Mit der Umsetzung der europäischen NIS2-Richtlinie gelten künftig strengere Anforderungen an Unternehmen, die kritische Dienste bereitstellen. Parallel dazu bestehen bereits seit Jahren etablierte Pflichten zur Meldung von Datenschutzvorfällen nach der Datenschutzgrundverordnung (DSGVO). Für Unternehmen, bei denen Sicherheitsvorfälle häufig beide Bereiche betreffen, bedeutet dies ein doppeltes Meldeverfahren verbunden mit zusätzlichem Aufwand und bürokratischen Hürden. Die Datenschutzaufsicht sieht darin eine unnötige Belastung und fordert in einer Stellungnahme vom 04.07.2025 einheitliche Meldewege für NIS2 und DSGVO.
Hintergrund zur NIS2-Richtlinie
Bereits 2016 wurde die erste NIS-Richtlinie (Network and Information Security Richtlinie) eingeführt, um ein Mindestmaß an Cybersicherheit innerhalb der EU zu gewährleisten. Die NIS-2-Richtlinie, die im Januar 2023 in Kraft trat, verschärft nun die Anforderungen an Unternehmen und verbessert die Durchsetzung von Cybersicherheitsstandards. Die Richtlinie wendet sich an „wesentliche Sektoren der Wirtschaft“, etwa an öffentliche elektronische Kommunikationsdienste, Abwasserunternehmen oder den Gesundheitssektor.
Seit Oktober 2024 müssen alle EU-Mitglieder die Richtlinie in nationales Recht umsetzen. Das bedeutet insbesondere, dass sie ein Gesetz über Aufsichts- und Durchsetzungsmaßnahmen erlassen müssen. Eine entsprechende Umsetzung blieb aber bislang in einigen EU-Staaten, darunter auch Deutschland, aus. Angesichts dieser Verzögerungen hatte die EU-Kommission Ende letzten Jahres ein Vertragsverletzungsverfahrens gegen die entsprechenden Länder eingeleitet. Zuletzt hatte die EU-Kommission deshalb eine mit Gründen versehene Stellungnahme an 19 im Verzug stehende Länder übermittelt.
Gesetzgebungsverfahren in Deutschland
Zu einer Annahme des deutschen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) kam es im Bundestag in der vorherigen Legislaturperiode nicht mehr. Zwar betonte die Bundesdatenschutzbeauftragte, Louis Specht-Riemenschneider, noch die Relevanz der Einhaltung der EU-Umsetzungsfristen, eine Verabschiedung weiterer Gesetze sah sie jedoch realistisch nach dem Ampel-Aus als unwahrscheinlich. Auch in der neuen gewählte Regierung blieb eine Verabschiedung bislang aus.
Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder
In einer gemeinsamen Stellungnahme haben sich die Landesdatenschutzbeauftragten mit einem konkreten Vorschlag an das Bundesinnenministerium gewandt. Ziel ist es, die parallelen Meldepflichten aus der NIS2-Richtlinie und der DSGVO zusammenzuführen. Das einheitliche Meldeverfahren soll Unternehmen entlasten.
Der bisherige Referentenentwurf (abrufbar hier) werde den verschiedenen Handlungsaufträgen nicht gerecht. Bislang müssen oft zwei separate Meldungen, und zwar eine an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und eine an die jeweils zuständige Datenschutzaufsichtsbehörde, abgegeben werden.
Nach dem Vorschlag soll das BSI künftig ein digitales Verfahren betreiben, über das sowohl NIS2-Sicherheitsvorfälle als auch Datenschutzpflichten erfüllt werden. Die Datenschutzbehörden sollen laut einer Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) in diesen Meldeprozess strukturell eingebunden werden. Außerdem soll das Verfahren gemeinsam von den beiden Behörden entwickelt werden.
Bürokratieabbau und Vereinfachung
Meike Kamp, BlnBDI, erklärt, dass eine solche Vereinheitlichung, „Bürokratie abbauen, Unternehmen spürbar entlasten und die behördlichen Verfahren beschleunigen“ kann. Auch Bettina Gayk, die Landesbeauftragte für Datenschutz und Informationsfreiheit von Nordrhein-Westfalen, erklärt in einer Pressemitteilung, dass sie den „Abbau bürokratischer Hürden für Unternehmen […] absolut sinnvoll“ findet, da auch Datenschützer „unnötige Bürokratie“ nicht wollen.
Fazit
Mit der Umsetzung der NIS-2-Richtlinie wächst die Zahl regulatorischer Anforderungen für viele Unternehmen spürbar. In dieser Situation ist es umso wichtiger, bestehende Prozesse zu vereinfachen, ohne inhaltliche Standards zu senken. Dass die Datenschutzaufsicht einheitliche Meldewege für NIS2 und DSGVO fordert, ist insofern ein sinnvoller Schritt in diese Richtung. Dies trägt nicht nur dem Bedürfnis nach administrativer Entlastung Rechnung, sondern schafft auch Potenzial für eine bessere behördliche Koordination und zügigere Reaktion auf Sicherheitsrisiken.
