§ § 13, lid 7, van de TMG
De in 2015 aangenomen wet ter verhoging van de veiligheid van informatietechnologiesystemen, die is geformuleerd in § 13, lid 7, van de Duitse Telemediawet, zorgde voor nogal wat opschudding onder website-exploitanten. Aan de andere kant zijn sommige eisen zeer algemeen en gelden ze voor vrijwel alle aanbieders van commerciële telemedia. U kunt hier ontdekken waar u als aanbieder bijzondere aandacht aan moet besteden.
Een deel van de nieuwe wet heeft alleen betrekking op infrastructuur die als kritiek is aangemerkt. Dit zijn bijvoorbeeld ziekenhuizen, financiële instellingen of elektriciteitsleveranciers. Maar ook eigenaars van Onlineshops, commerciële Apps of internetportalen worden door de wetgever overwogen met de paragraaf met sterk geïntensiveerde edities voor de aangeboden inhoud, en/of de technische beveiliging van hun aanbiedingen, wat een niet onbelangrijke extra uitgave met de zorg voor het webproject met zich meebrengt, stapte in werking op 01.08.2015. Wie in dit verband te onzorgvuldig reageert, kan dus snel geconfronteerd worden met juridische problemen die het bestaan van het project in gevaar brengen. Letterlijk staat er in § 13 paragraaf 7 TMG:
(7) Dienstverleners zorgen, voor zover dit technisch mogelijk en economisch redelijk is, in het kader van hun respectieve verantwoordelijkheid voor op commerciële basis aangeboden telemedia, door middel van technische en organisatorische maatregelen ervoor dat
1. er geen ongeoorloofde toegang is tot de technische apparatuur die voor hun telemedia-aanbiedingen wordt gebruikt en
2. dit
a) tegen inbreuken op de bescherming van persoonsgegevens, en
b) tegen verstoringen, met inbegrip van die welke worden veroorzaakt door aanvallen van buitenaf
zijn beveiligd. Voorzorgsmaatregelen volgens zin 1 moeten rekening houden met de stand van de techniek. Een maatregel in overeenstemming met de eerste zin is met name het gebruik van een als veilig erkende encryptieprocedure.
Dit heeft uitdrukkelijk betrekking op "dienstverleners van commercieel aangeboden telemedia". De privé websitewaar u uw vakantiefoto's of laatste recepten publiceert, blijft dus onaangetast. Hetzelfde geldt voor kleine clubs en verenigingen. Indien echter reclame op een pagina wordt geplaatst, is dit een zogenaamde bedrijfsmatige handeling en dus een commercieel gericht aanbod.
je taken
Nr. 1 van de nieuwe wet verplicht u als aanbieder van e-commerce om uw systeem te beschermen tegen ongeoorloofde toegang. In de toelichting van de wetgever staat dat dit bedoeld is om het onbedoeld en ongemerkt downloaden van schadelijke code door de gebruiker te voorkomen. Om te voorkomen dat deze zogenaamde drive-by downloads in de website of het in ieder geval moeilijker maken, moeten de exploitanten daarom altijd gebruik maken van actuele patches om eventuele beveiligingslekken te dichten. Maar dat is nog niet alles: in de B2B-sector bepaalt het lid dat de verlener van een dienst ook zijn reclamedienstverleners moet verplichten tot het nemen van passende veiligheidsmaatregelen door middel van contractuele waarborgen.
Om de bescherming van de persoonsgegevens zoals beschreven in nr. 2 te waarborgen, volstaat het een bijgewerkte procedure te gebruiken voor de versleuteling van de overgedragen gegevens, die als "veilig" wordt erkend. De huidige specificaties van het BSI (Federaal Bureau voor Informatiebeveiliging) kunnen hier ter oriëntatie worden geraadpleegd. Er zijn echter ook andere voorzorgsmaatregelen denkbaar als alternatief voor encryptie. Afhankelijk van het toepassingsgebied kan ook een authenticatieprocedure worden overwogen die voldoende bescherming biedt.
De wetgever definieert niet precies hoe de maatregelen in nr. 3, d.w.z. ter bescherming tegen inmenging door aanvallen van buitenaf, eruit moeten zien, maar er kan worden aangenomen dat ze in de eerste plaats bedoeld zijn om DDoS-aanvallen te voorkomen.
Beperkingen
Alle specificaties zijn geformuleerd met één belangrijk, zij het vaag, voorbehoud, namelijk dat ze "technisch mogelijk en economisch redelijk" moeten zijn. Aangezien de wetgever hier geen duidelijke definities geeft, blijft er een zekere onzekerheid bestaan. Uiteindelijk blijft het een kwestie van interpretatie door de betreffende rechtbank.
Juridische gevolgen en aansprakelijkheid
Indien een dienstverlener zijn verplichtingen uit hoofde van nr. 1 niet nakomt, is hij aansprakelijk voor boetes tot 50.000 euro, zoals gedefinieerd in artikel 16, lid 2, nr. 3 TMG. De nieuwe wet kan echter ook worden geïnterpreteerd als een regeling voor marktgedrag. Hierdoor zouden bijvoorbeeld verenigingen of consumentenbeschermingsorganisaties in geval van een overtreding van artikel 13, lid 7, van de Duitse Telemediawet maatregelen kunnen nemen op grond van het mededingingsrecht.