunden einen ersten Statusbericht."

Backup und Recovery: "Der Auftragnehmer erstellt tägliche Backups der Daten des Auftraggebers und bewahrt diese mindestens 30 Tage auf. Restore-Tests werden vierteljährlich durchgeführt und dokumentiert. Die maximale Wiederherstellungszeit (RTO) beträgt 4 Stunden, der maximale Datenverlust (RPO) beträgt 24 Stunden."

Konsequenzen bei Nichteinhaltung: Definiere, was passiert, wenn SLA-Werte nicht eingehalten werden. Üblich sind gestaffelte Pönalen: z. B. 5 Prozent Gutschrift auf die Monatsgebühr pro 0,1 Prozent Unterschreitung der Verfügbarkeit.

5. Haftung und Schadensersatz

Die Haftungsklausel regelt, wer für Schäden aufkommt, die durch Sicherheitsvorfälle beim Dienstleister entstehen.

Musterformulierung: "Der Auftragnehmer haftet für Schäden, die dem Auftraggeber durch die Verletzung der in diesem Vertrag vereinbarten Sicherheitspflichten entstehen. Die Haftung umfasst direkte Schäden (Datenwiederherstellung, Systemwiederherstellung, Betriebsunterbrechung) sowie Drittschäden (Schadensersatzansprüche Betroffener, Bußgelder der Aufsichtsbehörden), soweit der Auftragnehmer diese durch seine Pflichtverletzung verursacht hat."

Haftungsbegrenzung: In der Praxis werden Dienstleister eine Haftungsbegrenzung fordern. Üblich ist eine Begrenzung auf den Jahresauftragswert oder ein Vielfaches davon. Achte darauf, dass die Begrenzung nicht so niedrig ist, dass sie für dich im Schadensfall wertlos ist. Und achte darauf, dass Vorsatz und grobe Fahrlässigkeit von der Haftungsbegrenzung ausgenommen sind.

Freistellungsklausel: "Der Auftragnehmer stellt den Auftraggeber von Ansprüchen Dritter frei, die aufgrund einer Verletzung der in diesem Vertrag vereinbarten Sicherheitspflichten durch den Auftragnehmer entstehen."

Weitere wichtige Klauseln

Unterauftragnehmer (Sub-Contracting)

Viele Dienstleister setzen ihrerseits Unterauftragnehmer ein. Das erweitert die Angriffsfläche und macht die Kontrolle schwieriger.

Musterformulierung: "Der Auftragnehmer darf Unterauftragnehmer nur nach vorheriger schriftlicher Zustimmung des Auftraggebers einsetzen. Der Auftragnehmer stellt sicher, dass Unterauftragnehmer mindestens die gleichen Sicherheitsanforderungen einhalten, die in diesem Vertrag vereinbart sind. Der Auftragnehmer haftet für Pflichtverletzungen seiner Unterauftragnehmer wie für eigene Pflichtverletzungen."

Datenrückgabe und Löschung bei Vertragsende

Was passiert mit deinen Daten, wenn der Vertrag endet? Ohne klare Regelung riskierst du, dass Daten beim Dienstleister verbleiben und dort unzureichend geschützt oder unzureichend gelöscht werden.

Musterformulierung: "Bei Vertragsende gibt der Auftragnehmer dem Auftraggeber alle Daten in einem gängigen, maschinenlesbaren Format zurück. Nach bestätigtem Erhalt der Daten löscht der Auftragnehmer alle Daten des Auftraggebers unwiederbringlich, einschließlich Backups und Kopien, innerhalb von 30 Tagen. Der Auftragnehmer bestätigt die vollständige Löschung schriftlich."

Änderungsmanagement (Change Management)

Wesentliche Änderungen an der Infrastruktur oder den Sicherheitsmaßnahmen des Dienstleisters können dein Sicherheitsniveau beeinflussen.

Musterformulierung: "Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage im Voraus über wesentliche Änderungen an Infrastruktur, Standorten, Sicherheitsmaßnahmen oder Unterauftragnehmern, die die Erbringung der vertragsgegenständlichen Leistungen betreffen. Wesentliche Änderungen bedürfen der Zustimmung des Auftraggebers."

Kooperationspflicht bei Audits und Vorfällen

Im Ernstfall brauchst du die volle Kooperation deines Dienstleisters. Das sollte vertraglich abgesichert sein.

Musterformulierung: "Der Auftragnehmer kooperiert vollumfänglich mit dem Auftraggeber und dessen Beauftragten bei der Untersuchung von Sicherheitsvorfällen, bei Audits und Prüfungen durch den Auftraggeber oder dessen Beauftragte, bei behördlichen Prüfungen und Ermittlungen, die die Daten oder Systeme des Auftraggebers betreffen, sowie bei der Erfüllung regulatorischer Meldepflichten des Auftraggebers."

Verhandlungsstrategie

Realismus bewahren

Nicht jeder Dienstleister wird alle deine Klauseln akzeptieren. Große Cloud-Provider wie AWS, Azure oder Google Cloud verhandeln ihre Standardverträge in der Regel nicht individuell. Hier musst du prüfen, ob die Standard-Vertragsbedingungen deine Anforderungen abdecken, und die Lücken durch eigene Maßnahmen kompensieren.

Bei kleineren und mittleren Dienstleistern hast du mehr Verhandlungsspielraum. Nutze ihn, aber bleibe verhältnismäßig. Ein Ein-Mann-IT-Berater kann kein ISO-27001-Zertifikat vorweisen und kein Vor-Ort-Audit alle sechs Monate stemmen. Passe die Anforderungen an die Größe und Kritikalität des Dienstleisters an.

Priorisierung

Wenn du nicht alles durchsetzen kannst, priorisiere: Das Audit-Recht ist unverzichtbar, weil es die Grundlage für alle Kontrollen bildet. Meldepflichten bei Vorfällen müssen klar geregelt sein, damit du im Ernstfall nicht im Dunkeln stehst. Sicherheitsstandards als Vertragsanlage geben dir eine konkrete Messlatte. SLA-Kennzahlen sind wichtig für die laufende Überwachung. Haftungsregelungen schützen dich finanziell.

Vertragsanlage statt Vertragstext

Detaillierte technische Anforderungen gehören in eine Vertragsanlage, nicht in den Hauptvertrag. Das hat zwei Vorteile: Die Anlage kann aktualisiert werden, ohne den Hauptvertrag zu ändern (wenn im Hauptvertrag eine Änderungsklausel für Anlagen vorgesehen ist). Und technische Details belasten nicht den rechtlichen Vertragstext.

Typische Schwachstellen in bestehenden Verträgen

Zur systematischen Bewertung deiner Dienstleister eignet sich ein Sicherheitsfragebogen, der die wichtigsten Themen strukturiert abfragt. Wenn du bestehende Verträge mit IT-Dienstleistern prüfst, wirst du häufig auf folgende Schwachstellen stoßen:

Keine Sicherheitsklauseln vorhanden: Viele Altverträge enthalten keinerlei Regelungen zur Informationssicherheit, besonders wenn sie vor 2018 (DSGVO) oder vor der NIS2-Diskussion geschlossen wurden. Plane eine systematische Durchsicht aller bestehenden Verträge und verhandle Ergänzungsvereinbarungen.

Allgemeine Floskeln statt konkreter Anforderungen: "Der Auftragnehmer trifft angemessene Sicherheitsmaßnahmen" ist eine Leerformel. Ersetze solche Formulierungen durch konkrete Anforderungskataloge als Vertragsanlage.

Kein Audit-Recht: Ohne Audit-Recht kannst du die Einhaltung der vereinbarten Maßnahmen nicht prüfen. Verhandle ein Audit-Recht nach, auch wenn der Dienstleister sich zunächst dagegen sträubt.

Meldepflichten fehlen oder sind zu vage: "Der Auftragnehmer informiert den Auftraggeber über Sicherheitsvorfälle" sagt nichts über Fristen, Inhalte und Kontaktwege. Konkretisiere die Meldepflichten mit Fristen und Mindestinhalten.

Haftungsbegrenzung zu niedrig: Wenn die Haftung auf den Monatsumsatz begrenzt ist und der Dienstleister dir 500 Euro pro Monat berechnet, ist die Haftungsgrenze im Schadensfall irrelevant. Verhandle eine Haftungsgrenze, die in einem vernünftigen Verhältnis zum potenziellen Schaden steht.

Keine Regelung für Vertragsende: Was passiert mit deinen Daten, wenn der Vertrag endet? Ohne Regelung riskierst du, dass Daten beim Dienstleister verbleiben.

Laufende Überwachung

Der Vertrag allein reicht nicht. Du musst die Einhaltung der vereinbarten Klauseln laufend überwachen. Prüfe jährlich, ob der Dienstleister die vereinbarten Sicherheitsstandards einhält, ob Zertifikate noch gültig sind, ob sich wesentliche Änderungen ergeben haben, ob die SLA-Kennzahlen eingehalten werden und ob Meldepflichten im vergangenen Jahr ausgelöst wurden. Dokumentiere die Ergebnisse der Überwachung in deinem ISMS. Bei Verstößen eskaliere gemäß den vertraglich vereinbarten Mechanismen.

Führe ein Dienstleister-Register in deinem ISMS, das für jeden Dienstleister den Vertragsstatus, die vereinbarten Sicherheitsanforderungen, den Status der letzten Prüfung und die nächste geplante Überprüfung enthält. In ISMS Lite lässt sich dieses Register mit den verknüpften Verträgen, Audit-Terminen und Bewertungsergebnissen zentral führen, sodass du bei jeder Prüfung den aktuellen Stand griffbereit hast. Dieses Register gibt dir jederzeit einen Überblick über die Sicherheitslage deiner Lieferkette und ist bei Audits ein wertvolles Nachweisdokument.

Weiterführende Artikel

IT-Sicherheitsklauseln Vertragsmanagement IT Dienstleister Sicherheit Audit-Recht Vertrag SLA Informationssicherheit Lieferantenmanagement

Lieferantenmanagement im ISMS aufbauen

ISMS Lite unterstützt dich bei der Bewertung und Überwachung deiner IT-Dienstleister, der Verwaltung von Sicherheitsklauseln und der Planung von Lieferantenaudits.

Jetzt installieren