Am 25. Juli 2015 trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Durch dieses Gesetz sollen eine Verbesserung der IT-Sicherheit in Deutschland zugunsten von Wirtschaft und Privatanwendern erzielt und vor allem so genannte Kritische Infrastrukturen etwa in Krankenhäusern, Banken oder bei Energieversorgen besser geschützt werden. Das Gesetz definiert Mindeststandards für die Sicherheit bestimmter IT-Systeme und sanktioniert deren Nichtbeachtung.
Das Gesetz wartet zudem auch mit einer Änderung des Telemediengesetzes (TMG) auf und richtet sich damit auch an Betreiber von ganz normalen Shops oder Internetplattform. Diese müssen ebenfalls dafür Sorge tragen, dass ihre Systeme geschützt sind; ein Verstoß gegen diese Pflicht ist ebenfalls durch Bußgeld sanktioniert. Zudem ist damit zu rechnen, dass Verletzungen der neuen Regelungen als Wettbewerbsverstoß verstanden werden.

Die Neuregelung
Durch das IT-Sicherheitsgesetz wurde unter anderem eine Änderung des Telemediengesetzes (TMG) bewirkt und in der Regelung der Pflichten des Diensteanbieters nach § 13 TMG folgende Neuregelung eingefügt:

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
  2. diese
    a) gegen Verletzungen des Schutzes personenbezogener Daten und
    b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Die Vorschrift ist geprägt durch eine Vielzahl von unbestimmten Rechtsbegriffen, die der Auslegung bedürfen und im jeweiligen Einzelfall auch unterschiedlich verstanden werden können.

Pflichten für Anbieter von Websites
Durch die Vorgabe des „technisch Möglichen“ verpflichtet das Gesetz die Betreiber von Webites sehr weit. Als Gegenpol hierzu wird versucht, durch den Begriff des „wirtschaftlich Zumutbaren“ diese Pflicht zu reduzieren. Gerade die Zumutbarkeit ist jedoch sehr schwer allgemein zu definieren, so dass erheblicher Spielraum für Auseinandersetzungen besteht. Ob ein wirtschaftlich zumutbares Verhalten noch geeignet ist, den Rahmen des technisch Möglichen überhaupt zu erreichen, bleibt eine spannende Frage.

Deutlich erkennbar ist jedoch der Wille des Gesetzgebers, wonach technische und organisatorische Maßnahmen vom Diensteanbieter zu treffen sind. Hier wird sicher von Gerichten gefordert werden, dass zumindest

  • Zuständigkeiten und Verantwortlichkeiten nachvollziehbar beschrieben und
  • Definition von (Mindest-)Standards in Bezug auf die Pflege der IT-Systeme und die Einhaltung von Sicherheitsstandards nachvollziehbar festgelegt

werden.

Aus dem übrigen Wortlaut des Gesetzes, dem Gesetzgebungsverfahren und der Gesetzesbegründung kann entnommen werden, dass dabei unter anderem besonderes Augenmerk auf folgende Bereiche zu legen ist:

  • Sicherheitspatches: Wer eine Standardsoftware einsetzt, ist verpflichtet, regelmäßig Sicherheitspatches einzuspielen, weil so das Risiko von Angriffen reduziert werden kann. Dies betrifft sowohl das Betriebssystem des jeweiligen Servers als auch verwendete Anwendersoftware wie CMS oder Shop-Software.
  • (vertragliche) Verpflichtung Dritter: Als weiteres Risiko hat der Gesetzgeber Inhalte Dritter wie etwa Werbebanner ausgemacht, durch die Schadcode eingeschleust werden kann. Daher sollen Diensteanbieter verpflichtet sein, den Werbedienstleister vertraglich zu notwendigen Schutzmaßnahmen zu verpflichten, was angesichts der Marktmacht von Google wohl schwierig realisierbar sein dürfte.
  • Verschlüsselung: Ein besonderes Augenmerk richtet der Gesetzgeber auf Verschlüsselungs- und Authentifizierungsverfahren bei personalisierten Diensten, also bei allen Seiten mit einer Möglichkeit zur Einrichtung eines Benutzerkontos. Hier sollen Diensteanbieter verpflichtet sein, dass die vom BSI veröffentlichten technischen Richtlinien Auskunft als notwendige sichere Maßnahmen umgesetzt werden. In der Realität dürfte eine solche umfassende Auseinandersetzung mit der zum Teil sehr komplexen technischen Materie gerade von kleineren Anbietern kaum zu leisten sein.

 

Bußgelder und Abmahnungen wegen Wettbewerbsverletzung
Da die Neuregelung bußgeldbewehrt ist, kann – wenn überhaupt –erwartet werden, dass im Rahmen solcher Verfahren die oben beschriebenen Grenzen ausgelotet werden. Angesichts des Umstandes, dass aber ein Verstoß gegen die seit längerem bestehende Impressumspflicht bußgeldbewehrt ist und dennoch – wenn überhaupt – keine nennenswerte Zahl an Bußgeldern verhängt wurde, ist auch bei der Neuregelung eher damit zu rechnen, dass eine ganz unmittelbare Bußgeldgefahr nicht besteht.
Ein Risiko besteht eher auf anderer Ebene: Nachdem in der Vergangenheit einige Gerichte der Auffassung waren, dass Verstöße auch gegen die datenschutzrechtlichen Regelungen des TMG als Wettbewerbsverletzung abmahnfähig sind ist davon auszugehen, dass vor allem Mitbewerber eine neue Möglichkeit haben, ein Fehlverhalten durch solche wettbewerbsrechtlichen Abmahnung zu sanktionieren. Begründet werden könnte dies damit, dass erklärtes Ziel des Gesetzes der verstärkte Schutz der Bürgerinnen und Bürger und damit wohl auch der Verbraucherschutz ist. Ob diese Vorschrift allerdings die dafür erforderliche Marktverhaltensregel nach § 4 Nr.1 UWG st oder nicht werden schlussendlich die Gerichte beantworten.

RA Prof. Clemens Pustejovsky

Tags: