Krisenkommunikation

Krisenkommunikation ist die strukturierte, vorbereitete Praxis des internen und externen Botschaftsmanagements waehrend eines disruptiven Ereignisses — Cybervorfall, Datenpanne, aufsichtsrechtliche Massnahme, Produktfehler, Reputationsangriff oder Betriebsausfall. 2026 ist sie fuer grosse Unternehmen kein 'Nice-to-have' mehr: unter NIS2, DORA, DSGVO und den meisten sektorspezifischen Regulierungen sind Krisenkommunikationspflichten explizit und durchsetzbar.

Regulatorische Treiber in Europa: (1) DSGVO Art. 34 verlangt Kommunikation an betroffene Personen bei Datenpannen mit hohem Risiko 'unverzueglich'. (2) NIS2 Art. 23 fordert Kommunikation an potenziell betroffene Dienstempfaenger bei erheblichen Vorfaellen — parallel zur BSI-Meldung. (3) DORA Art. 17-19 erweitert die Meldepflicht auf BaFin und in bestimmten Faellen betroffene Kunden. (4) Sektorregeln (Bankgeheimnis, aerztliche Schweigepflicht, KRITIS-Schutz) bringen zusaetzliche Anforderungen mit unterschiedlichen Triggern.

Krisenkommunikation adressiert vier Zielgruppen mit unterschiedlichen Informationsbeduerfnissen: (a) Intern — Mitarbeitende, die zeitnahe, ehrliche Updates brauchen, um Geruechte zu vermeiden und Moral zu schuetzen. (b) Aufsichtsbehoerden — die spezifische Fakten, Zeitstempel, Klassifizierungen und Remediation-Plaene in vorgegebenen Formaten benoetigen. (c) Kunden/Nutzer — die klare, leicht verstaendliche Erklaerungen zur Auswirkung und ihren naechsten Schritten brauchen. (d) Medien und Oeffentlichkeit — die das breitere Narrativ und Reputationswirkungen praegen.

Kernkomponenten eines reifen Krisenkommunikationsprogramms: vorab genehmigte Holding Statements fuer gaengige Vorfallstypen, benannter Sprecher mit Vollmacht zur Stellungnahme im Namen der Organisation, Out-of-Band-Kommunikationskanaele (fuer den Fall, dass die Primaerkanaele selbst vom Vorfall betroffen sind), eingebetteter Legal-Review-Workflow in der Freigabe, vorbereitete Verteiler (Aufsichts-Kontakte, Kundensegmente, Presse), Koordination mit Incident-Response- und Krisenmanagement-Teams, Post-Incident-Review zur Verbesserung.

Haeufige Fehler in realen Vorfaellen: Schweigen in den ersten Stunden schafft Raum fuer Spekulation und Geruechte; zu technische oder juristische Sprache entfremdet Laien; inkonsistente Botschaften ueber Kanaele (unterschiedliche Fakten in Pressemitteilung, Kunden-E-Mail, internem Memo) zerstoert Vertrauen; Warten bis 'wir alle Fakten haben' verpasst meist das erste 24-Stunden-Fenster, in dem die mediale Berichterstattung das oeffentliche Narrativ bestimmt. Die Grundregel: frueh, klar und nur zu bestaetigten Fakten kommunizieren — mit fortschreitender Untersuchung updaten.

Integration in die uebergeordnete Krisenmanagement-Struktur: Krisenkommunikation liegt innerhalb eines breiteren Business-Continuity-Management- (BCM) und Incident-Response- (IR) Programms. Sie hat Cross-Dependencies mit Cyber-Incident-Response (besonders bei Ransomware), Rechtsabteilung (Privileg- und Haftungsmanagement), HR (Mitarbeiterkommunikation) und Corporate Security (physische Sicherheitskommunikation).

Matproof integriert Krisenkommunikations-Templates und -Workflows in seine NIS2-, DORA- und DSGVO-Module: vorab genehmigte Holding Statements, vorfallsspezifische Templates (Datenpanne, Cybervorfall, Ausfall), Auto-Befuellung der BaFin- und BSI-Meldeformulare aus Vorfalls-Metadaten, Freigabe-Workflows entlang der jeweiligen Fristen (DSGVO 72h, NIS2 24h/72h/1 Monat, DORA gestuft) und ein einheitlicher Audit-Trail, der Kommunikationen mit dem zugrundeliegenden Vorfalls-Datensatz verknuepft.