Ein Sicherheitsvorfall stellt Unternehmen rasch vor enorme Herausforderungen. Im schlimmsten Fall ist das Unternehmen auf einen Schlag so gut wie arbeitsunfähig. Neben den faktischen Auswirkungen wird ein solcher IT-Sicherheitsvorfall aber auch juristisch rasch zum Ernstfall: Innerhalb weniger Stunden müssen Entscheidungen getroffen werden, die über Haftung, Vertrauen und Bußgelder entscheiden.
Besonders komplex ist dabei die Vielzahl unterschiedlicher Meldepflichten, die je nach Branche und Rechtsrahmen gelten: Meldepflicht nach der DSGVO bei der Verletzung personenbezogener Daten von 72 Stunden; Meldepflicht für Betreiber kritischer Infrastrukturen nach BSI-Gesetz bzw. künftig auch für eine Vielzahl weiterer Unternehmen nach der NIS-2-Richtlinie von mitunter nur 24 Stunden; Meldepflicht nach der KI-Verordnung (AI Act) der EU von mitunter nur 2 Tagen; Sektorspezifische Meldepflichten wie bspw. im Finanzbereich nach dem Digital Operational Resilience Act (DORA) und der zugeordneten delegierten Verordnungen von mitunter nur 4 Stunden.
Wir beraten Unternehmen beim gesamten Incident-Response-Prozess: von der rechtlichen Ersteinschätzung über die Koordination mit Behörden bis hin zur Nachbereitung und Haftungsvermeidung.
Unsere Beratung im Incident-Response-Prozess umfasst
- Schnelle rechtliche Erstbewertung
- Analyse der anwendbaren Meldepflichten (DSGVO, NIS-2, KI-VO, DORA etc.)
- Beratung zu den weitere Rechtspflichten
- Unterstützung der Verantwortungsträger bei der Entscheidungsfindung
- Begleitung bei der internen Abstimmung mit IT- und Compliance-Teams
- Kommunikation mit Behörden
- Unterstützung bei der Vorbereitung rechtssicherer Meldungen
- Begleitung der Kommunikation mit Aufsichtsbehörden
- Juristische Vorbereitung auf Rückfragen und Nachprüfungen
- Haftungs- und Organisationssicherheit
- Prävention von Organisationsverschulden und persönlicher Haftung
- Nachbereitung von Vorfällen zur Optimierung der internen Compliance
- Präventive Vorbereitung auf den Ernstfall
- Schulung von Schlüsselpersonen zu Melde- und Handlungspflichten
- Integration juristischer Prozesse in bestehende Sicherheits- und Krisenstrukturen
Ein IT-Sicherheitsvorfall ist keine rein technische Störung, sondern ein rechtlich komplexes Ereignis. Unternehmen, die vorbereitet sind und über klare juristische Strukturen verfügen, behalten auch in der Krise Kontrolle und Vertrauen. Wir unterstützen Sie nicht nur präventiv, sondern auch akut: Wenn es bereits zu einem Cyberangriff, Datenleck oder einem möglicherweise meldepflichtigen IT-Sicherheitsvorfall gekommen ist, stehen wir kurzfristig zur Verfügung, um Sie rechtlich zu beraten, die Situation zu bewerten und die erforderlichen Schritte mit Ihnen abzustimmen.
Sprechen Sie uns an:
Wir beraten Sie in allen rechtlichen Fragen rund um Cyberangriffe, Datenpannen und Meldepflichten.
Dr. André Schmidt | Partner
Angelika Maria Szalek | Senior Associate
