Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 DSGVO Meldepflichtdoppelte Meldepflicht CybervorfallNIS2 DSGVO parallelMeldepflicht BSI Datenschutz

NIS2 + DSGVO — Doppelte Meldepflicht bei Cybervorfällen

Bei Cybervorfällen müssen Unternehmen oft parallel an BSI (NIS2) und Datenschutzbehörde (DSGVO) melden. So vermeiden Sie Fehler.

Veröffentlicht: 21. März 2026Letzte Aktualisierung: 21. März 202612 Min. Lesezeit

NIS2 DSGVO Meldepflicht: doppelte Meldepflicht bei Cybervorfällen

Letzte Aktualisierung: 21. März 2026

Bei einem Cybervorfall mit Personendaten gelten NIS2 und DSGVO gleichzeitig: NIS2 fordert eine Erstmeldung binnen 24 Stunden an das BSI oder den zuständigen CSIRT-Meldekanal, die DSGVO eine Meldung binnen 72 Stunden an die Datenschutzaufsicht. Für die NIS2 DSGVO Meldepflicht heißt das praktisch: ein Vorfall, zwei Behörden, zwei Rechtsgrundlagen, aber idealerweise ein gemeinsamer Incident-Prozess mit abgestimmter Dokumentation.

Die Kernfrage lässt sich damit direkt beantworten: Sie müssen nicht automatisch immer doppelt melden, aber sehr oft parallel prüfen und häufig tatsächlich zwei getrennte Meldungen abgeben. Maßgeblich sind unterschiedliche Trigger. NIS2 fragt nach der Erheblichkeit des Sicherheitsvorfalls für Dienste, Betriebsfähigkeit und Resilienz. Die DSGVO fragt nach einer Verletzung des Schutzes personenbezogener Daten und dem Risiko für die Rechte und Freiheiten natürlicher Personen. Sobald beide Schwellen erreicht sind, laufen die Meldepflichten nebeneinander. Wer dafür keinen vorbereiteten Ablauf hat, riskiert Fristversäumnisse, unvollständige Meldungen und vermeidbare Haftungsdiskussionen.

Für die operative Vorbereitung lohnt der Blick auf unsere Beiträge zur NIS2-Vorfallmeldung in der Praxis, zum NIS2 Incident Response Plan, zur Geschäftsführer-Haftung bei Cyberangriffen und zu AI Act, NIS2 und DSGVO im Vergleich. Wenn Sie Verantwortliche strukturiert schulen und Nachweise aufbauen wollen, ist unsere EU AI Act Schulung der naheliegende nächste Schritt.

Wann müssen Sie doppelt melden — NIS2 und DSGVO parallel?

Sie müssen parallel melden, wenn ein einziger Cybervorfall zugleich ein erheblicher NIS2-Vorfall und eine meldepflichtige Datenschutzverletzung nach Art. 33 DSGVO ist. Die doppelte Meldepflicht entsteht also nicht wegen einer beliebigen IT-Störung, sondern wegen einer inhaltlichen Überschneidung aus Resilienzbezug und Personenbezug.

Die Abgrenzung ist in der Praxis klarer, als viele Teams annehmen:

  • NIS2 wird relevant, wenn ein Sicherheitsvorfall Ihre Dienste, Systeme oder den Geschäftsbetrieb erheblich beeinträchtigt oder erhebliche Auswirkungen auf Empfänger Ihrer Leistungen haben kann.
  • DSGVO wird relevant, wenn Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten verletzt wurden und daraus mindestens ein Risiko für betroffene Personen folgt.
  • Beide Regime greifen gleichzeitig, wenn zum Beispiel Ransomware sowohl die Betriebsfähigkeit einschränkt als auch Personal-, Kunden- oder Patientendaten betrifft.

Typische Fälle doppelter Meldepflicht sind:

  • Ransomware in einer NIS2-pflichtigen Einrichtung mit Verschlüsselung produktiver Systeme und Zugriff auf personenbezogene Daten
  • Kompromittierung eines Administratorkontos mit Ausfall zentraler Dienste und unbefugtem Zugriff auf Kundendaten
  • Cloud-Fehlkonfiguration, die einerseits Kernprozesse stört und andererseits personenbezogene Datensätze offenlegt
  • Lieferkettenvorfall bei einem IT-Dienstleister, der Ihre kritischen Dienste beeinträchtigt und zugleich Datenabfluss auslöst

Nicht jeder Vorfall löst dagegen automatisch beide Schienen aus. Ein DDoS-Angriff ohne Personenbezug kann NIS2-relevant sein, aber keine DSGVO-Meldung erfordern. Ein Fehlversand personenbezogener Daten kann hingegen Art. 33 DSGVO auslösen, ohne dass die NIS2-Schwelle einer erheblichen Dienstbeeinträchtigung erreicht ist. Gerade diese saubere Trennung ist wichtig, damit Ihr Team weder untermeldet noch reflexartig an die falsche Stelle meldet.

Rechtlich betrachtet ist die Doppelstruktur folgerichtig. Art. 23 der Richtlinie (EU) 2022/2555 verfolgt ein Sicherheits- und Resilienzziel. Art. 33 und 34 DSGVO schützen die Rechte natürlicher Personen. Dass derselbe Vorfall beide Schutzrichtungen berühren kann, ist kein Sonderfall, sondern in modernen IT-Umgebungen eher die Regel. In älteren deutschen Entwurfsfassungen zur NIS2-Umsetzung wurde der Vorfallmeldeprozess häufig mit Verweisen auf § 65 BSIG-E diskutiert. Für die operative Praxis zählt heute aber vor allem: Sie brauchen einen Meldeprozess, der die NIS2-Logik und die DSGVO-Logik von Anfang an gemeinsam bewertet.

Meldefristen im Vergleich — 24h/72h NIS2 vs. 72h DSGVO

Die größte Fehlerquelle liegt fast immer in den Fristen. NIS2 und DSGVO laufen nicht synchron, sondern versetzt. NIS2 zwingt Sie zu einer frühen Lageinformation binnen 24 Stunden. Die DSGVO gibt Ihnen grundsätzlich bis zu 72 Stunden für die Meldung an die Datenschutzaufsicht. Daraus folgt kein Widerspruch, sondern eine Priorisierung: erst schnelle Sicherheitsmeldung, dann vertiefte datenschutzrechtliche Bewertung, ohne die DSGVO bis zur 72. Stunde auszureizen.

Die folgende Vergleichstabelle ist für den Ernstfall die wichtigste Arbeitshilfe:

KriteriumNIS2DSGVO
RechtsgrundlageArt. 23 Richtlinie (EU) 2022/2555Art. 33 und 34 Verordnung (EU) 2016/679
Triggererheblicher SicherheitsvorfallVerletzung des Schutzes personenbezogener Daten mit Risiko für Betroffene
Erste FristFrühwarnung binnen 24 Stunden nach KenntnisMeldung binnen 72 Stunden nach Kenntnis, sofern meldepflichtig
Weitere FristenVorfallmeldung binnen 72 Stunden, Abschlussbericht binnen 1 MonatBetroffenenbenachrichtigung ohne unangemessene Verzögerung bei hohem Risiko
BehördeBSI bzw. nationaler NIS2-Meldekanalzuständige Datenschutzaufsichtsbehörde
Fokus der MeldungDienste, Auswirkung, Betriebsstörung, Ursache, EindämmungDatenkategorien, Betroffenenrisiko, Folgen, Abhilfemaßnahmen
ZielLagebild, Cyberabwehr, ResilienzSchutz der Rechte und Freiheiten natürlicher Personen
FehlerfolgeAufsichts- und Bußgeldrisiko nach NIS2/BSIGAufsichts- und Bußgeldrisiko nach DSGVO

Operativ sollten Sie die Fristen so lesen:

  1. Binnen der ersten Stunden qualifizieren Sie den Vorfall technisch und rechtlich grob.
  2. Spätestens vor Ablauf von 24 Stunden treffen Sie die NIS2-Entscheidung und geben bei Erheblichkeit die Frühwarnung ab.
  3. Parallel erstellen Sie die DSGVO-Risikoprüfung und die Faktenbasis für Art. 33 DSGVO.
  4. Vor Ablauf von 72 Stunden liefern Sie die NIS2-Vorfallmeldung und, falls die Schwelle erreicht ist, die DSGVO-Meldung an die Datenschutzaufsicht.
  5. Bei hohem Risiko für Betroffene planen Sie zusätzlich die Benachrichtigung nach Art. 34 DSGVO.

Wichtig ist der Fristbeginn. Weder NIS2 noch DSGVO warten auf vollständige Forensik. Maßgeblich ist der Zeitpunkt, an dem Ihre Organisation hinreichende Kenntnis vom Vorfall hat. Genau deshalb brauchen Sie eine belastbare Eskalationsdefinition. Wenn das SOC, die interne IT oder ein externer Dienstleister einen Vorfall mit belastbaren Anhaltspunkten meldet, läuft die Uhr. Wer erst auf den finalen Abschlussbericht eines Forensikpartners wartet, verliert den regulatorischen Wettlauf fast zwangsläufig.

An welche Behörden melden? (BSI vs. Datenschutzaufsicht)

Sie melden unter NIS2 und DSGVO nicht an dieselbe Stelle. Diese Trennung ist zwingend, weil die Behörden unterschiedliche Aufsichtsziele verfolgen. NIS2-relevante Vorfälle gehen in Deutschland an das BSI beziehungsweise den dafür vorgesehenen Meldekanal. DSGVO-relevante Datenschutzverletzungen gehen an die zuständige Datenschutzaufsicht, in der Regel die Landesdatenschutzbehörde Ihres Unternehmenssitzes oder in Sonderkonstellationen an den BfDI.

Für die Praxis genügt folgende Grundregel:

  • BSI: zuständig für NIS2-Vorfälle, also Sicherheitsvorfälle mit Relevanz für Dienste, Systeme und Resilienz bei erfassten Einrichtungen
  • Datenschutzaufsicht: zuständig für meldepflichtige Datenschutzverletzungen nach Art. 33 DSGVO
  • Betroffene Personen: zusätzlich zu informieren, wenn Art. 34 DSGVO wegen hohen Risikos greift

Der inhaltliche Zuschnitt der Meldungen unterscheidet sich deutlich. Das BSI interessiert sich vor allem für Art des Vorfalls, betroffene Dienste, Ursache, Schweregrad, mögliche grenzüberschreitende Auswirkungen und getroffene Gegenmaßnahmen. Die Datenschutzaufsicht erwartet dagegen eine Beschreibung der betroffenen personenbezogenen Daten, die voraussichtlichen Folgen für Betroffene, die bereits ergriffenen Maßnahmen und eine belastbare Risikobewertung.

Genau deshalb sollten Sie keine identische Meldung an beide Behörden weiterleiten. Ein einheitlicher Faktenkern ist sinnvoll, aber die Aufbereitung muss unterschiedlich sein. Ein guter Standard ist ein gemeinsames Incident-Dossier mit zwei daraus abgeleiteten Behördenfassungen:

  • eine technische und betriebsbezogene NIS2-Fassung für das BSI
  • eine datenschutzbezogene Art.-33-Fassung für die Aufsichtsbehörde

Bei mehreren Standorten, Konzernstrukturen oder internationalen Geschäftsmodellen kommt eine zweite Fehlerquelle hinzu: die falsche Datenschutzaufsicht. In Deutschland ist die Behördenlandschaft föderal organisiert. Wenn Sie an die unzuständige Stelle melden, verlieren Sie Zeit und erhöhen das Risiko formaler Rückfragen. Halten Sie daher im Vorfeld fest, welche Landesbehörde für Ihre Gesellschaft zuständig ist und wer die Kontaktdaten pflegt.

Praxisbeispiel Ransomware — paralleler Meldeprozess

Ransomware ist das Musterbeispiel für die doppelte Meldepflicht, weil regelmäßig beide Schutzgüter betroffen sind: die Funktionsfähigkeit Ihrer Dienste und der Schutz personenbezogener Daten. Angenommen, ein mittelständischer Gesundheitsdienstleister, der in den NIS2-Anwendungsbereich fällt, stellt um 07:30 Uhr fest, dass zentrale Server verschlüsselt sind, das Terminmanagement ausfällt und erste Hinweise auf Datenabfluss vorliegen.

Dann sieht ein sauberer Parallelprozess so aus:

T+0 bis T+4 Stunden

  • Incident Response aktivieren
  • betroffene Systeme isolieren
  • Logdaten und Beweise sichern
  • Krisenstab mit IT, Informationssicherheit, Datenschutz, Recht, Kommunikation und Geschäftsleitung zusammenziehen
  • Vorfall als potenziell NIS2-relevant und DSGVO-relevant markieren

T+4 bis T+12 Stunden

  • Erheblichkeit des Dienstausfalls für NIS2 bewerten
  • Personenbezug und Datenkategorien identifizieren
  • erste Auswirkungen auf Patienten, Mitarbeitende oder Kunden bewerten
  • Kontaktperson für Behördenkommunikation benennen
  • interne Timeline und Vorfall-ID festlegen

T+12 bis T+24 Stunden

  • NIS2-Frühwarnung an das BSI vorbereiten und absenden
  • in der Meldung klar kennzeichnen, dass die Datenlage noch vorläufig ist
  • parallel juristische Vorprüfung zu Art. 33 DSGVO abschließen

T+24 bis T+72 Stunden

  • technische Erkenntnisse verdichten
  • Umfang des Datenabflusses oder der Datenverschlüsselung präzisieren
  • NIS2-Vorfallmeldung nachschärfen
  • DSGVO-Meldung an die zuständige Datenschutzaufsicht abgeben
  • prüfen, ob wegen hohen Risikos bereits eine Betroffeneninformation nach Art. 34 DSGVO erforderlich ist

Ab T+72 Stunden

  • weitere Nachmeldungen und Abschlussbericht vorbereiten
  • Lessons Learned, Managemententscheidungen und Evidenzen dokumentieren
  • Versicherer, Auftraggeber und vertragliche Meldepflichten separat steuern

Das entscheidende Lernmoment an diesem Beispiel ist nicht die Reihenfolge einzelner E-Mails, sondern die Governance dahinter. Wenn Datenschutz, IT und Rechtsabteilung getrennt arbeiten, entstehen Lücken. Die IT meldet dann vielleicht früh an das BSI, während die DSGVO-Prüfung zu spät beginnt. Oder der Datenschutz bewertet nur den Datenabfluss, ohne die erhebliche Betriebsstörung für NIS2 sauber zu erfassen. Ein belastbarer Prozess braucht deshalb eine gemeinsame Lageführung mit einem Incident Lead, der beide Regime mitdenkt.

Wenn Sie den technischen Teil des Vorfalls vertiefen möchten, finden Sie in unserem Beitrag zum NIS2 Incident Response Plan die operative Perspektive. Für die Managementseite ist zusätzlich der Beitrag zur Geschäftsführer-Haftung bei Cyberangriffen relevant, weil verspätete oder schlecht dokumentierte Entscheidungen später oft als Organisationsmangel ausgelegt werden.

Prozess-Template: Ein Vorfall, zwei Meldungen

Sie brauchen im Alltag kein abstraktes Rechtsgutachten, sondern ein wiederholbares Template. Ein praxistauglicher Standard für die doppelte Meldepflicht besteht aus einem gemeinsamen Intake und zwei abgeleiteten Meldepfaden.

Schritt 1: Gemeinsamen Incident Intake starten

Erfassen Sie sofort dieselben Basisdaten für beide Regime:

  • Zeitpunkt der Kenntnis
  • Entdecker des Vorfalls
  • betroffene Systeme und Dienste
  • betroffene Datenkategorien
  • erste Annahme zur Ursache
  • Status der Eindämmung
  • betroffene Gesellschaft und Standorte

Schritt 2: Zwei Regelfragen stellen

Stellen Sie innerhalb der ersten Stunden zwei getrennte Fragen:

  1. Ist der Vorfall für NIS2 erheblich?
  2. Liegt eine Verletzung des Schutzes personenbezogener Daten mit Risiko für Betroffene vor?

Diese Fragen dürfen nicht ineinander aufgehen. Ein Sicherheitsvorfall kann erheblich sein, ohne personenbezogene Daten zu betreffen. Und eine Datenschutzverletzung kann meldepflichtig sein, ohne einen erheblichen NIS2-Vorfall darzustellen.

Schritt 3: Rollen klar zuweisen

Legen Sie Verantwortliche fest:

  • Incident Lead für Gesamtsteuerung
  • Security Lead für technische Bewertung und NIS2-Inhalte
  • Datenschutzbeauftragter oder Privacy Lead für Art. 33/34 DSGVO
  • Legal für Freigabe kritischer Formulierungen
  • Geschäftsleitung für Eskalations- und Ressourcenentscheidungen

Schritt 4: Behördenspezifische Meldungen ableiten

Aus dem gemeinsamen Faktenblatt entstehen zwei Fassungen:

  • NIS2-Meldung: Was ist passiert, wie erheblich ist die Betriebsstörung, welche Dienste sind betroffen, welche Maßnahmen laufen?
  • DSGVO-Meldung: Welche personenbezogenen Daten sind betroffen, welches Risiko droht den Betroffenen, welche Abhilfemaßnahmen wurden ergriffen?

Schritt 5: Nachführung organisieren

Einmal melden reicht selten. Deshalb benötigen Sie feste Update-Zeitpunkte, idealerweise mit einem Meldeboard für:

  • NIS2-Frühwarnung
  • NIS2-Vorfallmeldung
  • NIS2-Abschlussbericht
  • DSGVO-Meldung
  • Art.-34-Betroffeneninformation
  • Versicherer und Vertragspartner

Ein solches Template spart nicht nur Zeit, sondern reduziert Widersprüche. Besonders problematisch sind Behördenmeldungen, in denen Ausfalldauer, Entdeckungszeitpunkt oder betroffene Datenkategorien voneinander abweichen. Genau daraus entstehen Rückfragen und Zweifel an der internen Steuerungsfähigkeit. Wer das vermeiden will, sollte sein Vorgehen regelmäßig proben, etwa per Tabletop-Übung auf Basis des NIS2 Incident Response Plan.

Dokumentationspflichten und Nachweisführung bei der DSGVO-NIS2-Überschneidung

Dokumentation ist bei doppelter Meldepflicht kein Nebenthema, sondern Ihr wichtigstes Verteidigungsmittel. Sie müssen später nachweisen können, wann Ihr Unternehmen Kenntnis hatte, wie die Risikobewertung ablief, warum Sie welche Meldung abgegeben oder ausnahmsweise nicht abgegeben haben und welche Maßnahmen Sie eingeleitet haben.

Ein belastbares Dossier enthält mindestens:

  • Incident-Timeline mit allen relevanten Zeitpunkten
  • Entscheidungsmatrix zu NIS2 und DSGVO
  • Namen der beteiligten Entscheider und Freigeber
  • Versionen der Behördenmeldungen
  • Nachweise zu Eindämmungs- und Wiederherstellungsmaßnahmen
  • Risikobewertung für Betroffene
  • Begründung, falls Art. 34 DSGVO nicht ausgelöst wurde
  • Kommunikationsnachweise gegenüber Dienstleistern, Versicherern und Kunden

Für die DSGVO ist diese Nachweisführung schon wegen der Rechenschaftspflicht zentral. Auch wenn Sie zu dem Ergebnis kommen, dass ein Vorfall nicht meldepflichtig ist, sollten Sie die Begründung dokumentieren. Für NIS2 ist die Dokumentation ebenso entscheidend, weil Behörden und spätere Audits nicht nur das Ereignis selbst, sondern auch Ihre organisatorische Reaktionsfähigkeit bewerten.

Besonders wichtig ist die Trennung zwischen vorläufigen und bestätigten Erkenntnissen. In den ersten 24 bis 72 Stunden arbeiten Sie mit Hypothesen, Logfragmenten und ersten forensischen Einschätzungen. Das ist normal. Problematisch wird es erst, wenn diese Vorläufigkeit nirgends kenntlich gemacht wird. Jede gute Meldedokumentation enthält daher:

  • bestätigte Fakten
  • plausible Annahmen
  • noch offene Punkte
  • nächster Aktualisierungstermin

Diese Struktur schützt Sie vor dem Vorwurf widersprüchlicher Meldungen. Wenn sich der Datenabfluss erst später bestätigt oder widerlegt, ist das nicht per se problematisch. Problematisch ist nur, wenn Ihre Organisation keine nachvollziehbare Dokumentationslinie hat.

Bußgeldrisiken bei verspäteter Meldung

Verspätete Meldungen sind kein rein formaler Fehler. Sie werden von Aufsichtsbehörden regelmäßig als Hinweis auf mangelhafte Organisation gelesen. Unter NIS2 beziehungsweise im deutschen BSIG-Regime drohen empfindliche Sanktionen. Unter der DSGVO kommen Bußgelder, Anordnungen und zusätzlicher Reputationsschaden hinzu. Noch gravierender ist oft der kumulative Effekt: verspätete Meldung, lückenhafte Dokumentation und unklare Zuständigkeiten verstärken sich gegenseitig.

Die Risikolage lässt sich vereinfacht so lesen:

  • NIS2/BSIG: verspätete, unvollständige oder unterlassene Vorfallmeldung erhöht das Risiko behördlicher Maßnahmen und Bußgelder erheblich
  • DSGVO: verspätete oder fehlerhafte Meldung nach Art. 33 DSGVO kann eigenständig sanktioniert werden
  • Managementhaftung: schlechte Organisation des Meldeprozesses kann in Organhaftungsdiskussionen einfließen
  • Vertrags- und Versicherungsfolgen: auch außerhalb des öffentlichen Rechts können Fristversäumnisse Deckungslücken und Streit mit Kunden auslösen

Gerade bei Cybervorfällen machen Unternehmen oft denselben Denkfehler: Sie konzentrieren sich auf die technische Wiederherstellung und behandeln die Behördenmeldung als nachgelagerte Formalie. Regulatorisch ist es umgekehrt. Die Fähigkeit, trotz unvollständiger Faktenlage früh, sauber und nachvollziehbar zu melden, ist Teil Ihrer Sicherheits- und Governance-Pflichten.

Wenn Sie diese Lücke im Unternehmen schließen möchten, sollten Sie nicht erst beim nächsten Vorfall reagieren. Eine dokumentierte Schulung der Verantwortlichen, klare Eskalationspfade und ein getestetes Melde-Template sind die wirksamsten Präventionsmaßnahmen gegen vermeidbare Meldefehler. Unsere EU AI Act Schulung hilft dabei, Management, Security und Compliance auf einen gemeinsamen Prozessstand zu bringen.

Häufig gestellte Fragen (FAQ)

Muss ich einen Cybervorfall bei NIS2 und DSGVO melden?

Ja, wenn beide Voraussetzungen erfüllt sind. Fällt Ihr Unternehmen unter NIS2 und betrifft der Vorfall zugleich personenbezogene Daten mit Risiko für Betroffene, laufen zwei Meldepflichten parallel. Sie melden dann nicht „einfach alles irgendwohin“, sondern gezielt an BSI und Datenschutzaufsicht.

Was ist der Unterschied zwischen NIS2- und DSGVO-Meldepflicht?

NIS2 bewertet die Auswirkung des Vorfalls auf Dienste, Netz- und Informationssysteme sowie die Resilienz der Einrichtung. Die DSGVO bewertet die Auswirkung auf personenbezogene Daten und die Rechte natürlicher Personen. Deshalb unterscheiden sich Behörden, Fristen und Meldeinhalte.

Welche Fristen gelten bei NIS2 und DSGVO gleichzeitig?

Unter NIS2 müssen Sie bei erheblichen Vorfällen frühzeitig binnen 24 Stunden warnen und binnen 72 Stunden vertieft nachmelden. Unter Art. 33 DSGVO gilt grundsätzlich die 72-Stunden-Frist gegenüber der Datenschutzaufsicht. Bei hohem Risiko kommt zusätzlich Art. 34 DSGVO mit einer Benachrichtigung der Betroffenen ohne unangemessene Verzögerung hinzu.

An welche Behörde melde ich was?

NIS2-Meldungen gehen in Deutschland an das BSI. DSGVO-Meldungen gehen an die zuständige Datenschutzaufsichtsbehörde. Für Konzerne und föderale Strukturen sollten Sie die Zuständigkeiten bereits vor einem Vorfall schriftlich festlegen.

Kann ein Vorfall NIS2-Pflicht aber keine DSGVO-Meldepflicht auslösen?

Ja. Ein erheblicher Dienstausfall, ein DDoS oder eine OT-Störung ohne Personenbezug kann NIS2-relevant sein, ohne Art. 33 DSGVO auszulösen. Ebenso ist der umgekehrte Fall möglich: Datenschutzverletzung ohne erhebliche NIS2-Relevanz.

Muss ich zusätzlich Betroffene informieren?

Nur wenn die Voraussetzungen von Art. 34 DSGVO erfüllt sind. Das ist vor allem dann der Fall, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, etwa bei sensiblen Daten, Identitätsmissbrauchsrisiken oder relevanter Exfiltration.

Fazit

Die doppelte Meldepflicht bei Cybervorfällen ist kein Sonderproblem für Juristen, sondern eine operative Kernaufgabe von Security, Datenschutz und Geschäftsleitung. Wenn NIS2 und DSGVO gleichzeitig greifen, entscheidet nicht Perfektion, sondern Prozessreife: frühe Eskalation, klare Zuständigkeiten, ein gemeinsamer Faktenkern und zwei sauber abgeleitete Meldungen.

Wer diese Struktur vor dem Ernstfall etabliert, reduziert Bußgeldrisiken, Rückfragen der Behörden und interne Reibungsverluste spürbar. Wenn Sie dafür Verantwortliche schulen, Rollen klären und einen belastbaren Meldeprozess aufbauen wollen, ist die EU AI Act Schulung der passende nächste Schritt.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →