§ 109 TKG2004
Telekommunikationsgesetz (TKG) vom 22. Juni 2004
[28. Mai 2021–1. Dezember 2021]
1§ 109. 2Technische und organisatorische Schutzmaßnahmen.
3(1) [1] Jeder Diensteanbieter hat erforderliche technische Vorkehrungen und sonstige Maßnahmen zu treffen
- 1. zum Schutz des Fernmeldegeheimnisses und
- 2. gegen die Verletzung des Schutzes personenbezogener Daten.
4(2) [1] Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat bei den hierfür betriebenen Telekommunikations- und Datenverarbeitungssystemen angemessene technische Vorkehrungen und sonstige Maßnahmen zu treffen
- 1. zum Schutz gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein können, und
- 2. zur Beherrschung der Risiken für die Sicherheit von Telekommunikationsnetzen und -diensten.
11(3) Bei gemeinsamer Nutzung eines Standortes oder technischer Einrichtungen hat jeder Beteiligte die Verpflichtungen nach den Absätzen 1 und 2 zu erfüllen, soweit bestimmte Verpflichtungen nicht einem bestimmten Beteiligten zugeordnet werden können.
12(4) [1] Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat einen Sicherheitsbeauftragten zu benennen und ein Sicherheitskonzept zu erstellen, aus dem hervorgeht,
- 1. welches öffentliche Telekommunikationsnetz betrieben und welche öffentlich zugänglichen Telekommunikationsdienste erbracht werden,
- 2. von welchen Gefährdungen auszugehen ist und
- 133. welche technischen Vorkehrungen oder sonstigen Schutzmaßnahmen zur Erfüllung der durch die Vorgaben des Katalogs von Sicherheitsanforderungen nach Absatz 6 konkretisierten Verpflichtungen aus den Absätzen 1 und 2 getroffen oder geplant sind; sofern der Katalog lediglich Sicherheitsziele vorgibt, ist darzulegen, dass mit den ergriffenen Maßnahmen das jeweilige Sicherheitsziel vollumfänglich erreicht wird.
16(5) 17[1] Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik unverzüglich Beeinträchtigungen von Telekommunikationsnetzen und -diensten mitzuteilen, die
- 1. zu beträchtlichen Sicherheitsverletzungen führen oder
- 2. zu beträchtlichen Sicherheitsverletzungen führen können.
22(6) 23[1] Die Bundesnetzagentur legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit durch Verfügung in einem Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten fest:
- 1. Einzelheiten der nach den Absätzen 1 und 2 zu treffenden technischen Vorkehrungen und sonstigen Maßnahmen unter Beachtung der verschiedenen Gefährdungspotenziale der öffentlichen Telekommunikationsnetze und öffentlich zugänglichen Telekommunikationsdienste,
- 2. welche Funktionen kritische Funktionen im Sinne von § 2 Absatz 13 Satz 1 Nummer 3 Buchstabe b des BSI-Gesetzes sind, die von kritischen Komponenten im Sinne von § 2 Absatz 13 des BSI-Gesetzes realisiert werden, und
- 3. wer als Betreiber öffentlicher Telekommunikationsnetze mit erhöhtem Gefährdungspotenzial einzustufen ist.
26(7) [1] Die Bundesnetzagentur kann anordnen, dass sich die Betreiber öffentlicher Telekommunikationsnetze oder die Anbieter öffentlich zugänglicher Telekommunikationsdienste einer Überprüfung durch eine qualifizierte unabhängige Stelle oder eine zuständige nationale Behörde unterziehen, in der festgestellt wird, ob die Anforderungen nach den Absätzen 1 bis 3 erfüllt sind. 27[2] Unbeschadet von Satz 1 haben sich Betreiber öffentlicher Telekommunikationsnetze mit erhöhtem Gefährdungspotenzial alle zwei Jahre einer Überprüfung durch eine qualifizierte unabhängige Stelle oder eine zuständige nationale Behörde zu unterziehen, in der festgestellt wird, ob die Anforderungen nach den Absätzen 1 bis 3 erfüllt sind. 28[3] Die Bundesnetzagentur legt den Zeitpunkt der erstmaligen Überprüfung nach Satz 2 fest. 29[4] Der nach den Sätzen 1 und 2 Verpflichtete hat eine Kopie des Überprüfungsberichts unverzüglich an die Bundesnetzagentur und an das Bundesamt für Sicherheit in der Informationstechnik, sofern dieses die Überprüfung nicht vorgenommen hat, zu übermitteln. 30[5] Er trägt die Kosten dieser Überprüfung. 31[6] Die Bewertung der Überprüfung sowie eine diesbezügliche Feststellung von Sicherheitsmängeln im Sicherheitskonzept erfolgt durch die Bundesnetzagentur im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik.
- Anmerkungen:
- 1. 26. Juni 2004: § 152 Abs. 1 S. 1 des Gesetzes vom 22. Juni 2004.
- 2. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. a, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 3. 10. Mai 2012: Artt. 1 Nr. 92 Buchst. a, 5 Abs. 2 S. 1 des Gesetzes vom 3. Mai 2012.
- 4. 10. Mai 2012: Artt. 1 Nr. 92 Buchst. b, 5 Abs. 2 S. 1 des Gesetzes vom 3. Mai 2012.
- 5. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. b Doppelbuchst. aa, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 6. 25. Juli 2015: Artt. 5 Nr. 2 Buchst. a, 11 S 1 des Gesetzes vom 17. Juli 2015.
- 7. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. b Doppelbuchst. bb, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 8. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. b Doppelbuchst. bb, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 9. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. b Doppelbuchst. bb, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 10. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. b Doppelbuchst. bb, Doppelbuchst. cc, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 11. 10. Mai 2012: Artt. 1 Nr. 92 Buchst. c, 5 Abs. 2 S. 1 des Gesetzes vom 3. Mai 2012.
- 12. 10. Mai 2012: Artt. 1 Nr. 92 Buchst. d, 5 Abs. 2 S. 1 des Gesetzes vom 3. Mai 2012.
- 13. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. c, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 14. 25. Juli 2015: Artt. 5 Nr. 3 Buchst. b, 11 S 1 des Gesetzes vom 17. Juli 2015.
- 15. 25. Juli 2015: Artt. 5 Nr. 3 Buchst. b, 11 S 1 des Gesetzes vom 17. Juli 2015.
- 16. 25. Juli 2015: Artt. 5 Nr. 3 Buchst. c, 11 S 1 des Gesetzes vom 17. Juli 2015.
- 17. 30. Juni 2017: Artt. 5 Nr. 2 Buchst. a, 6 des Zweiten Gesetzes vom 23. Juni 2017.
- 18. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. d Doppelbuchst. aa, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 19. 30. Juni 2017: Artt. 5 Nr. 2 Buchst. b, 6 des Zweiten Gesetzes vom 23. Juni 2017.
- 20. 30. Juni 2017: Artt. 5 Nr. 2 Buchst. b, Buchst. c, 6 des Zweiten Gesetzes vom 23. Juni 2017.
- 21. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. d Doppelbuchst. bb, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 22. 10. Mai 2012: Artt. 1 Nr. 92 Buchst. e, 5 Abs. 2 S. 1 des Gesetzes vom 3. Mai 2012.
- 23. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. e Doppelbuchst. aa, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 24. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. e Doppelbuchst. bb, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 25. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. e Doppelbuchst. bb, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 26. 10. Mai 2012: Artt. 1 Nr. 92 Buchst. e, 5 Abs. 2 S. 1 des Gesetzes vom 3. Mai 2012.
- 27. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. f Doppelbuchst. aa, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 28. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. f Doppelbuchst. aa, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 29. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. f Doppelbuchst. aa, Doppelbuchst. bb, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 30. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. f Doppelbuchst. aa, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 31. 28. Mai 2021: Artt. 2 Nr. 2 Buchst. f Doppelbuchst. cc, 7 Abs. 1 des Gesetzes vom 18. Mai 2021.
- 32. 25. Juli 2015: Artt. 5 Nr. 3 Buchst. e, 11 S 1 des Gesetzes vom 17. Juli 2015.