19.08.2015
Am 1. August 2015 ist das neue IT-Sicherheitsgesetz in Kraft getreten, mit dem Betreibern von Webseiten,Onlineshops, Blogs, Online-Plattformen, aber auch von Apps neue Pflichten im Hinblick auf technische und organisatorische Sicherheitsanforderungen auferlegt werden. Neben Bußgeldern bis zu 50.000,- € drohen auch hier wieder Abmahnungen durch Konkurrenten oder Wettbewerbsverbände, da die entsprechenden Regelungen im Telemediengesetz (TMG) umgesetzt wurden, dessen Normen häufig als wettbewerbsschützend angesehen werden.
Vorgeschriebene Sicherheitsmaßnahmen
Der neue § 13 Abs. 7 TMG schreibt Anbietern von geschäftsmäßig angebotenen Telemedien (unter den etwas sperrigen Begriff „Telemedien“ fallen z.B. Webseiten, Onlineshops, Blogs, Online-Plattformen, Apps, aber auch E-Mail-Newsletter) drei Sicherheitsmaßnahmen vor, die umgehend umzusetzen sind. Hiernach haben die Telemedienanbieter sicherzustellen, dass
- kein unerlaubter Zugriff auf die für die Telemedienangebote genutzten technischen Einrichtungen möglich ist (Schutz vor unerlaubtem Zugriff);
- die technischen Einrichtungen gegen Verletzungen des Schutzes personenbezogener Daten gesichert sind (Schutz von personenbezogenen Daten);
- die technischen Einrichtungen gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind (Schutz vor Störungen).
Natürlich hat der Gesetzgeber wieder einmal keine genauen Vorgaben an die Umsetzung dieser Anforderungen gemacht. Stattdessen wird den Telemedienanbietern für deren Erfüllung eine vermeintliche Flexibilität zugestanden: Die Vorkehrungen müssen dem Telemedienanbieter „technisch möglich und wirtschaftlich zumutbar sein“ (BT-Drs. 643/14, S. 50). Damit geht letztlich jedoch eine Rechtsunsicherheit für die Telemedienanbieter einher.
Schutz vor unerlaubtem Zugriff (§ 13 Abs. 7 Nr. 1 TMG)
Als wesentliches Ziel der neuen Regelungen nennt die Gesetzesbegründung die Eindämmung der Verbreitung von Schadsoftware. Daher sollen die Telemedienanbieter vor allem sicherstellen, dass ihre Online-Angebote von Dritten nicht derart manipuliert werden können, dass bei deren Aufruf Schadsoftware auf die Endgeräte der Webseitenbesucher heruntergeladen wird (sog. Drive-by-Downloads). Die Gesetzesbegründung (BT-Drs. 643/14, S. 51) verlangt mindestens das regelmäßige Update der für die Online-Auftritte verwendeten Software (Content Management Systeme, Firewalls o.ä.) und eine Überprüfung eingebundener Fremdinhalte, wie z.B. von Werbebannern, bzw. die vertragliche Verpflichtung der Anbieter solche Drittinhalte zur Umsetzung der notwendigen Schutzmaßnahmen (diese Maßnahmen werden dann z.B. vor allem im Affiliate-Geschäft oder bei werbefinanzierten Webseiten relevant).
Schutz von personenbezogenen Daten (§ 13 Abs. 7 Nr. 2 a) TMG)
Die Gesetzesbegründung nennt als mögliche Maßnahmen „die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens sowie – bei personalisierten Telemedien – das Angebot eines sicheren (…) Authentifizierungsverfahrens“ und verweist auf die jeweils aktuellen Technischen Richtlinien des Bundesamts für Informationssicherheit (BSI) (BT-Drs. 643/14, S. 51). Insbesondere die Verschlüsselung, vor allem wohl die Transportverschlüsselung mittels TLS/SSL, dürfte daher ab sofort eine Mindestanforderung an alle Webseiten für den Schutz von personenbezogenen Daten darstellen.
Schutz vor Störungen (§ 13 Abs. 7 Nr. 2 b) TMG)
Die Abgrenzung zwischen Störungen von außen oder unerlaubtem Zugriff (der ja auch von außen erfolgen kann) ergibt sich leider nicht aus der Gesetzesbegründung. Für den Telemedienanbieter ist die Unterscheidung jedoch erheblich, denn nur der versäumte Schutz vor unerlaubtem Zugriff ist bußgeldbewehrt (§ 16 Abs. 2 Nr. 3 TMG). Unter solche Störungen könnten z.B. sog. “Distributed Denial of Service”-Attacken (DDoS), also das gezielte Überlasten von Servern und Diensten gemeint sein, so dass auch hiergegen geeignete Abwehrmaßnahmen zu ergreifen sind.
Geschäftsmäßigkeit: Wen betreffen die Neuregelungen?
Die Neuregelungen betreffen nur die Anbieter geschäftsmäßiger Telemedien, also nur solcher, die nicht rein privat und „non-profit“ betrieben werden. Allerdings reicht schon das Schalten von Werbebannern, damit aus einer privaten eine geschäftsmäßige Webseite wird (BT-Drs. 643/14, S. 51).
Verstöße und ihre Konsequenzen
Telemedienanbieter, die die Einrichtung von Maßnahmen zum Schutz vor unerlaubtem Zugriff oder zum Schutz personenbezogener Daten vorsätzlich oder fahrlässig versäumen, handeln ordnungswidrig, was mit einem Bußgeld von bis zu 50.000,- € geahndet werden kann, § 16 Abs. 2 Nr. 3, 3 TMG. Daneben wurden in der Vergangenheit Regelungen des TMG von der Rechtsprechung häufig als wettbewerbsschützend eingestuft, was bedeutet, dass der Verstoß gegen eine solche Regelung auch von Konkurrenten oder z.B. Wettbewerbsverbänden kostenpflichtig abgemahnt werden kann. Dies könnte in der Zukunft auch für einen Verstoß gegen die neuen Sicherheitsmaßnahmen gelten. Telemedienanbietern ist daher dringend anzuraten, diese schleunigst umzusetzen.
Rechtsanwältin Dr. Barbara Sommer