Datenschutzverstoß: Welche Versicherung zahlt?
Allgemeine Information — keine individuelle Beratung, keine Gewähr.
Auf einen Blick: Ein Datenschutzverstoß kostet kleine Unternehmen typischerweise 23.000 bis 113.000 Euro (ohne Bußgeld) — die Cyber-Versicherung ist der wichtigste Baustein und deckt IT-Forensik, Benachrichtigungskosten und Schadensersatz nach Art. 82 DSGVO ab. DSGVO-Bußgelder selbst sind in Deutschland nicht versicherbar, wohl aber die Verteidigungskosten im Verfahren.
Datenschutzverstoß trifft jedes Unternehmen
Ein Datenschutzverstoß ist kein Szenario nur für Großkonzerne. Ein verlorener USB-Stick mit Kundendaten, eine falsch adressierte E-Mail mit sensiblen Informationen, ein gehacktes CRM-System — die DSGVO unterscheidet nicht nach Unternehmensgröße. Die Pflichten sind die gleichen, die Bußgelder können existenzbedrohend sein.
Die entscheidende Frage nach einem Datenschutzverstoß: Welche Ihrer bestehenden Versicherungen zahlt für welche Kosten?
Die Kosten eines Datenschutzverstoßes
Ein Datenschutzverstoß verursacht Kosten auf mehreren Ebenen:
- Meldepflicht: Benachrichtigung der Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO) — erfordert rechtliche Beratung und Dokumentation
- Benachrichtigung Betroffener: Bei hohem Risiko müssen alle betroffenen Personen informiert werden (Art. 34 DSGVO) — bei tausenden Kunden ein erheblicher Aufwand
- IT-Forensik: Untersuchung des Vorfalls, Identifikation der betroffenen Daten, Schließen der Sicherheitslücke
- Rechtsberatung: Anwaltliche Begleitung des Verfahrens mit der Aufsichtsbehörde
- Schadensersatzansprüche: Betroffene Personen können nach Art. 82 DSGVO Schadensersatz verlangen — auch für immaterielle Schäden
- Bußgelder: Bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 DSGVO)
- Reputationsschaden: Kundenvertrauen, Geschäftspartner, Medienberichterstattung
Cyber-Versicherung: Der wichtigste Baustein
Die Cyber-Versicherung ist die Hauptversicherung für Datenschutzverstöße. Eine gute Cyber-Police deckt:
Eigenschäden
- IT-Forensik und technische Analyse
- Datenwiederherstellung
- Betriebsunterbrechung durch IT-Ausfall
- Krisenmanagement und PR-Beratung
- Kosten für die Benachrichtigung betroffener Personen
Drittschäden (Haftpflicht)
- Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO
- Abwehr unberechtigter Ansprüche
- Vergleichszahlungen
Serviceleistungen
- 24/7-Notfallhotline
- Zugang zu spezialisierten IT-Forensikern, Datenschutzanwälten und PR-Beratern
- Unterstützung bei der Meldung an die Aufsichtsbehörde
D&O-Versicherung: Geschäftsführerhaftung
Die Geschäftsführung ist für die Einhaltung der DSGVO verantwortlich. Wenn ein Datenschutzverstoß auf mangelnde organisatorische Maßnahmen zurückzuführen ist, kann die Geschäftsführung persönlich haftbar gemacht werden:
- Organisationsverschulden: Keine ausreichenden technischen und organisatorischen Maßnahmen (TOMs) implementiert
- Überwachungsverschulden: Datenschutzbeauftragten nicht bestellt oder nicht ausreichend kontrolliert
- Auswahlverschulden: Ungeeignete IT-Dienstleister eingesetzt
Die D&O-Versicherung schützt die Geschäftsführung gegen diese persönlichen Haftungsansprüche.
Betriebshaftpflicht: Begrenzte Deckung
Die klassische Betriebshaftpflicht ist für Datenschutzverstöße nur eingeschränkt geeignet:
- Vermögensschäden: Viele Betriebshaftpflicht-Tarife decken nur Personen- und Sachschäden. DSGVO-Schadensersatzansprüche sind aber reine Vermögensschäden
- Cyber-Ausschluss: Neuere Tarife schließen Cyber-Risiken oft explizit aus, um Doppeldeckungen mit der Cyber-Versicherung zu vermeiden
- Sublimits: Wenn Vermögensschäden eingeschlossen sind, gelten oft niedrige Sublimits
Berufshaftpflicht: Für beratende Berufe
Wenn Sie als IT-Dienstleister, Steuerberater, Rechtsanwalt oder anderer Berufsträger einen Datenschutzverstoß bei Ihrem Kunden verursachen — etwa weil Ihre Software eine Sicherheitslücke hat —, greift Ihre Berufshaftpflicht (Vermögensschadenhaftpflicht). Prüfen Sie, ob DSGVO-bezogene Ansprüche explizit eingeschlossen sind.
Rechtsschutzversicherung: Verteidigungskosten
Ein Bußgeldverfahren der Datenschutzaufsicht erfordert anwaltliche Vertretung. Die Firmen-Rechtsschutzversicherung kann die Kosten der Verteidigung übernehmen — prüfen Sie, ob Ordnungswidrigkeitenverfahren und behördliche Verfahren eingeschlossen sind.
Bußgelder selbst sind in Deutschland nicht versicherbar. Der Versicherer kann zwar die Verteidigungskosten übernehmen, nicht aber das Bußgeld selbst.
Deckungsüberschneidungen und Lücken
| Kostenart | Cyber | D&O | Betriebshaftpflicht | Rechtsschutz |
|---|---|---|---|---|
| IT-Forensik | Ja | Nein | Nein | Nein |
| Benachrichtigung Betroffener | Ja | Nein | Nein | Nein |
| Schadensersatz (Art. 82) | Ja | Teilweise | Selten | Nein |
| Geschäftsführerhaftung | Nein | Ja | Nein | Nein |
| Verteidigungskosten Bußgeld | Ja (oft) | Ja (oft) | Nein | Ja |
| Bußgeld selbst | Nein | Nein | Nein | Nein |
| Betriebsunterbrechung | Ja | Nein | Nein | Nein |
Praktische Empfehlungen
- Cyber-Versicherung abschließen: Das ist der wichtigste einzelne Schritt für den Datenschutz-Versicherungsschutz
- D&O-Versicherung prüfen: DSGVO-Compliance-Verstöße sollten eingeschlossen sein
- Betriebshaftpflicht prüfen: Cyber-Ausschluss ja oder nein? Bei ja: Cyber-Police umso wichtiger
- Rechtsschutz erweitern: Behördliche Verfahren einschließen
- Policen aufeinander abstimmen: Vermeiden Sie Lücken zwischen Cyber-Versicherung und Betriebshaftpflicht
Kostenbeispiele: Was ein Datenschutzverstoß wirklich kostet
Die folgenden Beispiele zeigen typische Kostengrößenordnungen für kleine und mittlere Unternehmen in Deutschland. Die tatsächlichen Kosten variieren je nach Branche, Anzahl betroffener Datensätze und Schwere des Verstoßes.
