Cybernotfall
Pillar-Ratgeber NIS2 · Stand: Juni 2026

NIS2 vs. DSGVO: zwei Meldepflichten richtig abgrenzen

NIS2 und DSGVO sind zwei eigenständige Meldepflichten mit unterschiedlichen Schutzzwecken, Adressaten und Fristen. Wer beide trennt und parallel führt, vermeidet kostspielige Fehler im Krisenstab.

Schutzzweck: was wird wovor geschützt

Wer die Abgrenzung verstehen will, beginnt beim Schutzzweck. Die DSGVO schützt das Grundrecht auf informationelle Selbstbestimmung und damit die Rechte und Freiheiten natürlicher Personen, deren personenbezogene Daten verarbeitet werden. NIS2 hingegen schützt die Betriebsfähigkeit kritischer Sektoren — Energie, Wasser, Gesundheit, Finanzen, Verkehr, digitale Infrastruktur — und damit die Funktionsfähigkeit der Gesellschaft. Aus dieser Unterscheidung folgt: Ein Vorfall kann nur die Verfügbarkeit eines Dienstes betreffen, ohne dass personenbezogene Daten kompromittiert sind (reine NIS2-Relevanz), er kann nur personenbezogene Daten betreffen, ohne dass eine NIS2-Einrichtung betroffen ist (reine DSGVO-Relevanz) oder er kann beides betreffen (Doppelrelevanz).

Drei typische Konstellationen aus der Praxis

Konstellation eins: Ein Ransomware-Angriff verschlüsselt einen Mailserver, der auch personenbezogene Daten enthält, und betrifft ein Unternehmen aus dem NIS2-Sektor digitale Infrastruktur. Hier sind beide Regimes parallel anzuwenden: NIS2-Frühwarnung an das BSI binnen 24 Stunden, DSGVO-Meldung an die zuständige Datenschutzaufsicht binnen 72 Stunden. Konstellation zwei: Ein DDoS-Angriff legt die Website eines Energieversorgers lahm, ohne dass personenbezogene Daten betroffen sind. Hier ist nur NIS2 einschlägig; eine DSGVO-Meldung würde ins Leere gehen. Konstellation drei: Ein Mitarbeiter eines mittelständischen Maschinenbauers — keine NIS2-Einrichtung — versendet eine E-Mail mit personenbezogenen Daten an den falschen Empfänger. Hier ist nur die DSGVO einschlägig.

Adressat, Frist und Inhalt im Vergleich

Die NIS2-Meldung richtet sich an das BSI über das eigene Meldeportal. Sie verlangt eine 24-Stunden-Frühwarnung, eine 72-Stunden-Vorfallmeldung und einen Abschlussbericht binnen eines Monats. Die DSGVO-Meldung richtet sich an die für den Verantwortlichen örtlich zuständige Datenschutzaufsichtsbehörde — über deren jeweiliges Meldeportal. Sie verlangt eine Meldung binnen 72 Stunden ab Kenntniserlangung, einschließlich der Beschreibung des Vorfalls, der wahrscheinlichen Folgen und der ergriffenen Maßnahmen, sowie eine Benachrichtigung der Betroffenen nach Art. 34 DSGVO bei hohem Risiko. Eine vertiefte Darstellung der DSGVO-Seite findet sich in den Beiträgen 72-Stunden-Frist und Art. 34 DSGVO.

Entscheidungsbaum für den Krisenstab

In der Beratungspraxis hat sich ein dreistufiger Entscheidungsbaum bewährt. Schritt eins: Ist die Einrichtung eine wesentliche oder wichtige Einrichtung im Sinne des BSIG? Schritt zwei: Liegt ein erheblicher Sicherheitsvorfall im Sinne des § 32 BSIG vor? Schritt drei: Liegt zugleich eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO vor? Werden die Fragen eins und zwei mit ja beantwortet, läuft die NIS2-Meldung. Wird die Frage drei mit ja beantwortet, läuft die DSGVO-Meldung. Beide Spuren werden in der Meldematrix getrennt geführt und mit eigenem Fristtracker versehen.

Was die Krisenstabspraxis am häufigsten falsch macht

Die häufigsten Fehler in der Praxis: erstens die Annahme, eine BSI-Meldung würde die DSGVO-Meldung mitumfassen (sie tut es nicht); zweitens die Annahme, der Datenschutzbeauftragte sei für die NIS2-Meldung mitzuständig (er ist es nicht); drittens die Annahme, die kürzere NIS2-Frist verdränge die DSGVO-Frist (sie tun es nicht — beide laufen unabhängig). Wer diese Fehler vermeidet, hat die wichtigste Hürde der Doppelmeldung genommen.

Häufige Fragen

Wann ist nur NIS2 einschlägig?
Wenn der Vorfall die Verfügbarkeit oder Integrität von Diensten betrifft, ohne dass personenbezogene Daten kompromittiert sind — etwa ein DDoS-Angriff auf einen reinen Infrastrukturdienst.
Wann ist nur die DSGVO einschlägig?
Wenn personenbezogene Daten betroffen sind und das Unternehmen keine NIS2-Einrichtung ist oder der Vorfall die Erheblichkeitsschwelle für NIS2 nicht erreicht.
Was tun, wenn beide Regimes einschlägig sind?
Parallele Meldewege führen: Meldung an das BSI nach NIS2 binnen 24 / 72 Stunden, Meldung an die Datenschutzaufsicht nach DSGVO binnen 72 Stunden. Beide Meldungen unterscheiden sich in Adressat, Inhalt und Schutzzweck.
Tauschen sich BSI und Datenschutzaufsicht aus?
Es gibt Kooperationsvereinbarungen, einen Verzicht auf eine eigene Meldung rechtfertigen sie aber nicht. Die Pflicht trifft die Einrichtung; eine behördeninterne Weiterleitung entlastet sie nicht.
Welche Frist gilt im Konflikt?
Beide Fristen gelten parallel und unabhängig. Die kürzeste Frist (NIS2-Frühwarnung binnen 24 Stunden) muss in jedem Fall eingehalten werden, die DSGVO-Frist läuft daneben.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Google
4.7 ★★★★★
50 Bewertungen
ProvenExpert
4.78 ★★★★★
156 Bewertungen · 100% Empfehlungen
Der SpiegelTagesspiegelMannheimer MorgenAllgemeine ZeitungDarmstädter Echo
Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil