Zum Inhalt wechseln 
§ 13 Absatz 7 TMG
Für einigen Wirbel unter Websitebetreibern sorgte das im Jahr 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das im § 13 Absatz 7 des Telemediengesetzes formuliert ist. Einige der Vorgaben sind dagegen sehr allgemein gehalten und nehmen praktisch alle Anbieter von kommerziellen Telemedien in die Pflicht. Auf was Sie als Anbieter besonders achten sollten, erfahren Sie hier.
Ein Teil des neuen Gesetzes betrifft ausschließlich als kritisch eingestufte Infrastrukturen. Dazu zählen z. B. Krankenhäuser, Finanzinstitute oder Stromversorger. Doch auch Inhaber von Onlineshops, kommerziellen Apps oder Internetportalen werden vom Gesetzgeber mit dem am 01.08.2015 in Kraft getretenen Paragrafen mit stark verschärften Auflagen für die angebotenen Inhalte, bzw. die technische Absicherung ihrer Angebote bedacht, was einen nicht unerheblichen Mehraufwand bei der Pflege des Webprojektes mit sich bringt. Wer hier zu nachlässig reagiert, kann deshalb schnell vor rechtlichen Problemen stehen, die existenzgefährdend sind. Wörtlich steht im § 13 Absatz 7 TMG:
(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.
Betroffen sind davon ausdrücklich „Diensteanbieter von geschäftsmäßig angebotenen Telemedien“. Die private Website, auf der Sie Ihre Urlaubsfotos oder neuesten Rezepte veröffentlichen, bleibt also unberührt. Gleiches gilt für kleine Klubs und Vereine. Wird auf einer Seite allerdings Werbung geschaltet, so ist dies eine sog. geschäftsmäßige Handlung und damit ein kommerziell ausgerichtetes Angebot.
Ihre Pflichten
In Nr. 1 des neuen Gesetzes werden Sie als Anbieter eines eCommerce dazu verpflichtet, Ihr System gegen einen unauthorisierten Zugriff zu schützen. In der Erläuterung seitens des Gesetzgebers dazu wird ausgeführt, dass damit insbesondere ein vom Nutzer ungewolltes und unbemerktes Herunterladen von schädlichem Code verhindert werden soll. Um das Einspeisen dieser sog. Drive-by-Downloads auf der eigenen Webseite zu unterbinden oder zumindest zu erschweren, sollen Betreiber deshalb stets aktuelle Patches verwenden, um eventuell vorhandene Sicherheitslücken zu schließen. Damit jedoch nicht genug: Im B2B-Bereich ergibt sich durch den Paragrafen, dass der Anbieter eines Dienstes auch seine Werbedienstleister mittels vertraglicher Absicherung dazu verpflichten muss, entsprechende Sicherheitsvorkehrungen zu treffen.
Um den in Nr. 2 beschriebenen Schutz personenbezogener Daten zu gewährleisten, genügt es, ein aktuelles Verfahren für die Verschlüsselung der übertragenen Daten zu verwenden, das als „sicher anerkannt“ ist. Zur Orientierung können hier die momentaren Vorgaben des BSI (Bundesamt für Sicherheit in der Informationstechnik) zu Rate gezogen werden. Alternativ zur Verschlüsselung sind jedoch auch andere Vorkehrungen denkbar. Je nach Anwendungsbereich kann etwa auch ein Authentifizierungsverfahren in Frage kommen, welches genügend Schutz bietet.
Wie genau die Maßnahmen in Nr. 3, also zum Schutz gegen Störungen durch äußere Angriffe, aussehen soll, wird vom Gesetzgeber nicht definiert, jedoch kann davon ausgegangen werden, dass damit vor allem DDoS-Attacken verhindert werden sollen.
Einschränkungen
Sämtliche Vorgaben werden unter einem wichtigen, wenn auch schwammigen Vorbehalt formuliert, nämlich dass sie „technisch möglich und wirtschaftlich zumutbar“ sein müssen. Da der Gesetzgeber hier keine eindeutigen Definitionen liefert, bleibt eine gewisse Unsicherheit. Letztlich bleibt es Auslegungssache des jeweiligen Gerichts.
Die Rechtsfolgen und Haftung
Kommt ein Anbieter seinen Pflichten nach Nr. 1 nicht nach, drohen die in § 16 Abs. 2 Nr. 3 TMG festgelegten Bußgelder in einer Höhe von bis zu 50.000 Euro. Jedoch kann das neue Gesetz durchaus auch als Marktverhaltensregelung interpretiert werden. Dies würde es z. B. Verbänden oder Verbraucherschutzorganisationen erlauben, bei einem Verstoß gegen § 13 Absatz 7 TMG auch wettbewerbsrechtliche Schritte einzuleiten.