Haftung bei Datenschutzverstößen: Wann Geschäftsführer persönlich ins Visier geraten

Zuletzt aktualisiert: 27.02.2026 | Lesezeit: 20 Minuten

Datenschutz klingt nach Bürokratie, Formularen und Cookie-Bannern – bis plötzlich ein Bußgeldbescheid auf dem Tisch liegt, der nicht an die GmbH adressiert ist, sondern an Sie persönlich. Die Vorstellung, dass die Haftungsbeschränkung der Gesellschaft Geschäftsführer vor allem schützt, ist weit verbreitet – und in Sachen Datenschutz gefährlich falsch. Dieser Artikel zeigt, warum das Thema für Unternehmer so brisant ist und weshalb eine professionelle Einschätzung der Lage meistens klüger ist als abzuwarten.

Datenschutz als persönliches Haftungsrisiko für Geschäftsführer

Wenn in einer GmbH oder UG ein Datenschutzverstoß passiert, denken viele Geschäftsführer zunächst an die Gesellschaft als Adressatin etwaiger Bußgelder. Das ist nachvollziehbar – schließlich ist die GmbH als juristische Person grundsätzlich selbst Trägerin von Rechten und Pflichten. Doch im Bereich des Datenschutzrechts greifen Mechanismen, die weit über die übliche gesellschaftsrechtliche Haftungslogik hinausgehen. Die persönliche Verantwortung des Geschäftsführers kann auf verschiedenen Wegen entstehen – und zwar auf Wegen, die im Unternehmensalltag leicht übersehen werden.

Warum die GmbH-Haftungsbeschränkung hier oft nicht hilft

Die Geschäftsführerhaftung ist ein vielschichtiges Thema. Im Datenschutzbereich kommt erschwerend hinzu, dass die Verantwortung nicht allein auf der gesellschaftsrechtlichen Ebene verankert ist. Das europäische und deutsche Datenschutzrecht kennt eigene Zurechnungsregeln, die sich nicht an der GmbH-Struktur orientieren, sondern an der tatsächlichen Entscheidungsmacht über Datenverarbeitungsprozesse. Das bedeutet: Wer faktisch darüber entscheidet, wie personenbezogene Daten verarbeitet werden – oder wer es versäumt, angemessene Strukturen zu schaffen – kann unabhängig von der Rechtsform in die Haftung geraten.

• Bußgelder: Die zuständigen Behörden können Sanktionen nicht nur gegen das Unternehmen, sondern unter bestimmten Voraussetzungen auch gegen natürliche Personen verhängen
• Schadensersatzansprüche Dritter: Betroffene Personen können Ansprüche direkt gegen die verantwortlichen Personen geltend machen, nicht nur gegen die Gesellschaft
• Regress der Gesellschaft: Selbst wenn zunächst die GmbH zahlt, kann sie den Geschäftsführer unter Umständen in Regress nehmen
• Strafrechtliche Konsequenzen: Bestimmte Datenschutzverstöße sind strafbar – und Strafrecht richtet sich immer gegen natürliche Personen

Die verschiedenen Ebenen der Haftung

Was die Sache so komplex macht: Die Haftung bei Datenschutzverstößen bewegt sich nicht auf einer einzigen rechtlichen Ebene, sondern auf mehreren gleichzeitig. Es gibt die datenschutzrechtliche Ebene mit Bußgeldern und Anordnungen der Aufsichtsbehörden. Es gibt die zivilrechtliche Ebene mit Schadensersatzansprüchen betroffener Personen. Es gibt die gesellschaftsrechtliche Ebene, auf der die Pflichten des Geschäftsführers gegenüber der eigenen Gesellschaft relevant werden. Und es gibt die strafrechtliche Ebene, die bei vorsätzlichen oder besonders schwerwiegenden Verstößen ins Spiel kommt.

• Datenschutzrechtliche Haftung: Bußgelder, Verarbeitungsverbote, Anordnungen der Aufsichtsbehörde
• Zivilrechtliche Haftung: Schadensersatzansprüche betroffener Personen, Abmahnungen durch Wettbewerber oder Verbände
• Gesellschaftsrechtliche Haftung: Innenhaftung gegenüber der GmbH wegen Pflichtverletzung
• Strafrechtliche Haftung: Geld- oder Freiheitsstrafen bei bestimmten vorsätzlichen Verstößen
• Arbeitsrechtliche Konsequenzen: Mögliche Grundlage für eine Abberufung oder Kündigung des Geschäftsführers

Welche Datenschutzverstöße besonders gefährlich werden können

Nicht jeder formale Datenschutzverstoß führt automatisch zu einer existenzbedrohenden Haftung. Aber die Bandbreite dessen, was schiefgehen kann, ist erheblich – und viele Geschäftsführer unterschätzen, wie schnell aus einem vermeintlich kleinen Versäumnis ein großes Problem wird. Das Datenschutzrecht ist kein Bereich, in dem man „mal eben" nachbessern kann, wenn die Behörde anklopft.

Typische Verstöße mit hohem Haftungspotenzial

Bestimmte Kategorien von Verstößen ziehen erfahrungsgemäß besonders empfindliche Konsequenzen nach sich. Dabei geht es nicht nur um spektakuläre Datenpannen, sondern häufig um strukturelle Defizite, die über längere Zeiträume bestehen, ohne dass sie jemandem auffallen – bis es zu spät ist.

• Fehlende oder unzureichende Rechtsgrundlagen: Datenverarbeitungen, die ohne tragfähige Rechtsgrundlage erfolgen
• Mangelnde technische und organisatorische Maßnahmen: Unzureichende IT-Sicherheit, fehlende Zugriffsbeschränkungen, veraltete Systeme
• Verstöße gegen Informationspflichten: Betroffene werden nicht oder nicht ordnungsgemäß über die Verarbeitung ihrer Daten informiert
• Nicht gemeldete Datenpannen: Meldepflichtige Vorfälle werden nicht, verspätet oder unvollständig an die Aufsichtsbehörde gemeldet
• Unzulässige Datenübermittlung an Dritte: Weitergabe personenbezogener Daten ohne Rechtsgrundlage, insbesondere in Länder außerhalb des europäischen Datenschutzraums
• Fehlende Auftragsverarbeitungsverträge: Dienstleister verarbeiten personenbezogene Daten ohne die erforderlichen vertraglichen Grundlagen

Strukturelle Defizite wiegen oft schwerer als Einzelfälle

Die Aufsichtsbehörden differenzieren durchaus zwischen einem einmaligen Versehen und einem systematischen Organisationsversagen. Wenn ein Unternehmen erkennbar keine angemessenen Strukturen für den Datenschutz geschaffen hat, wiegt das in der Regel deutlich schwerer als ein einzelner Fehler, der trotz funktionierender Organisation passiert ist. Und genau hier wird es für Geschäftsführer brisant: Denn die Verantwortung dafür, dass das Unternehmen über angemessene Strukturen verfügt, liegt bei der Geschäftsführung.

• Kein Verarbeitungsverzeichnis vorhanden: Obwohl gesetzlich vorgeschrieben, fehlt es in vielen kleineren Unternehmen vollständig
• Kein Datenschutzbeauftragter bestellt: Obwohl die gesetzlichen Voraussetzungen für die Bestellung eines Datenschutzbeauftragten erfüllt wären
• Veraltete Datenschutzerklärungen: Die Datenschutzerklärung auf der Website entspricht nicht den Anforderungen oder ist nicht aktuell
• Fehlende Schulung der Mitarbeiter: Beschäftigte sind nicht sensibilisiert und wissen nicht, wie mit personenbezogenen Daten umzugehen ist

Bußgelder und Sanktionen: Die finanzielle Dimension

Die europäische Datenschutz-Grundverordnung (DSGVO) hat den Bußgeldrahmen für Datenschutzverstöße erheblich erweitert. Die Beträge, die theoretisch verhängt werden können, bewegen sich in Dimensionen, die für kleine und mittelständische Unternehmen existenzbedrohend sein können. Auch wenn die Aufsichtsbehörden bei der Bemessung Verhältnismäßigkeitsgesichtspunkte berücksichtigen, sind die verhängten Bußgelder in der Praxis keineswegs nur symbolisch.

Wie Bußgelder bemessen werden

Die Bemessung von Bußgeldern folgt einem komplexen System, bei dem zahlreiche Faktoren eine Rolle spielen. Es geht nicht nur um die Schwere des Verstoßes selbst, sondern auch um die Art und Weise, wie das Unternehmen reagiert hat, ob es kooperativ war und welche Maßnahmen zuvor getroffen – oder eben nicht getroffen – wurden.

• Art und Schwere des Verstoßes: Wie viele Personen betroffen sind und welcher Schaden entstanden ist oder droht
• Vorsatz oder Fahrlässigkeit: Bewusste Verstöße werden härter sanktioniert als fahrlässige
• Ergriffene Gegenmaßnahmen: Was das Unternehmen unternommen hat, um den Verstoß zu beenden und Schäden zu begrenzen
• Kooperation mit der Aufsichtsbehörde: Wie das Unternehmen auf Anfragen und Anordnungen reagiert hat
• Frühere Verstöße: Ob bereits in der Vergangenheit Datenschutzverstöße festgestellt wurden
• Umsatz des Unternehmens: Die wirtschaftliche Leistungsfähigkeit fließt in die Bemessung ein

Wann Bußgelder den Geschäftsführer persönlich treffen

Die Frage, ob ein Bußgeld gegen das Unternehmen oder gegen den Geschäftsführer persönlich verhängt wird, hängt von verschiedenen rechtlichen Konstellationen ab. Es gibt Fälle, in denen die Aufsichtsbehörde das Bußgeld unmittelbar gegen die natürliche Person richtet. Und selbst wenn das Bußgeld zunächst gegen die GmbH ergeht, kann ein Regressanspruch der Gesellschaft gegen den Geschäftsführer entstehen – was im Ergebnis auf dasselbe hinausläuft.

• Direktes Bußgeld gegen den Geschäftsführer: In bestimmten Konstellationen kann die Behörde den Geschäftsführer als verantwortliche natürliche Person direkt heranziehen
• Regress der GmbH: Die Gesellschaft kann den Geschäftsführer für das gezahlte Bußgeld in die Haftung nehmen, wenn eine Pflichtverletzung vorliegt
• Kumulation: Es sind Konstellationen denkbar, in denen sowohl das Unternehmen als auch der Geschäftsführer getroffen werden

Schadensersatzansprüche betroffener Personen

Neben Bußgeldern der Behörden stellen zivilrechtliche Schadensersatzansprüche ein erhebliches Risiko dar. Die DSGVO gewährt betroffenen Personen einen eigenständigen Schadensersatzanspruch, der sowohl materielle als auch immaterielle Schäden umfasst. Und die Gerichte konkretisieren zunehmend, unter welchen Umständen solche Ansprüche bestehen und wie hoch die Entschädigung ausfallen kann.

Materielle und immaterielle Schäden

Während materielle Schäden – etwa durch Identitätsdiebstahl nach einer Datenpanne – relativ klar beziffert werden können, sind immaterielle Schadensersatzansprüche ein dynamisches Rechtsfeld. Die Gerichte sprechen betroffenen Personen zunehmend Entschädigungen zu, auch wenn kein wirtschaftlicher Schaden entstanden ist, sondern „nur" ein Kontrollverlust über die eigenen Daten.

• Materieller Schaden: Nachweisbare finanzielle Einbußen, z. B. durch Identitätsmissbrauch oder Betrug
• Immaterieller Schaden: Kontrollverlust über personenbezogene Daten, Angst, Bloßstellung, Belästigung
• Massenansprüche: Bei Datenpannen, die viele Personen betreffen, können sich Schadensersatzansprüche zu erheblichen Summen aufaddieren

Abmahnung und Klagen durch Wettbewerber und Verbände

Neben den betroffenen Personen selbst können auch Wettbewerber und Verbraucherschutzverbände Datenschutzverstöße zum Anlass nehmen, rechtlich gegen ein Unternehmen vorzugehen. Das geschieht regelmäßig in Form von Abmahnungen und Unterlassungsklagen. Für den Geschäftsführer bedeutet das: Selbst wenn kein einzelner Betroffener aktiv wird, kann das Unternehmen – und mittelbar der Geschäftsführer – in kostspielige Rechtsstreitigkeiten verwickelt werden.

• Wettbewerbsrechtliche Abmahnungen: Datenschutzverstöße können als unlautere geschäftliche Handlung gewertet werden
• Verbandsklagen: Verbraucherschutzverbände können auf Unterlassung klagen
• Kostenrisiko: Abmahnungen und gerichtliche Verfahren verursachen erhebliche Kosten, auch wenn das Unternehmen sich erfolgreich verteidigt

Innenhaftung: Wenn die eigene GmbH den Geschäftsführer in Regress nimmt

Ein häufig unterschätztes Szenario: Die GmbH selbst nimmt ihren Geschäftsführer auf Schadensersatz in Anspruch. Das klingt paradox – schließlich ist der Geschäftsführer doch derjenige, der das Unternehmen führt. Aber die rechtliche Konstruktion ist klar: Der Geschäftsführer ist Organ der Gesellschaft und hat seine Pflichten mit der Sorgfalt eines ordentlichen Geschäftsmanns zu erfüllen. Verletzt er diese Pflichten, haftet er der Gesellschaft gegenüber. Und das Gesellschaftsrecht kennt hierbei grundsätzlich keine Begrenzung auf einen bestimmten Betrag.

Wann entsteht ein Regressanspruch?

Ein Regressanspruch der GmbH gegen ihren Geschäftsführer kann entstehen, wenn das Unternehmen durch einen Datenschutzverstoß einen Schaden erleidet und dieser auf eine Pflichtverletzung des Geschäftsführers zurückzuführen ist. Das kann der Fall sein, wenn der Geschäftsführer es versäumt hat, angemessene datenschutzrechtliche Strukturen im Unternehmen zu schaffen, oder wenn er Warnungen ignoriert hat.

• Gezahlte Bußgelder: Die GmbH kann versuchen, ein gegen sie verhängtes Bußgeld vom Geschäftsführer zurückzufordern
• Schadensersatzzahlungen an Betroffene: Muss die GmbH Schadensersatz leisten, kann sie den Geschäftsführer in Regress nehmen
• Anwalts- und Verfahrenskosten: Die Kosten der Verteidigung und Rechtsstreitigkeiten können ebenfalls Gegenstand von Regressansprüchen sein
• Reputationsschäden: Mittelbare wirtschaftliche Schäden durch Kundenverlust und Imageschaden

Das Risiko nach einem Geschäftsführerwechsel

Besonders heikel wird die Situation, wenn ein Geschäftsführerwechsel stattfindet. Ein neuer Geschäftsführer – oder die Gesellschafter nach einer Abberufung – haben unter Umständen ein erhebliches Interesse daran, den ausgeschiedenen Geschäftsführer für Versäumnisse in Anspruch zu nehmen. In Gesellschafterstreitigkeiten wird die Frage der Datenschutz-Compliance gelegentlich gezielt genutzt, um Druck auszuüben oder Regressforderungen durchzusetzen.

Strafrechtliche Risiken bei Datenschutzverstößen

Was viele Geschäftsführer nicht wissen: Bestimmte Datenschutzverstöße sind strafrechtlich relevant. Das betrifft nicht nur Fälle von Datendiebstahl oder Spionage im klassischen Sinne, sondern auch die unbefugte Verarbeitung personenbezogener Daten, die unter bestimmten Voraussetzungen als Straftat verfolgt werden kann. Und Strafrecht richtet sich ausschließlich gegen natürliche Personen – die GmbH kann nicht ins Gefängnis.

Welche Handlungen strafrechtlich relevant sein können

Das Bundesdatenschutzgesetz enthält eigene Straftatbestände, die über die Bußgeldvorschriften der DSGVO hinausgehen. Diese Tatbestände erfassen bestimmte Formen der unbefugten Datenverarbeitung, insbesondere wenn sie mit Bereicherungsabsicht oder der Absicht erfolgen, anderen zu schaden.

• Unbefugte Verarbeitung geschützter Daten: Insbesondere wenn dies vorsätzlich gegen Entgelt oder mit Bereicherungs- oder Schädigungsabsicht geschieht
• Erschleichen von Daten: Sich personenbezogene Daten durch falsche Angaben oder Täuschung verschaffen
• Verletzung von Berufsgeheimnissen: Bei bestimmten Berufsgruppen kann die Weitergabe personenbezogener Daten zusätzlich als Verletzung des Berufsgeheimnisses strafbar sein

Die Abgrenzung zwischen Ordnungswidrigkeit und Straftat

Die Grenze zwischen einer „bloßen" Ordnungswidrigkeit mit Bußgeldfolge und einer Straftat ist fließend und im Einzelfall oft schwer zu bestimmen. Entscheidend ist in der Regel die subjektive Seite – also ob vorsätzlich oder fahrlässig gehandelt wurde und ob bestimmte zusätzliche Merkmale erfüllt sind. Gerade diese Abgrenzung ist für Laien kaum zu leisten und birgt erhebliche Risiken, wenn man die Situation falsch einschätzt.

• Ordnungswidrigkeit: Wird mit einem Bußgeld geahndet, kein Eintrag ins Strafregister
• Straftat: Kann mit Geld- oder Freiheitsstrafe geahndet werden, Eintrag ins Strafregister
• Fließende Grenze: Dasselbe Verhalten kann je nach Umständen entweder als Ordnungswidrigkeit oder als Straftat eingestuft werden

Wer ist besonders betroffen?

Grundsätzlich trifft die Pflicht zur datenschutzkonformen Datenverarbeitung jedes Unternehmen, das personenbezogene Daten verarbeitet – und das sind praktisch alle. Aber bestimmte Konstellationen sind besonders riskant, weil dort die Wahrscheinlichkeit eines Verstoßes oder die Schwere der Konsequenzen besonders hoch ist.

Typische Risikogruppen unter Selbständigen und Geschäftsführern

• Onlinehändler und E-Commerce-Unternehmer: Verarbeiten große Mengen an Kundendaten, oft mit zahlreichen externen Dienstleistern – vom Payment-Provider bis zum Versanddienstleister. Die Anforderungen an Auftragsverarbeitungsverträge und Datenschutzerklärungen sind hoch
• SaaS-Anbieter und IT-Unternehmen: Verarbeiten häufig Daten im Auftrag ihrer Kunden und müssen sowohl die eigenen als auch die vertraglichen Datenschutzpflichten gegenüber Auftraggebern erfüllen
• Dienstleister mit Kundenkontakt: Berater, Agenturen, Makler – überall, wo personenbezogene Daten von Kunden systematisch erfasst und verarbeitet werden
• Unternehmen mit Beschäftigten: Der Beschäftigtendatenschutz ist ein eigenständiger Risikobereich, der von der Bewerbung bis zum Austritt reicht
• Startups in der Wachstumsphase: Schnelles Wachstum bedeutet oft, dass Datenschutzstrukturen nicht mithalten – was irgendwann zum Problem wird
• Unternehmen mit Videoüberwachung: Überwachungskameras in Geschäftsräumen oder auf dem Betriebsgelände sind ein klassischer Problempunkt

Besondere Risiken bei Startups und jungen GmbHs

Gerade in der Gründungsphase und den ersten Jahren hat Datenschutz oft keine Priorität. Das Budget ist knapp, die Aufmerksamkeit liegt auf Produktentwicklung und Kundengewinnung. Doch gerade in dieser Phase werden Grundstrukturen gelegt – oder eben nicht gelegt –, die später zum Problem werden können. Wer eine UG oder GmbH gegründet hat und in der Aufbauphase den Datenschutz vernachlässigt, baut auf einem rechtlich unsicheren Fundament.

• Provisorische IT-Infrastruktur: Cloud-Dienste aus verschiedenen Ländern, keine klare Datenstrategie
• Fehlende Verträge mit Dienstleistern: Schnell eingebundene Tools und Plattformen ohne Auftragsverarbeitungsvertrag
• Kundendaten ohne Systematik: Excel-Listen, geteilte Zugänge, keine Löschkonzepte
• Keine Datenschutzdokumentation: Kein Verarbeitungsverzeichnis, keine dokumentierte Risikoanalyse

Delegation und Verantwortung: Kann der Geschäftsführer Datenschutz komplett abgeben?

Ein verbreiteter Irrtum: Viele Geschäftsführer glauben, sie hätten das Thema Datenschutz vom Tisch, sobald sie einen Datenschutzbeauftragten bestellt oder einen externen Dienstleister beauftragt haben. Tatsächlich ist die Delegation einzelner Aufgaben möglich und sinnvoll – aber die Gesamtverantwortung bleibt beim Geschäftsführer. Das ist keine Eigenheit des Datenschutzrechts, sondern ein Grundprinzip des Geschäftsführerrechts.

Die Restverantwortung des Geschäftsführers

Auch wenn Aufgaben delegiert werden, verbleibt beim Geschäftsführer eine Auswahl-, Einweisungs- und Überwachungspflicht. Er muss sicherstellen, dass die beauftragten Personen oder Dienstleister tatsächlich geeignet sind, ihre Aufgaben ordnungsgemäß erfüllen und angemessen kontrolliert werden. Wer sich blind auf einen Dienstleister verlässt, ohne dessen Arbeit je zu überprüfen, handelt möglicherweise pflichtwidrig.

• Auswahlpflicht: Den richtigen Datenschutzbeauftragten oder Dienstleister auswählen – nicht den günstigsten, sondern den geeigneten
• Einweisungspflicht: Klare Aufgabenbeschreibung und Ressourcen bereitstellen
• Überwachungspflicht: Regelmäßig prüfen, ob die Datenschutzmaßnahmen tatsächlich umgesetzt werden
• Eskalationspflicht: Bei erkannten Problemen handeln und nicht wegschauen

Der Datenschutzbeauftragte entlastet – aber befreit nicht

Der Datenschutzbeauftragte hat eine beratende und überwachende Funktion. Er ist weder verantwortlich für die Umsetzung des Datenschutzes noch kann er den Geschäftsführer von dessen Pflichten entbinden. Wenn der Datenschutzbeauftragte auf Mängel hinweist und der Geschäftsführer diese ignoriert, verschärft das die Haftungssituation des Geschäftsführers sogar noch erheblich.

• Beratungsfunktion: Der Datenschutzbeauftragte berät, entscheidet aber nicht
• Überwachungsfunktion: Er überwacht die Einhaltung, kann aber keine Maßnahmen erzwingen
• Dokumentation: Ein guter Datenschutzbeauftragter dokumentiert seine Empfehlungen – was im Haftungsfall zum Belastungsmaterial gegen den Geschäftsführer werden kann

Das Zusammenspiel von Datenschutzrecht und Gesellschaftsrecht

Die besondere Brisanz der Haftung bei Datenschutzverstößen ergibt sich aus dem Zusammenwirken verschiedener Rechtsgebiete. Das Datenschutzrecht definiert die Pflichten und Sanktionen. Das Gesellschaftsrecht bestimmt, welche Sorgfaltspflichten der Geschäftsführer gegenüber der GmbH hat. Und das allgemeine Zivilrecht regelt die Schadensersatzansprüche betroffener Dritter. Jedes dieser Rechtsgebiete hat eigene Regeln, eigene Fristen und eigene Beweislastverteilungen.

Sorgfaltspflichten nach GmbH-Recht

Der Geschäftsführervertrag und das GmbH-Gesetz verpflichten den Geschäftsführer zur ordnungsgemäßen Geschäftsführung. Dazu gehört auch die Einhaltung aller gesetzlichen Pflichten – einschließlich des Datenschutzrechts. Ein Verstoß gegen datenschutzrechtliche Pflichten ist daher zugleich ein potenzieller Verstoß gegen die gesellschaftsrechtlichen Pflichten des Geschäftsführers.

• Legalitätspflicht: Der Geschäftsführer muss sicherstellen, dass das Unternehmen geltendes Recht einhält
• Organisationspflicht: Er muss angemessene Compliance-Strukturen schaffen
• Informationspflicht: Er muss sich über relevante gesetzliche Anforderungen informieren – Unkenntnis schützt nicht
• Beweislastumkehr: Im Innenverhältnis zur GmbH muss der Geschäftsführer beweisen, dass er pflichtgemäß gehandelt hat – nicht umgekehrt

Besonderheiten bei Gesellschafter-Geschäftsführern

Beim Gesellschafter-Geschäftsführer, der häufigsten Konstellation bei kleinen GmbHs, verschwimmen die Grenzen zwischen Organverantwortung und Gesellschafterinteressen. Einerseits hat der Gesellschafter-Geschäftsführer ein eigenes wirtschaftliches Interesse am Unternehmen, das theoretisch zu einer besonders sorgfältigen Geschäftsführung motivieren sollte. Andererseits fehlt häufig die externe Kontrolle, die ein angestellter Fremdgeschäftsführer durch die Gesellschafter erfahren würde. Das kann dazu führen, dass Defizite im Datenschutz über lange Zeit unentdeckt bleiben.

Datenpannen und Meldepflichten: Wenn es brennt

Eine Datenpanne – also eine Verletzung des Schutzes personenbezogener Daten – kann in jedem Unternehmen vorkommen. Entscheidend ist dann, wie reagiert wird. Das Datenschutzrecht sieht für bestimmte Datenpannen eine Meldepflicht gegenüber der Aufsichtsbehörde vor, die innerhalb einer sehr kurzen Frist zu erfüllen ist. Zusätzlich kann eine Pflicht bestehen, die betroffenen Personen zu benachrichtigen.

Warum die Reaktion auf eine Datenpanne haftungsrelevant ist

Die Art und Weise, wie ein Unternehmen auf eine Datenpanne reagiert, ist ein zentraler Faktor bei der Bemessung möglicher Sanktionen. Eine verspätete, unvollständige oder unterlassene Meldung wird als eigenständiger Verstoß gewertet – zusätzlich zu dem Verstoß, der die Datenpanne selbst verursacht hat. Für den Geschäftsführer bedeutet das: Selbst wenn die Datenpanne nicht vermeidbar war, kann eine mangelhafte Reaktion darauf die persönliche Haftung begründen.

• Fristversäumnis: Die Meldefrist ist gesetzlich festgelegt und sehr kurz – jede Verzögerung kann als eigenständiger Verstoß gewertet werden
• Unvollständige Meldung: Die Meldung muss bestimmte Inhalte umfassen – wird etwas Wesentliches ausgelassen, kann das als Verletzung der Meldepflicht gelten
• Unterlassene Benachrichtigung Betroffener: Wenn Betroffene hätten informiert werden müssen und dies unterblieben ist, drohen zusätzliche Sanktionen
• Fehlende Dokumentation: Auch Datenpannen, die nicht meldepflichtig sind, müssen intern dokumentiert werden

Vorbereitung auf den Ernstfall

Unternehmen, die keinen Plan für den Umgang mit Datenpannen haben, stehen im Ernstfall vor einem doppelten Problem: Sie müssen die Panne selbst bewältigen und gleichzeitig die rechtlichen Anforderungen erfüllen – beides unter enormem Zeitdruck. Ob ein angemessener Notfallplan vorhanden ist oder nicht, kann im Nachhinein den Unterschied machen zwischen einem beherrschbaren Vorfall und einer Haftungskatastrophe.

Internationaler Datentransfer als unterschätztes Risiko

In einer digitalisierten Geschäftswelt nutzen auch kleine Unternehmen selbstverständlich Dienste von Anbietern, die Daten außerhalb des europäischen Wirtschaftsraums verarbeiten. Cloud-Speicher, E-Mail-Dienste, Projektmanagement-Tools, CRM-Systeme – die Liste ist lang. Jeder dieser Dienste kann einen internationalen Datentransfer darstellen, der besonderen rechtlichen Anforderungen unterliegt.

