201513.08.

IT-Sicherheitsgesetz: Neue Pflichten für Anbieter im eCommerce

Am 12.06.2015 hat der Bundestag das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT Sicherheitsgesetz) verabschiedet (siehe Blogartikel dazu), das am 01.08.2015 in Kraft getreten ist.

Neben Vorgaben für sog. kritischer Infrastrukturen wie Banken, Energieversorger oder Krankenhäuser bringt das Gesetz durch die Einführung des neuen § 13 Abs. 7 Telemediengesetz auch eine Änderung der Rechtslage für Anbieter von Telemedien, also z.B. für Onlineportale und Shops oder Apps.

Der neue § 13 Abs. 7 TMG lautet wie folgt:

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.


Anwendungsbereich

Anwendung findet diese neue Vorschrift auf “Diensteanbieter von geschäftsmäßig angebotenen Telemedien”. Ohne hier ins Detail zu gehen ist davon auszugehen, dass lediglich nicht-kommerzielle Angebot durch Private oder Idealvereine vom Anwendungsbereich der Norm ausgenommen sind. Sofern im Rahmen des Telemediums Werbung angeboten wird, wird allerdings von einer “geschäftsmäßigen” Handlung auszugehen sein.


Technische Pflichten für Diensteanbieter

§ 13 Abs. 7 Nr. 1: Maßnahmen gegen unerlaubten Zugriff
Betreiber von eCommerce Angeboten haben sicherzustellen, dass kein unerlaubter Zugriff auf ihre technischen Einrichtungen möglich ist. Die Gesetzesbegründung führt dazu aus, dass die Regelung zum Beispiel darauf abzielt “das unbemerkte Herunterladen [von Schadcode] allein durch das Aufrufen bzw. Nutzen einer dafür von Angreifern präparierten Website (sog. Drive-by-Downloads)” zu verhindern. In diesem Zusammenhang wird weiter ausgeführt dass das „Einspielen von Sicherheitspatches” zahlreiche dieser Drive-by-Downloads verhindern könnte.

Demnach kann angenommen werden, dass der Gesetzgeber hier eine abstrakte Pflicht zum Einspielen von Patches normiert.

Interessant und relevant für die B2B Vertragsgestaltung im eCommerce ist, dass die Diensteanbieter nach der Gesetzesbegründung auch dazu verpflichtet werden, ihre Werbedienstleister vertraglich zu notwendigen Schutzmaßnahmen zu verpflichten, um zu verhindern, dass Drive-by-Downloads durch Dritte ermöglicht werden.

§ 13 Abs. 7 Nr. 2: Maßnahmen zum Schutz personenbezogener Daten
Der Diensteanbieter muss zudem sicherstellen, dass seine technischen Einrichtungen gegen „Verletzungen des Schutzes personenbezogener Daten” gesichert sind. Dies soll nach § 13 Abs. 7 Satz 3 TMG gegeben sein, sofern ein als sicher anerkanntes Verschlüsselungsverfahren eingesetzt wird. Bezüglich der Frage, was als „sicher anerkannt” ist, wird man sich an den jeweils aktuellen Vorgaben des Bundesamts für Sicherheit in der Informationstechnologie orientieren können.

Das Wort “insbesondere” in § 13 Abs. 7 Satz 3 TMG zeigt jedoch auf, dass die Verschlüsslung nicht das einzige zulässige Verfahren ist, um den Zweck des § 13 Abs. 7 Nr. 2 TMG zu erreichen. Denkbar sind laut der Gesetzesbegründung etwa auch Authentifizierungsverfahren.

Demnach normiert die Regelung keine generelle Pflicht zur Verschlüsslung.

 § 13 Abs. 7 Nr. 3: Maßnahmen zum Schutz gegen äußere Störungen
Schließlich werden Diensteanbieter dazu verpflichtet, Maßnahmen zum Schutz „gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind” einzurichten. Hintergrund wird wohl der Schutz vor DDoS-Angriffen sein. Details hierzu nennt die Gesetzesbegründung allerdings nicht.

Technische Realisierbarkeit und wirtschaftliche Zutmutbarkeit

Die gesetzlichen Vorgaben zur Sicherheit stehen unter dem Vorbehalt, dass sie „technisch möglich und wirtschaftlich zumutbar” sein müssen. Diese Einschränkung ist vom Grundsatz her sehr sinnvoll, stellt sich aber in dieser Form als recht unbestimmt dar. Die Norm wird, sofern sie nicht wegen der unbestimmten Verpflichtungen sogar verfassungswidrig ist, der Auslegung durch die Rechtsprechung bedürfen. Rechtssicherheit durch konkrete Vorgaben für die für Diensteanbieter wird durch das Gesetz nicht erreicht.

Rechtsfolgen bei Verstößen: Bußgelder und wettbewerbsrechtliche Abmahnung?

Als Rechtsfolge bei Verstößen gegen § 13 Abs. 7 Nr. 1 a) TMG sieht das Gesetz Bußgelder von bis zu 50.000,00 EUR vor, § 16 Abs. 2 Nr. 3 TMG. Die zuständigen Landesbehörden als Bußgeldstellen sind jedoch bislang nicht dafür bekannt, bei Verstößen gegen das Telemediengesetz besonders aktiv zu sein.

Interessanter ist die Frage nach dem wettbewerbsrechtliche Charakter der Norm als Marktverhaltensregelung. Nimmt man an, dass § 13 Abs. 7 TMG eine solche Marktverhaltensregelung ist, könnten Wettbewerber oder Wettbewerbsverbände/Verbaucherschützer auf Grundlage von §§ 3,4 Nr. 11 UWG gegen Verstöße gegen § 13 Abs. 7 TMG vorgehen. Gründe für eine solche Annahme liegen nahe, denn das Gesetz bezweckt gerade, einen, wenn auch recht unbestimmten, technischen Mindeststandard für geschäftsmäßige Telemedien zu etablieren. Mit guten Gründen lässt sich also vertreten, dass die Norm damit bezweckt, das Verhalten auf dem Markt zu regeln.