Gelten auch für Games: Neue Regeln für IT-Sicherheit bei Online-Services


13. August 2015 1 Kommentar
Am 1. August ist das IT-Sicherheitsgesetz in Kraft getreten. Damit werden vor allem Betreiber von sog. “kritischen Infrastrukturen” – zum Beispiel Energieversorgung, Banken, Telekommunikationsanbieter – zu sehr umfangreichen Sicherheitsmaßnahmen verpflichtet. Heimlich, still und leise haben sich aber auch neue Regeln für die IT-Sicherheit bei “normalen” Online-Services wie Online-Games, Apps oder Webshops mit eingeschlichen.

Ab sofort müssen alle “geschäftsmäßigen” Onlinedienste neue Regelungen beachten – andernfalls drohen Bußgelder und möglicherweise auch Abmahnungen.

Die neuen Regelungen

Zum 1. August wurde ein neuer § 13 Abs. 7 in das Telemediengesetz (TMG) eingefügt, der lautet:

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Für wen gelten die neuen Regelungen?

Die neuen Sicherheitsregeln gelten für Anbieter von “geschäftsmäßigen” Telemedien. Telemedien sind, vereinfacht gesagt, alle Online-Services, die nicht bloß im Transport von Daten bestehen – beispielsweise Webseiten, Blogs, Shops, aber auch Online-Games und Apps, sofern sie Online-Inhalte darstellen. Keine Telemedien sind etwa IP-Telefonielösungen oder reine Chats.

Geschäftsmäßig sind Telemedien dann, wenn sie nicht rein privat und non-profit sind. Auf Umsatz- oder Gewinnspanne kommt es nicht an. Wird etwa in einem kostenlosen Spiel In-Game-Werbung geschaltet, gilt es als “geschäftsmäßig”, unabhängig davon, ob die Werbung überhaupt Umsatz einfährt.

Welche Sicherheitsmaßnahmen schreibt das Gesetz vor?

Das Gesetz schreibt drei Maßnahmenpakete vor:

  1. Schutz vor unerlaubtem Zugriff
  2. Schutz von personenbezogenen Daten
  3. Schutz vor Störungen von außen

Wie diese Maßnahmen technisch umzusetzen sind, schreibt das Gesetz nicht vor. Die Gesetzesbegründung erklärt nur sehr allgemein, was unter den einzelnen Maßnahmen zu verstehen ist.

Unter den “Schutz vor unerlaubtem Zugriff” (§ 13 Abs. 7 Nr. 1 TMG) fallen allgemein Maßnahmen, die Server und Anwendungen nach außen absichern. Dazu können beispielsweise Firewalls zählen. Konkret gibt die Gesetzesbegründung aber auch das regelmäßige Einspielen von Updates vor. Innerhalb welcher Reaktionszeiten Updates eingespielt werden müssen, sagt das Gesetz allerdings nicht.

Unter den “Schutz von personenbezogenen Daten” (§ 13 Abs. 7 Nr. 2 a) TMG) fallen vor allem Verschlüsselungsmechanismen. Das stellt auch das Gesetz ausdrücklich klar (§ 13 Abs. 7 Satz 3 TMG). Gemeint ist damit vermutlich vor allem Transportverschlüsselung, d.h. TLS/SSL. Zwar lässt das Gesetz auch andere Maßnahmen als Transportverschlüsselung zu, letztlich läuft die neue Regelung aber auf eine allgemeine Verschlüsselungspflicht für geschäftsmäßige Online-Services hinaus. Zu beachten ist dabei auch, dass die Verschlüsselung “als sicher anerkannt” sein muss. Orientierung können dafür die Richtlinien vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sein. In jedem Fall dürfen aber keine Methoden eingesetzt werden, die bereits als unsicher bekannt sind.

Unter “Schutz vor Störungen von außen” (§ 13 Abs. 7 Nr. 3 b) TMG) versteht das Gesetz offenbar Maßnahmen zur Abwehr von “Distributed Denial of Service”-Attacken (DDoS), also das gezielte Überlasten von Servern und Diensten. Wie genau man sich in der Praxis davor schützen soll, lässt das Gesetz offen. Hier wird sich in der Praxis zeigen müssen, welche Methoden sich als praktikabel erweisen und was genau das Gesetz tatsächlich von den Betreibern von Online-Services erwartet.

Alle Maßnahmen stehen unter dem Vorbehalt, dass sie “technisch möglich und wirtschaftlich zumutbar” sein müssen. Welcher Service welche genauen Maßnahmen umsetzen muss, hängt also sehr vom Einzelfall ab. Das ist einerseits eine gute Nachricht, weil das Gesetz keine unverhältnismäßigen Investitionen in die IT-Sicherheit erwartet. Andererseits lässt sich aber auch schwer einschätzen, wann welche genauen Maßnahmen ausreichend sind, um die Anforderungen des Gesetzes zu erfüllen.

Was passiert, wenn man sich nicht an das Gesetz hält?

Nach § 16 Abs. 2 Nr. 3 TMG kann ein Verstoß gegen § 13 Abs. 7 Nr. 1 und Nr. 2 a) TMG mit einem Bußgeld von bis zu 50.000 EUR geahndet werden. Aufmerksame Leser werden bemerkt haben: § 13 Abs. 7 Nr. 2 b) TMG ist davon nicht erfasst. Wer also keine Maßnahmen gegen “Störungen von außen” – sprich DDoS – ergreift, hat kein Bußgeld zu erwarten.

Wie hoch das praktische Risiko eines Bußgeldes sein wird, muss sich auch noch zeigen. Zuständig für Bußgeldverfahren nach dem Telemediengesetz sind verschiedenste Landesbehörden. In NRW beispielsweise die Bezirksregierung Düsseldorf, in Niedersachsen das Landesamt für Verbraucherschutz und Lebensmittelsicherheit [sic!]. In der Vergangenheit haben sich diese Behörden eher zurückhaltend gezeigt, was die Durchsetzung ähnlicher Bußgeldtatbestände im Telemediengesetz angeht.

Unklar ist bislang allerdings, ob ein Verstoß gegen die neuen Sicherheitsregeln von Konkurrenten oder Verbraucherschützern abgemahnt werden kann. Es gibt gute Argumente dafür, allerdings auch gute Argumente dagegen. Letztlich werden das die Gerichte entscheiden müssen. Es ist aber durchaus wahrscheinlich, dass es in absehbarer Zeit zumindest erste Versuche geben wird, unliebsame Konkurrenten wegen versäumter IT-Sicherheitsmaßnahmen anzugehen.

 

Danke an Oliver Garcia für den Hinweis und unseren wissenschaftlichen Mitarbeiter Marcel Hartmann für die Unterstützung bei der Recherche.

Print Friendly

Adrian Schneider
Adrian Schneider ist Rechtsanwalt im IT-Team von Osborne Clarke und berät nationale wie internationale Unternehmen an der Schnittstelle zwischen Technik und Recht, vor allem in den Bereichen IT-Vertragsrecht, Urheberrecht, E-Commerce und Datenschutz.

Ein Kommentar zu "Gelten auch für Games: Neue Regeln für IT-Sicherheit bei Online-Services"

  1. Stefan Sulistyo

    Interessant zu sehen, worauf das ITSG alles anwendbar ist.
    Ich erwarte die breitesten Auswirkungen auch bei den Telemedienanbietern insbesondere angesichts der Abmahn-Gefahr.

    Habe meine Gedanken dazu auch ein einer mehrteiligen Artikelserie zusammengeschrieben:
    https://www.alyne.com/blog/128-thought-leadership/229-it-sicherheitsgesetz-teil-1-was-ist-das-eigentlich.html

Füge einen Kommentar hinzu: