Telemedienanbieter

 

Jede Website ist betroffen

Im Zuge der Einführung des neuen IT-Sicherheitsgesetzes kam es zu einer Änderung des Telemediengesetzes, wodurch umfassende Pflichten für Anbieter von Websites geschaffen wurden. Grund für die Einführung des Gesetzes ist eine beabsichtigte Erhöhung des Schutzniveaus im Online-Bereich. Die Pflichten betreffen die gesamte Wirtschaft Deutschlands über den neuen § 13 Abs. 7 TMG, da heutzutage jedes Unternehmen eine Website betreibt. Das kann eine kleine Website, ein Online-Shop oder eine E-Commerce-Plattform sein. Jeder, der sogenannte Telemedienangebote im Internet geschäftsmäßig betreibt, ist davon betroffen. Dies gilt unabhängig von der technischen, funktionalen oder wirtschaftlichen Bedeutung des Telemedienangebotes.

Ebenfalls betroffen sind Anbieter von Cloud-Lösungen, Software as a Service (SaaS) und vieles andere mehr.

Anspruchsvolle Pflichten für Website-Betreiber

Der § 13 Abs. 7 TMG regelt, welche neuen Pflichten Anbieter von Websites zu erfüllen haben. Kern der gesetzlichen Regelung ist die Verpflichtung für Anbieter, technische und organisatorische Vorkehrungen zu treffen, um die von ihnen genutzten technischen Einrichtungen zu schützen. Dies umfasst beispielsweise die Nutzung besonders gesicherter Hardware, Software und digitaler Informationsverarbeitung sowie die Einführung eines effektiven betriebsinternen IT-Sicherheitskonzeptes.

Diese Absicherung muss darüber hinaus dem sogenannten Stand der Technik entsprechen. Dabei handelt es sich um einen unbestimmten juristischen Fachbegriff, dessen Ermittlung und Umsetzung sich im Einzelfall häufig als schwierig erweist. Dem Stand der Technik entsprechen die Produkte, Dienste und Lösungen, die das Schutzziel am besten verwirklichen und am Markt zur Verfügung stehen. Die Schutzziele sind dabei die Verfügbarkeit, die Integrität, die Authentizität und die Vertraulichkeit („VIVA-Prinzip“) der technischen Einrichtungen.

Gesetzeskonformes Sicherheitsmanagement

Ein gesetzeskonformes IT-Sicherheitsmanagement ist sowohl komplex als auch notwendig. Eine Nichteinhaltung der gesetzlichen Vorschriften ist bußgeldbewehrt, bis zu 50.000 Euro bei Vorsatz, bei Fahrlässigkeit immerhin noch die Hälfte.

Insbesondere bei der vertraglichen Beauftragung von IT-Dienstleistern und dem Outsourcen von IT-sicherheitsrelevanten Leistungen ist sicherzustellen, dass am Ende der individuell einzuhaltende Sicherheitsstandard erreicht wird.  Dazu bietet sich eine Abstimmung mit den für das zur Einhaltung des Bundesdatenschutzgesetzes getroffenen IT-Sicherheitsmaßnahmen (Datenschutzmanagement) an.

1. Schutzbedarf feststellen

   Zunächst ist der konkrete Schutzbedarf des Unternehmens im Wege einer limitierten Schutzbedarfsanalyse festzustellen. Dabei hat eine Analyse der technischen Einrichtungen mit Blick auf die VIVA-Schutzziele zu erfolgen.

2. Schutzmaßnahmen treffen

   Es müssen praxistaugliche technische und organisatorische Vorkehrungen getroffen werden,  um die gesetzlichen Anforderungen zu erfüllen. Auch diese Auswahl hat sich an dem VIVA-Prinzip zu orientieren und muss noch dazu den Stand der Technik berücksichtigen.

3. Stand der Technik einhalten

   Der Stand der Technik ist zu ermitteln und einzuhalten. Dabei sind Anforderungen des Gesetzes und der obersten Rechtsprechung zu beachten. Hier empfiehlt sich ein Rückgriff auf Leitfäden anerkannter IT-Fachverbänden sowie durch das BSI bereit gestellte Informationen.

4. Wirtschaftlichkeit beachten

   Die Wirtschaftlichkeit der zu treffenden Maßnahmen ist nicht außer Acht zu lassen. Das Gesetz beinhaltet die Einschränkung, dass die Maßnahmen dem Anbieter wirtschaftlich zumutbar sein müssen. Dafür ist eine individuelle Bewertung der betrieblichen Voraussetzungen erforderlich.