Hafte ich als Geschäftsführer persönlich für Cyberangriffe?

Nicht jeder Cyberangriff führt automatisch zu persönlicher Haftung. Das Haftungsrisiko steigt aber deutlich, wenn die Geschäftsleitung erkennbare Organisations-, Überwachungs- oder Meldepflichten verletzt, keine Krisenstruktur eingerichtet hat oder Warnsignale ignoriert. Maßgeblich sind neben Spezialgesetzen wie DSGVO, BSIG und NIS2 vor allem die allgemeinen Organpflichten aus dem Gesellschaftsrecht.

Schützt meine D&O-Versicherung bei NIS2-Verstößen?

Eine D&O-Versicherung kann bei Fahrlässigkeit helfen, ersetzt aber keine Compliance. Entscheidend sind die konkrete Police, Ausschlüsse für wissentliche Pflichtverletzungen und die Frage, ob die Geschäftsleitung dokumentiert angemessene Maßnahmen getroffen hat. Wer Fristen oder bekannte Organisationspflichten bewusst ignoriert, verschlechtert regelmäßig seine Deckungsposition.

Krisenmanagement Cyberangriff: Rechtliche Pflichten

Q: Wie schnell muss ein Cyberangriff gemeldet werden?

Das hängt vom Rechtsregime ab. Nach Art. 33 DSGVO gilt für meldepflichtige Datenschutzverletzungen eine Frist von 72 Stunden ab Kenntnis. Nach Art. 23 NIS2 ist für erhebliche Sicherheitsvorfälle eine Erstmeldung innerhalb von 24 Stunden und eine weitergehende Meldung innerhalb von 72 Stunden vorgesehen. Für regulierte BSIG- beziehungsweise KRITIS-Konstellationen gelten ebenfalls sehr kurze Fristen, praktisch ebenfalls ab 24 Stunden.

Q: An welche Behörden muss ich einen Cyberangriff melden?

Das ist keine Einheitsmeldung. Bei personenbezogenen Daten ist regelmäßig die zuständige Datenschutzaufsichtsbehörde zuständig. NIS2- und BSIG-pflichtige Unternehmen melden an CSIRT oder zuständige nationale Behörde beziehungsweise in Deutschland an das BSI. Bei Hochrisiko-KI kann zusätzlich eine Meldelogik nach Art. 73 AI Act gegenüber Marktüberwachungsbehörden relevant werden.

Q: Was passiert, wenn ich die Meldefrist versäume?

Versäumte Fristen verschärfen das regulatorische und haftungsrechtliche Risiko erheblich. Es drohen Bußgelder, aufsichtsbehördliche Maßnahmen, schlechtere Verteidigungschancen in Haftungsverfahren und im Ernstfall Vorwürfe gegen die Geschäftsleitung wegen Organisationsverschuldens. Eine verspätete Meldung ist deshalb häufig kein Formalfehler, sondern ein zusätzlicher Pflichtverstoß.

Q: Muss jeder Cyberangriff gemeldet werden?

Nein. Meldepflichtig ist nicht jeder technische Störfall, sondern nur ein Vorfall, der die jeweiligen gesetzlichen Schwellen erreicht. Bei der DSGVO kommt es auf ein Risiko für Rechte und Freiheiten betroffener Personen an. Bei NIS2 und BSIG ist entscheidend, ob ein erheblicher oder signifikanter Sicherheitsvorfall vorliegt. Dokumentieren müssen Sie die Prüfung jedoch auch dann, wenn Sie am Ende nicht melden.

Q: Wie hilft eine Compliance-Schulung im Krisenfall?

Eine Schulung ersetzt kein Incident-Response-Team, beschleunigt aber richtige Entscheidungen in den ersten Stunden. Geschulte Führungskräfte und Mitarbeitende erkennen Meldeanlässe früher, sichern Beweise sauberer, vermeiden unzulässige Kommunikation und dokumentieren Maßnahmen so, dass Aufsichtsbehörden und Versicherer den Ablauf nachvollziehen können.

Das Krisenmanagement bei Cyberangriffen unterliegt 2026 verschärften rechtlichen Pflichten: NIS2 Art. 23 verlangt bei erheblichen Vorfällen eine Erstmeldung innerhalb von 24 Stunden, Art. 33 DSGVO bei meldepflichtigen Datenschutzverletzungen regelmäßig 72 Stunden, und bei Hochrisiko-KI können zusätzlich Meldepflichten nach Art. 73 AI Act relevant werden. Für Unternehmen bedeutet das: Nicht die technische Analyse allein zählt, sondern die Fähigkeit, in den ersten Stunden rechtssicher zu entscheiden, zu dokumentieren und zu melden.

Dieser Leitfaden erklärt die rechtlichen Mindestpflichten für Unternehmen nach DSGVO, NIS2 und BSIG, ordnet die Geschäftsführer-Verantwortung ein und gibt eine belastbare Checkliste für die ersten 72 Stunden. Wenn Sie die Organhaftung vertiefen wollen, ist unser Beitrag zur Geschäftsführer-Haftung nach KI-Verordnung ein sinnvoller Anschluss; für typische KMU-Fragen zur Governance lesen Sie ergänzend KI-Verordnung für den Mittelstand.

Die ersten 72 Stunden — Was das Gesetz verlangt

Die ersten 72 Stunden entscheiden rechtlich über Schadensbegrenzung, Bußgeldrisiko und Organhaftung. Unternehmen müssen in dieser Phase nicht jede Ursache abschließend kennen, aber sie müssen eine belastbare Erstbewertung vornehmen, Zuständigkeiten aktivieren, Beweise sichern und Fristen kontrollieren.

Die juristische Reihenfolge lautet praktisch immer gleich: Vorfall erkennen, Tragweite bewerten, regulatorische Einordnung vornehmen, Meldeschwellen prüfen und alle Schritte protokollieren. Wer zuerst Systeme hektisch neu aufsetzt, Logdaten überschreibt oder voreilig kommuniziert, verschlechtert oft sowohl die Forensik als auch die Rechtsposition.

Innerhalb der ersten Stunden muss daher ein Krisenstab aktiviert werden. Dazu gehören typischerweise IT-Sicherheit, Geschäftsleitung, Datenschutz, Recht, Kommunikation und je nach Fall externe Forensik sowie Cyber-Versicherung. Die wichtigste Leitfrage lautet nicht nur "Wie stoppen wir den Angriff?", sondern zugleich "Welche gesetzlichen Regime sind betroffen?" Bereits ein Ransomware-Angriff kann parallel DSGVO-, NIS2-, BSIG-, arbeitsrechtliche, vertragsrechtliche und versicherungsrechtliche Folgen auslösen.

Rechtlich sauber ist deshalb ein zweigleisiges Vorgehen. Technisch sichern Sie Systeme, isolieren betroffene Segmente, erhalten Beweise und bewerten Auswirkungen auf Verfügbarkeit, Integrität und Vertraulichkeit. Juristisch prüfen Sie parallel, ob personenbezogene Daten betroffen sind, ob Ihr Unternehmen unter NIS2 oder BSIG fällt, ob Kunden oder Behörden informiert werden müssen und ob die Geschäftsleitung selbst sofort eingebunden werden muss.

Die 72-Stunden-Frist aus der DSGVO ist im Unternehmensalltag besonders bekannt, aber sie ist nicht die einzige Uhr. NIS2 startet bereits nach 24 Stunden mit einer Erstmeldung. Für KRITIS- und regulierte BSIG-Fälle gilt die Erwartung ebenfalls extrem früh. Genau deshalb ist ein dokumentierter Notfallplan kein Formalismus, sondern Ihr einzig realistischer Schutz gegen Fristversäumnisse.

Meldepflichten nach DSGVO (Art. 33/34) — 72-Stunden-Frist

Nach Art. 33 DSGVO müssen Verantwortliche eine Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden an die zuständige Aufsichtsbehörde melden, sofern die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Frist läuft ab dem Zeitpunkt, an dem das Unternehmen Kenntnis von der Datenschutzverletzung erlangt hat, nicht erst nach vollständiger forensischer Klärung.

Für die Praxis heißt das: Sobald ein Cyberangriff personenbezogene Daten betrifft oder dies ernsthaft wahrscheinlich ist, beginnt die DSGVO-Prüfung sofort. Typische Fälle sind Ransomware mit Exfiltration, kompromittierte E-Mail-Konten, unbefugte Zugriffe auf Personal- oder Kundendaten, gestohlene Endgeräte mit unverschlüsselten Daten oder manipulierte Datenbestände.

Art. 33 DSGVO verlangt keine perfekte Meldung, sondern eine fristgerechte Erstmeldung mit dem verfügbaren Stand. Fehlen noch Details, dürfen diese nachgereicht werden. Gerade darin liegt ein verbreiteter Fehler: Unternehmen warten zu lange, weil sie zunächst die Root Cause Analysis abschließen wollen. Das ist rechtlich nicht erforderlich und oft sogar gefährlich.

Nach Art. 34 DSGVO kommt zusätzlich eine Benachrichtigung der betroffenen Personen in Betracht, wenn die Verletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten mit sich bringt. Dann reicht die Behördenmeldung nicht aus. Das Unternehmen muss Betroffene klar und verständlich über Art des Vorfalls, wahrscheinliche Folgen und empfohlene Schutzmaßnahmen informieren.

Die Schwellen sind dabei unterschiedlich. Art. 33 DSGVO knüpft an ein Risiko an, Art. 34 DSGVO an ein hohes Risiko. Nicht jeder meldepflichtige Datenschutzvorfall erfordert also automatisch auch eine Betroffenenbenachrichtigung. Diese Abgrenzung muss aber dokumentiert und begründet werden.

Besonders wichtig ist die Nachweispflicht. Art. 33 Abs. 5 DSGVO verpflichtet Unternehmen, Verletzungen des Schutzes personenbezogener Daten einschließlich ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen zu dokumentieren. Auch wenn Sie am Ende zu dem Ergebnis kommen, dass keine Meldung erforderlich war, muss diese Entscheidung nachvollziehbar festgehalten werden.

Meldepflichten nach NIS2 — 24-Stunden-Erstmeldung

NIS2 verlangt bei erheblichen Sicherheitsvorfällen ein deutlich schnelleres Reporting als viele Unternehmen bisher gewohnt sind. Art. 23 Abs. 4 NIS2 sieht eine Erstmeldung innerhalb von 24 Stunden nach Kenntnis des signifikanten Vorfalls vor, danach eine weitergehende Meldung innerhalb von 72 Stunden und anschließend einen Abschlussbericht grundsätzlich innerhalb eines Monats.

Der rechtliche Maßstab unterscheidet sich von der DSGVO. NIS2 fragt nicht primär nach personenbezogenen Daten, sondern nach erheblichen Vorfällen, die Netz- und Informationssysteme sowie die Erbringung wesentlicher oder wichtiger Dienste beeinträchtigen. Damit kann ein Vorfall NIS2-relevant sein, auch wenn kein Datenschutzschaden im engeren Sinn vorliegt.

Die 24-Stunden-Erstmeldung ist bewusst schlank angelegt. Sie soll nach Art. 23 NIS2 insbesondere anzeigen, ob ein erheblicher Vorfall vorliegt, ob ein böswilliger oder rechtswidriger Angriff vermutet wird und ob grenzüberschreitende Auswirkungen möglich sind. Das Unternehmen meldet also sehr früh, gerade damit Behörden und CSIRTs reagieren können, ohne auf die vollständige Analyse zu warten.

Die 72-Stunden-Meldung nach NIS2 geht weiter. Sie muss den Vorfall aktualisieren und eine erste Bewertung zu Schwere, Auswirkungen und gegebenenfalls Indicators of Compromise enthalten. Spätestens hier zeigt sich, ob Unternehmen ihren Forensik-, Kommunikations- und Dokumentationsprozess im Griff haben. Wer bis dahin keine belastbare Faktenbasis aufbaut, produziert schnell widersprüchliche Angaben gegenüber Behörden, Kunden und Versicherern.

Für deutsche Unternehmen ist dabei wichtig: Die unionsrechtliche NIS2-Logik ist seit 2026 praktisch in das nationale BSI-Regime übersetzt. Welche konkrete Meldestelle zuständig ist, hängt von Ihrer Einordnung als regulierte Einrichtung, vom Sektor und von der nationalen Umsetzung ab. Die Fristlogik 24 Stunden plus 72 Stunden bleibt aber der zentrale operative Maßstab.

BSI-Meldepflichten nach BSIG für KRITIS-Betreiber

Für KRITIS-Betreiber und andere nach dem BSIG regulierte Einrichtungen gelten besonders kurze und strenge Meldepflichten gegenüber dem BSI. Historisch wird in Deutschland oft noch auf § 8b BSIG verwiesen, weil dort die klassische KRITIS-Meldelogik verankert war; in der reformierten BSIG-Struktur nach der NIS2-Umsetzung sind die Vorfalls- und Meldepflichten jedoch systematisch weiterentwickelt und auf mehr Einrichtungen ausgeweitet worden.

Für die Unternehmenspraxis ist weniger die Paragraphenzählung als die Pflichtarchitektur entscheidend. Wer unter das BSIG fällt, muss erhebliche Störungen und Sicherheitsvorfälle unverzüglich an das BSI melden. Im heutigen Regime bedeutet das faktisch: Frühwarnung binnen 24 Stunden, substanzielle Nachmeldung binnen 72 Stunden und fortlaufende Zusammenarbeit mit der Behörde.

KRITIS-Betreiber dürfen deshalb nicht davon ausgehen, dass eine rein interne Behandlung ausreicht. Das BSI erwartet belastbare Angaben zu betroffenen Diensten, Ausmaß der Störung, vermuteter Ursache, ergriffenen Gegenmaßnahmen und möglichen Auswirkungen auf Versorgung oder Dienstleistungserbringung. Gerade bei Angriffen auf Energie, Gesundheit, Wasser, Transport oder digitale Infrastruktur ist das Meldeinteresse besonders hoch.

Ein häufiger Irrtum lautet, dass nur ein vollständiger Ausfall meldepflichtig sei. Tatsächlich können bereits erhebliche Beeinträchtigungen, drohende Ausfälle oder sicherheitsrelevante Störungen eine Meldung auslösen. Unternehmen sollten daher keine technisch zu enge Schwelle anlegen, sondern regulatorisch denken: Sobald die Dienstkontinuität, Sicherheit oder erhebliche Teile der Nutzer betroffen sind, ist die Meldeschwelle ernsthaft zu prüfen.

Für KMU außerhalb klassischer KRITIS-Strukturen ist die Frage ebenfalls relevant. Die NIS2-Umsetzung hat den Kreis regulierter Einrichtungen deutlich erweitert. Auch mittelständische Unternehmen können deshalb in ein BSIG-/BSI-Regime hineinfallen, obwohl sie sich bisher nie als KRITIS-Betreiber verstanden haben. Wer diese Betroffenheit noch nicht geprüft hat, sollte das vor dem Ernstfall erledigen.

Geschäftsführer-Pflichten bei einem Cybervorfall

Die Geschäftsleitung trägt bei einem Cybervorfall keine bloß symbolische Verantwortung, sondern echte Organisations-, Überwachungs- und Reaktionspflichten. Maßgeblich sind neben DSGVO, BSIG und NIS2 die allgemeinen Sorgfaltspflichten aus dem Gesellschaftsrecht, insbesondere § 43 GmbHG und § 93 AktG.

Geschäftsführer haften nicht automatisch persönlich für jeden Angriff. Das Haftungsrisiko steigt aber deutlich, wenn keine angemessene Krisenorganisation besteht, Warnungen ignoriert wurden, Meldepflichten versäumt werden oder der Vorfall wegen fehlender Governance eskaliert. In der Haftungspraxis lautet die entscheidende Frage oft nicht, ob ein Angriff überhaupt möglich war, sondern ob die Leitung vorhersehbare Risiken organisatorisch beherrscht hat.

Zu den Kernpflichten der Geschäftsleitung gehören deshalb ein dokumentierter Incident-Response-Prozess, klare Eskalationswege, definierte Zuständigkeiten, Schulung der entscheidenden Rollen, regelmäßige Übungen und eine saubere Einbindung von Datenschutz, IT-Sicherheit und Kommunikation. Wer diese Mindeststruktur nicht vorhält, hat im Ernstfall kaum eine überzeugende Verteidigung.

Gerade die Meldefristen machen den Organbezug sichtbar. Die Geschäftsleitung kann regulatorische Pflichten nicht mit dem Hinweis delegieren, dass "die IT sich darum kümmert". Operative Aufgaben dürfen delegiert werden, die Pflicht zur Organisation, Kontrolle und Nachverfolgung bleibt jedoch auf Ebene der Leitung. Das gilt umso mehr bei NIS2, weil Cybersecurity dort ausdrücklich als Managementthema behandelt wird.

Haftungsrechtlich relevant wird außerdem die Außenkommunikation. Unzutreffende Aussagen gegenüber Kunden, Behörden, Presse oder Versicherern können eigenständige Risiken erzeugen. Wer zu früh Entwarnung gibt, Vorfälle verharmlost oder Zusagen ohne Tatsachengrundlage macht, vergrößert die Angriffsfläche. Die Geschäftsleitung muss deshalb Kommunikationsfreigaben disziplinieren und widerspruchsfreie Faktenstände sicherstellen.

Wenn Sie die Organperspektive vertiefen wollen, lesen Sie ergänzend unseren Beitrag zur Geschäftsführer-Haftung bei der KI-Verordnung. Die Grundlogik ist übertragbar: Fehlende Governance wird im Schadensfall schnell zur persönlichen Angriffsfläche.

Dokumentation als Haftungsschutz — Was festgehalten werden muss

Saubere Dokumentation ist im Cybervorfall kein Verwaltungsballast, sondern aktiver Haftungsschutz. Behörden, Gerichte, Versicherer und Vertragspartner beurteilen Ihr Verhalten im Nachgang fast immer anhand der schriftlichen Spuren, nicht anhand späterer Erklärungen.

Festgehalten werden müssen mindestens Zeitpunkt der Entdeckung, interne Eskalation, beteiligte Rollen, erste technische Bewertung, Entscheidungsgrundlagen zur Meldeschwelle, ergriffene Sofortmaßnahmen, Kontakt mit Behörden, Kontakt mit Betroffenen, externe Dienstleister, Kommunikationsfreigaben und alle wesentlichen Zeitpunkte. Ohne diese Chronologie lässt sich kaum beweisen, dass Fristen eingehalten und Entscheidungen vertretbar waren.

Wichtig ist außerdem die Trennung von Tatsachen, Hypothesen und Entscheidungen. Ein belastbares Incident Log dokumentiert, was sicher feststeht, was nur vermutet wird und wer wann auf welcher Basis entschieden hat. Genau diese Trennung verhindert, dass spätere Ermittler oder Gegenseiten aus frühen Verdachtsmomenten unzulässige Widersprüche konstruieren.

Juristisch besonders wertvoll sind dokumentierte Abwägungen. Wenn ein Unternehmen nach Prüfung zu dem Ergebnis kommt, dass keine Meldung nach Art. 34 DSGVO erforderlich ist oder dass ein Vorfall die NIS2-Schwelle nicht erreicht, dann muss diese Entscheidung mit Fakten, Zeitstempel und Verantwortlichkeit festgehalten werden. Ohne Begründung wirkt ein Unterlassen schnell wie Nachlässigkeit.

Zur Dokumentation gehört auch die Nachbereitung. Lessons Learned, aktualisierte Richtlinien, technische Härtungsmaßnahmen, Kommunikationskorrekturen und erneute Schulungen zeigen gegenüber Aufsicht und Versicherern, dass der Vorfall ernst genommen und systematisch verarbeitet wurde. Das schützt nicht vor jeder Sanktion, verbessert aber Ihre Position deutlich.

Krisenmanagement-Checkliste für KMU

KMU brauchen im Ernstfall keine riesige Compliance-Abteilung, sondern eine klare Checkliste. Die folgende Liste ist auf die ersten 72 Stunden ausgerichtet und verbindet technische mit rechtlichen Mindestpflichten.

Stunde 0 bis 4

Incident Response auslösen und einen verantwortlichen Einsatzleiter benennen.
Betroffene Systeme isolieren, aber keine Beweise zerstören.
Geschäftsleitung, IT-Sicherheit, Datenschutz und Recht sofort einbinden.
Erstbewertung dokumentieren: Was ist betroffen, seit wann, mit welcher vermuteten Auswirkung?
Fristenuhren setzen: 24 Stunden NIS2/BSIG prüfen, 72 Stunden DSGVO prüfen.

Stunde 4 bis 24

Prüfen, ob personenbezogene Daten betroffen sind und ob ein Risiko für Betroffene besteht.
Prüfen, ob Ihr Unternehmen unter NIS2 oder BSIG fällt und ob ein erheblicher Vorfall vorliegt.
Externe Forensik, Cyber-Versicherung und gegebenenfalls spezialisierten Rechtsbeistand aktivieren.
Vorläufige Kommunikationslinie für Mitarbeitende, Kunden und Partner freigeben.
Falls erforderlich: Erstmeldung an BSI, CSIRT oder andere zuständige Stellen vorbereiten und versenden.

Stunde 24 bis 72

Faktenlage verdichten: Ausmaß, Ursache, Datenkategorien, betroffene Systeme, Betriebsunterbrechung.
DSGVO-Meldung an die Aufsichtsbehörde fristgerecht einreichen oder Nichtmeldung dokumentiert begründen.
NIS2-/BSIG-Nachmeldung mit erster Schwere- und Impact-Bewertung vorbereiten.
Erforderliche Betroffenenbenachrichtigungen nach Art. 34 DSGVO prüfen und umsetzen.
Incident Log vervollständigen und Entscheidungen der Geschäftsleitung protokollieren.

Meldepflichten im Vergleich: DSGVO vs. NIS2 vs. BSIG vs. AI Act

Die Unterschiede zwischen den Regimen sind operativ relevant, weil sie verschiedene Auslöser, Behörden und Fristen kennen. Die folgende Tabelle eignet sich gut als internes Spickblatt für den Krisenstab:

Regime	Auslöser	Frist	Behörde	Mindestinhalt	Sanktionsrisiko
DSGVO Art. 33/34	Verletzung des Schutzes personenbezogener Daten mit Risiko beziehungsweise hohem Risiko	72 Stunden ab Kenntnis; Betroffene unverzüglich bei hohem Risiko	Zuständige Datenschutzaufsichtsbehörde	Art des Vorfalls, betroffene Daten und Personen, Folgen, Abhilfemaßnahmen	Bußgelder, Anordnungen, Schadensersatz
NIS2 Art. 23	Erheblicher Sicherheitsvorfall bei wesentlichen oder wichtigen Einrichtungen	24 Stunden Erstmeldung, 72 Stunden Incident Notification, 1 Monat Abschlussbericht	CSIRT oder zuständige Behörde	Frühwarnung, Schwere, Impact, IoCs, Root-Cause-Entwicklung	Aufsichtsmaßnahmen, Bußgelder, Management-Risiken
BSIG / BSI-Regime	Erhebliche Störung oder meldepflichtiger Sicherheitsvorfall bei regulierten Einrichtungen oder KRITIS	Praktisch ab 24 Stunden, weitere Meldungen nach Lage	BSI	Betroffene Dienste, Ursache, Auswirkungen, Gegenmaßnahmen	Bußgelder, Prüfungen, aufsichtsrechtliche Maßnahmen
AI Act Art. 73	Schwerwiegender Vorfall bei Hochrisiko-KI	Grundsätzlich spätestens 15 Tage, in Sonderfällen 2 oder 10 Tage	Marktüberwachungsbehörde	Kausalzusammenhang, Systembezug, Vorfallsbild, Korrekturmaßnahmen	Marktaufsicht, Anordnungen, Bußgelder

Der AI Act ist dabei kein allgemeines Cyber-Meldegesetz. Er wird nur relevant, wenn ein Hochrisiko-KI-System beteiligt ist und ein schwerwiegender Vorfall im Sinne des AI Act vorliegt. Für die meisten klassischen Cyberangriffe stehen daher DSGVO, NIS2 und BSIG im Vordergrund. Mehr zur behördlichen Durchsetzung finden Sie im Glossar zu AI Act Enforcement.

Wie Schulung Ihr Unternehmen im Ernstfall schützt

Schulung reduziert im Krisenfall nicht die Wahrscheinlichkeit jedes Angriffs, aber sie verbessert die Qualität der ersten Entscheidungen. Genau darin liegt ihr Compliance-Wert. Unternehmen verlieren in den ersten Stunden oft nicht wegen fehlender Technik, sondern wegen unklarer Zuständigkeiten, falscher Annahmen zu Meldepflichten und schlechter Kommunikation.

Eine wirksame Schulung muss deshalb nicht nur Phishing erklären, sondern Rollen im Ernstfall trainieren. Führungskräfte müssen Fristen und Eskalationspflichten kennen. Datenschutz und IT müssen die Schnittstelle zwischen Technik und Recht beherrschen. Fachbereiche müssen wissen, welche Vorfälle sie sofort hochmelden müssen und welche Informationen nicht voreilig nach außen gehen dürfen.

Besonders relevant ist das für mittelständische Unternehmen, in denen derselbe Personenkreis mehrere Rollen übernimmt. Gerade dort hilft eine strukturierte Compliance-Schulung, weil sie Verantwortlichkeiten vorab sortiert und wiederholbar macht. Das ist auch im Kontext der allgemeinen Governance-Pflichten für den Mittelstand entscheidend.

Wenn in Ihrem Unternehmen KI-Systeme in Sicherheits-, Support-, Entscheidungs- oder Dokumentationsprozessen eingesetzt werden, steigt die Komplexität weiter. Dann müssen Mitarbeitende zusätzlich verstehen, wann neben Cyber- und Datenschutzpflichten auch Anforderungen an Transparenz, Nachvollziehbarkeit oder Vorfallweitergabe aus der KI-Regulierung berührt sein können.

Unser Kurs zur EU AI Act Schulung ersetzt kein forensisches Incident Response Playbook. Er hilft aber dabei, Verantwortliche, Fachbereiche und Führungskräfte so zu schulen, dass sie Pflichten, Rollen und Eskalationswege im Ernstfall schneller und sauberer umsetzen. Genau dieser Nachweis kann in Prüfungen, internen Audits und Haftungsfragen einen relevanten Unterschied machen.

Häufig gestellte Fragen (FAQ)

Muss jeder Cyberangriff gemeldet werden?

Nein, aber jeder Cyberangriff muss rechtlich bewertet werden. Meldepflichten entstehen erst, wenn die jeweilige Schwelle erreicht ist, etwa ein Risiko für Betroffene nach Art. 33 DSGVO oder ein erheblicher Sicherheitsvorfall nach Art. 23 NIS2. Die Prüfung selbst müssen Sie jedoch immer dokumentieren.

Welche Fristen gelten bei einem Datenschutzvorfall?

Bei einer meldepflichtigen Verletzung des Schutzes personenbezogener Daten gilt nach Art. 33 DSGVO grundsätzlich eine 72-Stunden-Frist ab Kenntnis gegenüber der Aufsichtsbehörde. Besteht ein hohes Risiko für Betroffene, kann zusätzlich eine Benachrichtigung nach Art. 34 DSGVO erforderlich sein. Entscheidend ist eine frühe Risikoprüfung, nicht die vollständige technische Aufklärung.

Wer ist im Unternehmen verantwortlich?

Verantwortlich ist nicht nur die IT. Operativ arbeiten meist IT-Sicherheit, Datenschutz, Recht und Kommunikation zusammen, organisatorisch trägt jedoch die Geschäftsleitung die Verantwortung dafür, dass diese Struktur überhaupt existiert und funktioniert. Genau deshalb schlagen Meldefehler häufig auch auf Organhaftung durch.

Wie hilft eine Compliance-Schulung im Krisenfall?

Eine gute Schulung verkürzt Entscheidungswege und verbessert die Begründungsqualität. Mitarbeitende erkennen meldepflichtige Sachverhalte früher, dokumentieren sauberer und vermeiden widersprüchliche Kommunikation. Das reduziert nicht nur operative Schäden, sondern auch Haftungs- und Bußgeldrisiken.

Hafte ich als GF persönlich für Cyberangriffe?

Nicht automatisch, aber bei Organisationsversagen steigt das Risiko erheblich. Wer keine Krisenstruktur etabliert, bekannte Risiken ignoriert oder Meldepflichten versäumt, schafft eine haftungsrechtlich schlechte Ausgangslage. Die persönliche Verantwortlichkeit hängt dann stark von dokumentierter Sorgfalt oder deren Fehlen ab.

Schützt meine D&O-Versicherung bei NIS2?

Sie kann helfen, ist aber kein Ersatz für Compliance. Versicherer prüfen regelmäßig, ob nur fahrlässige Fehler vorliegen oder ob erkennbare Pflichten missachtet wurden. Gute Dokumentation, Schulung und ein funktionierender Krisenprozess verbessern Ihre Position deutlich.

Wie schnell muss ein Cyberangriff gemeldet werden?

Die Antwort lautet: oft schneller als gedacht. DSGVO bedeutet bei meldepflichtigen Datenschutzverletzungen 72 Stunden. NIS2 bedeutet bei erheblichen Vorfällen 24 Stunden für die Erstmeldung und 72 Stunden für die weitergehende Meldung. Das BSI-Regime für regulierte Einrichtungen folgt praktisch derselben kurzen Logik.

An welche Behörden muss ich einen Cyberangriff melden?

Bei Datenschutzvorfällen ist regelmäßig die Datenschutzaufsichtsbehörde zuständig. Bei NIS2- und BSIG-relevanten Vorfällen sind CSIRT, BSI oder die zuständige nationale Behörde einzubeziehen. Wenn ein Hochrisiko-KI-System ursächlich beteiligt ist, kann zusätzlich eine Meldung an die zuständige Marktüberwachungsbehörde relevant werden.

Was passiert, wenn ich die Meldefrist versäume?

Eine Fristversäumnis verschlechtert die gesamte Rechtsposition. Neben möglichen Bußgeldern drohen Auflagen, Nachteile gegenüber Versicherern, Vertrauensverlust bei Kunden und eine deutlich stärkere Prüfung der Geschäftsleitungsverantwortung. Wer zu spät meldet, fügt dem Ursprungsereignis oft einen zweiten Pflichtverstoß hinzu.

Wer die Pflichten für Krisenmanagement, Incident Response und Führungsebene nicht erst im Ernstfall sortieren will, sollte jetzt Verantwortliche schulen und Abläufe testen. Unser EU AI Act Schulungsprogramm hilft Ihrem Unternehmen, Rollen, Dokumentation und Compliance-Verständnis rechtzeitig aufzubauen, damit im Vorfall nicht erst die Grundlagen fehlen.

Krisenmanagement bei Cyberangriffen — Rechtliche Pflichten für Unternehmen