Cyber-Drittschaden: Wenn dein Datenleck zum teuren Haftungsfall wird

Du speicherst Kundendaten — und damit trägst du Verantwortung. Was passiert, wenn diese Daten in falsche Hände geraten? Hier erfährst du alles über Cyber-Drittschäden, deine Haftung und wie die richtige Gewerbeversicherung dich schützt.

Was ist ein Cyber-Drittschaden? Die Definition

Der Begriff Cyber-Drittschaden bezeichnet alle Schäden, die durch einen Cyberangriff oder ein Datenleck bei Dritten entstehen — also bei deinen Kunden, Lieferanten oder Geschäftspartnern. Im Gegensatz dazu steht der Cyber-Erstschaden, der deinen eigenen Betrieb direkt trifft (zum Beispiel Betriebsunterbrechung oder Wiederherstellungskosten für deine eigenen Systeme).

Konkret bedeutet das: Wenn ein Hacker deine Kundendatenbank knackt und dabei Adressen, Zahlungsinformationen oder Gesundheitsdaten deiner Kunden erbeutet, dann sind deine Kunden die Geschädigten — und du stehst als Verursacher in der Pflicht. Genau hier greift der Cyber-Drittschaden-Schutz einer modernen Gewerbeversicherung.

Für datenverarbeitende Betriebe — und das sind heute fast alle Selbständigen und Gewerbetreibenden — ist die Definition von Cyber-Drittschaden deshalb keine abstrakte Versicherungsfachsprache, sondern bittere Praxis. Ob du als Kosmetikerin Kundentermine digital verwaltest, als Gastronom ein Kassensystem mit Kundendaten betreibst oder als Akustiker Patientendaten speicherst: Du bist potenziell haftbar, wenn diese Daten abhandenkommen.

Warum Kleinbetriebe besonders gefährdet sind

Viele Selbständige und Kleingewerbetreibende denken, Cyberkriminalität sei ein Problem großer Konzerne. Das ist ein gefährlicher Irrtum. Studien zeigen, dass mehr als die Hälfte aller Cyberangriffe auf kleine und mittelständische Unternehmen abzielt — einfach weil dort die IT-Sicherheit oft lückenhaft ist.

Ein Restaurant, das Reservierungen über eine App annimmt, speichert Namen, Telefonnummern und E-Mail-Adressen. Eine Massage-Praxis führt digitale Gesundheitsakten. Ein Optiker legt Kundendaten mit Sehstärke und Krankenversicherungsinformationen an. All das sind sensible Daten, für deren Schutz du als Betreiber verantwortlich bist — und zwar nicht nur moralisch, sondern rechtlich verbindlich nach der Datenschutz-Grundverordnung (DSGVO).

Die DSGVO unterscheidet dabei nicht nach Betriebsgröße. Ob du fünf oder fünftausend Kunden hast — die Pflichten sind dieselben. Und die Konsequenzen bei Verstößen können existenzbedrohend sein.

 🎯

Häufiges Angriffsziel

Kleinbetriebe werden überdurchschnittlich oft Opfer von Phishing, Ransomware und Datenlecks — weil die Schutzmaßnahmen oft minimal sind.

📋

DSGVO gilt für alle

Die Datenschutz-Grundverordnung macht keinen Unterschied zwischen Großkonzern und Einzelunternehmer. Jeder Betrieb, der Kundendaten verarbeitet, ist verpflichtet.

💸

Finanzielle Folgen

DSGVO-Bußgelder, Schadensersatzforderungen und Anwaltskosten können schnell in die Zehntausende gehen — ohne Versicherungsschutz oft ein Ruin.

Die drei großen Haftungsrisiken beim Cyber-Drittschaden

Wenn es bei dir zu einem Datenleck kommt, drohen dir gleich mehrere Arten von finanziellen Forderungen. Diese solltest du kennen — denn sie können sich im schlimmsten Fall addieren.

⚖️

1. DSGVO-Bußgelder

Die Datenschutzbehörden können bei Verstößen gegen die DSGVO empfindliche Bußgelder verhängen. Die Höhe richtet sich nach der Schwere des Verstoßes, der Art der betroffenen Daten und der Frage, ob du ausreichende Schutzmaßnahmen getroffen hattest. Für schwere Verstöße sind Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes möglich. Auch für kleine Betriebe wurden bereits Bußgelder im fünf- und sechsstelligen Bereich verhängt. Wichtig: Eine gute Cyber-Versicherung kann auch Bußgelder übernehmen, soweit dies gesetzlich zulässig ist.

😔

2. Schmerzensgeld

Seit dem EuGH-Urteil von 2023 ist klar: Betroffene Personen können bei DSGVO-Verstößen Schmerzensgeld verlangen — auch ohne konkreten materiellen Schaden. Der bloße Kontrollverlust über die eigenen Daten reicht als Begründung aus. Bei einem Datenleck mit vielen betroffenen Kunden können sich die Einzelforderungen zu einer enormen Gesamtsumme addieren. Stell dir vor, 200 Kunden fordern je 500 Euro Schmerzensgeld — das sind 100.000 Euro allein für diesen Posten.

🔍

3. Schadensersatz

Zusätzlich zum Schmerzensgeld können Betroffene konkreten Schadensersatz geltend machen. Das umfasst zum Beispiel Kosten für Kreditkartensp­errungen, Identitätsdiebstahl-Schäden, entgangene Gewinne oder Aufwendungen für die Wiederherstellung ihrer Identität. Auch Unternehmen, die durch dein Datenleck geschädigt wurden — etwa weil Geschäftsgeheimnisse abgeflossen sind — können Schadensersatz fordern. Diese Forderungen sind oft schwer vorherzusagen und können sich über Jahre hinziehen.

🏛️

4. Anwalts- und Verfahrenskosten

Selbst wenn du letztlich nicht haftest, entstehen durch Abmahnungen, Klagen und behördliche Verfahren erhebliche Anwalts- und Gerichtskosten. Die Verteidigung gegen DSGVO-Klagen ist komplex und teuer. Ohne Rechtsschutz im Rahmen deiner Cyber-Versicherung musst du diese Kosten aus eigener Tasche zahlen — oft schon bevor überhaupt ein Urteil gesprochen wurde.

Praxisbeispiel: Das Datenleck in der Kosmetik-Praxis

Stell dir vor, du betreibst ein kleines Kosmetikstudio mit 300 Stammkunden. Du nutzt eine günstige Buchungssoftware, die Kundendaten inklusive Behandlungsnotizen und Zahlungsinformationen speichert. Eines Tages wird der Server des Software-Anbieters gehackt — und damit auch deine Kundendaten.

Was passiert jetzt? Zunächst bist du nach DSGVO Artikel 33 verpflichtet, den Vorfall innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde zu melden. Dann müsstest du alle betroffenen Kunden informieren (Artikel 34 DSGVO). Schon dieser Prozess kostet Zeit, Nerven und Geld — für Anwaltsberatung, Kommunikation und Verwaltungsaufwand.

Anschließend drohen:

  • Ein DSGVO-Bußgeld der Behörde — zum Beispiel 15.000 Euro, weil du keine ausreichenden technischen Schutzmaßnahmen nachweisen konntest
  • Schadensersatzforderungen von 50 Kunden, die nachweisen können, dass ihre Kreditkartendaten missbraucht wurden — je 800 Euro, macht 40.000 Euro
  • Schmerzensgeld von weiteren 100 Kunden à 300 Euro — weitere 30.000 Euro
  • Anwaltskosten für deine Verteidigung: 8.000 Euro

Gesamtschaden: rund 93.000 Euro — für ein kleines Kosmetikstudio potenziell existenzbedrohend. Ohne Cyber-Versicherung müsstest du das komplett selbst tragen.

Hinweis: Neben dem Cyber-Schutz solltest du auch prüfen, ob deine Betriebshaftpflichtversicherung bereits Basis-Deckungen für Datenschutzverletzungen enthält — viele klassische Policen schließen dies jedoch aus.

Cyber-Drittschaden vs. Cyber-Erstschaden: Der Unterschied

In der Gewerbeversicherung wird zwischen zwei grundsätzlichen Schadenarten unterschieden, die du kennen solltest:

🏢

Cyber-Erstschaden

Betrifft deinen eigenen Betrieb direkt. Typische Beispiele: Kosten für die Wiederherstellung deiner IT-Systeme nach einem Ransomware-Angriff, Betriebsunterbrechungsschäden weil dein System tagelang ausfällt, oder Kosten für IT-Forensik zur Aufklärung des Angriffs. Diese Schäden landen in deiner eigenen Kasse — du bist gleichzeitig Verursacher und Opfer.

👥

Cyber-Drittschaden

Betrifft andere Personen oder Unternehmen, die durch deinen Cybervorfall geschädigt werden. Du bist hier der Verursacher — auch wenn du selbst Opfer eines Angriffs wurdest. Die Haftung gegenüber Dritten bleibt bestehen, unabhängig davon, ob du absichtlich gehandelt hast oder nicht. Der Cyber-Drittschaden ist der haftungsrechtlich kritischere Teil, weil die Forderungen von außen kommen und kaum kontrollierbar sind.

Eine vollständige Cyber-Versicherung deckt idealerweise beide Bereiche ab. Achte beim Vergleich von Gewerbeversicherungen darauf, dass beide Komponenten enthalten sind — viele günstige Angebote decken nur den Erstschaden ab.

Welche Branchen sind besonders betroffen?

Grundsätzlich ist jeder Betrieb, der Kundendaten digital verarbeitet, von Cyber-Drittschaden-Risiken betroffen. Einige Branchen tragen jedoch ein besonders hohes Risiko, weil sie besonders sensible Datenkategorien verarbeiten oder besonders viele Kundendaten häufen.

👁️

Optiker & Akustiker

Gesundheitsdaten wie Sehstärke, Hörvermögen und Krankenversicherungsinformationen gehören zu den besonders schützenswerten Datenkategorien nach DSGVO Artikel 9. Ein Datenleck hier hat besonders schwere rechtliche Konsequenzen.

💆

Kosmetik & Massage

Behandlungsnotizen, Körperinformationen und Gesundheitsangaben der Kunden sind sensibel. Digitale Buchungssysteme und Kundenverwaltung sind heute Standard — und damit auch das Risiko.

🍽️

Gastronomie & Catering

Restaurants, Cafés und Caterer sammeln Reservierungsdaten, Zahlungsinformationen und bei Lieferdiensten auch Adressen. Kassensysteme und Online-Buchungstools sind beliebte Angriffsziele.

Unabhängig von der Branche gilt: Wenn du auch nur eine E-Mail-Adresse eines Kunden speicherst, bist du Datenverarbeiter im Sinne der DSGVO — und damit potenziell haftbar bei einem Datenleck. Zusätzlich zur Cyber-Versicherung empfiehlt sich ein Blick auf deine Inhaltsversicherung, die bei physischen Schäden an deiner Hardware greift.

Was leistet eine Cyber-Versicherung im Drittschadenfall?

Eine gute Cyber-Versicherung als Teil deiner Gewerbeversicherung übernimmt im Drittschadenfall typischerweise folgende Leistungen:

Haftpflichtschutz

Die Versicherung übernimmt berechtigte Schadensersatz- und Schmerzensgeldansprüche Dritter bis zur vereinbarten Deckungssumme. Unberechtigte Ansprüche werden auf deine Kosten abgewehrt.

DSGVO-Unterstützung

Viele Policen enthalten Unterstützung bei der Meldepflicht gegenüber Datenschutzbehörden und übernehmen Kosten für Rechtsberatung im Zusammenhang mit DSGVO-Verfahren.

Rechtskosten

Anwalts-, Gerichts- und Gutachterkosten im Zusammenhang mit dem Datenleck werden übernommen — sowohl für die Verteidigung gegen Klagen als auch für behördliche Verfahren.

Krisenmanagement

Einige Versicherer stellen nach einem Vorfall sofort ein Expertenteam zur Verfügung: IT-Forensiker, PR-Berater und Juristen helfen dir, den Schaden zu begrenzen und korrekt zu kommunizieren.

Wichtig beim Vergleich: Achte auf die Deckungssumme, die Selbstbeteiligung und den genauen Leistungsumfang. Nicht jede Police deckt alle vier Haftungsrisiken vollständig ab. Manche schließen zum Beispiel Schäden durch Mitarbeiterfehler oder Cloud-Dienste Dritter aus.

Häufige Fragen zum Cyber-Drittschaden

Was ist der Unterschied zwischen Cyber-Erstschaden und Cyber-Drittschaden?

Der Cyber-Erstschaden betrifft deinen eigenen Betrieb — also zum Beispiel Kosten für die Wiederherstellung deiner IT-Systeme oder Betriebsausfallschäden nach einem Hackerangriff. Der Cyber-Drittschaden hingegen bezeichnet Schäden, die durch deinen Cybervorfall bei anderen entstehen — also bei deinen Kunden, Lieferanten oder Geschäftspartnern. Typische Cyber-Drittschäden sind Schadensersatzforderungen von Kunden nach einem Datenleck, DSGVO-Bußgelder oder Schmerzensgeldansprüche. Eine vollständige Cyber-Versicherung sollte beide Bereiche abdecken.

Bin ich als Kleingewerbetreibender wirklich von der DSGVO betroffen?

Ja, absolut. Die DSGVO gilt für jeden Betrieb, der personenbezogene Daten verarbeitet — unabhängig von der Unternehmensgröße. Schon das Speichern von Kundenadressen in einer Excel-Tabelle oder das Nutzen einer digitalen Buchungssoftware macht dich zum Datenverarbeiter im Sinne der DSGVO. Bei einem Datenleck haftest du gegenüber den betroffenen Personen und kannst mit Bußgeldern der Datenschutzbehörde belegt werden. Es gibt keine Ausnahme für Kleinstbetriebe oder Soloselbständige.

Wie hoch können DSGVO-Bußgelder für kleine Betriebe sein?

Theoretisch können DSGVO-Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen. In der Praxis orientieren sich die Datenschutzbehörden bei kleinen Betrieben an der Schwere des Verstoßes und der wirtschaftlichen Leistungsfähigkeit. Dennoch wurden auch gegen kleine Unternehmen bereits Bußgelder im fünfstelligen Bereich verhängt — zum Beispiel wenn nachgewiesen werden konnte, dass keine angemessenen technischen Schutzmaßnahmen vorhanden waren. Zusätzlich zu den Bußgeldern kommen Schadensersatz- und Schmerzensgeldansprüche der betroffenen Personen.

Können meine Kunden wirklich Schmerzensgeld von mir verlangen, wenn ihre Daten geleakt wurden?

Ja. Der Europäische Gerichtshof hat 2023 entschieden, dass betroffene Personen bei DSGVO-Verstößen Schadensersatz verlangen können — auch ohne konkreten materiellen Schaden. Der bloße Verlust der Kontrolle über die eigenen Daten und die damit verbundene Angst vor Missbrauch reichen als Begründung aus. Die Höhe des Schmerzensgelds variiert je nach Gericht und Einzelfall, liegt aber häufig zwischen 100 und 1.000 Euro pro Person. Bei vielen betroffenen Kunden summiert sich das schnell zu einer existenzbedrohenden Forderung.

Deckt meine Betriebshaftpflicht auch Cyber-Drittschäden ab?

In den meisten Fällen nein. Klassische Betriebshaftpflichtversicherungen schließen Schäden durch Datenverlust oder Datenschutzverletzungen ausdrücklich aus oder decken sie nur in sehr begrenztem Umfang ab. Für einen vollständigen Schutz gegen Cyber-Drittschäden benötigst du eine spezialisierte Cyber-Versicherung oder eine Betriebshaftpflicht mit explizitem Datenschutz-Zusatzbaustein. Prüfe deine bestehende Police genau und vergleiche die Angebote auf FixVersichert.

Was muss ich nach einem Datenleck sofort tun?

Nach einem Datenleck läuft die Uhr: Du hast nach DSGVO Artikel 33 nur 72 Stunden Zeit, um den Vorfall bei der zuständigen Datenschutzbehörde zu melden. Zusätzlich müsstest du die betroffenen Personen informieren, wenn ein hohes Risiko für ihre Rechte besteht. Gleichzeitig solltest du deinen Cyber-Versicherer sofort benachrichtigen — späte Meldungen können den Versicherungsschutz gefährden. Sichere alle Beweise, dokumentiere den Vorfall lückenlos und ziehe sofort einen auf Datenschutzrecht spezialisierten Anwalt hinzu.

Wie finde ich die richtige Cyber-Versicherung für mein Kleingewerbe?

Beim Vergleich von Cyber-Versicherungen im Rahmen deiner Gewerbeversicherung solltest du auf folgende Punkte achten: Ist der Cyber-Drittschaden explizit mitversichert? Wie hoch ist die Deckungssumme (mindestens 500.000 Euro empfohlen)? Gibt es eine Selbstbeteiligung und wie hoch ist sie? Sind DSGVO-Bußgelder mitversichert (soweit gesetzlich zulässig)? Werden auch Schäden durch Mitarbeiterfehler oder Cloud-Dienste Dritter gedeckt? Auf FixVersichert kannst du verschiedene Angebote für dein Gewerbe einfach und schnell vergleichen.

Jetzt Cyber-Schutz für dein Gewerbe vergleichen

Cyber-Drittschäden können deinen Betrieb in den Ruin treiben — aber du musst dieses Risiko nicht ungeschützt tragen. Vergleiche jetzt in wenigen Minuten passende Gewerbeversicherungen mit Cyber-Schutz auf FixVersichert. Kostenlos, unverbindlich und auf deinen Betrieb zugeschnitten.

Jetzt Gewerbeversicherung vergleichen →