Telemediengesetz

Das Telemediengesetz (TMG) regelt den Umgang mit sog. Telemedien, also elektronischen Informations- und Kommunikationsdiensten, die nicht unter das TKG oder den RStV fallen (z.B. nahezu alle Angebote im Internet wie Webshops, Blogs oder private Websites), vgl. § 1 Abs. 1 TMG.

§ 13 TMG normiert Informationspflichten des Diensteanbieters gegenüber dem Nutzer beim Umgang mit personenbezogenen Daten. Dazu gehören die Unterrichtungspflicht hinsichtlich Art, Umfang und Zweck der Datenverarbeitung (Abs. 1), die Hinweispflicht auf das Widerrufsrecht des Nutzers (Abs. 3), die Anzeigepflicht im Falle der Weitervermittlung der Daten (Abs. 5), die Pflicht dem Nutzer die Nutzung und die Bezahlung in anonymisierter oder pseudonymisierter Form, mit der Einschränkung, dass dies technisch möglich und zumutbar sein muss, zu ermöglichen (Abs. 6) sowie die Auskunftspflicht hinsichtlich der gespeicherten Daten zur Person des Nutzers (Abs. 8). Weiterhin statuiert Abs. 4 zwingend zu treffende technische und organisatorische Vorkehrungen zum Datenschutz, wodurch das Recht auf informationelle Selbstbestimmung geschützt werden soll.1Müller-Broich, Telemediengesetz, 2012, § 13 Rn. 6.

Von besonderer Bedeutung für die Gewährleistung von IT-Sicherheit im Online-Bereich ist die mit dem IT-Sicherheitsgesetz  geschaffene Vorschrift in § 13 Abs. 7 TMG, die geschäftsmäßige Telemediendiensteanbieter – also insbesondere Webseiten- bzw. Webshopbetreiber oder App-Anbieter – in die Pflicht nimmt.2BT-Drs. 18/4096, S. 34.

Nach § 13 Abs. 7 TMG haben solche Anbieter von Telemedien ab sofort „im Rahmen ihrer jeweiligen Verantwortlichkeit durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist“ (§ 13 Abs. 7 S. 1 Nr. 1 TMG).3BT-Drs. 18/4096, S. 34. Daneben sind diese Einrichtungen gegen Verletzungen des Schutzes personenbezogener Daten gem. S. 1 Nr. 2 lit. a) und Störungen gem. S. 1 Nr. 2 lit. b) zu sichern. Die nach § 13 Abs. 7 S. 1 TMG getroffenen Vorkehrungen müssen dabei den Stand der Technik, also das zu dem bestimmten Zeitpunkt technisch mögliche, berücksichtigen (§ 13 Abs. 7 S. 2 TMG). Begrenzt wird der Anwendungsbereich von § 13 Abs. 7 S. 1 TMG ebenso durch die Grenze des den Diensteanbietern technisch Möglichen und des wirtschaftlich Zumutbaren.

Ein wesentliches Anliegen der Vorschrift ist es, das unbemerkte Herunterladen von Schadsoftware durch das Aufrufen bzw. Nutzen einer dafür von Angreifern präparierten Website (sogenannte Drive-by-Downloads) einzudämmen.4BT-Drs. 18/4096, S. 34. Dabei wird die Verbreitung von Schadsoftware über kompromittierte Webseiten mittlerweile als eine der größten Bedrohungen für die IT-Sicherheit der Internetnutzer betrachtet.5Djeffal, MMR 2015, 716 m.w.N. Siehe dazu auch den Lagebericht des BSI, ...continue Nicht zuletzt deshalb geht die Gesetzesbegründung davon aus, dass schon „durch eine regelmäßige Aktualisierung der für das Telemedienangebot verwendeten Software (Einspielen von Sicherheitspatches) seitens der Websitebetreiber“ zahlreiche dieser Angriffe vermieden werden könnten.6BT-Drs. 18/4096, S. 34. Weiterhin verlangt die Gesetzesbegründung auch die vertragliche Verpflichtung der Webdienstleister zum Treffen von notwenigen Schutzmaßnahmen, um die Nutzer vor Gefahr der Verbreitung von Schadsoftware über Werbeanzeigen zu schützen.7BT-Drs. 18/4096, S. 34. Reichweite und Umfang der neuen Sicherheitspflicht sind allerdings noch weitgehend ungeklärt. Um die praktische Umsetzbarkeit der Vorschrift zu ermöglichen, wird es in Zukunft noch weiterer Präzisierungen durch Literatur und Rechtsprechung bedürfen.8Vgl. Terhaag, IT-Sicherheitsgesetz, 2015, S. 87. Erste detaillierte Auseinandersetzungen mit § 13 Abs. 7 TMG finden sich bei Djeffal, MMR 2015, 716 ...continue Bisweilen wurde die Vorschrift im Gesetzgebungsverfahren teilweise heftig kritisiert.9Dazu Seidl, Mehr Cybersicherheit durch ein IT-Sicherheitsgesetz? (Teil 3) – Stellungnahme zum Entwurf eines IT-Sicherheitsgesetzes unter ...continue

Grundsätzlich richtet sich die Vorschrift an alle „geschäftsmäßig angebotenen Telemedien“. Damit ist ihr Anwendungsbereich dem Wortlaut nach sehr weit gefasst und betrifft Webseitenbetreiber auch dann, wenn sie keine kritischen Infrastrukturen betreiben.10Hornung, NJW 2015, 3334. Nach herrschender Rechtsauffassung ist für die „Geschäftsmäßigkeit“ keine Gewinnerzielungsabsicht erforderlich, sodass § 13 Abs. 7 TMG schon bei einer „gewissen Nachhaltigkeit des Angebots“ Anwendung findet.11So etwa Gerlach, CR 2015, 580f.; ähnlich auch Djeffal, MMR 2015, 716, 717 sowie Terhaag, IT-Sicherheitsgesetz, 2015, S. 86; zweifelnd mit Blick auf ...continue Nach der Gesetzesbegründung sollen „entgeltliche Dienste“ zwar in der Regel erfasst sein, die Vorschrift soll aber grade nicht „das nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine“ mit einbeziehen.12BT-Drs. 18/4096, S. 34; Gerlach, CR 2015, 581f. Damit ist unklar, inwieweit § 13 Abs. 7 TMG etwa auch auf Webseiten von öffentlichen Stellen oder etwa gemeinnützigen Vereinen Anwendung findet – zumindest ließe sich dies dem Wortlaut nach nicht grundsätzlich ausschließen.13Dafür Gerlach, CR 2015, 581f.; dagegen etwa Gitter/Meißner/Spauschus, ZD 2015, 512, 516 die eine „kommerzielle Tätigkeit“ verlangen. Zweifelnd ...continue Ob es sich dabei um ein Redaktionsversehen im Rahmen der Gesetzesbegründung handelt,14Gerlach, CR 2015, 581f. kann allerdings dahinstehen, denn sowohl Sinn und Zweck sowie Historie der Vorschrift sprechen für eine grundsätzlich weite Anwendbarkeit des § 13 Abs. 7 TMG.15Gerlach, CR 2015, 581f; insgesamt kritisch Selk/Gierschmann, CR 2015, 273, 275. Jedenfalls ist keine „Entgeltlichkeit“ des Angebots erforderlich.16Djeffal, MMR 2015, 716, 717; Gerlach, CR 2015, 581 mwN. Welche Angebote damit letztendlich unter § 13 Abs. 7 fallen, bleibt damit aber noch weitgehend unklar.

Die Datenschutzgrundverordnung hat die Grundsätze des Systemschutzes weitgehend übernommen.17Spindler/Schmitz, TMG Kommentar, 2. Auflage, § 13, Rn. 4. Art. 32 DS-GVO benennt die einzuhaltenden technisch-organisatorischen Maßnahmen um ein angemessenes Schutzniveau zu sichern. Allerdings ist das Verhältnis von DS-GVO und TMG bisher nicht geklärt. Die herrschende Meinung geht wohl derzeit von einer Nichtanwendbarkeit des datenschutzrechtlichen Regelungen des TMG aus.18Spindler/Schmitz, TMG Kommentar, 2. Auflage, vor §§ 11 ff TMG, Rn. 3 Dies würde dann allerdings auch § 13 TMG betreffen. Klärung ist wohl erst durch die im Entwurf befindliche ePrivacy-VO zu erwarten.19https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52017PC0010&from=DE

