Meldepflichten bei IT-Sicherheitsvorfällen: Wer wann was an wen melden muss

Welche Meldepflichten greifen bei einem IT-Sicherheitsvorfall?

Bei einem IT-Sicherheitsvorfall können datenschutzrechtliche, cybersicherheitsrechtliche, sektorspezifische und produktsicherheitsrechtliche Meldepflichten gleichzeitig bestehen. Sie ergeben sich nicht aus einem einheitlichen Regelwerk, sondern aus mehreren ineinandergreifenden Rechtsakten.

Für die rechtliche Einordnung klären Sie deshalb zuerst, in welchem regulatorischen Zusammenhang Ihr Unternehmen und der Vorfall stehen. Für die praktische Handhabung kommt es vor allem auf zwei Punkte an: wer meldepflichtig ist und wer der richtige Adressat der Meldung ist.

Die folgende Tabelle gibt den Schnellüberblick über Meldepflichtige, Adressaten, Meldefristen und Bußgeldrahmen der sechs praxisrelevanten Regime. Die Details und Voraussetzungen erläutern wir in den jeweiligen Abschnitten.

Regime	Wer meldet	Adressat	Erste Frist	Bußgeldrahmen
DSGVO	Verantwortlicher	Datenschutzaufsichts-behörde	unverzüglich, möglichst 72 h	bis 10 Mio. € / 2 % Jahresumsatz
NIS-2 / BSIG	(besonders) wichtige Einrichtung	BSI und BBK (gemeinsame Meldestelle)	24 h Erstmeldung	bis 10 Mio. € / 2 % Jahresumsatz
DORA	Finanzunter-nehmen	zuständige Aufsicht (MVP-Portal BaFin)	4 h nach Einstufung, max. 24 h	über Fachgesetze, plus Aufsichtsmaßnahmen
TKG	TK-Anbieter / Netzbetreiber	Bundesnetzagentur und BSI	24 h Erstmeldung	bis 100.000 €
eIDAS	Vertrauensdienste-anbieter	zuständige Aufsichtsstelle (z. B. BNetzA)	24 h	bis 20.000 € (§ 19 VDG)
CRA (ab 09/2026)	Hersteller	Single Reporting Platform	24 h Frühwarnung	bis 15 Mio. € / 2,5 % Jahresumsatz

Eine Meldepflicht kann je nach Konstellation aus mehreren Zeilen dieser Tabelle zugleich folgen. Maßgeblich bleibt stets eine rollen-, sektor-, daten- und produktbezogene Prüfung des konkreten Vorfalls.

DSGVO: Wann ist ein Datenschutzvorfall meldepflichtig?

Nach Art. 33 DSGVO besteht eine Meldepflicht immer dann, wenn eine Verletzung des Schutzes personenbezogener Daten vorliegt und sich daraus ein voraussichtliches Risiko für die Rechte und Freiheiten natürlicher Personen ergibt. Nur wenn voraussichtlich kein Risiko besteht, darf die Meldung an die Aufsichtsbehörde unterbleiben.

Eine Verletzung liegt bereits vor, wenn eine Sicherheitsverletzung unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt. Auf ein Verschulden kommt es dabei nicht an. Das Risiko ermitteln Sie über Eintrittswahrscheinlichkeit und mögliche Schadensschwere.

Die Pflicht trifft den Verantwortlichen, also typischerweise das Unternehmen, das über Systeme, Zwecke und Mittel der Verarbeitung entscheidet. Ein Auftragsverarbeiter ist nicht Adressat der Behördenmeldung, muss den Verantwortlichen aber unverzüglich informieren, sobald ihm ein solcher Vorfall bekannt wird.

Die Meldung an die Aufsichtsbehörde enthält im Kern:

• Art der Schutzverletzung
• Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze
• wahrscheinliche Folgen des Vorfalls
• ergriffene und geplante Abhilfemaßnahmen
• eine Anlaufstelle für Rückfragen, etwa den Datenschutzbeauftragten

Bei voraussichtlich hohem Risiko kommt nach Art. 34 DSGVO zusätzlich die Benachrichtigung der betroffenen Personen in einfacher Sprache hinzu. Unabhängig von einer Meldepflicht müssen Sie jeden Datenschutzvorfall umfassend dokumentieren, selbst wenn Sie ausnahmsweise von einer fehlenden Meldepflicht ausgehen. Verstöße fallen unter den Bußgeldrahmen des Art. 83 Abs. 4 DSGVO: bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Sobald personenbezogene Daten betroffen sind und ein Risiko entsteht, läuft die 72-Stunden-Frist für den Verantwortlichen.

NIS-2 und BSIG: Welche Meldepflichten gelten für wichtige und besonders wichtige Einrichtungen?

Wichtige und besonders wichtige Einrichtungen nach dem BSI-Gesetz (BSIG) müssen erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe melden. Der deutsche Gesetzgeber hat die europäische NIS-2-Richtlinie primär im BSIG umgesetzt.

Erheblich ist ein Vorfall insbesondere dann, wenn er die Verfügbarkeit, Vertraulichkeit oder Integrität von Daten oder IT-Diensten beeinträchtigt und dadurch erhebliche Betriebsstörungen, finanzielle Verluste oder Schäden verursachen kann. Die Meldung läuft über die gemeinsame Meldestelle der beiden Behörden. Meldepflichtig ist die betroffene Einrichtung selbst, bei kritischen Anlagen der Betreiber.

Die Meldung erfolgt gestuft:

• 24 Stunden ab Kenntnis: frühe Erstmeldung zur Frühwarnung, mit erster Einschätzung, ob rechtswidrige oder böswillige Handlungen die Ursache sind und ob grenzüberschreitende Auswirkungen drohen
• 72 Stunden: Nachmeldung mit aktualisierten Erkenntnissen und vorläufiger Bewertung von Schwere und Auswirkungen
• 1 Monat: ausführliche Abschlussmeldung, bei noch laufendem Vorfall eine Fortschrittsmeldung

Zusätzlich kann das BSI anordnen, dass Sie Empfänger Ihrer Dienste über den Vorfall informieren. In bestimmten Sektoren wie Finanzwesen, digitaler Infrastruktur, der Verwaltung von IKT-Diensten und digitalen Diensten ist dafür eine Interessenabwägung durchzuführen. Verstöße ahndet § 65 BSIG als Ordnungswidrigkeit: bis zu 10 Mio. Euro bei besonders wichtigen, bis zu 7 Mio. Euro bei wichtigen Einrichtungen. Wurde wegen desselben Verhaltens bereits eine DSGVO-Geldbuße verhängt, ist eine zusätzliche BSIG-Geldbuße für denselben Verstoß ausgeschlossen.

Wer unter das BSIG fällt, meldet erhebliche Vorfälle innerhalb von 24 Stunden über die gemeinsame Meldestelle, und zwar in drei Stufen.

DORA: Wie melden Finanzunternehmen schwerwiegende IKT-Vorfälle?

Finanzunternehmen melden schwerwiegende IKT-bezogene Vorfälle nach dem eigenständigen Regime des Digital Operational Resilience Act (DORA), nicht nach dem allgemeinen NIS-2-Regime. Maßgeblich ist Art. 19 Abs. 1 DORA.

Ein schwerwiegender IKT-Vorfall hat umfassende nachteilige Auswirkungen auf die Netzwerk- und Informationssysteme, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen. Die Klassifizierung richtet sich nach den Kriterien des Art. 18 DORA und den ergänzenden Regulatory Technical Standards (RTS). Meldepflichtig sind die von Art. 2 DORA erfassten Unternehmen, etwa Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen und Versicherungsunternehmen.

Auch hier gilt ein gestuftes Verfahren über das MVP-Portal der BaFin:

• 4 Stunden nach Einstufung als schwerwiegend, spätestens 24 Stunden nach Kenntnis: Erstmeldung
• 72 Stunden: Zwischenmeldung mit aktualisierten Informationen
• 1 Monat nach der Zwischenmeldung: Abschlussmeldung nach Behebung und Ursachenanalyse

Hat der Vorfall Auswirkungen auf finanzielle Interessen von Kunden, informieren Sie diese unverzüglich über den Vorfall und die ergriffenen Maßnahmen. Die Bußgeldbewehrung erfolgt in Deutschland über die jeweiligen Fachgesetze, hinzu kommen aufsichtsrechtliche Maßnahmen und Veröffentlichungen nach Art. 50 ff. und 54 DORA.

Die Erstmeldung von vier Stunden nach Einstufung ist die kürzeste Frist aller Regime, weshalb Finanzunternehmen ihre Klassifizierungsprozesse besonders schnell durchlaufen müssen.

TKG: Welche Meldepflichten haben Telekommunikationsanbieter?

Anbieter öffentlich zugänglicher Telekommunikationsdienste und Betreiber öffentlicher Telekommunikationsnetze melden erhebliche Sicherheitsvorfälle nach § 168 TKG an die Bundesnetzagentur und das BSI. Daneben besteht mit § 169 TKG eine eigene datenschutzbezogene Meldepflicht, die Sie gesondert prüfen müssen.

Ein Sicherheitsvorfall ist erheblich, wenn er schwerwiegende Betriebsstörungen oder finanzielle Verluste für den Anbieter verursacht oder verursachen kann, oder wenn er andere Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt. Die Meldung nach § 168 TKG läuft gestaffelt:

• 24 Stunden nach Kenntnis: frühe Erstmeldung, vor allem zu möglichen rechtswidrigen oder böswilligen Auslösern und etwaigen grenzüberschreitenden Auswirkungen
• 72 Stunden: weitere Meldung mit erster Bewertung des Vorfalls und gegebenenfalls Kompromittierungsindikatoren
• 1 Monat: Abschlussmeldung

Geht vom Vorfall eine besondere und erhebliche Gefahr aus, informieren Sie zusätzlich die Nutzer.

Wichtig ist die Abgrenzung zu § 169 TKG: Wer öffentlich zugängliche Telekommunikationsdienste erbringt, muss bei einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur und die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit benachrichtigen. Diese Pflicht gilt unabhängig von Art. 33 DSGVO und unabhängig davon, ob der Vorfall die Netz- oder Dienstesicherheit erheblich beeinträchtigt. Anbieter führen außerdem ein Verzeichnis der Datenschutzverletzungen. Ein Verstoß gegen die Meldepflicht kann nach § 228 TKG Bußgelder von bis zu 100.000 Euro nach sich ziehen.

Im TK-Sektor laufen mit § 168 und § 169 TKG zwei unterschiedliche Meldepflichten nebeneinander, eine sicherheits- und eine datenschutzbezogene.

eIDAS: Was müssen Vertrauensdiensteanbieter melden?

Vertrauensdiensteanbieter müssen jede Sicherheitsverletzung und jeden Integritätsverlust melden, der sich erheblich auf den Vertrauensdienst oder die darin enthaltenen personenbezogenen Daten auswirkt. Die Pflicht trifft nach Art. 19 Abs. 2 eIDAS-VO qualifizierte wie nichtqualifizierte Anbieter. Entscheidend ist also, ob Ihr Unternehmen als Vertrauensdiensteanbieter tätig ist.

Ein Vertrauensdienst ist ein in der Regel entgeltlicher elektronischer Dienst. Dazu zählen nach Art. 3 Nr. 16 eIDAS-VO etwa das Erstellen, Prüfen und Validieren elektronischer Signaturen, Siegel, Zeitstempel und Einschreiben, Zertifikate zur Website-Authentifizierung sowie die Bewahrung solcher Signaturen, Siegel oder Zertifikate.

Die Meldung erfolgt unverzüglich, in jedem Fall innerhalb von 24 Stunden nach Kenntnis. Je nach Schwere und Reichweite des Vorfalls sind dabei unterschiedliche Stellen einzubinden:

• die zuständige Aufsichtsstelle wie die Bundesnetzagentur und gegebenenfalls weitere Stellen wie die Datenschutzbehörde
• die betroffene Person, wenn sich der Vorfall voraussichtlich nachteilig auf sie auswirkt
• die Aufsichtsstellen anderer Mitgliedstaaten und die ENISA, wenn mehrere Mitgliedstaaten betroffen sind
• die Öffentlichkeit, wenn die Aufsichtsstelle ein öffentliches Interesse feststellt

Verstöße können nach § 19 VDG als Ordnungswidrigkeit mit bis zu 20.000 Euro geahndet werden, daneben kommen aufsichtsrechtliche Maßnahmen bis zur Untersagung des Betriebs in Betracht.

