IT-Sicherheitsrecht
Was ist IT-Sicherheitsrecht und wen betrifft es?
Das Recht der IT-Sicherheit definiert sich durch alle Rechtsnormen, Verträge, Richtlinien und Standards, die die Verfügbarkeit, Integrität und Vertraulichkeit von informationstechnischen Systemen regeln. In anderen Worten: Das IT-Sicherheitsrecht ist ein Flickenteppich, der sich aus allen Normen, die mit der Sicherheit der Informationstechnik zu tun haben, zusammensetzt. Gleichermaßen kann man die Personen, die davon betroffen sind, keiner bestimmten Kategorie zuordnen. Hinzu kommt, dass neue (und anstehende) EU-Regelungen und Verordnungen den Anwendungsbereich verschiedenster IT-Sicherheitsnormen stetig erweitern.
Rechtsgrundlagen
Zu den wichtigsten Quellen gehören nationale Rechtsgrundlagen und EU-Recht. Weil IT-Sicherheit (fast immer) länderübergreifende Angelegenheiten und Probleme mit sich bringt, nimmt das EU-Recht eine besonders wichtige Rolle ein.
Nationales Recht Schon im Grundgesetz findet man Bezüge zur IT-Sicherheit. Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Grundrecht) bildet den wahrscheinlich bekanntesten Ankerpunkt. Das IT-Grundrecht schützt Nutzer von Computersystemen vor heimlicher Infiltration. Ähnlich ist das Grundrecht auf informationelle Selbstbestimmung, welches Nutzer vor einzelnen Datenerhebungen schützt. Zentrale nationale Gesetzgebung ist aber in der Regel immer durch europäische Richtlinien ausgelöst und mitgestaltet (vgl. BSI-Gesetz).
Europäisches Recht Das europäische IT-Sicherheitsrecht entwickelt sich seit einigen Jahren mit einer enormen Geschwindigkeit. 2020 erklärte die EU-Kommission Cybersicherheit mit der Publizierung einer neuen Cybersicherheitsstrategie zu einem zentralen Thema für die digitale Zukunft Europas. Diese Cybersicherheitsstrategie ist sog. als Soft Law, also ein nicht bindender Rechtsakt. Auch was verbindliche Rechtsakte (sog. Hard Law) angeht, hat sich in den letzten Jahren in der EU einiges getan. Insbesondere die DSGVO, NIS-2 und CRA sind bezüglich der Cybersicherheitsstrategie von zentraler Bedeutung. Für Unternehmen ist es inzwischen absolut unerlässlich geworden, sich im IT-Sicherheitsrecht und den verschiedenen Sanktionsregimen orientieren und einordnen zu können, um alle regulatorischen Vorgaben einzuhalten