Die Frage kommt in fast jeder Geschäftsführer-Runde: „Können wir uns gegen DSGVO-Bußgelder versichern?“ Die Antwort ist kompliziert. Cyberversicherungen decken einiges ab – aber ausgerechnet das größte Risiko oft nicht.
Was im Kleingedruckten steht
Die meisten großen Versicherer – Allianz, AXA, HDI, Hiscox – bieten Cyberversicherungen an. Deckungssummen zwischen 100.000 und 10 Millionen Euro. Der typische Leistungsumfang umfasst: Datenpannen-Bewältigung, Forensik, Rechtsberatung, Betriebsunterbrechungsschäden, Cyber-Erpressung – und DSGVO-Bußgelder.
Das Problem steckt in den Ausschlussklauseln.
Typische Ausschlüsse:
1. Vorsatz und grobe Fahrlässigkeit
Fast alle Policen schließen Schäden durch grob fahrlässiges Verhalten aus. Der Knackpunkt: Nutzen Sie bewusst US-Cloud-Dienste für personenbezogene Daten, obwohl Sie über den Cloud Act und die DSGVO-Problematik informiert wurden, kann das als grobe Fahrlässigkeit gewertet werden.
Die Allianz formuliert: „Ausgeschlossen sind Schäden, die durch vorsätzliche oder grob fahrlässige Verstöße gegen gesetzliche Bestimmungen verursacht wurden.“
2. Bekannte Mängel
Viele Policen schließen Schäden aus, die auf „zum Zeitpunkt des Vertragsabschlusses bekannten Mängeln“ beruhen. Haben Sie bei Vertragsabschluss bereits US-Tools im Einsatz und wussten um die rechtliche Problematik, kann die Versicherung die Leistung verweigern.
HDI formuliert: „Nicht versichert sind Schäden aus Umständen, die dem Versicherungsnehmer bei Vertragsabschluss bekannt waren oder hätten bekannt sein müssen.“
3. Cloud Act-spezifische Ausschlüsse
Neuere Policen (ab 2023/2024) enthalten teils explizite Ausschlüsse für Schäden durch „Zugriff ausländischer Behörden auf Grundlage ausländischer Gesetze“.
Hiscox formuliert: „Ausgeschlossen sind Schäden durch rechtmäßigen Zugriff staatlicher Behörden auf Daten, sofern dieser Zugriff nach dem Recht des Staates, dem der Dienstleister unterliegt, rechtmäßig ist.“
Was Versicherer tatsächlich zahlen
Die Praxis zeigt ein klares Bild:
Gezahlt wird typischerweise bei:
- Hackerangriffen von außen (Ransomware, Datenlecks durch Cyberattacken)
- Technischen Pannen ohne Verschulden
- Mitarbeiterfehlern (wenn nicht grob fahrlässig)
Nicht gezahlt wird bei:
- Bewusster Nutzung nicht-konformer Tools (US-Cloud trotz Kenntnis)
- Fehlenden grundlegenden Sicherheitsmaßnahmen
- Verstößen gegen bekannte Compliance-Anforderungen
Ein konkreter Fall aus 2024: Ein mittelständisches Handelsunternehmen in Süddeutschland nutzte Microsoft Azure für Kundendaten. Die Datenschutzbehörde verhängte 150.000 Euro Bußgeld wegen unzureichender Schutzmaßnahmen beim Drittlandtransfer.
Die Cyberversicherung verweigerte die Zahlung. Begründung: Das Unternehmen hatte 2022 einen Datenschutzaudit durchführen lassen. Darin stand explizit, dass US-Cloud-Dienste problematisch seien. Das Unternehmen hatte dennoch weitergemacht. Urteil des Versicherers: Grobe Fahrlässigkeit.
