Telekommunikationsgesetz [bis 30.11.2021] / § 109 Technische und organisatorische Schutzmaßnahmen

(1) ¹Jeder Diensteanbieter hat erforderliche technische Vorkehrungen und sonstige Maßnahmen zu treffen

1.	zum Schutz des Fernmeldegeheimnisses und

2.	gegen die Verletzung des Schutzes personenbezogener Daten.

²Dabei ist der Stand der Technik zu berücksichtigen.

(2) ¹Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat bei den hierfür betriebenen Telekommunikations- und Datenverarbeitungssystemen angemessene technische Vorkehrungen und sonstige Maßnahmen zu treffen

1.	zum Schutz gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein können, und

2.	zur Beherrschung der Risiken für die Sicherheit von Telekommunikationsnetzen und -diensten.

²Insbesondere sind Maßnahmen zu treffen, um Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu sichern und Auswirkungen von Sicherheitsverletzungen für Nutzer, für Dienste^[2] oder für zusammengeschaltete Netze so gering wie möglich zu halten.³Bei Maßnahmen nach Satz 2 ist der Stand der Technik zu berücksichtigen. ⁴Kritische Komponenten im Sinne von § 2 Absatz 13 des BSI-Gesetzes dürfen von einem Betreiber öffentlicher Telekommunikationsnetze mit erhöhtem Gefährdungspotential nur eingesetzt werden, wenn sie vor dem erstmaligen Einsatz von einer anerkannten Zertifizierungsstelle überprüft und zertifiziert wurden. ^[3]5Wer ein öffentliches Telekommunikationsnetz betreibt, hat Maßnahmen zu treffen, um den ordnungsgemäßen Betrieb seiner Netze zu gewährleisten und dadurch die fortlaufende Verfügbarkeit der über diese Netze erbrachten Dienste sicherzustellen. ⁶Technische Vorkehrungen und sonstige Schutzmaßnahmen sind angemessen, wenn der dafür erforderliche technische und wirtschaftliche Aufwand nicht außer Verhältnis zur Bedeutung der zu schützenden Telekommunikationsnetze oder -dienste steht. ⁷§ 62^[4] [Bis 27.05.2021: § 11] Absatz 1 des Bundesdatenschutzgesetzes gilt entsprechend.

(3) Bei gemeinsamer Nutzung eines Standortes oder technischer Einrichtungen hat jeder Beteiligte die Verpflichtungen nach den Absätzen 1 und 2 zu erfüllen, soweit bestimmte Verpflichtungen nicht einem bestimmten Beteiligten zugeordnet werden können.

(4) ¹Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat einen Sicherheitsbeauftragten zu benennen und ein Sicherheitskonzept zu erstellen, aus dem hervorgeht,

1.	welches öffentliche Telekommunikationsnetz betrieben und welche öffentlich zugänglichen Telekommunikationsdienste erbracht werden,

2.	von welchen Gefährdungen auszugehen ist und

3.

[5]welche technischen Vorkehrungen oder sonstigen Schutzmaßnahmen zur Erfüllung der durch die Vorgaben des Katalogs von Sicherheitsanforderungen nach Absatz 6 konkretisierten Verpflichtungen aus den Absätzen 1 und 2 getroffen oder geplant sind; sofern der Katalog lediglich Sicherheitsziele vorgibt, ist darzulegen, dass mit den ergriffenen Maßnahmen das jeweilige Sicherheitsziel vollumfänglich erreicht wird.

Bis 27.05.2021:

3.	welche technischen Vorkehrungen oder sonstigen Schutzmaßnahmen zur Erfüllung der Verpflichtungen aus den Absätzen 1 und 2 getroffen oder geplant sind.

²Wer ein öffentliches Telekommunikationsnetz betreibt, hat der Bundesnetzagentur das Sicherheitskonzept unverzüglich nach der Aufnahme des Netzbetriebs vorzulegen. ³Wer öffentlich zugängliche Telekommunikationsdienste erbringt, kann nach der Bereitstellung des Telekommunikationsdienstes von der Bundesnetzagentur verpflichtet werden, das Sicherheitskonzept vorzulegen. ⁴Mit dem Sicherheitskonzept ist eine Erklärung vorzulegen, dass die darin aufgezeigten technischen Vorkehrungen und sonstigen Schutzmaßnahmen umgesetzt sind oder unverzüglich umgesetzt werden. ⁵Stellt die Bundesnetzagentur im Sicherheitskonzept oder bei dessen Umsetzung Sicherheitsmängel fest, so kann sie deren unverzügliche Beseitigung verlangen. ⁶Sofern sich die dem Sicherheitskonzept zugrunde liegenden Gegebenheiten ändern, hat der nach Satz 2 oder 3 Verpflichtete das Konzept anzupassen und der Bundesnetzagentur unter Hinweis auf die Änderungen erneut vorzulegen. ⁷Die Bundesnetzagentur überprüft regelmäßig die Umsetzung des Sicherheitskonzepts. ⁸Die Überprüfung soll mindestens alle zwei Jahre erfolgen.

(5) ¹Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationsrechnik^[6]unverzüglich Beeinträchtigungen von Telekommunikationsnetzen und -diensten mitzuteilen, die

1.	zu beträchtlichen Sicherheitsverletzungen führen oder

2.	zu beträchtlichen Sicherheitsverletzungen führen können.

²Dies schließt Störungen ein, die zu einer Einschränkung der Verfügbarkeit der über diese Netze erbrachten Dienste oder einem unerlaubten Zugriff auf Telekommunikations- und ...