fachanwalt-it-recht-cyber-vorfall-sofortmassnahmen

$npx mdskill add Klotzkette/claude-fuer-deutsches-recht/fachanwalt-it-recht-cyber-vorfall-sofortmassnahmen

1. Art des Vorfalls — Ransomware (Bildschirmsperre, Erpressungsmail), Datenleck (Exfiltration personenbezogener oder geschäftlicher Daten), DDoS (Nichterreichbarkeit), kompromittierter Mitarbeiter-Account, Insider-Threat? 2. Seit wann läuft der Vorfall — Zeitpunkt des Angriffs vs. Zeitpunkt der Entdeckung; Zeitdifferenz für DSGVO-72h-Frist relevant. 3. Welche Datenkategorien betroffen — personenbezogene Daten (Kunden, Mitarbeiter, Patienten), Gesundheitsdaten Art. 9 DSGVO (erhöhter Schutz), Geschäftsgeheimnisse, KRITIS-Steuerungsdaten? 4. Fällt Mandant unter NIS2UmsuCG — wichtige (§ 28 Abs. 2) oder besonders wichtige Einrichtung (§ 28 Abs. 1 BSIG n. F.)? 5. Cyber-Versicherung vorhanden — Policennummer, Notfallhotline des Versicherers? 6. Liegt eine Erpressungsforderung vor — Betrag, Kryptowährung, Zahlungsfrist, TOR-Kontaktadresse? 7. Wurden bereits eigene Maßnahmen ergriffen (Abschaltung — problematisch für Forensik; Passwortzurücksetzung)? 8. Ist Datenschutzbeauftragter involviert — wurde er bereits informiert?

SKILL.md

.github/skills/fachanwalt-it-recht-cyber-vorfall-sofortmassnahmenView on GitHub ↗
---
name: fachanwalt-it-recht-cyber-vorfall-sofortmassnahmen
description: "Cyber-Vorfall-Sofortmassnahmen Ransomware Datenleck Hack. Meldepflichten 72 Stunden Art. 33 DSGVO BSIG NIS2UmsuCG kritische Infrastruktur. Forensik Beweissicherung Chain-of-Custody Behoerden Cybercrime. Krisenkommunikation Betroffene Aufsicht Versicherer. Workflow Tag 1 Tag 2-7 Folgewochen. Strafanzeige §§ 202a 303b StGB Sanktionspruefung Loesegeldzahlung."
---

# Cyber-Vorfall-Sofortmaßnahmen

## Kaltstart-Rückfragen

1. Art des Vorfalls — Ransomware (Bildschirmsperre, Erpressungsmail), Datenleck (Exfiltration personenbezogener oder geschäftlicher Daten), DDoS (Nichterreichbarkeit), kompromittierter Mitarbeiter-Account, Insider-Threat?
2. Seit wann läuft der Vorfall — Zeitpunkt des Angriffs vs. Zeitpunkt der Entdeckung; Zeitdifferenz für DSGVO-72h-Frist relevant.
3. Welche Datenkategorien betroffen — personenbezogene Daten (Kunden, Mitarbeiter, Patienten), Gesundheitsdaten Art. 9 DSGVO (erhöhter Schutz), Geschäftsgeheimnisse, KRITIS-Steuerungsdaten?
4. Fällt Mandant unter NIS2UmsuCG — wichtige (§ 28 Abs. 2) oder besonders wichtige Einrichtung (§ 28 Abs. 1 BSIG n. F.)?
5. Cyber-Versicherung vorhanden — Policennummer, Notfallhotline des Versicherers?
6. Liegt eine Erpressungsforderung vor — Betrag, Kryptowährung, Zahlungsfrist, TOR-Kontaktadresse?
7. Wurden bereits eigene Maßnahmen ergriffen (Abschaltung — problematisch für Forensik; Passwortzurücksetzung)?
8. Ist Datenschutzbeauftragter involviert — wurde er bereits informiert?

## Rechtsgrundlagen

### DSGVO

- **Art. 33 DSGVO** — Meldung Aufsichtsbehörde binnen 72 Stunden nach Kenntnis; Inhalt: Art, Betroffene, Datenkategorien, wahrscheinliche Folgen, ergriffene Maßnahmen; vorläufige Meldung zulässig mit Nachreichung.
- **Art. 34 DSGVO** — Benachrichtigung Betroffener unverzüglich bei voraussichtlich hohem Risiko; Inhalt: Beschreibung Vorfall, Empfehlungen Selbstschutz.
- **Art. 32 DSGVO** — TOMs; Verletzung als Mitursache für Haftung Art. 82 DSGVO.
- **Art. 83 Abs. 4 DSGVO** — Bußgeld bei Verletzung Art. 32–34: bis 10 Mio. EUR oder 2 % weltweiten Jahresumsatzes.

### BSIG / NIS2

- **§ 32 BSIG n. F. (NIS2UmsuCG)** — erhebliche Sicherheitsvorfälle: Frühwarnung 24 Stunden, Vorfallsmeldung 72 Stunden, Abschlussbericht 1 Monat.
- **§ 28 BSIG n. F.** — besonders wichtige und wichtige Einrichtungen: 18 Sektoren (Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung u. a.).
- **§ 65 BSIG n. F.** — Bußgeld wichtige Einrichtungen bis 10 Mio. EUR oder 2 %; besonders wichtige bis 20 Mio. EUR oder 4 %.

### Strafrecht

- **§ 202a StGB** — Ausspähen von Daten; bis 3 Jahre Freiheitsstrafe.
- **§ 202b StGB** — Abfangen von Daten.
- **§ 303a StGB** — Datenveränderung; **§ 303b StGB** — Computersabotage (qualifizierter Fall): bis 5 Jahre.
- **§ 261 StGB** — Geldwäsche: Lösegeld bei sanktionierten Tätergruppen (Russland, Iran, Nordkorea) = Sanktionsrecht § 18 AWG.

### Sonstiges

- **§ 87 BetrVG** — Mitbestimmung Betriebsrat bei IT-Überwachungsmaßnahmen.
- **§ 9 GeschGehG** — Sicherung von Geschäftsgeheimnissen bei Exfiltration.
- **§ 43 GwG** — FIU-Meldung bei Geldwäscheverdacht durch Lösegeld.

## Prüfschema / Zeitplan

| Zeit | Prüfschritt | Aktion | Norm |
|---|---|---|---|
| Stunde 0–1 | Erstkontakt + Bestätigung | Krisenstab einberufen; Mandant: Systeme NICHT abschalten | intern |
| Stunde 1–2 | Netzwerktrennung | Switch-Port deaktivieren; RAM-Dump; Log-Sicherung | Art. 32 DSGVO |
| Stunde 2–4 | Forensik beauftragen | AVV Art. 28 DSGVO; Chain-of-Custody beginnen | Art. 28 DSGVO |
| Stunde 4–8 | Betroffenheit personenbezogener Daten? | Datenkategorien + Anzahl Betroffener ermitteln | Art. 33 DSGVO |
| Stunde 8–12 | NIS2-Prüfung | Einrichtungsklassifikation; 24h-Frist läuft | § 32 BSIG n. F. |
| Stunde 12–24 | Frühwarnung BSI (NIS2) | Wenn anwendbar: BSI-Meldung über IT-Sicherheitsportal | § 32 Abs. 1 BSIG n. F. |
| Stunde 24–48 | DSGVO-Meldung vorbereiten | Entwurf Art. 33; Abstimmung DSB; Aufsichtsbehörde | Art. 33 DSGVO |
| Stunde 72 | DSGVO-Meldung einreichen | Online-Portal Aufsichtsbehörde; NIS2-Vorfallsmeldung BSI | Art. 33 DSGVO; § 32 BSIG n. F. |
| Tag 4–7 | Betroffene informieren | Bei hohem Risiko Art. 34 DSGVO; Massenmailing vorbereiten | Art. 34 DSGVO |
| Tag 4–7 | Strafanzeige | LKA Cybercrime; Forensik-Zwischenbericht beifügen | §§ 202a, 303b StGB |
| Tag 4–7 | Versicherer-Antrag | Cyber-Police; Unterlagen vollständig | AVB Cyber |
| Woche 2–4 | Forensik-Endbericht | Ursachenanalyse; Schwachstellen; Maßnahmenplan | intern |
| Monat 1 | NIS2-Abschlussbericht | BSI; vollständige Analyse | § 32 Abs. 3 BSIG n. F. |

## Schriftsatzbausteine

### Notruf-Checkliste (Mandant)

```
Sofortmassnahmen Cyber-Vorfall — erste 2 Stunden

1. Krisenteam informieren:
   - IT-Leitung: [...]
   - Datenschutzbeauftragter: [...]
   - Geschaeftsfuehrung: [...]
   - Anwalt: [...]
   - Forensik-Dienstleister: [...]

2. Systeme NICHT abschalten — nur Netzwerk trennen:
   - Switch-Port deaktivieren (IT)
   - WLAN abschalten
   - VPN-Zugaenge sperren

3. Keine Loesegeld-Zahlung ohne Anwaltsruecksprache.

4. Keine externe Kommunikation ohne Freigabe.

5. Logdateien sichern (Kopie, unveraendert).

6. Erpressungsmail/Erpressungsnachweis sichern (Screenshot + Original).
```

### DSGVO-Meldung Art. 33 (Muster)

```
An: [Landesdatenschutzbehoerde]
Betreff: Meldung Verletzung Schutz personenbezogener Daten
         gemaess Art. 33 DSGVO

Verantwortlicher: [Unternehmen, Anschrift, DSB, Kontakt]
Datum/Uhrzeit Kenntnis: [TT.MM.JJJJ HH:MM]
Vorlaeufige Meldung: [ja / nein]

A) Art der Verletzung
Ransomware-Angriff / Datenleck / Unbefugter Zugriff durch Dritten.
Art der Verletzung: Vertraulichkeit [X] Integrität [X] Verfügbarkeit [X]

B) Betroffene Kategorien und Anzahl
Personenkategorien: Kunden / Mitarbeiter / Patienten
Datenkategorien: Name, Adresse, [ggf. Art. 9 DSGVO-Daten]
Anzahl Betroffene: ca. [Zahl] (Schaetzung; wird praezisiert)

C) Wahrscheinliche Folgen
Identitaetsdiebstahl / Phishing / Beruflicher Schaden / keine
schwerwiegenden Folgen erkennbar [Begruendung]

D) Ergriffene und geplante Massnahmen
- Netztrennung am [TT.MM. HH:MM]
- Forensik beauftragt am [Datum]
- Passwortzuruecksetzung [Datum]
- Benachrichtigung Betroffene geplant ab [Datum]

E) Kontakt fuer Rueckfragen
DSB: [Name, Tel, E-Mail]

[Ort, Datum, Unterschrift]
```

### Strafanzeige (Skeleton)

```
An: Zentralstelle Cybercrime [Generalstaatsanwaltschaft Ort]
   
Strafanzeige gemaess § 158 StPO

Anzeigeerstatter: [Unternehmen, vertreten durch Anwalt]
Beschuldigter: Unbekannte Person(en)

Tatzeit: [Datum oder Zeitraum]
Tatort: Computersystem des Anzeigers, Server-Standort [Ort]

Sachverhalt:
Am [Datum] stellte der Anzeigeerstatter fest, dass seine IT-
Infrastruktur durch eine Ransomware-Schadsoftware kompromittiert
wurde. [Detailbeschreibung]

Straftatbestaende:
- § 202a StGB: Unbefugtes Ausspaehn der Daten
- § 303b StGB: Computersabotage durch Ransomware-Einsatz
- § 253 StGB: Erpressung durch Loesegeldforderung

Beweis- und Begleitunterlagen:
1. Forensik-Zwischenbericht [Anlage 1]
2. Erpressungsmail [Anlage 2]
3. Log-Auszuege (Hash: [Hash-Wert]) [Anlage 3]

Wir bitten um Bestaetigung des Eingangs und um Mitteilung des
Aktenzeichens.

[Unterschrift]
```

## Beweislast und Darlegungslast

| Frage | Last | Norm |
|---|---|---|
| Verletzung DSGVO-Meldepflicht | Behörde im Bußgeldverfahren; Rechenschaft Verantwortlicher | Art. 5 Abs. 2 DSGVO |
| Angemessenheit TOMs | Verantwortlicher — Nachweis | Art. 82 Abs. 3 DSGVO |
| Schaden Betroffener | Betroffener; immaterieller Schaden bei festgestelltem Verstoß (EuGH C-340/21) | Art. 82 Abs. 1 DSGVO |
| NIS2-Meldepflicht | Behörde (BSI); Einrichtung muss Eigeneinstufung dokumentieren | § 32 BSIG n. F. |
| Straftat § 202a StGB | Staatsanwaltschaft (StPO) | StPO |
| Versicherungsdeckung | Versicherungsnehmer — vertragsgemäße Anzeige und Schadensnachweise | AVB Cyber |

## Fristen und Verjährung

| Pflicht | Frist | Norm |
|---|---|---|
| DSGVO-Meldung Aufsichtsbehörde | 72 Stunden ab Kenntnis | Art. 33 Abs. 1 DSGVO |
| Betroffenen-Benachrichtigung | Unverzüglich | Art. 34 Abs. 1 DSGVO |
| NIS2-Frühwarnung (Verdacht) | 24 Stunden | § 32 Abs. 1 BSIG n. F. |
| NIS2-Vorfallsmeldung | 72 Stunden | § 32 Abs. 2 BSIG n. F. |
| NIS2-Abschlussbericht | 1 Monat | § 32 Abs. 3 BSIG n. F. |
| Versicherer-Anzeige | Vertraglich 24–48 Stunden | AVB Cyber-Police |
| DSGVO-Schadensersatz Verjährung | 3 Jahre §§ 195, 199 BGB | BGB |
| Strafverfolgungsverjährung § 202a StGB | 5 Jahre | § 78 StGB |

## Typische Fehler und Reaktion

| Fehler | Reaktion |
|---|---|
| System abgeschaltet statt Netzwerk getrennt | RAM-Forensik verlorenl; Restinfos aus Backup-Systemen; Täter-Spuren nur noch aus Netzwerkprotokollen |
| 72-Stunden-Frist verpasst | Sofortige Nachmeldung mit Entschuldigungsschreiben; Bußgeldminderung durch Kooperation |
| Lösegeld ohne Sanktionsprüfung gezahlt | AWG § 18 Strafbarkeit; sofortige Kooperation mit BAFA |
| Versicherer nicht binnen 24–48 h angezeigt | Deckungsverlust; AVB-Klausel prüfen; Obliegenheitsverletzung §§ 28 VVG |
| Betriebsrat nicht einbezogen bei Mitarbeiter-Forensik | § 87 BetrVG; einstweilige Verfügung Betriebsrat möglich |

## Streitwert und Kosten

- DSGVO-Bußgeld bei unterlassener Meldung: bis 10 Mio. EUR oder 2 % Jahresumsatz.
- NIS2-Bußgeld besonders wichtige Einrichtungen: bis 20 Mio. EUR oder 4 %.
- Schadensersatz Art. 82 DSGVO: 500–5.000 EUR/Person; bei Massenvorfall Sammelklagen.
- Forensik-Kosten: 10.000–150.000 EUR (je Umfang).
- Krisenmanagement-Kosten: 5.000–50.000 EUR (Kommunikation, Call-Center, Monitoring).
- Cyber-Versicherung typische Deckungs-Sublimits: Lösegeld 10–50 % der Gesamtversicherungssumme.

## Strategische Empfehlung

| Situation | Empfehlung |
|---|---|
| Ransomware aktiv | Netzwerktrennung sofort; Forensik-Dienstleister binnen 2 Stunden; Backups prüfen |
| Personendaten betroffen | 72h-Meldung einplanen; DSB einbeziehen; bei Zweifel melden |
| KRITIS / NIS2-Einrichtung | 24h-BSI-Frühwarnung; parallel DSGVO-Countdown |
| Lösegeld-Anforderung | Sanktionsprüfung (OFAC/EU); Versicherer; kein Alleingehen |
| Insider-Verdacht | Betriebsrat einbeziehen vor Forensik-Maßnahmen; Arbeitsrecht parallel |

## Anschluss-Skills

- `cyber-incident-response-72h` — komplementäre Detailstufe
- `fachanwalt-it-recht-saas-vertrag-verhandlung` — AVV-Prüfung Cloud-Dienste
- `fachanwalt-strafrecht-zeugenbeistand` — bei Mitarbeiterbefragungen
- `datenschutzrecht-datenpanne-meldung` — formelles Meldeverfahren

## Quellen

- DSGVO Art. 28, 32–34, 82, 83
- NIS2UmsuCG; §§ 28, 32, 65 BSIG n. F.
- StGB §§ 202a–202d, 261, 303a, 303b
- GeschGehG § 9
- BetrVG § 87
- GwG § 43
- AWG § 18
- EuGH C-340/21 (Natsionalna agentsia)
- BSI IT-Grundschutz; BSI Lageberichte Cybersicherheit

## Aktuelle Rechtsprechung (v14.2)

- EuGH, Urt. v. 14.12.2023 — C-340/21 (Natsionalna agentsia za prihodite/VB), NJW 2024, 685 Rn. 55–79: Unbefugter Datenzugang begründet keinen automatischen Schadensersatz nach Art. 82 DSGVO; aber: die 72-Stunden-Meldepflicht nach Art. 33 DSGVO wird schon durch die bloße Möglichkeit eines Risikos ausgelöst, nicht erst bei realisiertem Schaden.
- BGH, Urt. v. 06.07.2021 — VI ZR 40/20, NJW 2021, 2726 Rn. 28: DSGVO-Schadensersatz für immateriellen Schaden bei Datenpanne; unzureichende TOMs nach Art. 32 DSGVO begründen Haftung; Cyber-Vorfall-Response muss TOMs dokumentieren.
- OLG Dresden, Urt. v. 30.11.2021 — 4 U 1158/21, NJW 2022, 334 Rn. 22: Schadensersatz bei mangelnden TOMs; Nachweis angemessener TOMs entlastet Verantwortlichen nach Art. 82 Abs. 3 DSGVO — Forensik-Dokumentation ist zentral für Entlastungsbeweis.
- BGH, Urt. v. 12.10.2022 — I ZR 149/20, GRUR 2023, 145 Rn. 67: Zur Verantwortlichkeit bei Cyberangriffen; Verantwortlicher kann sich bei adäquaten Sicherheitsmaßnahmen (Art. 32 DSGVO) exkulpieren; BSI-IT-Grundschutz als Referenzstandard.

More from Klotzkette/claude-fuer-deutsches-recht

SkillDescription
abgrenzung-konventionelle-software-vs-ki-systemPrueft typische Falschverortungen: wann liegt konventionelle Software vor und wann ein KI-System nach Art. 3 Nr. 1 KI-VO. Abgrenzung zu Expertensystemen deterministischer Logik einfachen Entscheidungsbaeumen und klassischer Automation. Hilft bei Grenzfaellen.
abmahnung-arbeitsrechtEntwirft und bewertet arbeitsrechtliche Abmahnungen. Lädt, wenn eine Abmahnung erstellt, inhaltlich geprüft oder deren Wirksamkeitsvoraussetzungen (Warnfunktion, Bestimmtheit, Dokumentation) beurteilt werden sollen – sowohl aus Arbeitgeber- als auch aus Arbeitnehmerperspektive.
abmahnung-markenrecht-uwgMarkenrechtliche Abmahnung mit strafbewehrter Unterlassungserklaerung, Hamburger Brauch Vertragsstrafe, § 14 MarkenG und § 8 UWG, Kosten nach § 14 UWG-n.F. 2021. Laedt, wenn der Nutzer 'Abmahnung Marke', 'Unterlassungserklaerung', 'Vertragsstrafe Marke', 'Hamburger Brauch' oder 'Abmahnung UWG' sagt.
abmahnung-urheberrechtPrüfung und Erstellung urheberrechtlicher Abmahnungen nach § 97a UrhG; modifizierte Unterlassungserklärung; Deckelung der Abmahnkosten im privaten Bereich (§ 97a Abs. 3 UrhG); Filesharing-Praxis; Lizenzanalogie-Schadensersatz (§ 97 Abs. 2 UrhG). Lädt bei urheberrechtlichen Abmahnungen, Unterlassungs- erklärungen, Filesharing-Fällen oder Schadensersatzforderungen nach UrhG.
abmahnung-uwgUnterstützt beim Verfassen und Prüfen von UWG-Abmahnungen nach § 13 UWG sowie der dazugehörigen modifizierten Unterlassungserklärung mit Vertragsstrafe und der Schutzschrift. Lädt, wenn ein Mandat eine wettbewerbsrechtliche Abmahnung, eine strafbewehrte Unterlassungserklärung oder eine Schutzschrift zum Gegenstand hat.
abwaegungsgebot-1-abs-7-baugbPruefung des Abwaegungsgebots Paragraf 1 Abs. 7 BauGB als zentrale materielle Anforderung an den Bebauungsplan. Bei der Aufstellung sind die oeffentlichen und privaten Belange gerecht gegeneinander und untereinander abzuwaegen. Vier Stufen der Abwaegungsfehler nach BVerwG seit Urteil vom 12.12.1969 4 C 105.66. Abwaegungsausfall keine Abwaegung. Abwaegungsdefizit relevante Belange nicht eingestellt. Abwaegungsfehleinschaetzung Belange falsch gewichtet. Abwaegungsdisproportionalitaet Ergebnis sprengt Spielraum. Paragraf 214 Abs. 3 BauGB filtert nur Vorgangsfehler nicht Ergebnisfehler. Vorfestlegung als Abwaegungsausfall. Formelhafte Abwaegungsdokumentation als Abwaegungsdefizit. Abwaegungsmaterial muss vollstaendig ermittelt sein.
account-sperre-soziales-netzwerk-rechtsbehelfe-art-20-23-dsaSkill zur anwaltlichen Vertretung bei Account-Sperre oder Inhaltsentfernung durch ein soziales Netzwerk. Stufenmodell: Art. 17 Begründungspflicht; Art. 20 internes Beschwerdesystem; Art. 21 außergerichtliche Streitbeilegung; Klageweg bei Vertragsstörung (BGH III ZR 179/20 und III ZR 192/20 vom 29.07.2021) auch gegen Auslandsanbieter; vorläufiger Rechtsschutz nach §§ 935 940 ZPO; Schadensersatz; Schnittstellen zu DSGVO Auskunft Löschung.
aenderungs-historieVerfolgt, wie sich ein Vertrag über Basisvertrag und alle Nachträge hinweg verändert hat – entweder als Gesamtüberblick aller Änderungen oder als Klausel-Rückverfolgung für eine bestimmte Bestimmung. Laden, wenn der Nutzer fragt „was hat sich in diesem Vertrag geändert\", „zeig mir die Nachtragshistorie\", „wo steht die aktuelle [Klausel]\" oder mehrere Vertragsversionen hochlädt.
ag-vorbereitungVorbereitung auf das Aufrufen in der Arbeitsgemeinschaft (AG) oder im Seminar. Lade diesen Skill bei Anfragen wie „AG-Vorbereitung\", „Seminar vorbereiten\", „was fragt der Dozent\", „Cold Call\" oder „ich werde morgen drangenommen\".
agb-haendlervertrag-luxusAGB im Selektivvertrieb: AGB-Kontrolle §§ 305 ff. BGB im B2B, BGH-Klauselverbote, Verbots- und Konditionsklauseln, MFN-Klauseln nach Coty II, Vertragsstrafe-Bemessung. Laedt, wenn der Nutzer 'AGB Händler', 'Händlervertrag Luxus', 'MFN-Klausel', 'AGB-Kontrolle B2B' oder 'Vertriebsvertrag AGB' sagt.