Zum Hauptinhalt springen
Uebersicht VersicherungenCyberversicherungBerufshaftpflichtD&O VersicherungKFZ-VersicherungHausratversicherungPrivathaftpflichtWohngebaeudeversicherungRechtsschutzversicherungTierhalterhaftpflichtZahnzusatzversicherung
Uebersicht EnergieStromvergleichGasvergleich
Uebersicht TelekommunikationDSL VergleichHandyvertrag Vergleich
Uebersicht FinanzenRatenkredit Vergleich
Uebersicht RatgeberNIS-2 RichtlinieCyber-Risiken fuer KMURansomware-SchutzCEO-Fraud SchutzCyber-NotfallplanGeschaeftsfuehrer HaftungD&O vs Berufshaftpflicht
Glossar
Regulierung

DSGVO-Verstoss: Bussgelder, Haftung und Versicherungsschutz

Veröffentlicht: Aktualisiert:

Das Wichtigste in Kürze

  • DSGVO-Bussgelder bis 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes moeglich
  • Geschaeftsfuehrer koennen persoenlich in Regress genommen werden
  • Bussgelder selbst sind in Deutschland nicht versicherbar
  • Cyberversicherung deckt Rechtsverteidigung, Benachrichtigung und Schadenersatz an Betroffene

Bis zu 20 Millionen EUR oder 4 Prozent des Jahresumsatzes. So hoch koennen DSGVO-Bussgelder ausfallen. Und die Aufsichtsbehoerden machen davon Gebrauch: Allein in Deutschland wurden seit 2018 Hunderte von Bussgeldern verhaengt, auch gegen KMU. Was viele nicht wissen: Der Geschaeftsfuehrer kann persoenlich in Regress genommen werden.

DSGVO-Bussgelder in Deutschland

  • 2023: Ueber 50 Mio. EUR Bussgelder verhaengt
  • Hoechstes Bussgeld: 35 Mio. EUR (H&M)
  • Trend: Steigende Anzahl und Hoehe der Bussgelder
  • Auch KMU zunehmend im Fokus der Aufsichtsbehoerden

DSGVO-Bussgelder: Die Grundlagen

DSGVO-Bussgelder koennen bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes betragen. In Deutschland wurden 2023 ueber 50 Mio. EUR an Bussgeldern verhaengt. Das hoechste deutsche Bussgeld lag bei 35 Mio. EUR gegen H&M.

Die DSGVO sieht zwei Stufen von Bussgeldern vor, je nach Schwere des Verstosses:

KategorieMaximales BussgeldTypische Verstoesse
Weniger schwer (Art. 83 Abs. 4)10 Mio. EUR oder 2% UmsatzTechnische Massnahmen, Auftragsverarbeitung, Datenschutzbeauftragter
Schwer (Art. 83 Abs. 5)20 Mio. EUR oder 4% UmsatzGrundsaetze, Rechtsgrundlagen, Betroffenenrechte, Datenuebermittlung

Faktoren bei der Bussgeldberechnung

Die Aufsichtsbehoerden beruecksichtigen bei der Bemessung:

  • Art, Schwere und Dauer des Verstosses
  • Vorsaetzlichkeit oder Fahrlaessigkeit
  • Massnahmen zur Schadensminderung
  • Frueherer Verstoesse
  • Kooperation mit der Aufsichtsbehoerde
  • Kategorien betroffener Daten
  • Art der Meldung (freiwillig oder durch Beschwerde)

Die haeufigsten DSGVO-Verstoesse bei KMU

1. Fehlende Rechtsgrundlage

Jede Datenverarbeitung braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Haeufige Fehler:

  • Marketing-E-Mails ohne wirksame Einwilligung
  • Tracking ohne Consent
  • Videoüberwachung ohne berechtigtes Interesse
  • Weitergabe von Daten an Dritte ohne Grundlage

2. Unzureichende technische Massnahmen

Art. 32 DSGVO verlangt angemessene technische und organisatorische Massnahmen:

  • Fehlende oder schwache Verschluesselung
  • Unzureichende Zugriffskontrollen
  • Keine regelmaessigen Sicherheitsupdates
  • Fehlende Backups

Zusammenhang mit Cyberversicherung

Technische Sicherheitsmassnahmen schuetzen nicht nur vor DSGVO-Bussgeldern, sondern auch vor Cyberangriffen. Eine Cyberversicherung kann bei der Umsetzung helfen und die Folgekosten von Datenpannen abdecken.

3. Verzoegerte Meldung von Datenpannen

Datenpannen muessen innerhalb von 72 Stunden gemeldet werden. Viele Unternehmen:

  • Erkennen Datenpannen zu spaet
  • Zoegern aus Angst vor Konsequenzen
  • Wissen nicht, was eine meldepflichtige Datenpanne ist

4. Fehlende Auftragsverarbeitungsvertraege

Wer Dienstleister mit Datenverarbeitung beauftragt (Cloud, Newsletter, HR-Software), braucht einen AVV nach Art. 28 DSGVO.

5. Unzureichende Informationspflichten

Datenschutzerklaerungen muessen vollstaendig und verstaendlich sein. Haeufige Maengel:

  • Unvollstaendige Angaben zu Verarbeitungszwecken
  • Fehlende Angaben zu Drittlandsuebermittlungen
  • Keine Nennung der Rechtsgrundlagen

Wer haftet bei DSGVO-Verstoessen?

Haftung des Unternehmens

Primaer haftet das Unternehmen als Verantwortlicher. Bussgelder werden an die juristische Person verhaengt.

Persoenliche Haftung der Geschaeftsfuehrung

Die Geschaeftsfuehrung haftet nicht direkt fuer DSGVO-Bussgelder, kann aber:

  • Vom Unternehmen in Regress genommen werden, wenn Organisationspflichten verletzt wurden
  • Bei der NIS-2-Richtlinie persoenlich haften (siehe NIS-2 Ratgeber)
  • Strafbar handeln bei vorsaetzlichen Verstoessen

Geschaeftsfuehrer-Haftung

Eine D&O Versicherung schuetzt Geschaeftsfuehrer vor Regressanspruechen des eigenen Unternehmens - auch im Zusammenhang mit DSGVO-Verstoessen. Mehr dazu im Ratgeber Geschaeftsfuehrerhaftung.

Haftung des Datenschutzbeauftragten

Der Datenschutzbeauftragte haftet nicht fuer DSGVO-Verstoesse des Unternehmens. Er hat nur eine beratende Funktion und kann nicht fuer Entscheidungen der Geschaeftsleitung verantwortlich gemacht werden.

Versicherungsschutz bei DSGVO-Verstoessen

Was kann versichert werden?

KostenartCyberversicherungD&O Versicherung
DSGVO-BussgelderMeist nicht versicherbarNicht versicherbar
RechtsverteidigungskostenJaJa
Schadenersatz an BetroffeneJaTeilweise
BenachrichtigungskostenJaNein
Forensik / KrisenmanagementJaNein
Regressansprueche gegen GFNeinJa

Warum sind Bussgelder nicht versicherbar?

In Deutschland und vielen anderen Laendern gelten Bussgelder als nicht versicherbar. Die Argumentation:

  • Bussgelder sollen eine Strafe sein und abschreckend wirken
  • Versicherbarkeit wuerde die praev entive Wirkung untergraben
  • Es waere gegen die oeffentliche Ordnung (ordre public)

Achtung: Einige auslaendische Versicherer bieten Bussgeld-Deckung an. Diese Policen sind in Deutschland moeglicherweise nicht durchsetzbar.

So minimieren Sie DSGVO-Risiken

Organisatorische Massnahmen

  1. Datenschutz-Management-System: Dokumentierte Prozesse fuer Datenverarbeitung
  2. Verarbeitungsverzeichnis: Alle Verarbeitungstaetigkeiten dokumentieren
  3. Datenschutzbeauftragter: Ab 20 Mitarbeitern mit regelmaessiger Datenverarbeitung Pflicht
  4. Mitarbeiterschulungen: Regelmaessige Sensibilisierung
  5. Notfallplan: Prozess fuer Datenpannen definieren

Technische Massnahmen

  • Verschluesselung (Transport und Speicherung)
  • Zugriffskontrollen und Berechtigungsmanagement
  • Regelmaessige Sicherheitsupdates
  • Backup-Strategie
  • Logging und Monitoring

Versicherungsschutz

Was tun bei einer Datenpanne?

  1. Sofort handeln: Schaden begrenzen, Zugriffe sperren
  2. Dokumentieren: Was ist passiert? Wann? Welche Daten?
  3. Meldepflicht pruefen: Risiko fuer Betroffene bewerten
  4. Melden: Innerhalb von 72 Stunden an Aufsichtsbehoerde
  5. Betroffene informieren: Bei hohem Risiko erforderlich
  6. Versicherung informieren: Cyberversicherung einschalten
  7. Ursachen beheben: Sicherheitsluecke schliessen

NIS-2 und DSGVO: Doppelte Haftung fuer Geschaeftsfuehrer

Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft. Fuer Geschaeftsfuehrer bedeutet das eine neue Dimension der persoenlichen Haftung: Neben DSGVO-Bussgeldern drohen nun auch NIS-2-Sanktionen von bis zu 10 Mio. EUR oder 2 Prozent des Jahresumsatzes.

Die entscheidende Neuerung: Geschaeftsfuehrer haften persoenlich fuer unzureichende Cybersicherheitsmassnahmen. Unternehmen koennen zudem Regressansprueche gegen ihre eigenen Manager geltend machen, wenn diese fahrlaessig gehandelt haben. Ein Referenz-Urteil aus 2025 bestaetigte bereits, dass Geschaeftsfuehrer und GmbH als Gesamtschuldner fuer DSGVO-Schadensersatz haften koennen.

Doppelte Haftung seit 2025/2026

  • DSGVO: Bussgelder bis 20 Mio. EUR oder 4 % des Jahresumsatzes
  • NIS-2: Bussgelder bis 10 Mio. EUR oder 2 % des Jahresumsatzes
  • Neu: Persoenliche GF-Haftung und Regressansprueche des Unternehmens
  • Registrierungsfrist: Maerz 2026 - verschaerfte Meldepflichten aktiv

Fuer Geschaeftsfuehrer ist die Kombination aus Cyberversicherung und D&O-Versicherung damit wichtiger denn je. Mehr zur NIS-2-Richtlinie erfahren Sie in unserem NIS-2 Ratgeber.

Art. 82 DSGVO: Individuelle Schadensersatzansprueche

Neben Bussgeldern der Aufsichtsbehoerden gewinnt Art. 82 DSGVO zunehmend an Bedeutung: Betroffene koennen individuelle Schadensersatzansprueche geltend machen, wenn ihnen durch einen Datenschutzverstoss ein materieller oder immaterieller Schaden entstanden ist.

Fuer Geschaeftsfuehrer ist das besonders brisant: Ein Urteil aus 2025 bestaetigte, dass der Geschaeftsfuehrer gemeinsam mit der GmbH als Gesamtschuldner haftet. Die Zahl individueller Schadensersatzklagen nach Art. 82 DSGVO steigt deutlich an. Waehrend einzelne Ansprueche oft im Bereich von 1.000 bis 5.000 EUR liegen, koennen Sammelklagen bei groesseren Datenpannen schnell sechsstellige Summen erreichen.

Fazit

DSGVO-Bussgelder sind real, Absicherung ist moeglich

Die Bussgelder selbst sind in Deutschland nicht versicherbar. Aber die Folgekosten, Rechtsverteidigung, Benachrichtigung, Schadenersatz, IT-Forensik, das alles kann eine Cyberversicherung auffangen. Und fuer Regressansprueche gegen die Geschaeftsfuehrung gibt es die D&O-Versicherung.

Wichtiger als jede Versicherung: Datenschutz von Anfang an richtig umsetzen. Das spart Bussgelder, Reputationsschaeden und schlaflose Naechte.

DSGVO-Bussgelder koennen bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes betragen - je nachdem, welcher Betrag hoeher ist. Fuer weniger schwere Verstoesse gilt ein Maximum von 10 Mio. EUR oder 2% des Umsatzes.

Ja, der Geschaeftsfuehrer kann persoenlich haftbar sein, wenn er seine Organisationspflichten verletzt hat - etwa wenn kein angemessenes Datenschutzmanagement implementiert wurde. Die Bussgelder richten sich zwar an das Unternehmen, aber Regressansprueche gegen die Geschaeftsfuehrung sind moeglich.

Die meisten Cyberversicherungen decken DSGVO-Bussgelder nicht direkt, da Bussgelder in vielen Laendern als nicht versicherbar gelten. Aber sie decken oft die Kosten der Verteidigung, Benachrichtigungskosten und Schadenersatzansprueche Betroffener.

Die haeufigsten Verstoesse sind: Fehlende oder unzureichende Rechtsgrundlage fuer die Datenverarbeitung, mangelnde technische Sicherheitsmassnahmen, unzureichende Informationspflichten, fehlende Auftragsverarbeitungsvertraege und verzoegerte Meldung von Datenpannen.

Nicht jede, aber die meisten. Datenpannen muessen innerhalb von 72 Stunden der Aufsichtsbehoerde gemeldet werden, wenn sie ein Risiko fuer die Rechte der Betroffenen darstellen. Bei hohem Risiko muessen auch die Betroffenen informiert werden.

Neben dem Bussgeld selbst entstehen Kosten fuer Rechtsanwaelte, IT-Forensik, Benachrichtigung der Betroffenen und moegliche Schadenersatzforderungen. In der Praxis koennen schon kleinere Verstoesse bei KMU Gesamtkosten von 20.000 bis 100.000 EUR verursachen.

Ja, teilweise. Eine D&O-Versicherung deckt Regressansprueche gegen Geschaeftsfuehrer, wenn dem Unternehmen durch mangelhaften Datenschutz ein Schaden entstanden ist. Bussgelder selbst sind nicht versicherbar, aber Anwalts- und Verteidigungskosten schon.

NIS-2 verschaerft die Anforderungen an IT-Sicherheit, die eng mit dem Datenschutz zusammenhaengt. Unternehmen in NIS-2-Sektoren muessen technische Massnahmen umsetzen, die auch dem DSGVO-Schutz dienen. Ein Cyberangriff kann gleichzeitig einen DSGVO-Verstoss und einen NIS-2-Verstoss darstellen.

Fazit

DSGVO-Bussgelder treffen nicht nur Grosskonzerne. Auch KMU und Freiberufler riskieren empfindliche Strafen, wenn Datenpannen nicht gemeldet oder Betroffenenrechte ignoriert werden. Dokumentieren Sie Ihre Datenschutzmassnahmen und melden Sie Vorfaelle innerhalb von 72 Stunden. Eine Cyberversicherung uebernimmt die Kosten fuer Rechtsberatung und Benachrichtigung.

Schutz bei Datenpannen

Eine Cyberversicherung hilft bei den Folgekosten von Datenpannen - von der Forensik bis zur Benachrichtigung Betroffener.

Zur Cyberversicherung

Verwandte Themen

Cyberversicherung →D&O Versicherung →Geschaeftsfuehrerhaftung →NIS-2 Richtlinie →