§ Article 13, paragraphe 7, de la TMG
La loi adoptée en 2015 pour renforcer la sécurité des systèmes informatiques, qui est formulée à l'article 13, paragraphe 7, de la loi allemande sur les télémédias, a fait beaucoup de bruit parmi les exploitants de sites web. D'autre part, certaines des exigences sont très générales et s'appliquent à pratiquement tous les fournisseurs de télémédias commerciaux. Vous trouverez ici ce à quoi vous devez prêter une attention particulière en tant que prestataire.
Une partie de la nouvelle loi ne concerne que les infrastructures classées comme critiques. Il s'agit, par exemple, des hôpitaux, des institutions financières ou des fournisseurs d'électricité. Mais aussi les propriétaires des Onlineshops, des Apps commerciales ou des portails Internet sont considérés par le législateur avec le paragraphe avec des éditions fortement intensifiées pour les contenus offerts, et/ou la sécurité technique de leurs offres, qui apporte une dépense supplémentaire non négligeable avec le soin du projet Web avec lui-même, entré en vigueur le 01.08.2015. Quiconque réagit trop négligemment à cet égard peut donc être rapidement confronté à des problèmes juridiques qui mettent en danger l'existence du projet. C'est ce que dit littéralement l'article 13, paragraphe 7, de la TMG :
(7) Dans la mesure où cela est techniquement possible et économiquement raisonnable, dans le cadre de leur responsabilité respective pour les télémédias offerts sur une base commerciale, les prestataires de services veillent, par des mesures techniques et organisationnelles, à ce que
1. aucun accès non autorisé aux équipements techniques utilisés pour leurs offres de télémédias n'est possible et
2. cette
a) contre les violations de la protection des données à caractère personnel ; et
b) contre les perturbations, y compris celles causées par des attaques extérieures
sont sécurisés. Les précautions visées à la première phrase doivent tenir compte de l'état de la technique. Une mesure conforme à la première phrase est notamment l'utilisation d'une procédure de cryptage reconnue comme sûre.
Cela concerne explicitement les "fournisseurs de services de télémédias offerts commercialement". Le privé site weboù vous publiez vos photos de vacances ou vos dernières recettes, reste donc inchangée. Il en va de même pour les petits clubs et associations. Cependant, si de la publicité est placée sur une page, il s'agit d'une action dite commerciale et donc d'une offre à caractère commercial.
vos devoirs
Le point 1 de la nouvelle loi vous oblige, en tant que fournisseur de commerce électronique, à protéger votre système contre tout accès non autorisé. Dans l'explication du législateur, il est précisé qu'il s'agit notamment d'empêcher le téléchargement involontaire et inaperçu de codes malveillants par l'utilisateur. Afin d'éviter l'introduction de ces téléchargements "drive-by" sur le propre site de l'utilisateur, il est nécessaire de mettre en place un système d'alerte. site web ou du moins le rendre plus difficile, les opérateurs devraient donc toujours utiliser des correctifs à jour pour combler les éventuelles lacunes en matière de sécurité. Mais ce n'est pas tout : dans le secteur B2B, le paragraphe stipule que le fournisseur d'un service doit également obliger ses prestataires de services publicitaires à prendre des mesures de sécurité appropriées au moyen de garanties contractuelles.
Pour assurer la protection des données à caractère personnel telle que décrite au point 2, il suffit d'utiliser une procédure actualisée de cryptage des données transmises, qui est reconnue comme "sûre". Les spécifications actuelles du BSI (Office fédéral de la sécurité de l'information) peuvent être consultées ici pour s'orienter. Cependant, d'autres précautions sont également envisageables comme alternative au cryptage. Selon le domaine d'application, une procédure d'authentification offrant une protection suffisante peut également être envisagée.
Le législateur ne définit pas exactement à quoi doivent ressembler les mesures du point 3, c'est-à-dire la protection contre les interférences d'attaques extérieures, mais on peut supposer qu'elles visent avant tout à prévenir les attaques DDoS.
Restrictions
Toutes les spécifications sont formulées avec une réserve importante, quoique vague, à savoir qu'elles doivent être "techniquement possibles et économiquement raisonnables". Comme le législateur ne fournit pas de définitions claires à ce sujet, une certaine incertitude demeure. En fin de compte, cela reste une question d'interprétation par le tribunal concerné.
Conséquences juridiques et responsabilité
Si un fournisseur ne respecte pas les obligations qui lui incombent en vertu du point 1, il est passible d'une amende pouvant atteindre 50 000 euros, telle que définie à l'article 16 (2) n° 3 TMG. Toutefois, la nouvelle loi peut également être interprétée comme un règlement de conduite sur le marché. Cela permettrait, par exemple, à des associations ou à des organisations de protection des consommateurs de prendre des mesures en vertu du droit de la concurrence en cas de violation de l'article 13, paragraphe 7, de la loi allemande sur les télémédias.