Source: OJ L 333, 27.12.2022, p. 80–152Current language: DE
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Artikel 35 Verstöße mit Verletzungen des Schutzes personenbezogener Daten
Summary What does Article 35 of the NIS 2 directive say?
This article acts as an important coordination and anti-duplication bridge between this Directive and the GDPR (Regulation (EU) 2016/679).
It addresses the specific scenario where a cybersecurity infringement by an essential or important entity also triggers a personal data breach.
It establishes a notification duty between competent authorities under this Directive and data protection supervisory authorities, and critically, it prevents an entity from being hit with an administrative fine under both regimes for the same underlying conduct.
Important points:
- Competent authorities are required to notify the relevant data protection supervisory authority without undue delay when a cybersecurity infringement could also constitute a notifiable personal data breach.
- Where a data protection supervisory authority has already imposed an administrative fine for the same conduct, competent authorities under this Directive cannot additionally impose an administrative fine under Article 34 — though other enforcement measures remain available.
- Where the relevant data protection supervisory authority sits in a different Member State, the competent authority must also inform the data protection supervisory authority within its own Member State of the potential breach.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Stellen die zuständigen Behörden im Zuge der Beaufsichtigung oder Durchsetzung fest, dass der Verstoß einer wesentlichen oder wichtigen Einrichtung gegen die in den Artikeln 21 und 23 der vorliegenden Richtlinie festgelegten Verpflichtungen eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Nummer 12 der Verordnung (EU) 2016/679 zur Folge haben kann, die gemäß Artikel 33 der genannten Verordnung zu melden ist, unterrichten sie unverzüglich die in Artikel 55 oder 56 jener Verordnung genannten Aufsichtsbehörden.
Verhängen die in Artikel 55 oder 56 der Verordnung (EU) 2016/679 genannten Aufsichtsbehörden gemäß Artikel 58 Absatz 2 Buchstabe i der genannten Verordnung eine Geldbuße, so dürfen die zuständigen Behörden für einen Verstoß im Sinne von Absatz 1 des vorliegenden Artikels, der sich aus demselben Verhalten ergibt wie jener Verstoß, der Gegenstand der Geldbuße nach Artikel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 war, keine Geldbuße nach Artikel 34 der vorliegenden Richtlinie verhängen. Die zuständigen Behörden können jedoch die Durchsetzungsmaßnahmen gemäß Artikel 32 Absatz 4 Buchstaben a bis h, Artikel 32 Absatz 5 und Artikel 33 Absatz 4 Buchstaben a bis g dieser Richtlinie anwenden bzw. verhängen.
Ist die gemäß der Verordnung (EU) 2016/679 zuständige Aufsichtsbehörde in einem anderen Mitgliedstaat angesiedelt als die zuständige Behörde, so setzt die zuständige Behörde die in ihrem eigenen Mitgliedstaat angesiedelte Aufsichtsbehörde über die mögliche Verletzung des Schutzes personenbezogener Daten nach Absatz 1 in Kenntnis.
Relevant recitals
Erwägungsgrund 136 Cooperation rules for GDPR infringements
Mit dieser Richtlinie sollten Regeln für die Zusammenarbeit zwischen den zuständigen Behörden und den Aufsichtsbehörden gemäß der Verordnung (EU) 2016/679 festgelegt werden, um gegen Verstöße gegen diese Richtlinie im Zusammenhang mit personenbezogenen Daten vorzugehen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Einrichtung
(En. entity)