Seit dem 25. Juli 2015 gilt das IT-Sicherheitsgesetz (IT-SiG), das bereits im Vorfeld heiß diskutiert wurde. Was innerhalb dieser Diskussionen meist unbeachtet geblieben ist, sind die neuen Pflichten, die Telemedienanbieter seit Inkrafttreten einzuhalten haben. Davon betroffen sind auch Online-Händler.

 

Zweck des Gesetzes ist es, die Verfügbarkeit und Sicherheit von IT-Systemen und dem Cyberraum zu gewährleisten. Die Neuregelungen betreffen deshalb vor allem Betreiber kritischer Infrastrukturen, beispielsweise im Bereich Energie und Telekommunikation, und das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Neue Pflichten auch für Shop-Betreiber

Allerdings wurde auch das Telemediengesetz (TMG) geändert, was weitreichende Folgen für den Online-Handel hat. Um die zunehmende Verbreitung von Schadsoftware zu verhindern, sind für Betreiber geschäftsmäßiger Telemedien (wozu Webshops stets zählen) neue Pflichten eingeführt worden. Sie sind seit Inkrafttreten am 25. Juli 2015 gezwungen, Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen – auch von außen – zu ergreifen. Wie diese Maßnahmen aussehen sollen, lässt das Gesetz jedoch weitestgehend offen.

Vorkehrungen müssen dem Stand der Technik entsprechen

Einzige gesetzliche Vorgabe ist, dass die Vorkehrungen dem Stand der Technik entsprechen müssen, was laut Gesetzesbegründung auf die vom BSI veröffentlichten Richtlinien zutrifft. Wer diese anwendet, ist seiner gesetzlichen Pflicht ausreichend nachgekommen. Was leicht klingt dürfte in der Umsetzung deutlich schwerer sein. Denn die Richtlinien des BSI sind sehr streng und dürften vor allem kleinere und mittlere Unternehmer schnell – organisatorisch, technisch und finanziell – überfordern.

Grenzen der Sicherungspflicht: technische Unmöglichkeit und wirtschaftliche Zumutbarkeit

Die Grenzen der Sicherungspflicht bilden die technischen Möglichkeiten und die wirtschaftliche Zumutbarkeit. Dadurch soll eine flexible Anpassung im jeweiligen Einzelfall ermöglicht werden. Je weniger sensibel die erfassten Daten also sind und je weniger umfangreich deren Verarbeitung ist, desto geringer dürften die Anforderungen an das Schutzniveau sein. Werden hingegen hochsensible Daten, wie beispielsweise Kontodaten erfasst, ist das Schutzniveau entsprechend zu erhöhen. Unverhältnismäßige Kosten können so vermieden werden.

Maßnahmen müssen von allen Shop-Betreibern ergriffen werden

Trotz dieser Einschränkungen werden wohl dennoch alle Shop-Betreiber in gewissen Umfang Maßnahmen ergreifen müssen. Etwa werden Sicherheitslücken des verwendeten Shopsystems durch regelmäßige Aktualisierung und Einspielen von Sicherheitspatches zu schließen sein. Dadurch sollen sog. „Drive-by-Downloads“ verhindert werden, also das unbemerkte herunterladen durch Aufrufen bzw. Nutzen einer von Angreifern präparierten Webseite. Wird der Webshop auch von Dritten, z.B. Werbedienstleistern, genutzt, sind vertragliche Vereinbarungen möglich und nötig, über die diese verpflichtet werden, notwendige Schutzmaßnahmen zu ergreifen.

Neuregelung bringt Rechtsunsicherheit

Durch die Rechtsänderung entsteht enorme Rechtsunsicherheit zum einen dahingehend, gegen welche Zugriffe die Webseite und die erhobenen Daten zu schützen sind, zum anderen darüber, welche konkreten Maßnahmen zum Schutz getroffen werden müssen. Genügt es beispielsweise die Webseite mit SSL-Zertifikaten zu sichern oder sind weitere oder andere Maßnahmen erforderlich? Klarheit werden diesbezüglich erst Gerichtsentscheidungen bringen können. Für Shop-Betreiber kann das jedoch – kostspielige – Folgen haben.

