Dr. Roland Steidle, LL.M., ist Fachanwalt für Informationstechnologierecht und Partner bei SWM Rechtsanwälte in Frankfurt/M.
Gerrit Hornung/Martin Schallbruch (Hrsg.), IT-Sicherheitsrecht, Praxishandbuch, Baden-Baden (Nomos), 2. Aufl. 2024, ISBN 978-3-7560-0496-6, 159 EUR
ZD-Aktuell 2025, 04516 Vier Jahre nach der 1. Auflage erscheint die 2. Auflage in einer Zeit, in der die Bedeutung der IT-Sicherheit aufgrund verschiedener internationaler Krisen und Kriege und daraus resultierender Angriffe auf IT-Infrastrukturen weiter zugenommen hat, und in der zahlreiche gesetzgeberische Neuerungen zum Recht der IT-Sicherheit auf Ebene der Europäischen Union und der Mitgliedstaaten erfolgt sind und noch erfolgen. Zu nennen sind vor allem die NIS2-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und die CER-Richtlinie zur Regulierung der Resilienz bei kritischen Infrastrukturen mit ihren jeweiligen mitgliedstaatlichen Umsetzungen. Daneben kennt das IT-Sicherheitsrecht auch weiterhin bereichsspezifische Verordnungen wie den Cyber Resilience Act mit seinen verschärften Anforderungen an die Cybersicherheit für Produkte mit digitalen Inhalten wie Apps oder Wearables. Die Zersplitterung des IT-Sicherheitsrechts in verschiedene, sich teils überlappende Normen zeigt auch der Digital Operational Resilience Act (DORA), der sicherstellen soll, dass IKT-Systeme und Netzwerke speziell des Finanzsektors vor Cyberangriffen geschützt sind und im Falle von Störungen weiter betriebsfähig bleiben (Resilienz). Dem Handbuch gelingt es, die Vielzahl rechtlicher Grundlagen nicht nur sauber aufzuarbeiten und darzustellen, sondern in den Zusammenhang mit anderen jeweils einschlägigen Normen zu stellen. Trotz des Flickenteppichs an anwendbaren Normen und Standards für die IT-Sicherheit ist der rote Faden im Aufbau des Handbuchs klar erkennbar. Das Handbuch ist mehr als nur die Summe einzelner Fachbeiträge. Obgleich seit Erscheinen des Handbuchs erst vier Jahre vergangen sind, enthält die 2. Auflage angesichts der Dynamik im Rechtsgebiet zudem viele Überarbeitungen und Aktualisierungen, die in anderen rechtswissenschaftlichen Werken so nicht zu finden sind. Dabei haben die Herausgeber trotz der umfangreichen gesetzgeberischen Aktivitäten die bewährte Struktur des Handbuchs erhalten. Dieses gliedert sich wie schon die 1. Auflage in einen Teil 1 zu den Grundlagen der IT-Sicherheit inklusive technischer Ausführungen, die dem juristischen Leser einen sehr guten Überblick über Bedrohungen und Angriffsszenarien verschaffen, einen Teil 2 zu den rechtlichen Grundlagen und Querschnittsthemen des IT-Sicherheitsrechts und einen Teil 3 zum sektoralen IT-Sicherheitsrecht.
Der Schwerpunkt des Handbuchs liegt wiederum im zweiten Teil mit rund 470 Seiten, der alle praktisch bedeutenden Reichsgebiete inklusive aktueller Gesetzgebung und Rechtsprechung sowie behördlicher Praxis erläutert. Ausführliche Kapitel zur IT-Sicherheit bei der Vertragsgestaltung, im Deliktsrecht, der Produkthaftung, den kritischen Infrastrukturen, den Sicherheitsbehörden, Strafverfolgern, Nachrichtendiensten und der Bundeswehr lassen für den interessierten Leser kaum Fragen offen. Das dem IT-Sicherheitsrecht innewohnende Spannungsverhältnis zum Datenschutzrecht wird in einem eigenen Kapitel behandelt, in dem aufgezeigt wird, dass IT-Sicherheit datenschutzrechtliche Zwecke sowohl fördern als auch beeinträchtigen kann, mithin häufig Abwägungsentscheidungen zu treffen sind, wie weit IT-Sicherheit in der Umsetzung gehen darf oder muss.
Der abschließende Teil 3 ist besonders für die Praxis von hoher Relevanz, und es ist erfreulich, dass es den Herausgebern und Autorinnen und Autoren gelungen ist, neue Kapitel zum bereichsspezifischen IT-Sicherheitsrecht zu ergänzen und dazu renommierte Expertinnen und Experten zu gewinnen. So finden sich in der 2. Auflage neue Kapitel zur IT-Sicherheit speziell in den Sektoren Justiz, Gesundheitswesen, Finanzen und zu dem aktuellen Zukunftsthema schlechthin, der Künstlichen Intelligenz.
Das Handbuch verfolgt einen systematischen und rechtswissenschaftlichen Ansatz, der die Hintergründe der IT-Sicherheit aus technischer, ökonomischer und gesellschaftlicher Perspektive, über die völkerrechtlichen und verfassungsrechtlichen sowie einfachgesetzlichen Rechtsgrundlagen bis hin zu den sektoralen Spezialgesetzen verbindet. Es ermöglicht aufgrund seiner klaren Struktur aber auch die gezielte Information der Leser aus der Praxis zu Einzelfragen in den für sie jeweils relevanten Sektoren. Wer wissen möchte, welche Vorgaben es im Recht der IT-Sicherheit in einem bestimmten Bereich gibt, wird in diesem Handbuch fündig. Dabei hilft neben einem ausführlichen Stichwortverzeichnis ganz besonders das neue Inhaltsverzeichnis, dass die nur grobe Inhaltsübersicht der 1. Auflage ersetzt hat und den Lesern eine deutlich bessere Orientierung im Handbuch gibt. Anders als noch in der 1. Auflage werden die einzelnen Paragrafen im Inhaltsverzeichnis mit ihren Unterüberschriften weiter aufgegliedert, was den Lesern die Orientierung im Handbuch erleichtert und Querbezüge erkennbar macht.
Eine vergleichbar umfassende, tiefgehende, systematische und aktuelle Aufarbeitung des europäischen und deutschen IT-Sicherheitsrechts ist derzeit nicht bekannt. Das namensgleiche Handbuch IT-Sicherheitsrecht von Paul Voigt, das ebenfalls in 2. Auflage vorliegt, stammt aus dem Jahr 2021, hat einen wesentlich geringeren Umfang und berücksichtigt (noch) nicht die gesetzgeberischen Neuigkeiten der letzten Jahre. Obwohl auch dieses Handbuch aufgrund seines Aufbaus, der sich an den Fragestellungen in Unternehmen orientiert, und aufgrund diverser Checklisten besonders für die Praxis nach wie vor äußerst hilfreich ist, setzt das Handbuch von Gerrit Hornung und Martin Schallbruch mit seinen rechtswissenschaftlichen Grundlagenkapiteln und dem sektoralen IT-Sicherheitsrecht neue Maßstäbe. Das umfangreiche Rechtshandbuch Cybersecurity von Dennis-Kenji Kipker, 2. Auflage 2023, ist nicht ganz so aktuell wie das Handbuch von Hornung/Schallbruch und hat, neben wertvollen neuen Kapiteln zum Stand der Technik und technischen Standards sowie Zertifizierungen, einen in vielen Teilen anderen, wenngleich nicht minder wichtigen internationalen Fokus. Das Werk zum Recht der Informationssicherheit von Dennis-Kenji Kipker, Philipp Reusch und Steve Ritter aus 2023 ist eine Kommentierung, die das BSIG, einzelne sicherheitsrelevante Normen von Fachgesetzen und DS-GVO sowie den EU Cybersecurity Act über die Agentur der Europäischen Union für Cybersicherheit (ENISA) kommentiert, aber keine darüber hinausgehenden Ausführungen enthält. Das Handbuch von Hornung/Schallbruch kann daher, obwohl erst in zweiter Auflage erschienen, als das Standardwerk für das europäische und deutsche IT-Sicherheitsrecht bezeichnet werden. Rechtswissenschaftler, aber auch interessierte Anwender und Techniker aus der Praxis, kommen an diesem systematisch aufgebauten, umfangreichen und insbesondere aktuellen Werk nicht vorbei.