Haftung bei Datenschutzverstößen: Wann Geschäftsführer persönlich zahlen

Zuletzt aktualisiert: 27.02.2026 | Lesezeit: 20 Minuten

Ein Bußgeldbescheid der Datenschutzaufsicht, eine Abmahnung vom Wettbewerber, Schadensersatzklagen von Kunden – und plötzlich steht nicht nur die GmbH im Feuer, sondern auch der Geschäftsführer persönlich. Datenschutz klingt für viele nach lästiger Pflichtübung. Bis die Rechnung kommt. Und die landet nicht immer nur auf dem Schreibtisch der Gesellschaft.

Warum Datenschutz ein persönliches Haftungsrisiko für Geschäftsführer ist

Die meisten Geschäftsführer wissen, dass Datenschutz wichtig ist. Was viele unterschätzen: Es geht nicht nur um die GmbH als juristische Person. Die Datenschutz-Grundverordnung (DSGVO) und das nationale Datenschutzrecht schaffen ein Regelwerk, das bei Verstößen Sanktionen in erheblicher Höhe vorsieht. Doch das ist nur die eine Seite. Daneben existiert ein komplexes Geflecht aus gesellschaftsrechtlichen, zivilrechtlichen und sogar strafrechtlichen Haftungsnormen, die den Geschäftsführer als natürliche Person treffen können.

Die Haftungsdimension bei Datenschutzverstößen ist deshalb so gefährlich, weil sie auf mehreren Ebenen gleichzeitig zuschlägt – und weil die Verantwortung des Geschäftsführers nicht einfach an einen Datenschutzbeauftragten oder eine IT-Abteilung delegiert werden kann. Wer als Geschäftsführer einer GmbH die Organisation des Datenschutzes vernachlässigt, riskiert im Ernstfall das eigene Privatvermögen.

Die besondere Stellung des Geschäftsführers

Der GmbH-Geschäftsführer ist gesellschaftsrechtlich zur ordnungsgemäßen Unternehmensführung verpflichtet. Dazu gehört auch die Einhaltung aller gesetzlichen Vorgaben – einschließlich des Datenschutzrechts. Diese sogenannte Legalitätspflicht ist umfassend und lässt sich nicht durch Unwissenheit oder Delegation vollständig abschütteln.

• Legalitätspflicht: Der Geschäftsführer muss sicherstellen, dass die GmbH alle anwendbaren Gesetze einhält – Datenschutz eingeschlossen
• Organisationspflicht: Es reicht nicht, Aufgaben zu delegieren – der Geschäftsführer muss ein funktionierendes System schaffen und überwachen
• Überwachungspflicht: Auch nach Delegation bleibt die Pflicht, die beauftragten Personen und Prozesse regelmäßig zu kontrollieren
• Persönliche Verantwortung: Die Haftungsbeschränkung der GmbH schützt die Gesellschafter – nicht den Geschäftsführer vor persönlichen Pflichtverletzungen

Datenschutz als Chefsache – warum Delegation nicht ausreicht

Die DSGVO kennt den Begriff des „Verantwortlichen" (Controller). In einer GmbH ist das die Gesellschaft selbst. Doch intern ist der Geschäftsführer das Organ, das für die Gesellschaft handelt und ihre Pflichten umsetzt. Zwischen der abstrakten Verantwortung der juristischen Person und der konkreten Handlungspflicht des Geschäftsführers liegen zahlreiche Fallstricke, die nur mit juristischer Fachkenntnis zu navigieren sind.

• Verantwortlicher im Sinne der DSGVO: Die GmbH als juristische Person, vertreten durch den Geschäftsführer
• Innenverhältnis: Im Innenverhältnis schuldet der Geschäftsführer der Gesellschaft die sorgfältige Erfüllung aller Compliance-Pflichten
• Außenverhältnis: Gegenüber Behörden und Betroffenen kann der Geschäftsführer unter bestimmten Voraussetzungen direkt in Anspruch genommen werden
• Rückgriff der GmbH: Zahlt die GmbH ein Bußgeld oder Schadensersatz, kann sie unter Umständen beim Geschäftsführer Regress nehmen

Haftungsebenen: Wo überall Gefahren lauern

Die Haftung bei Datenschutzverstößen ist kein eindimensionales Problem. Sie entfaltet sich auf mehreren Ebenen gleichzeitig, und auf jeder Ebene gelten unterschiedliche Regeln, Beweislastverteilungen und Rechtsfolgen. Das macht die Materie so unüberschaubar – und so gefährlich für Geschäftsführer, die ohne anwaltliche Unterstützung agieren.

Öffentlich-rechtliche Sanktionen: Bußgelder der Aufsichtsbehörden

Die Datenschutzaufsichtsbehörden (in Deutschland auf Landesebene organisiert) haben weitreichende Befugnisse. Sie können Untersuchungen einleiten, Anordnungen treffen und empfindliche Bußgelder verhängen. Die DSGVO sieht einen Bußgeldrahmen vor, der sich am Jahresumsatz des Unternehmens orientiert und Beträge in Millionenhöhe erreichen kann.

