Ein Beitrag von Reemt Matthiesen und Markus Kaulartz, Rechtsanwälte bei CMS Hasche Sigle in München.
Seit dem Sommer besteht ein neues IT-Sicherheitsgesetz. Dessen Ziel ist es, die Sicherheit von IT-Systemen in Deutschland durch Verbesserung ihrer Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität zu stärken.
Wer von den neuen Regelungen betroffen ist
In der Startup-Szene gelten die neuen Regeln insbesondere für Anbieter von Telemedien, also elektronische Informations- und Kommunikationsdienste, wie Apps, Webseiten oder Geräte im Internet of Things (IoT).
Was Telemedienanbieter jetzt beachten müssen
Durch die Änderungen des Telemediengesetzes soll die Verbreitung von Schadsoftware eingedämmt werden, weswegen Telemedienanbieter eine Reihe von Sicherheitsmaßnahmen umsetzen müssen. Betroffen sind die für die Telemedienangebote genutzten technischen Einrichtungen, also Hard- und auch Software (Webserver, Datenbankserver, Betriebssysteme, Content-Management-Systeme, etc.).
Technische Maßnahmen
Telemedienanbieter müssen sicherstellen, dass unbefugte Zugriffe auf die technischen Einrichtungen ausgeschlossen werden – und, dass die Systeme gegen Störungen gesichert sind. Aus technischer Sicht obliegt es Telemedienanbietern also, die eingesetzte Software durch Updates und Patches auf dem aktuellsten Stand zu halten, um Bugs und Lücken zu schließen.
Soweit Startups die eingesetzte Software selbst entwickeln, ist in besonderem Maße darauf zu achten, dass Bugs selbstständig erkannt und geschlossen werden. Hilfreich können die Empfehlungen des OWASP-Projekts sein oder der Leitfaden zur Entwicklung sicherer Web-Anwendungen und Empfehlungen für Auftraggeber des BSI (zum Beispiel: Pflicht zum ausreichend sicheren Passwort). Wer Risiken weiter minimieren will, setzt Dritte zur Risikoanalyse des selbst entwickelten Codes ein.
In technischer Hinsicht ausdrücklich erwähnt wird im TMG der Einsatz eines als sicher anerkannten Verschlüsselungsverfahrens. Dies sollte nicht nur beim Transport der Daten Anwendung finden (TLS/SSL), sondern auch bei der Speicherung von Daten. Welcher Grad einer Verschlüsselung in Betracht kommt, hängt von den zu schützenden Daten ab.
Organisatorische Maßnahmen
Um zu verhindern, dass eigene Mitarbeiter eines Unternehmens unbefugt auf Systeme zugreifen können, ist es wichtig, für sichere Zutritts-, Zugangs- und Zugriffskontrollen zu sorgen. Ein ausgefeiltes Rollen- und Berechtigungssystem stellt sicher, dass Mitarbeiter nur auf jene Systeme zugreifen können, die sie zur Erfüllung ihrer Tätigkeit benötigen. Einem Online-Redakteur wäre es dabei etwa versagt, JavaScript-Code in redaktionellen Inhalt einzupflegen.
Die organisatorischen Sicherheitsvorkehrungen nach dem neuen IT-Sicherheitsgesetz können es auch erfordern, dass Mitarbeiter über sicherheitsrelevante Aspekte ihrer Tätigkeit vorab informiert und eingewiesen werden. Dies ergibt dort Sinn, wo auf Software-Seite nicht jedes Fehlverhalten eines Mitarbeiters ausgeschlossen werden kann. Vorbildlich handelt, wer ein Sicherheits-Management implementiert (zum Beispiel nach ISO 27001 und dem BSI IT-Grundschutz).
Leistungen Dritter, zum Beispiel von IT-Dienstleistern
Selbstverständlich wird nicht jedes Startup alle Leistungen, die von den Nutzern abrufbar sind, selbst erbringen. Gerade dort, wo Dritte eingeschaltet werden, ist es wichtig, diese Dritten vertraglich zu binden: Sie sollen die anwendbaren Pflichten einhalten und das Startup im Falle von Schäden oder Ansprüchen von Nutzern freistellen. Beispiele für solche Dritten sind: Rechenzentren, Programmierer, Anbieter von Werbebannern, Content Provider oder Anbieter sonstiger IT-Dienstleistungen (z.B. Google Analytics).
Wie wird der „Stand der Technik“ ermittelt, der umzusetzen ist?
