Cyber-Bußgelder: Was Ihre Versicherung wirklich zahlt

Q: Deckt die Cyberversicherung regulatorische Verfahrenskosten?

Ja. Die meisten Cyberversicherungen decken explizit: Anwaltskosten für die Verteidigung gegen Bußgeldbescheide, Kosten für Datenschutz-Benachrichtigungen an Betroffene, forensische Gutachten als Beweismittel im Verfahren und Beratungskosten für die Kommunikation mit Aufsichtsbehörden. Diese Kostenbausteine sind rechtlich unproblematisch und in der Praxis oft wertvoller als eine hypothetische Bußgelddeckung.

Q: Was sind nicht-monetäre Sanktionen nach NIS2 und DORA?

Neben Geldstrafen können Aufsichtsbehörden nach NIS2 und DORA operative Maßnahmen anordnen: verpflichtende Sicherheitsaudits, Anweisungen zur Unterlassung bestimmter Tätigkeiten, vorübergehende Betriebseinschränkungen, Entzug von Genehmigungen und öffentliche Bekanntmachung des Verstoßes (Naming and Shaming). Diese nicht-monetären Sanktionen können für ein KMU gravierender sein als das Bußgeld selbst, sind aber in keiner Cyberversicherung abgedeckt.

Ein mittelständisches Logistikunternehmen in Nordrhein-Westfalen. 120 Mitarbeiter, Fuhrpark-Management per Cloud, Kundendaten in einer selbst gehosteten Datenbank. Nach einem Ransomware-Angriff meldet die IT den Vorfall korrekt innerhalb von 72 Stunden an die Landesdatenschutzbehörde. Pflicht erfüllt, denkt die Geschäftsführung.

Sechs Monate später kommt der Bescheid: 280.000 Euro Bußgeld. Nicht wegen des Angriffs selbst. Sondern weil die Behörde bei der Prüfung festgestellt hat, dass personenbezogene Daten unverschlüsselt gespeichert wurden, Zugriffsrechte nicht dokumentiert waren und die letzte Datenschutz-Folgenabschätzung von 2019 stammte. Der Geschäftsführer greift zur Cyberversicherungs-Police. Und liest dort: „Bußgelder sind versichert, soweit dies nach geltendem Recht zulässig ist."

Cyber-Bußgelder bezeichnen regulatorische Geldstrafen, die Aufsichtsbehörden nach Datenschutzverletzungen, IT-Sicherheitsmängeln oder Compliance-Verstößen verhängen. Der Bußgeldrahmen reicht von fünfstelligen Beträgen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Ob und in welchem Umfang diese Bußgelder von einer Cyberversicherung gedeckt sind, ist in Deutschland rechtlich ungeklärt.

⚠ KERNPROBLEM

Die Versicherungsbranche verkauft Bußgeld-Deckung. Die Rechtslage in Deutschland sagt: wahrscheinlich unwirksam. Das Ergebnis: Geschäftsführer wiegen sich in Sicherheit, die im Ernstfall nicht existiert. Wer sich darauf verlässt, spielt russisches Roulette mit dem Firmenvermögen.

Das Bußgeld-Universum: DSGVO, NIS2, DORA und was noch kommt

Noch vor fünf Jahren war die DSGVO die einzige relevante Bußgeldquelle für die meisten KMU. Das hat sich grundlegend geändert. Seit Ende 2025 treffen Unternehmen in Deutschland bis zu vier parallele Regelwerke mit eigenen Sanktionsrahmen. Und jedes einzelne hat Zähne.

Regelwerk	Gilt seit	Max. Bußgeld	Betrifft
DSGVO	Mai 2018	20 Mio. € oder 4 % Jahresumsatz	Alle Unternehmen mit personenbezogenen Daten
NIS2 (BSIG)	Dez. 2025	10 Mio. € oder 2 % Jahresumsatz	Kritische und wichtige Einrichtungen (ca. 30.000 Unternehmen in DE)
DORA	Jan. 2025	10 Mio. € oder 5 % Nettoumsatz	Finanzsektor (Banken, Versicherer, Zahlungsdienstleister)
AI Act	Aug. 2025 (stufenweise)	35 Mio. € oder 7 % Jahresumsatz	Unternehmen die KI-Systeme entwickeln oder einsetzen

DSGVO: 46,9 Millionen Euro allein in Deutschland (2025)

Die deutschen Datenschutzbehörden haben 2025 insgesamt 249 Bußgelder mit einer Gesamthöhe von rund 46,9 Millionen Euro verhängt. Das klingt nach wenig im europäischen Vergleich (EU-weit: über 1,1 Milliarden Euro). Aber der Trend ist eindeutig: Die Einzelbeträge steigen massiv. Das höchste deutsche DSGVO-Bußgeld 2025 lag bei 45 Millionen Euro (gegen Vodafone, verhängt durch den Bundesbeauftragten für Datenschutz). Seit Inkrafttreten der DSGVO summieren sich die europaweit bekannten Bußgelder auf fast 7 Milliarden Euro.

