Kanzlei Lachenmann Onlinerecht IT-Recht

Onlinedienste: Neue Vorschriften zur IT-Sicherheit

Von RAin Lachenmann | Veröffentlicht: 13. August 2015

Kanzlei Lachenmann zu Datenschutz im WEG - VideoüberwachungOnlinedienste sind nunmehr rechtlich eindeutig zur Einhaltung neuer Vorschriften zur IT-Sicherheit verpflichtet. Neu in das Telemediengesetz eingefügt wurde § 13 Abs. 7 TMG, der Anbieter geschäftsmäßiger Telemedien verpflichtet, verschiedene Anforderungen an die IT-Sicherheit einzuhalten. Eingefügt wurde dieser durch das IT-Sicherheitsgesetz, das deutschlandweit die Anforderungen an die IT-Sicherheit erhöhen soll (Blogbeiträge folgen).

Erfasst von denen neuen Vorschriften zur IT-Sicherheit sind alle Onlinedienste wie Webseiten, Apps, Webshops, Online-Games, die irgendwie gewerblich genutzt werden. Als gewerbliche Nutzung gilt auch die Schaltung von Werbung im eigenen Onlinedienst oder auch die Nutzung einer Website als Werbung für eigene Angebote. Ausgeschlossen von der Regelung des § 13 Abs. 7 TMG sind also nur rein privat betriebene Onlinedienste (Urlaubswebseiten od.ä.).

Inhaltlich bringt der § 13 Abs. 7 TMG eigentlich nicht wirklich etwas neues, außer dass die Anforderungen an IT-Sicherheit für Onlinedienste konkretisiert werden (dabei gleichzeitig etwas wirr geregelt). Denn bereits bislang gab es den § 9 BDSG mit Anlage, der jede datenverarbeitende Stelle (auch Betreiber von Onlinediensten) zur Einhaltung aktueller Sicherheitsstandards verpflichtete, dazu gehört insbesondere die Verschlüsselung. Dies wird nunmehr konkretisiert. Eindeutig geregelt wird nun jedoch, dass ein Verstoß gegen die Regelungen ein Bußgeld der Datenschutzaufsichtsbehörde von bis zu 50.000,- € verhängt werden kann (§ 16 Abs. 2 Nr. 3 TMG).

Onlinedienste: Diese neuen Vorschriften zur IT-Sicherheit gibt es:

  1. Verhinderung von unerlaubten Zugriff auf die Onlinedienste: Auch wenn die Gesetzbegründung meint, davon sei erfasst, „das unbemerkte Herunterladen allein durch das Aufrufen bzw. Nutzen einer dafür von Angreifern präparierten Website (sogenannte Drive-by-Downloads)” zu verhindern, geht die Norm weiter. Anbieter von Onlinediensten sollen Sicherheitsvorkehrungen gegen Hacking treffen und neueste Updates/Patches regelmäßig installieren. Auch Dienstleister der Onlinediensteanbieter sollen vertraglich zur IT-Sicherheit verpflichtet werden.
  2. Schutz personenbezogener Daten: Die in den Onlinediensten gespeicherten personenbezogenen Daten Dritter müssen angemessen geschützt werden. Dies war auch bislang der Fall, wird nun aber konkretisiert. Gemeint sind wohl insbesondere die Implementierung von Verschlüsselungsmechanismen (SSL/TLS), die stets den neusten Anforderungen zu entsprechen haben. Auch sichere Passwörter, PINs und Sicherheitsanforderungen an die verwendeten Server können erfasst sein.
  3. Schutz gegen äußere Angriffe: Gemeint ist wohl, dass Onlinediensteanbieter sich gegen DDOS-Attacken absichern sollen, wobei unklar ist, wie dies gewährleistet werden soll.

Immerhin stehen diese Anforderungen unter dem Vorbehalt, dass „technisch möglich und wirtschaftlich zumutbar” sein müssen. Insbesondere für Anbieter kleinerer oder kaum Umsatz erzielender Onlinedienste ist dies eine Erleichterung, da Sicherheitsvorkehrungen nicht in dem Umfang ergriffen werden müssen, wie bei großen Anbietern.

Insgesamt erscheint die Norm als handwerklich schlecht gearbeitet, so dass der Versuch der Konkretisierung des § 9 BDSG eher mehr Unklarheiten schafft. Da die Gefahr von Abmahnungen nun auch bei datenschutzrechtlichen Anforderungen besteht, werden künftig vielleicht Urteile für mehr Klarheit sorgen. Insgesamt erscheint der § 13 Abs. 7 TMG aber als ein weiterer Versuch, von den Versäumnissen der deutschen Regierung in der Geheimdienst-Affäre abzulenken.

Die Regelung des § 13 Abs. 7 TMG im vollen Wortlaut lautet:

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
  2. diese
  3. a) gegen Verletzungen des Schutzes personenbezogener Daten und
  4. b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind.

Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Dieser Beitrag wurde in Apps und Recht, Blog, Datenschutzrecht, Internetrecht/Onlinerecht, IT- und Internetrecht veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.