Behördliche Meldepflichten in Deutschland bei IT-Sicherheitsvorfällen
Wenn Unternehmen Opfer von Cyberangriffen werden, ist eine der ersten drängenden Fragen an die Rechtsabteilung häufig, welche Meldepflichten nun zu beachten sind. Teilweise gelten sehr kurze Meldepflichten, die die Aufsichtsbehörden auch sehr ernst nehmen. Dieser Beitrag gibt einen Überblick über Meldepflichten an Behörden im Fall von IT-Vorfällen.
Je nach Geschäftstätigkeit ist es auch denkbar, dass mehrere Meldepflichten gleichzeitig zu beachten sind. Häufig haben die Cyberangriffe auch internationale Auswirkungen. Das kann wiederum dazu führen, dass Unternehmen auch im Ausland zusätzliche Meldepflichten erfüllen müssen. Je nach zuständiger Behörde kann in Betracht gezogen werden, dass die deutsche Behörde zumindest in Europa andere Behörden informiert.
Häufig ist zu beobachten, dass Unternehmen keinen Überblick über etwaige vertragliche Meldepflichten an Vertragspartner haben. Insbesondere in Geheimhaltungsverpflichtungen sind häufig solche Meldepflichten „versteckt“. Für Auftragsverarbeiter im Sinne des Datenschutzrechts kommt noch die Meldepflicht an den Verantwortlichen hinzu (Art. 33 Abs. 2 DS-GVO).
Daneben müssen auch Meldeobliegenheiten an Versicherer berücksichtigt werden. Emittenten von Finanzinstrumenten müssen zudem prüfen, ob der IT-Sicherheitsvorfall auch eine ad-hoc-Publizitätspflicht nach der Marktmissbrauchsverordnung (MAR) auslöst.
Gesetzliche Definition des IT-Sicherheitsvorfalls
Die verschiedenen Gesetze haben unterschiedliche Definitionen des IT-Sicherheitsvorfalls. Den meisten dieser Definitionen ist gemein, dass die Schutzziele Vertraulichkeit, Integrität, Authentizität und/oder Verfügbarkeit von Daten beeinträchtigt sein müssen. Nach einigen Gesetzen wird eine Meldepflicht erst bei Vorliegen weiterer Voraussetzungen ausgelöst.
Überblick
(Klicken Sie hier für eine Bildversion)
|
Rechtsquelle |
Regelungsadressaten |
Behörde |
Fristen |
|
Art. 33 DS-GVO |
Verantwortliche im Sinne des Datenschutzrechts |
Jeweils zuständige Datenschutzbehörde |
Unverzüglich, spätestens binnen 72 Stunden nach Bekanntwerden der Verletzung des Schutzes personenbezogener Daten |
|
§ 8b Abs. 4 BSIG |
Betreiber Kritischer Infrastrukturen |
Unverzüglich |
|
|
§ 8c Abs. 3 BSIG |
Anbieter digitaler Dienste |
Unverzüglich |
|
|
§ 8f Abs. 7 und 8 BSIG |
Unternehmen im besonderen öffentlichen Interesse |
Unverzüglich (derzeit nur verpflichtend für sog. Störfall-UBI) |
|
|
§ 168 TKG |
Betreiber öffentlicher Telekommunikationsnetze oder Anbieter öffentlich zugänglicher Telekommunikationsdienste |
Unverzüglich |
|
|
§ 169 TKG |
Erbringer öffentlich zugänglicher Telekommunikationsdienste |
Unverzüglich |
|
|
§ 11 Abs. 1c EnWG |
Betreiber von Energieversorgungsnetzen |
Unverzüglich |
|
|
§ 6 AtSMV und § 44b AtG |
Diverse Genehmigungsinhaber (etwa Kernkraftwerksbetreiber) |
BSI sowie weitere atomrechtliche Aufsichtsbehörden |
Unverzüglich |
|
§ 24 Abs. 1 Nr. 19 KWG |
Kreditinstitute |
Unverzüglich |
|
|
§ 54 ZAG |
Zahlungsdienstleister |
Unverzüglich |
|
|
§ 329 SGB V |
Gesellschaft für Telematik (“Gematik”) Anbieter von Komponenten und Diensten sowie Anbieter von Anwendungen |
Gematik: BSI Anbieter: Gematik |
Unverzüglich |
|
DVO (EU) 2019/1583 |
Betreiber, Luftfahrtunternehmen und Stellen |
Unverzüglich |
Dieser Newsbeitrag wird regelmäßig überarbeitet. Stand der aktuellen Überarbeitung: 4. Januar 2024.
Detaillierte weiterführende Informationen finden Sie auf den Seiten des Noerr Cyber Risks-Teams hier.
Insights
