§ 38 BSIG GF-Haftung: D&O-Versicherung + Schutz-Plan

Stand: 02.05.2026 · Letzte Prüfung: 02.05.2026· Kategorie: NIS2

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

§ 38 BSIG GF-Innenhaftung seit 06.12.2025 (NIS2UmsuCG in Kraft) — persönlich bei grober Pflichtverletzung
D&O-Versicherung Standard: 1–5 Mio. EUR Deckung; Kosten 1.500–15.000 EUR/Jahr
D&O deckt: Verteidigungskosten, Schadensersatz an Gesellschaft + Dritte (begrenzt)
D&O deckt NICHT: Vorsatz, grobe Fahrlässigkeit, Bußgelder, strafrechtliche Verfolgung
Schutz-Maßnahmen: NIS2-Doku, Compliance-Officer, Schulungen, regelmäßige Audits, Compliance-Bericht an Aufsichtsrat

Hauptartikel: Hauptartikel: NIS2-Umsetzung Deutschland — der vollständige Pillar-Artikel zum Thema.

1. § 38 BSIG-Tatbestand

Geschäftsführer haften persönlich bei grober Pflichtverletzung. Schaden bis 2 Mio. EUR. Plus Bußgeld nach § 60 BSIG.

2. D&O-Versicherung-Standard

1-5 Mio. EUR Deckung. Branchenüblich für GF + Vorstand. Kosten: 1.500-15.000 EUR/Jahr.

3. Was D&O DECKT

Verteidigungskosten (Anwalt, Gericht, Sachverständige)
Zivilrechtlicher Schadensersatz an die Gesellschaft (Innenhaftung)
Begrenzter Schadensersatz an Dritte
PR- und Krisenkommunikations-Kosten (falls mitversichert)

4. Was D&O NICHT deckt

Vorsatz und (in den meisten Policen) grobe Fahrlässigkeit
Bußgelder nach § 60 BSIG, Art. 83 DSGVO etc.
Strafverfahren und strafrechtliche Sanktionen
Ansprüche aus Zeit vor Policen-Beginn (Run-off / Retro)

Fazit: Die D&O-Police ist Ergänzung, kein Ersatz für Compliance.

5. Pflicht-Schutz-Maßnahmen GF

NIS2-Dokumentation pflegen (die 22 Pflicht-Templates)
CISO oder Informationssicherheits-Beauftragten benennen
Schulungs-Nachweise für GF und Belegschaft führen
Regelmäßige interne Audits und Management-Reviews
Quartalsweise Compliance-Bericht an den Aufsichtsrat

6. Sonderfall: Aufsichtsrat

Mitglieder des Aufsichtsrats haften persönlich bei Verletzung ihrer Überwachungspflichten. Eine separate Aufsichtsrats-Endorsement-Klausel auf der D&O-Police ist empfohlen; die Standard-GF-Police erstreckt sich nicht immer auf AR-Mitglieder.

Zusammenfassung

§ 38 BSIG macht NIS2 vom IT-Thema zur persönlichen Finanzfrage der Geschäftsführung. D&O-Versicherung hilft bei Verteidigungskosten und zivilrechtlichen Ansprüchen, nicht aber bei Bußgeldern oder grober Fahrlässigkeit. Die stärkste Verteidigung ist dokumentierte Compliance: 22 Templates aktuell halten, Schulungen nachweisen, Audits durchführen.

Häufig gestellte Fragen

D&O-Pflicht?

Nein, freiwillig. Aber Best-Practice für KMU ab 50 MA.

Was kostet ein Schadens-Fall?

Verteidigung 50-200k EUR, Schadensersatz oft 250-2.000k EUR.

Quellen

Stand: 02.05.2026

BSIG 2025 (konsolidierte Fassung) — § 38, § 60 BSIG (Stand: 02.05.2026)
NIS-2-Umsetzungsgesetz — BGBl. 2025 I Nr. 301 (Stand: 02.05.2026; in Kraft 06.12.2025)
Richtlinie (EU) 2022/2555 (NIS2) — Art. 20 (Geschäftsleitungs-Pflichten) (Stand: 02.05.2026)
BSI-Pressemitteilung — NIS2UmsuCG ab 06.12.2025 in Kraft

Werkzeuge & Selbsttests

NIS2 Readiness-Check Pruefen Sie Ihre NIS2-Reife in 10 Minuten. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. NIS2 Selbsttest Bin ich betroffen? Pruefen Sie Schwellenwerte und Sektoren-Zugehoerigkeit. NIS2 Pflichtmassnahmen-Audit 10 Pflichtmassnahmen aus Paragraph 30 BSIG mit Reifegrad-Bewertung.