• Bußgelder gegen die GmbH: Die Aufsichtsbehörde kann die Gesellschaft mit Geldbußen belegen, die sich an gesetzlich definierten Höchstgrenzen orientieren
• Bußgelder gegen natürliche Personen: Unter bestimmten Voraussetzungen kommen auch Bußgelder direkt gegen den Geschäftsführer in Betracht
• Anordnungen: Die Behörde kann konkrete Maßnahmen anordnen – Verstöße gegen solche Anordnungen verschärfen die Lage erheblich
• Öffentliche Wirkung: Bußgeldverfahren und Anordnungen können öffentlich bekannt werden und erheblichen Reputationsschaden verursachen

Zivilrechtliche Haftung: Schadensersatz und Regress

Die DSGVO räumt Betroffenen einen eigenen Schadensersatzanspruch ein. Dieser umfasst nicht nur materielle Schäden, sondern ausdrücklich auch immaterielle Schäden – also Schmerzensgeld. Die Rechtsprechung hat diesen Anspruch in zahlreichen Entscheidungen konkretisiert, und die Klagewelle wächst stetig.

• Ansprüche Betroffener gegen die GmbH: Kunden, Mitarbeiter, Geschäftspartner – jeder, dessen Daten betroffen sind, kann klagen
• Immaterieller Schadensersatz: Auch ohne bezifferbaren finanziellen Schaden können erhebliche Summen zugesprochen werden
• Regressansprüche der GmbH gegen den Geschäftsführer: Hat die GmbH Schadensersatz geleistet, kann sie den Geschäftsführer in die Pflicht nehmen – persönlich
• Haftung gegenüber Gesellschaftern: Auch Gesellschafter können unter bestimmten Voraussetzungen Ansprüche geltend machen, wenn durch Datenschutzverstöße der Unternehmenswert sinkt

Strafrechtliche Risiken

Neben Bußgeldern und zivilrechtlichem Schadensersatz kann ein Datenschutzverstoß auch strafrechtliche Konsequenzen haben. Das Bundesdatenschutzgesetz enthält Straftatbestände, die bei vorsätzlichem Handeln greifen und Freiheitsstrafe oder Geldstrafe vorsehen. Auch allgemeine Straftatbestände – etwa im Zusammenhang mit dem Ausspähen von Daten oder der Verletzung von Privatgeheimnissen – können relevant werden.

• Spezielle datenschutzrechtliche Strafnormen: Das BDSG sieht eigenständige Straftatbestände vor
• Allgemeine Straftatbestände: Je nach Sachverhalt können weitere Normen des Strafrechts einschlägig sein
• Persönliche Strafbarkeit: Strafrechtlich haftet immer die natürliche Person – eine GmbH kann nicht ins Gefängnis
• Vorsatz und Bereicherungsabsicht: Die strafrechtlichen Normen setzen in der Regel qualifizierte subjektive Merkmale voraus, die im Einzelfall sorgfältig geprüft werden müssen

Wettbewerbsrechtliche Abmahnungen

Datenschutzverstöße können auch von Wettbewerbern aufgegriffen werden. Die Frage, ob und unter welchen Voraussetzungen Datenschutzverstöße gleichzeitig wettbewerbsrechtliche Verstöße darstellen, ist rechtlich hochumstritten und in der Rechtsprechung nicht einheitlich beantwortet. Das bedeutet für Unternehmen eine zusätzliche Unsicherheit.

• Abmahnungen von Mitbewerbern: Wettbewerber können Datenschutzverstöße als unlauteren Wettbewerb werten und kostenpflichtig abmahnen
• Abmahnungen von Verbraucherschutzverbänden: Auch qualifizierte Einrichtungen können bei bestimmten Datenschutzverstößen abmahnen und klagen
• Unterlassungserklärungen: Wer eine Unterlassungserklärung abgibt und erneut verstößt, riskiert empfindliche Vertragsstrafen
• Einstweilige Verfügungen: Gerichte können im Eilverfahren vorläufige Maßnahmen anordnen

Typische Datenschutzverstöße, die Geschäftsführer in die Haftung treiben

Datenschutzverstöße passieren nicht nur bei spektakulären Hackerangriffen. Im Gegenteil: Die häufigsten und teuersten Verstöße entstehen im Alltag, durch mangelhafte Organisation, veraltete Prozesse oder schlichten Leichtsinn. Und genau diese alltäglichen Verstöße sind es, die Aufsichtsbehörden besonders scharf sanktionieren – weil sie vermeidbar gewesen wären.

Organisationsversagen und fehlende Strukturen

Die DSGVO verlangt von Unternehmen nicht nur die Einhaltung einzelner Vorschriften, sondern den Aufbau einer umfassenden Datenschutzorganisation. Fehlt diese Organisation oder ist sie nur auf dem Papier vorhanden, liegt darin bereits ein eigenständiger Verstoß – unabhängig davon, ob es überhaupt zu einer konkreten Datenpanne gekommen ist.

• Fehlendes Verarbeitungsverzeichnis: Bereits das Fehlen dieser gesetzlich vorgeschriebenen Dokumentation ist bußgeldbewehrt
• Keine oder unzureichende Auftragsverarbeitungsverträge (AVV): Wer personenbezogene Daten durch externe Dienstleister verarbeiten lässt, braucht korrekte vertragliche Grundlagen
• Fehlende Datenschutzerklärung oder veraltete Versionen: Ein Klassiker, der Bußgelder und Abmahnungen nach sich zieht
• Keine oder fehlerhafte Einwilligungsprozesse: Wenn die rechtliche Grundlage für die Datenverarbeitung fehlt, ist jede einzelne Verarbeitung rechtswidrig
• Unzureichende technische und organisatorische Maßnahmen: Die DSGVO verlangt ein dem Risiko angemessenes Schutzniveau – was das konkret bedeutet, ist einzelfallabhängig und komplex

Datenpannen und Meldepflichtverletzungen

Wenn es zu einer Datenpanne kommt – etwa durch einen Hackerangriff, einen verlorenen Laptop oder eine versehentlich versandte E-Mail an den falschen Empfänger –, löst das eine Kaskade von Pflichten aus. Innerhalb gesetzlich festgelegter, sehr kurzer Fristen muss die Aufsichtsbehörde informiert werden, unter Umständen auch die betroffenen Personen. Wer diese Fristen versäumt oder die Meldung fehlerhaft abgibt, begeht einen eigenständigen Verstoß – zusätzlich zur eigentlichen Datenpanne.

• Meldepflicht an die Aufsichtsbehörde: Die Frist ist äußerst knapp und beginnt mit Kenntniserlangung
• Benachrichtigungspflicht gegenüber Betroffenen: Bei hohem Risiko müssen auch die betroffenen Personen informiert werden
• Dokumentationspflicht: Jede Datenpanne muss vollständig dokumentiert werden – auch wenn keine Meldepflicht besteht
• Doppeltes Bußgeldrisiko: Sowohl die Datenpanne selbst als auch die unterlassene oder verspätete Meldung können jeweils eigenständig sanktioniert werden

Verstöße bei der Verarbeitung von Mitarbeiterdaten

Der Beschäftigtendatenschutz ist ein Bereich, in dem besonders viele Fehler passieren. Von der Bewerberdatenverarbeitung über die Videoüberwachung am Arbeitsplatz bis zur Auswertung von E-Mails oder Browserverläufen – die Grenzen dessen, was erlaubt ist, sind eng gezogen und werden von der Rechtsprechung kontinuierlich weiterentwickelt.

• Bewerberdaten: Umgang mit Bewerbungen, Aufbewahrung und Löschung unterliegen strengen Regeln
• Mitarbeiterüberwachung: GPS-Tracking, Videoüberwachung oder Kontrolle des E-Mail-Verkehrs – vieles davon ist nur unter engen Voraussetzungen zulässig
• Gesundheitsdaten: Besonders sensible Daten erfordern besonders hohe Schutzstandards
• Betriebsrat und Datenschutz: Wo ein Betriebsrat existiert, gelten zusätzliche Mitbestimmungsrechte bei Datenverarbeitungen

Internationaler Datentransfer und Drittstaaten

Sobald personenbezogene Daten an Empfänger außerhalb des Europäischen Wirtschaftsraums übermittelt werden – was bei der Nutzung vieler gängiger Cloud-Dienste, Analysetools oder CRM-Systeme praktisch unvermeidbar ist –, gelten besonders strenge Anforderungen. Der internationale Datentransfer ist eines der komplexesten Themen im Datenschutzrecht und hat bereits zu einigen der höchsten Bußgelder in Europa geführt.

• Rechtsgrundlage für den Transfer: Ohne eine tragfähige rechtliche Grundlage ist jede Übermittlung in Drittstaaten rechtswidrig
• Standardvertragsklauseln: Diese müssen korrekt implementiert und durch zusätzliche Maßnahmen ergänzt werden
• Angemessenheitsbeschlüsse: Die politische und rechtliche Lage in bestimmten Drittstaaten kann sich ändern, was bestehende Grundlagen entfallen lässt
• Technische Zusatzmaßnahmen: Häufig reichen vertragliche Garantien allein nicht aus – es bedarf technischer Absicherung, deren Ausgestaltung hoch individuell ist

Die Innenhaftung: Wenn die eigene GmbH den Geschäftsführer verklagt

Das für viele Geschäftsführer überraschendste Szenario: Die GmbH selbst nimmt den Geschäftsführer auf Schadensersatz in Anspruch. Dies geschieht typischerweise nach einem Geschäftsführerwechsel, im Rahmen eines Gesellschafterstreits oder wenn eine D&O-Versicherung (Vermögensschadenhaftpflichtversicherung für Organe) involviert ist.

Voraussetzungen und Beweislast

Die gesellschaftsrechtliche Innenhaftung des GmbH-Geschäftsführers folgt eigenen Regeln. Besonders tückisch ist die Beweislastverteilung: Steht fest, dass die GmbH einen Schaden erlitten hat – etwa durch ein Bußgeld oder Schadensersatzzahlungen aufgrund eines Datenschutzverstoßes –, muss im Regelfall der Geschäftsführer beweisen, dass er seine Sorgfaltspflichten eingehalten hat. Das ist eine Umkehr der üblichen Darlegungs und Beweislast, die den Geschäftsführer massiv belastet.

• Pflichtverletzung: Die Nichteinhaltung datenschutzrechtlicher Vorgaben stellt regelmäßig eine Pflichtverletzung dar
• Schaden der Gesellschaft: Bußgelder, Schadensersatzzahlungen, Beratungskosten, Reputationsverluste – der Schaden kann vielschichtig sein
• Beweislastumkehr: Der Geschäftsführer muss beweisen, dass er ordnungsgemäß gehandelt hat – nicht umgekehrt
• Verschuldensmaßstab: Bereits einfache Fahrlässigkeit genügt für die Haftung

Wann der Regress droht

Der Regressanspruch der GmbH gegen ihren Geschäftsführer ist in der Praxis keine theoretische Konstruktion. Er wird regelmäßig geltend gemacht – insbesondere in folgenden Konstellationen:

• Nach Abberufung: Ein neuer Geschäftsführer oder die Gesellschafter prüfen die Amtsführung des Vorgängers und entdecken Datenschutzverstöße
• Im Gesellschafterstreit: Datenschutzverstöße werden als Argument genutzt, um die Abberufung zu rechtfertigen und Schadensersatzansprüche zu begründen
• Bei Insolvenz: Der Insolvenzverwalter prüft systematisch Haftungsansprüche gegen ehemalige Geschäftsführer
• D&O-Versicherung: Wenn eine D&O-Versicherung besteht, wird sie häufig gezielt durch Regressforderungen der GmbH aktiviert – was die Hemmschwelle senkt

Die Außenhaftung: Direkte Inanspruchnahme des Geschäftsführers

Neben dem Regress der eigenen Gesellschaft besteht in bestimmten Konstellationen auch die Möglichkeit, dass Dritte den Geschäftsführer direkt und persönlich in Anspruch nehmen. Diese Außenhaftung ist zwar an engere Voraussetzungen geknüpft als die Innenhaftung, aber sie existiert – und die Fälle, in denen sie relevant wird, nehmen zu.

Direkte Haftung gegenüber Betroffenen

Die Frage, ob und wann Geschäftsführer unmittelbar gegenüber den von einem Datenschutzverstoß betroffenen Personen haften, ist rechtlich komplex und in der Rechtsprechung noch nicht abschließend geklärt. Es gibt verschiedene rechtliche Anknüpfungspunkte, die im Einzelfall geprüft werden müssen.

• DSGVO-Anspruch: Der datenschutzrechtliche Schadensersatzanspruch richtet sich zunächst gegen den Verantwortlichen – also die GmbH. Eine direkte Haftung des Geschäftsführers ist damit nicht automatisch verbunden
• Deliktische Haftung: Unter bestimmten Voraussetzungen kann der Geschäftsführer auch nach allgemeinem Deliktsrecht persönlich haften
• Garantenstellung: In bestimmten Konstellationen kann eine persönliche Garantenstellung des Geschäftsführers begründet werden
• Durchgriffshaftung: In Ausnahmefällen kann der Haftungsschirm der GmbH durchbrochen werden

Haftung gegenüber der Aufsichtsbehörde

Die DSGVO richtet ihre Bußgeldvorschriften primär an „Verantwortliche und Auftragsverarbeiter" – also die Unternehmen. Daneben sieht das nationale Recht jedoch Regelungen vor, die auch natürliche Personen in die persönliche Bußgeldhaftung einbeziehen können. Die Abgrenzung ist im Einzelfall schwierig und hängt von der konkreten Pflichtverletzung, der Funktion der handelnden Person und den Umständen ab.

• Bußgeld gegen die GmbH: Der Regelfall – aber mit Regressrisiko für den Geschäftsführer im Innenverhältnis
• Bußgeld gegen den Geschäftsführer persönlich: Unter bestimmten Voraussetzungen möglich und in der Praxis vorkommend
• Ordnungswidrigkeitenrechtliche Zurechnung: Die Handlungen oder Unterlassungen des Geschäftsführers können der GmbH zugerechnet werden – und umgekehrt kann die Verantwortung des Geschäftsführers eigenständig begründet werden

Bußgeldrisiken: Was auf dem Spiel steht

Die DSGVO hat die Bußgeldrahmen im Datenschutzrecht dramatisch erhöht. Die Zeiten, in denen Datenschutzverstöße mit vierstelligen Beträgen geahndet wurden, sind endgültig vorbei. Die Aufsichtsbehörden nutzen den ihnen eingeräumten Spielraum zunehmend aus, und die Bußgeldpraxis wird von Jahr zu Jahr strenger.

Der gesetzliche Bußgeldrahmen

Die DSGVO sieht zwei Bußgeldstufen vor, die sich nach der Art des Verstoßes richten. In beiden Fällen können die Beträge für mittelständische Unternehmen existenzbedrohend sein. Die genaue Berechnung folgt einem komplexen Verfahren, bei dem zahlreiche Faktoren berücksichtigt werden.

• Umsatzabhängige Berechnung: Die Höchstbeträge orientieren sich am Vorjahresumsatz des Unternehmens – bei Konzernen unter Umständen am Konzernumsatz
• Zwei Bußgeldstufen: Je nach Art des Verstoßes gelten unterschiedliche Höchstgrenzen
• Verhältnismäßigkeit: Das Bußgeld muss wirksam, verhältnismäßig und abschreckend sein
• Zahlreiche Bemessungsfaktoren: Art, Schwere und Dauer des Verstoßes, Zahl der Betroffenen, erlittener Schaden, Vorsatz oder Fahrlässigkeit, ergriffene Gegenmaßnahmen und vieles mehr fließen in die Bemessung ein

Bußgeldpraxis der deutschen Aufsichtsbehörden

Die deutschen Datenschutzaufsichtsbehörden haben in den letzten Jahren Bußgelder in zum Teil erheblicher Höhe verhängt – gegen Konzerne ebenso wie gegen mittelständische Unternehmen und Einzelunternehmer. Die Aufsichtsbehörden koordinieren sich dabei zunehmend europaweit und nutzen einheitliche Berechnungsmethoden.

• Kein Schutz durch Unternehmensgröße: Auch kleine und mittlere Unternehmen werden mit empfindlichen Bußgeldern belegt
• Schwerpunktthemen: Die Behörden setzen regelmäßig thematische Schwerpunkte bei ihren Prüfungen
• Anlasslose Prüfungen: Die Aufsichtsbehörden dürfen auch ohne konkreten Anlass prüfen
• Beschwerdegetriebene Verfahren: Häufig werden Verfahren durch Beschwerden von Betroffenen, ehemaligen Mitarbeitern oder Wettbewerbern ausgelöst

Warum „wir machen das intern" regelmäßig schiefgeht

Viele Unternehmen – gerade im Mittelstand und bei Startups – versuchen, Datenschutz intern zu lösen: mit dem IT-Leiter, einer Vorlage aus dem Internet oder einem Datenschutzbeauftragten, der die Aufgabe „nebenbei" erledigt. Die Erfahrung zeigt: Genau in diesen Fällen sind die Haftungsrisiken am größten, weil strukturelle Fehler entstehen, die sich über Jahre aufbauen und erst bei einer Prüfung oder Datenpanne offenbar werden.

Die Komplexität der DSGVO

Die DSGVO umfasst nicht nur die weithin bekannten Grundprinzipien. Sie enthält ein dichtes Netz aus Anforderungen, die je nach Branche, Unternehmensgröße, Art der verarbeiteten Daten und Geschäftsmodell unterschiedlich zu gewichten und umzusetzen sind. Dazu kommen nationale Regelungen, Leitlinien der Aufsichtsbehörden und eine rasant wachsende Rechtsprechung.

• Branchenspezifische Anforderungen: Für Gesundheitsdaten, Finanzdaten oder Telekommunikationsdaten gelten Sonderregelungen
• Technologieabhängige Pflichten: KI-Einsatz, Cloud-Computing, IoT-Geräte – jede Technologie bringt eigene datenschutzrechtliche Herausforderungen mit sich
• Ständige Weiterentwicklung: Die Aufsichtsbehörden und Gerichte entwickeln die Anforderungen laufend weiter
• Europäische Dimension: Wer grenzüberschreitend tätig ist, muss die Besonderheiten der jeweiligen nationalen Umsetzung beachten

Typische Fehlerquellen bei der internen Umsetzung

Die Fehlerquellen bei der internen Datenschutzumsetzung sind zahlreich und für Laien häufig nicht erkennbar. Viele Fehler wirken auf den ersten Blick harmlos, können aber bei einer behördlichen Prüfung oder im Schadensfall zu erheblichen Haftungsfolgen führen.

• Copy-Paste-Datenschutzkonzepte: Vorlagen aus dem Internet passen nicht zum konkreten Unternehmen und erzeugen ein falsches Sicherheitsgefühl
• Formale statt gelebte Compliance: Dokumente existieren, werden aber nicht umgesetzt oder aktualisiert
• Fehlende Risikoanalyse: Ohne individuelle Analyse der Verarbeitungstätigkeiten fehlt die Grundlage für angemessene Schutzmaßnahmen
• Unzureichende Schulung: Mitarbeiter kennen die Regeln nicht und verursachen unbeabsichtigt Verstöße
• Fehlende Datenschutz-Folgenabschätzung: Für bestimmte Verarbeitungstätigkeiten gesetzlich vorgeschrieben, in der Praxis häufig unterlassen

Die Grenze zwischen Beratung und Verantwortung

Ein weiteres Missverständnis betrifft die Rolle des internen oder externen Datenschutzbeauftragten. Dieser berät und überwacht – aber er entscheidet nicht und trägt auch nicht die Verantwortung für die Umsetzung. Die Verantwortung bleibt beim Geschäftsführer. Wer glaubt, mit der Bestellung eines Datenschutzbeauftragten sei das Thema erledigt, irrt fundamental.

• Datenschutzbeauftragter ≠ Datenschutzverantwortlicher: Die Rollen sind gesetzlich getrennt
• Beratung ohne Weisungsrecht: Der Datenschutzbeauftragte darf beraten, aber nicht anweisen
• Keine Haftungsverlagerung: Selbst wenn der Datenschutzbeauftragte schlecht berät, bleibt die Verantwortung des Geschäftsführers bestehen
• Eigene Prüfpflicht: Der Geschäftsführer muss die Empfehlungen des Datenschutzbeauftragten bewerten und die Umsetzung kontrollieren

Besondere Risikobereiche für bestimmte Geschäftsmodelle

Nicht jedes Unternehmen hat dasselbe Datenschutzrisikoprofil. Je nach Geschäftsmodell, Branche und Art der verarbeiteten Daten können sich die Haftungsrisiken erheblich unterscheiden. Für bestimmte Unternehmenstypen ist das Datenschutzrisiko besonders hoch.

E-Commerce und Online-Geschäftsmodelle

Wer ein E-Commerce-Geschäft betreibt, verarbeitet naturgemäß große Mengen personenbezogener Daten: Kundendaten, Zahlungsdaten, Tracking-Daten, Verhaltensdaten. Jeder einzelne Verarbeitungsschritt muss datenschutzkonform sein – vom Cookie-Banner über die Zahlungsabwicklung bis zur Weitergabe an Versanddienstleister.

• Cookie-Consent und Tracking: Die Anforderungen an eine wirksame Einwilligung sind streng und werden von Gerichten und Behörden engmaschig kontrolliert
• Zahlungsdaten: Besonders sensible Daten, die zusätzliche Schutzmaßnahmen erfordern
• Kundenkommunikation: Newsletter, Werbung, Empfehlungsmarketing – jeder Kanal hat eigene datenschutzrechtliche Anforderungen
• Plattform-Haftung: Wer eine Plattform betreibt, haftet unter Umständen auch für Datenverarbeitungen durch Dritte

Startups und schnell wachsende Unternehmen

Gerade Startups stehen vor einem Dilemma: Schnelles Wachstum erfordert schnelle Entscheidungen, aber Datenschutz-Compliance erfordert sorgfältige Planung. In der Aufbauphase werden Datenschutzstrukturen häufig vernachlässigt – was sich später rächt, wenn Investoren, Geschäftspartner oder Behörden genauer hinschauen.

• Venture-Capital und Due Diligence: Investoren prüfen zunehmend die Datenschutz-Compliance als Teil der Unternehmensbewertung
• Skalierung: Was bei zehn Kunden funktioniert, kann bei zehntausend Kunden einen massiven Datenschutzverstoß darstellen
• Internationalisierung: Sobald Kunden oder Mitarbeiter in anderen Ländern hinzukommen, vervielfacht sich die Komplexität
• Datengetriebene Geschäftsmodelle: Wer Daten als zentralen Geschäftswert betrachtet, steht unter besonderer Beobachtung der Aufsichtsbehörden

Unternehmen mit Mitarbeitern

Jedes Unternehmen mit Mitarbeitern verarbeitet zwangsläufig Beschäftigtendaten – von der Gehaltsabrechnung über Krankmeldungen bis zur Leistungsbeurteilung. Die Anforderungen an den Beschäftigtendatenschutz sind hoch und die Fehlerquellen zahlreich, insbesondere bei der Nutzung moderner HR-Technologie.

• HR-Software und Cloud-Dienste: Wer Personalverwaltung in die Cloud verlagert, muss den Datentransfer absichern
• Bewerbermanagement: Vom Recruiting-Portal bis zur Absage – jeder Schritt ist datenschutzrelevant
• Arbeitnehmerüberwachung: Die Grenzen zwischen zulässiger Kontrolle und unzulässiger Überwachung sind eng und schwer zu ziehen
• Ausscheidende Mitarbeiter: Auch nach Ende des Arbeitsverhältnisses gelten Aufbewahrungs und Löschpflichten

Betroffenenrechte als Haftungstreiber

Die DSGVO gibt betroffenen Personen weitreichende Betroffenenrechte. Jedes einzelne dieser Rechte muss vom Unternehmen korrekt und fristgerecht bedient werden. Fehler in der Bearbeitung von Betroffenenanfragen sind eine der häufigsten Ursachen für Beschwerden bei der Aufsichtsbehörde – und damit Auslöser für behördliche Untersuchungen.

Die wichtigsten Betroffenenrechte im Überblick

• Auskunftsrecht: Betroffene können umfassende Auskunft darüber verlangen, welche Daten über sie verarbeitet werden – mit zahlreichen Detailanforderungen
• Recht auf Löschung: Das sogenannte „Recht auf Vergessenwerden" kann unter bestimmten Voraussetzungen die vollständige Datenlöschung erzwingen
• Recht auf Berichtigung: Unrichtige Daten müssen korrigiert werden
• Widerspruchsrecht: Betroffene können der Datenverarbeitung widersprechen – mit erheblichen Konsequenzen für das Unternehmen
• Recht auf Datenübertragbarkeit: Daten müssen in einem strukturierten, maschinenlesbaren Format bereitgestellt werden
• Recht auf Einschränkung der Verarbeitung: Unter bestimmten Voraussetzungen müssen Daten gesperrt statt gelöscht werden

Warum Auskunftsanfragen besonders gefährlich sind

Auskunftsanfragen nach der DSGVO sind in der Praxis das schärfste Schwert der Betroffenen. Sie zwingen das Unternehmen, innerhalb einer knappen Frist eine vollständige Übersicht aller verarbeiteten Daten zu liefern. Wer seine Datenverarbeitungsprozesse nicht kennt oder nicht dokumentiert hat, kann diese Frist unmöglich einhalten – und begeht damit den nächsten Verstoß.

• Kurze Fristen: Die gesetzliche Antwortfrist ist knapp bemessen und lässt sich nur unter engen Voraussetzungen verlängern
• Umfang der Auskunft: Die Auskunft muss vollständig sein – eine unvollständige Antwort ist ein Verstoß
• Identitätsprüfung: Das Unternehmen muss die Identität des Anfragenden verifizieren, ohne dabei zusätzliche Datenschutzverstöße zu begehen
• Kostenfalle: Der Aufwand für die Beantwortung einer umfassenden Auskunftsanfrage kann erheblich sein

Datenschutzverstoß und Gesellschafterstreit

Datenschutzverstöße können auch die interne Unternehmensdynamik massiv beeinflussen. Wenn ein Geschäftsführer durch mangelhaften Datenschutz einen Schaden verursacht hat, wird dies häufig zum Katalysator für bereits schwelende Konflikte unter den Gesellschaftern.

Datenschutz als Abberufungsgrund

Ein gravierender Datenschutzverstoß kann einen wichtigen Grund für die Abberufung des Geschäftsführers darstellen. Ob dies im Einzelfall der Fall ist, hängt von zahlreichen Umständen ab – der Schwere des Verstoßes, dem Verschulden, den Auswirkungen auf die Gesellschaft und vielem mehr.

• Vertrauensverlust: Ein schwerwiegender Datenschutzverstoß kann das Vertrauen der Gesellschafter zerstören
• Schadensumfang: Je höher der finanzielle Schaden, desto wahrscheinlicher die Abberufung
• Wiederholungsgefahr: Wenn strukturelle Mängel vorliegen, spricht das für eine anhaltende Pflichtwidrigkeit
• Strategischer Einsatz: In einem Gesellschafterstreit können Datenschutzverstöße gezielt als Druckmittel eingesetzt werden

Informationsrechte der Gesellschafter

Gesellschafter haben ein Informationsrecht, das sie nutzen können, um die Datenschutz-Compliance der Geschäftsführung zu überprüfen. Werden dabei Mängel aufgedeckt, kann dies der Startschuss für Regressforderungen oder Abberufungsverfahren sein.

• Einsichtsrecht in Unterlagen: Gesellschafter können Einsicht in datenschutzrelevante Dokumentation verlangen
• Sonderprüfung: In bestimmten Fällen kann eine externe Sonderprüfung der Datenschutz-Compliance angestoßen werden
• Beschlussfassung: Die Gesellschafterversammlung kann Beschlüsse fassen, die den Geschäftsführer zu bestimmten Datenschutzmaßnahmen verpflichten

Warum professionelle Beratung nicht optional ist

Die Darstellung in diesem Artikel macht deutlich: Die Haftungsrisiken bei Datenschutzverstößen sind vielfältig, komplex und potenziell existenzbedrohend – sowohl für die GmbH als auch für den Geschäftsführer persönlich. Wer versucht, diese Risiken ohne fachkundige Unterstützung zu bewältigen, geht ein Spiel ein, dessen Regeln er nicht vollständig kennt.

Was anwaltliche Beratung im Datenschutz leistet

Ein spezialisierter Rechtsanwalt kann die Datenschutz-Compliance nicht nur auf dem Papier herstellen, sondern so gestalten, dass sie im Ernstfall auch vor der Aufsichtsbehörde und vor Gericht Bestand hat. Das erfordert die Verknüpfung von Datenschutzrecht, Gesellschaftsrecht, Haftungsrecht, IT-Recht und je nach Branche – weiteren Spezialgebieten.

• Individuelle Risikoanalyse: Nicht jedes Unternehmen hat dieselben Schwachstellen – die Analyse muss maßgeschneidert sein
• Prävention statt Reaktion: Die größten Einsparungen ergeben sich durch die Vermeidung von Verstößen, nicht durch deren nachträgliche Reparatur
• Verteidigung im Ernstfall: Bei einer behördlichen Untersuchung oder einem Bußgeldverfahren zählt jedes Detail
• Absicherung des Geschäftsführers: Die persönliche Haftungsminimierung erfordert spezifische Maßnahmen, die über die Datenschutz-Compliance der GmbH hinausgehen

Wann der richtige Zeitpunkt für Beratung ist

Die ehrliche Antwort: möglichst früh. Die meisten Geschäftsführer suchen erst dann anwaltliche Hilfe, wenn das Problem bereits eingetreten ist – wenn die Aufsichtsbehörde schreibt, die Abmahnung auf dem Tisch liegt oder der Gesellschafter Regress fordert. Zu diesem Zeitpunkt sind die Handlungsoptionen bereits deutlich eingeschränkt und die Kosten erheblich höher.

• Bei der Gründung: Datenschutz von Anfang an richtig aufzusetzen ist um ein Vielfaches günstiger als die spätere Nachbesserung
• Bei Wachstum und Veränderung: Neue Geschäftsmodelle, neue Technologien, neue Märkte – jede Veränderung kann neue Datenschutzpflichten auslösen
• Nach einer Datenpanne: Sofortige anwaltliche Unterstützung ist entscheidend für die korrekte Abwicklung und Schadensminimierung
• Bei Behördenkontakt: Bereits der erste Kontakt mit der Aufsichtsbehörde sollte anwaltlich begleitet werden
• Im Gesellschafterstreit: Wenn Datenschutzverstöße zum Streitthema werden, braucht der Geschäftsführer eigene anwaltliche Vertretung

Besonderheiten bei der Haftung mehrerer Geschäftsführer

Viele GmbHs haben nicht nur einen, sondern mehrere Geschäftsführer. In diesem Fall stellt sich die Frage, wie die Verantwortung für den Datenschutz unter ihnen verteilt ist – und ob ein Geschäftsführer, der für ein anderes Ressort zuständig ist, trotzdem für Datenschutzverstöße haftet.

Gesamtverantwortung und Ressortverteilung

Grundsätzlich tragen alle Geschäftsführer einer GmbH die Gesamtverantwortung für die Geschäftsführung. Eine Ressortverteilung kann die primäre Zuständigkeit regeln, befreit aber nicht von der Überwachungspflicht. Diese Grundsätze gelten auch für den Datenschutz.

• Gesamtverantwortung: Jeder Geschäftsführer haftet grundsätzlich für alle Pflichtverletzungen – unabhängig von seiner Ressortverteilung
• Wirksame Ressortverteilung: Eine Ressortverteilung kann die Haftung modifizieren, muss aber bestimmten – im Einzelfall zu prüfenden – Anforderungen genügen
• Verbleibende Überwachungspflicht: Auch der nicht ressortzuständige Geschäftsführer muss die Arbeit seines Kollegen überwachen
• Eingriffspflicht: Bei erkennbaren Problemen muss jeder Geschäftsführer einschreiten – unabhängig von der Ressortverteilung

Haftung bei Geschäftsführerwechsel

Ein häufig unterschätztes Risiko ergibt sich beim Geschäftsführerwechsel. Der neue Geschäftsführer „erbt" die bestehende Datenschutzorganisation – mit allen Schwächen. Der ausscheidende Geschäftsführer haftet für Verstöße während seiner Amtszeit, aber die Abgrenzung ist in der Praxis oft schwierig.

• Altlasten: Bestehende Datenschutzmängel können dem neuen Geschäftsführer zugerechnet werden, wenn er sie erkennt oder erkennen müsste und nicht abstellt
• Übergabepflicht: Der ausscheidende Geschäftsführer muss den Nachfolger über die Datenschutzsituation informieren
• Verjährung: Ansprüche gegen den früheren Geschäftsführer verjähren nach gesetzlich festgelegten Fristen – die im Einzelfall berechnet werden müssen
• Dokumentation: Wer beim Ausscheiden eine saubere Dokumentation hinterlässt, kann seine Haftungsrisiken reduzieren – wie genau, hängt vom Einzelfall ab

Die Rolle des Gesellschaftsvertrags

Der Gesellschaftsvertrag der GmbH kann Regelungen enthalten, die die Haftung des Geschäftsführers beeinflussen – sowohl verschärfend als auch mildernd. Diese Gestaltungsmöglichkeiten werden in der Praxis häufig nicht genutzt oder falsch umgesetzt.

Haftungsregelungen im Gesellschaftsvertrag

• Zustimmungsvorbehalte: Der Gesellschaftsvertrag kann vorsehen, dass bestimmte datenschutzrelevante Entscheidungen der Zustimmung der Gesellschafter bedürfen
• Haftungsbeschränkungen: In bestimmten Grenzen können Haftungsbeschränkungen für den Geschäftsführer vereinbart werden – deren Wirksamkeit ist aber an enge Voraussetzungen geknüpft
• Freistellungsregelungen: Vereinbarungen über die Freistellung des Geschäftsführers von bestimmten Haftungsrisiken sind möglich, aber komplex
• Pflicht zur D&O-Versicherung: Der Gesellschaftsvertrag kann die Gesellschaft verpflichten, eine D&O-Versicherung abzuschließen

Geschäftsführervertrag und Datenschutzpflichten

Auch der Geschäftsführervertrag bietet Gestaltungsmöglichkeiten – von der konkreten Beschreibung der Compliance-Pflichten bis zur Regelung der Folgen bei Pflichtverletzungen. Gerade beim Thema Datenschutz ist eine sorgfältige vertragliche Gestaltung wichtig, um die Verantwortlichkeiten klar zu definieren.

• Pflichtenbeschreibung: Je klarer die Datenschutzpflichten beschrieben sind, desto besser lässt sich die Einhaltung nachweisen
• Budget und Ressourcen: Wenn der Geschäftsführer nachweisen kann, dass ihm ausreichende Mittel für die Datenschutz-Compliance zur Verfügung standen, verbessert das seine Position
• Entlastungsklauseln: Regelungen zur regelmäßigen Entlastung können die Haftung zeitlich begrenzen – unterliegen aber engen gesetzlichen Grenzen

Handlungsdruck: Warum Abwarten keine Option ist

Die Aufsichtsbehörden bauen ihre Kapazitäten kontinuierlich aus. Die Rechtsprechung wird strenger. Die Betroffenen werden anspruchsvoller. Kanzleien spezialisieren sich auf die massenhafte Durchsetzung von Schadensersatzansprüchen. Und die gesellschaftsrechtliche Innenhaftung wird als Instrument zunehmend erkannt und eingesetzt. All das bedeutet: Die Wahrscheinlichkeit, dass ein Datenschutzverstoß unentdeckt und ungeahndet bleibt, sinkt mit jedem Tag.

Wachsende Durchsetzungspraxis

• Mehr Personal bei den Aufsichtsbehörden: Die Behörden werden personell aufgestockt und können mehr Verfahren führen
• Europäische Koordination: Der Europäische Datenschutzausschuss sorgt für eine zunehmend einheitliche und strenge Bußgeldpraxis
• Klagewelle von Betroffenen: Die Zahl der Schadensersatzklagen steigt stetig – begünstigt durch niedrige Hürden und spezialisierte Prozessfinanzierer
• Whistleblower: Hinweisgeberschutzregelungen erleichtern es Mitarbeitern, Datenschutzverstöße zu melden – auch anonym

Die Kosten des Nichtstuns

Wer als Geschäftsführer den Datenschutz vernachlässigt, spart kurzfristig Geld – und riskiert langfristig alles. Die Kosten eines Datenschutzverstoßes setzen sich aus zahlreichen Komponenten zusammen, die in der Summe schnell existenzbedrohend werden können:

• Bußgelder: Potenziell in Millionenhöhe, umsatzabhängig berechnet
• Schadensersatz: An alle betroffenen Personen, einschließlich immaterieller Schäden
• Rechtsverteidigungskosten: Anwaltliche Vertretung in Bußgeld-, Zivil und ggf. Strafverfahren
• Umsetzungskosten: Die nachträgliche Herstellung der Compliance unter Zeitdruck ist teurer als die vorausschauende Planung
• Reputationsschaden: Kunden, Geschäftspartner und Investoren reagieren empfindlich auf Datenschutzskandale
• Persönliche Haftung: Regressforderungen der GmbH können das Privatvermögen des Geschäftsführers treffen

Fazit

Die Haftung bei Datenschutzverstößen trifft den GmbH-Geschäftsführer auf mehreren Ebenen gleichzeitig: öffentlich-rechtliche Bußgelder, zivilrechtlicher Schadensersatz, strafrechtliche Risiken, wettbewerbsrechtliche Abmahnungen – und vor allem der gesellschaftsrechtliche Regress der eigenen GmbH. Die persönliche Haftung lässt sich weder durch die Haftungsbeschränkung der GmbH noch durch die Bestellung eines Datenschutzbeauftragten ausschließen.

Die Materie ist so komplex, dass eine Selbsteinschätzung durch den Geschäftsführer oder eine rein interne Umsetzung nahezu zwangsläufig Lücken hinterlässt – Lücken, die im Ernstfall zur persönlichen Haftung führen. Die Komplexität ergibt sich aus dem Zusammenspiel von DSGVO, nationalem Datenschutzrecht, Gesellschaftsrecht, allgemeinem Haftungsrecht und ständig neuer Rechtsprechung.

Wer als Geschäftsführer sein persönliches Haftungsrisiko im Datenschutz ernst nimmt – und das sollte jeder tun –, kommt an einer spezialisierten anwaltlichen Beratung nicht vorbei. Die Investition in professionelle Prävention ist wirtschaftlich, strategisch und persönlich die klügste Entscheidung, die ein Geschäftsführer in diesem Bereich treffen kann.