Bauträger und Generalunternehmer betreiben regelmäßig Webseiten, um für Ihre Immobilienangebote zu werben und Kontakte zu Interessenten herzustellen. Betreiber von Webseiten sind gemäß § 13 Abs. 7 Telemediengesetz (TMG) verpflichtet, dem Stand der Technik angemessene IT-Sicherheitsgrundlagen umzusetzen. Wer diese Verpflichtung verletzt, riskiert ein Bußgeld von bis zu 50.000 Euro. Auch Bauträger und Generalunternehmer müssen deshalb sicherstellen, dass ein unerlaubter Zugriff Dritter auf die für ihre Webseite genutzten technischen Einrichtungen ausgeschlossen ist.
Vor allem kleinere Bauträger und Generalunternehmer verwenden für ihre Webpräsenz häufig sog. Web Content Management Systeme (CMS). Bei diesen Systemen handelt es sich um preisgünstige oder kostenlose Webseitenbaukästen, die mit ihren vorgefertigten Bausteinen die einfache Einrichtung, Pflege, Darstellung und Nutzung unterschiedlichsten Zwecken dienender Webseiten ermöglichen. Derartige Bausteinsysteme sind aus sicherheitstechnischer Sicht besonders kritisch. Denn weil die Bausteine in immer gleicher Weise eingesetzt werden, gefährdet eine bekannt gewordene Sicherheitslücke stets viele Webseiten gleichzeitig. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diese Gefahr bereits im Jahre 2013 am Beispiel einiger weit verbreiteter Open-Source-CMS, nämlich den Systemen Drupal, Joomla!, Plone, TYPO3 und WordPress, untersucht; es hat deren Sicherheitslücken aufgedeckt und die erforderlichen Sicherheitsmaßnahmen aufgelistet.
Bei einer vom Bauträger oder Generalunternehmer angebotenen Immobilie werden die gesetzlichen Sicherheitsvorgaben des Telemediengesetzes von den prinzipiell unsicheren CMS-Systemen jedenfalls dann nicht erfüllt, wenn ein Zugriff Dritter auf Geschäftsprozesse zwischen Unternehmer und Kunden nicht wirksam ausgeschlossen ist. Ein wirksamer Ausschluss setzt insbesondere voraus, dass Webserver, CMS, Datenbank und Hintergrundsysteme des Unternehmers konzeptionell gegeneinander abgesichert sind. Ist dies nicht der Fall, drohen den Erwerbern beim Zugriff Dritter auf geschäfts- und kundenbezogene Daten, z.B. bei allen Formen des Identitätsdiebstahl, erhebliche Gefahren. Die erforderliche Absicherung ist, das hat die Studie des BSI gezeigt, mit einem fortwährenden, nicht unerheblichen technischen und personellen Aufwand verbunden. Kleinere Bauträger und Generalunternehmer, die über keine eigene IT-Abteilung verfügen, werden diesen Aufwand regelmäßig scheuen. Denn die erforderliche, regelmäßige Betreuung durch externe IT-Berater ist sehr kostenaufwendig. Deshalb ist jeder am Bau mit Bauträger oder Generalunternehmer Interessierte gut beraten, wenn er vor Abschluss des Bauträger- oder Generalunternehmervertrages die IT-Sicherheitsvorkehrungen des Unternehmers erfragt. Denn mit Abschluss und Durchführung des jeweiligen Vertrages legt der Erwerber dem Unternehmer notwendig eine Vielzahl sensibler, personenbezogener Daten offen.