In diesem Blog geht es um die Bedeutung des IT-Sicherheitsgesetzes für die geschäftlichen Betreiber von Internetseiten. Das sind Webseiten, die zur Bewerbung des eigenen Unternehmens betrieben werden oder Onlineshops. Auch in diesem Bereich manifestiert das IT-Sicherheitsgesetz nun bestimmte Pflichten, die nachfolgend erläutert werden.
Das IT-Sicherheitsgesetz ist ein Artikelgesetz. Das bedeutet es ist kein in sich abgeschlossenes Gesetz, sondern ein Gesetz, das bereits bestehende Gesetze verändert. Die hier anzusprechende Änderung betrifft das Telemediengesetz. Der neue in das Telemediengesetz aufgenommene § 13 Abs. 7 TMG regelt nun bestimmte Anforderungen an die Sicherheit des Betriebes von geschäftlich genutzten Websites. Es gibt keine Privilegierung für Kleinstunternehmen. Einfach gesagt betrifft die Regelung alle Unternehmen, die zu geschäftlichen Zwecken eine Website betreiben.
Das Telemediengesetz sah schon zuvor Regelungen zum Schutz personenbezogener Daten vor. Diese Regelungen bezogen sich regelmäßig auf den Datenschutz. Vereinfacht gesagt lautet die Regelung des § 13 Abs. 7 TMG, dass der Betreiber einer Website, soweit es für ihn technisch und wirtschaftlich möglich und zumutbar ist, erforderliche technische und organisatorische Vorkehrungen unter Berücksichtigung des Standes der Technik zu treffen hat, um sicherzustellen, dass
„1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. die Website
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, geschützt ist.“
Das Gesetz ist sehr schwammig formuliert. Unklar ist, was mit dem Begriff der „für die Telemedienangebote genutzten Einrichtung“ gemeint ist. Dieser Begriff wird im Gesetz nicht definiert. Vermutlich ist damit die IT Infrastruktur gemeint, die erforderlich ist, um eine Webpage zu betreiben. Vermutlich sind mit solchen Maßnahmen Firewalls und Virenscanner gemeint. Die Maßnahmen haben dem Stand der Technik zu entsprechen. Wenn man die Website bei einem Provider betreibt, hat man vertraglich sicherzustellen, dass der Provider Sicherheitsmaßnahmen nach dem Stand der Technik ergreift. Zu den anerkannten Sicherheitsmaßnahmen gehört auch die Realisierung eines Verschlüsselungsverfahrens.
Gegen den Betreiber einer Website, der gegen die vorgenannten Regelungen verstößt können Bußgelder bis zu 50.000 € verhängt werden.
Stellungnahme: Das Gesetz ist derartig pauschal formuliert, dass eine Verhängung von Ordnungsgeldern nicht zu erwarten ist. Das IT Sicherheitsgesetz besagt im Grunde genommen, dass jeder, der einen sensiblen Dienst betreibt, Maßnahmen zu ergreifen hat, um den Betrieb vor unbefugten Zugriffen und Störungen durch Dritte zu schützen. Die Maßnahmen haben dem Stand der Technik zu entsprechen. Damit muss jeder, der eine Website betreibt, Dinge tun, die im Grundsatz nur vernünftig sind. Das Gesetz hat eine rege Aktivität in dem juristischen Blätterwald bewirkt. Ich schätze nicht, dass das Gesetz tatsächlich praktische Auswirkungen haben wird. Jeder, der eine Website zu geschäftlichen Zwecken betreibt wird ohnehin schon aus Gründen praktischer Vernunft angemessene Sicherheitsmaßnahmen ergreifen. Da das BSI personell nicht so ausgestattet ist, dass nun sämtliche in der Bundesrepublik Deutschland betriebenen Websites überprüft werden können, wird sich für das normale Unternehmen nichts Besonderes aus dem Gesetz ergeben.