Das IT-Sicherheitsgesetz: Neue Anforderungen für alle geschäftsmäßigen Onlinedienste
Am 1. August 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Damit werden vor allem Betreiber von sog. “kritischen Infrastrukturen” – zum Beispiel Energieversorgung, Banken und Telekommunikationsanbieter – zu sehr umfangreichen Sicherheitsmaßnahmen verpflichtet.
Bisher wenig Beachtung hat allerdings eine weitere Gesetzesänderung gefunden, deren Anwendungsbereich deutlich weiter gefasst ist. Denn auch an die Betreiber „ganz normaler” Online-Dienste, wie Webshops, Apps oder Onlinespiele, stellt § 13 Abs. 7 TMG n.F. erhebliche neue Sicherheitsanforderungen. Bei allen geschäftsmäßig erbrachten Onlinedienste sind diese neuen Regelungen ab sofort beachten – andernfalls drohen Bußgelder und möglicherweise auch Abmahnungen.
Die neue Regelung
Der neue § 13 Abs. 7 TMG lautet:
"Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens."
„Geschäftsmäßig“ angebotene Telemedien
Die neuen Sicherheitsregeln gelten für Anbieter von “geschäftsmäßig angebotenen” Telemedien, also etwa Webseiten, Blogs, Shops, aber auch Online-Games und Apps, sofern sie Online-Inhalte darstellen. Keine Telemedien sind etwa IP-Telefonielösungen oder reine Chats.
Bei der Auslegung des Begriffes „geschäftsmäßig“ setzt sich die Unsicherheit fort, die auch im Bereich der Impressumspflicht (§ 5 TMG) Platz greift. Geschäftsmäßig sind Telemedien dann, wenn sie nicht rein privat und „non-profit“ betrieben werden. Die Rechtsprechung ist hier bisher streng: Schon wenn eine Privatperson im persönlichen Blog Werbebanner schaltet, gilt das als “geschäftsmäßig”, unabhängig davon, ob die Werbung überhaupt Umsatz bringt – und auch wenn das Angebot nach Inhalt und Zielgruppe nur der Selbstdarstellung einer Privatperson dient (siehe etwa LG Essen, Urt. v. 26.4.2012 - 4 O 256/11 juris oder LG Stendal, Urt v. 24.2.2010 - 21 O 242/09 juris).
Die Gesetzesbegründung zum IT-Sicherheitsgesetz versäumt hier die Chance, nachvollziehbarere Grenzen zwischen privaten und geschäftsmäßigen Angeboten zu ziehen. Zwar wird betont, dass das „nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine“ nicht erfasst sei, doch wird weiter jede „werbefinanzierte“ Webseite als „entgeltlich“ und damit „nachhaltig“ und „geschäftsmäßig“ charakterisiert (BT-Drs. 643/14, S. 50). Wünschenswert wäre hier eine Klarstellung, dass von „Werbefinanzierung“ nur ausgegangen werden kann, wenn die Einnahmen mindestens die Kosten der Bereitstellung decken.
Ausmaß unklar: Die vorgeschriebenen Sicherheitsmaßnahmen
Das Gesetz schreibt drei Maßnahmenpakete vor:
- Schutz vor unerlaubtem Zugriff
- Schutz von personenbezogenen Daten
- Schutz vor Störungen von außen
Wie diese Maßnahmen technisch umzusetzen sind, schreibt das Gesetz nicht vor. Die Gesetzesbegründung erklärt nur sehr allgemein, was unter den einzelnen Maßnahmen zu verstehen ist.
Unter den “Schutz vor unerlaubtem Zugriff” (§ 13 Abs. 7 Nr. 1 TMG) fallen allgemein Maßnahmen, die Server und Anwendungen nach außen absichern. Ziel ist ausweislich der Gesetzesbegründung hier insbesondere die Verhinderung von sog. Drive-by Downloads, d.h. Manipulationen einer eigentlich seriösen Webseite, die bei Besuchern ohne deren weiteres Zutun Schadsoftware installieren.
Hiervor können beispielsweise Firewalls schützen. Konkret gibt die Gesetzesbegründung aber auch das regelmäßige Einspielen von Updates vor. Innerhalb welcher Reaktionszeiten Updates eingespielt werden müssen, sagt das Gesetz allerdings nicht. Einigermaßen realitätsfern ist die Gesetzesbegründung auch mit der Annahme, der Betreiber einer einzelnen (kleinen) Webseite könne einem großen Werbenetzwerk ja einfach vertraglich konkrete Sicherheitsanforderungen auferlegen (BT-Drs. 643/14, S. 50).
