Webbasierte Dienste in der Pflicht
Von Thomas Hofer, Leiter des Rechtsinformatikzentrums der Ludwig-Maximilians-Universität München
Für kritische Infrastrukturen sieht das IT-Sicherheitsgesetz ein Mindestniveau an IT Security und die Pflicht zur Meldung erheblicher Sicherheitsvorfälle vor. Weit weniger Beachtung gefunden haben Pflichtenverdichtungen für die Anbieter von Telemedien, die bereits seit Inkrafttreten am 25. Juli 2015 gelten. Besonders relevant ist dabei der neu in das Telemediengesetz (TMG) eingefügte § 13 Absatz 7: Danach haben Diensteanbieter, die Telemedien geschäftsmäßig anbieten, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist (Nr. 1) und dass diese gegen Verletzungen des Schutzes personenbezogener Daten (Nr. 2a) gesichert sind sowie gegen Störungen, auch soweit diese durch äußere Angriffe bedingt sind (Nr. 2b). Diese Vorkehrungen müssen den „Stand der Technik“ berücksichtigen.
Welche Angebote sind betroffen?
Telemedien sind nach der Definition des § 1 Abs. 1 TMG alle elektronischen Informations- und Kommunikationsdienste, die weder Rundfunk noch reine Telekommunikationsdienste oder telekommunikationsgestützte Dienste sind. Die Abgrenzung kann im Einzelfall schwierig sein. Beispiele für Telemedien sind Online-Dienste, die Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage bereitstellen sowie alle Online-Angebote, die über das Internet abrufbar sind (insbesondere Online-Angebote von Waren oder Dienstleistungen mit unmittelbarer Bestellmöglichkeit).
Wer ist „verantwortlich“?
Die Verpflichtungen treffen alle Diensteanbieter im Sinne des Telemediengesetzes: Dies ist jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt (§ 2 Abs. 1 Nr. 1 TMG). Danach qualifizieren sich vier verschiedene „Provider-Typen“: Content Provider, Host Provider, Access Provider und Cache Provider. Hierzu folgender Beispielfall:
- A besitzt eine Homepage und hostet diese als virtuelles System im Datacenter des Unternehmens B, das auch die Infrastruktur (Server, Netzanbindung) betreibt. A stellt auf seiner Website einen Bereich zur Verfügung, auf dem Werbebanner eingeblendet werden können. A überlässt es Unternehmen C, Werbebanner auszuwählen und in dem zur Verfügung stehenden Bereich einzublenden. A nutzt zur Pflege der Inhalte das von C betriebene CMS (Content Management System). Dieses weist Sicherheitslücken auf und ermöglicht Angreifer H, Malware auf der Webseite des A zu platzieren. Das führt dazu, dass Besucher auf der Webseite des A beim Anklicken eines „verseuchten“ Werbebanners Teil eines Botnetzes werden.
- Konsequenzen: A und C haften als Content Provider, A daneben auch als Host-Betreiber und B als Access Provider. A und C müssen Schutzmaßnahmen für das „Anbieten von Inhalten“ sowie für das „Speichern von Inhalten“ berücksichtigen, B muss die Maßnahmen für das „Durchleiten von Inhalten“ beachten. B muss A bei der Absicherung des virtuellen Webservers des A unterstützen, da er Teil des Host Providers ist. A muss dazu jedoch B wirksam (vertraglich) verpflichten, die entsprechenden Maßnahmen umzusetzen, da ihm der tatsächliche Einfluss auf die eingesetzten Produkte (zum Beispiel Server-OS, CMS-Version, Patches etc.) und deren Absicherung regelmäßig entzogen sein dürfte.
Wann ist ein Angebot „geschäftsmäßig“?
Bei einem entgeltlichen Dienst wird dies regelmäßig vorliegen (zum Beispiel bei einer werbefinanzierten Webseite). Nichtkommerziell angebotene Telemedien durch Private und nicht wirtschaftliche Vereine sollen nicht erfasst werden. Umstritten ist, ob eine Auslegung als beruflich oder gewerblich geboten ist und damit nur unternehmerische Angebote mit Gewinnerzielungsabsicht erfasst sind. Nach herrschender Meinung werden Telemedien regelmäßig aufgrund einer nachhaltigen, dauerhaften Tätigkeit mit oder ohne Gewinnerzielungsabsicht erbracht, sodass auch Behörden, Kommunen, Schulen und Hochschulen einzubeziehen sind. Inwiefern die jüngste Rechtsprechung des EuGH (Urteil vom 16. September 2016, Az C-484/14 – Mc Fadden) zu anderen Wertungen führt, bleibt abzuwarten. Allerdings ergeben sich teils ähnliche Schutzpflichten aus Normen föderaler E-Goverment-Gesetzgebung, sodass die Frage einer Privilegierung aufgrund fehlender Geschäftsmäßigkeit an praktischer Bedeutung verliert.
Welche Sicherheitsmaßnahmen werden verlangt?
Technische Vorkehrungen müssen dem jeweiligen „Stand der Technik“ entsprechen. Hierbei handelt es sich um einen eingeführten juristischen Terminus: Er bezeichnet den Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt und möglichst im Betrieb mit Erfolg erprobt und durch führende Fachleute anerkannt ist.
Das Anforderungsniveau liegt somit zwischen den „allgemein anerkannten Regeln der Technik“ und dem „Stand von Wissenschaft und Technik“. Da sich die Technologie insgesamt weiterentwickelt, erfolgt eine kontinuierliche Verschiebung der Einordnung. Dies lässt sich am Beispiel der Firewall als Sicherheitstechnologie gut erkennen, die noch vor einem Jahrzehnt fast nur im Firmenumfeld bekannt war, heute aber bereits im Heimbereich (zum Beispiel als Bestandteil von DSL-Routern und in Standardbetriebssystemen) als „Basistechnologie“ weit verbreitet ist.
Thomas Hofer ist Volljurist und Leiter des Rechtsinformatikzentrums der Ludwig-Maximilians-Universität München, außerdem ein langjähriger Referent und Dozent mit Spezialisierung auf IT-Compliance-Recht.
Akad. Dir. Thomas Hofer, riz@jura.uni-muenchen.de, www.jura.uni-muenchen.de/fakultaet/riz/index.html
Beispiele für geeignete und zur Erfüllung der Pflichten erforderliche Vorkehrungen wären aus dem Bereich technische Vorkehrungen Verschlüsselung, Sicherheitsupdates, der Einsatz angemessener Authentifizierungsmaßnahmen, Penetrationstests nach anerkannten Standards (zum Beispiel OWASP Top 10) oder die Umleitung des Traffics bei DDoS-Angriffen; Beispiele organisatorischer Vorkehrungen wären ein IT-Sicherheitskonzept, ein IT-Sicherheitsbeauftragter und organisationsinterne Regelungen.
Orientierungshilfen zum Stand der Technik in der Praxis bieten auch Leitfäden von Verbänden (zum Beispiel die TeleTrust-Handreichung zum „Stand der Technik“) und Sicherheitsempfehlungen des BSI (Diskussionspapier zur Absicherung von Telemediendiensten nach Stand der Technik).
Wann sind Sicherheitsvorkehrungen (un-)zumutbar?
Unmögliches muss niemand leisten – ein althergebrachter Rechtsgrundsatz, der auch für Diensteanbieter gilt. Die entsprechenden Maßnahmen für den konkreten Diensteanbieter müssen daher zum einen technisch möglich und zum anderen wirtschaftlich zumutbar sein. Dadurch soll sichergestellt werden, dass der Diensteanbieter nur Vorkehrungen treffen muss, deren Kosten in einem angemessenen Verhältnis zum angestrebten Schutzzweck bzw. Wirkungsgrad der Maßnahme stehen.
Was droht Diensteanbietern bei Verstößen?
Ein Verstoß gegen § 13 Abs. 7 Satz 1 Nr. 1 und Nr. 2a TMG (nicht Nr. 2b) stellt eine Ordnungswidrigkeit dar, welche mit einer Geldbuße von bis zu 50.000 Euro belegt ist. Betroffen ist dadurch jedes Unternehmen, das ein Telemedienangebot betreibt. Eine Meldepflicht für Vorfälle besteht nicht. Hier ist Novellierungsbedarf durch die Richtlinie zur Gewährleistung einer hohen Netz- und Informationssicherheit (NIS-Richtlinie) auf europäischer Ebene bereits absehbar, die am 8. August 2016 in Kraft getreten ist. Die EU-Mitgliedstaaten haben bis zum 10. Mai 2018 Zeit, die Richtlinie in nationales Recht umzusetzen.
Security vertraglich festhalten
Unsicherheiten bei der Bestimmung der konkret zu treffenden Vorkehrungen bleiben. Lösungsmöglichkeiten für Diensteanbieter bestehen in der Etablierung von Best-Practice-Richtlinien, die sich an den oben genannten Empfehlungen orientieren. Ob eine vertragliche Regelung ausreicht und inwieweit sich der Diensteanbieter von der ordnungsgemäßen Anwendung und Aktualisierung der Maßnahmen beim Drittanbieter überzeugen muss, lässt die Gesetzesbegründung offen. In der Praxis ist dennoch bereits heute zu empfehlen, die Einhaltung der geforderten Sicherheitsstandards vertraglich an den Dienstleister zu übertragen. Letzte Gewissheit wird erst die richterliche Rechtsfortbildung liefern. Nachweise, zum Beispiel in Form von Zertifizierungen, werden dabei steigende Bedeutung erlangen.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Reihe „Kommunale ITK“ zur CeBIT 2017. Einen Überblick mit freien Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.