NIS-2: Rechtspflicht ohne Rechtsgrundlage?

NIS-2: Rechtspflicht ohne Rechtsgrundlage? – Was Unternehmen jetzt konkret tun müssen

Viele Unternehmen unterschätzen, was die Umsetzung der NIS-2-Richtlinie wirklich bedeutet. Dabei geht es nicht nur um IT-Sicherheit. Es geht auch um Datenschutz und Rechtsklarheit. Wer nicht vorbereitet ist, läuft in eine doppelte Falle: technische Mängel und datenschutzrechtliche Lücken.

Fokus-Stichwort: NIS-2-Rechtspflicht

Die NIS-2-Richtlinie verpflichtet zahlreiche Unternehmen, ihre IT-Sicherheit zu erhöhen. Deutschland setzt sie durch das neue BSIG um. Das Problem: Die Pflicht zur Umsetzung gilt ab dem Tag der Verkündung – ohne Übergangsfrist. Eine Registrierung muss innerhalb von drei Monaten erfolgen. Die technische Umsetzung muss vorher beginnen.

Gleichzeitig schreibt die DSGVO für jede Datenverarbeitung eine gültige Rechtsgrundlage vor. Das führt zu einer Frage, die viele übersehen: Wie rechtfertige ich die Verarbeitung personenbezogener Daten im Rahmen der NIS-2-Umsetzung, wenn die rechtliche Pflicht formal noch nicht gilt?

Analyse: Die Lücke zwischen technischer Umsetzung und Rechtsgrundlage

• Das BSIG enthält keine ausdrückliche Öffnungsklausel zugunsten der DSGVO.

• Die Verarbeitung von personenbezogenen Daten (z. B. bei Logfiles, Zugriffskontrollen oder Monitoring) ist aber oft notwendig.

• Die DSGVO kennt keine Vorwirkung von künftigen Pflichten.

• Das führt zu einem Dilemma: Man soll umsetzen, darf datenschutzrechtlich aber noch nicht alles tun.

Die Erwägungsgründe der NIS-2-Richtlinie (insbesondere Erwägungsgrund 121) geben Hinweise: Datenverarbeitung kann gerechtfertigt sein, wenn sie der Sicherheit dient. Diese Begründung reicht aber nicht automatisch für eine DSGVO-konforme Verarbeitung.

Urteile, die den Kontext prägen

• EuGH, Urteil vom 09.01.2025 (C-394/23 – SNCF): Die Rechtsgrundlage muss konkret und klar sein.

• BGH, Urteil vom 15.06.2021 (VI ZR 576/19): Betroffene haben Anspruch auf vollständige Information über den Zweck der Verarbeitung.

• EuGH, Urteil vom 12.01.2023 (C-154/21): Empfänger der Daten müssen genannt werden.

Diese Urteile zeigen: Unternehmen müssen ihre datenschutzrechtliche Argumentation sauber aufbauen – auch im Vorfeld formaler Pflichten.

Maßnahmen für Unternehmen

1. Prüfen Sie, ob Ihr Unternehmen betroffen ist
→ Kategorie: Besonders wichtig oder wichtig gemäß § 28 BSIG-RegE

2. Technische Maßnahmen vorbereiten – aber rechtskonform
→ Beginnen Sie mit der Umsetzung, aber:

• Halten Sie sich an Art. 5 und 6 DSGVO

• Dokumentieren Sie die Zwecke klar

• Verwenden Sie Art. 6 Abs. 1 lit. f DSGVO („berechtigtes Interesse“), wenn lit. c DSGVO noch nicht greift

3. Datenschutzinformationen anpassen
→ Ergänzen Sie:

• Zweck der Datenverarbeitung

• Rechtsgrundlage (inkl. Begründung)

• Empfänger und Speicherdauer

4. Verarbeitungstätigkeiten im Verzeichnis dokumentieren
→ Neue Verarbeitungen wie Schwachstellenanalyse, Incident Response, Zugriffskontrolle

5. AV-Verträge prüfen
→ Gilt besonders bei Einsatz externer IT-Dienstleister

6. Transparenzpflichten ernst nehmen
→ Betroffene müssen verstehen, was verarbeitet wird – und warum

7. Nachweisdokumentation vorbereiten
→ Auch wenn keine Meldepflicht ans BSI besteht, müssen Maßnahmen belegbar sein

8. Rechtzeitig registrieren
→ Frist: 3 Monate nach Verkündung des BSIG

9. Datenschutz-Folgenabschätzung prüfen
→ Besonders bei umfangreichem Monitoring oder systematischer Überwachung

10. Geschäftsführung und IT-Abteilung einbeziehen
→ Zuständigkeiten und Ressourcen müssen geklärt sein

NIS-2 ist kein IT-Projekt. Es ist ein rechtlich regulierter Pflichtenkanon mit klaren Konsequenzen bei Fehlern. Unternehmen müssen jetzt handeln – aber kontrolliert und rechtssicher. Die Umsetzung ohne klare Rechtsgrundlage ist riskant. Wer sauber dokumentiert, begründet und vorbereitet, ist auf der sicheren Seite.

Sind Sie sicher, ob Ihr Unternehmen oder Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks