IT-Sicherheitsgesetz: Verschlüsselungspflicht für alle?
Am 1. August ist das IT-Sicherheitsgesetz in Kraft getreten. In erster Linie richtet sich das Gesetz an Betreiber sog. „kritischer Infrastrukturen”. Relativ unauffällig hat sich aber auch eine Änderung des Telemediengesetzes eingeschlichen, die auch für Anbieter von Telemedien neue Sicherheitspflichten vorsieht – von Blogs über Apps bis zu Online-Shops. Bei Verstößen gegen die neuen Pflichten sieht das Gesetz ein Bußgeld bis zu 50.000 EUR vor.
Die Änderungen im TMG
Mit dem neuen IT-Sicherheitsgesetz wurde ein neuer § 13 Abs. 7 Telemediengesetz (TMG) ins Gesetz eingefügt:
„(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.”
Die Norm richtet sich an „Diensteanbieter” von „geschäftsmäßig angebotenen Telemedien”. Die Gesetzesbegründung (BT-Drucks. 18/4096, S. 34) versteht darunter solche Telemedien, die „auf einer nachhaltigen Tätigkeit” beruhen. Dies gelte regelmäßig für kostenpflichtige oder werbefinanzierte Dienste. Das „nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereinen” sei allerdings nicht erfasst.
Der Begriff scheint demnach deckungsgleich mit § 5 Abs. 1 TMG zu sein, der allerdings von „geschäftsmäßigen, in der Regel gegen Entgelt angebotenen Telemedien” spricht. In der Praxis dürfte der Begriff daher deutlich weitreichender sein, als der Wortlaut vermuten lässt. Egal wie gering der Umsatz sein mag, wer Werbung auf seiner Webseite schaltet, gilt demnach in aller Regel schon als „geschäftsmäßig”.
Die technischen Pflichten
Das Gesetz sieht für Anbieter geschäftsmäßiger Telemediendienste drei Pflichten vor:
1. Maßnahmen gegen unerlaubten Zugriff (Nr. 1)
Der Diensteanbieter hat sicherzustellen, dass „kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist”. Was genau darunter zu verstehen ist, ist bisher unklar. Die Gesetzesbegründung (BT-Drucks. 18/4096, S. 34) stellt lediglich allgemein klar, dass der Zwecke der Maßnahmen darin besteht, „das unbemerkte Herunterladen allein durch das Aufrufen bzw. Nutzen einer dafür von Angreifern präparierten Website (sogenannte Drive-by-Downloads)” zu verhindern. Wie genau Diensteanbieter das bewerkstelligen sollen, bleibt im Dunkeln. Lediglich allgemein stellt die Gesetzesbegründung fest, dass bereits das „Einspielen von Sicherheitspatches” zahlreiche dieser Drive-by-Downloads verhindern könnte. Das legt den Schluss nahe, dass der Gesetzgeber hier eine Pflicht zum Einspielen von Patches vorsehen wollte. Über Reaktionszeiten nach Veröffentlichung von Patches oder mögliche weitere Maßnahmen schweigt sich das Gesetz jedoch aus.
Ergänzend weist die Gesetzesbegründung noch darauf hin, dass Diensteanbieter auch dazu verpflichtet seien, ihre Werbedienstleister „vertraglich zu notwendigen Schutzmaßnahmen zu verpflichten”, um zu verhindern, dass Drive-by-Downloads durch Dritte ermöglicht werden. Das wirft die Frage auf, ob Anbieter von Telemedien generell auch für die IT-Sicherheit ihrer Drittdienstleister verantwortlich sein sollen. Der Wortlaut der Norm gibt eine solche Verantwortlichkeit nicht her – im Gegenteil sollen die Anbieter nur „im Rahmen ihrer jeweiligen Verantwortlichkeit” zu den neuen Sicherheitsmaßnahmen verpflichtet sein. Der Gesetzgeber scheint bei der Begründung des Gesetzes aber offenbar auch von einer Verantwortlichkeit für Drittinhalte ausgegangen zu sein.
2. Maßnahmen zum Schutz personenbezogener Daten
Darüber hinaus muss der Diensteanbieter sicherstellen, dass seine technischen Einrichtungen gegen „Verletzungen des Schutzes personenbezogener Daten” gesichert sind. § 13 Abs. 7 Satz 3 TMG stellt klar, dass der Einsatz eines „als sicher anerkannten Verschlüsselungsverfahrens” eine solche Maßnahme darstellt. Als „sicher anerkannt” seien zumindest solche Verfahren, die den aktuellen Technischen Richtlinien des BSI entsprechen.
Sieht das Gesetz also nun eine generelle Pflicht zur Verschlüsselung vor? Jein. Das Gesetz stellt lediglich klar, dass allgemein Maßnahmen zum Schutz personenbezogener Daten getroffen werden müssen. Wer eine aktuelle Verschlüsselung benutzt, soll dabei auf der sicheren Seite sein. Aber das Gesetz lässt durchaus auch andere Sicherheitsmaßnahmen zu. Welche das sein sollen, ist allerdings unklar.
Zu bedenken ist auch, dass es nicht damit getan ist, auf seinem Webserver den Zugriff über HTTPS (also SSL/TLS) zu aktivieren. Denn längst gelten viele SSL-Techniken als veraltet und nicht mehr sicher. Die Empfehlungen des BSI sind allerdings zum Teil so streng, dass sich sogar das BSI selbst nicht immer daran halten kann. Hinzu kommt, dass das Gesetz keineswegs nur eine Transportverschlüsselung wie HTTPS als mögliche Schutzmaßnahme zulässt. Vielmehr spricht § 13 Abs. 7 Satz 3 TMG nur allgemein von „als sicher anerkannten Verschlüsselungsverfahren”. Reicht es also auch aus, alle Daten auf dem Server mit einer aktuellen Verschlüsselung zu sichern, die Daten aber dann im Klartext an den Anwender zu übermitteln? Auch an dieser Stelle lässt das Gesetz noch viele Fragen offen.
Interessanterweise sah das Telemediengesetz auch früher eine ähnliche Regelung vor, die durch das IT-Sicherheitsgesetz auch nicht gestrichen wurde: Nach § 13 Abs. 4 Nr. 3 TMG müssen Diensteanbieter sicherstellen, dass der Nutzer den Dienst „gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann”. Allerdings war bisher noch unklarer als jetzt, welche Maßnahmen darunter zu verstehen waren. Von Passwörtern über PINs bis zu „sicheren Servern” wurden dazu verschiedenste Maßnahmen zugelassen (so z.B. Müller-Broich, Telemediengesetz, 1. Aufl. 2012, § 13 Rn. 7). In welchem Verhältnis nun § 13 Abs. 4 Nr. 3 TMG zu § 13 Abs. 7 TMG stehen soll, ist – Sie ahnen es – unklar.
3. Maßnahmen zum Schutz gegen äußere Störungen
Neben dem Schutz vor unberechtigtem Zugang und dem Schutz von Daten müssen Diensteanbieter auch Maßnahmen zum Schutz „gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind”, implementieren. Die Gesetzesbegründung schweigt sich zu den Einzelheiten aus. Gemeint ist offenbar der Schutz vor „Distributed Denial of Service”-Attacken (DDoS), also das gezielte Überlasten von Servern. Diese Art von Angriffen war in der letzten Zeit immer wieder in den Schlagzeilen.
Allerdings: Der Schutz vor DDoS-Attacken ist schwer und sehr aufwändig. Zwar gibt es mittlerweile einige Anbieter auf dem Markt, die beim Schutz vor solchen Angriffen helfen sollen, beispielsweise Cloudflare. Bei den meisten Anbietern funktioniert der Schutz allerdings so, dass sämtliche Anfragen über anbietereigene, recht komplexe Netzwerke umgeleitet werden – in aller Regel in die USA. Aus datenschutzrechtlicher Sicht tun sich damit also neue Probleme auf. Auch erscheint es maßlos übertrieben, sämtliche Diensteanbieter zu verpflichten, sich ohne konkreten Anlass vor DDoS-Attacken abzusichern.
Einschränkungen
Alle Sicherheitspflichten stehen unter dem Vorbehalt, dass sie „technisch möglich und wirtschaftlich zumutbar” sein müssen. Diese Einschränkung ist auf der einen Seite sicherlich sinnvoll, weil sie kleine Anbieter davor bewahrt, extreme Investitionen in überdimensionierte Sicherheitstechnik vornehmen zu müssen. Auf der anderern Seite wird damit allerdings noch schwerer zu beurteilen, welche genauen Maßnahmen von welchem Diensteanbieter erwartet werden.
Beispiel DDoS-Attachen: Müssen kleine Anbieter nun gar keine Maßnahmen treffen, um sich vor „Störungen von außen” zu schützen? Wenn nein, welche Maßnahmen sollen dann in Frage kommen? Wieviel Aufwand müssen Diensteanbieter für entsprechende Beratung hinnehmen, um sich technisch und rechtlich über die Möglichkeiten informieren zu lassen?
Der Gesetzesentwurf soll an dieser Stelle ersichtlich so flexibel wie möglich sein. Das führt aber dazu, dass das Einschätzungsrisiko für die Frage, welche Maßnahmen wann gesetzlich erforderlich sind, auf die Anbieter übertragen wird.
Die Rechtsfolgen
Nach § 16 Abs. 2 Nr. 3 TMG ist ein Verstoß gegen § 13 Abs. 7 Nr. 1 sowie Nr. 1 Ziffer a) TMG mit einem Bußgeld von bis zu 50.000 EUR bewehrt. Interessanterweise ist ein Verstoß gegen Ziffer b) – Sicherheitsmaßnahmen gegen Störungen von außen – nicht erfasst.
Die zuständigen Bußgeldstellen sind offenbar die für die Durchsetzung des TMG zuständigen Landesbehörden. Diese sind allerdings nicht dafür bekannt, in Sachen TMG besonders durchsetzungsfreudig zu sein. Schon bei anderen Bußgeldtatbeständen, allen voran der Impressumspflicht, waren Bußgeldverfahren in der Vergangenheit die absolute Ausnahme. Insofern besteht die begründete Vermutung, dass auch bei den neuen Sicherheitspflichten Bußgeldverfahren eher eine Seltenheit sein werden.
Davon abgesehen stellt sich auch die Frage, ob die Pflichten aus § 13 Abs. 7 TMG hinreichend bestimmt sind. In der juristischen Literatur sind bereits erste Stimmen laut geworden, die die Norm wegen der unbestimmten Verpflichtungen sogar für verfassungswidrig halten. Jedenfalls ein Bußgeldverfahren wird sich in der Tat nur schwer führen lassen, solange die konkreten Pflichten für Webseitenbetreiber nicht gänzlich klar sind.
Spannend wird auch die Frage, ob es sich bei § 13 Abs. 7 TMG um eine Marktverhaltensregelung handelt. Sprich: Ob Verstöße von Konkurrenten und Verbraucherschützern abgemahnt werden können. Dafür spricht, dass das Gesetz gerade darauf abzielt, einen technischen Mindeststandard für geschäftsmäßige Telemedien zu schaffen und damit das Verhalten auf dem Markt zu regeln. Dagegen spricht allerdings die Intention des Gesetzgebers, vor allem Gefahrenabwehr zu betreiben und übliche Angriffsvektoren einzugrenzen.
Stets bemüht
Der Versuch, technische Mindeststandards für die Sicherheit von Online-Angeboten einzuführen, ist ein guter und richtiger Schritt. Auch die Intention, ein möglichst flexibles und zukunftsfestes Set an Sicherheitsmaßnahmen zu entwerfen, ist im Grunde nicht zu kritisieren. In der Umsetzung bleibt das Gesetz aber zu vage. Letztlich wird es den Betreibern von Telemediendiensten überlassen, die sehr komplexe technische und rechtliche Abwägung zu treffen, welche Maßnahmen in welchem Fall ausreichend, angemessen und zumutbar sind. Gleichzeitig droht bei Fehlern in der Abwägung ein Bußgeld und möglicherweise sogar Abmahnungen. Das führt nicht nur zu Rechtsunsicherheit für die Betreiber von Telemediendiensten. Es sorgt auch dafür, dass die Nutzer sich nicht auf konkrete Sicherheitsmaßnahmen verlassen können.
Anstatt verbindlicher Mindeststandards schafft das Gesetz also vor allem Rechtsunsicherheit. Und damit ist wirklich niemandem geholfen.
Eine Übersicht zum IT-Sicherheitsgesetz bei Jens Ferner.
Zu Zweck, Anforderungen und Sanktionen bei datenschutzbeauftragter-info.de.
(Danke an Oliver Garcia für den Hinweis und an Marcel Hartmann für die Unterstützung bei der Recherche)
