IT-Sicherheitsgesetz: Neue Rechtspflichten für Unternehmen und Onlineshops

Das neue IT-Sicherheitsgesetz (ITSiG) statuiert umfangreiche Rechtspflichten zur Sicherheit der Internetdienste von Unternehmen mit Websites ohne Interaktionen sowie Onlineshops oder andere Telemedienangebote.

Als Teil des Risikomanagements, für das die Geschäftsleitung persönlich haften kann, hat eine gewissenhafte Umsetzung des ITSiG oberste Priorität. 

Vgl. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17.07.2015.

IT-Systeme nehmen an Bedeutung zu

Die Nutzung von IT-Systemen und des Internets im Allgemeinen gewinnen für Staat, Wirtschaft und Gesellschaft stetig größere Bedeutung. Dies ist nicht neu. Aufgrund der zunehmenden Digitalisierung und digitalen Durchdringung der Gesellschaft im Allgemeinen entstehen einerseits große Chancen aber auch Gefahren. Auch dies sollte mittlerweile bekannt sein.

Gefahren ergeben sich aber nunmehr insbesondere durch die Abhängigkeit von einem funktionstüchtigen Cyberraum. Nach Information des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist der Cyberraum schon heute einer Vielzahl von Angriffen ausgesetzt. Um diese dauernde Bedrohung für das Funktionieren des Gemeinwesens und die Sicherheit von Daten zu bekämpfen, wurde das IT-Sicherheitsgesetz im Juli 2015 verabschiedet. Dieses Gesetz bringt einen umfangreichen Pflichtenkatalog für Telemedienanbieter mit sich.

Schutz vor Hackerangriffen

Besonders bedeutsam für Telemedienanbieter ist hierbei die Änderung der Regelung des § 13 Abs. 7 Telemediengesetz (TMG). Diese Änderung sieht vor, dass Anbieter ihre Medien umfassend gegen den unerlaubten Zugriff auf die für die Telemedien genutzten technischen Einrichtungen, die Verletzung personenbezogener Daten sowie Störungen durch äußere Hackerangriffe schützen müssen. Für die Realisierung dieser Anforderungen ist das Unternehmen gezwungen, eine Schutzbedarfsanalyse für IT-Sicherheitsmaßnahmen vorzunehmen, welche dem Stand der Technik entsprechen muss. Hierbei gibt es jedoch weder einen gesetzlichen Mindeststandart, noch konkrete Beurteilungsmaßstäbe, was als ausreichende Berücksichtigung gelten darf. Hier wäre eine weitergehende gesetzliche Anleitung wünschenswert.

Bedeutung für die Praxis

Angesichts der hohen Sensibilität des Themas und der möglichen haftungsrechtlichen Konsequenzen für die einzelnen Unternehmen werden insbesondere kleine und mittelständische Unternehmen die Umsetzung der komplexen Aufgabe outsourcen müssen. Diesbezüglich existiert bereits eine Vielzahl von Anbietern.

Allerdings ist bei der Beauftragung Dritter die Festhaltung einer klaren, datenschutzrechtlichen Vereinbarung und eine vollständige Dokumentation der Ergebnisse von Schutzbedarfsanalyse und Auswahlentscheidung wichtig und ratsam.

Bundesregierung will Cybersicherheit stärken

Das Kabinett hat am 25.01.2017 den Entwurf eines Gesetzes zur Umsetzung der NIS-Richtlinie [RL (EU) 2016/1148] beschlossen. Diese Richtlinie sieht den EU-weiten Aufbau nationaler Kapazitäten für die Cybersicherheit (nationale Strategien, Behörden und Certs), eine stärkere Zusammenarbeit der EU-Mitgliedsstaaten und Mindestanforderung sowie Meldepflichten vergleichbar zum nationalen IT-Sicherheitsgesetz vor. Die Umsetzung dieser Richtlinie hat dabei spätestens bis zum 09.05.2018 zu erfolgen.

Weitere Cybersicherheitsstrategien im Fokus

Mit diesem verabschiedenden Gesetzesentwurf soll außerdem die Umsetzung der Cybersicherheitsstrategie vorangebracht werden. Hierzu ließ Bundesinnenminister Dr. Thomas de Maizière (CDU) verlauten: „Wir schaffen mit dem Gesetz eine Rechtsgrundlage für den Einsatz sog. mobiler Incident Response Teams“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) werde zukünftig die Verwaltung und Betreiber kritischer Infrastrukturen auf deren Ersuchen hin bei herausgehobenen Sicherheitsvorfällen unterstützen können.

Dies ist sehr zu begrüßen, da hierdurch der Schutz vom Staat, Wirtschaft und der Bevölkerung vor erheblichen Cybersicherheitsvorfällen deutlich verbessert werden kann.

Marc E. Evers

Rechtsanwalt