Der Gesetzgeber verwendet bewusst den Begriff „Stand der Technik“, um sicherzustellen, dass mit dem technischen Fortschritt Schritt gehalten wird. Mit dem Stand der Technik sind all jene fortschrittlichen Verfahren, Einrichtungen oder Betriebsweisen gemeint, die zum Schutz von IT-Systemen geeignet sind. Um den Stand der Technik näher zu bestimmen, kann auf einschlägige internationale, europäische und nationale Normen und Standards zurückgegriffen werden (wie DIN- oder ISO-Normen oder Richtlinien und Standards des BSI). Daneben kommen vergleichbare Verfahren, Einrichtungen und Betriebsweisen in Betracht, die mit Erfolg in der Praxis erprobt wurden.
Zumutbarkeit als Grenze
Gerade für Startups ist es wichtig zu verstehen, dass nur die Maßnahmen umzusetzen sind, die technisch möglich und wirtschaftlich zumutbar sind. Dies bedeutet, dass nicht jeder Telemedienanbieter dieselben Dinge umzusetzen hat, um dem Stand der Technik zu entsprechen. So sind an ein Fünf-Mann-Startup, das ein Online-Spiel anbietet, sicherlich andere Anforderungen zu stellen als an eine große Online-Bank (zum Beispiel im Hinblick auf die Verschlüsselung von Daten oder den Log-In). Insgesamt müssen die Kosten in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen. Der Gesetzgeber weist noch darauf hin, dass auf die Barrierefreiheit der Verfahren besonders zu achten ist.
Ähnlich zum Ansatz „Privacy by Design“ wird es also fortan auch im Bereich der IT-Sicherheit wichtig, dass bei der Entwicklung und Implementierung von IT-Systemen die konkret erforderlichen, aber auch angemessenen Maßnahmen technischer und organisatorischer Art zwischen IT und Legal abgestimmt werden.
Welche Konsequenzen drohen Telemedienanbietern bei Verstößen?
Telemedienanbietern, die gegen die Vorschriften des IT-Sicherheitsgesetzes verstoßen, drohen Bußgelder bis zu 50.000 Euro. Überdies kann es nicht ausgeschlossen werden, dass Nutzer Schadensersatzansprüche geltend machen, wenn durch die schuldhafte Verletzung der Vorschriften Schäden bei den Nutzern eintreten (Beispiel: wenn beim Besuch einer Webseite eine Schadsoftware heruntergeladen wird, auf Grund derer es zum Datenverlust beim Nutzer kommt). Dass Pflichtverstöße auch Abmahnungen von Mitbewerbern zur Folge haben können, ist zu befürchten – derzeit aber gerichtlich noch nicht geklärt.
Auch betroffen: Kritische Infrastrukturen und ihre IT-Dienstleister
Neben Telemedienanbietern sind Betreiber jener Kritischer Infrastrukturen betroffen, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil ihr Ausfall oder ihre Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen für die öffentliche Sicherheit führen kann. Beispiele sind Energieversorger oder Nahrungsmittelunternehmen. Startups werden sich hier meist nicht wiederfinden.
Zumindest aber die Startups, die IT-Dienstleistungen für Kritische Infrastrukturen erbringen, sollten sich mit den neuen Regelungen vertraut machen. Sie können nicht nur mittelbar, sondern auch unmittelbar betroffen sein: Sie müssen etwaige Mitwirkungspflichten befolgen, außerdem kann die von ihnen entwickelte Software vom BSI untersucht werden, worunter auch das Reverse Engineering ihrer Produkte fallen kann.
Fazit: Weshalb keine Panik geboten ist
Die Gesetzesänderungen betreffen insbesondere technische Einrichtungen, die nicht unmittelbar mit personenbezogenen Daten (wie Name, Adresse, E-Mail-Adresse, Kreditkartennummer, etc.) in Berührung kommen. Systeme wie Online-Shops und Newsletter, die solche personenbezogenen Daten verarbeiten, waren nämlich auch schon nach bisheriger Rechtslage verpflichtet, angemessene Schutzmaßnahmen umzusetzen. Wer bisher nachlässig war, sollte jetzt handeln.
Die neuen Vorschriften gehen nun über den Bereich der personenbezogenen Daten hinaus und betreffen praktisch die gesamte IT, die zum Anbieten der Telemedien genutzt wird. Im Einzelfall kann es daher für Startups sogar erforderlich sein, das Rechenzentrum zu wechseln oder sich neue Werbepartner zu suchen.