IT-Sicherheitsgesetz: Müssen nun Blogs und Online-Shops verschlüsselt werden?

Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Die auf einigen Internetseiten zu findende Meldung, dass das Gesetz erst am 01.08.2015 in Kraft getreten ist, ist falsch. In der Gesetzesänderung ist ein neuer § 13 Abs. 7 Telemediengesetz (TMG) ins Gesetz eingefügt worden. Bei näherer Betrachtung der gesetzlichen Regelung bleiben einige Fragen allerdings offen.

Wer ist Dienstanbieter?

Die Regelung des IT-Sicherheitsgesetzes richtet sich an Diensteanbieter, die geschäftsmäßig Telemedien anbieten. Damit sind zunächst einmal alle Betreiber von Webseiten, Blogs, Shops oder Apps sowie die Anbieter von Online-Spielen betroffen. Bei dem Verweis auf eine geschäftsmäßige Tätigkeit gibt es hinsichtlich der rechtlichen Bedeutung eine Unsicherheit. Grundsätzlich ist ein Angebot als „geschäftsmäßig“ einstufen, wenn es nicht mehr rein privat ist. Allerdings urteilen einige Gerichte streng, wenn es um die Abgrenzung zwischen privaten Angeboten und geschäftsmäßigen Telemedien geht. Wenn beispielsweise auf einem privaten Blog Werbebanner geschaltet werden, wird eine solche Internetseite als geschäftsmäßig eingestuft. Dies auch dann, wenn mit der Werbung überhaupt kein Umsatz erzielt wird und insgesamt auch die Internetseite sich mehr an Privatpersonen richtet (LG Essen, Urteil vom 26.04.2012, Az. 4 O 256/11 oder LG Stendal, Urteil vom 24.02.2010, Az. 21 O 242/09). Im Zweifel ist also eher von einer geschäftsmäßigen Tätigkeit auszugehen.

Drei Sicherheitsmaßnahmen sind gefordert

Das Gesetz fordert insgesamt drei Maßnahmen. Es soll zum einen ein Schutz vor unerlaubten Angriffen auf die technischen Einrichtungen installiert werden, als zweites sollen personenbezogene Daten geschützt werden und als drittes sollen Störungen durch äußere Angriffe abgewehrt werden.

Bei Maßnahmen gegen den unerlaubten Zugriff (§ 13 Abs. 7 Nr. 1 TMG) geht es insbesondere um das unbemerkte herunterladen allein durch das Aufrufen oder das Nutzen einer entsprechend präparierten Website (Drive-By-Downloads). Im Gesetz ist nicht näher beschrieben, wie dies erfolgen soll. Der Gesetzgeber verweist in der Begründung auf das regelmäßige Einspielen von Sicherheits-Patches. Vermutlich wird dies aber nicht genügen. In § 13 Abs. 7 TMG wird ausgeführt, dass die geforderten Schutzmaßnahmen den Stand der Technik berücksichtigen müssen. Insoweit wird vermutlich das Einspielen von Sicherheits-Patches alleine nicht ausreichen.

Interessant ist zukünftig in der rechtlichen Bewertung noch der im ersten Satz der Regelung enthaltene Hinweis auf die jeweilige Verantwortlichkeit des Diensteanbieters. Hier stellt sich die Frage, ob auch eine Verantwortung für Werbedienstleister besteht und inwieweit solche Dienstleister zu IT-Sicherheitsmaßnahmen vertraglich verpflichtet werden müssen.

Der Schutz personenbezogener Daten vor Verletzungen ist ebenfalls ein Thema. Hier gibt es ergänzend den Hinweis in § 13 Abs. 7 Satz 3 TMG, dass als eine entsprechende Maßnahme zum Schutz vor Verletzung die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens gilt. Dies betrifft alle drei Maßnahmenpakete.

Was bedeutet nun genau die Pflicht zur Verschlüsselung beziehungsweise die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens? Hier ist zunächst an eine Verschlüsselungstechnik für den Webserver über HTTPS zu denken. Allerdings ist dann vom jeweiligen Dienstanbieter zu klären, ob die eingesetzte Verschlüsselungstechnik noch dem aktuellen Stand der Technik entspricht. Unklar ist, ob das Gesetz nicht nur die Verschlüsselung des Webservers sondern auch eine Transportverschlüsselung erwartet. Hier wird zukünftig noch zu klären sein, inwieweit der Verweis auf ein Verschlüsselungsverfahren zu verstehen ist.

Der Schutz gegen äußere Angriffe zielt insbesondere auf den Schutz vor „Distributed Denial of Service“-Attacken (DDoS). Dabei handelt es sich um das gezielte Überlasten von Servern. Diese Art von Angriffen ist allerdings äußerst schwierig abzuwehren. Wie dies letztendlich von den jeweiligen Diensteanbietern erreicht werden soll, wird technisch noch abzuklären sein.

Wirksame Einschränkung: „Zumutbar“

In § 13 Abs. 7 TMG ist auch der Hinwies enthalten, dass entsprechende Schutzmaßnahmen nur zu installieren sind, soweit dies technisch möglich und wirtschaftlich zumutbar ist. Dieser Hinweis ist sicherlich gut gemeint und soll insbesondere kleinere Anbieter vor übertriebene Investitionen in die IT-Sicherheit schützen. Allerdings lässt sich aktuell schwer abschätzen, wo die jeweiligen Grenzen sind. Es wird also jeweils im Einzelfall zu prüfen sein, welche genauen Maßnahmen umzusetzen sind. Es ist gut, dass keine unverhältnismäßigen Investitionen verlangt werden, es bleibt aber die Unsicherheit, ob die jeweils umgesetzten Maßnahmen tatsächlich den gesetzlichen Anforderungen genügen.

Die Bedrohung ist dabei, dass bei einer Nichteinhaltung der gesetzlichen Vorgaben Bußgelder bis zu 50.000,00 € ausgesprochen werden können. Interessant ist, dass nicht alle Sicherheitsmaßnahmen bußgeldbewehrt sind. Bei einem nicht ausreichenden Schutz vor Störungen von außen, insbesondere bei einem mangelhaften Schutz vor DDoS, ist kein Bußgeld festgelegt.

Kritische Stimmen haben zu dem Thema Bußgeld bereits angemerkt, dass die zuständigen Landesbehörden auch bisher bei der Anwendung von Bußgeldtatbeständen sehr zurückhaltend waren. Hier bleibt abzuwarten, ob zukünftig Bußgeldverfahren initiiert werden.

Neue Bedrohung: Wettbewerbsrechtliche Abmahnungen

Diskutiert wird derzeit, ob die Neuregelungen in § 13 Abs. 7 TMG eine sogenannte Marktverhaltensregel darstellen. Wenn dies der Fall ist, ist vermutlich über kurz oder lang damit zu rechnen, dass auch wettbewerbsrechtliche Abmahnungen ausgesprochen werden, wenn Mitbewerber die gesetzlichen Vorgaben zur IT-Sicherheit nicht einhalten. Hier ist abzuwarten, ob die Gerichte ihre bisherige Linie aus den letzten Monaten fortsetzen, die die datenschutzrechtlichen Anforderungen eher als Marktverhaltensregeln sehen und damit dem Datenschutzrecht zu einer neuen Durchsetzungsqualität verhelfen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*