28
Aug
2015

Datenschutz und IT-Recht

Schutz vor Cyberangriffen: Neue Sicherheitsanforderungen für alle geschäftsmäßig handelnden Onlinedienste

Änderungen durch das neue IT-Sicherheitsgesetz betreffen auch Onlinedienste. Verstöße können mit Bußgeldern bis zu EUR 50.000,00 geahndet werden.

Am 25.07.2015 ist das viel diskutierte IT-Sicherheitsgesetz in Kraft getreten. Danach müssen Betreiber von „kritischen Infrastrukturen“, wie z.B. Banken, Energieunternehmen oder Krankenhäuser, Mindeststandards für die IT-Sicherheit beachten, um ihre Systeme insbesondere vor Cyberangriffen zu schützen.

Das IT-Sicherheitsgesetz sieht allerdings nicht nur Sicherheitsstandards und Meldepflichten für Betreiber kritischer Infrastrukturen vor, sondern formuliert auch Pflichten für alle geschäftsmäßig handelnden Onlinedienste zum Schutz der Telekommunikations- und Datenverarbeitungssysteme. Hierzu wurde § 13 TMG wie folgt geändert:

§ 13 Abs. 7

Dienstanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

  2. diese

     a. gegen Verletzungen des Schutzes personenbezogener Daten und

     b. gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

    gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Für welche Onlinedienste gelten die Änderungen?

Die neuen Sicherheitsanforderungen gelten für alle Onlinedienste, die ihre Telemedien geschäftsmäßig anbieten. Nach der Gesetzesbegründung (BT-Drucks. 643/14, Seite 50) ist ein Angebot dann geschäftsmäßig, wenn es auf einer nachhaltigen Tätigkeit beruht, es sich also um eine planmäßige und dauerhafte Tätigkeit handelt. Nicht kommerzielle Angebote durch Private und Idealvereine sollen hingegen nicht erfasst sein.

Hier ist im Einzelfall allerdings Vorsicht geboten, denn bei einem entgeltlichen Dienst, z.B. durch werbefinanzierte Webseiten, liege nach der Gesetzesbegründung regelmäßig ein geschäftsmäßiges Angebot vor.

Welche Vorgaben an die Sicherheitsmaßnahmen sind zu beachten?

Das Gesetz gibt keine klaren Vorgaben, wie die vorgeschriebenen Sicherheitsmaßnahmen umzusetzen sind. Die wesentlichen Kriterien sind lediglich, dass die Maßnahmen dem „Stand der Technik“ entsprechen müssen und für den jeweiligen Onlinedienst wirtschaftlich „zumutbar“ sind.

Beispielhaft für eine dem Stand der Technik entsprechende Maßnahme wird in § 13 Abs. 7 Satz 3 TMG ein als sicher anerkanntes Verschlüsselungsverfahren genannt. In der Praxis wird sich jedoch die Frage stellen, wann Maßnahmen nach § 13 Abs. 7 TMG dem Stand der Technik entsprechen.

In der Europäischen Norm EN 45020 Normung und damit zusammenhängende Tätigkeiten -Allgemeine Begriffe (ISO / IEC Guide, 2: 2004) wird unter Ziff. 1.4 der Stand der Technik wie folgt definiert:

„Stand der Technik: Entwickeltes Stadium der technischen Möglichkeiten zu einem bestimmten Zeitpunkt, soweit Produkte, Prozesse und Dienstleistungen betroffen sind, basierend auf entsprechenden gesicherten Erkenntnissen von Wissenschaft, Technik und Erfahrung.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt auf der eigenen Webseite den „Stand der Technik“ wie folgt:

Was zu einem bestimmten Zeitpunkt Stand der Technik ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards wie DIN oder ISO-Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den Stand der Technik allgemeingültig und abschließend zu beschreiben. “

Die dem Stand der Technik entsprechenden Sicherheitsmaßnahmen müssen allerdings für den Onlinedienst auch wirtschaftlich zumutbar sein. Insofern müssen Onlinedienste nach der Gesetzesbegründung (BT-Drucks. 643/14, Seite 50f.) nur solche Vorkehrungen treffen, deren Kosten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. Der Vorbehalt der technisch möglichen und wirtschaftlichen Zumutbarkeit sichert zwar einerseits die gebotene Flexibilität und individuelle Beurteilung des Einzelfalls, andererseits wird sich u.U. schwer beurteilen lassen, welche konkreten Maßnahmen letztlich den gesetzlich angestrebten Schutzzweck hinreichend erfüllen.

Welche Konsequenzen drohen bei Verstößen?

Die Bußgeldvorschriften nach § 16 TMG wurden dahingehend geändert, dass Verstöße gegen § 13 Abs. 7 Satz 1 Nr. 1 und Nr. 2a TMG Ordnungswidrigkeiten darstellen, die mit einer Geldbuße bis zu EUR 50.000,00 geahndet werden können. Ausgenommen von den Bußgeldvorschriften sind nur Sicherheitsmaßnahmen nach § 13 Abs. 7 Satz 1 Nr. 2b TMG.

Darüber hinaus drohen kostenpflichtige Abmahnungen durch Konkurrenten und Verbraucherschutzorganisationen. Zwar ist umstritten, ob Datenschutzregelungen Marktverhaltensregelungen darstellen, allerdings hat das OLG Hamburg dies zumindest für § 13 Abs. 1 TMG zutreffend angenommen (hierzu Krupna, GRUR-Prax 2013, S. 345).

Autor: Dr. Karsten Krupna

Siehe auch: „Milliardenschäden durch organisierten Cyber-Diebstahl im Bankensektor“ 

» zur Übersicht