IT-Sicherheitsgesetz: Konsequenzen für Betreiber von Websites und Online-Shops

Das IT-Sicherheitsgesetz gilt für jedes Unternehmen mit geschäftsmäßiger Website. Die neuen Schutz- und Meldepflichten betreffen auch den Datenschutz.

Dieser Artikel behandelt

Datenschutz

Am 25. Juli 2015 trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Bevor der deutsche Bundestag das Gesetz beschlossen hatte, fand eine rege Diskussion statt, an der sich auch verschiedene IT-Verbände wie TeleTrusT, Bitkom, eco und BVDW sowie die Aufsichtsbehörden für den Datenschutz beteiligten. Trotz der zahlreichen Veröffentlichungen rund um das neue IT-Sicherheitsgesetz glauben viele Unternehmen in Deutschland, dass sich dieses Gesetz speziell auf die IT-Sicherheit kritischer Infrastrukturen beziehe. Dem ist aber nicht so.

Für Betreiber von Webservern wie zum Beispiel Online-Shops gelten seit Inkrafttreten des IT-Sicherheitsgesetzes erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme. Das IT-Sicherheitsgesetz betrifft also nicht nur Inhaber von Genehmigungen nach dem Atomgesetz, Betreiber von öffentlichen Telekommunikationsnetzen und öffentlich zugänglichen Telekommunikationsdiensten oder Betreiber kritischer Infrastrukturen im Sinne des BSI-Gesetzes und des Energiewirtschaftsgesetzes.

Bereits für Betreiber von Online-Shops sowie andere Unternehmen mit einer geschäftsmäßigen Website besteht akuter Handlungsbedarf. Dabei dürfen aber die möglichen Auswirkungen auf den Datenschutz nicht vergessen werden.

Höhere Datensicherheit umsetzen

Anbieter geschäftsmäßig erbrachter Telemediendienste - also insbesondere Webseitenbetreiber - müssen ab Inkrafttreten des Gesetzes technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, um sowohl unerlaubte Zugriffe auf ihre technischen Einrichtungen und Daten als auch Störungen zu verhindern, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI weist insbesondere auf das regelmäßige und rasche Einspielen von Software-Updates und Sicherheits-Patches hin.

Betreiber von Online-Shops und anderer geschäftsmäßiger Websites sollten sich umgehend um ihr IT-Sicherheitskonzept kümmern und die Sicherheit der Webserver kontrollieren.

Dem Gesetz ist zu entnehmen, dass Betreiber geschäftsmäßiger Webseiten IT-Sicherheitsmaßnahmen ergreifen müssen, soweit dies technisch möglich und wirtschaftlich zumutbar ist und im Rahmen der jeweiligen Verantwortung des Unternehmens liegt. Um dies zu klären, sollten Unternehmen jeweils Risikoanalysen vornehmen und entsprechende Maßnahmen für die Datensicherheit ergreifen.

Als Schutzziele nennt das IT-Sicherheitsgesetz, dass kein unerlaubter Zugriff auf die für die Websites oder Online-Shops genutzten technischen Einrichtungen möglich ist. Außerdem müssen die Einrichtungen, also zum Beispiel die Webserver, gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Explizit genannt wird die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Ansprüche gegenüber Provider vorhanden

Unternehmen mit einer geschäftsmäßigen Website haben aber nicht nur neue Pflichten. Werden Telekommunikationsdienste bezogen, haben Anwenderunternehmen auch neue Ansprüche: Sofern Telekommunikations-Diensteanbietern Störungen auf den Systemen ihrer Nutzer bekannt werden, haben sie diese unverzüglich darüber zu benachrichtigen. Sie müssen ihre Nutzer im Rahmen des Möglichen und Zumutbaren auch auf Hilfsmittel zur Erkennung und Beseitigung von Störungen hinweisen, so das BSI.

Meldepflichten und Datenschutz beachten

Die Aufsichtsbehörden für den Datenschutz haben in einer Entschließung „IT-Sicherheitsgesetz nicht ohne Datenschutz“ bereits vor Beschluss des IT-Sicherheitsgesetzes auf mögliche negative Konsequenzen für den Datenschutz hingewiesen. Es müsse im Gesetz klar geregelt werden, welche personenbezogenen Daten im Rahmen der IT-Sicherheitsmaßnahmen von wem für welche Zwecke erhoben, verarbeitet und gespeichert werden dürfen, so die Bundesdatenschutzbeauftragte in ihrem Tätigkeitsbericht. Im Zusammenhang mit den Maßnahmen zur Verbesserung der Informationssicherheit bedürfe es zudem gesetzlicher Vorgaben zur Datensparsamkeit etwa durch Anonymisierung, Pseudonymisierung, frühzeitiges Löschen und Abschotten.

So muss aus Sicht des Datenschutzes unter anderem sichergestellt sein, dass die Meldepflichten mit dem Datenschutz vereinbar bleiben. Über technische Identifizierungsmerkmale, die an Endgeräte oder Nutzungsvorgänge von Privatpersonen gebunden sind, lasse sich häufig in sicherheitsrelevanten Meldungen ein Personenbezug herstellen, so zum Beispiel das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) im Vorfeld des Gesetzes. Wichtig ist den Datenschützern zudem, dass die Meldepflichten immer auch in Verbindung mit der besonderen Zweckbindung gesehen werden. Die gesammelten Daten zu möglichen Störungen und Vorfällen dürfen also nicht zu anderen Zwecken als der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden.

Die Hinweise der Aufsichtsbehörden zu den Meldepflichten und der Zweckbindung der entsprechenden Daten betreffen im Rahmen des IT-Sicherheitsgesetzes insbesondere Telekommunikationsanbieter. Aber auch für Webseitenbetreiber gelten bereits Meldepflichten bei IT-Sicherheitsvorfällen laut Telemediengesetz, was nicht vergessen werden sollte.

Betreiber von Online-Shops und anderer geschäftsmäßiger Websites sollten sich nun umgehend um ihr IT-Sicherheitskonzept kümmern und die Sicherheit der Webserver kontrollieren. Kommt es zu einem IT-Sicherheitsvorfall, sollten sie mit dem Telekommunikationsanbieter kooperieren, an ihre eigenen Meldepflichten denken und dabei immer den Datenschutz im Auge behalten, um den es grundsätzlich auch im IT-Sicherheitsgesetz geht und gehen muss.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im August 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close