© saicle/Shutterstock.com
Was bedeutet das neue IT-Sicherheitsgesetz für Websitebetreiber?

Kampf gegen die Cyberspacebedrohung


Alle sind dafür, aber kaum einer setzt sie in der Praxis wirksam um – IT-Sicherheit. Das könnte sich jedoch bald ändern …

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, oder kurz IT-Sicherheitsgesetz, ist Ende 2014 beschlossen worden und tritt voraussichtlich Mitte 2015 in Kraft. Oberste Zielsetzung dieses Regelwerks ist es, eine Verbesserung der IT-Sicherheit in Deutschland zu erzielen. Auf diese Art und Weise soll den aktuellen und auch den zukünftigen Bedrohungen im Cyberspace effektiv begegnet werden können. Es gibt im Wesentlichen zwei tragende Säulen: die Verbesserung der IT-Sicherheit von Unternehmen insgesamt und ein verstärkter Schutz von Privatpersonen im Internet.

Das IT-Sicherheitsgesetz richtet sich in erster Linie an Unternehmen aus „kritischen Bereichen“, also z. B. dem Energie-, dem Verkehrs- und Transports-, dem Gesundheits- oder auch dem Ernährungssektor. Kritisch bedeutet in diesem Kontext, dass die betreffenden Unternehmen „von hoher Bedeutung für das Funktionieren des Gemeinwesens“ sind. Durch ihren eventuellen Ausfall bzw. eine eventuelle Beeinträchtigung würden etwa potenziell nachhaltig wirkende Versorgungsengpässe oder erhebliche Gefährdungen für die öffentliche Sicherheit eintreten.

Was bedeutet das nun letztlich für den „08/15“-Websitebetreiber? Welche Pflichten ergeben sich und welche Konsequenzen drohen ihm unter Umständen? Neben anderen Neuerungen wird auch das Telemediengesetz (TMG) von Änderungen betroffen sein. Die darin enthaltenen Vorschriften betreffen alle Internetseiten, die nicht nur rein privater Natur sind. Es fallen also alle Webshops und Unternehmenswebsites darunter. In § 13 TMG soll ein neuer Absatz 7 eingefügt werden, der wie folgt lauten wird:

„Dienstanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  • kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

  • diese

    • a. gegen Verletzungen des Schutzes personenbezogener Daten und

    • b. gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind.

Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

Im Kern wird zwar deutlich, was der Gesetzgeber mit dieser Neuregelung bezweckt, allerdings behindern insbesondere die enthaltenen unbestimmten Rechtsbegriffe die praktische Umsetzung nicht unerheblich. Begriffe wie beispielsweise „technisch möglich“, „wirtschaftlich zumutbar“ oder „Stand der Technik“ sind für Fachleute kaum greifbar und erschließen sich für juristische bzw. technische Laien schon gar nicht. Es muss diesbezüglich wohl leider auf entsprechende Gerichtsentscheidungen gewartet werden, in denen Richter ihrer Aufgabe, nämlich Rechtsfortbildung zu betreiben, auch nachkommen.

TOM

Fest steht bislang, dass jeder verpflichtete Websitebetreiber die eigenen technischen und organisatorischen Maßnahmen (TOM) auf die neuen Vorgaben abstimmen muss. Das geht unzweideutig aus dem Gesetzestext des neuen § 13 Abs. 7 TMG hervor. Zwar hatten Websitebetreiber das bislang auch schon zu beachten, allerdings bringt das IT-Sicherheitsgesetz eine explizit und detaillierter formulier...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang