Schriftform? Textform? Notarielle Form?

Alles sicher oder was?


Rechtsanwalt Boris Burow

Am 24.07.2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme oder kurz „IT-Sicherheitsgesetz“ endgültig in Kraft getreten. Parallel hatte der Bundestag immer noch mit dem Hackerangriff zu kämpfen, der große Teile des Parlamentsnetzes lahmgelegt hat und dessen Folgen bis heute nicht vollständig beseitigt wurden. Grund genug heute einmal einen kritischen Blick auf das IT-Sicherheitsgesetzes zu werfen und zu prüfen, ob nun alles besser wird im Hinblick auf die IT-Sicherheit in Deutschland.

Das IT-Sicherheitsgesetz verfolgt mehrere Ansätze. Zum einen werden die Betreiber von sogenannter kritischer Infrastrukturen verpflichtet, technische Sicherheitsmaßnahmen zu ergreifen. Weiterhin wird eine Meldepflicht eingeführt, falls z. B. Dritte unerlaubt Zugriff auf die IT-Systeme der jeweiligen Betreiber von kritischer Infrastruktur erlangen konnten. Wenn ein Unternehmen einen solchen Zugriff nicht meldet, werden Bußgelder fällig. Zur kritischen Infrastruktur gehören Einrichtungen, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen zugeordnet werden können und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Die Zielrichtung des Gesetzes ist zunächst eindeutig und zielt auf die großen Unternehmen und öffentliche Einrichtungen des Staates ab. Nicht unter das IT-Sicherheitsgesetz fällt z. B. der Bundestag, so dass dieser keinerlei Sanktionen zu befürchten hätte, wenn er einen Hackerangriff nicht melden würde. Die Unternehmen, die als kritische Infrastruktur gelten haben zwei Jahre Zeit, technische Maßnahmen zu ergreifen, um einen entsprechenden Schutz der dem Stand der Technik entspricht, zu etablieren.

Aber es gibt auch eine Änderung des Telemediengesetzes und diese Änderung hat einen deutlich größeren Adressatenkreis. So wird das Telemediengesetz in § 13 in Absatz 7 neu geregelt:

„Dienstanbieter haben soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und diese gegen Verletzungen des Schutzes Person bezogener Daten und gegen Störungen auch soweit sie durch äußere Angriffe bedingt sind gesichert sind.“

Die Vorkehrungen sollen gemäß dem Gesetz den Stand der Technik berücksichtigen. Auch wenn das deutsche Telemediengesetz etwas sperrig formuliert ist, so gilt es grundsätzlich für jeden Webseitenbetreiber, dessen Webseite nicht rein privaten Zwecken dient. Unter die Änderungen fallen Webshops jeder Größe aber auch Blogbetreiber. Ein Szenario könnte sein, dass ein Blogbetreiber die Registrierung auf seiner Webseite ermöglicht, damit die Nutzer Kommentare posten. In diesem Fall wären personenbezogene Daten erhoben, die nun nach dem neuen IT-Sicherheitsgesetz entsprechend zu schützen sind. Dies gilt natürlich auch für Webshopbetreiber, da dort oftmals neben den Adressdaten auch Zahlungsdaten der Kunden erhoben und gespeichert werden.

Das Gesetz sieht aber eine Einschränkung vor und zwar sind diese Anforderungen nur insoweit zu erfüllen, wie dies technisch und wirtschaftlich möglich bzw. zumutbar ist. Hierüber wird man sicherlich streiten können, was nun im konkreten Fall technisch möglich und wirtschaftlich zumutbar ist. Die Frage der technischen Möglichkeiten lassen sich normalerweise am geltenden Stand der Technik ablesen. Die Frage der wirtschaftlichen Zumutbarkeit kann entweder danach beantwortet werden ob es dem Einzelnen individuell wirtschaftlich unzumutbar ist oder ob hier ein gewisser Mindeststandard gelten soll. So könnte ein Blogbetreiber argumentieren dass es sich um ein reines Hobby handelt, er damit keinerlei Geld verdient und ihm somit keine Änderungen in irgendeiner Form wirtschaftlich zumutbar sind, die die IT-Sicherheit erhöhen.

Daneben hat der Gesetzgeber auch verfügt, dass Verstöße gegen das Gesetz auch ein Bußgeld auslösen können. Das Bußgeld kann höchstens 50.000,00 € betragen. Sicherlich wird ein so hohes Bußgeld nur in sehr seltenen Fällen verhängt werden, es zeigt aber doch, dass die Betreiber von Webseiten durchaus in der Pflicht sind, sich um ihre IT-Sicherheit zu kümmern. Daher ist es Betreibern von Webshops und Blogs anzuraten, die verwendete Software kritisch zu prüfen und entsprechend beim Hersteller nachzufragen, inwiefern Sicherheitsupdates und Patches herausgegeben werden. Des Weiteren sollte ein Webshopbetreiber ebenso wie ein Blogbetreiber darauf achten, dass er sich regelmäßig über auftretende Sicherheitslücken oder Probleme informiert. Weiterhin sollten alle Maßnahmen ergriffen werden, die der Sicherheit der Webseiten und eines eigenen Servers dienen. Gegebenenfalls ist es hier auch ratsam solche Sicherheitsvorkehrungen auszulagern und ein IT-Fachmann damit zu beauftragen. Bei der Beauftragung sollte dann aber auch konkret auf das IT-Sicherheitsgesetz Bezug genommen werden, damit im Falle eines Verstoßes ggf. Schadensersatz geltend gemacht werden kann.

Das IT-Sicherheitsgesetz wurde oftmals als zahnloser Papiertiger benannt. Sicherlich schützt das IT-Sicherheitsgesetz nicht den Verbraucher, der nun seine persönlichen Daten nach einem Hack einer Webseite im Internet wieder findet aber es nimmt doch letztlich Webseitenbetreiber und die Betreiber kritischer Infrastrukturen in die Pflicht. Dieser Pflicht sollte man nachkommen. Allerdings ist ehrlicherweise festzuhalten, dass die Webseitenbetreiber auch schon bisher alles unternehmen sollten, um den Schutz ihrer Daten und der Daten ihrer Kunden zu gewährleisten.

Boris Burow
Rechtsanwalt

Burow Kachur Gentes
Rechtsanwälte Steuerberater Partnerschaft
Bachstr. 19 – 76185 Karlsruhe
Telefon: 0 72 1-35 48 17 26
Telefax: 0 72 1-35 48 17 27

www.rechtsberatung-karlsruhe.de
info@rechtsberatung-karlsruhe.de

Eingetragen im Partnerschaftsregister
des AG Mannheim unter PR 700113

Sitz der Gesellschaft: Karlsruhe