| Kostenposition | Kleines Unternehmen (10 MA) | Mittleres Unternehmen (100 MA) | Großes Unternehmen (500+ MA) |
|---|---|---|---|
| IT-Forensik und Analyse | 5.000 – 15.000 € | 15.000 – 50.000 € | 50.000 – 200.000 € |
| Rechtsberatung (Erstmaßnahmen) | 3.000 – 8.000 € | 8.000 – 25.000 € | 25.000 – 80.000 € |
| Benachrichtigung Betroffener | 1.000 – 5.000 € | 5.000 – 30.000 € | 30.000 – 150.000 € |
| Kreditüberwachung für Betroffene | 2.000 – 10.000 € | 10.000 – 50.000 € | 50.000 – 300.000 € |
| PR- und Krisenkommunikation | 2.000 – 5.000 € | 5.000 – 20.000 € | 20.000 – 100.000 € |
| Betriebsunterbrechung | 5.000 – 20.000 € | 20.000 – 100.000 € | 100.000 – 500.000 € |
| Schadensersatz (Art. 82 DSGVO) | 5.000 – 50.000 € | 50.000 – 500.000 € | 500.000 – 5.000.000 € |
| Gesamtkosten (ohne Bußgeld) | 23.000 – 113.000 € | 113.000 – 775.000 € | 775.000 – 6.330.000 € |
Hinzu kommen mögliche Bußgelder der Aufsichtsbehörde. Die deutschen Datenschutzbehörden haben in den vergangenen Jahren Bußgelder von wenigen tausend Euro bis hin zu mehreren Millionen Euro verhängt — etwa 14,5 Mio. Euro gegen die Deutsche Wohnen oder 35,3 Mio. Euro gegen H&M.
Schadenszenarien aus der Praxis
Szenario 1: Ransomware-Angriff auf eine Arztpraxis
Eine Gemeinschaftspraxis mit 8 Mitarbeitern wird Opfer eines Ransomware-Angriffs. Die Patientendaten von 12.000 Patienten werden verschlüsselt, der Praxisbetrieb steht drei Tage still. Die Praxis muss die Aufsichtsbehörde und alle betroffenen Patienten informieren, da Gesundheitsdaten betroffen sind (Art. 9 DSGVO — besondere Kategorien personenbezogener Daten).
- IT-Forensik und Datenwiederherstellung: 18.000 €
- Rechtsberatung und Meldung an die Aufsichtsbehörde: 6.500 €
- Benachrichtigung der 12.000 Patienten: 4.200 €
- Betriebsunterbrechung (3 Tage): 15.000 €
- Schadensersatzansprüche (42 Patienten à durchschnittlich 1.500 €): 63.000 €
- Gesamtkosten: ca. 106.700 €
Die Cyber-Versicherung der Praxis übernahm alle Kosten bis auf die Selbstbeteiligung von 2.500 €. Ohne Versicherung hätte dieser Vorfall die Existenz der Praxis gefährdet.
Szenario 2: Fehlversand im Online-Handel
Ein mittelständischer Online-Händler versendet durch einen Fehler in der Newsletter-Software eine E-Mail mit einer CSV-Datei im Anhang, die Namen, E-Mail-Adressen und Bestellhistorien von 8.500 Kunden enthält. Der Fehler wird erst nach drei Stunden bemerkt.
- Rechtsberatung und Meldung: 5.000 €
- Benachrichtigung aller betroffenen Kunden: 3.800 €
- Schadensersatzansprüche (120 Kunden fordern je 500 – 2.000 €): 96.000 €
- Reputationsschaden (geschätzter Umsatzrückgang): 35.000 €
- Gesamtkosten: ca. 139.800 €
Die Betriebshaftpflicht lehnte die Regulierung ab, da reine Vermögensschäden nicht gedeckt waren. Erst die nachträglich eingeschaltete Rechtsschutzversicherung übernahm die Verteidigungskosten gegen die Schadensersatzforderungen. Eine Cyber-Versicherung hätte den Großteil der Kosten abgedeckt.
Szenario 3: Ehemaliger Mitarbeiter nimmt Kundendaten mit
Ein gekündigter Vertriebsmitarbeiter eines Finanzdienstleisters kopiert vor seinem Ausscheiden die Kontaktdaten und Vertragsinformationen von 3.200 Kunden auf einen privaten USB-Stick. Das Unternehmen bemerkt den Vorfall erst, als der ehemalige Mitarbeiter bei einem Konkurrenten arbeitet und gezielt Kunden abwirbt.
- IT-Forensik (Nachverfolgung des Datenabflusses): 12.000 €
- Rechtsberatung (Arbeitsrecht + Datenschutzrecht): 14.000 €
- Meldung an die Aufsichtsbehörde und Benachrichtigung Betroffener: 5.500 €
- Unterlassungsklage gegen den ehemaligen Mitarbeiter: 8.000 €
- Schadensersatzansprüche betroffener Kunden: 28.000 €
- Gesamtkosten: ca. 67.500 €
Die D&O-Versicherung wurde relevant, weil die Geschäftsführung keine ausreichenden Zugriffskontrollen implementiert hatte. Betroffene Kunden machten Ansprüche sowohl gegen das Unternehmen als auch gegen die Geschäftsführung persönlich geltend.
Szenario 4: Datenleck durch veraltete Software
Ein Handwerksbetrieb mit 25 Mitarbeitern nutzt seit Jahren eine veraltete Kundenverwaltungssoftware ohne aktuelle Sicherheitsupdates. Über eine bekannte Schwachstelle gelangen Angreifer an die Daten von 1.800 Kunden — inklusive Bankverbindungen für den Lastschrifteinzug.
- IT-Forensik und Systemhärtung: 22.000 €
- Neue Software-Lösung (ungeplante Investition): 15.000 €
- Rechtsberatung und Meldeverfahren: 7.000 €
- Benachrichtigung Betroffener und Kreditüberwachung: 9.500 €
- Bußgeld der Aufsichtsbehörde: 25.000 €
- Schadensersatzansprüche: 34.000 €
- Gesamtkosten: ca. 112.500 €
Das Bußgeld war nicht versicherbar. Die Cyber-Versicherung übernahm jedoch IT-Forensik, Benachrichtigungskosten und die Abwehr der Schadensersatzansprüche. Die Verteidigungskosten im Bußgeldverfahren trug die Rechtsschutzversicherung.
Ihren Datenschutz-Versicherungsschutz prüfen
Die Frage „Welche Versicherung zahlt bei einem Datenschutzverstoß?” sollten Sie vor dem Vorfall klären — nicht danach. Als Ihr Versicherungsmakler analysiere ich Ihre bestehenden Policen auf DSGVO-Tauglichkeit und schließe Deckungslücken.
Häufige Fehler beim Datenschutz-Versicherungsschutz
1. Keine Cyber-Versicherung, weil „wir sind zu klein”
Viele kleine Unternehmen und Freiberufler glauben, sie seien kein lohnendes Ziel für Cyber-Angriffe. Die Realität: Gerade kleine Unternehmen sind bevorzugte Ziele, weil sie oft schlechter geschützt sind. Und ein Datenschutzverstoß muss kein Cyber-Angriff sein — eine falsch adressierte E-Mail oder ein verlorenes Notebook reicht. Die DSGVO-Pflichten gelten ab dem ersten personenbezogenen Datensatz, den Sie verarbeiten.
2. Verlass auf die Betriebshaftpflicht
Viele Unternehmer gehen davon aus, dass ihre bestehende Betriebshaftpflichtversicherung auch DSGVO-Schäden abdeckt. In den meisten Fällen ist das falsch: Schadensersatzansprüche nach Art. 82 DSGVO sind reine Vermögensschäden, die in vielen Betriebshaftpflicht-Tarifen ausgeschlossen oder nur mit niedrigen Sublimits gedeckt sind. Prüfen Sie Ihre Police auf den genauen Wortlaut des Cyber-Ausschlusses.
3. Cyber-Versicherung abgeschlossen, aber Obliegenheiten nicht eingehalten
Eine Cyber-Versicherung zahlt nur, wenn Sie die vereinbarten Sicherheitsmaßnahmen tatsächlich umsetzen. Typische Obliegenheiten sind: regelmäßige Software-Updates, Zwei-Faktor-Authentifizierung, regelmäßige Datensicherungen und Mitarbeiterschulungen. Versäumen Sie diese Pflichten, kann der Versicherer die Leistung kürzen oder verweigern. Dokumentieren Sie Ihre IT-Sicherheitsmaßnahmen lückenlos.
4. Keine D&O-Versicherung trotz Geschäftsführerverantwortung
Die Geschäftsführung haftet persönlich für Organisationsverschulden bei Datenschutzverstößen — mit dem gesamten Privatvermögen. Ohne D&O-Versicherung steht der Geschäftsführer im Ernstfall allein da. Das gilt auch für GmbH-Geschäftsführer, die davon ausgehen, dass die beschränkte Haftung der GmbH sie persönlich schützt. Die Innenhaftung gegenüber der eigenen Gesellschaft ist davon nicht betroffen.
5. Policen nicht aufeinander abgestimmt
Wenn Cyber-Versicherung und Betriebshaftpflicht nicht aufeinander abgestimmt sind, entstehen gefährliche Lücken: Die Betriebshaftpflicht schließt Cyber-Schäden aus, die Cyber-Versicherung deckt nur bestimmte Schadenarten. Im Ernstfall verweist jeder Versicherer auf den anderen. Eine professionelle Policen-Analyse identifiziert diese Überschneidungen und Lücken, bevor der Schaden eintritt.
Checkliste: Datenschutz-Versicherungsschutz überprüfen
Nutzen Sie diese Checkliste, um Ihren aktuellen Versicherungsschutz systematisch auf DSGVO-Tauglichkeit zu prüfen:
- Cyber-Versicherung vorhanden? — Prüfen Sie, ob IT-Forensik, Benachrichtigungskosten und Schadensersatz nach Art. 82 DSGVO abgedeckt sind
- Deckungssumme ausreichend? — Mindestens 500.000 € für kleine Unternehmen, ab 1 Mio. € für mittlere Unternehmen
- Sublimits beachtet? — Einzelne Kostenarten (z. B. PR-Beratung, Kreditüberwachung) haben oft niedrigere Obergrenzen
- Obliegenheiten bekannt und erfüllt? — Dokumentieren Sie alle technischen und organisatorischen Maßnahmen (TOMs)
- D&O-Versicherung vorhanden? — DSGVO-Compliance-Verstöße müssen explizit eingeschlossen sein
- Betriebshaftpflicht geprüft? — Cyber-Ausschlussklausel identifiziert? Vermögensschäden gedeckt?
- Rechtsschutzversicherung geprüft? — Behördliche Verfahren und Ordnungswidrigkeiten eingeschlossen?
- Berufshaftpflicht geprüft? (falls zutreffend) — DSGVO-Schäden bei Kunden explizit eingeschlossen?
- Policen aufeinander abgestimmt? — Keine Lücken zwischen Cyber-Versicherung, Betriebshaftpflicht und D&O?
- Selbstbeteiligung tragbar? — Können Sie die vereinbarte Selbstbeteiligung im Schadenfall stemmen?
- Jährliche Überprüfung eingeplant? — Versicherungsschutz muss mit dem Unternehmenswachstum Schritt halten
Cyber-Versicherung: Worauf Sie beim Vergleich achten sollten
Nicht jede Cyber-Versicherung ist gleich. Die Leistungsunterschiede zwischen den Anbietern sind erheblich. Diese Kriterien sind entscheidend:
| Kriterium | Guter Tarif | Schwacher Tarif |
|---|---|---|
| Deckungssumme | Ab 1 Mio. € pauschal | Unter 500.000 € oder stark sublimitiert |
| IT-Forensik | Vollständig gedeckt, freie Dienstleisterwahl | Nur hauseigene Dienstleister, gedeckelt |
| Benachrichtigungskosten | Inklusive Kreditüberwachung für Betroffene | Nur Porto und Druck |
| Betriebsunterbrechung | Ab Tag 1, Karenzzeit max. 12 Stunden | Karenzzeit 48+ Stunden |
| Schadensersatz Art. 82 | Explizit eingeschlossen, inklusive immaterieller Schäden | Nur materielle Schäden oder ausgeschlossen |
| Bedienfehler | Mitversichert (menschliches Versagen) | Nur externe Angriffe |
| Rückwirkungsschäden | IT-Dienstleister-Ausfall mitversichert | Nur eigene Systeme |
| 24/7-Notfallhotline | Inklusive, mit Forensikern und Anwälten | Nur während Geschäftszeiten |
| Obliegenheiten | Verhältnismäßig, dem KMU-Alltag angepasst | Unrealistisch streng, Leistungsverweigerung wahrscheinlich |
Häufig gestellte Fragen
Sind DSGVO-Bußgelder in Deutschland versicherbar?
Nein. Bußgelder der Datenschutzaufsichtsbehörden sind in Deutschland nach herrschender Rechtsauffassung nicht versicherbar, da dies dem Sanktionszweck zuwiderlaufen würde. Eine Cyber-Versicherung kann jedoch die Verteidigungskosten im Bußgeldverfahren übernehmen — also die Anwalts- und Verfahrenskosten, die entstehen, um das Bußgeld abzuwehren oder zu reduzieren.
Brauche ich eine Cyber-Versicherung, wenn ich nur wenige Kundendaten verarbeite?
Auch kleine Datenbestände können zu erheblichen Kosten führen. Bereits 100 betroffene Personen, die jeweils 500 € Schadensersatz nach Art. 82 DSGVO fordern, ergeben eine Summe von 50.000 €. Hinzu kommen IT-Forensik, Rechtsberatung und Meldepflichten. Für Kleinunternehmen gibt es Cyber-Policen bereits ab 300 – 500 € Jahresprämie. Das Kosten-Nutzen-Verhältnis spricht klar für den Abschluss.
Deckt meine bestehende IT-Haftpflichtversicherung auch DSGVO-Schäden ab?
Wenn Sie als IT-Dienstleister eine Vermögensschadenhaftpflicht haben, prüfen Sie den Deckungsumfang genau. Ältere Policen enthalten oft keine explizite DSGVO-Klausel. Neuere Tarife schließen Datenschutzverstöße teilweise ein, aber die Deckungssummen sind oft niedrig und IT-Forensik-Kosten fehlen. Eine ergänzende Cyber-Versicherung schließt die Lücken.
Was passiert, wenn mehrere Versicherungen gleichzeitig leistungspflichtig sind?
Bei Doppeldeckungen — etwa wenn sowohl die Cyber-Versicherung als auch die Betriebshaftpflicht für einen Schadensersatzanspruch eintrittspflichtig wäre — gilt das Prinzip der Mehrfachversicherung (§ 78 VVG). Die Versicherer haften im Innenverhältnis anteilig. Sie als Versicherungsnehmer können sich an jeden der beteiligten Versicherer wenden. In der Praxis regeln Versicherer solche Fälle untereinander, aber es kann zu Verzögerungen kommen. Deshalb ist eine saubere Abstimmung der Policen im Vorfeld wichtig.
Ab welcher Unternehmensgröße lohnt sich eine D&O-Versicherung im Datenschutzkontext?
Sobald Sie als Geschäftsführer einer GmbH oder als Vorstand einer AG tätig sind, haften Sie persönlich für Organisationsverschulden — unabhängig von der Unternehmensgröße. Bereits ein einziger Datenschutzverstoß, der auf fehlende TOMs zurückzuführen ist, kann zur persönlichen Haftung führen. D&O-Policen für kleine GmbHs sind ab ca. 500 – 1.000 € Jahresprämie erhältlich. Die persönliche Haftung mit dem Privatvermögen rechtfertigt diese Investition in jedem Fall.
Quellen
- Art. 33 DSGVO — Meldung von Verletzungen an die Aufsichtsbehörde
- Art. 82 DSGVO — Haftung und Recht auf Schadenersatz
- Art. 83 DSGVO — Allgemeine Bedingungen für die Verhängung von Geldbußen