Deckt die D&O-Police Cyber-bezogene Pflichtverletzungen?

Grundsätzlich ja. Die D&O ist eine Vermögensschadenhaftpflicht für Pflichtverletzungen der Organe — Cyber-Versäumnisse (verspätete Meldung, fehlende Mindestmaßnahmen) sind erfasst, soweit kein Ausschluss greift.

Sind persönliche Bußgelder nach NIS2 versicherbar?

Versicherungsrechtlich sind Bußgelder in Deutschland regelmäßig nicht versicherbar (Verstoß gegen das Sanktionsprinzip). Die D&O kann jedoch die Abwehrkosten übernehmen und in einzelnen Konstellationen freistellen, wenn ausländisches Recht das zulässt.

Was ist eine Serienschadenklausel?

Sie fasst mehrere Schadenmeldungen, die auf dieselbe Ursache zurückgehen, zu einem Versicherungsfall zusammen. Bei Cybervorfällen mit Folgewirkungen (mehrere Pflichtverletzungen aus einer Ursache) bestimmt die Klausel, ob ein oder mehrere Selbstbehalte greifen.

Wann ist die Anzeigepflicht ausgelöst?

Sobald die Geschäftsleitung erstmals Kenntnis von Umständen erlangt, die einen Versicherungsfall begründen können. Bei Cybervorfällen ist das typischerweise mit Bestätigung des Vorfalls erreicht — nicht erst bei einer Inanspruchnahme.

Greift die Police auch nach Ausscheiden?

Bei vereinbarter Nachhaftung ja. Die übliche Nachhaftungsperiode beträgt fünf bis zehn Jahre und sollte beim Wechsel ausdrücklich verlängert werden, weil Cyber-Pflichtverletzungen häufig erst spät bekannt werden.

Was zählt zu den typischen Ausschlüssen?

Vorsätzliche Pflichtverletzung, wissentliche Pflichtverletzung, Bereicherungstatbestände, US-Klagen (je nach Konditionen) und Ansprüche zwischen versicherten Personen (Insured-vs-Insured). Bei Cybervorfällen wird zudem oft auf den Kriegsausschluss geschaut.

D&O-Versicherung nach Cybervorfall: Deckung, Ausschlüsse, Anzeige

Was die D&O leistet

Die D&O-Versicherung ist eine Vermögensschadenhaftpflicht zugunsten der Organmitglieder. Versichert sind Schadensersatzansprüche der eigenen Gesellschaft (Innenhaftung nach § 43 GmbHG, § 93 AktG) und Dritter (Außenhaftung), die auf Pflichtverletzungen in Ausübung der Organtätigkeit beruhen. Im Cyberkontext sind dies typischerweise: Versäumnisse bei der Aufsicht über die IT-Sicherheit, nicht rechtzeitige Meldung eines Vorfalls, unterlassene Krisenmaßnahmen, Fehlentscheidungen bei der Lösegeldfrage.

Deckungsmatrix Cyber-Pflichtverletzung

Schadensart	D&O-Deckung	Hinweis
Innenhaftung der Gesellschaft	gedeckt	Kernfall der D&O.
Abwehrkosten Aufsichtsverfahren	regelmäßig gedeckt	Auch wenn das Bußgeld selbst nicht versicherbar ist.
Persönliches Bußgeld NIS2/DSGVO	grundsätzlich nicht versicherbar	Verstoß gegen Sanktionsprinzip; Auslandsrecht kann abweichen.
Wissentliche Pflichtverletzung	nicht gedeckt	Standardausschluss aller D&O-Bedingungen.
Cyberkrieg / staatlicher Akteur	je nach Klausel	Kriegsausschluss zunehmend in Cyber-Kontext aktiviert.
Insured-vs-Insured	eingeschränkt	Klagen zwischen versicherten Personen oft ausgeschlossen.

Anzeigepflicht und Fristen

Die Anzeigepflicht knüpft an die Kenntnis von Umständen an, die einen Versicherungsfall begründen können. Bei einem Cybervorfall ist diese Schwelle regelmäßig mit Bestätigung des Vorfalls erreicht — also deutlich vor einer tatsächlichen Inanspruchnahme. Wer mit der Anzeige bis zur ersten Klage wartet, riskiert die Berufung des Versicherers auf eine Obliegenheitsverletzung. Praktisch sollte die D&O-Anzeige in den Notfallplan integriert werden, parallel zur NIS2- und DSGVO-Meldung.

Serienschaden und Selbstbehalt

Cybervorfälle erzeugen typischerweise eine Kaskade von Pflichtverletzungen: verspätete Meldung, unzureichende Krisenkommunikation, fehlerhafte Wiederherstellung, anschließende Aufsichtsverfahren. Ob das ein oder mehrere Versicherungsfälle sind, entscheidet die Serienschadenklausel. Die Geschäftsleitung sollte vor Vertragsabschluss prüfen, ob die Klausel weit gefasst ist (ein Versicherungsfall, ein Selbstbehalt) oder eng (jede Pflichtverletzung separat).

Verzahnung mit der Cyberversicherung

D&O und Cyberpolice deckeln unterschiedliche Risiken: Die Cyberpolice kompensiert den Schaden der Gesellschaft (siehe Cyberversicherung), die D&O schützt die Organe persönlich. Beide Verträge sollten miteinander abgestimmt sein, damit es im Ernstfall keine Deckungslücke und keinen Doppelregress gibt.

Häufige Fragen

Deckt die D&O-Police Cyber-bezogene Pflichtverletzungen?: Grundsätzlich ja. Die D&O ist eine Vermögensschadenhaftpflicht für Pflichtverletzungen der Organe — Cyber-Versäumnisse (verspätete Meldung, fehlende Mindestmaßnahmen) sind erfasst, soweit kein Ausschluss greift.
Sind persönliche Bußgelder nach NIS2 versicherbar?: Versicherungsrechtlich sind Bußgelder in Deutschland regelmäßig nicht versicherbar (Verstoß gegen das Sanktionsprinzip). Die D&O kann jedoch die Abwehrkosten übernehmen und in einzelnen Konstellationen freistellen, wenn ausländisches Recht das zulässt.
Was ist eine Serienschadenklausel?: Sie fasst mehrere Schadenmeldungen, die auf dieselbe Ursache zurückgehen, zu einem Versicherungsfall zusammen. Bei Cybervorfällen mit Folgewirkungen (mehrere Pflichtverletzungen aus einer Ursache) bestimmt die Klausel, ob ein oder mehrere Selbstbehalte greifen.
Wann ist die Anzeigepflicht ausgelöst?: Sobald die Geschäftsleitung erstmals Kenntnis von Umständen erlangt, die einen Versicherungsfall begründen können. Bei Cybervorfällen ist das typischerweise mit Bestätigung des Vorfalls erreicht — nicht erst bei einer Inanspruchnahme.
Greift die Police auch nach Ausscheiden?: Bei vereinbarter Nachhaftung ja. Die übliche Nachhaftungsperiode beträgt fünf bis zehn Jahre und sollte beim Wechsel ausdrücklich verlängert werden, weil Cyber-Pflichtverletzungen häufig erst spät bekannt werden.
Was zählt zu den typischen Ausschlüssen?: Vorsätzliche Pflichtverletzung, wissentliche Pflichtverletzung, Bereicherungstatbestände, US-Klagen (je nach Konditionen) und Ansprüche zwischen versicherten Personen (Insured-vs-Insured). Bei Cybervorfällen wird zudem oft auf den Kriegsausschluss geschaut.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.