Am 25. Juli 2015, also morgen, tritt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz PDF) in Kraft getreten. Das Gesetz richtet sich zwar insbesondere an die Betreiber Kritischer Infrastrukturen (z.B. von Atomkraftwerken), aber auch Betreiber von Webseiten und Telekommunikationsdiensteanbieter sind betroffen. Das Gesetz legt diesen neue gesetzliche Pflichten zum technischen und organisatorischen Schutz ihrer Angebote auf. Nachfolgend ein grober Überblick zu den Änderungen, die für Webseitenbetreiber gelten:

Nach dem neuen § 13 Abs. 7 Telemediengesetz (TMG), werden die Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt. „Geschäftsmäßig“ ist ein Webangebot dann, wenn es auf einer nachhaltigen Tätigkeit beruht. Die Gesetzesbegründung (S. 34, PDF) zum IT-Sicherheitsgesetz geht davon aus, dass bei einem entgeltlichen Dienst diese Voraussetzung regelmäßig erfüllt ist. Dies soll auch für werbefinanzierte Webseiten gelten.

Maßnahmen, die zu treffen sind
Anbieter einer geschäftsmäßig betriebenen Webseite (also etwa eines Webshops), haben, soweit ihnen dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit durch technische und organisatorische Vorkehrungen sicherzustellen, dass

• kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen (also Ihre Server und das gesamte Backend) möglich ist (§ 13 Abs. 7 S. 1 Nr. 1 TMG) und

• ihre technischen Einrichtungen sowohl gegen Verletzungen des Schutzes personenbezogener Daten (§ 13 Abs. 7 S. 1 Nr. 2 Buchst. a TMG) als auch gegen Störungen (auch durch äußere Angriffe) (§ 13 Abs. 7 S. 1 Nr. 2 Buchst. b TMG)

gesichert sind. Diese technischen und organisatorischen Vorkehrungen müssen den Stand der Technik berücksichtigen. Dies bedeutet, dass die Vorkehrungen auf einem aktuellen Stand gehalten und nötigenfalls aktualisiert werden müssen.

Das Gesetz stellt die Umsetzung dieser Maßnahmen unter einen Zumutbarkeitsvorbehalt. Hierdurch soll sichergestellt werden, dass nur solche Vorkehrungen zu treffen sind, deren Kosten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. Jeder Webseitenbetreiber wird also prüfen müssen, ob er etwa besonders sensible Daten (z. B. Gesundheitsdaten und Zahlungsinformationen) verarbeitet oder allein mit „normalen“ personenbezogenen Daten in Kontakt kommt und anhand dieser Prüfung dann eventuell neue oder weitere technische Sicherheitsvorkerhungen treffen müssen. Vom Schutzzweck einerseits und den anfallenden Kosten andererseits hängt dann der auf Aufwand ab, den Anbieter betreiben müssen, um entsprechende technische Vorkehrungen umzusetzen. Zu den technischen Vorkehrungen zählt die Gesetzesbegründung beispielhaft die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens oder angemessener Authentifizierungsverfahren.

Es geht dem Gesetzgeber jedoch nicht nur um technische, sondern auch um organisatorische Maßnahmen. Ausdrücklich erwähnt die Gesetzesbegründung als Beispiel für solche Maßnahmen, dass  Vertragspartner (z. B. ein Werbedienstleister, dem Sie Werbeflächen auf Ihrer Webseite eingeräumt haben) zu notwendigen Schutzmaßnahmen zu verpflichten sind.

Und was sind mögliche Folgen bei mangelnder Beaxhtung der neuen Vorgaben?
Nach dem neuen § 16 Abs. 2 Nr. 3 TMG können Verstöße gegen die Vorgaben des § 13 Abs. 7 S. 1 Nr. 1 und Nr. 2 Buchst. a TMG mit einem Bußgeld bis zu 50.000 EUR geahndet werden. Laut der Gesetzesbegrünung ist gerade auch der Einsatz technischer und organisatorischer Maßnahmen durch Diensteanbieter, die nicht den Stand der Technik berücksichtigen, bußgeldbewehrt. Ob es in der Praxis jedoch direkt zu Bußgeldverfahren kommt, ist eine andere Frage.