Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
D&O Versicherung CybersecurityD&O DeckungslückeGeschäftsführer Versicherung

D&O-Versicherung und Cybersecurity — Deckungslücken erkennen

Warum D&O-Policen bei Cyber-Vorfällen oft nicht zahlen und wie Geschäftsführer die Lücken schließen.

Veröffentlicht: 15. März 2026Letzte Aktualisierung: 20. März 202611 Min. Lesezeit

D&O-Versicherungen weisen bei Cybersecurity-Vorfällen zunehmend Deckungslücken auf — NIS2-Pflichten und AI-Act-Governance verändern die Obliegenheiten von Geschäftsführern und damit den Versicherungsschutz. Für das Keyword D&O Versicherung Cybersecurity ist die Kernfrage deshalb nicht, ob irgendeine Police existiert, sondern welcher Schaden in welcher Police überhaupt gedeckt ist und wo zwischen D&O, Cyber-Police, Bußgeldrecht und dokumentierter Pflichtverletzung eine Lücke entsteht.

Die Kurzantwort lautet: Die D&O deckt klassisch die persönliche Inanspruchnahme von Organmitgliedern wegen Vermögensschäden, Abwehrkosten und bestimmte Innenhaftungsfälle. Der Cyber-Vorfall selbst liegt aber oft außerhalb dieser Logik. Sobald ein Versicherer den Vorgang als IT-Sicherheitsereignis, Datenschutzvorfall, Betriebsunterbrechung oder wissentliche Pflichtverletzung einordnet, verschiebt sich die Diskussion von der D&O zur Cyber-Police oder in einen ungedeckten Zwischenraum. Genau dieser Zwischenraum wird seit Inkrafttreten der Managementpflichten aus der NIS2-Richtlinie und seit Geltung von Art. 4 EU-VO 2024/1689 für Schulung, Governance und Dokumentation größer, nicht kleiner.

Wenn Sie zunächst die persönliche Organhaftung im Grundsatz einordnen wollen, lesen Sie ergänzend Geschäftsführer-Haftung bei KI, Geschäftsführer-Haftung: Persönliche Risiken im AI Act und AI Act CEO Haftung. Dieser Beitrag konzentriert sich enger auf die Versicherungsfrage: Was bleibt bei Cybersecurity-Risiken 2026 tatsächlich in der D&O, was wandert in die Cyber-Police und was bleibt schlimmstenfalls unversichert?

Was eine D&O-Versicherung bei Cybersecurity grundsätzlich abdeckt

Eine D&O-Versicherung deckt nicht den Hackerangriff als solchen, sondern die persönliche Haftung von Geschäftsführern, Vorständen oder Aufsichtsgremien wegen einer behaupteten Pflichtverletzung. Im Cyber-Kontext ist das der erste Denkfehler vieler Unternehmen: Die D&O ist keine IT-Schadenversicherung, sondern eine Managerhaftpflicht.

Klassisch umfasst die D&O drei Bausteine. Erstens übernimmt sie in vielen Policen Abwehrkosten, wenn gegen Organmitglieder Ansprüche erhoben werden. Zweitens deckt sie Vermögensschäden, die aus einer pflichtwidrigen Leitungshandlung oder aus Unterlassen resultieren. Drittens greift sie bei Innenhaftungsansprüchen, also wenn die eigene Gesellschaft später Regress gegen die Geschäftsführung nimmt, etwa nach § 43 GmbHG oder § 93 AktG.

Für Cybersecurity bedeutet das praktisch: Wird der Geschäftsführer nach einem Ransomware-Vorfall persönlich mit dem Vorwurf konfrontiert, keine angemessene Organisation, keine ausreichende Aufsicht, kein Schulungsprogramm und keine dokumentierte Risikoentscheidung etabliert zu haben, kann die D&O grundsätzlich das Haftungsszenario adressieren. Sie ersetzt aber nicht automatisch Forensik, Incident Response, Wiederherstellungskosten, Lösegeldfragen, Drittansprüche von Kunden oder Ertragsausfälle. Diese Positionen liegen typischerweise eher in der Cyber-Police oder außerhalb beider Policen.

Die D&O ist damit vor allem eine Haftungs- und Verteidigungspolice. Sie wird für Geschäftsführer dann relevant, wenn aus einem technischen Sicherheitsvorfall ein persönlicher Vorwurf der Fehlorganisation wird. Wer die Vorstufe dazu verstehen will, sollte auch Sorgfaltspflichten der Geschäftsleitung bei KI, AI-Act-Compliance-Fehler und den operativen Einstieg über die EU AI Act Schulung mitdenken: Versicherungsdeckung beginnt in der Praxis oft schon bei der Frage, was vor dem Vorfall dokumentiert wurde.

Warum Cyber-Ausschlüsse in D&O-Policen zunehmen

Cyber-Ausschlüsse in D&O-Policen nehmen zu, weil Versicherer das systemische Kumulrisiko besser voneinander trennen wollen. Seit 2024 ist in vielen Marktgesprächen erkennbar, dass D&O- und Cyber-Versicherer stärker auf Zuständigkeitsabgrenzung, Sublimits, Prioritätsklauseln und detaillierte Sicherheitsfragebögen achten. Der Markttrend 2024 bis 2026 lässt sich deshalb weniger mit einem einzelnen Standardwortlaut beschreiben als mit einer klaren Richtung: Cyber soll nicht stillschweigend in der D&O mitversichert sein, wenn dafür eigentlich eine Cyber-Police vorgesehen ist.

Typische Klauseln arbeiten mit Formulierungen wie Cyber-Exclusion, Technology Exclusion, Data Exclusion oder Ausschlüssen für Ansprüche „im Zusammenhang mit“ IT-Ausfällen, Datenschutzverletzungen, Malware, unbefugtem Zugriff oder elektronischen Daten. Der praktische Effekt ist oft größer als die Klausel zunächst vermuten lässt. Wenn ein Anspruch sachlich aus einem Cyber-Vorfall hervorgeht, versucht der Versicherer, ihn aus der D&O in die Cyber-Police zu verschieben. Fehlt dort die passende Deckung oder greift ein anderer Ausschluss, entsteht die eigentliche Deckungslücke.

Besonders kritisch sind drei Konstellationen. Erstens sind breit formulierte Kausalitätsklauseln problematisch, weil fast jeder Organhaftungsvorwurf nach einem Incident „im Zusammenhang mit“ einem Cyber-Ereignis steht. Zweitens werden Datenschutz- und Geldbußen häufig gesondert behandelt. Drittens prüfen Versicherer im D&O-Schadenfall deutlich strenger, ob ein Fall noch einfache Fahrlässigkeit oder bereits eine wissentliche Pflichtverletzung darstellt. Für Geschäftsführer ist das deshalb heikel, weil NIS2, BSIG, DSGVO und AI Act die Erwartung an dokumentierte Aufsicht und Schulung sichtbar erhöht haben.

Das heißt nicht, dass jede moderne D&O Cyberfälle pauschal ausschließt. Es heißt aber: Wer die Police seit zwei oder drei Jahren nicht geprüft hat, arbeitet mit hoher Wahrscheinlichkeit mit einem Wortlaut, der im Schadenfall enger ausgelegt wird als intern angenommen. Genau deshalb gehört die Deckungsprüfung heute zu derselben Governance-Linie wie KI-Policy und Freigaben oder die Einordnung von KI-Verordnung vs. DSGVO.

Gap-Analyse: Wo zwischen D&O und Cyber-Police echte Deckungslücken entstehen

Die wichtigste Management-Erkenntnis lautet: Nicht jeder Cyber-Schaden gehört automatisch in die Cyber-Police, und nicht jeder persönliche Haftungsvorwurf bleibt automatisch in der D&O. Entscheidend ist, welcher Anspruch geltend gemacht wird, gegen wen er sich richtet und welche Kausalitäts- oder Ausschlussklauseln beide Policen verwenden.

