TMG

Telemediengesetz

Nationale Regelung

Adressat: Alle Anbieter von Telemedien, sofern sie sich nicht lediglich auf die Signalübertragung beschränken.

Relevante Normen: § 13, § 14, § 15, § 15a, § 16

Regelungsgehalt

Allgemein:

Das Telemediengesetz (TMG) regelt den Umgang mit sog. Telemedien, die nicht unter das TKG oder den RStV fallen. Es richtet sich gemäß § 1 Abs. 1 TMG an alle Anbieter von elektronischen Informations- und Kommunikationsdiensten, sofern sie sich nicht darauf beschränken, lediglich Signale über das Kommunikationsnetz zu übertragen und weiterzuleiten. Vereinfacht dargestellt, unterfallen die Mehrheit der Telemedienanbieter den Regelungen des TMG, wenn eigene Inhalte angeboten werden. Eine genaue Umgrenzung der erfassten Dienste ist auf Grund der mannigfaltigen digitalen Geschäftsmodelle schlechterdings unmöglich. Als Beispiele können Online-Angebote für Waren- und Dienstleistungen oder Videostreaming-Plattformen genannt werden.[1]

§ 13:

Eine der zentralen IT-sicherheitsrechtlichen Vorschriften des TMG stellt § 13 TMG dar. Neben datenschutzrechtlichen Regelungen hält § 13 TMG seit 2015 auch technische und organisatorische Maßnahmen zum Schutz der technischen Einrichtungen vor.

§ 13 TMG normiert Informationspflichten des Diensteanbieters gegenüber dem Nutzer beim Umgang mit personenbezogenen Daten. Dazu gehören die Unterrichtungspflicht hinsichtlich Art, Umfang und Zweck der Datenverarbeitung (Abs. 1), die Hinweispflicht auf das Widerrufsrecht des Nutzers (Abs. 3), die Anzeigepflicht im Falle der Weitervermittlung der Daten (Abs. 5), die Pflicht dem Nutzer die Nutzung und die Bezahlung in anonymisierter oder pseudonymisierter Form, mit der Einschränkung, dass dies technisch möglich und zumutbar sein muss, zu ermöglichen (Abs. 6) sowie die Auskunftspflicht hinsichtlich der gespeicherten Daten zur Person des Nutzers (Abs. 8). Weiterhin statuiert Abs. 4 zwingend zu treffende technische und organisatorische Vorkehrungen zum Datenschutz, wodurch das Recht auf informationelle Selbstbestimmung geschützt werden soll.[2]

Bereits zu Beginn des Nutzungsvorganges hat der Diensteanbieter den Nutzer nach § 13 Abs. 1 S. 1 TMG über Art, Umfang und die Zwecke der Erhebung und Verarbeitung der personenbezogenen Daten zu unterrichten. Im Sinne einer möglichst rechtskonformen Ausgestaltung ist dem Betreiber anzuraten, diese Hinweise in einem separaten Vorschaltfenster bei Abruf der Webseite anzuzeigen.[3] Diese vorherige Hinweispflicht besteht auch, falls die Datenverarbeitung mittels automatisierter Verfahren (z.B. Cookies) erfolgt, § 13 Abs. 1 S. 2 TMG. Der Diensteanbieter genügt seiner Pflicht jedoch nicht durch das einmalige Anzeigen bei Aufnahme der Nutzung dies Dienstes, er hat den Text vielmehr jederzeit zum Abruf seitens des Nutzers auch im Nachhinein vorzuhalten, § 13 Abs. 1 S. 3 TMG.

Von besonderer Bedeutung für die Gewährleistung von IT-Sicherheit im Online-Bereich ist die mit dem IT-Sicherheitsgesetz geschaffene Vorschrift in § 13 Abs. 7 TMG, die geschäftsmäßige Telemediendiensteanbieter – also insbesondere Webseiten- bzw. Webshopbetreiber oder App-Anbieter – in die Pflicht nimmt.[4] Nach § 13 Abs. 7 TMG haben solche Anbieter von Telemedien ab sofort „im Rahmen ihrer jeweiligen Verantwortlichkeit durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist“ (§ 13 Abs. 7 S. 1 Nr. 1 TMG).[5] Daneben sind diese Einrichtungen gegen Verletzungen des Schutzes personenbezogener Daten gem. S. 1 Nr. 2 lit. a) und Störungen gem. S. 1 Nr. 2 lit. b) zu sichern. Die nach § 13 Abs. 7 S. 1 TMG getroffenen Vorkehrungen müssen dabei den Stand der Technik, also das zu dem bestimmten Zeitpunkt technisch mögliche, berücksichtigen (§ 13 Abs. 7 S. 2 TMG). Begrenzt wird der Anwendungsbereich von § 13 Abs. 7 S. 1 TMG ebenso durch die Grenze des den Diensteanbietern technisch Möglichen und des wirtschaftlich Zumutbaren.

Ein wesentliches Anliegen der Vorschrift ist es, das unbemerkte Herunterladen von Schadsoftware durch das Aufrufen bzw. Nutzen einer dafür von Angreifern präparierten Website (sogenannte Drive-by-Downloads) einzudämmen.[6] Dabei wird die Verbreitung von Schadsoftware über kompromittierte Webseiten mittlerweile als eine der größten Bedrohungen für die IT-Sicherheit der Internetnutzer betrachtet.[7] Nicht zuletzt deshalb geht die Gesetzesbegründung davon aus, dass schon „durch eine regelmäßige Aktualisierung der für das Telemedienangebot verwendeten Software (Einspielen von Sicherheitspatches) seitens der Websitebetreiber“ zahlreiche dieser Angriffe vermieden werden könnten.[8] Weiterhin verlangt die Gesetzesbegründung auch die vertragliche Verpflichtung der Webdienstleister zum Treffen von notwenigen Schutzmaßnahmen, um die Nutzer vor der Gefahr der Verbreitung von Schadsoftware über Werbeanzeigen zu schützen.[9] Reichweite und Umfang der neuen Sicherheitspflicht sind allerdings noch weitgehend ungeklärt. Um die praktische Umsetzbarkeit der Vorschrift zu ermöglichen, wird es in Zukunft noch weiterer Präzisierungen durch Literatur und Rechtsprechung bedürfen.[10] Bisweilen wurde die Vorschrift im Gesetzgebungsverfahren teilweise heftig kritisiert.[11]

Grundsätzlich richtet sich die Vorschrift an alle „geschäftsmäßig angebotenen Telemedien“. Damit ist ihr Anwendungsbereich dem Wortlaut nach sehr weit gefasst und betrifft Webseitenbetreiber auch dann, wenn sie keine kritischen Infrastrukturen betreiben.[12] Nach herrschender Rechtsauffassung ist für die „Geschäftsmäßigkeit“ keine Gewinnerzielungsabsicht erforderlich, sodass § 13 Abs. 7 TMG schon bei einer „gewissen Nachhaltigkeit des Angebots“ Anwendung findet.[13] Nach der Gesetzesbegründung sollen „entgeltliche Dienste“ zwar in der Regel erfasst sein, die Vorschrift soll aber grade nicht „das nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine“ mit einbeziehen.[14] Damit ist unklar, inwieweit § 13 Abs. 7 TMG etwa auch auf Webseiten von öffentlichen Stellen oder etwa gemeinnützigen Vereinen Anwendung findet – zumindest ließe sich dies dem Wortlaut nach nicht grundsätzlich ausschließen.[15] Ob es sich dabei um ein Redaktionsversehen im Rahmen der Gesetzesbegründung handelt[16], kann allerdings dahinstehen, denn sowohl Sinn und Zweck sowie Historie der Vorschrift sprechen für eine grundsätzlich weite Anwendbarkeit des § 13 Abs. 7 TMG.[17]Welche Angebote damit letztendlich unter § 13 Abs. 7 fallen, bleibt damit aber noch weitgehend unklar.

Die Datenschutzgrundverordnung hat die Grundsätze des Systemschutzes weitgehend übernommen.[18] Art. 32 DS-GVO benennt die einzuhaltenden technisch-organisatorischen Maßnahmen um ein angemessenes Schutzniveau zu sichern. Allerdings ist bei der Anwendung von datenschutzrechtlichen Vorschriften des TMG seit Geltungserlangung der DS-GVO darauf zu achten, dass umstritten ist, ob die DS-GVO diesbezüglich das TMG komplett verdrängt oder die Regelungen des TMG in den §§ 11 ff. TMG als Umsetzung der ePrivacy-RL nach Art. 95 DS-GVO weitergelten.[19] Die herrschende Meinung geht wohl derzeit von einer Nichtanwendbarkeit des datenschutzrechtlichen Regelungen des TMG aus.[20] Dies würde dann allerdings auch § 13 TMG betreffen. Klärung ist wohl erst durch die im Entwurf befindliche ePrivacy-VO zu erwarten, auch wenn deren geplante Umsetzung sich derzeit verzögert bzw. ungewiss ist.[21]

Inhalt der Sicherungspflicht ist das Ergreifen „technischer und organisatorischer Vorkehrungen“, die den „Stand der Technik“ berücksichtigen.[22] Nach der Gesetzesbegründung zum BSIG ist darunter etwa der „Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt“ zu verstehen.[23] Anders als etwa in § 8a Abs. 1 S. 2 BSIG muss der Stand der Technik jedoch nur „berücksichtigt“ und nicht „eingehalten“ werden.[24] Damit ist der Stand der Technik also nicht zwingender Standard für jede getroffene Sicherheitsvorkehrung, allerdings ist er bei der Maßnahmenauswahl mit einzubeziehen und später im Rahmen der Angemessenheitsprüfung zum „technisch möglichen“ zu berücksichtigen.[25] Dabei ist auch zu beachten, dass die drei Tatbestandsalternativen – also der Schutz der technischen Einrichtungen vor unerlaubten Zugriffen, die Sicherung personenbezogener Daten und die Sicherung gegen Störungen – jeweils im Einzelfall unterschiedliche Schutzpflichten erzeugen können.[26] Als Regelbeispiel für Vorkehrungen nach S. 1 nennt S. 3 die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. Daneben sieht die Gesetzesbegründung – bei personalisierten Telemedien – auch das Angebot eines sicheren, dem jeweiligen Schutzbedarf angemessenen und den aktuellen technischen Richtlinien des BSI entsprechenden Authentifizierungsverfahren als taugliche Maßnahme an.[27] Darüber hinaus kommen jedoch – je nach Tatbestandsalternative – viele weitere mögliche Schutzvorkehrungen in Betracht, wie etwa das regelmäßige Einspielen von Sicherheitspatches[28] und regelmäßige Softwareupdates aller auf der Webseite verwendeten Programme,[29] eine sichere Zugangskontrolle für Administratoren[30] oder der Einsatz von Sicherheitssoftware.[31]

Deutlich wird jedoch, dass ein solches „Feuerwerk der Rechtsbegriffe“[32] den Rechtsanwender vor Schwierigkeiten stellt, die genauen Anforderungen der Vorschriften in die Praxis zu übertragen. Insbesondere ist § 13 Abs. 7 Nr. 1 TMG auf Rechtsfolgenseite praktisch von durchaus großer Bedeutung. Dies kann mitunter zum geschäftlichen Risiko für die Diensteanbieter werden, bedenkt man, dass das Einschätzungsrisiko für die Frage, welche Maßnahmen wann gesetzlich erforderlich sind, bisweilen zum großen Teil auf Seiten der Anbieter liegt und durch den Wortlaut der Vorschrift teilweise auf diese übertragen wird.[33]

Grundsätzlich wird § 13 Abs. 7 Nr. 1 TMG als „allgemeines Schutzgesetz“ i.S.v. § 823 Abs. 2 BGB gesehen[34],  womit der Diensteanbieter Adressat etwaiger Schadensersatzansprüche der Betroffenen sein kann. Daneben kommt eine Einordnung der Vorschrift als sog. „Markverhaltensregelung“ i.S.v. § 4 Nr. 11 UWG in Betracht, wodurch sich Anbieter auch den Abmahnungen konkurrierender Diensteanbieter ausgesetzt sähen.[35] Zudem sieht § 16 Abs. 2 Nr. 3 TMG für die Nichteinhaltung von § 13 Abs. 7 Nr. 1 und Nr. 2 lit. a) TMG eine Bußgeldandrohung vor. Die Bußgeldhöhe liegt auch hier wieder (vgl. § 14 BSIG) bei max. 50.000 €. Das praktische Risiko eines Bußgeldverfahrens dürfte indes von Bundesland zu Bundesland variieren[36], da das TMG die Zuständigkeit für das Bußgeldverfahren nicht regelt, und daher § 36 Abs. 1 Nr. 2 lit. a) OWiG bzw. § 36 Abs. 2 i. V. m. mit der jeweiligen Landesverordnung greift. Beispielsweise ist in Bayern gemäß § 96 ZustV das Landesamt für Datenschutzaufsicht zuständig. Interessant ist, dass die Nichteinhaltung von § 13 Abs. 7 Nr. 2 lit. b) TMG keine Ordnungswidrigkeit darstellt. Ergreift der Diensteanbieter also keine Maßnahmen gegen Störungen wie DDoS-Angriffe, löst dies nach dem TMG keine Rechtsfolgen aus.[37] Nichtsdestotrotz dürfte auch hier Regeltreue geboten sein, dies gilt umso mehr, da wie oben angegeben eine abschließende wettbewerbsrechtliche Bewertung von § 13 Abs. 7 TMG durch die Gerichte noch nicht stattgefunden hat.

