Verschärft NIS2UmsuCG indirekte Schulungspflicht von Mitarbeitenden in der DSGVO?
Mit dem „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, kurz NIS2UmsuCG, wurde die NIS-2-Richtlinie der Europäischen Union in deutsches Recht umgesetzt. Das Hauptziel besteht darin, das Sicherheitsniveau in allen EU-Mitgliedstaaten zu vereinheitlichen und zu verbessern.
Welche Unternehmen von der Richtlinie betroffen sind sowie Details zu den Herausforderungen und Lösungsansätzen erfahren Sie in unseren separaten Blogbeiträgen.
Indirekte Schulungspflicht von Mitarbeitenden
Eine ausdrückliche Pflicht zur Schulung von Mitarbeitern ist in der DSGVO nicht geregelt. Jedoch schreibt unter anderem Art. 32 Abs. 4 DSGVO vor, dass der Verantwortliche Schritte unternimmt, die sicherstellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten. Wie die konkrete Umsetzung dieser „Schritte“ ablaufen soll, ist weder in der DSGVO noch in den Erwägungsgründen geregelt. Da die Vorschrift jedoch zu der Veranlassung personeller Maßnahmen auffordert, bleibt regelmäßig nur das Mittel der Mitarbeiterschulung, um sicherzustellen, dass die Daten nur auf Anweisung des Verantwortlichen und damit im Einklang mit der DSGVO verarbeitet werden.
NIS2UmsuCG: Verschärfung durch NIS-2
Der nun vorgelegte Gesetzesentwurf sieht in § 30 Abs. 1 S. 1 NIS2UmsuCG vor, dass die betroffenen Einrichtungen „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen […] ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme […] möglichst gering zu halten“. § 30 Abs. 2 Nr. 7 konkretisiert diese technisch – und organisatorischen Maßnahmen (TOM’s) dahingehend, dass „Schulungen im Bereich der Sicherheit in der Informationstechnik“ erfolgen sollen.
Während Unternehmen ihre Mitarbeiter im Datenschutzrecht schulen sollten, um nicht gegen die DSGVO zu verstoßen und damit Bußgelder zu riskieren, werden bestimmte Schulungen jetzt aufgrund des NIS2UmsuCG verpflichtend.
Schulungen kombinieren
Die anstehende Sensibilisierung der Mitarbeiter für IT-Sicherheit gemäß NIS2UmsuCG lässt sich effektiv mit Datenschutzschulungen kombinieren. Obwohl IT-Sicherheit und Datenschutz unterschiedliche Schwerpunkte und spezifische Anforderungen haben, sind diese Bereiche eng miteinander verknüpft. Viele IT-Sicherheitsmaßnahmen dienen gleichzeitig dem Schutz personenbezogener Daten. Themen wie Zugriffskontrollen, Verschlüsselung und sicherer Datentransfer sind für beide Gebiete relevant. Denn letztlich stehen in beiden Bereichen die Vertraulichkeit und Integrität von Informationen im Mittelpunkt. Eine kombinierte Schulung kann daher Synergien nutzen, auch wenn sie nicht alle spezifischen Anforderungen beider Themenfelder vollständig abdecken kann.
Aus praktischer und ökonomischer Sicht kann es für Unternehmen daher sinnvoll sein, Schulungen zur IT-Sicherheit und zum Datenschutz zu kombinieren, um den Schulungsaufwand möglichst gering zu halten.
Fazit: Erweiterte Anforderungen mit NIS2UmsuCG
Die Einführung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes führt zu einer mittelbaren Verschärfung der indirekten Schulungspflicht aus der DSGVO und bringt erweiterte Anforderungen mit sich:
- Neue Verpflichtungen: Das NIS2UmsuCG macht IT-Sicherheitsschulungen für bestimmte Unternehmen verpflichtend, während die DSGVO dies nur indirekt fordert.
- Synergieeffekte und Effizienzsteigerung: Trotz unterschiedlicher Schwerpunkte überschneiden sich IT-Sicherheit und Datenschutz in vielen Bereichen, was Möglichkeiten für kombinierte Schulungen eröffnet. Eine Integration beider Schulungsbereiche kann den Gesamtaufwand für Unternehmen reduzieren und gleichzeitig die Compliance in beiden Bereichen verbessern.
- Anpassungsbedarf: Vor diesem Hintergrund sollten Unternehmen daher ihre Schulungskonzepte überprüfen und gegebenenfalls anpassen, um mit nur einer Schulung sowohl den Anforderungen der DSGVO als auch des NIS2UmsuCG gerecht zu werden und damit Arbeitszeit und Kosten einzusparen.
Insgesamt bietet die neue Gesetzgebung durch das NIS2UmsuCG Unternehmen also die Chance, ihre Schulungsmaßnahmen zu optimieren und dabei sowohl die Cybersicherheit als auch den Datenschutz zu stärken.
Dazu interessant: BfDI veröffentlicht Prüfkatalog für Messenger-Dienste