Incident-Reporting
Incident-Reporting bezeichnet die rechtlich verpflichtende oder freiwillige Meldung von Sicherheitsvorfällen, Datenschutzverletzungen oder KI-Fehlfunktionen an zuständige Behörden. Bei schwerwiegenden Vorfällen gelten strikte Fristen und Dokumentationspflichten.
Ausführliche Erklärung
Incident-Reporting umfasst die systematische Erfassung, Bewertung und Meldung von Vorfällen, die die IT-Sicherheit, den Datenschutz oder den sicheren Betrieb von KI-Systemen betreffen. Der Begriff hat sich aus dem englischen Security Incident Management entwickelt und bezeichnet sowohl interne Dokumentationsprozesse als auch externe Meldepflichten gegenüber Aufsichtsbehörden.
Für KMU sind drei rechtliche Rahmen besonders relevant: Die DSGVO verpflichtet in Artikel 33 zur Meldung von Datenschutzverletzungen an die zuständige Datenschutzbehörde innerhalb von 72 Stunden, sofern ein Risiko für betroffene Personen besteht. Dies gilt etwa bei Verlust eines unverschlüsselten Laptops mit Kundendaten oder nach einem Hackerangriff auf personenbezogene Daten. Die NIS2-Richtlinie, in Österreich umgesetzt durch das NISG 2026, verpflichtet betroffene Unternehmen ab bestimmter Größe zur Meldung erheblicher Cybersicherheitsvorfälle in drei Stufen: Frühwarnung innerhalb von 24 Stunden, detaillierte Meldung nach 72 Stunden und Abschlussbericht nach einem Monat. Der EU AI Act führt ab August 2026 für Anbieter und Betreiber von Hochrisiko-KI-Systemen Meldepflichten bei schwerwiegenden Vorfällen ein, etwa bei Tod, Gesundheitsschäden oder Grundrechtsverletzungen durch KI-Systeme.
Entscheidend ist die interne Dokumentationspflicht: Auch wenn keine behördliche Meldepflicht besteht, müssen Vorfälle intern protokolliert und die Risikoeinschätzung nachvollziehbar dokumentiert werden. Diese Nachweispflicht dient dem Schutz vor Bußgeldern bei späteren Prüfungen. Ein funktionierendes Incident-Response-Management erfordert klare Zuständigkeiten, definierte Eskalationswege, dokumentierte Prozesse und regelmäßige Schulungen der Mitarbeitenden.
Die verschiedenen Meldepflichten können sich überschneiden: Ein Cyberangriff kann gleichzeitig eine DSGVO-Meldung, eine NIS2-Meldung und möglicherweise zusätzlich sektorspezifische Meldungen erfordern. Die EU-Kommission arbeitet an Koordinierungsmechanismen, um Doppelmeldungen zu vermeiden. Für KMU bedeutet dies: Frühzeitige Vorbereitung ist essentiell, da die Fristen im Ernstfall kaum einzuhalten sind, wenn keine etablierten Prozesse existieren.
Praxisbeispiel
Ein 35-Personen-IT-Dienstleister aus Linz erleidet einen Ransomware-Angriff, bei dem Kundendaten verschlüsselt werden. Das Unternehmen muss innerhalb von 72 Stunden eine DSGVO-Meldung an die Datenschutzbehörde erstatten, da personenbezogene Daten betroffen sind. Gleichzeitig dokumentiert der Geschäftsführer den Vorfall intern gemäß dem vorbereiteten Incident-Response-Plan und informiert die betroffenen Kunden nach Artikel 34 DSGVO über die Datenpanne.
Quellen
- Art. 33 DSGVO – Meldung von Verletzungen des Schutzes personenbezogener Daten
- NISG 2026 – neue Pflichten zur Cybersicherheit für Unternehmen (WKO)
- Anbieterverpflichtungen im AI Act | KI-Servicestelle RTR
- AI Act: Commission issues draft guidance on serious AI incidents
- Datenpanne melden: Meldepflicht & 72-Stunden-Frist DSGVO