Meinhard Schröder ist Inhaber des Lehrstuhls für Öffentliches Recht, Europarecht und Informationstechnologierecht an der Universität Passau und stellvertretender Sprecher des Passau Institute of Digital Security (PIDS).
Hornung/Schallbruch, IT-Sicherheitsrecht, Baden-Baden (Nomos) 2024, 2. Aufl., ISBN 978-3-7560-0496-6, 159 EUR
MMR-Aktuell 2026, 01108 Das von Gerrit Hornung und Martin Schallbruch herausgegebene, bei Nomos erschienene Praxishandbuch „IT-Sicherheitsrecht“ ist bei seinem Erscheinen sehr positiv aufgenommen worden (vgl. etwa Bostelmann NVwZ 2021, 542; Kipker MMR-Aktuell 2021, 435929; Risini NJW 2021, 1446) und hat sich schnell als Standardwerk für Wissenschaft und Praxis etabliert. Nach vier Jahren ist Ende 2024 die 2. Auflage erschienen. Der Umfang des Handbuchs ist um über 50 % gewachsen. Das ist nicht nur darauf zurückzuführen, dass im dritten Teil („Sektorales IT-Sicherheitsrecht“) vier neue Abschnitte hinzugekommen sind, sondern auch die schon in der ersten Auflage vorhandenen Abschnitte wurden – teils deutlich – ausgebaut und aktualisiert. Die Neuauflage trägt damit der schnellen Entwicklung von Technik und Recht sowie dem zunehmenden Interesse am Thema der IT-Sicherheit in vielen Bereichen von Staat, Wirtschaft und Gesellschaft Rechnung. Es handelt sich um eine „völlig neu bearbeitete und erweiterte“ zweite Auflage, auch wenn Nomos diese in anderen Verlagshäusern gängige Bezeichnung nicht verwendet. Erfreulicherweise ist der Preis des Buches nicht proportional zum Umfang, sondern nur um ca. 15% gestiegen.
Die Herausgeber halten am bewährten Grundkonzept des Werks fest: Das gilt sowohl für die Struktur (Teil 1: Grundlagen der IT-Sicherheit, Teil 2: Grundlagen und Querschnittsfragen des IT-Sicherheitsrechts, Teil 3: Sektorales IT-Sicherheitsrecht) als auch für das Autorenteam, das weiterhin mit geballter Expertise aus Wissenschaft und Praxis beeindruckt.
Bei den Verfassern der einzelnen Beiträge haben sich – abgesehen von der Hinzunahme von Autoren für die neuen Abschnitte – nur wenige Änderungen ergeben: Die ökonomische Perspektive (§ 3) wird nun allein von Irene Bertschek und Rebecca Janßen geliefert; die IT-Sicherheit im Vertragsrecht und in der Vertragsgestaltung wird allein von Mansur Pour Rafsendjani bearbeitet. Der Beitrag zur öffentlichen Verwaltung (§ 25) wurde für die Neuauflage von Lars Bostelmann neu bearbeitet und strukturiert und setzt nur noch in Teilen auf den Ausführungen von Marc Schardt in der Vorauflage auf. Für die vier neuen Abschnitte konnten anerkannte Experten gewonnen werden: Den Beitrag zur Justiz (§ 27) liefert Henning Müller, den zum Gesundheitswesen (§ 28) Christian Kuß, den zum Finanzsektor (§ 29) liefern Jonas Siglmüller und David Bomhard (letzterer hatte in der Vorauflage noch die IT-Sicherheit im Vertragsrecht und in der Vertragsgestaltung mitverantwortet), und die IT-Sicherheit von KI-Systemen (§ 30) wird von Björn Steinrötter und Ann-Sophie Letzel erläutert.