Warum „alle nutzen das doch" kein Argument ist

Die Tatsache, dass ein bestimmter Cloud-Dienst weit verbreitet ist, bedeutet nicht automatisch, dass seine Nutzung datenschutzkonform ist. Die Aufsichtsbehörden haben wiederholt klargestellt, dass die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung beim nutzenden Unternehmen liegt – nicht beim Anbieter des Dienstes. Und die rechtlichen Anforderungen an Datentransfers in bestimmte Drittländer sind komplex und unterliegen ständiger Veränderung.

• Angemessenheitsbeschlüsse: Für bestimmte Länder existieren Angemessenheitsbeschlüsse, die den Datentransfer erleichtern – aber deren Bestand ist nicht garantiert
• Standardvertragsklauseln: Ohne Angemessenheitsbeschluss müssen zusätzliche Garantien geschaffen werden, die in der Praxis komplex umzusetzen sind
• Transfer Impact Assessments: In vielen Fällen ist eine Einzelfallbewertung erforderlich, ob das Schutzniveau im Zielland tatsächlich angemessen ist
• Laufende Überprüfungspflicht: Auch einmal korrekt eingerichtete Datentransfers müssen regelmäßig überprüft werden

Warum Internetwissen und Muster-Vorlagen häufig scheitern

Das Internet ist voll von Muster-Datenschutzerklärungen, Checklisten und Ratgebern zum Thema DSGVO-Compliance. Viele Geschäftsführer glauben, mit diesen Hilfsmitteln sei das Problem gelöst. Tatsächlich ist das Gegenteil häufig der Fall: Generische Vorlagen schaffen ein trügerisches Sicherheitsgefühl, passen aber selten auf die konkrete Situation des einzelnen Unternehmens.

Das Problem mit One-Size-Fits-All-Lösungen

Datenschutz-Compliance ist kein standardisiertes Produkt, das man einmal kauft und dann hat. Jedes Unternehmen verarbeitet Daten auf unterschiedliche Weise, nutzt unterschiedliche Dienstleister, hat unterschiedliche technische Infrastrukturen und bedient unterschiedliche Märkte. Eine Datenschutzerklärung, die für einen Onlineshop erstellt wurde, passt nicht für ein Beratungsunternehmen – und umgekehrt.

• Unpassende Rechtsgrundlagen: Muster-Texte nennen oft Rechtsgrundlagen, die auf den konkreten Fall gar nicht zutreffen
• Fehlende Verarbeitungsprozesse: Standardtexte können spezifische Verarbeitungsprozesse des Unternehmens nicht abbilden
• Veraltete Inhalte: Die Rechtslage entwickelt sich ständig weiter – heruntergeladene Muster sind häufig veraltet
• Falsche Sicherheit: Wer glaubt, mit einem Muster alles erledigt zu haben, versäumt die eigentlich nötige individuelle Analyse

Die Komplexität des Zusammenspiels verschiedener Pflichten

Das Datenschutzrecht besteht nicht nur aus einer einzigen Pflicht, sondern aus einem Geflecht zahlreicher Anforderungen, die ineinandergreifen. Das Verarbeitungsverzeichnis muss zu den tatsächlichen Verarbeitungsprozessen passen. Die Datenschutzerklärung muss mit dem Verarbeitungsverzeichnis konsistent sein. Die Auftragsverarbeitungsverträge müssen die tatsächliche Zusammenarbeit mit Dienstleistern abbilden. Und alle diese Dokumente müssen aktuell gehalten werden. Ein einzelnes fehlendes oder widersprüchliches Element kann das gesamte System in Frage stellen.

• Inkonsistenz zwischen Dokumenten: Wenn Datenschutzerklärung und Verarbeitungsverzeichnis nicht übereinstimmen, fällt das spätestens bei einer Prüfung auf
• Fehlende Aktualisierung: Jeder neue Dienstleister, jedes neue Tool, jeder neue Geschäftsprozess erfordert eine Überprüfung und ggf. Anpassung der Datenschutzdokumentation
• Technische und organisatorische Maßnahmen: Diese müssen dem Stand der Technik entsprechen und regelmäßig überprüft werden

Aufsichtsbehörden und Prüfungen: Wie Verstöße aufgedeckt werden

Datenschutzverstöße werden nicht nur durch spektakuläre Datenpannen öffentlich. Die Aufsichtsbehörden haben verschiedene Möglichkeiten, Verstöße aufzudecken – und sie nutzen diese zunehmend. Für Geschäftsführer bedeutet das: Man sollte nicht darauf vertrauen, dass Defizite unentdeckt bleiben.

Wie Behörden auf Unternehmen aufmerksam werden

• Beschwerden betroffener Personen: Jeder Betroffene kann sich direkt an die Aufsichtsbehörde wenden – und das geschieht zunehmend häufig
• Beschwerden von Mitarbeitern: Unzufriedene oder ehemalige Mitarbeiter sind eine häufige Quelle für Hinweise an die Behörden
• Anlasslose Prüfungen: Die Aufsichtsbehörden führen stichprobenartige oder thematische Prüfungen durch
• Medienberichte: Berichte über Datenpannen oder Datenschutzprobleme können eine behördliche Prüfung auslösen
• Meldungen nach Datenpannen: Eine pflichtgemäß gemeldete Datenpanne kann eine weitergehende Prüfung nach sich ziehen
• Hinweise anderer Behörden: Bei Kooperationen zwischen verschiedenen Behörden können Datenschutzverstöße als Nebeneffekt anderer Prüfungen entdeckt werden

Behördliche Befugnisse und Anordnungen

Die Aufsichtsbehörden verfügen über weitreichende Befugnisse. Sie können Auskunft verlangen, Geschäftsräume betreten, Datenverarbeitungen einschränken oder verbieten und Bußgelder verhängen. Für ein kleines Unternehmen kann bereits eine behördliche Anordnung, bestimmte Datenverarbeitungen einzustellen, existenzbedrohend sein – unabhängig von einem etwaigen Bußgeld.

• Auskunftsverlangen: Die Behörde kann detaillierte Informationen über Datenverarbeitungsprozesse anfordern
• Vor-Ort-Prüfung: Die Behörde kann Geschäftsräume betreten und Unterlagen einsehen
• Verarbeitungsverbot: Die Behörde kann bestimmte Datenverarbeitungen vorübergehend oder dauerhaft untersagen
• Bußgeld: Die Behörde kann empfindliche Bußgelder verhängen

Vertragliche Haftungsrisiken gegenüber Geschäftspartnern

Neben den behördlichen und zivilrechtlichen Risiken besteht ein weiteres Haftungsfeld, das häufig übersehen wird: die vertragliche Ebene. Viele Geschäftsbeziehungen beinhalten Datenschutzklauseln, Auftragsverarbeitungsverträge oder allgemeine Zusicherungen zur Einhaltung des Datenschutzrechts. Wenn ein Unternehmen gegen diese vertraglichen Pflichten verstößt, drohen vertragliche Schadensersatzansprüche der Geschäftspartner.

Typische vertragliche Risiken

• Vertragliche Garantien: Wer in Verträgen oder AGB die Einhaltung des Datenschutzrechts zusichert, haftet vertraglich für Verstöße
• Auftragsverarbeitungsverträge: Als Auftragsverarbeiter übernimmt das Unternehmen spezifische vertragliche Pflichten gegenüber dem Verantwortlichen
• Haftungsklauseln: In vielen B2B-Verträgen finden sich Haftungsregelungen, die bei Datenschutzverstößen greifen
• Kündigungsrechte: Datenschutzverstöße können Geschäftspartnern ein außerordentliches Kündigungsrecht geben
• Reputationsschäden: Ein Datenschutzvorfall bei einem Dienstleister kann dessen Auftraggeber treffen – und dieser wird Regress nehmen

Kettenreaktionen in der Dienstleisterkette

In vielen Geschäftsmodellen werden personenbezogene Daten entlang einer Kette von Dienstleistern verarbeitet. Ein Datenschutzverstoß an einer Stelle der Kette kann Haftungsansprüche entlang der gesamten Kette auslösen. Für den Geschäftsführer bedeutet das: Nicht nur die eigenen Datenverarbeitungsprozesse sind relevant, sondern auch die Frage, ob die eingesetzten Dienstleister ihrerseits den Datenschutz einhalten.

Was auf dem Spiel steht: Konsequenzen im Überblick

Die Folgen eines Datenschutzverstoßes beschränken sich selten auf eine einzige Konsequenz. In der Regel entfaltet sich ein ganzes Bündel von Auswirkungen, die sich gegenseitig verstärken können.

Finanzielle Konsequenzen

• Behördliche Bußgelder: Unter Umständen in erheblicher Höhe
• Schadensersatzansprüche: Von betroffenen Personen und Geschäftspartnern
• Anwalts- und Verfahrenskosten: Die Kosten der Verteidigung und Beratung
• Umsatzeinbußen: Durch Verarbeitungsverbote oder Kundenverlust
• Erhöhte Versicherungsprämien: Sofern der Vorfall versicherungsrelevant ist

Persönliche und berufliche Konsequenzen für den Geschäftsführer

• Persönliche Haftung mit dem Privatvermögen: Bei Regressansprüchen oder direkten Bußgeldern
• Strafrechtliche Verurteilung: Mit möglichem Eintrag ins Führungszeugnis
• Abberufung als Geschäftsführer: Datenschutzverstöße können ein wichtiger Grund für die Abberufung sein
• Reputationsschaden: Persönlich und für das Unternehmen
• Berufsverbot: In schwerwiegenden Fällen kann eine Verurteilung dazu führen, dass bestimmte berufliche Tätigkeiten nicht mehr ausgeübt werden können

Konsequenzen für das Unternehmen

• Verarbeitungsverbote: Die Behörde kann Kernprozesse des Unternehmens untersagen
• Kundenverlust: Öffentlich bekannt gewordene Datenschutzverstöße schrecken Kunden ab
• Verlust von Geschäftspartnern: Unternehmen, die Datenschutzverstöße begehen, verlieren das Vertrauen ihrer Auftraggeber
• Erschwerter Marktzugang: Insbesondere bei öffentlichen Ausschreibungen oder der Zusammenarbeit mit größeren Unternehmen, die Datenschutz-Compliance voraussetzen

Warum frühzeitige anwaltliche Beratung entscheidend ist

Die Komplexität des Themas – das Zusammenspiel von Datenschutzrecht, Gesellschaftsrecht, Zivilrecht und Strafrecht – macht es für Laien nahezu unmöglich, die eigene Situation zutreffend einzuschätzen. Was wie ein kleines Versäumnis aussieht, kann sich als erhebliches Haftungsrisiko entpuppen. Und was wie ein überschaubares Problem erscheint, kann durch falsche Reaktionen erheblich verschlimmert werden.

In welchen Situationen anwaltliche Beratung besonders dringlich ist

• Behörde hat sich gemeldet: Wenn eine Aufsichtsbehörde Auskunft verlangt, eine Beschwerde weiterleitet oder eine Prüfung ankündigt
• Datenpanne ist eingetreten: Wenn personenbezogene Daten unbefugt offengelegt, verändert oder verloren wurden
• Abmahnung erhalten: Wenn ein Wettbewerber, ein Verband oder eine Privatperson wegen Datenschutzverstößen abmahnt
• Schadensersatzforderung: Wenn ein Betroffener Schadensersatz wegen eines Datenschutzverstoßes verlangt
• Gesellschafterstreit: Wenn Datenschutz-Compliance in einem Gesellschafterstreit zum Thema wird
• Geschäftsführerwechsel: Wenn ein Wechsel in der Geschäftsführung ansteht und die Frage der Altlasten relevant wird
• Präventiv: Wenn Sie unsicher sind, ob Ihr Unternehmen datenschutzrechtlich angemessen aufgestellt ist

Was professionelle Beratung leisten kann

Ein erfahrener Anwalt kann die spezifische Situation Ihres Unternehmens und Ihre persönliche Haftungslage als Geschäftsführer beurteilen. Er kennt die Schnittstellen zwischen den verschiedenen Rechtsgebieten und kann Risiken identifizieren, die für Laien nicht erkennbar sind. Vor allem kann er einschätzen, welche Maßnahmen in welcher Reihenfolge sinnvoll sind – und welche Reaktionen eine Situation verschlimmern statt sie zu verbessern.

Die wirtschaftliche Perspektive

Anwaltliche Beratung kostet Geld – das ist unbestritten. Aber verglichen mit den finanziellen Konsequenzen eines Datenschutzverstoßes, der durch fehlende oder falsche Beratung eskaliert, sind die Kosten einer rechtzeitigen professionellen Einschätzung in aller Regel überschaubar. Insbesondere für Geschäftsführer, die mit ihrem Privatvermögen haften, ist die Frage nicht, ob sie sich Beratung leisten können – sondern ob sie es sich leisten können, darauf zu verzichten.

Besonderheiten bei der Durchsetzung von Bußgeldern gegen Geschäftsführer

Die Frage, ob und unter welchen Voraussetzungen ein Bußgeld direkt gegen den Geschäftsführer als natürliche Person verhängt werden kann, ist rechtlich komplex. Die DSGVO richtet sich primär an den „Verantwortlichen" – und das ist in der Regel das Unternehmen. Doch das nationale Recht kennt Zurechnungsmechanismen, die eine Sanktionierung der handelnden natürlichen Personen ermöglichen. Die genauen Voraussetzungen und Grenzen dieser Zurechnung sind Gegenstand intensiver rechtlicher Diskussion.

Zurechnungsmechanismen im deutschen Recht

Das deutsche Ordnungswidrigkeitenrecht ermöglicht es unter bestimmten Voraussetzungen, Bußgelder auch gegen die verantwortlichen natürlichen Personen in einem Unternehmen zu verhängen. Dabei geht es nicht nur um aktives Fehlverhalten, sondern auch um Unterlassungen – also das Versäumnis, angemessene Aufsichtsmaßnahmen zu treffen. Für den Geschäftsführer bedeutet das: Auch wenn er den konkreten Verstoß nicht selbst begangen hat, kann er als Aufsichtspflichtiger in die Verantwortung genommen werden.

• Täterschaftliche Verantwortung: Wenn der Geschäftsführer den Verstoß selbst angeordnet oder durchgeführt hat
• Aufsichtspflichtverletzung: Wenn der Geschäftsführer es versäumt hat, angemessene Aufsichtsmaßnahmen zu treffen
• Garantenstellung: Der Geschäftsführer hat eine besondere Verantwortungsposition, aus der sich eigenständige Handlungspflichten ergeben

Unklare Rechtslage als zusätzliches Risiko

Die Frage der persönlichen Bußgeldhaftung des Geschäftsführers bei Datenschutzverstößen ist in vielen Detailfragen noch nicht abschließend geklärt. Das bedeutet einerseits Rechtsunsicherheit – andererseits aber auch, dass Behörden in ihrer Auslegung Spielräume haben, die nicht immer zugunsten des Geschäftsführers genutzt werden. Wer sich in dieser unklaren Rechtslage ohne anwaltliche Beratung bewegt, navigiert im Nebel.

Fazit

Datenschutzverstöße sind für Geschäftsführer kleiner und mittelständischer GmbHs kein abstraktes Risiko – sie können zu empfindlichen persönlichen Konsequenzen führen, die weit über das hinausgehen, was die meisten Unternehmer erwarten. Die Haftungsbeschränkung der GmbH schützt den Geschäftsführer in diesem Bereich nur eingeschränkt. Bußgelder, Schadensersatzforderungen, Regressansprüche der eigenen Gesellschaft und strafrechtliche Konsequenzen können den Geschäftsführer direkt und persönlich treffen.

Die Komplexität des Themas ergibt sich aus dem Zusammenspiel mehrerer Rechtsgebiete – Datenschutzrecht, Gesellschaftsrecht, Zivilrecht und Strafrecht –, die jeweils eigene Regeln, Fristen und Beweislastverteilungen haben. Generische Vorlagen und Internetwissen können die individuelle Risikolage eines Unternehmens nicht erfassen und schaffen häufig mehr Probleme als sie lösen.

Wer als Geschäftsführer Verantwortung für ein Unternehmen trägt, das personenbezogene Daten verarbeitet – und das tut praktisch jedes Unternehmen –, sollte die Frage der Datenschutz-Compliance nicht auf die leichte Schulter nehmen. Eine professionelle Einschätzung der individuellen Situation ist in der Regel der wirtschaftlich und rechtlich klügere Weg als abzuwarten und zu hoffen, dass nichts passiert. Falls Sie unsicher sind, wie Ihre Lage aussieht, finden Sie den passenden Kontaktweg über die Kontaktseite.