Insgesamt besteht weiterhin ein hoher wissenschaftlicher Klärungsbedarf, vor allem, was die Anforderungen des § 13 Abs. 7 TMG und dessen Verhältnis zu den Regelungen der Datenschutzgrundverordnung betrifft.

§ 14:

§ 14 Abs. 1 TMG regelt, dass der Diensteanbieter Bestandsdaten, mithin personenbezogene Daten der Nutzer welche zur inhaltlichen Ausgestaltung oder Änderung der Vertragsbeziehungen notwendig sind, nur zu den vorgenannten Zwecken verarbeiten darf. Daten dürfen nur auf Anordnung der zuständigen Stelle auf Grund bestimmter Anhaltspunkte (z.B. Strafverfolgung, Terrorismusabwehr und Schutz des geistigen Eigentums) nach § 14 Abs. 2 TMG herausgegeben werden oder Ansprüche nach dem NetzDG, § 14 Abs. 2 TMG.

§ 15:

Die in § 15 TMG normierten Erlaubnistatbestände zur Verarbeitung personenbezogener Daten betreffen im Unterschied zu § 14 TMG die seitens des Diensteanbieters erhobenen Nutzungsdaten; unter solchen sind gem. § 15 Abs. 1 TMG insbesondere:

  • Merkmale zur Identifikation des Nutzers,
  • Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
  • Angaben über die vom Nutzer in Anspruch genommenen Telemedien zu verstehen.

§ 15a:

Im Falle eines IT-Sicherheitsvorfalls und der unrechtmäßigen Übermittlung bzw. Kenntniserlangung an und durch Dritte hat der Diensteanbieter den Betroffenen über diese Tatsache zu informieren. § 15a TMG verweist hierbei auf die Regelungen des § 42a BDSG alte Fassung, welcher durch Neufassung des BDSG in dieser Form nicht mehr existiert. Seit Geltungserlangung der DS-GVO ist für die Reichweite der Mitteilungspflichten auf Art. 33 DS-GVO zu verweisen.

§ 16:

Verstöße gegen die Vorschriften des TMG können mit einem Bußgeld von bis zu € 50.000 geahndet werden


[1] Vgl. mit weiteren Ausführungen: Martini, in: BeckOK Informations- und Medienrecht, 25. Ed., Stand 01.08.2019, § 1 TMG Rn. 4 ff.

[2] Müller-Broich, Telemediengesetz, 2012, § 13 Rn. 6.

[3] Schmitz in Spindler/Schmitz, TMG, 2. Aufl. 2018, § 13 Rn. 9.

[4] BT-Drs. 18/4096, S. 34.

[5] BT-Drs. 18/4096, S. 34.

[6] BT-Drs. 18/4096, S. 34.

[7] Djeffal, MMR 2015, 716 m.w.N. Siehe dazu auch den Lagebericht des BSI, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile, S. 17., zuletzt abgerufen am 03.06.2016.

[8] BT-Drs. 18/4096, S. 34.

[9] BT-Drs. 18/4096, S. 34.

[10] Vgl. Terhaag, IT-Sicherheitsgesetz, 2015, S. 87. Erste detaillierte Auseinandersetzungen mit § 13 Abs. 7 TMG finden sich bei Djeffal, MMR 2015, 716 ff.; Gerlach, CR 2015, 581 ff.; sowie Selk/Gierschmann, CR 2015, 273 ff.

[11] Dazu Seidl, Mehr Cybersicherheit durch ein IT-Sicherheitsgesetz? (Teil 3) – Stellungnahme zum Entwurf eines IT-Sicherheitsgesetzes unter Berücksichtigung des Vorschlags der Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS-RL), jurisPR-ITR 10/2014 Anm. 2.

[12] Hornung, NJW 2015, 3334.

[13] So etwa Gerlach, CR 2015, 580f.; ähnlich auch Djeffal, MMR 2015, 716, 717 sowie Terhaag, IT-Sicherheitsgesetz, 2015, S. 86; zweifelnd mit Blick auf die Gesetzesbegründung Selk/Gierschmann, CR 2015, 273, 275.

[14] BT-Drs. 18/4096, S. 34; Gerlach, CR 2015, 581f.

[15] Dafür Gerlach, CR 2015, 581f.; dagegen etwa Gitter/Meißner/Spauschus, ZD 2015, 512, 516 die eine „kommerzielle Tätigkeit“ verlangen. Zweifelnd hinsichtlich der Anwendbarkeit auf etwa gemeinnützige Vereine Selk/Gierschmann, CR 2015, 273, 275.

[16] Gerlach, CR 2015, 581f.

[17] Gerlach, CR 2015, 581f; insgesamt kritisch Selk/Gierschmann, CR 2015, 273, 275.

[18] Djeffal, MMR 2015, 716, 717; Gerlach, CR 2015, 581 mwN.

[19] vgl. Schmitz in Spindler/Schmitz, TMG, 2. Aufl. 2018, § 15 Rn. 10

[20] Spindler/Schmitz, TMG Kommentar, 2. Auflage, vor §§ 11 ff TMG, Rn. 3

[21] Entwurf abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52017PC0010&from=DE, zuletzt abgerufen am: 01.04.2020.

[22] Dabei ist allein fraglich, ob sich der Begriff der Vorkehrungen von dem der „Maßnahmen“ in § 9 BDSG unterschiedet, vgl. dazu Selk/Gierschmann, CR 2015, 273, 275.

[23] BT-Drs. 18/4096, S. 26.

[24] Vgl. Djeffal, MMR 2015, 716, 718.

[25] Gerlach, CR 2015, 581, 588; Djeffal, MMR 2015, 716, 718.

[26] Zu den einzelnen Tatbestandsalternativen ausführlich Gerlach, CR 2015, 581, 582ff.

[27] Vgl. BT-Drs. 18/4096, S. 34.

[28] BT-Drs. 18/4096, S. 34.

[29] Vgl. Djeffal, MMR 2015, 716, 720.

[30] Djeffal, MMR 2015, 716, 720; Gerlach, CR 2015, 581, 583.

[31] Vgl. vertiefend zu den in Betracht kommenden Maßnahmen auch Djeffal, MMR 2015, 716, 720; Gerlach, CR 2015, 581, 583.

[32] Terhaag, IT-Sicherheitsgesetz, 2015, S. 86.

[33] Vgl. Schneider, IT-Sicherheitsgesetz: Verschlüsselungspflicht für alle?, Telemedicus v. 11.08.2015, abrufbar unter: http://www.telemedicus.info/article/2979-IT-Sicherheitsgesetz-Verschluesselungspflicht-fuer-alle.html, zuletzt abgerufen am 03.06.2016.

[34] Vgl. Djeffal, MMR 2015, 716, 729; Gerlach, CR 2015, 581, 589.

[35] Dafür etwa Terhaag, IT-Sicherheitsgesetz, 2015, S. 88; Gerlach, CR 2015, 581, 588; vgl. auch die Diskussion zu § 13 Abs. 1 TMG in Heckmann, juris-PK Internetrecht, 4. Auflage 2014, Kap. 9, Rn. 220.

[36] Hilgert, Das IT-Sicherheitsgesetz: Neue Anforderungen für alle geschäftsmäßigen Onlinedienste, http://www.cr-online.de/blog/2015/08/17/das-it-sicherheitsgesetz-neue-anforderungen-fuer-alle-geschaeftsmaessigen-onlinedienste/, zuletzt abgerufen am 03.05.2016.

[37] Hilgert, Das IT-Sicherheitsgesetz: Neue Anforderungen für alle geschäftsmäßigen Onlinedienste, http://www.cr-online.de/blog/2015/08/17/das-it-sicherheitsgesetz-neue-anforderungen-fuer-alle-geschaeftsmaessigen-onlinedienste/, zuletzt abgerufen am 03.05.2016.

Ähnliche Einträge