Liebe Abonnentinnen und Abonnenten,

Aktuelle Beiträge im Blog

Aktuelle Nachrichten

Praxisthemen

Geplante Anordnungsbefugnisse des BSI gegenüber Telemediendiensteanbietern

Ende 2020 hat das Bundeskabinett den Entwurf (PDF) für ein IT-Sicherheitsgesetz 2.0 verabschiedet. Nach § 7d BSIG-E soll das Bundesamt in begründeten Einzelfällen zur Abwehr konkreter, erheblicher Gefahren für informationstechnische Systeme einer Vielzahl von Nutzern, die von einem Telemedienangebot eines Diensteanbieter iSd TMG ausgehen, die Befugnis haben, die Herstellung eines ordnungsgemäßen Zustandes des Angebotes zu verlangen. Dies auch rechtlich bindend. Maßstab für den ordnungsgemäßen Zustand des Angebotes sind die Vorgaben des bereits seit Jahren anwendbaren § 13 Abs. 7 TMG (meiner Ansicht nach eine weithin unbekannte Norm für Unternehmen).

Wichtig bei dem neuen § 7d BSIG-E ist, dass die Anordnungsbefugnis nicht etwa nur besonders große oder wichtige Telemediendienste, wie Webseiten oder Apps, trifft. Die Befugnis des BSI bezieht sich ganz allgemein auf Anbieter von Telemedien. Zweck der neuen Regelung ist, im Interesse der Gewährleistung einer bundesweit einheitlichen IT-Sicherheit, dem BSI die Möglichkeit zu geben, die Ergreifung erforderlicher Maßnahmen im Gefahrenabwehrfalle bundesweit einheitlich vorgeben zu können (S. 89 des Entwurfs). Der Gesetzgeber sieht aktuell ein Problem in Situationen, in denen der Anbieter eines Telemediendienstes selbst gar keine technischen Probleme feststellt, jedoch über sein Angebot z. B. Schadcode an Nutzer ausgeliefert wird (ohne, dass ihm dies bekannt ist). Die Gesetzesbegründung nennt als Beispiele aus der Vergangenheit etwa den Schadcode in der E-Commerce-Software „Magento“ oder eine Sicherheitslücke in dem CMS-System WordPress. Die neue Befugnis zielt ausdrücklich auch auf Situationen, in denen ein Anbieter von Web-Diensten zum Verbreiter von Schadsoftware wird, „wenn er in seinen Dienst Angebote Dritter (z. B. Analytics) eingebunden hat, von denen die Schadsoftware auswirkt“. Voraussetzung ist aber, dass eine konkrete, erhebliche Gefahr für Datenverarbeitungssysteme nicht nur weniger, sondern einer Vielzahl von Nutzern besteht (S. 91 des Entwurfs).

Der Gesetzgeber schafft daher neu eine Anordnungsbefugnis des BSI, „um Diensteanbieter zur Umsetzung konkreter Maßnahmen zu verpflichten, wenn ihre Telemedienangebote durch ungenügende technische und organisatorische Vorkehrungen im Sinne des § 13 Absatz 7 TMG unzureichend gesichert sind und dadurch keinen hinreichenden Schutz vor unerlaubten Zugriffen auf die für diese Telemedienangebote genutzten technischen Einrichtungen und vor Störungen, auch soweit sie durch äußere Angriffe bedingt sind, bieten“ (S. 90 des Entwurfs).

Für die Praxis wichtig: welche technischen und organisatorischen Maßnahmen jeweils erforderlich sind, um wieder einen ordentlich Zustand herzustellen (also zB ein Patch), soll nach der Begründung das BSI dem jeweiligen Anbieter selbst überlassen sein. Wenn die Regelung am Ende im finalen Gesetz so auch verabschiedet wird, bedeutet dies für Unternehmen die Webseiten und Apps betreiben, dass diese in Zukunft mit solchen verbindlichen Anordnungen des BSI rechnen müssen.

Und zuletzt natürlich noch die Frage, was passiert, wenn man einer solchen Anordnung nicht nachkommt? Nach dem neuen § 14 Abs. 2 Nr. 1 lit. a, Abs. 5 BSIG-E stellt ein Verstoß gegen eine entsprechende Anordnung eine Ordnungswidrigkeit dar und kann mit bis zu 2 Mio EUR Bußgeld geahndet werden.

Aktuelle Rechtsprechung

Übermittlung eines negativen Corona-Testergebnisses in ein Drittland

Das Verwaltungsgericht Gelsenkirchen hatte u.a. die Frage zu klären, ob die Übermittlung des negativen Ergebnisses eines Corona-Tests im Rahmen einer geplanten Abschiebung in den Libanon (Beschl. v. 04.11.2020, 11 L 1494/20) zulässig ist.

