Gastartikel: Immer öfter gibt es Nachrichten über Hacker-Angriffe, durch die zahlreiche Kundendaten, mitunter sogar Zahlungsdaten, abgegriffen wurden. Der Gesetzgeber hat reagiert und mit dem IT-Sicherheitsgesetz (IT-SiG) neue Pflichten u.a. für Online-Händler eingeführt.
Seit dem 25. Juli 2015 müssen Betreiber geschäftsmäßiger Telemedien, wie beispielsweise Webshop-Betreiber, Vorkehrungen treffen, um einen unerlaubten Zugriff auf ihre Webseite oder eine Störung, von innen wie von außen, zu verhindern. Zudem müssen die Kundendaten geschützt werden.
Was Online-Händler zu tun haben – zunächst unklar!
Wie so oft im eCommerce macht der Gesetzgeber keine genaueren Ausführungen dahingehend, wie genau diese Pflicht erfüllt werden soll. Gegen welche „Angriffe“ muss also geschützt und welche Schutzmaßnahmen ergriffen werden? Beispielhaft genannt wird lediglich die Anwendung „anerkannter Verschlüsselungssysteme“. Konkrete Programme werden hingegen nicht vorgeschlagen. Diesbezüglich scheint der Betreiber – zunächst – frei wählen zu können, für welche Schutzmaßnahme er sich entscheidet. Sie muss jedoch dem „Stand der Technik“ entsprechen.
Nichtstun ist keine Lösung
Welche Vorkehrungen geeignet sind, die gesetzlichen Pflichten zu erfüllen, wird sich erst im Laufe der Zeit zeigen. Nämlich dann, wenn Gerichte mit dieser Frage betraut werden und die verschiedensten Lösungen als zulässig oder eben unzulässig einstufen. Dennoch sollten alle Betroffenen bereits jetzt handeln. Zumindest Sicherheitslücken im verwendeten Shopsystem können durch Installation entsprechender Sicherheitspatches ohne großen Aufwand geschlossen werden.
Gesetzliche Grenzen der Sicherungspflicht
Ist der Schutz vor Zugriffen oder Störungen oder der personenbezogenen Kundendaten aus technischen Gründen nicht möglich oder ist er für den Shop-Betreiber wirtschaftlich unzumutbar, greift eine gesetzliche Ausnahmeregelung. Sicherungsmaßnahmen sind dann nicht erforderlich. Eine technische Unmöglichkeit wird wohl aber nur in den seltensten Fällen vorliegen.
Schutzniveau abhängig von Datensensibilität
Über die wirtschaftliche Zumutbarkeit will der Gesetzgeber die flexible Gestaltung im konkreten Einzelfall sicherstellen. So kann das erforderliche Schutzniveau beispielsweise von der Sensibilität und dem Umfang der erhobenen und verarbeiteten Daten abhängig gemacht werden. Die Anforderungen dürften deutlich höher liegen, wenn der Shop-Betreiber Zahlungs- und Kreditkarteninformationen erhebt und weitergibt, als wenn er lediglich die E-Mail-Adresse seiner Kunden abfragt (z.B. Zwecks Übersendung der bestellten Datei).
Folgen bei Zuwiderhandlung
Durch die fehlende Präzisierung der Sicherungspflicht und ihrer Grenzen hat der Gesetzgeber reichlich Rechtsunsicherheit geschaffen. Das ist für Shop-Betreiber besonders gravierend, weil Bußgelder bis zu 100.000,- Euro, Abmahnungen und vielleicht sogar Schadenersatzansprüche von Kunden drohen, deren Daten abgefangen und missbraucht wurden.
Fazit
Auch wenn aktuell noch nicht klar ist, gegen welche Angriffe Webshops abzusichern und welche Sicherungssysteme dafür geeignet sind, sollten Online-Händler dennoch bestimmte Maßnahmen ergreifen. Kommt es zu konkretisierenden Gerichtsentscheidungen, kann der Shop entsprechend angepasst werden. Wir halten Sie auf dem Laufenden!
Stephan meint
„Auch wenn aktuell noch nicht klar ist, gegen welche Angriffe Webshops abzusichern und welche Sicherungssysteme dafür geeignet sind, sollten Online-Händler dennoch bestimmte Maßnahmen ergreifen.“
Also obwohl Sie mehrmals im Text richtig schreiben, dass dieses IT-Sicherheitsgesetz total unscharf formuliertes Wischiwaschi ist, sollen wir Online-Händler aber trotzdem so schnell wie möglich irgendeinen Aktionismus an den Tag legen? Die Überarbeitung des IT-Sicherheitsgesetz ist in dieser Form schlicht ein Witz und offensichtlich von Leuten gemacht, die überhaupt keine technischen Kompetenzen haben. Es wird einfach immer absurder.
Katrin Trautzold meint
Durch die offene Formulierung haben Shop-Betreiber aber auch – zumindest bis die ersten gerichtlichen Entscheidungen ergehen – die Möglichkeit, frei über die Vorkehrungen zu entscheiden, die sie treffen möchten. So müssen kleine und mittelständische Unternehmen (KMU) vielleicht nicht zwingend die in den technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) enthaltenen Maßnahmen ergreifen. Diese dürften KMU wohl auch schnell an ihre technischen und finanziellen Grenzen bringen.
Um zumindest Kenntnis darüber zu haben, ob der eigene Onlineshop Ziel von Cyberattacken geworden ist oder nicht, könnten entsprechende Überwachungssysteme in Erwägung gezogen werden.