Das Unternehmen klagte. Das Landgericht gab dem Versicherer recht: „Wer trotz Kenntnis der rechtlichen Risiken DSGVO-kritische Systeme weiter nutzt, handelt grob fahrlässig.“
Kosten vs. Nutzen
Typische Prämien:
- KMU (10-50 Mitarbeiter): 1.000-3.000 Euro/Jahr für 1 Mio. Euro Deckung
- Mittelstand (50-250 Mitarbeiter): 3.000-10.000 Euro/Jahr für 3 Mio. Euro Deckung
- Größere Unternehmen: 10.000-50.000 Euro/Jahr für 5-10 Mio. Euro Deckung
Seit 2023 steigen die Prämien um 20-40%, weil Versicherer DSGVO-Risiken neu bewerten.
Alternative Rechnung:
Die 5.000 Euro/Jahr für eine Versicherung könnten investiert werden in:
- Migration zu europäischen Tools (einmalig 10.000-15.000 Euro)
- Externe Datenschutzberatung (5.000-10.000 Euro/Jahr)
- Mitarbeiterschulungen (2.000-5.000 Euro/Jahr)
Diese Investitionen verhindern den Schaden, statt ihn zu versichern. Und sie werden nicht durch Ausschlussklauseln ausgehebelt.
Was Datenschutzexperten sagen
Dr. Jan Geert Meents, Partner bei DLA Piper: „Cyberversicherungen sind sinnvoll für unvorhersehbare Risiken wie Hackerangriffe. Aber sie sind kein Ersatz für Compliance. Wer bewusst DSGVO-kritische Systeme nutzt, sollte sich nicht auf Versicherungsschutz verlassen.“
Die Bundesdatenschutzkonferenz stellte 2023 klar: „Versicherungen dürfen nicht dazu führen, dass Unternehmen Compliance-Anforderungen vernachlässigen. Die Verschwiegenheitspflicht und Datenschutzgrundsätze sind nicht versicherbar.“
Was Sie prüfen sollten
Vor Abschluss einer Cyberversicherung:
☐ Lesen Sie die AVB genau – besonders die Ausschlüsse
☐ Fragen Sie explizit: „Sind DSGVO-Bußgelder bei Nutzung von US-Cloud-Diensten gedeckt?“
☐ Klären Sie, was als „grobe Fahrlässigkeit“ gilt
☐ Offenlegungspflichten: Dokumentieren Sie alle Cloud-Dienste bei Vertragsabschluss
☐ Obliegenheiten erfüllen: Regelmäßige Updates, Schulungen, Audits
Die unbequeme Wahrheit
Cyberversicherungen sind kein Freifahrtschein für Non-Compliance. Je schlechter Ihre Compliance, desto unwahrscheinlicher, dass die Versicherung zahlt.
Die Versicherungswirtschaft hat verstanden, dass DSGVO-Bußgelder nicht wie klassische Cyberrisiken sind. Sie sind vorhersehbar und vermeidbar. Wer bekannte Risiken eingeht, handelt fahrlässig. Und Fahrlässigkeit ist meist nicht versichert.
Die Rechnung ist einfach: 5.000 Euro Prämie pro Jahr über drei Jahre = 15.000 Euro. Für dasselbe Geld können Sie zu europäischen Tools migrieren – und brauchen die Versicherung nicht mehr, weil das Risiko nicht mehr besteht.
Fazit: Prävention schlägt Versicherung
Cyberversicherungen sind sinnvoll für unvorhersehbare Ereignisse: Hackerangriffe, technische Pannen, unverschuldete Mitarbeiterfehler. Aber sie sind kein Ersatz für Compliance.
DSGVO-Bußgelder wegen bewusster Nutzung nicht-konformer Systeme fallen typischerweise nicht unter den Versicherungsschutz. Die Ausschlussklauseln sind klar. Versicherer zahlen nicht, wenn Sie wissentlich Risiken eingehen.
Die Empfehlung: Investieren Sie in Prävention, nicht in Versicherung. Wechseln Sie zu europäischen Tools. Dann brauchen Sie die Versicherung nicht – weil das Risiko gar nicht erst entsteht.