Gesetzliche Pflicht zum Schutz von personenbezogenen Daten

IT-Sicherheitsgesetz: Das müssen Webseitenbetreiber wissen
Kommentare

Das IT-Sicherheitsgesetz bringt nicht nur Neuerungen für Anbieter von kritischen Infrastrukturen! Allgemein bekannt ist, dass das Gesetz Meldepflichten für Betreiber kritischer Infrastrukturen – wie Energieversorger oder Einrichtungen des Gesundheitswesens – vorsieht und diese verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten. Weniger bekannt ist jedoch, dass das IT-Sicherheitsgesetz auch Regelungen für „normale“ Webseitenbetreiber enthält.

Am 10.07.2015 hat der Bundesrat das IT-Sicherheitsgesetz gebilligt, das einen Monat zuvor durch den Bundestag verabschiedet wurde. Die wichtigste Neuerung für Webseitenbetreiber: Anbieter von Telemedien werden nun verpflichtet, die Sicherung ihrer technischen Einrichtungen durch Maßnahmen nach dem Stand der Technik zu ergreifen. Diese Vorgabe richtet sich an alle Webseiten und App-Anbieter, die geschäftsmäßig Dienste erbringen. Damit fallen nicht kommerzielle Angebote, wie viele Blogs oder private Foren, aus dem Anwendungsbereich des Gesetzes heraus. Vorsicht ist jedoch angebracht, wenn ein nachhaltiger Gewinn durch Werbeanzeigen erwirtschaftet wird. Geschäftsmäßige Anbieter müssen den unerlaubten Zugriff auf ihre Webseiten unterbinden und ihre Plattformen gegen Angriffe absichern.

Verhältnismäßigkeit und Stand der Technik

Dabei treffen die Pflichten nicht alle Anbieter gleichermaßen, sondern es findet an zwei Stellen eine Abwägung statt: Zum einen sind Maßnahmen zu ergreifen, die technisch möglich und wirtschaftlich zumutbar sind. Damit findet eine Verhältnismäßigkeitsprüfung statt, der zufolge etwa nur Verschlüsselungsverfahren eingesetzt werden müssen, die wirtschaftlich tragbar und für den Anbieter realisierbar sind. Zum anderen wird an den Stand der Technik angeknüpft. Damit wird der Betreiber verpflichtet, seine Sicherheitsvorkehrungen regelmäßig zu überprüfen und, wenn erforderlich, der technischen Entwicklung anzupassen. Eine ähnliche Regelung findet sich schon in der Anlage zu § 9 Bundesdatenschutzgesetz.

Was ist zu tun?

Bislang lag die Absicherung der eigenen Online-Plattform hauptsächlich im eigenen Interesse bzw. in dem der eigenen Kunden. Nun gibt es eine gesetzliche Pflicht zum Schutz von personenbezogenen Daten und der Absicherung gegen Störungen. Diese ist ohnehin bußgeldbewährt. Webseitenbetreiber sollten spätestens jetzt anerkannte Verschlüsselungsverfahren (z.B. aktuelle TLS-Version mit Perfect Forward Secrecy) beim Umgang mit personenbezogenen Daten und sichere Authentifizierungsverfahren einsetzen. Ein nachlässiges Einspielen von Sicherheitspatches (etwa bei einer Heartbleed vergleichbaren Sicherheitslücke) kann nun zu Ordnungswidrigkeiten und Bußgeldern von bis zu 50.000,00 EUR führen. Das IT-Sicherheitsgesetz bringt also keineswegs nur Neuerungen für Anbieter von kritischen Infrastrukturen. Zu beachten ist, dass das Gesetz erst nach der Unterschrift durch den Bundespräsidenten in Kraft tritt.

Aufmacherbild: a hand reaches out of a laptop with a wooden hammer via Shutterstock / Urheberrecht: krimar

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -