Deutsches IT-Sicherheitsgesetz in Kraft getreten – Relevanz für Online-Händler

Neue Maßnahmen und Meldepflichten für Betreiber von kritischen Infrastrukturen

Am Samstag, den 25.07.2015 ist das im Juni dieses Jahres vom Bundestag beschlossene Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft getreten. Mit den neu eingeführten Regelungen werden in erster Linie Betreiber sogenannter kritischer Infrastrukturen vermehrt in die Pflicht genommen. So sollen sie mittels technischer und organisatorischer Schutzvorkehrungen ihre Systeme vor unbefugten Zugriffen schützen und dem als zentrale Anlaufstelle fungierenden Bundesamt für Sicherheit in der Informationstechnik (BSI) etwaige IT-Sicherheitsvorfälle melden. Als kritische Infrastrukturen gelten diejenigen Anlagen, denen für das Funktionieren des Gemeinwesens zentrale Bedeutung zukommt und deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder eine Gefährdung der öffentlichen Sicherheit zur Folge haben könnte. Erfasst werden Betriebe in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Eine Rechtsverordnung soll die betroffenen Infrastrukturen noch näher bestimmen.

Auch Telekommunikationsunternehmen in die Pflicht genommen

Ein weiterer Adressat der vom IT-Sicherheitsgesetz begründeten Pflichten sind die Telekommunikationsunternehmen. Diese müssen ihre Systeme ausreichend gegen Cyberangriffe sichern sowie deren Nutzer vor allfälligen Missbräuchen ihrer Anschlüsse warnen. Bei bereits eingetretener Störung sollen die Unternehmen ausserdem mögliche Wege zur Behebung aufzeigen.

Online-Shops müssen ihre Kundendaten und IT-Systeme schützen

Das Gesetz beinhaltet ausserdem eine Änderung des Telemediengesetzes (TMG), welche für Anbieter von Telemedien neue Sicherheitspflichten mit sich bringt. Insbesondere durch die Änderung von § 13 und § 16 TMG werden so z.B. Anbieter von Blogs, Apps, oder auch Online-Shops von der Einführung des IT-Sicherheitsgesetzes tangiert. So werden geschäftsmäßige Webseitenanbieter gehalten, Maßnahmen zum Schutz vor unerlaubten Zugriffen auf ihre Einrichtungen und zum Schutz personenbezogener Daten zu treffen. Voraussetzung dafür ist, dass die entsprechenden Vorkehrungen technisch möglich und für den Dienstanbieter zumutbar sind, die Kosten also zum Schutzzweck in einem angemessenen Verhältnis stehen. Als Vorkehrungen nennt das Gesetz konkret die Anwendung von als sicher anerkannten Verschlüsselungs- oder Authentifizierungsverfahren. Geschäftsmäßig handelt ein Anbieter indes dann, wenn er einer nachhaltigen Tätigkeit nachgeht. Eine solche wird angenommen, wenn die Tätigkeit planmäßig und dauerhaft ausgeübt wird, worunter nicht nur entgeltliche Dienste, sondern bereits werbefinanzierte Webseiten fallen sollen.

Ausblick

Die geforderten Maßnahmen müssen nun von den betroffenen Unternehmen innerhalb von zwei Jahren umgesetzt werden, andernfalls eine Busse von bis zu 50‘000 EUR droht. Die Unternehmen sind also gut beraten, ihre aktuellen Vorkehrungen zum Schutz von IT-Systemen zu überprüfen und gegebenenfalls anzupassen. Es kann allerdings zumindest bezweifelt werden, ob das Gesetz mit seinen vielen unbestimmten Rechtsbegriffen den Ambitionen bezüglich einer Erhöhung der IT-Sicherheit gerecht werden kann, oder ob es nicht vielmehr zu Rechtsunsicherheit führt. Hier gilt es abzuwarten, ob die noch zu erlassende Rechtsverordnung mehr Klarheit zu schaffen vermag.

Weitere Informationen

• Entwurf des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)
• Pressemitteilung des Deutschen Bundestags: Bundestag beschließt das IT-Sicherheitsgesetz
• Telemediengesetz (TMG)

Ansprechpartner: Lukas Bühlmann