Die notwendigen Anpassungen der Beiträge an technische und rechtliche Änderungen sind in bewährter hoher Qualität umgesetzt worden; neue Rechtsprechung und Literatur wurden durchweg berücksichtigt. In technischer Hinsicht spielt dabei in vielen Beiträgen vor allem die Künstliche Intelligenz eine Rolle, in rechtlicher Hinsicht die NIS-2-RL. Auch neue Cybersicherheitsstrategien tauchen in vielen Beiträgen auf, ebenso findet der inzwischen in Kraft getretene Cyber Resilience Act schon häufig Erwähnung. Im Einzelnen gehen zB Rüdiger Grimm und Michael Waidner in den technischen Grundlagen (§ 2) nun auch auf die Nutzung von KI sowohl für Angriffe als auch zur Angriffsabwehr, sowie auf Post-Quantum-Verschlüsselung ein. Martin Schallbruch berücksichtigt umfassend die neueren Entwicklungen in der IT-Sicherheitspolitik (§ 5). Isabel Skerka-Canton geht in ihrem Beitrag (§ 8) auf die Änderungen im Bereich der kritischen Infrastruktur durch die NIS-2-RL sowie das freiwillige IT-Sicherheitskennzeichen ein und berücksichtigt auch schon detailliert den Entwurf für den inzwischen beschlossenen Cyber Resilience Act. Mansur Pour Rafsendjani hat die Ausführungen zum Vertragsrecht in § 9 stark erweitert; hier nimmt jetzt auch das Gewährleistungsrecht breiten Raum ein. Gerald Spindler hat seine drei Beiträge zum Haftungsrecht noch kurz vor seinem plötzlichen Tod im Jahr 2023 aktualisiert und dabei zB die KI-VO, den DSA und das TDDDG sowie (im Ausblick) die Produkthaftungs-RL berücksichtigt. Die Liste des Schrifttums zu seinen Abschnitten umfasst nun beeindruckende acht Seiten. Im Beitrag von Matthias Fischer zu kritischen Infrastrukturen, Unternehmen im besonderen öffentlichen Interesse und digitalen Diensten (§ 13) spielt naturgemäß die NIS-2-RL wieder eine große Rolle; man hätte aber vielleicht sogar zu Gunsten der sich nach ihr nun ergebenden Rechtslage auch manche fast schon „historisch anmutende“ Entwicklung etwas stärker in den Hintergrund treten lassen können. Alexander Roßnagel hat seinen Beitrag zu IT-Sicherheitsinfrastrukturen und -diensten (§ 14) um Ausführungen zu qualifizierten elektronischen Attributsbescheinigungen, qualifizierten elektronischen Archivierungsdiensten und qualifizierten elektronischen Journalen ergänzt und berücksichtigt zum Erscheinungszeitpunkt des Bandes noch geplante und inzwischen in Kraft getretene Änderungen der eIDAS-VO. In § 21 schildern Gerrit Hornung und Stephan Schindler umfassend den nicht nur begrifflichen Wandel von „Telemedien“ zu „digitalen Diensten“ und wiederum die einschlägigen Vorgaben der NIS-2-RL. Christian Geminn und Johannes Müller haben in ihrem Beitrag zu Mobilität und Verkehr u.a. neue Vorgaben zum autonomen Fahren berücksichtigt. Annette Guckelberger weist in ihrem Beitrag zum Energiesektor (§ 23) u.a. auf neue europäische Vorgaben zur Resilienz kritischer Infrastrukturen sowie auf neue institutionelle und technische Vorgaben im EnWG hin, die durch das IT-Sicherheitsgesetz 2.0 eingeführt wurden. Philipp Singler bringt den Leser im Beitrag über Smart Metering auf den neuesten Stand der Änderungen des MsbG, das seit der letzten Auflage einige Änderungen erfahren hat.
Völlig neu konzipiert ist der Beitrag über die öffentliche Verwaltung (§ 25) von Lars Bostelmann. Er bietet – angesichts des Anwendungsbereichs der NIS-2-RL geboten – im Gegensatz zu seinem nur etwa halb so langen Vorgänger in der ersten Auflage nun auch eine europarechtliche Einordnung und untersucht die Verwaltung als „kritische Infrastruktur“. Außerdem beleuchtet er eingehend neue Entwicklungen wie die FITKO und die Rechtsetzung in Bund und Ländern und untersucht ihre Bedeutung für die IT-Sicherheit. Auch die Frage des Ausbaus des BSI zu einer Zentralstelle für IT-Sicherheit wird eingehend und unter Auseinandersetzung mit verfassungsrechtlichen Kritikpunkten diskutiert.
Neu hinzugekommen ist in Teil 3 zunächst ein Beitrag von Henning Müller zur IT-Sicherheit in der Justiz (§ 27). Die sich daraus innerhalb der Sektorenberichte ergebende Reihenfolge „Öffentliche Verwaltung – Private Haushalte – Justiz“ erscheint zunächst wenig überzeugend, weil der staatliche Bereich aufgespalten wird, ermöglicht aber – wie auch die (allerdings nicht überall durchgehaltene, aber bei gravierenden Änderungen auch nicht durchhaltbare) Verwendung von „a/b/c-Randnummern“ in den bisherigen Teilen – die Recherche nach Fundstellen ungeachtet der Auflage. Inhaltlich behandelt der Beitrag zur Justiz vor allem Fragen der sicheren Übermittlung von Dokumenten zwischen Gericht und Prozessbeteiligten. Auch die Frage der Systemverwaltung unter Berücksichtigung der Unabhängigkeit der Justiz wird diskutiert. Etwas stärker in den Blick nehmen könnte man die Frage einer zentralen Justiz-Cloud und der spezifischen Probleme, die sich aus dem Föderalismus in diesem Bereich ergeben.
