Wir zeigen auf, welche neuen Regelungen das IT-Sicherheitsgesetz für das TMG vorsieht, wer betroffen ist und welche Bußgelder bei Missachtung drohen.
Das IT-Sicherheitsgesetz ist seit dem 25. Juli 2015 in Kraft. Neben den für Betreiber Kritischer Infrastrukturen und die IT-Wirtschaft relevanten Auswirkungen aufgrund der Änderungen im BSI-Gesetz enthält das Gesetz auch für App- und Webseitenbetreiber wichtige Änderungen des Telemediengesetzes (TMG).
Was ist der Zweck der geänderten Regelung im TMG?
Die neuen Vorschriften im TMG sollen insbesondere dazu dienen, die Verbreitung von Schadsoftware über Telemedien einzudämmen.
Was sind Telemedien? Für wen gelten die neuen Regelungen im TMG?
Betroffen sind alle Anbieter von geschäftsmäßig angebotenen Telemedien. Unter den Begriff der Telemedien fallen nicht nur Webseiten, sondern auch Apps, die auf einen Online-Zugriff angewiesen sind. Auch andere Geräte, die Inhalte übertragen, können betroffen sein, also etwa an das „Internet der Dinge″ angeschlossene Endgeräte.
Vom Anwendungsbereich ausgenommen sind Anbieter nicht geschäftsmäßiger Telemedien, also etwa Privatpersonen und Idealvereine, die auf ihrer Webseite noch nicht einmal Werbebanner einsetzen. Alle anderen Anbieter fallen unter das Gesetz.
Welche Pflichten treffen Anbieter von Telemedien?
Anbieter müssen sicherstellen, dass
- kein unerlaubter Zugriff auf die genutzten technischen Einrichtungen möglich ist und
- diese technischen Einrichtungen
- a) gegen Verletzungen des Schutzes personenbezogener Daten und
- b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind (§ 13 Abs. 7 TMG).
Hierzu muss der Stand der Technik berücksichtigt werden. Das Gesetz nennt ausdrücklich ein als sicher anerkanntes Verschlüsselungsverfahren als eine der umzusetzenden Maßnahmen. Wo ein Login erforderlich ist, wird ein sicheres Authentifizierungsverfahren verlangt, dessen Schutzniveau sich nach dem konkreten Einzelfall richtet. Auch eine Zwei-Faktor-Authentifizierung kann erforderlich werden. Dem Stand der Technik sollen etwa die Technischen Richtlinien des BSI entsprechen.
Der Begriff der technischen Einrichtung, die geschützt werden sollen, ist dabei weit zu verstehen. Unter den Begriff fallen insbesondere Software und Hardware aller genutzten Server, also auch Datenbank- und Bild-Server.
Handlungspflichten der Anbieter bestehen also insbesondere dahingehend, regelmäßig Sicherheitspatches einzuspielen und die verwendete Software dadurch aktuell zu halten. Dies ist umfassend zu verstehen und gilt etwa auch für eingesetzte Content-Management-Systeme, auf die der Anbieter keinen direkten Zugriff hat. Die Pflicht zur Umsetzung des aktuellen Standes der Technik ist natürlich auch von Anbietern umzusetzen, die ihre Webseite oder App selbst programmieren. Wer sich hier nicht stets auf dem Laufenden hält, um Sicherheitslücken zu schließen, könnte schnell ins Visier des BSI geraten.
Durch den Anbieter von Telemedien sind nicht nur technische, sondern auch organisatorische Maßnahmen zu treffen. Dort also, wo beispielsweise kein eigener Content angezeigt sondern auf Dritte zurückgegriffen wird, muss sichergestellt werden, dass diese Dritten alle geforderten Pflichten einhalten. Dritte können etwa Werbebanneranbieter sein, aber auch jeder Content-Provider. Umsetzbar ist dies durch regelmäßige Kontrollen und Vertragsklauseln, die den Dritten entsprechend binden. Aber auch eigene Mitarbeiter, die auf Software und Hardware Zugriff haben, müssen entsprechend instruiert werden.
Die Maßnahmen müssen technisch möglich und wirtschaftlich zumutbar sein. Durch diese Einschränkung soll ein angemessenes Verhältnis der Kosten zu dem im Einzelfall angestrebten Schutzzweck sichergestellt werden. Maßgeblich ist also etwa die Sensibilität der gespeicherten Daten: Krankheitsdaten bedürfen also eines stärken Schutzes als lediglich gespeicherte E-Mail-Adressen.
Was ist der Stand der Technik?
Wie die Anforderungen erfüllt werden, die der Stand der Technik verlangt, wird im Beitrag zu den Auswirkungen des IT-Sicherheitsgesetzes auf die IT-Wirtschaft erläutert.
Drohen Bußgelder oder Abmahnungen?
Ja. Wer nicht sicherstellt dass (a) ein unerlaubter Zugriff auf die genutzten technischen Einrichtungen nicht möglich ist oder (b) diese technischen Einrichtungen nicht gegen Verletzung des Schutzes personenbezogener Daten gesichert hat, hat mit einer Geldbuße von bis zu 50.000 Euro zu rechnen (§ 16 Abs. 2 Nr. 3 TMG). Wir erwarten allerdings ein eher zurückhaltendes Verhalten der Behörden.
Auch wenn sich das TMG zu der Frage nicht äußert, ist nicht auszuschließen, dass Verstöße gegen die Sicherheitsanforderungen von anderen Marktteilnehmern auch abgemahnt werden dürfen. Voraussetzung wäre natürlich, dass die Verstöße offensichtlich sind, was freilich meist nur der Fall sein wird, wenn etwa die Versionsnummer einer eingesetzten Software abrufbar ist. Es bleibt jedenfalls zu hoffen, dass Anbieter von Webseiten und Apps von einer neuen Abmahnwelle verschont bleiben.
Fazit: umfassende Sicherheitsmaßnahmen notwendig
Anbieter von Telemedien – insbesondere also von Webseiten und Apps und teilweise auch von Geräten im „Internet der Dinge″ – müssen technische und organisatorische Sicherheitsmaßnahmen umsetzen, die dem Stand der Technik entsprechen. Der Grad des Schutzes hängt dabei von dem konkreten Einzelfall ab, auch von den zu schützenden Daten. Auch die ungekürzte Speicherung von IP-Adressen für bis zu sieben Tage kann in Betracht kommen, um Angriffe abzuwehren und aufzuklären. Was Unternehmen im Einzelnen technisch und organisatorisch umsetzen müssen, sollte vorab juristisch geklärt werden. Unternehmen, welche zum Schutz personenbezogener Daten die technischen und organisatorischen Maßnahmen aus § 9 BDSG umsetzen, brauchen, was den Datenschutz anbelangt, in den meisten Fällen keine weiteren Vorkehrungen mehr zu treffen.