Die Vorschrift ist geprägt durch eine Vielzahl von unbestimmten Rechtsbegriffen, die der Auslegung bedürfen und – je nach Einzelfall – auch anders verstanden werden können.

Der Begriff des „technisch möglichen“ ist eng mit dem Begriff des „wirtschaftlich zumutbaren“ verbunden – höherer Sicherheitsaufwand ist immer auch mit höheren Kosten verbunden, so dass eine Grenze wohl nur im Einzelfall bestimmt werden kann. Ob ein wirtschaftlich zumutbares Verhalten dann aber überhaupt noch geeignet ist, den Rahmen des technisch möglichen auch nur ansatzweise zu erreichen, wird damit gar nicht erst beantwortet.

Klar ist jedoch, dass es technisch und organisatorische Maßnahmen sind, die vom Diensteanbieter zu treffen sind. Gerade die organisatorischen Maßnahmen bedeuten ein Festlegen von Zuständigkeiten in Bezug auf die Pflege der IT-Systeme und die Einhaltung von Sicherheitsstandards.

Insgesamt bleibt es damit der Rechtsprechung überlassen, konkrete Grenzen zu ziehen und einen bestimmten Schutzstandard noch als ausreichend zu bewerten.

Da die Vorschrift bußgeldbewehrt ist, ist – wenn überhaupt – zu erwarten, dass im Rahmen solcher Verfahren die genauen Grenzen ausgelotet werden. Angesichts des Umstandes, dass aber auch bspw. ein Verstoß gegen die Impressumspflicht bußgeldbewehrt ist und die Flut von Verfahren ausblieb, ist auch in diesem Zusammenhang damit zu rechnen, dass eine ganz unmittelbare Bußgeldgefahr nicht besteht. Zudem ist zu berücksichtigen, dass im Rahmen des TMG keine Behörde mit Ermittlungsbefugnissen ausgestattet wurde, so dass die Bußgeldbehörden auf Anzeigen und Meldungen von Vorfällen angewiesen sind.

Beispiele

Die Gesetzesbegründung enthält einige Beispiele, wie die Pflichten konkret ausgelegt werden können – und zeugen dabei von wenig Auseinandersetzung mit den praktischen Problemen.

Einspielen von Sicherheitspatches

Wer eine Standardsoftware einsetzt, ist angehalten, regelmäßig Sicherheitspatches einzuspielen, weil hierdurch zahlreiche Angriffe vermieden werden können. Dies betrifft zum einen etwa eine Shopsoftware, zum anderen aber auch das verwendete Betriebssystem des jeweiligen Servers.

Komplizierter wird es aber in den Fällen, in denen bspw. eine eigens entwickelte Software eingesetzt wird – hier ist unklar, zu welchen Tests der Betreiber im Rahmen der organisatorischen Maßnahmen verpflichtet ist, und ab wann diese wirtschaftlich unzumutbar werden.

Auch in den Fällen, in denen bspw. eine Shopsoftware nicht mehr von Hersteller supportet wird, ein Umstieg aber erhebliche Kosten verursacht, ist unklar, ob hier dem wirtschaftlichen Aspekt oder dem Schutzinteresse der Nutzer der Vorrang gegeben werden soll.

Vertragliche Bindung Dritter

Als weiteres Einfalltor hat der Gesetzgeber Inhalte Dritter wie etwa Werbebanner ausgemacht, die Schadcode einschleusen können.

Als Maßnahme für den Diensteanbieter sieht der Gesetzgeber allen Ernstes vor, den Werbedienstleister vertraglich zu notwendigen Schutzmaßnahmen zu verpflichten – was angesichts der Marktmacht von Google im AdSense Programm oder anderer großer Anbieter ein aussichtsloses Unterfangen sein dürfte – oder sich aber in Anpassungen der von dort vorgegebenen Standard-AGB oder -verträge erschöpft.

Verschlüsselungsverfahren

Ein besonderes Augenmerk richtet der Gesetzgeber auf Verschlüsselungs- und entsprechend sichere Authentifizierungsverfahren bei personalisierten Diensten – also bei allen Seiten mit einer Möglichkeit zur Einrichtung eines Benutzerkontos.

Hier wird davon ausgegangen, dass die vom BSI veröffentlichten Technischen Richtlinien Auskunft darüber geben, welche Maßnahmen als sicher gelten können. Hierbei verlangt der Gesetzgeber dem Betreiber eines Shopsystems eine umfassende Auseinandersetzung mit der zum Teil sehr komplexen technischen Materie ab, die gerade von Kleinunternehmern kaum zu leisten ist. Diese werden sich wohl in die Hände des jeweiligen Shopsoftwareherstellers begeben und darauf vertrauen müssen, dass dieser alles richtig macht.

Gerade dort sollten aber die SSL-Verschlüsselung beim Verbindungsaufbau und das verschlüsselte Ablegen von Benutzer- und Zahlungsinformationen zum Standard gehören.

Weitere Sanktionsmöglichkeiten

Nachdem in der Vergangenheit einige Gerichte der Auffassung waren, dass Verstöße auch gegen die datenschutzrechtlichen Regelungen des TMG abmahnfähig sind – so etwa LG Frankfurt/Main, Urteil vom 18.02.2014, Az. 3-10 O 86/12 zu § 13 Abs.1 TMG wegen fehlendem Datenschutzhinweis zu Piwik – stellt sich auch hier die Frage, ob Mitbewerber die Möglichkeit haben, ein Fehlverhalten durch eine wettbewerbsrechtlichen Abmahnung zu sanktionieren.

Begründet werden könnte dies damit, dass erklärtes Ziel des Gesetzes der verstärkte Schutz der Bürgerinnen und Bürger und damit wohl auch der Verbraucherschutz ist.

Dies würde zu der – reichlich absurden – Situation führen, dass ein Konkurrent abmahnen könnte, weil der Mitbewerbershop ein sicherheitskritisches Update noch nicht eingespielt hat und damit der Schutz der Verbraucher in Gefahr ist.

Ob diese Vorschrift allerdings die dafür erforderliche Marktverhaltensregel ist oder nicht können tatsächlich nur die Gerichte beantworten. Es wäre jedoch ein Unding, wenn durch die an sich zu befürwortende gesetzliche Regelungen der Abmahnindustrie neues Futter gegeben würde.