NIS-2 verschärft Rollenkonflikte bei Datenschutzbeauftragten

Seit vergangenen Freitag gilt das NIS-2-Umsetzungsgesetz – und schon tobt die Debatte: Dürfen Datenschutzbeauftragte künftig noch Meldestellen für Hinweisgeber oder Cyber-Vorfälle betreiben? Viele Unternehmen stehen vor einem Dilemma zwischen Kosteneffizienz und rechtlicher Zulässigkeit.

Das am 6. Dezember 2025 in Kraft getretene Gesetz betrifft rund 30.000 deutsche Unternehmen und verlangt strikte Meldekanäle für IT-Sicherheitsvorfälle. Gerade im Mittelstand versuchen viele Firmen, diese neuen Pflichten dem ohnehin schon belasteten Datenschutzbeauftragten (DSB) aufzubürden – zusätzlich zur internen Meldestelle nach dem Hinweisgeberschutzgesetz.

Doch genau diese Mehrfachrolle könnte nach Ansicht von Juristen und Aufsichtsbehörden illegal sein.

Der Kern des Problems: Ein DSB muss nach Artikel 38 Absatz 6 der DSGVO unabhängig arbeiten. Er darf keine Positionen innehaben, bei denen er über Zwecke und Mittel der Datenverarbeitung entscheidet. Leitet derselbe DSB aber gleichzeitig Hinweisgebermeldungen oder NIS-2-Vorfallsmeldungen, wird er faktisch zum Verantwortlichen für genau diese Datenverarbeitung.

Passend zum Thema Hinweisgeber- und Meldepflichten: Viele Mittelständler machen bei der Umsetzung des Hinweisgeberschutzgesetzes Datenschutzfehler – und riskieren Bußgelder oder ungültige Verfahren. Unser kostenloser Praxisleitfaden erklärt Schritt für Schritt, wie Sie interne und externe Meldestellen DSGVO‑konform einrichten, welche Dokumentation erforderlich ist und welche Checklisten und Muster sich bewährt haben. Plus: konkrete Handlungsempfehlungen zur Vermeidung von Interessenkonflikten. Ideal für Compliance-Verantwortliche, DSB und Vorstände. Kostenlosen Praxisleitfaden zum Hinweisgeberschutzgesetz herunterladen

„Mit NIS-2 ist der DSB bei vielen mittelständischen Firmen praktisch überlastet worden”, erklärt die Berliner Compliance-Anwältin Dr. Elena Weber. „Wir erleben gerade einen Run darauf, diese Funktionen zusammenzulegen, um Personal zu sparen. Dabei entsteht ein struktureller Interessenkonflikt, vor dem die Datenschutzkonferenz seit Jahren warnt.”

Besonders heikel: Muss ein DSB einen Hinweis untersuchen, der eine Datenpanne betrifft, kontrolliert er faktisch seine eigene Arbeit. Noch brisanter wird es, wenn derselbe DSB als NIS-2-Verantwortlicher schnell ans BSI (Bundesamt für Sicherheit in der Informationstechnik) melden muss – könnte er da nicht versucht sein, eine Datenpanne herunterzuspielen?

Datenschutzkonferenz bleibt hart

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen Bundes- und Landesdatenschutzaufsichten, hat ihre Position im Vorfeld des NIS-2-Starts noch einmal bekräftigt: DSB dürfen zu Hinweisgeber- und Sicherheitsfragen beraten, nicht aber die Meldekanäle betreiben.

Trotzdem sieht die Realität oft anders aus. Seit das Hinweisgeberschutzgesetz Ende 2023 für Unternehmen ab 50 Mitarbeitern greift, und jetzt NIS-2 obendrauf kommt, argumentieren kleinere Betriebe mit Ressourcenengpässen.

„Wir stehen vor einem Compliance-Flaschenhals”, räumt ein Sprecher eines regionalen Unternehmensverbands in Nordrhein-Westfalen ein. „Unsere Mitglieder wollen regelkonform arbeiten, aber drei separate Beauftragte für drei überlappende Gesetze zu fordern, ist für eine Firma mit 75 Beschäftigten praktisch schwierig. Der DSB ist oft die einzige Person mit der juristischen Expertise.”

Haftungsrisiken sind real

Die Risiken sind keineswegs theoretisch. Präzedenzfälle wie das Bußgeld der Berliner Datenschutzbeauftragten gegen eine E-Commerce-Tochter wegen DSB-Interessenkonflikten zeigen: Wird ein DSB-Konflikt festgestellt, kann die gesamte Bestellung für ungültig erklärt werden.

Die Folge? Bußgelder wegen fehlender ordnungsgemäßer DSB-Bestellung – zusätzlich zu möglichen Sanktionen nach Hinweisgeberschutzgesetz und NIS-2.

Seit dieser Woche müssen sich Unternehmen der neuen Kategorien „wichtig” und „besonders wichtig” beim BSI registrieren. Dieser Prozess zwingt viele Vorstände aktuell dazu, ihre internen Governance-Strukturen explizit zu definieren – und bringt die DSB-Konfliktfrage direkt auf die Tagesordnung der Führungsetagen.

Trennung der Funktionen wird zum Standard

Rechtsberater sind sich einig: Das Modell des „Super-Beauftragten” ist unter dem neuen Rechtsrahmen nicht haltbar.

„Wir erwarten eine Umstrukturierungswelle im ersten Quartal 2026″, prognostiziert Weber. „Unternehmen werden die Hinweisgeber- und NIS-2-Meldestellen wahrscheinlich an Kanzleien oder spezialisierte Dienstleister auslagern und den DSB auf die reine DSGVO-Aufsicht fokussieren lassen. Das ist der einzige Weg, die gesetzlich geforderte Neutralität sicherzustellen.”

Deutsche Unternehmen sind gut beraten, ihre Organigramme umgehend zu überprüfen. Mit den neuen Durchsetzungsbefugnissen des BSI scheint die Schonzeit für „pragmatische”, aber nicht konforme Lösungen endgültig vorbei.

Hinweis: Dieser Artikel liefert allgemeine Informationen zur Rechtslage Stand 10. Dezember 2025 und stellt keine Rechtsberatung dar. Unternehmen sollten qualifizierten juristischen Rat zu ihren spezifischen Compliance-Pflichten einholen.

PS: Sie wollen verhindern, dass der DSB in einen Interessenkonflikt gerät oder Vorstände persönlich haften? Der Praxisleitfaden zum Hinweisgeberschutzgesetz zeigt praxisnah, wann Meldestellen ausgelagert werden sollten, wie Sie Meldekanäle rechtssicher organisieren und welche kurzfristigen Schritte Governance‑Lücken schließen. Mit sofort einsetzbaren Checklisten und Formularen für die Umsetzung – speziell für Unternehmen bis 250 Mitarbeiter und kommunale Stellen; inkl. 14 FAQ und konkreten Handlungsempfehlungen. Jetzt Praxisleitfaden downloaden und rechtssicher umsetzen