SoftENGINE - kaufmännische Software-Lösungen / ERP für Windows und Web: WAWI, ANBU, FIBU, CRM, PPS  |  Kaufmännische Software

Kostenlose Rufnummer:
0800 33 44 567

ERP Blog: BüroWARE & WEBWARE ERP

Mittwoch, 21. Oktober 2015



Neue gesetzliche Vorgaben durch das IT-Sicherheitsgesetz betreffen auch Online-Händler

Mit dem IT-SiG will der Gesetzgeber für mehr Sicherheit rund um das Internet sorgen. Die Verfügbarkeit soll gewährleistet sein, aber auch Cyberkriminalität eingedämmt werden. Zu diesem Zweck verpflichtet er nicht nur Betreiber entsprechender Infrastrukturen, sondern auch Anbieter von Telemedien. Betroffen sind von den Neuerungen deshalb auch Online-Händler.

Mit dem IT-Sicherheitsgesetz (IT-SiG) wurden neue Pflichten in das Telemediengesetz (TMG) eingeführt. Anbieter geschäftsmäßiger Telemedien sind seit dem Tag des Inkrafttretens (25. Juli 2015) verpflichtet, Schutzmaßnahmen zu ergreifen, um einen unerlaubten Zugriff auf das Telemedium zu verhindern. Zu schützen ist zum einen vor Störungen durch innere oder äußere Angriffe, zum anderen muss die Sicherheit personenbezogener Daten gewährleistet sein.

Technische und organisatorische Maßnahmen nach dem Stand der Technik

Adressaten dieser Sicherungspflicht sind unter anderem Online-Händler. Diese müssen technische und organisatorische Maßnahmen ergreifen, um ihren Webshop gegen Cyber-Attacken abzusichern. Was die Betroffenen konkret zu tun haben, lässt das Gesetz offen. Es legt lediglich fest, dass die gewählten Vorkehrungen dem Stand der Technik entsprechen müssen. Es bleibt folglich dem Shop-Betreiber überlassen, für welche Möglichkeiten er sich entscheidet. In Betracht kommen z.B. Verschlüsselungssysteme, aber auch die Richtlinien, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Webseite veröffentlicht.

Grenzen der Sicherungspflicht

Letztere dürften für kleine und mittelständische Unternehmen (KMU) aber aus technischen und finanziellen Gründen kaum umsetzbar sein. Um die Adressaten der neuen Vorgaben nicht über Gebühr zu belasten, hat der Gesetzgeber die Sicherungspflichten begrenzt. Sie sind nur insoweit erforderlich, als sie technisch möglich und wirtschaftlich zumutbar sind. Auf diese Weise kann das notwendige Schutzniveau z.B. an den Umfang und die Sensibilität der erhobenen und verarbeiteten Daten angepasst werden. Werden nur wenige und unsensible Daten erhoben und diese auch schnell wieder gelöscht, dürften weniger drastische Maßnahmen erforderlich sein, als etwa bei Webshops, die Konto- und Kreditkarteninformationen abfragen.

Shop-Betreiber müssen tätig werden

Zur Handlung verpflichtet dürften dennoch selbst die kleinsten Online-Händler sein. Denn zumindest Updates der verwendeten Shop-Software zur Schließung von Sicherheitslücken sind technisch nicht nur möglich, sondern auch in finanzieller Hinsicht zumutbar. Welche Vorkehrungen darüber hinaus zu ergreifen sind, wird sich wohl erst in Zukunft zeigen. Dann nämlich, wenn Erfahrungen und Gerichtsurteile zu den neuen gesetzlichen Anforderungen vorliegen.

Folgen bei Verstößen

Bis dahin bleibt rechtliche Unsicherheit. Das ist vor allem deshalb problematisch, weil bei Verstößen gegen die Vorschriften nicht nur Bußgelder (immerhin bis zu einer Höhe von 100.000,- Euro), sondern auch die im E-Commerce alltäglichen Abmahnungen drohen. Darüber hinaus besteht die Gefahr, dass Kunden, deren personenbezogene Daten wegen mangelnder Sicherung unbefugt erlangt und genutzt wurden, Schadenersatzansprüche geltend machen.

Fazit

Bis es zu Entscheidungen kommt, welche konkreten Schutzvorkehrungen den gesetzlichen Vorgaben entsprechen, bleibt Online-Händlern nichts anderes übrig, als selbst zu entscheiden, wie sie ihren Webshop absichern. Ein guter Start könnte diesbezüglich der Einsatz von Überwachungssystemen sein, die den Betreiber sofort informieren, sobald unberechtigte Zugriffe oder andere Angriffe auf das Telemedium erfolgen.

Protected Shops GmbH