In dem Verfahren wurde im Wege des einstweiligen Rechtsschutzes angegriffen, dass Daten über das Testergebnis an libanesische Behörden übermittelt werden sollen. Nach Ansicht des Gerichts wäre eine solche Übermittlung von Gesundheitsdaten im konkreten Fall aber zulässig. „Die Übermittlung der Daten ist vorliegend nach Art. 49 Abs. 1 UAbs. 1 lit. d), Abs. 4 DSGVO zulässig“. Das Gericht verweist für seine Ansicht auf die Ausnahmebestimmung des Art. 49 Abs. 1 DSGVO, dass die Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist, die im Recht des Mitgliedsstaats anerkannt sind.

Vorliegend sei die Übermittlung des negativen Testergebnisses Voraussetzung der Abschiebung des Antragstellers. Diese stelle einen wichtigen Grund des öffentlichen Interesses dar, der auch im deutschen Recht anerkannt ist. Zudem bestehe ein erhebliches öffentliches Interesse an der Beendigung des Aufenthalts solcher Personen, die die Voraussetzungen für ein Aufenthaltsrecht im Bundesgebiet nicht erfüllen und von denen überdies die Gefahr der Begehung weiterer schwerwiegender Straftaten ausgehe.

Wenig überraschend, dennoch aber deutlich, stellt das VG auch allgemein fest: „Bei den Testergebnissen des Antragstellers handelt es sich um Gesundheitsdaten“. Das bedeutet, dass auch ein negatives Ergebnis (= keine Corona-Infektion) ein Gesundheitsdatum nach der DSGVO darstellt.

Cookies ohne Einwilligung - Verstoß gegen § 15 Abs. 3 TMG wettbewerbswidrig?

Im Rahmen eines vorläufigen Rechtsschutzverfahrens hat das Landgericht Köln entschieden, dass ein Verstoß gegen § 15 Abs. 3 TMG wegen des Einsatzes von Cookies einen Wettbewerbsverstoß darstellt und einen Unterlassungsanspruch nach §§ 8 Abs. 1, 3, 3a UWG besteht (Beschl. v. 29.10.2020, 31 O 194/20).

Der Antragsgegner wurde durch Beschluss dazu verpflichtet, „im geschäftlichen Verkehr ohne aktive Einwilligung der betroffenen Webseitennutzer Cookies zu setzen, wenn dies geschieht wie im Internet“ auf einer Webseite des Antragsgegners geschehen.

Das LG geht u.a. davon aus, dass die DSGVO gemäß Art. 95 DSGVO gegenüber der RL 2002/58/EG keinen Vorrang beansprucht und daher eine fortdauernde Anwendung auch der §§ 12, 15 TMG ermöglicht. Bei diesen Vorschriften handele es sich um Marktverhaltensregelungen.

Kleiner Hinweis von meiner Seite: evtl. haben Sie mitbekommen, dass kürzlich der neue Referentenentwurf des BMWi für ein TTDSG in die Verbandsanhörung gegangen ist. Dort steht in der Begründung zum Referentenentwurf etwas anderes (S. 26): „Neben anderen Datenschutzbestimmungen des TMG wird auch § 15 Absatz 3, der die Verarbeitung von Nutzungsdaten für die Erstellung von pseudonymen Nutzerprofilen für diese Zwecke erlaubt, solange der Nutzer nicht widerspricht, wird durch die Bestimmungen der DSGVO verdrängt und ist aufzuheben“. Zu dem Entwurf für ein TTDSG werde ich wahrscheinlich in einem gesonderten Newsletter noch einmal berichten.

In dem Verfahren verstieß der Antragsgegner dadurch nach Ansicht des LG gegen § 15 Abs. 3 TMG, dass keine aktive Einwilligung der Nutzer eingeholt wurde. Zwar verweist das LG auf die Ausnahmen vom Einwilligungserfordernis aus Art. 5 Abs. 3 RL 2002/58/EG (in der Fassung durch RL 2009/136/EG). Hier erfolgte aber wohl allein ein Hinweis auf den Einsatz von Cookies, für deren Einsatz keine Ausnahme eingriff. „Der Verweis auf die Nutzung von Cookies erfolgt dort nicht im Zusammenhang mit der Übertragung einer Nachricht; ebenso wenig steht er im Zusammenhang mit einem durch den Nutzer ausdrücklich angefragten Dienst“.

Veröffentlichungen