Seit dem 25. Juli 2015 müssen Betreiber geschäftsmäßiger Telemedien, wie beispielsweise Webshop-Betreiber, Vorkehrungen treffen, um einen unerlaubten Zugriff auf ihre Webseite oder eine Störung, von innen wie von außen, zu verhindern. Zudem müssen die Kundendaten geschützt werden.
Was Online-Händler zu tun haben – zunächst unklar!
Wie so oft im eCommerce macht der Gesetzgeber keine genaueren Ausführungen dahingehend, wie genau diese Pflicht erfüllt werden soll. Gegen welche „Angriffe“ muss also geschützt und welche Schutzmaßnahmen ergriffen werden? Beispielhaft genannt wird lediglich die Anwendung „anerkannter Verschlüsselungssysteme“. Konkrete Programme werden hingegen nicht vorgeschlagen. Diesbezüglich scheint der Betreiber – zunächst – frei wählen zu können, für welche Schutzmaßnahme er sich entscheidet. Sie muss jedoch dem „Stand der Technik“ entsprechen.
Nichtstun ist keine Lösung
Welche Vorkehrungen geeignet sind, die gesetzlichen Pflichten zu erfüllen, wird sich erst im Laufe der Zeit zeigen. Nämlich dann, wenn Gerichte mit dieser Frage betraut werden und die verschiedensten Lösungen als zulässig oder eben unzulässig einstufen. Dennoch sollten alle Betroffenen bereits jetzt handeln. Zumindest Sicherheitslücken im verwendeten Shopsystem können durch Installation entsprechender Sicherheitspatches ohne großen Aufwand geschlossen werden.
Gesetzliche Grenzen der Sicherungspflicht
Ist der Schutz vor Zugriffen oder Störungen oder der personenbezogenen Kundendaten aus technischen Gründen nicht möglich oder ist er für den Shop-Betreiber wirtschaftlich unzumutbar, greift eine gesetzliche Ausnahmeregelung. Sicherungsmaßnahmen sind dann nicht erforderlich. Eine technische Unmöglichkeit wird wohl aber nur in den seltensten Fällen vorliegen.
Schutzniveau abhängig von Datensensibilität
Über die wirtschaftliche Zumutbarkeit will der Gesetzgeber die flexible Gestaltung im konkreten Einzelfall sicherstellen. So kann das erforderliche Schutzniveau beispielsweise von der Sensibilität und dem Umfang der erhobenen und verarbeiteten Daten abhängig gemacht werden. Die Anforderungen dürften deutlich höher liegen, wenn der Shop-Betreiber Zahlungs- und Kreditkarteninformationen erhebt und weitergibt, als wenn er lediglich die E-Mail-Adresse seiner Kunden abfragt (z.B. Zwecks Übersendung der bestellten Datei).
Folgen bei Zuwiderhandlung
Durch die fehlende Präzisierung der Sicherungspflicht und ihrer Grenzen hat der Gesetzgeber reichlich Rechtsunsicherheit geschaffen. Das ist für Shop-Betreiber besonders gravierend, weil Bußgelder bis zu 100.000,- Euro, Abmahnungen und vielleicht sogar Schadenersatzansprüche von Kunden drohen, deren Daten abgefangen und missbraucht wurden.
Fazit
Auch wenn aktuell noch nicht klar ist, gegen welche Angriffe Webshops abzusichern und welche Sicherungssysteme dafür geeignet sind, sollten Online-Händler dennoch bestimmte Maßnahmen ergreifen. Kommt es zu konkretisierenden Gerichtsentscheidungen, kann der Shop entsprechend angepasst werden. Wir halten Sie auf dem Laufenden!