Meldepflicht bezeichnet die gesetzliche Verpflichtung, bestimmte Vorfälle, etwa Datenpannen oder IT-Sicherheitsvorfälle, innerhalb festgelegter Fristen an Aufsichtsbehörden zu melden. Für Unternehmen sind vor allem die Fristen nach DSGVO, NIS2, DORA und künftig dem CRA relevant.
Was sind Meldepflichten im Compliance-Kontext?
Meldepflichten sorgen dafür, dass Behörden schwerwiegende Vorfälle früh erkennen und koordinierte Gegenmaßnahmen einleiten können. Im Compliance-Kontext geht es deshalb nicht nur um eine formale Meldung, sondern um belastbare Prozesse für Erkennung, Bewertung, Eskalation und Dokumentation.
Entscheidend ist die richtige Zuordnung des Vorfalls. Eine Datenschutzverletzung ist anders zu behandeln als ein erheblicher Cybervorfall oder eine aktiv ausgenutzte Schwachstelle in einem Produkt. Genau deshalb sollten Unternehmen Meldepflichten mit Risikomanagement-System, Marktaufsichtsbehörde und sauberer Vorfallreaktion zusammendenken.
Meldepflichten im Überblick (Vergleichstabelle)
| Regulierung | Frist | An wen? | Was? |
|---|---|---|---|
| DSGVO | 72 Stunden ab Kenntnis | Zuständige Datenschutzaufsichtsbehörde; betroffene Personen bei hohem Risiko | Verletzung des Schutzes personenbezogener Daten |
| NIS2 | 24 Stunden Erstmeldung, 72 Stunden Incident Notification, 1 Monat Abschlussbericht | CSIRT oder zuständige Behörde | Erheblicher Sicherheitsvorfall bei wesentlichen oder wichtigen Einrichtungen |
| DORA | 4 Stunden nach Klassifizierung als schwerwiegender IKT-Vorfall, spätestens 24 Stunden ab Kenntnis | Zuständige Finanzaufsicht | Schwerwiegender IKT-bezogener Vorfall bei Finanzunternehmen |
| CRA | 24 Stunden Frühwarnung bei aktiv ausgenutzter Schwachstelle, 72 Stunden Folgemeldung, 14 Tage Abschlussbericht; anwendbar ab 11. September 2026 | CSIRT als Coordinator und ENISA über die Single Reporting Platform | Aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle in Produkten mit digitalen Elementen |
DSGVO Art. 33/34 — 72 Stunden bei Datenschutzvorfällen
Die DSGVO verlangt bei einer Verletzung des Schutzes personenbezogener Daten grundsätzlich eine Meldung binnen 72 Stunden an die zuständige Aufsichtsbehörde. Rechtsgrundlage ist Art. 33 DSGVO. Wenn die Verletzung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hat, müssen nach Art. 34 DSGVO zusätzlich die betroffenen Personen informiert werden.
Für die Praxis heißt das: Nicht jeder IT-Vorfall ist automatisch ein DSGVO-Fall, aber jeder Vorfall mit Personenbezug muss datenschutzrechtlich geprüft werden. Typische Auslöser sind Fehlversand, unbefugter Zugriff, Ransomware mit Datenabfluss oder verlorene Datenträger. Wer hier zu spät klassifiziert, riskiert eine Fristüberschreitung schon in den ersten Stunden.
NIS2 — 24 Stunden Erstmeldung
NIS2 verlangt für erhebliche Sicherheitsvorfälle eine sehr frühe Erstmeldung. Nach Art. 23 Abs. 4 der Richtlinie (EU) 2022/2555 ist binnen 24 Stunden eine Early Warning an CSIRT oder zuständige Behörde abzugeben, binnen 72 Stunden folgt die Incident Notification, danach regelmäßig der Abschlussbericht innerhalb eines Monats.
Diese Meldepflicht richtet sich nicht an alle Unternehmen, sondern an wesentliche und wichtige Einrichtungen in den erfassten Sektoren. Inhaltlich geht es um operative Störungen, finanzielle Auswirkungen und mögliche grenzüberschreitende Effekte. Für die Einordnung helfen ein klares Risikomanagement-System und abgestimmte Eskalationswege.
DORA — 4 Stunden bei schwerwiegenden IKT-Vorfällen
DORA verdichtet die Meldefristen im Finanzsektor nochmals. Nach Art. 19 DORA in Verbindung mit der Delegierten Verordnung (EU) 2025/301 ist die Erstmeldung so früh wie möglich, spätestens jedoch innerhalb von vier Stunden nach Klassifizierung als schwerwiegender IKT-bezogener Vorfall abzugeben und in jedem Fall spätestens 24 Stunden ab Kenntnis des Vorfalls.
Praktisch relevant ist diese Frist für Banken, Versicherer, Zahlungsdienstleister und weitere Finanzunternehmen. Die Herausforderung liegt weniger im Absenden der Meldung als in der schnellen Klassifizierung. Ergänzend helfen Marktüberwachung und Technische Dokumentation, wenn Meldewege und Nachweise im Unternehmen belastbar zusammenpassen sollen.
CRA — Meldung aktiv ausgenutzter Schwachstellen (ab Sep 2026)
Der Cyber Resilience Act ergänzt Meldepflichten für Hersteller von Produkten mit digitalen Elementen. Art. 14 der Verordnung (EU) 2024/2847 gilt ab dem 11. September 2026. Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden melden, binnen 72 Stunden eine weitergehende Schwachstellenmeldung nachreichen und spätestens 14 Tage nach Verfügbarkeit einer Abhilfemaßnahme einen Abschlussbericht übermitteln.
Damit verschiebt sich der Fokus vom reinen Incident Reporting hin zum produktbezogenen Vulnerability Reporting. Für Hersteller und Anbieter wird deshalb die Verbindung aus sicherer Produktpflege, Daten-Governance und Post-Market-Monitoring wichtiger.
Häufig gestellte Fragen (FAQ)
Welche Meldepflicht gilt für mein Unternehmen?
Welche Meldepflicht gilt, hängt von Branche, Rolle und Vorfallstyp ab. Datenschutzvorfälle sprechen für die DSGVO, Vorfälle kritischer oder wichtiger Einrichtungen für NIS2, schwerwiegende IKT-Vorfälle im Finanzsektor für DORA und aktiv ausgenutzte Schwachstellen in digitalen Produkten ab dem 11. September 2026 für den CRA.
Was passiert bei verspäteter Meldung?
Verspätete Meldungen können Bußgelder, aufsichtsrechtliche Maßnahmen, vertiefte Prüfungen und zusätzliche Dokumentationspflichten auslösen. Noch gravierender ist oft das Signal an die Behörde, dass internes Meldewesen, Vorfallklassifizierung oder Verantwortlichkeiten nicht belastbar organisiert sind.
Können mehrere Meldepflichten gleichzeitig gelten?
Mehrere Meldepflichten können parallel gelten, wenn ein Vorfall verschiedene Schutzgüter berührt. Deshalb sollten Unternehmen einen Meldeprozess aufbauen, der Datenschutz, Cybersecurity, Aufsicht und Kommunikation gemeinsam bewertet, statt nur auf einen einzelnen Rechtsrahmen zu schauen.
CTA
Wenn Sie Meldepflichten nicht erst im Ernstfall sortieren wollen, bauen Sie Rollen, Eskalationswege und Nachweise frühzeitig auf. Der Kurs zur AI Governance Schulung hilft dabei, Compliance-, Risiko- und Dokumentationspflichten im Unternehmen strukturiert zu verankern.