Am 25.07.2015 ist das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ in Kraft getreten. Das IT-Sicherheitsgesetz hat u.a. Änderungen im Telemediengesetz (TMG) herbeigeführt.
In § 13 des TMG sind „Pflichten des Diensteanbieters“ geregelt. Online-Händler sind solche Diensteanbieter. Durch das IT-Sicherheitsgesetz wurde nun folgender Absatz 7 neu eingefügt:
„Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“
In § 16 TMG „Bußgeldvorschriften“ wurde ebenfalls eine Änderung vorgenommen. Nach § 16 Abs. 2 Nr. 3 TMG handelt nun ordnungswidrig, wer vorsätzlich oder fahrlässig u.a. der Vorschrift des § 13 Abs. 7 Satz 1 Nr. 1 oder Nr. 2 Buchstabe a über eine dort genannte Pflicht zur Sicherstellung zuwiderhandelt. Eine Zuwiderhandlung gegen § 13 Abs. 7 Satz 1 Nr. 2 Buchstabe b („gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind“) ist hingegen hiernach nicht bußgeldbewehrt.
Online-Händler haben die Vorgaben des neuen § 13 Abs. 7 TMG ab sofort einzuhalten, „soweit dies technisch möglich und wirtschaftlich zumutbar ist“. Aber was bedeutet das konkret? Online-Händler haben Folgendes – durch technische und organisatorische Vorkehrungen – sicherzustellen:
1. Schutz vor unerlaubtem Zugriff, d.h., es soll kein unerlaubter Zugriff auf die für ihre Shop-Systeme genutzten technischen Einrichtungen stattfinden;
2. Schutz von personenbezogenen Daten, d.h., es sollen in ihren Shop-Systemen Verletzungen des Schutzes personenbezogener Daten ausgeschlossen werden;
3. Schutz vor Störungen von außen, d.h., ihre Shop-Systeme sollen gegen Störungen von außen gesichert sein.
Wie diese Maßnahmen technisch umzusetzen sind, schreibt das IT-Sicherheitsgesetz nicht vor. Die Gesetzesbegründung stellt sehr allgemein dar, was unter den einzelnen Maßnahmen zu verstehen ist, z.B. kann der Schutz von personenbezogenen Daten beispielsweise durch Verschlüsselungsmechanismen (§ 13 Abs. 7 S. 3 TMG) herbeigeführt werden. Welche technische und organisatorische Vorkehrungen im Einzelfall vorzunehmen sind unter welchen Umständen „dies technisch möglich und wirtschaftlich zumutbar“ steht, wurde nicht definiert. Insofern wird man auf die Einzelfallumstände abstellen müssen. Wann welche genauen Maßnahmen ausreichend sind, um die Anforderungen des § 13 Abs. 7 TMG n.F. zu erfüllen, wird davon von den Gerichten zu entscheiden sein.
Ob ein Verstoß gegen § 13 Abs. 7 TMG n.F. mittels wettbewerbsrechtlicher Abmahnung geahndet werden kann, ist ebenfalls ungeklärt. Entscheidend ist, ob § 13 Abs. 7 TMG n.F. eine Marktverhaltensregelung i.S.d. §§ 3, 4 Nr. 11 UWG darstellt oder nicht.
Betreffend der Regelung des § 13 Abs. 1 TMG ist dies noch nicht höchstrichterlich geklärt. Nach § 13 Abs. 1 TMG ist der Online-Händler verpflichtet, seine (potentiellen) Kunden zu „Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist“. Nach einer Ansicht in der Rechtsprechung kann ein Verstoß hiergegen per wettbewerbsrechtlicher Abmahnung geahndet werden (z.B. OLG Hamburg, Urteil vom 27.03.2013, Az. 3 U 26/12; ebenso betreffend § 15 Abs. 3 TMG: LG Frankfurt/Main, Urteil vom 18.02.2014, Az. 3-10 O 86/12 – Hinweis auf sog. Tracking Tool). Andere Gerichte, z.B. KG, Beschluss vom 29.04.2011, Az. 5 W 88/11; LG Berlin, Beschluss vom 14.03.2011, Az. 91 O 25/11, sehen dies anders, so dass hiernach eine wettbewerbsrechtliche Abmahnung nicht möglich ist.
Es bleibt damit abzuwarten, wie die Wettbewerbsgerichte die Regelung des § 13 Abs. 7 TMG insoweit bewerten werden. Um kein Risiko einzugehen, sollten sich Online-Händler mit den Vorgaben des § 13 Abs. 7 TMG n.F. kurzfristig vertraut machen und diese umsetzen.