NIS-2 und DSGVO – Harmonisierung von Meldepflichten dringend nötig

Mit der NIS-2-Richtlinie (Netz- und Informationssicherheit) werden Unternehmen und Organisationen stärker in die Pflicht genommen, Sicherheitsvorfälle zu melden und IT-Sicherheitsstandards einzuhalten. Gleichzeitig besteht nach der DSGVO die Pflicht, personenbezogene Datenpannen an Datenschutzaufsichtsbehörden zu melden, wenn ein Risiko für die Rechte und Freiheiten Betroffener vorliegt.

Das Problem: Viele Sicherheitsvorfälle betreffen gleichzeitig technische Systeme und personenbezogene Daten. Die Frage lautet daher: Wer meldet was – und an wen?

Im aktuellen Entwurf zum deutschen NIS-2-Umsetzungsgesetz ist vorgesehen, dass das BSI nur bestimmte Fälle an die Datenschutzbehörden übermittelt. Die Datenschutzbehörden sehen dies als zu eng und fordern erweiterte Transparenz: Auch festgestellte Verstöße, die nur potenziell eine Datenverletzung sein könnten, sollten gemeldet werden.

Die Datenschutzbehörden schlagen vor, den gesetzlichen Text so zu ändern, dass das BSI verpflichtet ist, sämtliche festgestellte Sachverhalte zu melden, die eine Verletzung des Schutzes personenbezogener Daten zur Folge haben könnten – nicht nur offensichtliche Fälle. Nur so könne eine vollständige Wahrnehmung datenschutzrechtlicher Aufsicht erfolgen.

Die Behörden empfehlen, ein integriertes Meldeverfahren einzuführen. Meldepflichtige Einrichtungen sollten über dasselbe System sowohl ihre Pflichten gegenüber dem BSI (nach NIS-2) als auch gegenüber den Datenschutzbehörden (nach DSGVO) erfüllen können – ohne doppelte Prozesse. Eine solche Bündelung würde Bürokratiekosten senken und die Effizienz der Abläufe erhöhen.

Damit diese Forderungen in der Praxis greifen, sollten folgende Punkte beachtet werden:

• Das Gesetz sollte eine zentrale Meldestelle vorsehen – idealerweise das BSI – die so ausgestattet ist, dass Meldungen elektronisch verarbeitet und geeignet verteilt werden können.
• Technische Verfahren müssen sicherstellen, dass sensible Informationen korrekt geschützt und nur an die jeweils zuständigen Behörden weitergeleitet werden.
• Zwischen dem BSI und den Landes-Datenschutzbehörden sollten verbindliche Verwaltungsabsprachen getroffen werden, um Zuständigkeiten und Abläufe zu klären.
• Die Datenschutzkonferenz könnte eine koordinierende Rolle übernehmen und eine Geschäftsstelle einrichten, die den Austausch und Standardverfahren unterstützt.

• Weniger Doppelarbeit für betroffene Stellen und Behörden.
• Geringere Fehlerquoten, weil nur ein Prozess statt mehrerer parallel verfolgt werden muss.
• Schnellere Reaktionszeiten, da Informationen nur einmal eingegeben und weitergeleitet werden müssen.
• Einheitliche Transparenz für betroffene Unternehmen und für Bürgerinnen und Bürger.

Wenn Sie als Betreiber einer kritischen oder wichtigen Einrichtung betroffen sind:

• Prüfen Sie frühzeitig, welche Meldepflichten künftig gelten – sowohl nach NIS-2 als auch nach DSGVO.
• Planen Sie technisch und organisatorisch, wie Sie Sicherheitsvorfälle sowohl intern erkennen als auch melden können.
• Achten Sie darauf, dass Ihr Sicherheitsmanagementsystem auch Meldungen automatisiert anstoßen kann – möglichst gebündelt.
• Bleiben Sie über Gesetzesänderungen informiert und passen Sie Ihre Prozesse entsprechend an.

Die Digitalisierung erfordert zunehmend harmonisierte Regelwerke. Die Datenschutzbehörden der Länder machen deutlich: Ein isoliertes Betrachten von IT-Sicherheits- und Datenschutzpflichten ist nicht zielführend. Nur durch die Verknüpfung von NIS-2 und DSGVO in praktikablen, rechtssicheren Verfahren lassen sich Doppelstrukturen vermeiden sowie Sicherheit und Datenschutz effizient gewährleisten.

Ein integrierter Ansatz schützt Bürger:innen, Unternehmen und Behörden – und sorgt dafür, dass Deutschland den europäischen Anforderungen gerecht wird.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz