Cyberangriffe: Rechtliche Rahmenbedingungen und Haftungsrisiken

01.07.2026
IT-Recht
1 Minute

Cyberangriffe sind für Unternehmen längst keine Ausnahmesituation mehr. Wer rechtlich und organisatorisch nicht vorbereitet ist, riskiert erhebliche Bußgelder, Schadensersatzansprüche und – im schlimmsten Fall, die persönliche Haftung der Unternehmensleitung.

Was Unternehmen wissen sollten

Im Falle eines Sicherheitsvorfalls besteht, soweit personenbezogenen Daten betroffen sind, nach Art. 33 und 34 DSGVO je nach Risikoeinschätzung eine Meldepflicht gegenüber der zuständigen datenschutzrechtlichen Aufsichtsbehörde innerhalb von 72 Stunden.  Das ab dem 6. Dezember 2025 geltende NIS-2-Umsetzungsgesetz ergänzt diese Pflichten: Betroffene Unternehmen müssen erhebliche Sicherheitsvorfälle dem BSI melden; mit gestaffelten Fristen von 24 Stunden (Erstmeldung), 72 Stunden (Folgemeldung) und einem Monat (Abschlussbericht). 

Bei Verstößen drohen Bußgelder sowie Schadensersatzansprüche etwaig betroffener Personen.  Besonderes Augenmerk verdient die persönliche Haftung der Geschäftsleitung: Geschäftsführende und Vorstände haften nach § 43 GmbHG bzw. § 93 AktG für die Einrichtung angemessener IT-Sicherheitssysteme; die NIS-2-Richtlinie sieht zudem ausdrücklich eine persönliche Haftung der Leitungsorgane für Verstöße gegen Cybersicherheitspflichten vor und auch das BGB-Recht kann eine Haftung aus Delikt oder aufgrund Verkehrssicherungspflichten durchgreifen lassen.

Was rechtlich und organisatorisch zu regeln ist

  • Frist-Trigger klar intern definieren und im Incident-Response-Plan (IRP) verankern

  • Doppel-Meldevorlagen für die 72-Stunden-Frist (DSGVO) und die 24-Stunden-Frist (NIS-2) vorhalten; mit gemeinsamem Datenkern

  • Eskalations- und Rollenmatrix etablieren (DSB, CISO, Legal, Kommunikation, Geschäftsleitung), inklusive Stellvertretungsregelungen 

  • Vorfallregister nach Art. 33 Abs. 5 DSGVO zentral und prüfbar führen, mit Risikobewertung je Vorfall 

  • Auftragsverarbeitungsverträge auf 24h/72h-Meldekaskaden prüfen und Sub-Auftragsverarbeitende einbinden 

  • Informationssicherheitsmanagementsystem implementieren (z. B. ISO 27001), regelmäßige Audits durchführen und technisch-organisatorische Maßnahmen dokumentieren 

  • D&O- und Cyber-Versicherungspolicen auf Deckungsvoraussetzungen und Ausschlussklauseln im Bereich Cybersicherheit prüfen 

  • Pflicht der Leitungsorgane zur Teilnahme an Schulungsmaßnahmen zur Cybersicherheit nach Art. 20 NIS-2 beachten

Unser Angebot für Sie

  • Beratung zur Erstellung oder Überarbeitung Ihres Incident-Response-Plans und Ihrer Meldeprozesse

  • Überprüfung und Anpassung Ihrer Auftragsverarbeitungsverträge auf NIS-2-Konformität

  • Beratung zur Geschäftsleiter- und Organhaftung im Kontext Cybersicherheit

  • Datenschutz- und IT-Sicherheits-Audits sowie Schulungen für Führungskräfte

Bildnachweis:solarseven/Stock-Fotografie-ID:1144604245

Immer bestens informiert mit den Newslettern von SCHOMERUS

Steuerberatung und Rechtsberatung
Schomerus & Partner mbB
Steuerberater Rechtsanwälte
Wirtschaftsprüfer
Wirtschaftsprüfung
Hamburger Treuhand Gesellschaft
Schomerus & Partner mbB
Wirtschaftsprüfungsgesellschaft
München
Atelierstraße 1
81671 München
Paderborn
Klingenderstraße 5
33100 Paderborn
Hamburg
Deichstraße 1
20459 Hamburg
Pixel