SzenarioD&O typischer FokusCyber-Police typischer FokusTypische Lücke
Ransomware führt zu Produktionsstillstandpersönliche Inanspruchnahme der Geschäftsleitung wegen OrganisationsversagensForensik, Incident Response, Betriebsunterbrechung, KrisenkommunikationRegress gegen GF bleibt streitig, wenn Cyber-Ausschluss in D&O weit formuliert ist
Datenleck mit KundenklagenAbwehr persönlicher Ansprüche gegen OrganmitgliederDatenschutzvorfall, Benachrichtigung, IT-Forensik, DrittansprücheDSGVO-bezogene Geldbußen und reine Reputationsschäden oft nicht sauber gedeckt
Aufsichtsverfahren wegen unzureichender SicherheitsorganisationVerteidigung der Organe bei behaupteter Pflichtverletzungteilweise Incident-Kosten, selten OrganhaftungKosten der Organverteidigung und behördliche Sanktionen fallen zwischen die Policen
Gesellschaft nimmt Geschäftsführer intern in Regressklassischer Innenhaftungsanspruchmeist kein SchwerpunktD&O prüft scharf auf Wissentlichkeit und bekannte Pflichtverletzung
Lieferantenausfall durch Cyber-Ereignis in der Kettenur bei persönlichem Vorwurf gegen Leitungggf. Eigenschaden, Incident-Kosten, DienstleisterausfallVermögensfolgen ohne klaren Drittanspruch sind häufig unterversichert
NIS2-/BSIG-Pflichten nicht dokumentiertOrganhaftungsfrage, AbwehrkostenCyber-Police verlangt Mindeststandards und kann Obliegenheitsverletzung einwendenBeide Policen verweisen faktisch auf mangelnde Governance

In der Praxis entstehen Lücken besonders oft bei Mischschäden. Ein Vorfall beginnt technisch, weitet sich in Datenschutz, Vertragsrecht, Lieferkette, Aufsicht, PR und Organhaftung aus und wird intern dennoch nur als „Cyberfall“ betrachtet. Versicherungsrechtlich ist das zu grob. Der Forensik-Dienstleister kann gedeckt sein, die Managerverteidigung aber nicht. Oder die D&O zahlt die Abwehrkosten, während Bußgeldstreit, Betriebsunterbrechung und Sanierungskosten offen bleiben.

Für Geschäftsführer ist deshalb nicht die Frage entscheidend, ob eine D&O und eine Cyber-Police gleichzeitig existieren. Entscheidend ist, ob beide Policen in einem abgestimmten Deckungskonzept gelesen wurden. Wer diesen Abgleich nie gemacht hat, hält zwei Versicherungen, deckt aber oft nur die äußeren Schichten des Problems.

NIS2, BSIG und Bußgelder: Sind Sanktionen über D&O versicherbar?

Die vorsichtige, rechtlich saubere Antwort lautet: Nur sehr eingeschränkt, oft gar nicht und nie pauschal. Ob ein Bußgeld im Zusammenhang mit NIS2 oder dem BSIG n.F. über eine D&O versicherbar ist, hängt von mehreren Ebenen ab: der rechtlichen Natur der Sanktion, dem Policy-Wortlaut, der Frage der Zurechnung zum Organ oder zum Unternehmen und den Grenzen des deutschen ordre public.

Ausgangspunkt ist das materielle Recht. Die NIS2-Richtlinie verpflichtet in Art. 20 Richtlinie (EU) 2022/2555, dass Leitungsorgane die Cybersicherheitsmaßnahmen billigen, deren Umsetzung überwachen und hierfür verantwortlich gemacht werden können; zudem sollen sie Schulungen besuchen. Deutschland hat die Umsetzung mit dem am 2. Dezember 2025 verkündeten NIS2-Umsetzungsgesetz in das BSIG n.F. überführt. Seitdem ist klarer als zuvor: Cyber-Governance ist keine reine IT-Aufgabe mehr, sondern Leitungspflicht.

Für die Versicherungsfrage folgt daraus aber nicht automatisch, dass ein NIS2- oder BSIG-Bußgeld über die D&O ersetzt werden muss. Öffentliche Geldbußen dienen aus Sicht der Rechtsordnung der Sanktion und Prävention. Gerade deshalb ist ihre Versicherbarkeit in Deutschland traditionell umstritten und policy-seitig oft ausdrücklich begrenzt. Viele Policen unterscheiden außerdem zwischen der Erstattung von Abwehr- und Verteidigungskosten in einem behördlichen Verfahren einerseits und der eigentlichen Bußgeldzahlung andererseits. Selbst wenn Verteidigungskosten gedeckt sind, heißt das noch nicht, dass die Sanktion selbst versicherbar ist.

Für § 38- oder allgemein BSIG-bezogene Pflichtverstöße ist die praktisch wichtigste Aussage daher: Rechnen Sie nicht mit einem automatischen D&O-Schutz für Bußgelder. Realistischer ist, dass über Deckung für Verteidigungskosten, interne Regressansprüche oder flankierende Vermögensschäden gestritten wird, während die Bußgeldforderung selbst ganz oder teilweise außen vor bleibt. Das gilt erst recht, wenn dem Organ vorgeworfen wird, bekannte Mindeststandards ignoriert, Warnungen nicht umgesetzt oder Schulungs- und Dokumentationspflichten bewusst liegen gelassen zu haben.

Für Geschäftsführer ist diese Einordnung geschäftlich wichtiger als eine scheinbar beruhigende Einzelformulierung im Versicherungsschein. Wer ein Bußgeld erst nach dem Vorfall „mitversichert“ wissen will, hat die falsche Frage zu spät gestellt. Die richtige Frage lautet vorher: Welche regulatorischen Kosten, Verteidigungskosten, Regressrisiken und Eigenschäden sind unter welchem Trigger versichert, und was setzt der Versicherer an dokumentierter Governance voraus?

Wie D&O und Cyber-Police sinnvoll zusammenspielen

D&O und Cyber-Police ergänzen sich nur dann sinnvoll, wenn sie bewusst aufeinander abgestimmt wurden. Ohne diese Abstimmung produziert die Doppellösung häufig keine doppelte Sicherheit, sondern doppelte Zuständigkeitsdiskussion.

Die Cyber-Police ist typischerweise für Incident-Kosten, technische Dienstleister, Datenwiederherstellung, Betriebsunterbrechung, Krisenkommunikation und bestimmte Drittansprüche gebaut. Die D&O ist typischerweise für persönliche Organhaftung, Regress und Verteidigung gegen Pflichtverletzungsvorwürfe gebaut. Sobald beide Policen aneinander vorbeiarbeiten, entstehen drei klassische Konflikte:

  1. Subsidiarität und Priorität. Manche D&O-Wortlaute sehen vor, dass speziellere Versicherungen vorrangig leisten sollen. Die Cyber-Police hält sich umgekehrt bei reiner Organhaftung zurück.
  2. Uneinheitliche Definitionen. Was in der Cyber-Police als Security Failure oder Privacy Event gilt, ist in der D&O nicht deckungsauslösend oder sogar ausgeschlossen.
  3. Unterschiedliche Obliegenheiten. Die Cyber-Police verlangt etwa MFA, Patch-Management, Backups oder Incident-Response-Pläne; die D&O prüft eher Organisationsverschulden, Kenntnis und Wissentlichkeit.

Der saubere Weg ist ein Deckungsmapping pro Szenario. Prüfen Sie nicht abstrakt „Cyber“ oder „D&O“, sondern konkrete Fälle: Ransomware, Datenabfluss, Lieferkettenausfall, NIS2-Aufsicht, interner Regress, Organhaftung wegen fehlender Schulung, AI-Governance-Mängel mit Cyber-Bezug. Wenn Makler, Rechtsberater und Geschäftsleitung für diese Szenarien keinen abgestimmten Deckungsplan vorlegen können, ist der Versicherungseinkauf unvollständig.

Welche Obliegenheiten Versicherer 2026 faktisch erwarten

Versicherer erwarten 2026 keinen perfekten Sicherheitszustand, aber sie erwarten einen nachweisbaren Mindeststandard. Genau hier schließen sich Cybersecurity, NIS2 und AI-Governance. Wer nicht dokumentieren kann, dass Risiken inventarisiert, Verantwortlichkeiten benannt, Entscheidungen protokolliert und betroffene Personen geschult wurden, schwächt sowohl die Cyber-Police als auch die D&O-Verteidigung.

Im NIS2-Umfeld ist dieser Punkt besonders scharf. Die europäische Leitungslogik verlangt nicht nur Technik, sondern Aufsicht, Billigung und Schulung der Leitungsebene. Im AI-Act-Umfeld gilt seit dem 2. Februar 2025 zusätzlich Art. 4 EU-VO 2024/1689: Wer KI-Systeme nutzt, muss für ausreichende KI-Kompetenz sorgen. Kommt es später zu einem Cyber- oder Datenschutzvorfall mit KI-Bezug, fragt der Versicherer deshalb nicht nur nach Firewall und Backup, sondern zunehmend auch nach Governance, Rollenkonzept und Schulungsnachweisen.

Praktisch erwarten Versicherer oder deren Schadenanwälte häufig mindestens diese Nachweise:

  • aktuelle Policen mit abgestimmten Ausschlüssen und Prioritätsklauseln
  • dokumentierte Risikoanalyse und Incident-Response-Struktur
  • Freigabelogik für kritische IT- und KI-Systeme
  • Nachweise zu Management- und Mitarbeiterschulungen
  • Protokolle von Geschäftsleitungsentscheidungen zu Sicherheitsrisiken
  • Dokumentation, wie Mindeststandards kontrolliert und aktualisiert wurden

Gerade der Schulungsnachweis ist strategisch wichtig. Er belegt nicht nur Wissenstransfer, sondern widerlegt im Idealfall den Vorwurf, die Geschäftsleitung habe erkennbare Risiken sehenden Auges ignoriert. Für diesen Teil der Governance helfen intern vor allem KI-Schulungspflicht nach Artikel 4, Artikel-4-Checkliste und die EU AI Act Schulung, wenn Sie ein belastbares Dokumentationsformat brauchen.

Praxistipps für Geschäftsführer: So schließen Sie Deckungslücken

Die erste Maßnahme ist eine Police-Review mit Szenariologik. Lassen Sie D&O und Cyber-Police nicht getrennt, sondern gegen dieselben Fälle prüfen: Ransomware, Lieferkette, Datenschutz, NIS2-Prüfung, interner Regress, KI-gestützter Sicherheitsvorfall. Bitten Sie um eine schriftliche Einordnung, welche Police primär anspringt und wo Ausschlüsse oder Sublimits greifen.

Die zweite Maßnahme ist eine vorbeugende Deckungsanfrage bei typischen Grenzfällen. Gerade bei neuen Governance-Pflichten ist es sinnvoll, mit Makler und Fachanwalt schriftlich zu klären, wie die Police etwa auf Managementschulungen, Dokumentationspflichten oder regulatorische Verfahren reagiert. Ein vor dem Schaden dokumentierter Klärungsversuch ist für die spätere Verteidigung wertvoller als jede mündliche Zusage.

Die dritte Maßnahme ist Compliance-Dokumentation auf Vorstands- oder Geschäftsführungsebene. Halten Sie fest, welche Risiken bekannt waren, welche Maßnahmen beschlossen wurden, welche Budgets freigegeben wurden und wann Managementschulungen stattfanden. Wer das nicht dokumentiert, diskutiert im Schadenfall fast immer aus der Defensive.

Die vierte Maßnahme ist Verzahnung von Cybersecurity und AI Governance. Viele Unternehmen behandeln NIS2 und AI Act als getrennte Projekte. Für Versicherer ist das unpraktisch. Wenn ein KI-Copilot falsch freigegeben, unzureichend abgesichert oder ohne Rollen- und Nutzungsregeln eingeführt wurde, vermischen sich Cyber-, Datenschutz- und Organhaftungsfragen sofort. Genau deshalb sollte der Weg nicht bei isolierten Richtlinien enden, sondern bei einem nachweisbaren Schulungs- und Governance-Standard. Den operativen Einstieg dafür finden Sie auf der Kursseite.

