Änderung des TMG durch das IT-Sicherheitsgesetz

Das Telemediengesetz (kurz: TMG) soll durch Art. 4 des Entwurfs vom 25.02.2015 zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das sogenannte IT-Sicherheitsgesetz, geändert werden. Der Gesetzesentwurf sieht unteranderem die Auferlegung umfangreicher neuer Verpflichtungen für bestimmte Diensteanbieter vor. Das wichtigste Ziel dieser Pflichten soll die Eindämmung der Hauptverbreitungswege von Schadsoftware sein (BT-Drucks. 18/4096, S. 34).

Damit den Vorgaben nachgekommen werden kann und Sanktionen wegen einer Zuwiderhandlung vermieden werden, ist es empfehlenswert sich am besten schon jetzt zu informieren, ob man zu dem Kreis der Betroffenen gehört. Insbesondere die öffentlichen Verwaltungen sollten sich frühzeitig diesbezüglich aufklären lassen.

Adressat der Pflichten

Die neu auferlegten Pflichten sollen für Diensteanbieter gelten, die geschäftsmäßig Telemedien anbieten (§ 13 Abs. 7 TMG-E).

Definition des Diensteanbieters

Das bereits geltende TMG sieht eine Legaldefinition für den Begriff des Diensteanbieters in § 2 Nr. 1 TMG vor. Nach dieser ist ein Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Hingegen ist bei audiovisuellen Mediendiensten auf Abruf ein Diensteanbieter jede natürliche oder juristische Person, die die Auswahl und Gestaltung der angebotenen Inhalte wirksam kontrolliert. Telemedien sind alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 des Telekommunikationsgesetzes, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgestützte Dienste nach § 3 Nr. 25 des Telekommunikationsgesetzes oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind (§ 1 Abs. 1 S. 1 TMG).

Soweit hiernach ein Diensteanbieter vorliegt und demgemäß keine vorrangigen Gesetze Anwendung finden, müsste dieser zusätzlich Telemedien geschäftsmäßig anbieten, damit die neuen Pflichten für diesen gelten. Nach der Gesetzesbegründung ist ein Angebot geschäftsmäßig, soweit es auf einer nachhaltigen Tätigkeit beruht und es sich dementsprechend um eine planmäßige und dauerhafte Tätigkeit handelt (BT-Drucks. 18/4096, S. 34). Hierbei ist zu beachten, dass im Vergleich zu § 5 TMG der Zusatz „in der Regel gegen Entgelt“ in § 13 Abs. 7 TMG-E fehlt. Die Gesetzesbegründung gibt dazu Aufschluss, denn hiernach wird es sich regelmäßig bei einem entgeltlichen Dienst, beispielsweise einer werbefinanzierten Webseite, um ein geschäftsmäßiges Angebot handeln (BT-Drucks. 18/4096, S. 34). Ein nicht-kommerzielles Angebot von Telemedien durch Private und Idealvereine soll nicht von dem Anwendungsbereich erfasst sein (BT-Drucks. 18/4096, S. 34).

Öffentliche Verwaltungen

Auch die meisten öffentlichen Verwaltungen sind von den neuen Pflichten, soweit diese als Diensteanbieter Telemedien geschäftsmäßig anbieten, erfasst. Zunächst wird das durch die Formulierung in § 2 Nr. 1 TMG zum Ausdruck gebracht, der jeder natürlichen oder juristischen Person in die Definition des Diensteanbieters mit einbezieht. Der Gesetzesbegründung ist weiterhin kein Ausschluss für Behörden jeglicher Art zu entnehmen. Weiterhin sind die öffentlichen Stellen vom Anwendungsbereich des TMG umfasst und zwar sogar unabhängig davon, ob für die Nutzung ein Entgelt erhoben wird (§ 1 Abs. 1 S. 2 TMG).

Somit müssen sich öffentliche Verwaltungen und insbesondere auch Behörden, anders als im Fall der Kritischen Infrastrukturen, an die neuen Vorgaben des TMG-E halten. Die daraus resultierenden Pflichten sollten strikt befolgt werden, damit keine Sanktionen folgen können. Aus diesem Grund sollte die Prüfung der Anwendbarkeit streng erfolgen.

Pflichten und Sanktionen

Falls beispielsweise ein Unternehmen oder eine Behörde als Diensteanbieter nach dem Gesetzesentwurf zu qualifizieren ist, sollte eine hinreichende Informierung über die Pflichten und Sanktionen folgen.

