Die Datenschutzaufsichtsbehörden der Länder sprechen sich für eine deutliche Entlastung der Verantwortlichen bei der Erfüllung der Meldepflichten der neuen NIS-2-Richtlinie in Deutschland aus. Betreibern kritischer Infrastrukturen soll es ermöglicht werden, mit demselben Prozess sowohl Meldungen nach der neuen NIS-2-Richtlinie als auch nach der Datenschutz-Grundverordnung einzureichen. Einen entsprechenden Vorschlag für eine Gesetzesänderung haben die unabhängigen Datenschutzaufsichtsbehörden der Länder heute im Rahmen der Länder- und Verbändebeteiligung an das Bundesministerium des Innern gesandt.
Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Wenn von einem IT-Sicherheitsvorfall auch personenbezogene Daten betroffen sind, muss dies in der Regel auch den Datenschutzaufsichtsbehörden gemeldet werden. Statt Meldungen doppelt einreichen zu müssen, sollten Unternehmen alle Meldungen in einem Schritt erledigen können. Die Vereinheitlichung würde Bürokratie abbauen, Unternehmen spürbar entlasten und die behördlichen Verfahren beschleunigen.“
Zentrale Meldestelle für Sicherheitsvorfälle nach der NIS-2-Richtlinie soll in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden. Die Datenschutzaufsichtsbehörden der Länder schlagen vor, dass sie gemeinsam mit dem BSI ein einheitliches digitales Verfahren für Meldungen von Vorfällen entwickeln. Dieses Verfahren soll sowohl Meldungen nach der NIS-2-Richtlinie als auch nach der DSGVO ermöglichen, soweit ein Sicherheitsvorfall zugleich eine Datenpanne begründet. Es unterstützt zudem den von den deutschen und europäischen Datenschutzaufsichtsbehörden bereits eingeschlagenen Weg zur Vereinheitlichung des Meldeprozesses nach Art. 33 DSGVO.
Hintergrund
Nach der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) müssen bestimmte Unternehmen aus der kritischen Infrastruktur Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Bereitstellung ihrer Dienste haben, unverzüglich melden.
Eine Datenpanne liegt vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Die Datenschutz-Grundverordnung verpflichtet verantwortliche Stellen grundsätzlich dazu, eine Datenpanne innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden und unter Umständen auch die betroffenen Personen über den Vorfall zu informieren.
Mehr Informationen