Ebenfalls neu ist der Beitrag von Christian Kuß zum Gesundheitswesen (§ 28). Hier werden einerseits die rechtlichen Vorgaben für die Akteure im Gesundheitsbereich geschildert, wobei zwischen sektoralen Vorgaben und allgemeinem Datenschutzrecht differenziert wird, andererseits aber auch auf die zentrale Speicherung von Forschungsdaten, insb. im Europäischen Gesundheitsdatenraum, eingegangen. Auch das Medizinprodukterecht wird angesprochen, wobei zutreffend die Rolle der Software für das Funktionieren der Produkte betont wird. Die jüngst auch wegen Sicherheitsaspekten vieldiskutierte elektronische Patientenakte spielt in dem Beitrag noch keine Rolle; sie war erst in Entwicklung.
David Bomhard und Jonas Siglmüller befassen sich mit dem Finanzsektor (§ 29). Sehr umfassend und ausdifferenziert präsentieren sie nicht nur das allgemeine IT-Sicherheitsrecht für diesen Bereich (insb. DORA), sondern auch die besonderen branchenspezifischen Vorgaben für Banken, Versicherungen und Finanzintermediäre. Der Fokus liegt auf den Pflichten der jeweiligen Wirtschaftsakteure, aber auch das Zusammenspiel der verschiedenen Regelungen und die Bedeutung des Soft Law wird herausgearbeitet. Für die Praxis besonders hilfreich sein dürfte der separate Abschnitt zur Vertragsgestaltung in diesem Bereich.
Im letzten Beitrag des Bands untersuchen Björn Steinrötter und Ann-Sophie Letzel das „Zusammen- und Widerspiel von Künstlicher Intelligenz und IT-Sicherheit“ (§ 30). Der Beitrag untersucht nicht nur die in § 2 schon kurz angerissenen Bereiche „Angriffe mithilfe von KI“ und „Verteidigung mithilfe von KI“, sondern auch die IT-Sicherheit von KI-Systemen (auch unter Einbeziehung datenschutzrechtlicher Vorgaben). Die starke Fokussierung auf Deepfakes bei Angriffen mithilfe von KI entspricht der derzeitigen Problemwahrnehmung, die knapp angesprochenen anderen Fähigkeiten von KI-Systemen zur Schädigung dürften perspektivisch aber mindestens so problematisch werden. Ebenfalls angesprochen werden Gewährleistungsrechte bei IT-Sicherheitsmängeln und die deliktische Haftung bei der Verletzung von IT-Sicherheitsanforderungen im Zusammenhang mit dem KI-Einsatz; das in diesem Zusammenhang noch angesprochene Gesetzgebungsprojekt einer KI-Haftungs-RL ist zwischenzeitlich aber bekanntlich schon wieder aufgegeben worden.
Insgesamt ist das Praxishandbuch damit auch in der zweiten Auflage eine Pflichtlektüre für alle, die sich mit IT-Sicherheitsrecht befassen – nicht nur in der Praxis, sondern auch in der Wissenschaft. Die Neuauflage zeichnet sich nicht nur durch umfassende Betrachtung der jeweiligen Gebiete und hohe Qualität der Bearbeitungen, sondern auch durch Aktualität in höchstmöglichem Maße aus: Selbst in vielen Beiträgen, die aus rechtlicher und technischer Sicht keinen großen Veränderungsbedarf aufwiesen, sind immerhin neue Beispiele zur Veranschaulichung hinzugefügt und der Fußnotenapparat ergänzt worden. Gleichwohl gilt auch hier: Nach der Neuauflage ist vor der Neuauflage. Entwicklungen wie die geänderte eIDAS-VO, welche die EUDI-Wallet einführt, oder der Cyber Resilience Act werden in den Beiträgen noch als geplant angekündigt und können erst in der nächsten Auflage in ihrer finalen Fassung berücksichtigt werden. Umgekehrt ist zB häufig noch vom nicht mehr existierenden TTDSG die Rede. Im schnelllebigen IT-Sicherheitsrecht wäre ein „Loseblatt-Handbuch“ (oder ein digitales Pendant) eigentlich das Format der WahI. Dem klassischen Handbuch in der hier vorliegenden Form kann man nur regelmäßige weitere Auflagen wünschen.