Die Diensteanbieter haben die Pflicht im Rahmen ihrer jeweiligen Verantwortlichkeit, soweit es technisch möglich und wirtschaftlich zumutbar ist, durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
  2. diese
  3. a) gegen Verletzungen des Schutzes personenbezogener Daten und
  4. b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind (§ 13 Abs. 7 S.1 TMG-E). Bei den Vorkehrungen nach Satz 1 muss der Stand der Technik berücksichtigt werden (§ 13 Abs. 7 S. 2 TMG-E). Die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens ist insbesondere eine Maßnahme nach Satz 1 (§ 13 Abs. 7 S. 3 TMG-E). Ferner ist eine Vorkehrung nach Satz 1, im Falle von personalisierten Telemedien, das Angebot eines sicheren und dem jeweiligen Schutzbedarf angemessenen Authentifizierungsverfahrens (BT-Drucks. 18/4096, S. 34). Eine organisatorische Vorkehrung ist z. B. die vertragliche Verpflichtung von Werbedienstleistern, denen Werbefläche eingeräumt wird, zu notwendigen Schutzmaßnahmen (BT-Drucks. 18/4096, S. 34). Das Schutzniveau bestimmt sich dabei nach der Sensibilität und dem Umfang der verarbeiteten Daten (BT-Drucks. 18/4096, S. 34 f.). Dem Stand der Technik genügen die Authentifizierungsverfahren nach den entsprechenden aktuellen und veröffentlichten Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BT-Drucks. 18/4096, S. 35). Außerdem soll auf die Barrierefreiheit der Verfahren besonders geachtet werden (BT-Drucks. 18/4096, S. 35).

In dem Gesetzesentwurf werden häufig unbestimmte Rechtsbegriffe genutzt, wie z. B. auch in der vorliegenden Vorschrift, in dem die Pflichten wirtschaftlich zumutbar sein müssen. Wegen der mangelnden klaren Definition können Unsicherheiten auf Seiten des Diensteanbieters entstehen. Grundsätzlich können auch unbestimmte Rechtsbegriffe dem Bestimmtheitsgrundsatz aus Art. 20 GG genügen und wegen der unterschiedlichsten Sachverhalte ist die Benutzung solcher unbestimmten Rechtsbegriffe oftmals unvermeidbar (BVerfGE 21, 73, 79; BVerfGE 78, 205, 213). Die Voraussetzung der Zumutbarkeit der Vorkehrung soll ein angemessenes Verhältnis zwischen den Kosten und dem angestrebten Schutzzweck gewährleisten und somit eine flexible Lösung für jeden Einzelfall darstellen (BT-Drucks. 18/4096, S. 34). Weiterhin soll der Gesetzesentwurf dadurch zukunfts- und technologieoffen sein (BT-Drucks. 18/4096, S. 48). Aus diesen Gründen steht der Verwendung von unbestimmten Rechtsbegriffen die Verfassung nicht entgegen. Es ist sogar erstrebenswert durch die Benutzung von unbestimmten Rechtsbegriffen jeden Einzelfall zu berücksichtigen, um auch für diese eine interessensgerechte Lösung zu finden.

Jedoch ist es für einen Diensteanbieter, der in den meisten Fällen keine juristische Vorbildung besitzt, schwierig selbst mit Sicherheit zu beurteilen, ob ihm die Pflichten wirtschaftlich zumutbar sind oder nicht. Sollten die Pflichten zu erfüllen sein, kann dies nicht nur zeitintensiv sondern auch sehr kostspielig für den Diensteanbieter sein. Vor allem vor dem Hintergrund von wettbewerblichen Nachteilen durch den hohen Aufwand der Pflichtenerfüllung und einer möglichen Sanktion wegen einer Fehleinschätzung bezüglich der Betroffenheit, sollte dies am besten mit juristischer Hilfe erörtert werden.

Sollte ein Diensteanbieter seinen Pflichten nicht nachkommen, drohen ihm Sanktionen. Soweit ein Diensteanbieter vorsätzlich oder fahrlässig die Pflichten aus § 13 Abs. 7 S. 1 Nr. 1 oder  Nr. 2 a) TMG-E verletzt (§ 16 Abs. 2 Nr. 3 TMG-E), kann diese Ordnungswidrigkeit mit einer Geldbuße bis zu 50.000 Euro geahndet werden (§ 16 Abs. 3 TMG). Diese Bußgeldbewährung soll auch den Einsatz von technischen und organisatorischen Maßnahmen durch den Diensteanbieter umfassen, die nicht den Stand der Technik berücksichtigen (BT-Drucks. 18/4096, S. 35). Eine solche Sanktion wird hingegen für Kritische Infrastrukturen nach dem BSIG-E nicht vorgesehen.

Fazit

Im Unterschied zum BSIG-E werden von den Verpflichtungen auch öffentliche Verwaltungen erfasst und es wird für eine Pflichtverletzung eine Sanktion festgeschrieben. Der Kreis der Betroffenen ist damit größer und vor allem wegen der möglichen Folge einer Sanktion, sollten die Verpflichtungen umfassend befolgt werden. Hierdurch können Unternehmen oder Behörden, denen der Anreiz zur Umsetzung der Pflichten nach dem BSIG-E fehlt, nicht gänzlich untätig bleiben und auf das Ausbleiben von Sanktionen vertrauen. In den meisten Fällen handelt es sich bei Kritischen Infrastrukturen ebenso um Diensteanbieter im Sinne des § 13 Abs. 7 TMG-E.

Letztendlich folgen damit in naher Zukunft für die Betroffenen weitreichende Umstellungen und es sollte bereits vor dem Inkrafttreten des Gesetzes eine hinreichende Überprüfung des Schutzniveaus und der Adressatenstellung erfolgen.

 

UPDATE: Neues Video

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 11 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen