Eugen Ehmann

Schneider, Meldepflichten im IT-Sicherheitsrecht


Florian Schneider, Meldepflichten im IT-Sicherheitsrecht, Baden-Baden (Nomos) 2017, ISBN 978-3-8487-3672-0, € 129,-

ZD-Aktuell 2017, 04255    Gesetzliche Meldepflichten im Zusammenhang mit der IT-Sicherheit im weitesten Sinn sind in den letzten Jahren geradezu in Mode gekommen. Am meisten wahrgenommen wurde dabei in der breiteren juristischen Öffentlichkeit wohl § 42a BDSG, der eine recht kompliziert ausgestaltete Informationspflicht bei unrechtmäßiger Kenntniserlangung von personenbezogenen Daten normiert. Dass er erst seit 2009 existiert, ist dabei vielen gar nicht mehr bewusst. Das Datenschutzrecht bildet jedoch nur eine von mehreren wichtigen Quellen für derartige Meldepflichten. Eine große Rolle spielen Meldepflichten auch im Bereich der kritischen Infrastrukturen (KRITIS). Ihre Bedeutung dürfte schlaglichtartig hinreichend beleuchtet sein, indem man auf den Bestseller „Blackout“ von Marc Elsberg Bezug nimmt. Was dort geschildert ist, macht hinreichend klar, welche Gefahren Meldepflichten in diesem Bereich abwehren sollen.

Eine zusammenfassende Darstellung von Meldepflichten bei IT-Sicherheitsvorfällen außerhalb des militärischen Bereichs (so der Fokus der vorliegenden Dissertation, s. S. 38) hat bisher gefehlt. Sie wird nunmehr in einem äußeren Umfang von fast 600 Seiten geboten. Für Leser aus dem Bereich des Datenschutzes dürfte von besonderem Interesse sein, dass dabei neben § 42a BDSG (s. S. 149 ff.) auch Art. 33 DS-GVO bereits intensiv behandelt ist (s. S. 244 ff.). Breiten Raum nehmen die Meldepflichten für Betreiber elektronischer Kommunikationsdienste ein (s. S. 281 ff.). Doch auch – um ein letztes Beispiel zu nennen – zu den Meldepflichten gemäß der NIS-Richtlinie gibt das Werk umfassend Auskunft (s. S. 361 ff.).

So nützlich die Gesamtdarstellung der gesetzgeberischen Lage gerade für tiefergehende interessierte Praktiker ist, so wichtig sind die darüber hinausgehenden Grundlagenausführungen des Werks. Einige Stichworte mögen insoweit genügen: Die innere Rechtfertigung für Meldepflichten gegenüber staatlichen Stellen liegt in aller Regel darin, dass Sicherheitsverantwortlicher und potenzielle Geschädigte nicht identisch sind (S. 35). Das kann staatliches Handeln im Interesse der potenziellen Geschädigten gebieten. Meldepflichten stehen in einem Spannungsverhältnis zum Nemo-tenetur-Grundsatz (u.a. S. 95, 222 ff., 473). Die Zweckbindung gemeldeter Daten ist eine hoch relevante Fragestellung (u.a. S. 211 ff., 273 ff.). Eine Meldung kann auch haftungsrechtliche Folgen nach sich ziehen (S. 279 ff., 488 ff.). Besonders interessant erscheint in diesem Zusammenhang Art. 14 Abs. 3 Satz 3 NIS-Richtlinie, auf den der Verfasser abschließend nochmals besonders hinweist (S. 583).

Was es auf deutscher und auf EU-Ebene zum Thema zu sagen gibt, stellt der Verfasser umfassend und fundiert dar. Deshalb kann man davon ausgehen, dass insbesondere jeder Kommentar zur DS-GVO seine flüssig lesbare Darstellung künftig berücksichtigen wird. Sicherheitsverantwortliche größerer Unternehmen werden sie ebenso auszuwerten haben wie Verantwortungsträger für den Bereich kritischer Infrastrukturen, die in Behörden tätig sind.

Nicht erfasst sind internationale Bezüge über die EU hinaus, insbesondere zu den USA. Das ist nachvollziehbar, weil der innere wie der äußere Umfang der Arbeit ansonsten ausgeufert wäre. Bis hierzu irgendwann eine Abhandlung ähnlich hoher Qualität wie die vorliegende zur Verfügung steht, bleibt insoweit als – allerdings nur erste – Hilfestellung etwa die ausführliche Broschüre „Cybersecurity Regulation in the United States. Governing Frameworks and Emerging Trends“, herausgegeben Ende 2016 von Mayer Brown LLP in Washington.

 

Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken, Mitglied im Rechtsausschuss der Bayerischen Krankenhausgesellschaft und Mitglied des Wissenschaftsbeirats der ZD.