NIS2: 7 Bußgeldstufen, persönliche Haftung

Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. § 65 BSIG definiert sieben Bußgeldstufen von 100.000 Euro bis 10 Millionen Euro. Die Registrierungsfrist beim BSI (6. März 2026) ist bereits abgelaufen. Wer sie verpasst hat, verstößt bereits gegen das Gesetz.

Der entscheidende Punkt: Die Geschäftsleitung haftet persönlich (§ 38 BSIG). Und diese Haftung ist nicht delegierbar. Nicht an den CISO, nicht an einen IT-Dienstleister, nicht an eine Versicherung. Wer als Geschäftsführer die Cybersicherheitspflichten nicht umsetzt, haftet mit dem Privatvermögen.

DORA: Der Finanzsektor unter Druck

Seit Januar 2025 müssen Finanzunternehmen die DORA-Anforderungen erfüllen. Bußgelder: bis zu 10 Millionen Euro oder 5 % des Gesamtnettoumsatzes. Für kritische IKT-Dienstleister drohen Zwangsgelder von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes. Senior Management haftet persönlich mit bis zu 1 Million Euro. Zwei Drittel der Finanzunternehmen erfüllen die Anforderungen laut Branchenberichten noch nicht vollständig.

Die unbequeme Wahrheit: Sind Bußgelder in Deutschland versicherbar?

Hier wird es für viele Geschäftsführer unangenehm. Die kurze Antwort: Wahrscheinlich nicht. Die lange Antwort ist komplizierter, aber nicht ermutigender.

Die juristische Lage

Nach herrschender juristischer Meinung in Deutschland sind behördliche Bußgelder nicht versicherbar. Der Grund: Die Versicherung des Bußgeldes würde den gesetzlichen Präventionszweck der Strafe vereiteln. Wenn ein Unternehmen weiß, dass die Versicherung das Bußgeld zahlt, fehlt der Anreiz, die Regeln einzuhalten. Das verstößt gegen § 134 BGB (Verstoß gegen gesetzliches Verbot) und § 138 BGB (Sittenwidrigkeit).

Es gibt keine höchstrichterliche Entscheidung des BGH zu dieser Frage. Aber die Rechtswissenschaft ist sich weitgehend einig: Ein Versicherungsvertrag, der Bußgelder deckt, ist mit hoher Wahrscheinlichkeit unwirksam.

Was die Versicherer trotzdem verkaufen

Viele Cyberversicherer nehmen Bußgelder in ihre Bedingungen auf. Die Formulierung lautet dann typischerweise:

⚠ TYPISCHE KLAUSEL

„Versichert sind behördliche Bußgelder im Zusammenhang mit einem versicherten Cyber-Ereignis, soweit dies nach geltendem Recht zulässig ist."

Diese vier Worte sind der Schlüssel. „Soweit gesetzlich zulässig" bedeutet: Wenn ein Gericht entscheidet, dass Bußgeldversicherung in Deutschland unzulässig ist, zahlt der Versicherer nichts. Und genau das ist nach herrschender Meinung der Fall.

Der europäische Flickenteppich

Die Versicherbarkeit von Bußgeldern unterscheidet sich drastisch je nach Land. Was in einer Jurisdiktion gedeckt ist, ist in der nächsten ausgeschlossen:

Land	Bußgelder versicherbar?
Deutschland	Wahrscheinlich nicht (§ 134, § 138 BGB)
Österreich	Nein (ausdrücklich verboten)
Großbritannien	Teilweise (zivilrechtliche Strafen ja, strafrechtliche nein)
Niederlande	Grundsätzlich möglich
USA (je nach Staat)	Teilweise (unterschiedlich je nach Bundesstaat)

Für international tätige Unternehmen bedeutet das: Die Bußgeld-Deckung in der Cyber-Police kann in einem Land greifen und im nächsten wertlos sein. Ein produktneutraler Bedingungsvergleich muss genau hier ansetzen.

Was die Cyberversicherung bei regulatorischen Verfahren wirklich deckt

Die gute Nachricht: Auch wenn das Bußgeld selbst wahrscheinlich nicht versicherbar ist, decken die meisten Cyberversicherungen die Kosten, die rund um das Bußgeldverfahren entstehen. Und diese Kosten sind oft höher als das Bußgeld selbst.

Kostenbaustein	Gedeckt?	Typische Höhe
Abwehrkosten gegen Bußgeldbescheid	✓ Ja	20.000-200.000 €
Anwälte für Datenschutzverfahren	✓ Ja	30.000-150.000 €
IT-Forensik (Beweissicherung)	✓ Ja	15.000-80.000 €
Benachrichtigung Betroffener (DSGVO Art. 34)	✓ Ja	5.000-50.000 €
Kommunikation mit Aufsichtsbehörden	✓ Ja	10.000-40.000 €
Reputationsmanagement / Krisenkommunikation	✓ Ja	10.000-60.000 €
Das Bußgeld selbst	✗ Wahrscheinlich nicht	Variabel
Nicht-monetäre Sanktionen	✗ Nein	Nicht bezifferbar

💡 PRAXISHINWEIS

Die Abwehrkosten gegen einen Bußgeldbescheid sind in der Praxis oft der wertvollste Baustein. Ein spezialisierter Datenschutzanwalt, der den Bescheid anfechtet, kann das Bußgeld reduzieren oder ganz abwenden. Achten Sie darauf, dass Ihre Police diese Kosten unbegrenzt oder mit hohem Sublimit deckt. Nicht selten werden Bußgelder im Widerspruchsverfahren um 50 bis 80 % reduziert.

Nicht-monetäre Sanktionen: Das unterschätzte Risiko

Bußgelder sind der sichtbare Teil. Aber NIS2 und DORA ermächtigen die Aufsichtsbehörden zu Maßnahmen, die für ein KMU existenzbedrohender sein können als jede Geldstrafe:

1 Verpflichtende Sicherheitsaudits auf Kosten des Unternehmens. Nicht einmalig, sondern wiederkehrend bis die Behörde zufrieden ist.
2 Anweisung zur Unterlassung bestimmter Geschäftstätigkeiten bis die Sicherheitsmängel behoben sind. Im Klartext: partieller Betriebsstopp.
3 Entzug von Genehmigungen oder Lizenzen. Im Finanzsektor (DORA) kann die BaFin Geschäftsaktivitäten komplett untersagen.
4 Öffentliche Bekanntmachung des Verstoßes (Naming and Shaming). Der Reputationsschaden kann jahrelang nachwirken.
5 Persönliches Tätigkeitsverbot für Geschäftsführer. NIS2 ermächtigt Behörden, Leitungspersonen vorübergehend von der Geschäftsführung auszuschließen.

Keine dieser Maßnahmen ist versicherbar. Keine Cyberversicherung der Welt kann ein behördliches Betriebsverbot aufheben oder einen erzwungenen Audit verhindern. Prävention ist hier die einzige Strategie.

Was Sie konkret tun sollten

Die Schlussfolgerung ist unbequem, aber klar: Verlassen Sie sich bei regulatorischen Risiken nicht auf die Versicherung. Die Versicherung deckt die Folgen eines Cyberangriffs. Das Bußgeldrisiko müssen Sie durch Compliance minimieren.

Ihre Checkliste: Bußgeldrisiko senken

Maßnahme	Regelwerk	Priorität
72-Stunden-Meldepflicht Prozess definieren	DSGVO	Kritisch
Datenschutz-Folgenabschätzung aktualisieren	DSGVO	Kritisch
BSI-Registrierung prüfen (Frist abgelaufen!)	NIS2	Kritisch
Risikomanagement-Maßnahmen nach § 30 BSIG umsetzen	NIS2	Kritisch
Notfallplan erstellen und testen	NIS2, DSGVO	Hoch
Verschlüsselung personenbezogener Daten	DSGVO	Hoch
Zugriffsrechte dokumentieren (Least Privilege)	DSGVO, NIS2	Hoch
Mitarbeiterschulungen dokumentieren	NIS2, DSGVO	Hoch
Cyberversicherung: Abwehrkosten-Baustein prüfen	Alle	Hoch

Worauf Sie in der Cyberversicherung achten sollten

✓ Abwehrkosten unbegrenzt oder mit hohem Sublimit (mind. 500.000 €). Das ist der wertvollste Baustein bei regulatorischen Verfahren.
✓ Benachrichtigungskosten für die Information betroffener Personen nach Art. 34 DSGVO. Bei 10.000 Betroffenen kommen schnell 30.000-50.000 € zusammen.
✓ Forensik-Deckung für die Beweissicherung. Ein forensisches Gutachten kann im Bußgeldverfahren strafmildernd wirken.
✓ Krisenkommunikation als Assistance-Leistung. Bei öffentlich bekannt gewordenen Vorfällen ist professionelle PR-Beratung Gold wert.
✗ Bußgeld-Klausel kritisch lesen. „Soweit gesetzlich zulässig" ist in Deutschland de facto wertlos. Planen Sie nicht mit dieser Deckung.

Wie gut Ihr Unternehmen aktuell auf eine Cyberversicherung vorbereitet ist, können Sie mit unserem kostenlosen Cyber-Risikocheck in 2 Minuten prüfen.

✓ FAZIT

Das regulatorische Bußgeldrisiko nach Cyberangriffen ist so hoch wie nie. DSGVO, NIS2, DORA und AI Act summieren sich zu einem Sanktionsrahmen, der auch mittelständische Unternehmen existenziell treffen kann. Die unbequeme Wahrheit: Das Bußgeld selbst ist in Deutschland nach herrschender Rechtsmeinung nicht versicherbar. Die Cyberversicherung deckt aber die Abwehrkosten, Verfahrenskosten und forensische Gutachten. Und genau diese Bausteine entscheiden in der Praxis, ob aus einem Bußgeldbescheid über 280.000 Euro am Ende 40.000 Euro werden. Wer sich auf die Bußgeld-Klausel in seiner Police verlässt, hat das Problem nicht verstanden. Wer in Compliance und professionelle Abwehr investiert, hat es gelöst.

Markus Kopka

Versicherungsmakler (§34d GewO) · Cyberversicherung-Spezialist

Markus Kopka berät seit über 25 Jahren Privatpersonen, Selbständige und Unternehmen zu komplexen Versicherungsfragen. Als produktneutraler Versicherungsmakler vergleicht er Tarife von führenden Versicherern am Markt.

LinkedIn (25.000+ Kontakte) Mehr erfahren →

Häufige Fragen zu Cyber-Bußgeldern

Sind DSGVO-Bußgelder in Deutschland versicherbar?

Rechtlich umstritten. Nach herrschender juristischer Meinung sind Bußgelder in Deutschland nicht versicherbar, weil die Versicherung den Präventionszweck der Strafe vereiteln würde (§ 134, § 138 BGB). Viele Cyberversicherer nehmen Bußgelder trotzdem in ihre Bedingungen auf, allerdings mit dem Vorbehalt „soweit gesetzlich zulässig". Was versicherbar ist: die Abwehrkosten gegen den Bußgeldbescheid, Verfahrenskosten, Beratungskosten und Kosten für Reputationsmanagement.

Was passiert bei einem NIS2-Verstoß?

Das NIS2-Umsetzungsgesetz (§ 65 BSIG) sieht Bußgelder in 7 Stufen vor: bis 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, bis 7 Millionen Euro oder 1,4 % für wichtige Einrichtungen. Zusätzlich haftet die Geschäftsleitung persönlich nach § 38 BSIG. Diese Haftung ist nicht delegierbar.

Deckt die Cyberversicherung regulatorische Verfahrenskosten?

Ja. Die meisten Cyberversicherungen decken: Anwaltskosten für die Verteidigung gegen Bußgeldbescheide, Kosten für Datenschutz-Benachrichtigungen an Betroffene, forensische Gutachten als Beweismittel und Beratungskosten für die Kommunikation mit Aufsichtsbehörden. Diese Kostenbausteine sind rechtlich unproblematisch und oft wertvoller als eine hypothetische Bußgelddeckung.

Was sind nicht-monetäre Sanktionen nach NIS2 und DORA?

Neben Geldstrafen können Aufsichtsbehörden operative Maßnahmen anordnen: verpflichtende Sicherheitsaudits, Anweisungen zur Unterlassung bestimmter Tätigkeiten, vorübergehende Betriebseinschränkungen, Entzug von Genehmigungen und öffentliche Bekanntmachung des Verstoßes (Naming and Shaming). Diese Sanktionen können für ein KMU gravierender sein als das Bußgeld selbst und sind in keiner Cyberversicherung abgedeckt.