ENS und DSGVO: Wie passen sie zusammen und wo überschneiden sie sich?

Das ist eine der häufigsten Fragen, wenn eine Verwaltung oder ein Unternehmen, das mit dem öffentlichen Sektor Verträge schließt, beginnt, seine Konformität zu ordnen: Sind ENS und DSGVO dasselbe? Wenn ich das Spanische Nationale Sicherheitsgrundgesetz (ENS) zertifiziere, erfülle ich damit schon den Datenschutz? Muss ich zwei Risikoanalysen, zwei Inventare, zwei Prüfungen machen? Die kurze Antwort lautet: Sie sind nicht dasselbe, aber sie teilen ein so großes gemeinsames Terrain, dass das Ignorieren Geld und Zeit kostet. Lassen Sie uns trennen, was jede schützt, genau markieren, wo sie sich überschneiden, und erklären, wie man die Arbeit einer Norm für die andere nutzt.

Was schützt das ENS und was die DSGVO?

Der grundlegende Unterschied liegt im Gegenstand jeder Norm – und das ist der Schlüssel, sie nicht zu verwechseln.

Das Spanische Nationale Sicherheitsgrundgesetz (ENS), geregelt durch das Real Decreto 311/2022 und mit gesetzlicher Grundlage im Gesetz 40/2015, schützt die Informationssysteme: Server, Anwendungen, Netzwerke, Datensicherungen, Prozesse. Seine Frage ist "Sind meine Systeme sicher und zuverlässig?" Es misst Sicherheit auf fünf Dimensionen – Vertraulichkeit, Integrität, Nachverfolgbarkeit, Authentizität und Verfügbarkeit (das sogenannte CIDAT) – und klassifiziert jedes System in Kategorie Basis, Mittel oder Hoch gemäß dem Schadenspotenzial eines Vorfalls.

Die DSGVO (Verordnung EU 2016/679) hingegen schützt natürliche Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten. Ihre Frage ist "Verarbeite ich die Daten von Personen rechtmäßig, fair und sicher?" Sie deckt viel mehr als Sicherheit ab: Rechtmäßigkeit der Verarbeitung, Information der betroffenen Personen, Zugangs- und Löschungsrechte, Rechtsgrundlage, Aufbewahrungsfristen, internationale Übermittlungen... Sicherheit ist nur ein Teil davon, nicht die gesamte Norm.

Anders gesagt: Das ENS ist eine Norm der Informationssicherheit; die DSGVO ist eine Norm des Datenschutzes, die unter vielen anderen Dingen auch Sicherheit verlangt. Deshalb ersetzt eines das andere nicht, aber deshalb kreuzen sie sich an einem sehr konkreten Punkt.

Wo überschneiden sich ENS und DSGVO genau?

Die Überschneidung liegt in einem einzigen DSGVO-Artikel: Artikel 32, "Sicherheit der Verarbeitung". Dieser Artikel verpflichtet den Verantwortlichen und den Auftragsverarbeiter, "geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Und er nennt ausdrücklich, unter anderen, Verschlüsselung und Pseudonymisierung, die Fähigkeit, dauerhafte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme zu gewährleisten, die Wiederherstellung nach einem Vorfall und die regelmäßige Prüfung der Wirksamkeit dieser Maßnahmen.

Diese Liste aus Artikel 32 ist fast wörtlich die Sprache des ENS. Die fünf CIDAT-Dimensionen sind dieselben Sicherheitseigenschaften, die Artikel 32 zu gewährleisten verlangt. Und es gibt einen zweiten vorgelagerten Berührungspunkt: Artikel 5.1.f der DSGVO, das Prinzip der "Integrität und Vertraulichkeit", das als Ziel formuliert, was Artikel 32 in Maßnahmen konkretisiert. Wo die DSGVO sagt "gewährleiste Vertraulichkeit, Integrität und Verfügbarkeit", antwortet das ENS "hier ist der Maßnahmenkatalog des Anhangs II, um das zu erreichen".

Die Überschneidung ist also keine Zufälligkeit: Es ist die Gesamtheit der technischen und organisatorischen Sicherheitsmaßnahmen. Außerhalb dieser Gesamtheit geht jede Norm ihren eigenen Weg. Das ENS sagt Ihnen nichts darüber, wie Sie eine betroffene Person informieren oder die Rechtsgrundlage einer Verarbeitung bestimmen; die DSGVO verlangt nicht, Systeme in Basis/Mittel/Hoch zu kategorisieren oder die CCN-Konformitätsprüfung zu bestehen.

Die Rechtsvorschrift, die beide Normen verbindet: die erste Zusatzbestimmung der LOPDGDD

Hier ist das Detail, das den Kreis schließt und das viele nicht kennen. Das spanische Organgesetz 3/2018 (LOPDGDD), das die DSGVO in Spanien anpasst, enthält eine erste Zusatzbestimmung mit dem Titel "Sicherheitsmaßnahmen im Bereich des öffentlichen Sektors". Diese Bestimmung ist das Scharnier zwischen beiden Welten und sagt zwei entscheidende Dinge:

• Absatz 1: Das Spanische Nationale Sicherheitsgrundgesetz schließt die Maßnahmen ein, die bei der Verarbeitung personenbezogener Daten zur Vermeidung ihres Verlustes, ihrer Veränderung oder des unbefugten Zugangs implementiert werden müssen, wobei die Kriterien zur Risikobestimmung bei der Datenverarbeitung an das Festgelegte in Artikel 32 der Verordnung (EU) 2016/679 angepasst werden.
• Absatz 2: Die Verantwortlichen des öffentlichen Sektors (die in Artikel 77.1 des Gesetzes selbst Aufgeführten) wenden auf Verarbeitungen personenbezogener Daten die entsprechenden Sicherheitsmaßnahmen des Spanischen Nationalen Sicherheitsgrundgesetzes an und fördern ein gleichwertiges Niveau bei den mit ihnen verbundenen privatrechtlichen Unternehmen oder Stiftungen. Und wenn ein Dritter den Dienst erbringt (Konzession, Verwaltungsauftrag oder Vertrag), müssen seine Maßnahmen denen der ursprünglichen Verwaltung entsprechen und dem ENS angepasst sein.

Die Konsequenz ist klar: Für eine öffentliche Verwaltung bedeutet die Erfüllung des ENS die Erfüllung von Artikel 32 der DSGVO. Es sind keine zwei konkurrierenden Sicherheitsrahmen, die manuell abgeglichen werden müssen; der spanische Gesetzgeber hat sie bereits verbunden. Das CCN-CERT hat es ohne Umschweife formuliert: Das ENS enthält die Maßnahmen, die der öffentliche Sektor anwenden muss, um die DSGVO-Anforderungen in diesem Bereich zu erfüllen.

ENS vs. DSGVO: Vergleichstabelle

Das ist der Vergleich, den ich verwende, damit ein Leitungsausschuss in dreißig Sekunden versteht, dass er es mit zwei Normen mit einem Berührungspunkt zu tun hat, nicht mit einer duplizierten Norm.

ENS vs. DSGVO: Gegenstand, Rechtsgrundlage, Verpflichtete, Schutz, Aufsicht und Sanktionen

Kriterium	ENS	DSGVO
Was es schützt	Die Informationssysteme (Daten, Dienste, Infrastruktur)	Personenbezogene Daten natürlicher Personen
Referenznorm	RD 311/2022; Grundlage Gesetz 40/2015	Verordnung EU 2016/679; LOPDGDD 3/2018 in Spanien
Wen es verpflichtet	Öffentlicher Sektor und Anbieter, die ihm Dienste erbringen	Jeden Verantwortlichen oder Auftragsverarbeiter, der personenbezogene Daten verarbeitet (öffentlich oder privat)
Ansatz	Informationssicherheit (fünf Dimensionen, CIDAT)	Umfassender Datenschutz (Rechtmäßigkeit, Rechte, Sicherheit usw.)
Wie gemessen wird	Kategorie Basis / Mittel / Hoch nach Schadenspotenzial	Risikoanalyse für Rechte und Freiheiten; DSFA (Datenschutz-Folgenabschätzung) bei hohem Risiko
Berührungspunkt	Technische und organisatorische Sicherheitsmaßnahmen: Anhang II ENS ≈ Artikel 32 DSGVO (verbunden durch die erste Zusatzbestimmung der LOPDGDD)
Wer beaufsichtigt	CCN; Konformitätsprüfung und Zertifizierung	AEPD (und regionale Datenschutzbehörden)
Sanktionssystem	Keine eigenen Bußgelder; Nichterfüllung ist Verwaltungsverantwortung	Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes

Kann ich die Arbeit des ENS für die DSGVO nutzen (und umgekehrt)?

Ja, und das ist genau das, was ich empfehle, um nicht zweimal für dasselbe zu zahlen. Die Überschneidung übersetzt sich in gemeinsame Ergebnisse. Das sind die, die ich in fast allen Projekten wiederverwende:

• Anlagen- und Systemverzeichnis. Das ENS verlangt, Systeme zu kennen; die DSGVO verlangt, zu wissen, wo personenbezogene Daten sind. Ein einziges Verzeichnis bedient beide: welches System welche Daten verarbeitet, mit welchem Kritikalitätsniveau.
• Risikoanalyse. Die ENS-Risikoanalyse (über die fünf Dimensionen) und die Risikobewertung nach Artikel 32 der DSGVO teilen die Methodik. Die erste Zusatzbestimmung verlangt genau, die ENS-Risikokriterien an Artikel 32 anzupassen. Es wird eine technische Analyse gemacht, die beiden dient, wobei die DSGVO die Perspektive der Personenrechte hinzufügt.
• Sicherheitsmaßnahmen aus Anhang II. Verschlüsselung, Zugangskontrolle, Aktivitätsprotokoll, Datensicherungen, Vorfallsmanagement... Das sind genau die Maßnahmen, die Artikel 32 implementiert sehen möchte. Anhang II des ENS zu implementieren bedeutet in der Praxis, die technischen und organisatorischen Maßnahmen zu dokumentieren, die die DSGVO zu demonstrieren verlangt.
• Vorfallsmanagement und Meldung von Datenpannen. Das ENS verpflichtet zu einem Vorfallsreaktionsverfahren; die DSGVO verpflichtet, Datenpannen innerhalb von 72 Stunden der AEPD zu melden. Ein einziger Erkennungs- und Reaktionsfluss deckt beide Pflichten ab, mit einem spezifischen Ast für die Behördenmeldung.
• Prüfungsnachweise. Die Aufzeichnungen, Richtlinien und Protokolle, die Sie für die ENS-Konformitätsprüfung erstellen, sind der beste Nachweis der Rechenschaftspflicht (Accountability), die die DSGVO vom Verantwortlichen verlangt.

Was Sie nicht wiederverwenden können, weil es im ENS nicht existiert, ist die rein "datenbezogene" Schicht der DSGVO: das Verzeichnis der Verarbeitungstätigkeiten, die Rechtsgrundlagen, die Informationsklauseln, die Auftragsverarbeitungsverträge, das Management der Rechte der betroffenen Personen oder die Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko. Dieser Teil muss separat aufgebaut werden und wird üblicherweise vom Datenschutzbeauftragten (DSB) koordiniert, der in öffentlichen Verwaltungen verpflichtend ist.

Und Privatunternehmen? Das ENS durch Vertragsabschluss

Eine sehr verbreitete – und falsche – Vorstellung ist, dass das ENS "nur für Verwaltungen gilt". In der Praxis erreicht das ENS viele Privatunternehmen durch vertragliche Bindung. Die erste Zusatzbestimmung sagt es und die Ausschreibungen bestätigen es: Wenn Sie einen Dienst für den öffentlichen Sektor erbringen, der die Verarbeitung seiner Daten oder Systeme umfasst, müssen Sie die ENS-Maßnahmen der Kategorie des Dienstes anwenden. Das macht die ENS-Konformität zur Anforderung vieler Ausschreibungen.

Für diese Unternehmen wird die ENS-DSGVO-Kreuzung doppelt rentabel: Die ENS-Konformität, die der öffentliche Vertrag verlangt, liefert fast als Nebenprodukt einen Großteil der Sicherheitsmaßnahmen nach Artikel 32, die die DSGVO als Verantwortlicher Ihrer eigenen Verarbeitungen ohnehin verlangte.

Wo beginnen: ENS oder DSGVO?

Es gibt keine universelle Reihenfolge, aber eine Logik, die fast immer funktioniert. Wenn Sie eine öffentliche Verwaltung oder ein vertraglich verpflichteter Anbieter sind, beginnen Sie mit dem ENS: Es gibt Ihnen den strukturierten Sicherheitsrahmen (Inventar, Kategorisierung, Maßnahmen des Anhangs II), und nach dieser Arbeit ist Artikel 32 der DSGVO weitgehend abgedeckt. Auf dieser Grundlage fügen Sie die DSGVO-Datenschicht hinzu: Verzeichnis der Verarbeitungen, Rechtsgrundlagen, Rechte und Information der betroffenen Personen.

Wenn Sie ein Privatunternehmen ohne öffentliche Verträge sind, beginnen Sie mit der DSGVO, weil das Ihre direkte Pflicht ist, und nutzen Sie das ENS (oder ISO 27001) als Referenzkatalog, um die technischen Maßnahmen nach Artikel 32 zu konkretisieren. Die Reihenfolge ist weniger wichtig als das Prinzip: Erstellen Sie ein einziges Inventar, eine einzige Risikoanalyse und einen einzigen Maßnahmensatz, der beiden Normen dient, und bauen Sie separat nur die ENS-fremde DSGVO-Schicht auf.

Häufige Fehler an der ENS-DSGVO-Schnittstelle

• Glauben, das ENS "decke" die DSGVO ab. Es deckt die Sicherheit (Artikel 32) ab, nicht den Rest: Rechtmäßigkeit, Rechte, Information, Übermittlungen. Das ENS zu zertifizieren und das Verzeichnis der Verarbeitungen zu vergessen bedeutet, die DSGVO nicht zu erfüllen.
• Glauben, die DSGVO "decke" das ENS ab. Auch das nicht: Die DSGVO verlangt nicht, Systeme zu kategorisieren oder die CCN-Konformitätsprüfung zu bestehen. Das sind spezifische ENS-Pflichten.
• Die Risikoanalyse duplizieren. Eine für Sicherheit und eine für Datenschutz machen, ohne Wiederverwendung, multipliziert die Kosten ohne Mehrwert.
• Die Anbieter vergessen. Sowohl das ENS (durch die erste Zusatzbestimmung und die Ausschreibungen) als auch die DSGVO (Auftragsverarbeitungsverträge) weiten die Pflichten auf die Lieferkette aus. Dort passieren die meisten echten Datenpannen.

Häufig gestellte Fragen zu ENS und DSGVO

Deckt das ENS die DSGVO ab?

Nicht vollständig. Das ENS deckt den Sicherheitsteil der DSGVO ab – Artikel 32, technische und organisatorische Maßnahmen – dank der ersten Zusatzbestimmung der LOPDGDD, die beide Rahmen für den öffentlichen Sektor verbindet. Aber die DSGVO ist viel umfassender: Rechtmäßigkeit der Verarbeitung, Information der betroffenen Personen, Rechte, Rechtsgrundlagen, Aufbewahrungsfristen und internationale Übermittlungen liegen außerhalb des ENS. Das ENS zu zertifizieren beschleunigt die Sicherheit, nicht den restlichen Datenschutzkonformität.

Wo überschneiden sich ENS und DSGVO?

Sie überschneiden sich bei den technischen und organisatorischen Sicherheitsmaßnahmen. Artikel 32 der DSGVO verlangt die Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit, und das ENS liefert den konkreten Kontrollkatalog (Anhang II) und die fünf CIDAT-Dimensionen dafür. Artikel 5.1.f der DSGVO (Prinzip der Integrität und Vertraulichkeit) formuliert das Ziel, das das ENS in Kontrollen materialisiert. Die erste Zusatzbestimmung der LOPDGDD ist die Norm, die beide Bereiche rechtlich verbindet.

Kann ich das ENS nutzen, um die DSGVO zu erfüllen?

Ja, und das ist empfehlenswert. Ein einziges Systemverzeichnis, eine einzige Risikoanalyse und ein einziger Maßnahmensatz des Anhangs II des ENS dienen gleichzeitig dazu, die Sicherheit der Verarbeitung nachzuweisen, die Artikel 32 der DSGVO verlangt. Das ENS-Vorfallsmanagement speist auch die Meldung von Datenpannen an die AEPD. Was das ENS nicht liefert – Verzeichnis der Verarbeitungen, Rechtsgrundlagen, Informationsklauseln, DSFA, Rechtemanagement – muss separat aufgebaut werden, üblicherweise unter der Koordination des Datenschutzbeauftragten.

Was ist der Unterschied zwischen der Sicherheit des ENS und der der DSGVO?

Die DSGVO legt das Ziel offen fest ("geeignete Maßnahmen für das Risiko") und lässt dem Verantwortlichen die Wahl, wie es erreicht wird; das ENS liefert das detaillierte Wie: einen geschlossenen Maßnahmenkatalog, nach Kategorien und Dimensionen organisiert und durch Konformitätsprüfung verifiziert. Deshalb passen sie so gut zusammen: Das ENS ist eine kalkulierte und prüffähige Antwort auf die generische Anforderung des Artikels 32. Im öffentlichen Sektor ist diese Antwort überdies nicht optional: Die erste Zusatzbestimmung macht sie verpflichtend.

Schlussfolgerung: zwei Normen, ein einziges Konformitätsprojekt

ENS und DSGVO konkurrieren nicht: Sie ergänzen sich. Das ENS sichert die Systeme; die DSGVO schützt die Personen. Sie teilen das Terrain der Sicherheitsmaßnahmen, und im öffentlichen Sektor ist dieses Terrain durch die erste Zusatzbestimmung der LOPDGDD zusammengenäht, die das ENS zum Weg macht, Artikel 32 der DSGVO zu erfüllen. Für jede Verwaltung – oder jeden Anbieter, der mit ihr bietet – ist die praktische Schlussfolgerung eine: Ordnen Sie alles als ein einziges Konformitätsprojekt, mit einem Inventar, einer Risikoanalyse und einem Maßnahmensatz, der beiden Normen dient, und bauen Sie separat nur die ENS-fremde DSGVO-Schicht auf.

Quellen

• Verordnung (EU) 2016/679 (DSGVO) — Artikel 5.1.f und 32, EUR-Lex
• Organgesetz 3/2018 (LOPDGDD) — erste Zusatzbestimmung, BOE
• Real Decreto 311/2022, Spanisches Nationales Sicherheitsgrundgesetz — BOE
• Gesetz 40/2015, Öffentlich-rechtliches Regime des öffentlichen Sektors (Rechtsgrundlage des ENS) — BOE
• AEPD — Spanische Datenschutzbehörde (Leitfäden zu Artikel 32 DSGVO)
• CCN-CERT — Das ENS enthält die Maßnahmen für die DSGVO-Konformität im öffentlichen Sektor
• ENS-Portal des CCN (Centro Criptológico Nacional)

Inhalt erstellt von Ángel Ortega Castro. Informative Inhalte, aktuell zum Veröffentlichungsdatum; der Programmstatus kann sich ändern. Überprüfen Sie stets den BOE und Red.es für aktuelle Fristen.