Vertrauensdiensteanbieter melden erhebliche Sicherheitsverletzungen binnen 24 Stunden an die Aufsichtsstelle, bei grenzüberschreitenden Fällen wird die ENISA eingebunden.

Cyber Resilience Act: Welche Meldepflichten kommen 2026 auf Hersteller zu?

Ab dem 11. September 2026 müssen Hersteller von Produkten mit digitalen Elementen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle nach Art. 14 Abs. 1 Cyber Resilience Act (CRA) melden. Mit dem CRA entstehen erstmals produktsicherheitsrechtliche Meldepflichten.

Erfasst sind Hersteller, die Produkte mit digitalen Elementen entwickeln oder herstellen lassen und unter ihrem Namen oder ihrer Marke vermarkten. Ob ein Vorfall als schwerwiegend gilt, hängt von Auswirkungen, Reichweite und Ausnutzbarkeit ab. Meldepflichtig ist der betroffene Hersteller. Die Fristen folgen demselben Stufenmodell wie die übrigen Regime:

• 24 Stunden nach Kenntnis: Frühwarnung
• 72 Stunden: nähere Angaben zu Schwachstelle oder Vorfall, Art der Ausnutzung sowie ergriffene oder mögliche Korrektur- und Risikominderungsmaßnahmen
• bei Schwachstellen 14 Tage nach Bereitstellung einer Korrekturmaßnahme, bei Vorfällen 1 Monat nach der Meldung: Abschlussbericht

Die Meldungen laufen über eine zentrale europäische Single Reporting Platform (SRP), von der aus die Informationen an die zuständigen Stellen weitergeleitet werden. Zusätzlich müssen Sie nach Art. 14 Abs. 8 CRA betroffene Nutzer und gegebenenfalls alle Nutzer des Produkts über die Schwachstelle oder den Vorfall sowie verfügbare Gegenmaßnahmen informieren. Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes, dazu Maßnahmen wie Verkaufsverbote, Rückrufe oder Einschränkungen der Produktverfügbarkeit.

Ab September 2026 treffen Meldepflichten auch reine Produkthersteller, mit eigener Plattform und besonders hohem Bußgeldrahmen. In der Praxis zeigt sich an diesem Beispiel, was für alle Regime gilt: Ein einzelner Vorfall kann mehrere davon zugleich auslösen.

Was tun, wenn mehrere Meldepflichten gleichzeitig greifen?

Greift bei einem IT-Sicherheitsvorfall mehr als eine Meldepflicht, prüfen Sie diese nie isoliert, sondern ordnen den Vorfall allen einschlägigen Regimen gleichzeitig zu. Denn ein einzelner Vorfall kann mehrere Regime parallel auslösen: Ein Ransomware-Angriff, eine Datenexfiltration oder eine kompromittierte Softwarekomponente kann zugleich datenschutz-, cybersicherheits-, finanzaufsichts- und produktsicherheitsrechtliche Pflichten berühren, auf europäischer wie nationaler Ebene. Erschwerend kommt hinzu, dass die Meldefristen der Regime auseinanderlaufen.

Zu unterscheiden sind dabei Meldungen an verschiedene Behörden, Benachrichtigungen betroffener Personen, Nach- und Abschlussmeldungen sowie interne Dokumentationspflichten. Ihre erste rechtliche Bewertung sollte deshalb nicht nur die technische Ursache erfassen, sondern auch die Rolle des Unternehmens, den betroffenen Sektor, den Personenbezug der Daten, die Produktrelevanz und bestehende Outsourcing- oder Lieferkettenbeziehungen.

Wer Vorfälle rechtssicher meldet, braucht dafür belastbare Strukturen:

• ein umfassendes Regulatory Mapping der eigenen Rollen und Pflichten
• belastbare Incident-Matrizen mit Schwellenwerten und Adressaten
• klare Eskalations- und Entscheidungswege
• passende vertragliche Regelungen mit Dienstleistern und in der Lieferkette
• eine belastbare Audit- und Nachweisstruktur

Erst wenn rechtliche Bewertung, operative Incident Response und Informationsflüsse ineinandergreifen, erfüllen Sie alle einschlägigen Meldepflichten fristgerecht.

Fazit: Meldepflichten bei IT-Sicherheitsvorfällen lassen sich nur im Zusammenspiel beherrschen

Für IT-Sicherheitsvorfälle existiert keine einheitliche, für alle Konstellationen geltende Meldepflicht. Welche Vorgaben eingreifen, richtet sich nach der Rolle des Unternehmens, dem betroffenen Sektor, der Art des Vorfalls und dem jeweils geschützten Regelungsgegenstand.

Wer einen Sicherheitsvorfall melden muss, hat dafür je nach Regime oft nur 24 Stunden oder weniger Zeit. Diese Frist beginnt je nach Regime mit der Kenntnis vom Vorfall oder mit dessen Einstufung. Entscheidend ist deshalb, die eigenen Rollen und Pflichten bereits vor dem Ernstfall zu kennen und einen Vorfall im Krisenmoment schnell dem richtigen Regime zuordnen zu können. Wer das vorbereitet hat, gewinnt im entscheidenden Moment die Zeit, die das Gesetz ihm nicht lässt.

Häufig gestellte Fragen

Muss ich einen IT-Sicherheitsvorfall auch melden, wenn keine personenbezogenen Daten betroffen sind?

Ja, eine Meldepflicht kann auch ohne Personenbezug bestehen. Die DSGVO greift zwar nur bei personenbezogenen Daten, doch das BSIG, DORA, das TKG, eIDAS und der CRA knüpfen an Sektor, Funktion oder Produkt an und können unabhängig davon eine Meldung verlangen.

Welche Meldefrist gilt bei einem IT-Sicherheitsvorfall?

Die Meldefrist hängt vom einschlägigen Regime ab und beträgt für die erste Meldung meist 24 Stunden ab Kenntnis. Bei der DSGVO sind es bis zu 72 Stunden, bei DORA bereits vier Stunden nach Einstufung als schwerwiegend. Auf die Erstmeldung folgen in der Regel eine Nachmeldung nach 72 Stunden und eine Abschlussmeldung nach etwa einem Monat.

Ab wann gilt die Meldepflicht nach dem Cyber Resilience Act?

Die Meldepflichten des Cyber Resilience Act für Hersteller greifen ab dem 11. September 2026. Ab diesem Zeitpunkt müssen Hersteller von Produkten mit digitalen Elementen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle über die Single Reporting Platform melden.

Kann für denselben Vorfall sowohl ein DSGVO- als auch ein BSIG-Bußgeld verhängt werden?

Nein, für dasselbe Verhalten ist eine doppelte Geldbuße ausgeschlossen. Nach § 65 Abs. 11 BSIG darf keine zusätzliche BSIG-Geldbuße verhängt werden, wenn wegen desselben Verhaltens bereits eine DSGVO-Geldbuße ergangen ist.

Wer muss melden, wenn ein externer Dienstleister vom Vorfall betroffen ist?

Im Datenschutzrecht bleibt der Verantwortliche meldepflichtig, nicht der Auftragsverarbeiter. Der Auftragsverarbeiter muss den Verantwortlichen jedoch unverzüglich informieren, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, damit dieser die Frist gegenüber der Aufsichtsbehörde wahren kann.

Was muss eine Erstmeldung mindestens enthalten?

Eine Erstmeldung beschreibt typischerweise die Art des Vorfalls, eine erste Einschätzung der Ursache und Auswirkungen sowie eine Anlaufstelle für Rückfragen. Je nach Regime kommen Angaben zu möglichen böswilligen Auslösern, grenzüberschreitenden Auswirkungen oder betroffenen Personengruppen hinzu, die spätere Meldungen dann konkretisieren.