Inhalt der Sicherungspflicht ist das Ergreifen „technischer und organisatorischer Vorkehrungen“, die den „Stand der Technik“ berücksichtigen.20Dabei ist allein fraglich, ob sich der Begriff der Vorkehrungen von dem der „Maßnahmen“ in § 9 BDSG unterschiedet, vgl. dazu Selk/Gierschmann, ...continue Nach der Gesetzesbegründung zum BSI ist darunter etwa der „Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt“ zu verstehen.21BT-Drs. 18/4096, S. 26. Anders als etwa in § 8a Abs. 1 Satz 2 BSIG muss der Stand der Technik jedoch nur „berücksichtigt“ und nicht „eingehalten“ werden.22Vgl. Djeffal, MMR 2015, 716, 718. Damit ist der Stand der Technik also nicht zwingender Standard für jede getroffene Sicherheitsvorkehrung, allerdings ist er bei der Maßnahmenauswahl mit einzubeziehen und später im Rahmen der Angemessenheitsprüfung zum „technisch möglichen“ zu berücksichtigen.23Gerlach, CR 2015, 581, 588; Djeffal, MMR 2015, 716, 718. Dabei ist auch zu beachten, dass die drei Tatbestandsalternativen – also der Schutz der technischen Einrichtungen vor unerlaubten Zugriffen, die Sicherung personenbezogener Daten und die Sicherung gegen Störungen – jeweils im Einzelfall unterschiedliche Schutzpflichten erzeugen können.24Zu den einzelnen Tatbestandsalternativen ausführlich Gerlach, CR 2015, 581, 582ff. Als Regelbeispiel für Vorkehrungen nach S. 1 nennt S. 3 die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens. Daneben sieht die Gesetzesbegründung – bei personalisierten Telemedien – auch das Angebot eines sicheren, dem jeweiligen Schutzbedarf angemessenen und den aktuellen technischen Richtlinien des BSI entsprechenden Authentifizierungsverfahren als taugliche Maßnahme an.25Vgl. BT-Drs. 18/4096, S. 34. Darüber hinaus kommen jedoch – je nach Tatbestandsalternative – viele weitere mögliche Schutzvorkehrungen in Betracht, wie etwa das regelmäßige Einspielen von Sicherheitspatches26BT-Drs. 18/4096, S. 34. und regelmäßige Softwareupdates aller auf der Webseite verwendeten Programme,27Vgl. Djeffal, MMR 2015, 716, 720. eine sichere Zugangskontrolle für Administratoren28Djeffal, MMR 2015, 716, 720; Gerlach, CR 2015, 581, 583. oder der Einsatz von Sicherheitssoftware.29Vgl. vertiefend zu den in Betracht kommenden Maßnahmen auch Djeffal, MMR 2015, 716, 720; Gerlach, CR 2015, 581, 583.

Deutlich wird jedoch, dass ein solches „Feuerwerk der Rechtsbegriffe“30Terhaag, IT-Sicherheitsgesetz, 2015, S. 86. den Rechtsanwender vor Schwierigkeiten stellt, die genauen Anforderungen der Vorschriften in die Praxis zu übertragen. Insbesondere ist § 13 Abs. 7 Nr. 1 TMG auf Rechtsfolgenseite praktisch von durchaus großer Bedeutung. Dies kann mitunter zum geschäftlichen Risiko für die Diensteanbieter werden, bedenkt man, dass das Einschätzungsrisiko für die Frage, welche Maßnahmen wann gesetzlich erforderlich sind, bisweilen zum großen Teil auf Seiten der Anbieter liegt und durch den Wortlaut der Vorschrift teilweise auf diese übertragen wird.31Vgl. Schneider, IT-Sicherheitsgesetz: Verschlüsselungspflicht für alle?, Telemedicus v. 11.08.2015, abrufbar unter: ...continue

Grundsätzlich wird § 13 Abs. 7 Nr. 1 TMG als „allgemeines Schutzgesetz“ i.S.v. § 823 Abs. 2 BGB gesehen,32Vgl. Djeffal, MMR 2015, 716, 729; Gerlach, CR 2015, 581, 589. womit der Diensteanbieter Adressat etwaiger Schadensersatzansprüche der Betroffenen sein kann. Daneben kommt eine Einordnung der Vorschrift als sog. „Markverhaltensregelung“ i.S.v. § 4 Nr. 11 UWG in Betracht, wodurch sich Anbieter auch den Abmahnungen konkurrierender Diensteanbieter ausgesetzt sähen.33Dafür etwa Terhaag, IT-Sicherheitsgesetz, 2015, S. 88; Gerlach, CR 2015, 581, 588; vgl. auch die Diskussion zu § 13 Abs. 1 TMG in Heckmann, ...continue Zudem sieht der § 16 Abs. 2 Nr. 3 TMG für die Nichteinhaltung von § 13 Abs. 7 Nr. 1 und Nr. 2 a) TMG  eine Bußgeldandrohung vor. Die Bußgeldhöhe liegt auch hier wieder (vgl. § 14 BSIG) bei max. 50.000 €. Das praktische Risiko eines Bußgeldverfahrens dürfte indes von Bundesland zu Bundesland variieren,34Hilgert, Das IT-Sicherheitsgesetz: Neue Anforderungen für alle geschäftsmäßigen Onlinedienste, ...continue da das TMG die Zuständigkeit für das Bundesgeldverfahren nicht regelt, und daher § 36 Abs. 1 Nr. 2 a) OWiG bzw. § 36 Abs. 2 i. V. m. mit der jeweiligen Landesverordnung greift. Beispielsweise ist in Bayern gemäß § 96 ZustV das Landesamt für Datenschutzaufsicht zuständig. Interessant ist, dass die Nichteinhaltung von § 13 Abs. 7 Nr. 2 b) TMG keine Ordnungswidrigkeit darstellt. Ergreift der Diensteanbieter also keine Maßnahmen gegen Störungen wie DDoS-Angriffe,  löst dies nach dem TMG keine Rechtsfolgen aus.35Hilgert, Das IT-Sicherheitsgesetz: Neue Anforderungen für alle geschäftsmäßigen Onlinedienste, ...continue Nichtsdestotrotz dürfte auch hier Regeltreue geboten sein, dies gilt umso mehr, da wie oben angegeben eine abschließende wettbewerbsrechtliche Bewertung von § 13 Abs. 7 TMG durch die Gerichte noch nicht stattgefunden hat.

Insgesamt besteht weiterhin ein hoher wissenschaftlicher Klärungsbedarf, vor allem, was die Anforderungen des § 13 Abs. 7 TMG und dessen Verhältnis zu den Regelungen der Datenschutzgrundverordnung betrifft.

Referenzen   [ + ]

1. Müller-Broich, Telemediengesetz, 2012, § 13 Rn. 6.
2. BT-Drs. 18/4096, S. 34.
3. BT-Drs. 18/4096, S. 34.
4. BT-Drs. 18/4096, S. 34.
5. Djeffal, MMR 2015, 716 m.w.N. Siehe dazu auch den Lagebericht des BSI, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile, S. 17., zuletzt abgerufen am 03.06.2016.
6. BT-Drs. 18/4096, S. 34.
7. BT-Drs. 18/4096, S. 34.
8. Vgl. Terhaag, IT-Sicherheitsgesetz, 2015, S. 87. Erste detaillierte Auseinandersetzungen mit § 13 Abs. 7 TMG finden sich bei Djeffal, MMR 2015, 716 ff.; Gerlach, CR 2015, 581 ff.; sowie Selk/Gierschmann, CR 2015, 273 ff.
9. Dazu Seidl, Mehr Cybersicherheit durch ein IT-Sicherheitsgesetz? (Teil 3) – Stellungnahme zum Entwurf eines IT-Sicherheitsgesetzes unter Berücksichtigung des Vorschlags der Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS-RL), jurisPR-ITR 10/2014 Anm. 2.
10. Hornung, NJW 2015, 3334.
11. So etwa Gerlach, CR 2015, 580f.; ähnlich auch Djeffal, MMR 2015, 716, 717 sowie Terhaag, IT-Sicherheitsgesetz, 2015, S. 86; zweifelnd mit Blick auf die Gesetzesbegründung Selk/Gierschmann, CR 2015, 273, 275.
12. BT-Drs. 18/4096, S. 34; Gerlach, CR 2015, 581f.
13. Dafür Gerlach, CR 2015, 581f.; dagegen etwa Gitter/Meißner/Spauschus, ZD 2015, 512, 516 die eine „kommerzielle Tätigkeit“ verlangen. Zweifelnd hinsichtlich der Anwendbarkeit auf etwa gemeinnützige Vereine Selk/Gierschmann, CR 2015, 273, 275.
14. Gerlach, CR 2015, 581f.
15. Gerlach, CR 2015, 581f; insgesamt kritisch Selk/Gierschmann, CR 2015, 273, 275.
16. Djeffal, MMR 2015, 716, 717; Gerlach, CR 2015, 581 mwN.
17. Spindler/Schmitz, TMG Kommentar, 2. Auflage, § 13, Rn. 4.
18. Spindler/Schmitz, TMG Kommentar, 2. Auflage, vor §§ 11 ff TMG, Rn. 3
19. https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52017PC0010&from=DE
20. Dabei ist allein fraglich, ob sich der Begriff der Vorkehrungen von dem der „Maßnahmen“ in § 9 BDSG unterschiedet, vgl. dazu Selk/Gierschmann, CR 2015, 273, 275.
21. BT-Drs. 18/4096, S. 26.
22. Vgl. Djeffal, MMR 2015, 716, 718.
23. Gerlach, CR 2015, 581, 588; Djeffal, MMR 2015, 716, 718.
24. Zu den einzelnen Tatbestandsalternativen ausführlich Gerlach, CR 2015, 581, 582ff.
25. Vgl. BT-Drs. 18/4096, S. 34.
26. BT-Drs. 18/4096, S. 34.
27. Vgl. Djeffal, MMR 2015, 716, 720.
28. Djeffal, MMR 2015, 716, 720; Gerlach, CR 2015, 581, 583.
29. Vgl. vertiefend zu den in Betracht kommenden Maßnahmen auch Djeffal, MMR 2015, 716, 720; Gerlach, CR 2015, 581, 583.
30. Terhaag, IT-Sicherheitsgesetz, 2015, S. 86.
31. Vgl. Schneider, IT-Sicherheitsgesetz: Verschlüsselungspflicht für alle?, Telemedicus v. 11.08.2015, abrufbar unter: http://www.telemedicus.info/article/2979-IT-Sicherheitsgesetz-Verschluesselungspflicht-fuer-alle.html, zuletzt abgerufen am 03.06.2016.
32. Vgl. Djeffal, MMR 2015, 716, 729; Gerlach, CR 2015, 581, 589.
33. Dafür etwa Terhaag, IT-Sicherheitsgesetz, 2015, S. 88; Gerlach, CR 2015, 581, 588; vgl. auch die Diskussion zu § 13 Abs. 1 TMG in Heckmann, juris-PK Internetrecht, 4. Auflage 2014, Kap. 9, Rn. 220.
34. Hilgert, Das IT-Sicherheitsgesetz: Neue Anforderungen für alle geschäftsmäßigen Onlinedienste, http://www.cr-online.de/blog/2015/08/17/das-it-sicherheitsgesetz-neue-anforderungen-fuer-alle-geschaeftsmaessigen-onlinedienste/, zuletzt abgerufen am 03.05.2016.
35. Hilgert, Das IT-Sicherheitsgesetz: Neue Anforderungen für alle geschäftsmäßigen Onlinedienste, http://www.cr-online.de/blog/2015/08/17/das-it-sicherheitsgesetz-neue-anforderungen-fuer-alle-geschaeftsmaessigen-onlinedienste/, zuletzt abgerufen am 03.05.2016.