Unter den “Schutz von personenbezogenen Daten” (§ 13 Abs. 7 Nr. 2 a) TMG) fallen vor allem Verschlüsselungsmechanismen. Das stellt auch das Gesetz ausdrücklich klar (§ 13 Abs. 7 Satz 3 TMG). Gemeint ist damit vermutlich vor allem Transportverschlüsselung, d.h. TLS/SSL. Zwar lässt das Gesetz auch andere Maßnahmen als Transportverschlüsselung zu, letztlich läuft die neue Regelung aber auf eine allgemeine Verschlüsselungspflicht für geschäftsmäßige Online-Services hinaus. Zu beachten ist dabei auch, dass die Verschlüsselung “als sicher anerkannt” sein muss. Orientierung können dafür die Richtlinien vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sein. In jedem Fall dürfen aber keine Methoden eingesetzt werden, die bereits als unsicher bekannt sind.
Unter “Schutz vor Störungen von außen” (§ 13 Abs. 7 Nr. 3 b) TMG) versteht das Gesetz offenbar Maßnahmen zur Abwehr von “Distributed Denial of Service”-Attacken (DDoS), also das gezielte Überlasten von Servern und Diensten. Wie genau man sich in der Praxis davor schützen soll, lässt das Gesetz offen. Hier wird sich in der Praxis zeigen müssen, welche Methoden sich als praktikabel erweisen und was genau das Gesetz tatsächlich von den Betreibern von Online-Services erwartet.
Alle Maßnahmen stehen unter dem Vorbehalt, dass sie “technisch möglich und wirtschaftlich zumutbar” sein müssen. Welcher Service welche genauen Maßnahmen umsetzen muss, hängt also sehr vom Einzelfall ab. Das ist einerseits eine gute Nachricht, weil das Gesetz keine unverhältnismäßigen Investitionen in die IT-Sicherheit erwartet. Andererseits lässt sich aber auch schwer einschätzen, wann welche genauen Maßnahmen ausreichend sind, um die Anforderungen des Gesetzes zu erfüllen. Die Gesetzesbegründung stellt auch nicht etwa auf das Verhältnis zwischen Aufwand für die Sicherungsmaßnahme und kommerziellem Erfolg oder Größe des Telemediums ab. Entscheidend soll vielmehr der „angestrebte Schutzzweck“ sein (BT-Drs. 643/14, S. 51).
Konsequenzen von Verstößen
Nach § 16 Abs. 2 Nr. 3 TMG kann ein Verstoß gegen § 13 Abs. 7 Nr. 1 und Nr. 2 a) TMG mit einem Bußgeld von bis zu 50.000 EUR geahndet werden.
Aufmerksame Leser werden bemerkt haben: § 13 Abs. 7 Nr. 2 b) TMG ist davon nicht erfasst. Wer also keine Maßnahmen gegen “Störungen von außen” – sprich DDoS – ergreift, hat kein Bußgeld zu erwarten.
Wie hoch das praktische Risiko eines Bußgeldes sein wird, muss sich noch zeigen. Zuständig für Bußgeldverfahren nach dem Telemediengesetz sind verschiedenste Landesbehörden:
- In NRW ist dies beispielsweise die Bezirksregierung Düsseldorf,
- in Niedersachsen das Landesamt für Verbraucherschutz und Lebensmittelsicherheit [sic!].
In der Vergangenheit haben sich diese Behörden eher zurückhaltend gezeigt, was die Durchsetzung ähnlicher Bußgeldtatbestände im Telemediengesetz angeht.
Sicherheitsregeln = Marktverhaltensregeln?
Unklar ist bislang allerdings, ob die neuen Sicherheitsregeln zugleich Marktverhaltensregeln darstellen, ein Verstoß also etwa von Konkurrenten oder Verbraucherschützern abgemahnt werden kann.
Im Hinblick auf die bestehenden Datenschutzvorschriften des § 13 Abs. 1 TMG gibt es hierzu divergierende Rechtsprechung – während das Kammergericht diese (eher) nicht als Marktverhaltensregeln begreift (KG, Urt. v. 29.4.2011 - 5 W 88/11 , CR 2011, 468), hat das OLG Hamburg deutlich klargestellt, dass es auch § 13 Abs. 1 TMG für eine Marktverhaltensregel hält (OLG Hamburg, Urt. v. 27.3.2013 - 3 U 26/12, CR 2013, 596).
Eine Parallele lässt sich überdies zum „herkömmlichen“ Produktsicherheitsrecht ziehen. Hier ist anerkannt, dass der Schutz von Verbrauchern vor Schäden durch fehlerhafte Produkte auch marktverhaltensregelnden Charakter hat (OLG Frankfurt, Urt. v. 21.5.2015 - 6 U 64/14, OpenJur 2015, 10876).
Vor diesem Hintergrund ist durchaus wahrscheinlich, dass es in absehbarer Zeit zumindest erste Versuche geben wird, unliebsame Konkurrenten wegen versäumter IT-Sicherheitsmaßnahmen anzugehen.