Hoppa till innehåll 
§ 13 punkt 7 TMG
Lagen om ökad säkerhet för informationstekniska system, som antogs 2015 och som formuleras i § 13.7 i den tyska telemedielagen, orsakade en hel del uppståndelse bland webbplatsoperatörer. Vissa av kraven är däremot mycket generella och tar praktiskt taget alla leverantörer av kommersiella telemedier i anspråk. Här kan du läsa om vad du som leverantör bör vara särskilt uppmärksam på.
En del av den nya lagen gäller uteslutande infrastrukturer som klassificeras som kritiska. Det rör sig till exempel om sjukhus, finansinstitut och elleverantörer. Ägare av nätbutiker, kommersiella appar eller internetportaler omfattas dock också av mycket strängare krav på det innehåll som erbjuds eller den tekniska säkerheten för deras erbjudanden, vilket innebär en inte obetydlig extra ansträngning för underhållet av webbprojektet. Den som reagerar alltför oförsiktigt kan därför snabbt hamna i rättsliga problem som hotar deras existens. I § 13 punkt 7 i TMG står det bokstavligen:
(7) Tjänsteleverantörerna ska, i den mån det är tekniskt möjligt och ekonomiskt rimligt, inom ramen för sitt respektive ansvar för telemedier som erbjuds på affärsmässig grund, genom tekniska och organisatoriska försiktighetsåtgärder säkerställa att
1. ingen obehörig åtkomst är möjlig till de tekniska faciliteter som används för deras telemedieerbjudanden, och
2. dessa
a) mot överträdelser av personuppgifter, och
b) mot störningar, även sådana som orsakas av externa angrepp,
är säkrad. Försiktighetsåtgärder enligt mening 1 måste ta hänsyn till det aktuella tekniska läget. En åtgärd enligt mening 1 är i synnerhet användning av en krypteringsmetod som är erkänt säker.
Detta påverkar uttryckligen "tjänsteleverantörer av telemedier som erbjuds på affärsmässig basis". Den privata Webbplatsdär du publicerar dina semesterbilder eller dina senaste recept, förblir alltså oförändrad. Detsamma gäller för små klubbar och föreningar. Om reklam placeras på en sida är detta dock en så kallad affärsliknande handling och därmed ett kommersiellt inriktat erbjudande.
dina uppgifter
Enligt punkt 1 i den nya lagen är du som e-handelsleverantör skyldig att skydda ditt system mot obehörig åtkomst. I lagstiftarens förklaring anges att syftet är att förhindra att användaren oavsiktligt och obemärkt laddar ner skadlig kod. För att förhindra att dessa så kallade drive-by-downloads förs in i Webbplats eller åtminstone göra det svårare. Operatörerna bör därför alltid använda de senaste patcherna för att täppa till eventuella säkerhetsluckor. Men det är inte allt: inom B2B-sektorn innebär paragrafen att tjänsteleverantören också måste ålägga sina leverantörer av reklamtjänster att vidta lämpliga säkerhetsåtgärder genom avtalsskydd.
För att säkerställa det skydd av personuppgifter som beskrivs i punkt 2 är det tillräckligt att använda ett aktuellt förfarande för kryptering av överförda uppgifter som är "erkänt säkert". De aktuella specifikationerna från BSI (Federal Office for Information Security) kan konsulteras för vägledning. Andra försiktighetsåtgärder är dock också tänkbara som ett alternativ till kryptering. Beroende på tillämpningsområdet kan man också överväga ett autentiseringsförfarande som ger tillräckligt skydd.
Hur exakt åtgärderna i nr 3, dvs. att skydda mot störningar från externa attacker, ska se ut definieras inte av lagstiftaren, men man kan anta att de i första hand är avsedda att förhindra DDoS-attacker.
Begränsningar
Alla krav är formulerade med ett viktigt, om än vagt, förbehåll, nämligen att de måste vara "tekniskt möjliga och ekonomiskt rimliga". Eftersom lagstiftaren inte ger några tydliga definitioner här, kvarstår en viss osäkerhet. I slutändan är det en tolkningsfråga för respektive domstol.
Rättsliga konsekvenser och ansvar
Om en tjänsteleverantör inte uppfyller sina skyldigheter enligt punkt 1 kan denne åläggas böter på upp till 50 000 euro i enlighet med 16 § 2 mom. 3 i TMG. Den nya lagen kan emellertid också tolkas som en reglering av marknadsbeteendet. Detta skulle till exempel göra det möjligt för sammanslutningar eller konsumentskyddsorganisationer att vidta åtgärder enligt konkurrenslagstiftningen vid brott mot 13 § 7 TMG.
