IT-Sicherheitsgesetz in Kraft

Das IT-Sicherheitsgesetz ist ein Gesetz mit dem das BSI-Gesetz, das Atomgesetz, das Energiewirtschaftsgesetz, das Telemediengesetz, das Telekommunikationsgesetz, das Bundesbesoldungsgesetz, das Bundeskriminalamtsgesetz und das Gesetz zur Strukturreform des Gebührenrechts des Bundes geändert werden. Was hat es damit aus sich?

Das IT-Sicherheitsgesetz verpflichtet Betreiber kritischer Infrastrukturen zur Einhaltung von Sicherheitsstandards und dazu, dem BSI Beeinträchtigungen zu melden. Kritische Infrastrukturen sind solche von Unternehmen aus dem Bereich Energie, IT, TK, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, wenn sie eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben. Eine genauere Definition wird über eine Rechtsverordnung erfolgen. Der durchschnittliche Onlineshop wird diese Definition wohl nicht erfüllen.

Allerdings bringt das IT-Sicherheitsgesetz auch eine Änderung für jeden Onlineshopbetreiber mit sich: § 13 Abs. 7 Telemediengesetz wurde geändert. Jeder Onlineshopbetreiber muss nun durch „technische und organisatorische Vorkehrungen sicher[…]stellen, dass […] kein unerlaubter Zugriff auf die für ihre [Onlineshops] genutzten technischen Einrichtungen möglich ist“. Ferner müssen die Onlineshops gegen Datenschutzverletzungen und Störungen gesichert werden. Einzuhalten ist damit der „Stand der Technik“. Ausdrücklich erwähnt wird die Pflicht zur „Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

Verstöße gegen die Pflichten sind bußgeldbewehrt. Verfügbare Softwareupdates sollten daher jeweils zeitnah eingespielt werden. Da die meisten Shopbetreiber Dritten die Administration übertragen haben, sollten diese vertraglich zur Einhaltung der neuen Vorschriften verpflichtet werden. Vermutlich werden in naher Zukunft auch Abmahnungen wegen angeblicher Verstöße ausgesprochen werden. Möglicherweise scheitern Abmahnungen in diesem Bereich aber bereits aus formalen Gründen.