Folgen bei Nichtbeachtung der neuen Pflichten

Zum einen sieht das TMG Bußgelder bis zu 100.000,-EUR vor, wenn keine oder keine ausreichenden Sicherheitsmaßnahmen getroffen werden. Im Online-Handel besteht zudem immer die Gefahr, von Mitbewerbern oder bestimmten Verbänden (z.B. zum Schutz der Verbraucher oder des Wettbewerbs) abgemahnt zu werden. Probleme könnten auch mit Kunden auftreten, wenn es zu unerlaubten Zugriffe auf deren Daten gekommen und daraus ein Schaden entstanden ist (etwa weil die Kontodaten abgefangen und unberechtigt benutzt worden sind).

Drohen Bußgelder bis zu 100.000,- EUR?

Da Telemedienanbieter nicht verpflichtet sind, die eingerichtetenSchutzmaßnahmen behördlich zu melden, erscheint die Gefahr von Bußgeldern zumindest für kleine und mittlere Unternehmen gering. Denn dass diese Anbieter – die zahlreich auf dem Markt vorhanden sind, jedoch nur geringe Auswirkungen auf diesen haben dürften – von den zuständigen Behörden (regelmäßig) überprüft werden, ist unwahrscheinlich und dürfte die Kapazitäten der Verwaltung sprengen. Hinzu kommt, dass es auch für die Behörden keine konkreten Vorgaben gibt, welche Maßnahmen Anbieter zu ergreifen haben. Es müsste daher in jedem Einzelfall geprüft werden, ob die getroffenen Vorkehrungen den gesetzlichen Anforderungen genügen.

Die Abmahnindustrie wartet

Gefährlicher ist daher ein Verstoß gegen die neuen Sicherungspflichten im Hinblick auf wettbewerbsrechtliche Abmahnungen. Konkurrenten sind eher geneigt, den Markt nach Rechtsverstößen abzusuchen und nutzen Rechtsunsicherheit für sich aus, um Mitbewerber zur ungeprüften Erfüllung der mit der Abmahnung geltend gemachten Ansprüche zu veranlassen. Diesbezüglich wird aber zunächst geklärt werden müssen, ob die neue Regelung überhaupt in den Anwendungsbereich des relevanten § 4 Nr. 11 des Gesetzes gegen den unlauteren Wettbewerb (UWG) fällt. Wird das verneint, müssen auch keine wettbewerbsrechtlichen Abmahnungen (mehr) befürchtet werden. Auch das ist aber zunächst gerichtlich zu klären, was wohl nur über entsprechende Abmahnungen möglich sein wird.

Schadenersatz gegenüber Kunden

Kommt es jedoch auf Grund fehlender oder mangelhafter Sicherungsmaßnahmen zu einem unerlaubten Zugriff auf die Webseite, eine Störung (von außen) oder den Abgriff von personenbezogenen Kundendaten und entsteht dadurch ein Schaden, wird der Shop-Betreiber wohl in den meisten Fällen Schadenersatzpflichtig sein. In welcher Höhe dann Zahlungen zu leisten sind und welche weiteren Folgen eintreten (etwa der Entzug der Gewerbeerlaubnis) kann derzeit nicht abgeschätzt werden.

Fazit

Fest steht, dass Online-Händler die Neuerungen nicht ignorieren, sondern Maßnahmen zum Schutz vor Zugriffen und der Kundendaten ergreifen sollten. Sei es nur in Form der oben genannten regelmäßigen Aktualisierung der Shopsoftware oder entsprechenden vertraglichen Vereinbarungen mit Drittanbietern oder beispielsweise auch durch Nutzung von SSL-Zertifikaten, um die eigene Haftung zu beschränken. Welche konkreten Vorkehrungen der gesetzlichen Sicherungspflicht entsprechen, wird sich erst im Laufe der Zeit durch entsprechende Urteile zeigen.

Absicherung über nimbusec

Protected Shops unterstützt Shop-Betreiber auch in dieser Hinsicht mit einer Kooperation mit Nimbusec. Nimbusec scannt die Webseite von extern und intern und ermittelt dadurch jede Veränderung. Diese Scans zielen darauf ab, inhaltliche Veränderungen, Defacements oder die Verteilung von Schadsoftware an die Webseitenbesucher zu finden. Zusätzlich wird geprüft, ob die Webseite auf einer Blacklist steht. Interne Scans ermitteln Webshells/Backdoors, hinzugefügte bzw. gelöschte Dateien sowie unsichere Konfiguration des CMS. Stellt das Monitoring eine kritische Veränderung auf der Webseite fest, wird der Betreiber innerhalb kürzester Zeit via E-Mail oder SMS benachrichtigt. Es können dadurch sofort Vorkehrungen getroffen werden, um den Webshop wieder sicher zu machen.