NIS-2 vs. DSGVO: Überschneidungen und Unterschiede
Wie sich NIS-2 und DSGVO zueinander verhalten: Gemeinsamkeiten bei Sicherheitsvorfällen, unterschiedliche Schutzziele und parallele Meldepflichten erklärt.
NIS-2 Redaktion
Die DSGVO kennen Sie wahrscheinlich schon – zumindest den Aufwand, den sie verursacht hat. Jetzt kommt NIS-2 dazu. Zwei EU-Regelwerke, unterschiedliche Ziele, aber erstaunlich viel Überschneidung. Und bei einem Sicherheitsvorfall können beide gleichzeitig greifen. Das sollten Sie verstehen.
Worum es jeweils geht
Die DSGVO schützt personenbezogene Daten. Menschen und ihre Rechte stehen im Mittelpunkt. Was passiert mit meinen Daten? Wer darf sie sehen? Wie werden sie geschützt?
NIS-2 schützt Netz- und Informationssysteme. Es geht um die Sicherheit kritischer Infrastrukturen und wichtiger Dienste. Laufen die Systeme? Sind sie gegen Angriffe geschützt? Können wir den Betrieb aufrechterhalten?
Die Schnittmenge ist Informationssicherheit. Die DSGVO verlangt “geeignete technische und organisatorische Maßnahmen” zum Schutz personenbezogener Daten. NIS-2 verlangt Risikomanagementmaßnahmen für Netz- und Informationssysteme. In der Praxis sind das oft dieselben Maßnahmen.
Wo sich die beiden unterscheiden
| Aspekt | DSGVO | NIS-2 |
|---|---|---|
| Was wird geschützt? | Personenbezogene Daten | Netz- und Informationssysteme |
| Wer ist betroffen? | Jeder, der Daten verarbeitet | Kritische und wichtige Einrichtungen |
| Aufsichtsbehörde | Datenschutzbehörden | BSI |
| Maximale Bußgelder | 20 Mio. € oder 4% Umsatz | 10 Mio. € oder 2% Umsatz |
| Meldepflicht Frist | 72 Stunden | 24h Frühwarnung, dann 72h ausführlich |
| Meldung an wen? | Datenschutzbehörde | BSI |
| Betroffene informieren? | Ja, bei hohem Risiko | Nein |
Das Meldepflicht-Problem
Hier wird es interessant – und potenziell kompliziert.
Die DSGVO sagt: Wenn personenbezogene Daten kompromittiert wurden und das ein Risiko für die Betroffenen darstellt, müssen Sie innerhalb von 72 Stunden an die Datenschutzbehörde melden. Und wenn das Risiko hoch ist, müssen Sie auch die betroffenen Personen informieren.
NIS-2 sagt: Bei einem erheblichen Sicherheitsvorfall müssen Sie innerhalb von 24 Stunden eine Frühwarnung ans BSI schicken. Dann innerhalb von 72 Stunden eine ausführliche Meldung. Und nach einem Monat einen Abschlussbericht.
Jetzt stellen Sie sich einen Ransomware-Angriff vor, bei dem Kundendaten abgeflossen sind. Was müssen Sie tun?
Erstens: Frühwarnung ans BSI innerhalb von 24 Stunden. Zweitens: Meldung an die Datenschutzbehörde innerhalb von 72 Stunden. Drittens: Ausführliche Meldung ans BSI innerhalb von 72 Stunden. Viertens: Wenn hohes Risiko für die Betroffenen besteht, diese informieren. Fünftens: Nach einem Monat Abschlussbericht ans BSI.
Die Fristen laufen parallel, nicht nacheinander. Das kann hektisch werden. Deshalb sollten Sie das vorher durchdacht haben.
Wie Sie das organisieren
Sie brauchen koordinierte Prozesse. Ein Incident-Response-Prozess, der beide Szenarien abdeckt. Parallel bewerten: Ist es ein NIS-2-meldepflichtiger Vorfall? Ist es auch ein DSGVO-meldepflichtiger Vorfall? Meistens ist es beides.
Die Kommunikation muss abgestimmt sein. Sie wollen nicht dem BSI etwas anderes erzählen als der Datenschutzbehörde. Die Dokumentation sollte einheitlich sein.
Und Sie haben unterschiedliche Ansprechpartner: Für die DSGVO ist der Datenschutzbeauftragte zuständig, die Meldung geht an die Landesdatenschutzbehörde. Für NIS-2 ist der Informationssicherheitsbeauftragte zuständig, die Meldung geht ans BSI. Beide müssen bei einem Vorfall an einem Tisch sitzen.
Wo Sie Synergien nutzen können
Die gute Nachricht: Viele Maßnahmen erfüllen beide Anforderungen gleichzeitig.
Verschlüsselung brauchen Sie für beide. Zugriffskontrolle brauchen Sie für beide. Backup und Recovery brauchen Sie für beide. Logging und Monitoring brauchen Sie für beide. Risikobewertung, Incident Response, Mitarbeiterschulung, Lieferantenbewertung, Dokumentation – alles Themen, die sowohl DSGVO als auch NIS-2 verlangen.
Der effiziente Ansatz ist deshalb: Führen Sie nicht zwei getrennte Compliance-Projekte. Bauen Sie ein integriertes Managementsystem für Informationssicherheit und Datenschutz. Machen Sie eine gemeinsame Risikobewertung, die beide Perspektiven berücksichtigt. Schreiben Sie einheitliche Richtlinien, die beide Anforderungen abdecken. Führen Sie koordinierte Audits durch.
Das spart Arbeit und vermeidet Widersprüche.
Besondere Situationen
Auftragsverarbeiter: Nach DSGVO müssen Auftragsverarbeiter bestimmte Garantien bieten. Wenn der Auftragsverarbeiter selbst unter NIS-2 fällt – zum Beispiel ein Cloud-Provider – gilt NIS-2 direkt für ihn. Wenn nicht, können Sie als Auftraggeber NIS-2-Anforderungen vertraglich weitergeben. Das ist Teil der Lieferkettensicherheit.
Drittstaatentransfer: Die DSGVO hat strenge Regeln für die Übermittlung personenbezogener Daten in Drittstaaten. NIS-2 hat das nicht explizit, aber die Lieferkettensicherheit verlangt, dass Sie Drittland-Dienstleister bewerten. Im Ergebnis müssen Sie bei beiden aufpassen, wohin Ihre Daten gehen.
Das Schlimmstmögliche: Kumulation der Bußgelder
Bei einem Vorfall mit personenbezogenen Daten können Bußgelder nach beiden Regelwerken verhängt werden. DSGVO: bis 20 Millionen Euro oder 4 Prozent des Jahresumsatzes. NIS-2: bis 10 Millionen Euro oder 2 Prozent des Jahresumsatzes.
Im Extremfall können diese Bußgelder kumulieren. Das ist keine theoretische Möglichkeit – wenn Sie sowohl DSGVO-Pflichten verletzt haben (unzureichende Sicherheitsmaßnahmen, verspätete Meldung) als auch NIS-2-Pflichten (mangelhafte Cybersicherheit, verspätete Meldung), können Sie von beiden Seiten sanktioniert werden.
Was Sie konkret tun sollten
Betrachten Sie DSGVO und NIS-2 nicht als separate Silos. Sie haben unterschiedliche Ziele, aber sie ergänzen sich. Was für eines gut ist, ist meistens auch für das andere gut.
Stellen Sie sicher, dass bei Vorfällen beide Meldepflichten geprüft werden. Eine Checkliste im Incident-Response-Plan hilft: Sind personenbezogene Daten betroffen? Dann DSGVO prüfen. Sind Netz- und Informationssysteme betroffen? Dann NIS-2 prüfen. Meistens ist beides mit Ja zu beantworten.
Nutzen Sie die Synergien. Ein ISMS kann beide Anforderungen abdecken. Schulungen können DSGVO und NIS-2 kombinieren. Audits können beide Perspektiven integrieren.
Und binden Sie beide Experten ein – den Datenschutzbeauftragten und den Informationssicherheitsbeauftragten. Die sollten nicht aneinander vorbei arbeiten.
Am Ende
DSGVO und NIS-2 sind zwei Seiten derselben Medaille: der Forderung nach verantwortungsvollem Umgang mit Daten und Systemen. Die Compliance-Aufwände können gebündelt werden, aber bei Vorfällen müssen beide Regelwerke parallel beachtet werden.
Wer bereits DSGVO-konform aufgestellt ist, hat für NIS-2 eine gute Basis. Und umgekehrt. Nutzen Sie das. Bauen Sie nicht zwei parallele Compliance-Welten auf, sondern eine integrierte Sicherheitskultur, die beide Anforderungen erfüllt.
Schlagworte
War dieser Artikel hilfreich?
Prüfen Sie jetzt kostenlos, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist.