In einem IT-Notfall zählt jede Minute. Mit Blick auf die Einhaltung gesetzlicher Meldepflichten ist dies oft wörtlich zu nehmen. Wer nach einem Sicherheitsvorfall nämlich nicht oder zu spät informiert, riskiert empfindliche Bußgelder und den Verlust des Vertrauens von Kund:innen und Geschäftspartnern. Dieser Artikel gibt Ihnen einen strukturierten Überblick darüber, welche Vorfälle meldepflichtig sind, wer im Unternehmen verantwortlich ist, wie eine Meldung abläuft und warum eine gute Vorbereitung im Ernstfall entscheidend sein kann.
Warum Meldepflichten für Sie relevant sind
Viele Unternehmer:innen glauben, dass Meldepflichten ausschließlich Konzerne oder kritische Infrastrukturen betreffen. Diese Annahme ist falsch. Die gesetzlichen Vorgaben gelten auch für kleine Betriebe mit wenigen Mitarbeitenden – sobald personenbezogene Daten verarbeitet werden oder bestimmte digitale Dienstleistungen erbracht werden. Ein Friseursalon mit digitaler Kundenverwaltung ist bei einem Datenleck genauso betroffen wie ein mittelständisches IT-Unternehmen.
Fehlerhafte oder verspätete Meldungen können erhebliche finanzielle Folgen haben. Die Datenschutz-Grundverordnung sieht Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. Auch wenn in der Praxis die Bußgelder für kleine und mittlere Betriebe meist niedriger ausfallen, können bereits niedrige fünfstellige Beträge existenzbedrohend sein. Hinzu kommen Reputationsschäden, wenn betroffene Personen nicht rechtzeitig informiert werden und sich Datenmissbrauch ausweitet.
In 87 % der Fälle wird ein Bußgeld verhängt, das sehr gravierend ausfallen kann. Der Durchschnitt des Bußgeldes liegt bei über 350.000 €, mit einem Median von rund 7.000 €.
CYBERsicher Lagebild 2025
Zentrale Meldepflichten im Überblick
Datenschutz (DSGVO / BDSG)
Die Datenschutz-Grundverordnung verpflichtet Unternehmen zur unverzüglichen Meldung, wenn personenbezogene Daten unrechtmäßig offengelegt, verändert oder zerstört wurden. Dies betrifft beispielsweise den Diebstahl von Kund:innendaten, den Verlust eines unverschlüsselten USB-Sticks mit Mitarbeitendendaten oder den Zugriff Unbefugter auf E-Mail-Postfächer.
Die Meldung muss innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls an die zuständige Datenschutzaufsichtsbehörde erfolgen. Inhaltlich sind die Art des Vorfalls, die Kategorien und ungefähre Anzahl betroffener Personen, die möglichen Folgen sowie die bereits ergriffenen oder geplanten Maßnahmen anzugeben. Besteht ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, müssen auch diese unverzüglich informiert werden.
IT-Sicherheitsgesetz 2.0 / KRITIS und NIS2
Das IT-Sicherheitsgesetz richtet sich primär an Betreiber kritischer Infrastrukturen in Bereichen wie Energie, Wasser, Gesundheit oder Finanzwesen. Doch auch mittelständische Unternehmen können betroffen sein, wenn sie als Zulieferer oder Dienstleister in kritische Lieferketten eingebunden sind oder digitale Dienste erbringen, die für die öffentliche Sicherheit relevant sind.
In diesen Fällen besteht eine Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI), wenn erhebliche IT-Störungen auftreten, die die Verfügbarkeit, Integrität oder Vertraulichkeit der eigenen IT-Systeme beeinträchtigen. Mit der EU-Richtlinie NIS2 wird der Kreis der betroffenen Unternehmen künftig deutlich ausgeweitet. Mehr Branchen – darunter auch Post- und Kurierdienste, Abfallwirtschaft oder die Lebensmittelindustrie – sowie kleinere Unternehmen werden künftig in die Pflicht genommen. Wer heute seine Strukturen schafft, ist für morgen vorbereitet.
Branchen- oder Kammerpflichten
Je nach Branche können zusätzliche Meldepflichten bestehen. Handwerksbetriebe, Gesundheitseinrichtungen oder Energieversorger unterliegen häufig besonderen Anforderungen durch Kammern, Verbände oder Fachbehörden. Diese können beispielsweise die Meldung von Datenpannen oder IT-Störungen an die jeweilige Aufsichtsbehörde verlangen. Es empfiehlt sich, die eigenen Branchenvorgaben zu prüfen und im Zweifelsfall rechtlichen Rat einzuholen.
So melden Sie einen IT-Notfall
Ein strukturiertes Vorgehen hilft, Fristen einzuhalten und Fehler zu vermeiden.
Schritt 1: Erkennen und dokumentieren des Sicherheitsvorfalls
Zunächst muss der Vorfall klar erfasst werden: Welche Systeme sind betroffen? Welche Daten könnten kompromittiert sein? Wann wurde der Vorfall entdeckt? Eine sorgfältige Dokumentation ist nicht nur für die Meldung wichtig, sondern auch für spätere Analysen und mögliche rechtliche Auseinandersetzungen.
Schritt 2: Bewertung, ob Meldepflicht besteht
Nicht jeder IT-Vorfall ist meldepflichtig. Entscheidend ist eine Risikoanalyse: Sind personenbezogene Daten betroffen? Besteht ein Risiko für die Rechte und Freiheiten der betroffenen Personen? Handelt es sich um eine erhebliche IT-Störung im Sinne des IT-Sicherheitsgesetzes? Diese Bewertung sollte möglichst durch fachkundige Personen erfolgen.
Schritt 3: Information der zuständigen Stelle und Benachrichtigung betroffener Personen
Besteht eine Meldepflicht, erfolgt die Meldung an die zuständige Datenschutzaufsicht oder das BSI. Parallel dazu müssen gegebenenfalls betroffene Personen informiert werden – klar, verständlich und mit konkreten Handlungsempfehlungen.
Schritt 4: Nachbereitung
Nach der akuten Bewältigung des Vorfalls sollten technische und organisatorische Maßnahmen überprüft und verbessert werden. Was lief gut? Wo gab es Schwachstellen? Die Erkenntnisse fließen in die Weiterentwicklung des Sicherheitsmanagements ein.
Ein Praxistipp: Vorbereitete Checklisten und Meldevorlagen sparen im Ernstfall wertvolle Zeit und helfen, strukturiert zu handeln.
Auf unserer Website finden Sie hilfreiche Materialien und Unterlagen, die Ihnen dabei helfen, sich auf einen IT-Notfall vorzubereiten. Neben einem Muster für einen IT-Notfallplan finden Sie dort auch kompakte Checklisten.
Verantwortlichkeiten im Unternehmen
Die rechtliche Verantwortung für die Einhaltung von Meldepflichten liegt stets bei der Geschäftsführung. Diese Verantwortung kann nicht delegiert werden. Allerdings können und sollten Aufgaben auf kompetente Personen verteilt werden: IT-Beauftragte, Datenschutzbeauftragte oder externe Dienstleister unterstützen bei der technischen und rechtlichen Umsetzung. Entscheidend ist, dass Zuständigkeiten klar definiert sind. Wer erkennt Vorfälle? Wer bewertet die Meldepflicht? Wer kommuniziert mit Behörden? Wer informiert betroffene Personen? Diese Fragen sollten nicht erst im Ernstfall gestellt werden. Ein dokumentierter Notfallplan mit klaren Ansprechpersonen, Kontaktdaten und Entscheidungswegen ist unverzichtbar.
Vorbereitung im Alltag
Meldepflichten sind kein isoliertes Thema, sondern integraler Bestandteil eines funktionierenden Notfallmanagements. Wer im Alltag vorsorgt, kann im Ernstfall schnell und sicher reagieren.
Regelmäßige Schulungen und Sensibilisierungsmaßnahmen sorgen dafür, dass alle Mitarbeitenden wissen, wie sie Sicherheitsvorfälle erkennen und melden. Auch Alarmübungen, etwa in Form von simulierten Phishing-Angriffen oder Ransomware-Szenarien, helfen, Prozesse zu testen und Schwachstellen zu identifizieren.
Ein Notfallplan sollte alle relevanten Informationen bündeln: Wer ist zu informieren? Welche Behörden sind zuständig? Welche Meldeformulare werden benötigt? Wo finden sich Kontaktdaten von externen Dienstleistern wie IT-Forensikern oder Rechtsanwälten? Dieses Handbuch sollte regelmäßig aktualisiert und allen relevanten Personen zugänglich sein.
Die technische Protokollierung von IT-Vorfällen ist ein weiterer wichtiger Baustein. Log-Dateien, Zugriffsprotokolle und Systemüberwachung helfen nicht nur bei der Aufklärung von Vorfällen, sondern auch bei der Nachvollziehbarkeit für Behörden und Aufsichtsstellen. Gleichzeitig sollten Datenschutz- und IT-Dokumentationen stets aktuell gehalten werden.
Meldepflichten als Säule der Cybersicherheit
Meldepflichten sind kein bürokratisches Ärgernis, sondern ein wichtiger Bestandteil eines wirksamen Sicherheitsmanagements. Sie dienen dem Schutz personenbezogener Daten, der Aufrechterhaltung kritischer Infrastrukturen und nicht zuletzt dem Vertrauen, das Kund:innen und Partner Ihrem Unternehmen entgegenbringen.
Wer vorbereitet ist – mit klaren Verantwortlichkeiten, einem durchdachten Notfallplan und geschulten Mitarbeitenden – kann im Ernstfall schnell reagieren, Schäden begrenzen und rechtliche Konsequenzen vermeiden. Die Investition in Prävention und Vorbereitung zahlt sich aus, wenn der Ernstfall eintritt.
Mit der bevorstehenden Umsetzung der EU-Richtlinie NIS2 werden die Anforderungen weiter steigen. Jetzt ist der richtige Zeitpunkt, Strukturen zu schaffen, Prozesse zu etablieren und sich für die Zukunft zu wappnen. Denn eines ist sicher: Die Bedrohungslage wird nicht abnehmen – aber Sie können sich darauf vorbereiten.
Verfasst von Johanna Baldus
Projektmanagerin Kommunikation
