NIS 2 und DSGVO: die Schnittmenge, die keine Fusion ist
Artikel 32 DSGVO und Artikel 21 NIS 2 verlangen viele derselben Sicherheitsmaßnahmen. Artikel 33 DSGVO und Artikel 23 NIS 2 sind getrennte Meldewege mit eigener Uhr und eigener Behörde. Erwägungsgrund 14 NIS 2 hält fest, dass die beiden Regime einander ergänzen. Sie verschmelzen nicht zu einer Meldung.
Die Kurzfassung
Die DSGVO (Verordnung (EU) 2016/679) schützt die Rechte und Freiheiten der natürlichen Personen, deren personenbezogene Daten verarbeitet werden. NIS 2 (Richtlinie (EU) 2022/2555) schützt den operativen Betrieb der Netz- und Informationssysteme in den wesentlichen und wichtigen Sektoren. Zwei Regime, zwei geschützte Rechtsgüter, ein weitgehend gemeinsamer Maßnahmenkatalog.
Der Maßnahmenkatalog überschneidet sich stark. Artikel 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen für die Sicherheit personenbezogener Daten. Artikel 21 NIS 2 verlangt Risikomanagementmaßnahmen für die Sicherheit von Netz- und Informationssystemen. Eine funktionierende Zugriffskontrolle, ein getestetes Backup und ein dokumentiertes Incident Response Verfahren erfüllen in der Regel beides gleichzeitig.
Die Meldewege überschneiden sich nicht. Artikel 33 DSGVO geht innerhalb von 72 Stunden an die Datenschutzaufsichtsbehörde. Artikel 23 NIS 2 schickt eine Frühwarnung innerhalb von 24 Stunden, eine vollständige Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats an das BSI oder den nationalen CSIRT. Andere Empfänger, andere Inhalte, andere Uhr. Es gibt keine zusammengelegte Meldung.
Artikel 32 Absatz 1 DSGVO (Verordnung (EU) 2016/679)
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Die Sicherheitsklausel der DSGVO. Risikobasiert, verhältnismäßig, gebunden an die Rechte und Freiheiten natürlicher Personen. Artikel 32 Absatz 2 nennt Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit und ein regelmäßiges Testverfahren als die Art von Maßnahmen, die der Verantwortliche und der Auftragsverarbeiter berücksichtigen müssen. Die Sprache liegt absichtlich nah an Artikel 21 Absatz 2 NIS 2.
Artikel 21 NIS 2 und Erwägungsgrund 14 (Richtlinie (EU) 2022/2555)
Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten. [Artikel 21 Absatz 1] / Diese Richtlinie lässt die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates unberührt. [Erwägungsgrund 14]
Artikel 21 normiert die Sicherheitspflicht für Netz- und Informationssysteme. Artikel 21 Absatz 2 listet die zehn Maßnahmenfelder auf (Risikomanagementpolitik, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs, Sicherheit der Lieferkette, sichere Beschaffung und Entwicklung, Schwachstellenmanagement, Schulung, Kryptografie, Zugriffskontrolle und Asset Management, Multi-Faktor-Authentifizierung). Erwägungsgrund 14 stellt klar, dass die DSGVO unangetastet bleibt. Die beiden Regime stehen nebeneinander.
§30 und §32 BSIG gegenüber Artikel 33 DSGVO (Deutschland)
§30 BSIG setzt Artikel 21 NIS 2 in den Katalog der Cybersicherheitsrisikomanagementmaßnahmen um. §32 BSIG setzt Artikel 23 NIS 2 in die Meldekaskade 24 Stunden, 72 Stunden, ein Monat an das BSI um. Artikel 33 DSGVO bleibt unverändert in der Verordnung und gilt unmittelbar gegenüber der Datenschutzaufsichtsbehörde (BfDI bei Bundesbehörden und bestimmten regulierten Sektoren, die Landesbehörden bei allen anderen).
Zwei deutsche Regelwerke, zwei deutsche Empfänger. §30 BSIG und §32 BSIG gehen an das BSI. Artikel 33 DSGVO geht an den BfDI oder den LfDI. Die beiden Behörden arbeiten nach Artikel 23 Absatz 11 NIS 2 zusammen, sie führen jedoch keine gemeinsame Akte. Berührt ein Vorfall beide Regime, wird zweimal gemeldet.
Gemeinsamer Maßnahmenkatalog
Artikel 32 DSGVO und Artikel 21 Absatz 2 NIS 2 verlangen dieselben Maßnahmenfamilien: Zugriffskontrolle, Verschlüsselung, Backup und Wiederherstellung, Incident Response, Schulung, Schwachstellenmanagement, Lieferantensicherheit. Ein einziger Katalog technischer und organisatorischer Maßnahmen deckt beides ab. Der Wortlaut unterscheidet sich, der Inhalt nicht.
Zwei Meldeuhren
Artikel 33 DSGVO: 72 Stunden an die Datenschutzaufsichtsbehörde ab Kenntniserlangung von einer Verletzung des Schutzes personenbezogener Daten, mit den in Artikel 33 Absatz 3 definierten Inhalten. Artikel 23 NIS 2: 24 Stunden Frühwarnung, 72 Stunden vollständige Meldung, ein Monat Abschlussbericht an das BSI oder den nationalen CSIRT. Anderer Empfänger, andere Schwelle (Verletzung des Schutzes personenbezogener Daten gegenüber erheblicher Sicherheitsvorfall), andere Vorlage. Beide laufen parallel.
Dokumentation muss in jeder Akte eigenständig tragen
Der BfDI oder LfDI prüft die Akte nach Artikel 32 und Artikel 33 DSGVO. Das BSI prüft die Akte nach §30 und §32 BSIG. Jede Behörde erwartet ihre eigene Rechtsgrundlage zitiert, ihre eigene Frist dokumentiert, ihre eigenen Nachweise abgelegt. Ein gemeinsames Vorfallsprotokoll kann beide speisen, die Meldungen bleiben getrennt.
Komplementäre Rechtsgüter, keine redundanten Pflichten
Die DSGVO schützt die Rechte und Freiheiten der natürlichen Personen, deren personenbezogene Daten verarbeitet werden. NIS 2 schützt die operative Kontinuität der Systeme, von denen wesentliche und wichtige Einrichtungen abhängen. Die Sicherheitsmaßnahmen überschneiden sich, weil beide Regime ähnliche Kontrollen brauchen. Die Pflichten werden dadurch nicht redundant. Ein Ransomwareangriff, der das Patientensystem eines Krankenhauses lahmlegt, ist sowohl eine Verletzung des Schutzes personenbezogener Daten nach Artikel 33 DSGVO als auch ein erheblicher Sicherheitsvorfall nach Artikel 23 NIS 2. Beide Akten werden eröffnet.
Behörden kooperieren, Meldungen werden nicht zusammengelegt
Artikel 23 Absatz 11 NIS 2 verpflichtet die zuständigen NIS 2 Behörden und die Datenschutzaufsichtsbehörden zur Zusammenarbeit, wenn ein Vorfall personenbezogene Daten betrifft. Sie tauschen Informationen aus und können ihr Vorgehen abstimmen. Sie führen kein gemeinsames Verfahren und erlassen keine gemeinsame Entscheidung. Die Einrichtung meldet zweimal, auf zwei Uhren, mit zwei Sätzen von Tatsachen, die die jeweilige Behörde wissen will.
BSI (zuständige NIS 2 Behörde)
Das BSI führt den NIS 2 Aufsichtszyklus in Deutschland. §30 BSIG Maßnahmen, §32 BSIG Meldungen, §33 BSIG Registrierung. Das BSI ist Empfänger der Kaskade 24 Stunden, 72 Stunden, ein Monat. Es prüft die Akte zu Artikel 32 DSGVO nicht und koordiniert die Benachrichtigung der betroffenen Personen nach Artikel 34 DSGVO nicht.
BfDI und die Landesbehörden (LfDI)
Die Datenschutzaufsicht ist geteilt. Der BfDI ist zuständig für Bundesbehörden, Post- und Telekommunikationsanbieter und einige weitere regulierte Bereiche. Jedes Land hat seine eigene Datenschutzaufsichtsbehörde (LfDI Baden-Württemberg, LDI NRW, BlnBDI Berlin und so weiter) für alle anderen. Die Datenschutzaufsichtsbehörde ist Empfänger der Meldung nach Artikel 33 DSGVO und Adressatin von Bußgeldern nach Artikel 83 DSGVO.
ENISA und Europäischer Datenschutzausschuss
ENISA koordiniert die Cybersicherheitsebene über die Mitgliedstaaten hinweg im Rahmen von NIS 2. Der Europäische Datenschutzausschuss (EDSA) koordiniert die Datenschutzebene unter der DSGVO. Beide arbeiten nebeneinander. Sie veröffentlichen getrennte Leitlinien: ENISA zu Meldepflichten und Risikomanagement, der EDSA zu Artikel 33 und Artikel 34 DSGVO. Die beiden Stränge werden nicht in ein gemeinsames EU Instrument überführt.
RDI und Autoriteit Persoonsgegevens (Niederlande)
Die niederländische Aufteilung spiegelt die deutsche. Die Rijksinspectie Digitale Infrastructuur (RDI) und sektorspezifische zuständige Behörden bearbeiten den NIS 2 Strang. Die Autoriteit Persoonsgegevens (AP) bearbeitet den DSGVO Strang. Belgien, Frankreich und Österreich folgen einem ähnlichen Muster. Die Zweibehördenstruktur ist EU-weit der Standardfall.
Wir sind DSGVO konform, also ist NIS 2 abgedeckt.
Die DSGVO erfasst personenbezogene Daten. NIS 2 erfasst Netz- und Informationssysteme unabhängig davon, ob personenbezogene Daten betroffen sind. Anlagensteuerungen, OT und Ausfälle, die keine personenbezogenen Daten berühren, sind weiterhin NIS 2 Vorfälle. Eine saubere DSGVO Akte ersetzt weder die Meldung nach §32 BSIG noch die Maßnahmen nach §30 BSIG für Systeme, die keine personenbezogenen Daten verarbeiten.
Wir sind NIS 2 konform, also ist die DSGVO abgedeckt.
NIS 2 sichert Systeme. Die DSGVO sichert die Rechte und Freiheiten der Personen, deren personenbezogene Daten diese Systeme verarbeiten. Ein gut aufgesetzter §30 BSIG Katalog muss zusätzlich in der Akte zu Artikel 32 DSGVO, im Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO und in den Datenschutzfolgenabschätzungen nach Artikel 35 DSGVO dokumentiert sein. Der BfDI oder LfDI prüft seine eigene Rechtsgrundlage, nicht das BSIG.
Ein Vorfall, eine Meldung. Wir melden ans BSI und sind fertig.
Ein Vorfall, der personenbezogene Daten betrifft, löst beide Regime aus. Artikel 33 DSGVO läuft auf der 72 Stunden Uhr an die Datenschutzaufsichtsbehörde. Artikel 23 NIS 2 läuft auf der Kaskade 24 Stunden, 72 Stunden, ein Monat an das BSI. Die Schwellen sind nicht identisch und die Empfänger nicht dieselben. Es werden zwei Akten parallel eröffnet, mit Querverweisen, nicht eine gemeinsame Meldung.
Ein Maßnahmenkatalog, zwei Meldepläne. Eine typische wesentliche Einrichtung mit 200 Beschäftigten führt nicht zwei getrennte Kataloge technischer und organisatorischer Maßnahmen. Dieselbe Zugriffsrichtlinie, derselbe Verschlüsselungsstandard, dasselbe Incident Response Verfahren erscheint in der Akte zu Artikel 32 DSGVO und in der Akte zu §30 BSIG mit unterschiedlichen Deckblättern. Die Arbeit fällt einmal an. Die zitierte Rechtsgrundlage unterscheidet sich.
Die Trennlinie zwischen den Regimen liegt im Meldelauf. Das Incident Response Handbuch stellt in der ersten Stunde drei Fragen: liegt eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Nummer 12 DSGVO vor, liegt ein erheblicher Sicherheitsvorfall im Sinne von Artikel 23 Absatz 3 NIS 2 vor, liegen beide vor. Lautet die Antwort beides, starten zwei parallele Uhren. Der Datenschutzbeauftragte und der CISO eröffnen getrennte Akten, teilen die Fakten, legen die Meldungen aber nicht zusammen. Die saubere Fassung dieses Handbuchs passt auf eine Seite.
Die Plattform modelliert das NIS 2 Pflichtenregister: Registrierung nach Artikel 27, Risikomanagementmaßnahmen nach Artikel 21, Meldungen nach Artikel 23, Schulung der Leitungsorgane nach Artikel 20. Sie modelliert kein DSGVO Verzeichnis von Verarbeitungstätigkeiten und führt keine Datenschutzfolgenabschätzungen. Die bleiben in eurem Datenschutztool, geführt vom Datenschutzbeauftragten, beaufsichtigt von eurer Datenschutzaufsichtsbehörde.
Wo beide Regime auf dieselben Nachweise zugreifen (technische und organisatorische Maßnahmen, Lieferantenklauseln, Schulungsnachweise), bieten wir diese als exportierbare Artefakte an, die ihr an die Akte zu Artikel 32 DSGVO anhängen könnt. Die §32 BSIG Meldekaskade hat ihren eigenen Ablauf auf der Plattform. Die Meldung nach Artikel 33 DSGVO bleibt dort, wo sie immer war, im Verzeichnis der Verletzungen des Schutzes personenbezogener Daten.
- Verordnung (EU) 2016/679 (DSGVO), Artikel 4 Nummer 12, 32, 33, 34, 83 — eur-lex.europa.eu/eli/reg/2016/679/oj
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 20, 21, 23, 27 und Erwägungsgrund 14 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSI-Gesetz (BSIG), §30 und §32 in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes — gesetze-im-internet.de/bsig_2009
- Europäischer Datenschutzausschuss, Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten — edpb.europa.eu
- ENISA, Technical Implementation Guidance zu den Maßnahmen nach Artikel 21 NIS 2 — enisa.europa.eu