Die Auswirkungen der NIS2 auf die DSGVO
Geschrieben von Laura Stöhr, veröffentlicht am 05.02.2024Mit dem ständig wachsenden digitalen Fortschritt und der zunehmenden Vernetzung von Systemen und Daten ist der Schutz persönlicher und sensibler Informationen zu einer der wichtigsten Herausforderungen unserer Zeit geworden. Die Europäische Union hat zu diesem Zwecke zwei wichtige Rechtsrahmen zum Schutz dieser Daten und Informationen geschaffen: die Datenschutz-Grundverordnung (DSGVO) und die Netzwerk- und Informationssicherheitsrichtlinie (NIS). Im Jahr 2021 wurde die NIS-Richtlinie zudem überarbeitet und ist am 16.01.2023 als NIS2 in Kraft getreten, um den sich entwickelnden Bedrohungen im digitalen Raum besser begegnen zu können. Es stellt sich nun die Frage, welche Auswirkungen die NIS2 auf die DSGVO haben wird und wie diese Änderungen die Datenschutzlandschaft innerhalb der EU prägen werden.
Die beiden Vorschriften im Überblick
Die im Mai 2018 in Kraft getretene DSGVO ist eine wichtige Verordnung der Europäischen Kommission, die die Rechte und den Schutz personenbezogener Daten von EU-Bürgern stärken soll. Sie legt strenge Regeln für die Verarbeitung personenbezogener Daten fest und verpflichtet Organisationen zur Einhaltung hoher Datenschutzstandards. Dabei hat sie weitreichende Auswirkungen auf die Art und Weise, wie Daten innerhalb der EU verarbeitet und in andere Länder außerhalb der EU übermittelt werden dürfen – und dient so dem Schutz der Privatsphäre der Bürger.
Die NIS2 ist eine Aktualisierung der ursprünglichen NIS-Richtlinie und zielt darauf ab, die Cybersicherheit in der EU zu verbessern. Sie legt Mindestsicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste fest, um den wachsenden und komplexen Bedrohungen im digitalen Raum entgegenwirken zu können. Dazu werden innerhalb der Richtlinie klare Anforderungen gestellt, um Transparenz und Reaktionsfähigkeit bei Sicherheitsverstößen zu gewährleisten.
Unterschiede und Gemeinsamkeiten
Wie sich zeigt, dienen beide Rechtsvorschriften sowohl dem Datenschutz als auch der Cybersicherheit. Zwar soll die DSGVO von der neuen NIS2-Richtlinie schon aufgrund unterschiedlicher Schwerpunkte weitestgehend unberührt bleiben (Erwägungsgrund 14 NIS2), dennoch weisen die Gesetze einige Gemeinsamkeiten auf.
Unterschiede:
- Fokus und Ziele: Während sich die DSGVO in erster Linie auf den Schutz personenbezogener Daten und die Wahrung der Privatsphäre der Bürger konzentriert, zielt die NIS2 darauf ab, die Cybersicherheit zu stärken, indem Mindestsicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste festgelegt werden.
- Geltungsbereich: Die DSGVO betrifft alle Organisationen innerhalb der EU, welche personenbezogene Daten verarbeiten, während sich die NIS2-Richtlinie speziell auf Betreiber kritischer Dienste und Anbieter digitaler Dienste konzentriert, die für das Funktionieren der digitalen Infrastruktur von entscheidender Bedeutung sind.
- Sanktionen: Im Falle von Verstößen können sowohl die DSGVO als auch die NIS2 Geldbußen verhängen. Sofern jedoch die Datenschutzbehörde eine Geldbuße nach DSGVO verhängt, ist für denselben Verstoß ein Bußgeld nach Art. 31 Abs. 4 NIS2 ausgeschlossen. Andere Durchsetzungsmaßnahmen hingegen sind weiterhin möglich.
Gemeinsamkeiten:
- Rechtsgrundlage zur Datenverarbeitung: Die Rechtsgrundlage zur Verarbeitung personenbezogener Daten können in beiden Vorschriften, die Art. 6 Abs. 1 lit. c und Art. 6 Abs. 3 DSGVO (rechtliche Verpflichtung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, Erwägungsgrund 121 NIS2) betreffen, sein.
- Meldepflicht für Sicherheitsvorfälle: Sowohl die DSGVO als auch die NIS2 verlangen die Meldung von Sicherheitsvorfällen. Dies schafft Transparenz und ermöglicht eine angemessene Reaktion auf Datenschutz- und Cybersicherheitsverletzungen.
- Zusammenarbeit zwischen Behörden: Die nach der NIS2 zuständigen Behörden sollen mit den Datenschutzbehörden zusammenarbeiten (Erwägungsgrund 108 und Art. 31 Abs. 3 NIS2) und haben Datenschutzverstöße gem. Art. 33 DSGVO zu melden (Art. 35 NIS2).
- Erhöhte Anforderungen an Sicherheitsmaßnahmen: Sowohl die DSGVO als auch die NIS2 legen erhöhte Anforderungen an die Sicherheitsmaßnahmen fest, die Unternehmen und Organisationen ergreifen müssen, um personenbezogene Daten und digitale Dienste vor Verstößen zu schützen.
Zusammenspiel von Datenschutz (DSGVO) und Datensicherheit (NIS2)
Wie bereits erwähnt, steht beim Datenschutz zwar der Schutz natürlicher Personen innerhalb der EU im Mittelpunkt, während es bei der Datensicherheit vor allem um den technischen Schutz von Unternehmen vor unbefugten Zugriffen Dritter geht. Allerdings können Datenschutz und Datensicherheit nicht vollständig getrennt betrachtet werden. So lässt sich am Ende sagen, dass beide Gesetze Hand in Hand arbeiten, um einen umfassenden Schutz für alle EU-Bürger sowie die digitale Infrastruktur zu gewährleisten.
So sind die Überschneidungen innerhalb der tatsächlichen Umsetzung der Gesetze insbesondere hinsichtlich technischer und organisatorischer Maßnahmen sowie der Risikobewertung zu sehen. Sowohl die DSGVO als auch die NIS2 fordert daher von Unternehmen die Durchführung von Risikobewertungen hinsichtlich der Auswirkungen von Datenverarbeitungsaktivitäten auf die Rechte und Freiheiten der betroffenen Personen sowie der verwendeten Informationssysteme. Zudem verlangt die DSGVO in bestimmten Fällen die Durchführung von Datenschutz-Folgenabschätzungen, um die Auswirkungen von Datenverarbeitung auf die Privatsphäre zu bewerten. Diese Abschätzungen umfassen ebenfalls die Berücksichtigung von technischen und organisatorischen Maßnahmen zur Minimierung von Datenschutzrisiken, welche im Regelfall auch die betroffenen Maßnahmen der NIS2 enthalten werden.
Unternehmen müssen also zur Einhaltung der Vorschriften Maßnahmen zur Erkennung, Prävention und Reaktion auf Sicherheitsvorfälle implementieren, einschließlich Sicherheitsrichtlinien, Überwachungssysteme und Maßnahmen zur Wiederherstellung von Daten und Diensten.
Fazit
Die NIS2-Richtlinie hat erhebliche Auswirkungen auf die Datenschutzlandschaft in der EU. Durch die verstärkte Zusammenarbeit zwischen Datenschutz- und Sicherheitsbehörden, die Erhöhung der Sicherheitsanforderungen und die Einführung klarer Meldepflichten schafft NIS2 eine umfassendere und geschütztere digitale Umgebung. Unternehmen müssen heute mehr denn je die DSGVO- und auch die NIS2-Vorschriften einhalten, um die Integrität, Vertraulichkeit und Verfügbarkeit ihrer Daten sicherzustellen. In diesem sich ständig verändernden digitalen Umfeld sind ein organisierter Sicherheitsansatz und die kontinuierliche Anpassung an neue Vorschriften von entscheidender Bedeutung, um das Vertrauen der Verbraucher zu wahren und eine digitale Zukunft zu sichern.
Bei Fragen rund um die Themen Datenschutz und -Sicherheit steht Ihnen gerne unser geschultes Team der WS Datenschutz GmbH zur Verfügung.