» » » Höhere Anforderungen an Online-Händler durch das IT-Sicherheitsgesetz

Höhere Anforderungen an Online-Händler durch das IT-Sicherheitsgesetz

Basics

Die Lektüre der amtlichen Begründung macht eins ganz klar. Die digitale Infrastruktur soll für Unternehmen sowie Bürgerinnen und Bürger insgesamt verbessert werden. Damit sollen insbesondere die Daten der Nutzer geschützt werden, aber auch unerlaubten Zugriffen vorgebeugt werden. Hierzu gehört auch die Verhinderung von Schadsoftware. Oft ist es so, dass sich die Schadsoftware über sog. Drive-by-Downloads vollzieht, nämlich derart, dass der Nutzer von dem Download nichts mitbekommt, während die Schadsoftware das System allmählich einnimmt.

Folglich sind mit dem Inkrafttreten des IT-Sicherheitsgesetzes am 01.08.2015 auch die Anforderungen an die Telemediendiensteanbieter gestiegen. Darunter fallen auch die Online-Shopbetreiber. Letztere müssen nunmehr durch technische und organisatorische Maßnahmen nach dem Stand der Technik dafür sorgen, dass ihre IT-Systeme und die darin enthaltenen Daten der Kunden nicht angegriffen werden können. Abhilfe sollen dabei die anerkannten Verschlüsselungsverfahren wie das „SSL-Verfahren“ oder das „Gpg4win“ schaffen. Allerdings muss die Einrichtung dem Online-Shopbetreiber wirtschaftlich zumutbar sein, wobei noch immer unklar ist, wie die Ziele bei wirtschaftlicher Unzumutbarkeit sonst erreicht werden sollen.

Eine Karenzzeit / Übergangsregelung ist für den Online-Shopbetreiber nicht vorgesehen. Die Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik) geben bei der Gestaltung der IT-Infrastruktur wertvolle Hilfestellung. Gleichwohl gilt dabei die Faustregel: Je sensibler die Daten, umso höher muss das Schutzniveau sein.

Einige sprechen deshalb zu Recht schon von einer gesetzlichen Pflicht zum Schutz personenbezogener Daten.

Bei Nichtbefolgung drohen dem Online-Shopbetreiber Bußgelder. Hierfür wurden die Bußgeldvorschriften des TMG erweitert. Danach drohen den Händlern Bußgelder bis zu 50.000 €.

 

Rechtliches

Der neue § 13 Nr. 7 TMG lautet nun:

„Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

  1. diese
  2. a) gegen Verletzungen des Schutzes personenbezogener Daten und
  3. b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind.

Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

Geschäftsmäßig ist ein Angebot, welches auf nachhaltige Tätigkeit beruht. Dies dürfte bei entgeltlichen Diensten in der Regel der Fall sein.

Fazit

In der Praxis hat sich ein sicherer Standard zwecks Erreichung der gesetzlichen Vorgaben noch nicht etabliert. Das bedeutet auch, dass die Gerichte sich mit dieser Thematik beschäftigen werden. Die Rechtsprechung muss in diesem Fall aufmerksam verfolgt werden, da nicht selten auch Empfehlungen zwischen den Zeilen gegeben werden. Auch die Verantwortung des Hosters ist noch ein ungeklärtes Terrain. Denkbar ist, dass sich die Pflichten des Hosters einerseits und die des Online-Shoppbetreibers überschneiden, so dass es ausreichend sein könnte, dass statt des Online-Shoppbetreibers der Hoster tatsächlich aktiv wird. Ähnliches gilt bezüglich  Inhalten Dritter auf der Seite des Shoppbetreibers.

Zudem drohen bei Auslegung des § 13 Abs. 7 TMG als Marktverhaltensregel im Sinne des UWG Abmahnungen wegen der Nichtvornahme von geeigneten Sicherungsvorkehrungen.