„Stille Wasser sind tief“: Anforderungen an Webseitenbetreiber aufgrund des neuen IT-Sicherheitsgesetz
Fast geräuschlos ist das neue IT-Sicherheitsgesetz (IT-SIG) am 25. Juli 2015 in Kraft getreten (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – IT-SiG – v. 17.7.2015, BGBl. I, 1324). Dabei sieht das Gesetz eine Reihe neuer, teilweise bußgeldbewehrter Pflichten in Bezug auf die IT-Sicherheit für Betreiber sogenannter „kritischer Infrastrukturen sowie Anbieter von geschäftsmäßig erbrachten Telemediendiensten und Telekommunikationsunternehmen vor“. Ziel des Gesetzes ist es, vor allem in sensiblen Bereichen, Cyberangriffe, Cyperspionage und Cyberkriminialität einzudämmen bzw. durch höhere Sicherheitsstandards unmöglich zu machen. Das Gesetz sieht daher eine Reihe von Modifikationen andere Gesetze vor. Betroffen sind insbesondere das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Atomgesetz (AtG), das Energiewirtschaftsgesetz (EnWG), das das Telekommunikationsgesetz (TKG) sowie Telemediengesetz (TMG). Wir möchten Sie in der gebotenen Kürze ausschnittsweise über die wesentlichen Pflichten informieren, wobei der Fokus auf den Änderungen in Bezug auf das Telemediengesetz liegt.
Neben den besonderes strengen bußgeldbewehrten Meldepflichten §§ 8a, 14 BSIG für Betreiber kritischer Infrastrukturen § 2 Abs. 10 BSIG, führt das IT-SIG auch zu erweiterten Pflichten für die Betreiber von Telemedien i.S.d. § 1 TMG. Betroffen sind daher vom IT SIG auch Online-shops unabhängig von ihrer Größe und Relevanz. Ein Kleinunternehmerprivileg gibt es nicht. Die neuen Pflichten werden in § 13 Abs. 7 TMG definiert. Neben dem bereits bestehenden Schutz von personenbezogenen Daten haben Betreiber von Telemedien fortan, soweit es technisch möglich sowie wirtschaftlich zumutbar ist, die erforderlichen technischen und organisatorischen Vorkehrungen unter Berücksichtigung des Stands der Technik zu treffen. Damit soll sichergestellt werden, dass
- kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
- diese gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind.
Das Gesetz ist leider mal wieder sehr weit und unbestimmt gefasst. Wünschenswert wäre ein Katalog von Mindestmaßnahmen zur Erfüllung der Pflichten im Gesetz gewesen. Fraglich bleibt insbesondere, was ist wirtschaftlich zumutbar ist und was dem Stand der Technik entspricht.
In der Gesetzesbegründung hat der Gesetzgeber zumindest einige Schutzmaßnahmen beispielhaft genannt, die zwingend umzusetzen sind. Darunter fallen:
- das Einspielen von Sicherheitspatches, der Einsatz einer Firewall, AntiMalware-Schutz und angemessene Authentifizierungsverfahren;
- Werbedienstleister, denen Flächen auf der Webseite für Werbung eingeräumt wird, sind vertraglich zu notwendigen Schutzmaßnahmen zu verpflichten;
- mit Host-Providern sind ebenfalls entsprechende Sicherheitsmaßnahmen zu vereinbaren;
- die Anwendung eines als sicher erkannten Verschlüsselungsverfahrens
Die Einhaltung der Schutzmaßnahmen durch den Diensteanbieter ist zwingend zu empfehlen, zum einen kann der Diensteanbieter die Verantwortlichkeit abwälzen, zum anderen setzt er sich nicht der Gefahr von Bußgeldern aus.
- Hinsichtlich der Verantwortlichkeit gilt: Der Diensteanbieter ist bei Angriffen über Drittinhalte oder technische Dienstleister grundsätzlich nicht verantwortlich, wenn und soweit er den Dritten ordnungsgemäß ausgewählt, ihn vertraglich zu notwendigen Schutzmaßnahmen verpflichtet und die sonstigen gesetzlichen Pflichten (insbesondere die Kontrollpflicht nach § 11 Abs. 2 Satz 4 Bundesdatenschutzgesetz) eingehalten hat.
- Bei Nichteinhaltung der Schutzmaßnahmen können nach § 16 Abs. 2, Abs. 3 TMG Bußgelder bis zu einer Höhe von Euro 50.000,00 angedroht und verhängt werden.
Nachdem das Gesetz kein Kleinunternehmerprivileg enthält, kann eine Entlastung kleiner Online-shop Betreiber nur über den unbestimmten Rechtsbegriff „wirtschaftliche Zumutbarkeit“ erfolgen. Doch auch hier ist vorsichtig geboten. Auch von kleineren Online-Shop Betreibern dürfte abverlangt werden können, dass diese insbesondere ihre Betriebssysteme entsprechend updaten, eine Firewall einrichten und ein geeignetes AntiMalware Programm installieren.
Wichtig ist, die geforderten Maßnahmen zur Vermeidung von Bußgeldvorschriften sofort umzusetzen. Für Onlineshop-Betreiber sieht das Gesetz keine Umsetzungsfrist vor. Die Verantwortlichkeit auf Drittanbieter zu übertragen, ist dabei einer der großen Herausforderungen des IT-Sicherheitsgesetzes. Aufgrund unserer langjährigen Erfahrung im Bereich des IT-Rechts können wir Ihren Fall individuell bearbeiten.