News
13. Oktober 2015
IT Sicherheitsgesetz: Was Sie als Onlinehändler wissen sollten
Dieser Artikel ist ein Gastbeitrag unseres Partners Protected Shops.
Weitere Urteile aus dem E-Commerce-Recht finden Sie in der Infothek unseres Partners Protected Shops.
Die Verfügbarkeit und Sicherheit des Internets ist aus heutiger Sicht unverzichtbar. Um beides in Zukunft zu gewährleisten hat der Gesetzgeber das IT-Sicherheitsgesetz erlassen, was neben vielen anderen Vorgaben auch neue Pflichten für den Onlinehandel zur Folge hat.
Mit Inkrafttreten des IT-Sicherheitsgesetzes (IT-SiG) am 25. Juli 2015 wurden u.a. neue Pflichten in das Telemediengesetz (TMG) eingefügt. Betreiber von Telemedien, wie Webshops, müssen seit dem Stichtag Vorkehrungen treffen, um zum einen die Daten ihrer Nutzer (z.B. der Kunden) zu schützen. Zum anderen muss verhindert werden, dass es zu unerlaubten Zugriffen oder - inneren oder äußeren - Störungen der Webseite kommt.
Keine konkreten gesetzlichen Vorgaben
Welche konkreten Vorkehrungen Onlinehändler ergreifen müssen, lässt der Gesetzgeber offen. Beispielhaft genannt werden lediglich „anerkannte Verschlüsselungssysteme“. Bei der Wahl der Maßnahmen ist der Betroffene daher zunächst frei. Einzige Voraussetzung ist die, dass sie dem Stand der Technik entsprechen. Für den E-Commerce hat das in der Anfangsphase enorme Rechtsunsicherheit zur Folge, die erst durch entsprechende Gerichtsentscheidungen beseitigt werden kann.
Grenzen der neuen Pflichten
Um Unternehmen mit der neuen Sicherungspflicht nicht zu überfordern, wurden hier Grenzen gesetzt. Die Sicherungspflicht ist nur in dem Maße erforderlich, wie sie technisch möglich und wirtschaftlich zumutbar ist. Dadurch können die gesetzlichen Anforderungen flexibel an jeden konkreten Einzelfall angepasst werden. Insbesondere im Hinblick auf den Schutz von personenbezogenen Kundendaten kann das erforderliche Schutzniveau je nach Umfang und Sensibilität der erhobenen und verarbeiteten Daten variieren. Werden Zahlungs- und Kreditkartendaten abgefragt, werden deutlich höhere Anforderungen an das Schutzniveau zu stellen sein, als in dem Fall, in dem „nur“ die E-Mail-Adresse anzugeben ist.
Technische Richtlinien des BSI
Deshalb dürfte sicherlich auch nicht jeder Telemedienbetreiber verpflichtet sein, die in der Gesetzesbegründung erwähnten technischen Richtlinien umzusetzen, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht werden. Diese würden vor allem kleine und mittelständische Unternehmen schnell an ihre technischen und finanziellen Grenzen bringen.
Jeder Shop-Betreiber sollte handeln
Untätig bleiben sollten die Betroffenen aber in keinem Fall. Zumindest die Installation von Sicherheitsupdates zur Schließung von Sicherheitslücken im System ist nicht nur technisch möglich, sondern in den meisten Fällen auch wirtschaftlich zumutbar. Darüber hinaus könnte über entsprechende Dienstleister auch kontrolliert werden, ob die eigene Webseite Ziel von Cyberattacken geworden ist. Ist das der Fall, müssen - je nach Einzelfall - weitere Maßnahmen ergriffen werden.
Drohende Sanktionen
Wer die neuen Pflichten nicht erfüllt, muss nicht nur Bußgelder, sondern auch die im Onlinehandel alltäglichen wettbewerbsrechtlichen Abmahnungen fürchten. Möglicherweise drohen auch Schadenersatzansprüche von Kunden, deren Daten durch mangelhafte Sicherungssysteme unbefugt abgegriffen und missbräuchlich verwendet wurden, etwa um Überweisungen oder Geldabhebungen vorzunehmen.
Warenvertrieb über Amazon und Co.
Wie so oft stellt sich in diesem Zusammenhang die Frage, wer für Verstöße auf Online-Marktplätzen wie Amazon und Co. haftet. Nach dem Gesetzeswortlaut ist der „Diensteanbieter“, also derjenige, „der eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt“ (§ 2 Nr. 1 TMG), zur Ergreifung der Sicherungsmaßnahmen verpflichtet. Damit ist aber nicht nur der Portalbetreiber selbst, sondern auch derjenige erfasst, der die Vertriebsplattform nutzt, um dort seine Waren anzubieten.
Obwohl die technischen Gestaltungsmöglichkeiten für Marketplace-Händler beschränkt sind, wurden sie bereits in der Vergangenheit von Gericht für Verstöße der Plattformbetreiber verantwortlich gemacht. Dass von dieser Spruchpraxis bezüglich der neuen Sicherungspflichten abgewichen wird, scheint unwahrscheinlich.
Fazit
Die Neuregelungen bedeuten für den Online-Handel also wieder unsichere Zeiten, in denen Abmahnungen und gerichtliche Verfahren drohen, bis es konkrete Vorgaben zur Umsetzung der gesetzlichen Pflichten in der Praxis durch die Rechtsprechung gibt. Und das gilt nicht nur für Betreiber eigener Webshops, sondern auch für Händler, die ihre Waren auf Online-Marktplätzen wie Amazon und Co. anbieten.
Ist dieser Artikel hilfreich für Sie? Weitere Urteile aus dem E-Commerce-Recht finden Sie in der Infothek unseres Partners Protected Shops - leicht verständlich und interessant für Sie aufbereitet.