23. Juli 2024 Philipp Zumbo, Ivo Deskovic, Andreas Schütz*

Weltweiter Computerstillstand wirft viele rechtliche Fragen auf

Der bisher wohl größte Cyber-Vorfall bringt ein immenses juristisches Nachspiel mit sich und wirft zahlreiche Fragen auf. Die Experten der Disputes & Investigations und IT-Teams der internationalen Sozietät Taylor Wessing setzen sich mit der Thematik auseinander und haben Antworten. [...]

Die Taylor Wessing Partner Philipp Zumbo und Ivo Deskovic (Disputes & Investigations) und Andreas Schütz (IT) beantworten Fragen, die sich betroffenen Unternehmen im Zusammenhang mit dem weltweiten Cyber-Vorfall rund um CrowdStrike stellen. (C) Taylor Wessing
Die Taylor Wessing Partner Philipp Zumbo und Ivo Deskovic (Disputes & Investigations) und Andreas Schütz (IT) beantworten Fragen, die sich betroffenen Unternehmen im Zusammenhang mit dem weltweiten Cyber-Vorfall rund um CrowdStrike stellen. (C) Taylor Wessing

Freitag, 19. Juli 2024 wird wohl in die Geschichte eingehen: Auf Grund eines fehlerhaften Codes in einem CrowdStrike-Update standen weltweit Millionen Computer still. Betroffen waren unter anderem Flughäfen, Banken, Telekommunikationsunternehmern, Krankenhäuser und Rundfunksender. Die Konsequenzen des Vorfalls dauern zum Teil immer noch an.

1. Wer haftet den betroffenen Unternehmen für Umsatzausfälle?

In jenen Fällen, in denen CrowdStrike der direkte Vertragspartner der betroffenen Unternehmen ist und keine (hinreichende) Versicherungsdeckung für nicht böswillige Cyber-Angriffe besteht, müssten die Unternehmen versuchen, direkt gegen CrowdStrike bzw. deren Versicherer vorzugehen. Philipp Zumbo, CEE Head of Disputes & Investigations bei Taylor Wessing, weiß: „Das ist für österreichische
Unternehmen vor allem deswegen schwierig, weil sich in den AGB von CrowdStrike nicht nur umfangreiche Haftungsausschlüsse finden. Neben der Anwendbarkeit Kalifornischen Rechts wird zudem die ausschließliche Zuständigkeit Kalifornischer Gerichte vereinbart“. Ob diese AGB zwischen CrowdStrike und den betroffenen Unternehmen wirksam vereinbart wurden, ist in jedem Einzelfall gesondert zu prüfen.

Ist der Vertragspartner hingegen ein anderes (EU-)Unternehmen, das die CrowdStrike-Software – etwa als Plug In – für seine eigene Sicherheitssoftware einsetzt, wären Ersatzansprüche primär gegenüber diesem Unternehmen zu prüfen. Auch in diesen Fällen sind vorab das anwendbare Recht, die Gerichtszuständigkeit und allfällige Haftungsbeschränkungen zu klären.

2. Müssen betroffene Unternehmen ihren Kunden in jedem Fall Schadenersatz leisten?

Nein. Bei Flugausfällen etwa stellt sich die Rechtslage als komplex dar, weil nach der Fluggastrechteverordnung zwar in der Regel ein Anspruch auf einen Ersatztransport besteht, andererseits aber eine Ausgleichszahlung entfällt, wenn die Annullierung des Fluges aufgrund „außergewöhnlicher Umstände“ erfolgt. Technische Probleme sind zwar in der Regel keine außergewöhnlichen Umstände. Wenn aber der Flugausfall auf ein technisches Problem des Flughafens zurückzuführen ist, dann entfällt die Haftung der Fluglinie im Regelfall.

Überdies enthalten zahlreiche AGB von betroffenen Unternehmen Haftungsausschlüsse für (leicht) fahrlässig verursachte (Folge-)Schäden und unabwendbare Ereignisse. „Ob ein solcher Fall tatsächlich vorliegt, ist für jedes Vertragsverhältnis gesondert zu prüfen. Die genannten Haftungsbeschränkungen sind zumindest im B2B- Bereich regelmäßig weitgehend wirksam. Im B2C-Bereich stellt sich dies eher umgekehrt dar“, so Ivo Deskovic, Partner im Taylor Wessing Disputes & Investigations Team.

3. Wie sieht es mit indirekt betroffenen Unternehmen aus (Kunden/Lieferanten von direkt betroffenen Unternehmen)?

Indirekt betroffene Unternehmen stehen vor dem Problem, dass sie die erforderlichen Vorleistungen von den direkt Betroffenen nicht erhalten, aber ihrerseits gegenüber den eigenen Kunden eine Leistungspflicht erfüllen müssen. Während sich die Endkunden, vor allem wenn sie Verbraucher sind, bei den indirekt betroffenen Unternehmen regelmäßig weitgehend schadlos halten können, müssen diese gegen ihre oft im Ausland befindlichen Vertragspartner – oder direkt gegen CrowdStrike bzw. deren Versicherer – vorgehen.

4. Gibt es Tipps für direkt/indirekt betroffene Unternehmen?

Zunächst sollten die bestehenden Vereinbarungen mit den betroffenen Vertragspartnern geprüft werden. An bestehende Versicherungen sollten Deckungsanfragen gestellt werden. Dabei ist Eile geboten: Viele Versicherungsverträge sehen die Leistungsfreiheit des Versicherers vor, wenn die Versicherungsmeldung nicht unverzüglich erfolgt; man spricht in einem solchen Fall von einer Obliegenheitsverletzung.

5. Die Wahrscheinlichkeit, dass sich solche Vorfälle wiederholen werden, ist groß. Gibt es Tipps, um als Unternehmen künftig für solche Vorfälle gewappnet zu sein?

IT Partner Andreas Schütz rät: „Unternehmen sollten für zukünftige Vorfälle Fallback-Lösungen entwickeln oder bereits bestehende Systeme, die das Risiko einer Kompromittierung oder eines vollständigen Ausfalls der operativen Tätigkeit möglichst reduzieren, ausbauen. Darüber hinaus ist es empfehlenswert, neben der Etablierung paralleler Systeme zur Risikostreuung den Abschluss einer Cyberversicherung zu prüfen und bestehende Versicherungsdeckungen allenfalls zu erhöhen. Dabei sollte auch beachtet werden, dass je nach Polizze gegebenenfalls Wartefristen für Betriebsunterbrechungen von einigen Stunden bestehen.“

*Die Autoren Philipp Zumbo, Ivo Deskovic und Andreas Schütz sind Partner der Kanzlei Taylor Wessing.


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*