Fazit

D&O-Versicherung und Cybersecurity passen 2026 nur noch dann sauber zusammen, wenn Unternehmen ihre Policen auf reale Haftungsszenarien statt auf Schlagworte prüfen. Die D&O schützt die Geschäftsleitung nicht automatisch vor allen Folgen eines Cyber-Vorfalls, und die Cyber-Police schließt Organhaftung nicht automatisch mit ein. Die gefährlichste Lücke entsteht dort, wo neue Pflichten aus NIS2, BSIG, DSGVO und AI Act die Erwartung an Aufsicht, Schulung und Dokumentation erhöhen, die Policen aber auf dem alten Governance-Niveau geblieben sind.

Wenn Sie diese Lücke schließen wollen, brauchen Sie drei Dinge gleichzeitig: eine belastbare Police-Prüfung, dokumentierte Managemententscheidungen und nachweisbare Schulungen für Geschäftsleitung und betroffene Teams. Für die AI-Act-Seite dieser Governance-Baseline zeigt die EU AI Act Schulung, wie ein dokumentierbarer Mindeststandard mit Abschlusstest und Schulungszertifikat praktisch aufgebaut wird.

Häufige Fragen

Schützt meine D&O-Versicherung bei NIS2?

Nicht automatisch. Die D&O kann Verteidigung und persönliche Haftungsvorwürfe gegen Organmitglieder abdecken, ersetzt aber NIS2- oder BSIG-bezogene Bußgelder nicht pauschal. Entscheidend sind der konkrete Vorwurf, der Policy-Wortlaut und die Frage, ob der Versicherer einen Cyber-Ausschluss oder eine wissentliche Pflichtverletzung einwendet.

Hafte ich als Geschäftsführer persönlich für Cyberangriffe?

Nicht für jeden Angriff automatisch, aber für Organisationsmängel sehr wohl potenziell. Persönliches Risiko entsteht vor allem dann, wenn die Gesellschaft später geltend macht, dass Sicherheitsorganisation, Aufsicht, Schulung oder Dokumentation pflichtwidrig fehlten und dadurch ein Vermögensschaden entstanden ist.

Welche D&O-Ausschlüsse gelten bei Cybersecurity?

Typisch sind Cyber-, Data-, Technology- oder Privacy-bezogene Ausschlüsse sowie Ausschlüsse für wissentlich begangene Pflichtverletzungen. Problematisch sind vor allem breit formulierte Klauseln, die schon Ansprüche „im Zusammenhang mit“ einem Cyber-Vorfall aus der D&O herausdrängen.

Steigen D&O-Prämien durch NIS2?

Die Tendenz geht eher zu strengerem Underwriting, detaillierteren Sicherheitsfragen und klarerer Trennung von D&O- und Cyber-Risiken als zu einem einheitlichen pauschalen Preissprung. Für betroffene Unternehmen zählt weniger der Marktdurchschnitt als das eigene Risikoprofil, die Branche, der Reifegrad der Security-Governance und die vorhandene Dokumentation.

Was muss ich dokumentieren, damit die D&O zahlt?

Sie sollten mindestens Risikoentscheidungen, Zuständigkeiten, Managementbeschlüsse, Schulungsstände, Freigaben kritischer Systeme, Incident-Prozesse und Aktualisierungen Ihrer Sicherheitsmaßnahmen nachvollziehbar dokumentieren. Je besser erkennbar ist, dass die Geschäftsleitung Risiken systematisch gesteuert hat, desto stärker ist die Position gegen den Vorwurf bewusster Untätigkeit.

Dieser Beitrag dient der allgemeinen Orientierung und ersetzt keine Rechtsberatung. Für die Prüfung konkreter Policen, Deckungsausschlüsse und Bußgeldfragen sollten Sie spezialisierten Versicherungs- und IT-Rechtsrat einbeziehen.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →