Die Datenschutzaufsichtsbehörden der Länder sprechen sich für eine Vereinfachung der Meldepflichten bei der Umsetzung der NIS-2-Richtlinie aus. Künftig sollen Unternehmen IT-Sicherheitsvorfälle und Datenschutzverstöße in einem einzigen, einheitlichen Verfahren melden können. Ein entsprechender Vorschlag wurde an das Bundesinnenministerium übermittelt. Das Ziel besteht darin, Betreiber kritischer Infrastrukturen zu entlasten, indem Meldungen nach der NIS-2-Richtlinie und der DSGVO gebündelt erfolgen können. Der Beitrag stellt vor, wie die Aufsichten hierzu argumentiert haben.
Der Inhalt im Überblick
Hintergrund des Vorschlags der Aufsichtsbehörden im Kontext von NIS-2
Mit der NIS-2-Richtlinie (kurz: „NIS-2“) soll ein einheitlicher Rechtsrahmen für die Aufrechterhaltung der Cybersicherheit in 18 Sektoren in der gesamten EU geschaffen werden. Zusätzlich zu den von NIS-1 abgedeckten Sektoren – Energie, Verkehr, Gesundheitswesen, Finanzen, Wasserwirtschaft und digitale Infrastruktur – gelten die NIS-2-Vorschriften unter anderem auch für die Abfall- und Abwasserbewirtschaftung, die Herstellung kritischer Produkte, Post- und Kurierdienste sowie die öffentliche Verwaltung. In diesen Sektoren sind mittlere und große Einrichtungen dazu verpflichtet, geeignete Maßnahmen zum Cybersicherheitsrisikomanagement zu ergreifen und die Behörden über erhebliche Sicherheitsvorfälle zu informieren.
Ein Sicherheitsvorfall gilt laut Art. 23 Abs. 3 NIS-2 als erheblich, wenn
- er schwerwiegende Betriebsstörungen oder finanzielle Verluste für die Einrichtung verursacht hat oder verursachen kann oder
- er andere Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchigen kann.
Bezogen auf die Meldepflicht für schwerwiegende Vorfälle sieht Art. 35 Abs. 1 NIS-2 vor:
„Stellen die (.) Behörden (…) fest, dass der Verstoß (…) gegen die in den Artikeln 21 und 23 der vorliegenden Richtlinie festgelegten Verpflichtungen eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 zur Folge haben kann, die gemäß Artikel 33 der genannten Verordnung zu melden ist, unterrichten sie unverzüglich die (…) Aufsichtsbehörden.“
Nunmehr steht die Umsetzung der NIS-2 in Deutschland an, um einem Vertragsverletzungsverfahren zu entgehen. Hierzu hat die Bundesregierung einen Entwurf veröffentlicht, auf den sich die Äußerungen der Datenschutzaufsichten beziehen.
Was schlagen die Aufsichtsbehörden zur Umsetzung der NIS-2 vor?
Die Aufsichten schlagen vor, eine zentrale Anlaufstelle für Meldungen zu schaffen. Hierzu heißt es in der NIS-2-Richtlinie:
„Um die Übermittlung der nach dieser Richtlinie erforderlichen Informationen zu vereinfachen und den Verwaltungsaufwand (…) zu verringern, sollten die Mitgliedstaaten (…) eine zentrale Anlaufstelle (…) für die Nutzung durch Einrichtungen, unabhängig davon, ob sie in den Anwendungsbereich dieser Richtlinie fallen, für die Übermittlung der (.) zu meldenden Informationen bereitstellen. (…) Wird eine zentrale Anlaufstelle eingerichtet, so wird den Mitgliedstaaten nahegelegt, diese (…) auch für Meldungen von Sicherheitsvorfällen zu nutzen, die nach anderen Rechtsvorschriften der Union wie der Verordnung (EU) 2016/679 (…) erforderlich sind.(Erwägungsgrund 106).“
Laut den Aufsichten macht der Entwurf von dieser Möglichkeit nur suboptiomal Gebrauch, weil dieser nur eine ermessensabhängige Regelung für die Meldebehörde zur Meldung eines Datenschutzvorfalls an die Aufsichten vorsieht (§ 61 Abs. 11 des Entwurfs). Daher schlagen die Aufsichten vor, § 40 Abs. 3 Nr. 5 des Entwurfs wie folgt zu ergänzen:
„(…) elektronische Verfahren anzubieten, bei der Erfüllung ihrer Verpflichtungen nach § 32 auch ihren Verpflichtungen nach Art. 33 der Verordnung (EU) 2016/679 nachzukommen. Das Bundesamt gewährleistet die unverzügliche Bereitstellung dieser Meldungen für die zuständigen Datenschutzaufsichtsbehörden. (…)“
Die Aufsichten begründen den Vorschlag im Kern mit einem bisher nicht genutzten Synergie- und Entbürokratisierungspotenzial. Einzelheiten der Ausgestaltung und Umsetzung sollen durch verwaltungsinternen Regelungen umgesetzt werden.
Ist der Vorschlag der Aufsichten unterstützenswert?
Gemessen daran, dass das Gros der IT-Sicherheitsvorfälle auch einen Datenschutzvorfall (Art. 4 Nr. 12 DSGVO) darstellt, hat der Vorschlag aus Sicht der verpflichteten Einrichtungen seine Berechtigung. In der Regel bedeutet es für diese nur Mehrarbeit einen im Kern oft gleichen Sachverhalt an verschiedene Aufsichten zu melden – gerade, wenn die Meldung des Datenschutzvorfalls an mehrere Datenschutzaufsichten erfolgen muss. Ein wenig mehr Zentralismus im sonst eher zersplitterten Gefüge des IT-und Datenschutzaufsichtsrecht in Deutschland sollte hier mehr Nutzen als Schaden bringen.
