NIS-2-Richtlinie: Datenschützer wollen Meldewege für IT-Sicherheitsvorfälle und Datenpannen vereinheitlichen

Die Datenschutzaufsichtsbehörden wollen die Meldepflichten nach NIS-2 und DSGVO vereinheitlichen.
Kategorien:

Der aktuelle Referentenentwurf des Bundesinnenministeriums zur Umsetzung der NIS-2-Richtlinie stößt bei den Datenschutzaufsichtsbehörden der Länder auf deutliche Kritik. Im Zentrum der Kritik stehen die unzureichende Unterrichtungspflicht der IT-Sicherheitsbehörden gegenüber den Datenschutzaufsichtsbehörden sowie das mangelnde Zusammenwirken der Meldepflichten aus der NIS-2-Richtlinie mit denen der DSGVO. Was die Datenschutzaufsichtsbehörden jetzt fordern.

Hintergrund und Zielsetzung der NIS-2-Richtlinie

Mit der NIS-2-Richtlinie (RL (EU) 2022/2555) verfolgt die Europäische Union das Ziel, die Cybersicherheit kritischer Infrastrukturen und digitaler Dienste in Europa zu stärken. Sie ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Im Vergleich zur Vorgängerrichtlinie dehnt sie den Anwendungsbereich erheblich aus. Während bisher nur Betreiber Kritischer Infrastrukturen (KRITIS) erfasst wurden, unterliegen künftig eine Vielzahl sogenannter „wesentlicher“ und „wichtiger“ Einrichtungen der Richtlinie, darunter solche aus den Bereichen Gesundheit, digitale Dienste, öffentliche Verwaltung und produzierendes Gewerbe.

Ein zentrales Element ist die Verpflichtung zur Meldung erheblicher Sicherheitsvorfälle. Diese können auch datenschutzrechtlich relevante Aspekte betreffen, insbesondere wenn personenbezogene Daten betroffen sind.

Lese-Tipp: NIS-2-Richtlinie – diese Unternehmen sind betroffen

Kritikpunkt 1: Eingeschränkte Informationspflichten des BSI

Art. 35 Abs. 1 NIS-2 verpflichtet die zuständigen IT-Sicherheitsbehörden, Datenschutzaufsichtsbehörden zu informieren, wenn Sicherheitsvorfälle datenschutzrechtlich relevante Folgen im Sinne des Art. 33 DSGVO haben könnten.

Der aktuelle Gesetzesentwurf beschränkt die Informationspflicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) jedoch auf „offensichtliche“ Datenschutzverletzungen. Dies widerspricht nach Ansicht der Landesdatenschutzbehörden dem klaren Wortlaut der Richtlinie.

Die Datenschutzaufsichtsbehörden fordern deshalb eine Anpassung von § 61 Abs. 11 des Entwurfs, sodass bereits potenzielle Datenschutzverletzungen und nicht nur offensichtliche eine Mitteilungspflicht des BSI auslösen. Dies würde den Anforderungen aus Art. 35 NIS-2 genügen und die Effektivität der Zusammenarbeit zwischen den Behörden stärken.

Kritikpunkt 2: Fehlende Bündelung der Meldepflichten

Nach § 40 des Referentenentwurfs ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Meldestelle für IT-Sicherheitsvorfälle vorgesehen. Dort sollen wesentliche und wichtige Einrichtungen gemäß NIS-2 künftig ihre Meldungen gemäß § 32 des Umsetzungsgesetzes einreichen.

Was § 40 jedoch nicht vorsieht: Eine Verknüpfung oder Integration der parallelen Meldepflicht aus Art. 33 DSGVO. Also die Pflicht zur Meldung von Datenschutzverletzungen an die zuständigen Datenschutzaufsichtsbehörden. Damit bleibt die Möglichkeit ungenutzt, zwei häufig zusammenfallende Meldeprozesse über ein gemeinsames Portal oder Verfahren abzuwickeln.

Konsequenz: Doppelarbeit für Unternehmen

In der Praxis bedeutet das: Unternehmen, bei denen ein IT-Sicherheitsvorfall auch personenbezogene Daten betrifft (was häufig der Fall ist), müssen zwei getrennte Meldungen einreichen:

  • Eine Meldung an das BSI gemäß NIS-2-Umsetzungsgesetz
  • Eine zweite Meldung an die Datenschutzaufsichtsbehörde gemäß Art. 33 DSGVO


Das führt zu erhöhtem administrativen Aufwand, inkonsistenten Datengrundlagen und möglicherweise zeitlichen Verzögerungen.

Forderung der Aufsichtsbehörden

Die Datenschutzkonferenz schlägt daher eine Erweiterung des § 40 vor: „Das BSI soll gesetzlich verpflichtet werden, ein integriertes elektronisches Verfahren zu entwickeln, über das Unternehmen gleichzeitig ihren Pflichten nach § 32 (NIS-2) und Art. 33 DSGVO nachkommen können.“

Ein solcher gebündelter Meldeprozess würde nicht nur Bürokratie abbauen, sondern auch die Zusammenarbeit zwischen BSI und Datenschutzaufsicht fördern. Andere EU-Staaten wie Luxemburg oder Dänemark zeigen bereits, dass diese Integration technisch machbar ist.

Zudem empfehlen die Aufsichtsbehörden eine verwaltungsinterne Regelung zur Koordination zwischen BSI und Datenschutzbehörden sowie die Einrichtung einer zentralen Geschäftsstelle bei der Datenschutzkonferenz (DSK), um den Austausch systematisch zu steuern.

Einrichtung einer DSK-Geschäftsstelle mit NIS-2

Die Datenschutzkonferenz (DSK) der Länder ist bislang kein gesetzlich institutionalisiertes Gremium. Die Stellungnahme regt an, im Zuge der NIS-2-Umsetzung auch eine gesetzlich verankerte DSK-Geschäftsstelle zu schaffen. Diese könnte als Koordinierungsstelle für Meldungen nach Art. 33 DSGVO fungieren und so die Zusammenarbeit mit dem BSI weiter professionalisieren und zentralisieren.

Fazit zum NIS-2-Referentenentwurf

Die Stellungnahme der Landesdatenschutzaufsichtsbehörden legt den Finger in die Wunde der NIS-2-Umsetzung: Eine umfassendere Informationspflicht des BSI sowie die Bündelung der Meldeprozesse mit der DSGVO-Meldung wäre vor allem praktikabel und bürokratiearm.

Der Ball liegt nun beim Gesetzgeber. Eine Überarbeitung des Referentenentwurfs unter Einbeziehung der datenschutzrechtlichen Forderungen könnte die Akzeptanz der neuen Regelungen deutlich verbessern und das Ziel der EU, ein hohes einheitliches Cybersicherheitsniveau, auch datenschutzfreundlich umsetzen.

Quelle: Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder zum NIS-2-Umsetzungsgesetz

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge