Dibani - stock.adobe.com
Meldungen nach NIS2 und DSGVO: Diese Synergien gibt es
Wenn betroffene Unternehmen und Organisationen Meldungen nach NIS2 und DSGVO mit demselben Prozess einreichen könnten, wäre dies eine Entlastung. Ein Vorschlag der Behörden.
Der Datenschutz und die Datenschutz-Grundverordnung (DSGVO) stehen oftmals in der Kritik, da dadurch ein zu hoher Aufwand entstünde. So erklärt zum Beispiel Bitkom-Präsident Dr. Ralf Wintergerst: „Notwendig wären umfassendere Entlastungen bei Dokumentations- und Berichtspflichten sowie eine stärkere Berücksichtigung technologischer Entwicklungen, etwa bei Künstlicher Intelligenz“, so Wintergerst. Aktuell führten vielfach redundante Berichtspflichten – etwa durch DSGVO, den AI Act (KI-Verordnung) oder den Data Act – zu erheblichem bürokratischem Aufwand, insbesondere bei kleinen und mittleren Unternehmen (KMU), wie Bitkom erklärt
Nun ist es kein Ziel des Datenschutzes oder der Datenschutzaufsichtsbehörden, möglichst viel Aufwand zu erzeugen. Gerade KMU werden es deshalb positiv aufnehmen, dass von Seiten der Aufsichtsbehörden für den Datenschutz auf Länderebene ein Vorschlag gekommen ist, wie sich die Meldepflichten für IT-Sicherheit und Datenschutz verbinden lassen könnten.
Das Ziel: Meldewege für IT-Sicherheitsvorfälle und Datenpannen vereinheitlichen
Die Datenschutzaufsichtsbehörden der Länder haben sich für eine deutliche Entlastung der Verantwortlichen bei der Erfüllung der Meldepflichten der neuen NIS-2-Richtlinie in Deutschland ausgesprochen. Betreibern kritischer Infrastrukturen sollte es demnach ermöglicht werden, mit demselben Prozess sowohl Meldungen nach der neuen NIS2-Richtlinie als auch nach der Datenschutz-Grundverordnung (DSGVO) einzureichen.
Einen entsprechenden Vorschlag (PDF) für eine Gesetzesänderung haben die unabhängigen Datenschutzaufsichtsbehörden der Länder im Rahmen der Länder- und Verbändebeteiligung an das Bundesministerium des Innern gesandt.
Dazu Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Wenn von einem IT-Sicherheitsvorfall auch personenbezogene Daten betroffen sind, muss dies in der Regel auch den Datenschutzaufsichtsbehörden gemeldet werden. Statt Meldungen doppelt einreichen zu müssen, sollten Unternehmen alle Meldungen in einem Schritt erledigen können. Die Vereinheitlichung würde Bürokratie abbauen, Unternehmen spürbar entlasten und die behördlichen Verfahren beschleunigen.“
Was die Landesdatenschützer vorschlagen
Zentrale Meldestelle für Sicherheitsvorfälle nach der NIS2-Richtlinie soll in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden. Die Datenschutzaufsichtsbehörden der Länder schlagen nun vor, dass sie gemeinsam mit dem BSI ein einheitliches digitales Verfahren für Meldungen von Vorfällen entwickeln. Dieses Verfahren soll sowohl Meldungen nach der NIS-2-Richtlinie als auch nach der DSGVO ermöglichen, soweit ein Sicherheitsvorfall zugleich eine Datenpanne begründet. Es würde zudem den von den deutschen und europäischen Datenschutzaufsichtsbehörden bereits eingeschlagenen Weg zur Vereinheitlichung des Meldeprozesses nach Artikel 33 DSGVO unterstützen, so die Datenschützer.
Die Landesdatenschutzbehörden schlagen konkret vor, das BSI im Rahmen seiner Aufgaben als zentrale Meldestelle im Bereich der IT-Sicherheit zu verpflichten, gemeinsam mit den zuständigen Datenschutzaufsichtsbehörden IT-Prozesse zu entwickeln, die den meldepflichtigen Stellen die Möglichkeit einräumen, diejenigen Informationen, die bei einem Sicherheitsvorfall nach dem NIS-2-Umsetzungsgesetz bereit zu stellen sind und die Meldungen, die für eine damit einhergehende Verletzung des Schutzes personenbezogener Daten nach Artikel 33 DSGVO gefordert sind, im Rahmen einheitlicher technisch gebündelter Verfahren an die unterschiedlichen Adressaten zu übermitteln.
Meldefristen beachten
Denkt man jedoch zum Beispiel an die Meldefristen, müssten hier sicherlich Harmonisierungen erfolgen: Nach der NIS2-Richtlinie (Richtlinie (EU) 2022/2555) müssen bestimmte Unternehmen aus der kritischen Infrastruktur Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Bereitstellung ihrer Dienste haben, unverzüglich melden, die Meldefrist beträgt hier maximal 24 Stunden.
Eine Datenpanne liegt vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt, das ist bei IT-Sicherheitsvorfällen häufig der Fall, was die Verbindung der Meldungen nach NIS2 und DSGVO nahelegt. Die Datenschutz-Grundverordnung verpflichtet verantwortliche Stellen allerdings grundsätzlich dazu, eine Datenpanne innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden und unter Umständen auch die betroffenen Personen über den Vorfall zu informieren. Nach NIS2 ist innerhalb von 72 Stunden ebenfalls eine weitere Meldung vorgesehen, es erscheint deshalb besonders sinnvoll, diese Meldung mit der Meldung nach DSGVO zu verbinden.
In jedem Fall zeigt sich, dass die Datenschutzaufsichtsbehörden selbst an einem Abbau des Aufwandes für die Unternehmen interessiert sind und aktiv dafür Vorschläge machen.
