Art. 23 NIS 2 + Art. 33 DSGVO

Datenleck: NIS 2 und DSGVO parallel

Auf demselben Vorfall liegen zwei Meldepflichten. Artikel 33 DSGVO läuft an die Datenschutzaufsicht. Artikel 23 NIS 2 läuft an die Cybersicherheitsbehörde. Beide ersetzen einander nicht.

Simon OrzelSimon Orzel·

Warum ein Vorfall zwei Uhren startet

Ein Ransomware-Angriff, der eine Mitarbeiterdatenbank abzieht, ist ein Ereignis. Nach Artikel 33 DSGVO ist es eine Verletzung des Schutzes personenbezogener Daten. Nach Artikel 23 NIS 2 ist es ein erheblicher Sicherheitsvorfall, sofern der Dienst gestört wird, finanzieller Schaden entsteht oder Dritte materiell oder immateriell geschädigt werden. Beide Regime können denselben Sachverhalt gleichzeitig erfassen.

Erwägungsgrund 14 NIS 2 ist eindeutig. NIS 2 berührt die Anwendung der DSGVO nicht. Eine Meldung nach Artikel 23 NIS 2 erfüllt nicht die Pflicht aus Artikel 33 DSGVO, und eine DSGVO-Meldung erfüllt nicht die NIS 2 Meldepflicht.

Diese Seite stellt beide Rahmen nebeneinander. Es ist keine Rechtsberatung. Trifft ein Datenleck die Schwellen aus Artikel 23 NIS 2 und Artikel 33 DSGVO, wird in der Praxis parallel gemeldet, mit Abstimmung zwischen Datenschutzbeauftragten und Sicherheitsverantwortlichen auf einer gemeinsamen Faktenbasis.

Rechtsanker
Zwei EU-Regelwerke, eine Umsetzungsschicht in Deutschland.

Artikel 33(1) DSGVO

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Die 72-Stunden-Uhr beginnt mit der Kenntnis des Verantwortlichen, nicht mit dem Vorfall selbst. Schwellenwert ist das Risiko für Rechte und Freiheiten natürlicher Personen, nicht der Betriebsausfall.

Artikel 23(4) NIS 2 Kaskade

Die Mitgliedstaaten stellen sicher, dass die betreffenden wesentlichen und wichtigen Einrichtungen dem CSIRT oder gegebenenfalls der zuständigen Behörde übermitteln: a) unverzüglich, in jedem Fall jedoch binnen 24 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls eine Frühwarnung; b) unverzüglich, in jedem Fall jedoch binnen 72 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls eine Sicherheitsvorfallmeldung; c) spätestens einen Monat nach Übermittlung der Sicherheitsvorfallmeldung gemäß Buchstabe b einen Abschlussbericht.

Drei Stufen an das BSI in Deutschland, an die ANSSI in Frankreich, an die RDI in den Niederlanden. Die 24-Stunden-Frühwarnung ist das Unterscheidungsmerkmal. Die DSGVO kennt keine vergleichbare Erstmeldung in der ersten Stunde.

§ 32 BSIG (Deutschland)

Wichtige und besonders wichtige Einrichtungen melden erhebliche Sicherheitsvorfälle dem Bundesamt unverzüglich nach der in Artikel 23 Absatz 4 der Richtlinie (EU) 2022/2555 vorgesehenen Kaskade.

Das BSIG setzt die NIS 2 Kaskade in deutsches Recht um. Es ändert die DSGVO-Uhr nicht. Artikel 33 DSGVO ist unmittelbar anwendbares Unionsrecht und läuft parallel zum BSIG.

Was beide Meldungen tatsächlich enthalten
Einmal erkennen, gegen zwei Schwellen klassifizieren, bei doppeltem Treffer zwei Meldungen absetzen.
Schritt 1

Erkennen und triagieren

Die Incident Response stellt fest, dass personenbezogene Daten eingesehen, abgezogen oder unverfügbar gemacht wurden. Beide rechtlichen Bewertungen greifen auf denselben Sachverhalt zu. Forensik-Logs, betroffene Systeme, betroffene Datenkategorien und betroffene Personen bilden die gemeinsame Beweisbasis.

Schritt 2

Gegen zwei Schwellen klassifizieren

Die DSGVO-Erheblichkeit knüpft an das Risiko für Rechte und Freiheiten natürlicher Personen an (Artikel 33 DSGVO). Die NIS 2 Erheblichkeit knüpft an Betriebsausfall, finanziellen Schaden oder materielle und immaterielle Schäden Dritter an (Artikel 23(3) NIS 2, konkretisiert durch CIR Abschnitt 11.6). Ein Vorfall kann eine Schwelle treffen, die andere, beide oder keine.

Schritt 3

Bei doppeltem Treffer parallel melden

Sind beide Schwellen erreicht, erhält die Cybersicherheitsbehörde die Artikel 23 NIS 2 Kaskade und die Datenschutzaufsicht die Artikel 33 DSGVO Meldung. Zwei Empfänger, zwei Formate, zwei Fristen. Die 24-Stunden-Frühwarnung der NIS 2 verlässt das Haus üblicherweise zuerst.

Zwei Uhren, gemeinsame Fakten
Ein Vorfall, zwei rechtliche Bewertungen, zwei parallele Prozesse.

Zwei Uhren laufen unabhängig

Artikel 23(4) NIS 2 startet die 24-Stunden- und 72-Stunden-Uhr mit Kenntnis des erheblichen Sicherheitsvorfalls. Artikel 33 DSGVO startet eine 72-Stunden-Uhr mit Kenntnis der Datenschutzverletzung. Beide Kenntnispunkte fallen oft zusammen, die Fristen und Empfänger unterscheiden sich. Wer auf die DSGVO-Uhr wartet, bevor er die NIS 2 Frühwarnung absetzt, verpasst typischerweise das 24-Stunden-Fenster.

Gemeinsame Fakten, unterschiedliche Schwellen

Beide Behörden fragen, was passiert ist, wann, welche Systeme, welche Daten und welche Gegenmaßnahmen. Die rechtlichen Fragen sind unterschiedlich. Die DSGVO fragt nach dem Risiko für Rechte und Freiheiten natürlicher Personen. NIS 2 fragt nach Betriebsstörung, finanziellem Schaden oder materiellem Schaden. Derselbe Sachverhaltsabsatz lässt sich wiederverwenden, die Erheblichkeitsbewertung nicht.

Wer erhält was
Unterschiedliche Empfänger mit Koordinationspflicht untereinander.
DE

BSI: Bundesamt für Sicherheit in der Informationstechnik

Cybersicherheitsbehörde nach BSIG. Empfängt die Artikel 23 NIS 2 Kaskade: 24-Stunden-Frühwarnung, 72-Stunden-Sicherheitsvorfallmeldung, Abschlussbericht nach einem Monat. Meldekanal ist das BSI-Portal für wichtige und besonders wichtige Einrichtungen.

DE

BfDI / LfDI: Datenschutzaufsicht

BfDI für Bundesstellen und Verantwortliche aus Telekommunikation und Post. LfDI des Sitzlandes für alle übrigen. Empfängt die Artikel 33 DSGVO Meldung innerhalb von 72 Stunden. Die Benachrichtigung der betroffenen Personen nach Artikel 34 DSGVO kommt hinzu, wenn das Datenleck voraussichtlich zu einem hohen Risiko für Rechte und Freiheiten führt.

EU

Artikel 23(11) NIS 2 Koordinationspflicht

Sind personenbezogene Daten betroffen, arbeitet das CSIRT oder die zuständige Behörde mit der Datenschutzaufsicht zusammen. Beide Behörden können Informationen über denselben Vorfall austauschen, das entbindet die Einrichtung jedoch nicht von einer der beiden Meldepflichten. Die Koordinationspflicht liegt bei den Behörden, nicht bei der Einrichtung.

Drei häufige Fehler
Jeder ist in veröffentlichten Bußgeldentscheidungen oder Aufsichtspapieren sichtbar.
  • Wir haben binnen 72 Stunden an die BfDI gemeldet, damit ist es erledigt.

    Artikel 33 DSGVO adressiert die Datenschutzaufsicht. Artikel 23 NIS 2 adressiert die Cybersicherheitsbehörde. Eine Meldung erfüllt nicht die andere. Erwägungsgrund 14 NIS 2 bestätigt, dass beide Regime unabhängig gelten. Sind beide Schwellen erreicht, wird in der Praxis doppelt gemeldet.

  • Wir können denselben Meldetext in beide Formulare kopieren.

    Sachverhaltsabsätze zu Hergang, Zeitpunkt und betroffenen Systemen lassen sich teilen. Die rechtliche Einordnung unterscheidet sich. Die DSGVO verlangt eine Beschreibung der wahrscheinlichen Folgen für betroffene Personen und der Maßnahmen zur Risikominderung. NIS 2 verlangt Schweregrad, Auswirkungen und Indicators of Compromise. Die Formulare stellen unterschiedliche Fragen.

  • Wir warten, bis der Datenschutzbeauftragte die DSGVO-Meldung fertig hat, bevor wir das BSI informieren.

    Die Artikel 23(4) NIS 2 Frühwarnung ist binnen 24 Stunden nach Kenntnisnahme fällig. Die DSGVO-Uhr mit 72 Stunden ist länger. Wer die NIS 2 Kaskade hinter die DSGVO-Meldung stellt, verpasst typischerweise das 24-Stunden-Fenster. Bewährte Playbooks starten die NIS 2 Frühwarnung zuerst und die DSGVO-Meldung parallel.

Was Praktiker tatsächlich tun

Eine Triage, ein Sachverhalt. Zeitlinie, betroffene Systeme, betroffene Datenkategorien, Zahl der betroffenen Personen und Gegenmaßnahmen werden einmal erfasst. Danach wird in zwei Bewertungsstränge geteilt. Der Sicherheitsverantwortliche treibt die Artikel 23 NIS 2 Kaskade. Der Datenschutzbeauftragte treibt die Artikel 33 DSGVO Meldung. Beide berichten an denselben Incident Commander.

Führt das Datenleck voraussichtlich zu einem hohen Risiko für Rechte und Freiheiten natürlicher Personen, kommt nach Artikel 34 DSGVO die Benachrichtigung der betroffenen Personen hinzu, zusätzlich zur Aufsichtsmeldung. NIS 2 enthält eine eigene Informationspflicht gegenüber Dienstnutzern nach Artikel 23(2), sofern der Vorfall die Erbringung der Dienste beeinträchtigen kann.

Wie die Plattform parallele Meldungen unterstützt

Das Vorfallmodul erfasst die gemeinsame Faktenbasis einmal. Schweregrad, betroffene Systeme, betroffene Datenkategorien, Zeitlinie und Gegenmaßnahmen speisen sowohl die NIS 2 Kaskade als auch den Entwurf der DSGVO-Meldung. Die 24-Stunden- und 72-Stunden-Fristen werden separat verfolgt mit eigenen Erinnerungen.

Die Rollen sind getrennt. Der Sicherheitsverantwortliche besitzt den NIS 2 Pfad. Der Datenschutzbeauftragte besitzt den DSGVO-Pfad. Beide sehen denselben Stand des Vorfalls. Das Auditprotokoll dokumentiert, welche Behörde was und wann erhalten hat.

Primärquellen
  • Verordnung (EU) 2016/679 (DSGVO), Artikel 33 und 34
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 23 und Erwägungsgrund 14
  • Durchführungsverordnung (EU) 2024/2690, Abschnitt 11.6 (Erheblichkeit von Sicherheitsvorfällen)
  • § 32 BSIG (Umsetzung von Artikel 23 NIS 2 in Deutschland)
  • EDSA-Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten
  • BSI-Hinweise zur Meldung erheblicher Sicherheitsvorfälle nach BSIG
Prüfen, ob NIS 2 Sie erfasst
Wer vor dem Vorfall weiß, welche Meldewege gelten, spart Stunden. Die Anwendbarkeitsprüfung dauert rund drei Minuten.