Die Datenschutzaufsichtsbehörden der Länder sprechen sich für eine deutliche Entlastung der Verantwortlichen bei der Erfüllung der Meldepflichten der neuen NIS-2 Richtlinie in Deutschland aus. Betreibern kritischer Infrastrukturen soll es ermöglicht werden, mit demselben Prozess sowohl Meldungen nach der neuen NIS-2-Richtlinie als auch nach der Datenschutz-Grundverordnung (DS-GVO) einzureichen. Einen entsprechenden Vorschlag für eine Gesetzesänderung haben die unabhängigen Datenschutzaufsichtsbehörden der Länder heute im Rahmen der Länder- und Verbändebeteiligung an das Bundesministerium des Innern gesandt.

„Mehraufwand bei Unternehmen reduzieren und gleichzeitig Grundrechte schützen. Das ist kein Widerspruch“, erklärt Sebastian Schmidt, der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV). „Nur wenn wir den Aufwand von Meldepflichten überschaubar halten und so ihre Akzeptanz stärken, kann effektiver Grundrechtsschutz gelingen.“

Zentrale Meldestelle für Sicherheitsvorfälle nach der NIS-2-Richtlinie soll in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden. Die Datenschutzaufsichtsbehörden der Länder schlagen vor, dass sie gemeinsam mit dem BSI ein einheitliches digitales Verfahren für Meldungen von Vorfällen entwickeln. Dieses Verfahren soll sowohl Meldungen nach der NIS-2-Richtlinie als auch nach der DS-GVO ermöglichen, soweit ein Sicherheitsvorfall zugleich eine Datenpanne begründet. Es unterstützt zudem den von den deutschen und europäischen Datenschutzaufsichtsbehörden bereits eingeschlagenen Weg zur Vereinheitlichung des Meldeprozesses nach Art. 33 DSGVO.

Hintergrund

Nach der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) müssen bestimmte Unternehmen aus der kritischen Infrastruktur Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Bereitstellung ihrer Dienste haben, unverzüglich melden. Eine Datenpanne liegt vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Die Datenschutz-Grundverordnung verpflichtet verantwortliche Stellen grundsätzlich dazu, eine Datenpanne innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden und unter Umständen auch die betroffenen Personen über den Vorfall zu informieren.

Mehr Informationen

• Stellungnahme  der unabhängigen Datenschutzaufsichtsbehörden der Länder (Anlage)
• Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

Kontakt: presse@datenschutz-mv.de

Telefon: 0385 59494-56