IT-Sicherheitsgesetz und § 13 TMG

Neue Pflichten für Webseitenbetreiber

18.11.2015

Das IT-Sicherheitsgesetz

Seit 2015 ist das IT-Sicherheitsgesetz in Kraft, das zahlreiche Neuerungen und Pflichten für die Unternehmen bedeutet. Durch die Medien bekannt geworden sind in diesem Zusammenhang hauptsächlich die Definition von den sogenannten „kritischen Infrastrukturen“ und die umfangreichen Pflichten, die den darunter fallenden Stellen (z.B. Energieversorger, Krankenhäuser, Banken, Versicherungen) auferlegt wurden. Letztlich hat das IT-Sicherheitsgesetz jedoch noch viele weitere Änderungen mit sich gebracht.

Ein Artikelgesetz

Zunächst ist festzuhalten, dass das IT-Sicherheitsgesetz ein sogenanntes „Artikelgesetz“ ist. Das bedeutet in diesem Fall, dass es sich hierbei nicht um ein eigenes neu entstandenes Gesetzeswerk handelt, sondern dass lediglich bestehende Gesetze geändert oder um neue Artikel ergänzt wurden. So hatte das IT-Sicherheitsgesetz unter anderem Auswirkungen auf das BSI-Gesetz, das Atomgesetz, das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG).

Änderungen im TMG

Bisher relativ wenig Beachtung hat dabei eine Änderung des TMG in der Berichterstattung gefunden, die Auswirkungen auf alle Webseitenbetreiber hat. Da mittlerweile fast jedes Unternehmen eine eigene Webseite betreibt, ist diese Änderung daher in den meisten Fällen auch zu beachten. Im Rahmen dieser Änderung (§ 13 TMG Abs. 7) werden die Unternehmen dazu verpflichtet „…sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
  2. diese
    a) gegen Verletzungen des Schutzes personenbezogener Daten und
    b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

Konsequenzen für die Unternehmen

Direkte Konsequenz dieser Änderung ist, dass die Webseitenbetreiber verpflichtet werden, geeignete Maßnahmen zu ergreifen, den Webserver und die Kommunikation zu schützen. Das erfordert mindestens den Einsatz entsprechender Firewalls sowie die Installation der neuesten Patches und Sicherheitsupdates der Serversoftware (z.B. Apache). Sofern mit einem Content Management System (z.B. WordPress) gearbeitet wird ist auch dieses regelmäßig zu aktualisieren.

Ob eine generelle Pflicht zur verschlüsselten Übertragung (https) der Inhalte abgeleitet werden kann ist derzeit noch umstritten. Sofern aber personenbezogene Daten übermittelt werden (z.B. durch ein Kontaktformular oder eine Newsletteranmeldung) wird dies wohl unabdingbar sein. Aus diesem Grund habe ich übrigens im Rahmen der Neugestaltung des Internetauftritts der bITs GmbH die gesamte Kommunikation auf verschlüsstelte Übertragung umgestellt

Sprechen Sie mich an, gerne unterstütze ich Sie bei Umsetzung der Anforderungen des neuen § 13 TMG!