IT-Sicherheit: Verschärfungen für Webseitenbetreiber
Das Telemediengesetz (TMG) ist durch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) geändert worden. Das wichtigste Ziel des Gesetzes ist die Eindämmung der Hauptverbreitungswege von Schadsoftware. Dadurch sind auch umfangreiche neue Verpflichtungen für Diensteanbieter, also insbesondere auch Betreiber von Webseiten, eingeführt worden.
Die neu auferlegten Pflichten gelten für Diensteanbieter, die geschäftsmäßig Telemedien anbieten. Diensteanbieter in diesem Sinne ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt.
Geschäftsmäßig ist ein Angebot dann, wenn es auf einer nachhaltigen Tätigkeit beruht und es sich um eine planmäßige und dauerhafte Tätigkeit handelt. Beispielsweise wird es sich bei einer werbefinanzierten Webseite regelmäßig um ein geschäftsmäßiges Angebot handeln. Damit sind letztlich nur rein nicht-kommerzielle Webseiten von Privatpersonen oder Vereinen nicht von den Änderungen betroffen.
Die Änderungen betreffen vor allem den neuen § 13 Absatz 7 TMG, der jetzt wie folgt lautet:
Die Diensteanbieter haben die Pflicht im Rahmen ihrer jeweiligen Verantwortlichkeit, soweit es technisch möglich und wirtschaftlich zumutbar ist, durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Eine technische Vorkehrung nach Ziffer 1 kann beispielsweise bei personalisierten Webseiten darin bestehen, dass ein sicheres und dem jeweiligen Schutzbedarf angemessenes Authentifizierungsverfahren eingesetzt wird, um den Zugriff Dritter zu verhindern, zumindest ausreichend zu erschweren.
Eine organisatorische Vorkehrung kann beispielsweise die vertragliche Verpflichtung von Werbedienstleistern, denen auf der Webseite Werbeflächen eingeräumt werden, zu bestimmten Schutzmaßnahmen sein. Gleiches ist für die Nutzer der Webseite möglich und sinnvoll, die im Rahmen von Nutzungsbedingungen zu bestimmtem sicherheitsrelevanten Verhalten angehalten werden sollten.
Das Schutzniveau bestimmt sich dabei nach Sensibilität und Umfang der verarbeiteten Daten. Das bedeutet, dass es einen Unterschied macht, ob über eine Webseite „nur“ solche Daten verarbeitet werden, die ohnehin anderweitig öffentlich zugänglich sind (dann geringeres Schutzniveau), oder ob beispielsweise darüber hinausgehende Daten, wie die Bankverbindungen, Kreditkartendaten bzw. gar Gesundheitsdaten verarbeitet werden (dann hohes Schutzniveau).
Dem Stand der Technik genügen beispielsweise solche Authentifizierungsverfahren, die den entsprechenden aktuellen und veröffentlichten technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entsprechen.
Kommt ein Diensteanbieter seinen Pflichten nicht nach, drohen ihm Sanktionen. Soweit ein Diensteanbieter vorsätzlich oder fahrlässig die Pflichten verletzt, stellt das eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu 50.000,00 Euro geahndet werden kann. Dieses Bußgeld soll auch den Einsatz technischer und organisatorischer Maßnahmen durch den Diensteanbieter umfassen, die nicht den Stand der Technik berücksichtigen.
Fazit
Die Anforderungen an IT-Sicherheit und Datenschutz werden immer höher. Abhängig von Art und Schutzbedürftigkeit der Daten sollte das mindeste eine dem Stand der Technik entsprechende Authentifizierung für Nutzer und eine Verschlüsselung der Daten und des Datenverkehrs sein.
Wenn Sie nicht sicher sind, ob Sie zzt. diese Anforderungen erfüllen, dann sprechen Sie uns gerne an und wir begleiten Sie bei dem erforderlichen Prozess zur Aufsetzung rechtssicherer Strukturen.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
Die neu auferlegten Pflichten gelten für Diensteanbieter, die geschäftsmäßig Telemedien anbieten. Diensteanbieter in diesem Sinne ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt.
Geschäftsmäßig ist ein Angebot dann, wenn es auf einer nachhaltigen Tätigkeit beruht und es sich um eine planmäßige und dauerhafte Tätigkeit handelt. Beispielsweise wird es sich bei einer werbefinanzierten Webseite regelmäßig um ein geschäftsmäßiges Angebot handeln. Damit sind letztlich nur rein nicht-kommerzielle Webseiten von Privatpersonen oder Vereinen nicht von den Änderungen betroffen.
Die Änderungen betreffen vor allem den neuen § 13 Absatz 7 TMG, der jetzt wie folgt lautet:
Die Diensteanbieter haben die Pflicht im Rahmen ihrer jeweiligen Verantwortlichkeit, soweit es technisch möglich und wirtschaftlich zumutbar ist, durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Eine technische Vorkehrung nach Ziffer 1 kann beispielsweise bei personalisierten Webseiten darin bestehen, dass ein sicheres und dem jeweiligen Schutzbedarf angemessenes Authentifizierungsverfahren eingesetzt wird, um den Zugriff Dritter zu verhindern, zumindest ausreichend zu erschweren.
Eine organisatorische Vorkehrung kann beispielsweise die vertragliche Verpflichtung von Werbedienstleistern, denen auf der Webseite Werbeflächen eingeräumt werden, zu bestimmten Schutzmaßnahmen sein. Gleiches ist für die Nutzer der Webseite möglich und sinnvoll, die im Rahmen von Nutzungsbedingungen zu bestimmtem sicherheitsrelevanten Verhalten angehalten werden sollten.
Das Schutzniveau bestimmt sich dabei nach Sensibilität und Umfang der verarbeiteten Daten. Das bedeutet, dass es einen Unterschied macht, ob über eine Webseite „nur“ solche Daten verarbeitet werden, die ohnehin anderweitig öffentlich zugänglich sind (dann geringeres Schutzniveau), oder ob beispielsweise darüber hinausgehende Daten, wie die Bankverbindungen, Kreditkartendaten bzw. gar Gesundheitsdaten verarbeitet werden (dann hohes Schutzniveau).
Dem Stand der Technik genügen beispielsweise solche Authentifizierungsverfahren, die den entsprechenden aktuellen und veröffentlichten technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entsprechen.
Kommt ein Diensteanbieter seinen Pflichten nicht nach, drohen ihm Sanktionen. Soweit ein Diensteanbieter vorsätzlich oder fahrlässig die Pflichten verletzt, stellt das eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu 50.000,00 Euro geahndet werden kann. Dieses Bußgeld soll auch den Einsatz technischer und organisatorischer Maßnahmen durch den Diensteanbieter umfassen, die nicht den Stand der Technik berücksichtigen.
Fazit
Die Anforderungen an IT-Sicherheit und Datenschutz werden immer höher. Abhängig von Art und Schutzbedürftigkeit der Daten sollte das mindeste eine dem Stand der Technik entsprechende Authentifizierung für Nutzer und eine Verschlüsselung der Daten und des Datenverkehrs sein.
Wenn Sie nicht sicher sind, ob Sie zzt. diese Anforderungen erfüllen, dann sprechen Sie uns gerne an und wir begleiten Sie bei dem erforderlichen Prozess zur Aufsetzung rechtssicherer Strukturen.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht