Meldepflichten-Cheat-Sheet: Alles auf einen Blick
Nach einem Cyberangriff laufen mehrere Meldefristen parallel. Wer hier den Überblick verliert, riskiert Bußgelder – zusätzlich zum eigentlichen Schaden. Diese Schnellreferenz zeigt Ihnen alle Pflichten, Fristen und Anlaufstellen kompakt zusammengefasst.
Übersichtstabelle: Welche Meldepflicht gilt für Sie?
Cyberangriff? Jetzt Soforthilfe erhalten.
24/7 erreichbar. In 20 Minuten handlungsfähig. TÜV-zertifiziert.
| Regelwerk | Frist | Behörde / Anlaufstelle | Pflicht für |
|---|---|---|---|
| DSGVO (Art. 33) | 72 Stunden | Landesdatenschutzbehörde | Alle Unternehmen mit personenbezogenen Daten |
| DSGVO (Art. 34) | Unverzüglich | Betroffene Personen direkt | Bei hohem Risiko für Betroffene |
| NIS2 (Erstmeldung) | 24 Stunden | BSI | Wesentliche und wichtige Einrichtungen |
| NIS2 (Folgemeldung) | 72 Stunden | BSI | Wesentliche und wichtige Einrichtungen |
| NIS2 (Abschlussbericht) | 1 Monat | BSI | Wesentliche und wichtige Einrichtungen |
| KRITIS (BSI-Gesetz) | Unverzüglich | BSI (CERT-Bund) | KRITIS-Betreiber |
| Cyber-Versicherung | Laut Vertrag (meist 24–72 h) | Ihr Versicherer | Versicherungsnehmer |
| Strafanzeige | Keine Frist (aber zeitnah) | ZAC des LKA | Empfohlen für alle |
Schritt-für-Schritt: Was melden Sie wann?
Stunde 0–24: Sofortmaßnahmen
- Vorfall intern dokumentieren – Zeitpunkt der Entdeckung, betroffene Systeme, erste Einschätzung des Schadens
- Erstmeldung NIS2 absetzen (falls betroffen) – innerhalb von 24 Stunden an das BSI
- Cyber-Versicherung informieren – Policennummer und Schadensbeschreibung bereithalten
- Incident-Response-Team aktivieren – intern oder externen Dienstleister einschalten
Stunde 24–72: Meldungen absetzen
- DSGVO-Meldung an die zuständige Landesdatenschutzbehörde – spätestens 72 Stunden nach Bekanntwerden
- NIS2-Folgemeldung mit aktualisierter Bewertung an das BSI
- Strafanzeige bei der Zentralen Ansprechstelle Cybercrime (ZAC) Ihres Bundeslandes erstatten
- Betroffene Personen informieren (Art. 34 DSGVO), falls hohes Risiko besteht
Ab Tag 3: Nachbereitung
- Abschlussbericht NIS2 vorbereiten (Frist: 1 Monat)
- Dokumentation vervollständigen für Behörden, Versicherung und interne Aufarbeitung
Muster-Formulierungen für Ihre Meldung
DSGVO-Meldung an die Aufsichtsbehörde
Am [Datum] wurde ein Sicherheitsvorfall festgestellt, bei dem unbefugter Zugriff auf personenbezogene Daten von ca. [Anzahl] Personen erfolgte. Betroffen sind [Datenkategorien]. Der Vorfall wurde am [Datum/Uhrzeit] entdeckt. Folgende Sofortmaßnahmen wurden eingeleitet: [Maßnahmen]. Der Datenschutzbeauftragte ist unter [Kontakt] erreichbar.
Kurzbenachrichtigung an die Cyber-Versicherung
Schadensmeldung Police Nr. [X]. Am [Datum] wurde ein Cyberangriff vom Typ [Ransomware/Datenleck/etc.] festgestellt. Betroffene Systeme: [Beschreibung]. Geschätzter Betriebsausfall: [Dauer]. Externe Incident-Response wurde beauftragt. Detaillierter Bericht folgt.
Die 5 häufigsten Fehler bei Meldungen
-
72-Stunden-Frist verpasst – Die Frist beginnt ab Bekanntwerden, nicht ab vollständiger Analyse. Melden Sie frühzeitig, Nachmeldungen sind erlaubt.
-
Unvollständige Erstmeldung – Besser eine knappe Meldung mit Nachlieferung als gar keine. Die Behörden akzeptieren stufenweise Meldungen.
-
Betroffene nicht informiert – Bei hohem Risiko (z. B. Bankdaten, Gesundheitsdaten) müssen Betroffene direkt benachrichtigt werden. Das wird häufig vergessen.
-
Cyber-Versicherung zu spät informiert – Viele Policen enthalten Ausschlussklauseln bei verspäteter Meldung. Prüfen Sie Ihre Vertragsbedingungen vorab.
-
Keine Strafanzeige erstattet – Eine Anzeige bei der ZAC sichert Beweise, unterstützt die Ermittlungen und kann für Versicherungsansprüche relevant sein.
ZAC-Kontakt: Strafanzeige richtig erstatten
Die Zentrale Ansprechstelle Cybercrime (ZAC) bei jedem Landeskriminalamt ist Ihr Ansprechpartner für Strafanzeigen bei Cyberangriffen. Die ZAC-Beamten sind auf Cybercrime spezialisiert und verstehen die technischen Zusammenhänge.
Wichtig: Eine Strafanzeige hat keine Frist, sollte aber zeitnah erfolgen, um Beweismittel zu sichern. Bringen Sie zur Anzeige mit: Logdateien, Screenshots, Zeitstempel, Ransom Notes und eine Übersicht der betroffenen Systeme.
Weiterführende Informationen
- Compliance & Meldepflichten: Unsere Unterstützung
- IT-Forensik: Beweissicherung für Behörden
- Cyberangriff? Soforthilfe-Seite
Diskretion hat oberste Priorität
Ein wichtiger Grundsatz unserer Arbeit: Wir melden nichts – an niemanden. Alle Meldepflichten liegen ausschließlich in Ihrer Hand. Wir beraten Sie, welche Fristen gelten und welche Meldungen sinnvoll sind, wir bereiten Texte vor und unterstützen bei Rückfragen der Behörden. Aber die Entscheidung, wann und was gemeldet wird, treffen Sie allein.
Sämtliche Informationen, die wir im Rahmen der Incident Response erhalten, werden streng vertraulich behandelt. Kein Detail verlässt unser Team ohne Ihre ausdrückliche Freigabe.
Sonderfall: Wirtschaftsspionage und Verfassungsschutz
Bei Verdacht auf Wirtschaftsspionage durch ausländische Nachrichtendienste – auch in Verbindung mit Ransomware oder gezielten Cyberangriffen – besteht eine wenig bekannte Option: Die strafrechtliche Ermittlung kann unter Umständen mit höherer Geheimhaltungsstufe an den Verfassungsschutz (eigenes Cyber-Team) übergeben werden. Dadurch lässt sich eine vorschnelle Veröffentlichung vermeiden und der damit verbundene Reputationsschaden abwenden.
Sprechen Sie uns darauf an – wir beraten Sie, ob dieser Weg in Ihrem Fall in Frage kommt.
Fazit: Vorbereitung spart Zeit im Ernstfall
Drucken Sie diese Übersicht aus und legen Sie sie in Ihren IT-Notfallordner. Wenn der Ernstfall eintritt, zählt jede Stunde – und Meldepflichten warten nicht auf eine abgeschlossene forensische Analyse.
Als Cybernotfall24-Team unterstützen wir Sie nicht nur bei der technischen Incident Response, sondern auch bei der Kommunikation mit Behörden und Versicherungen. Rufen Sie uns an: 0800 - 292 37 24 – 24/7 erreichbar.
