DSGVO-Falle: Was Geschäftsführer jetzt beim Datenschutz beachten müssen
Datenschutzverstöße können für Unternehmen teuer werden. Für Geschäftsführer und Vorstände im Ernstfall sogar existenzbedrohend sein. Warum die persönliche Haftung häufig unterschätzt wird, welche organisatorischen Fehler besonders riskant sind und wie sich Unternehmensleitungen wirksam schützen können, erklärt Rechtsanwältin Sandra Dury.

Geschäftsführer aufgepasst: Gerade mal 13 Prozent der für Datenschutz verantwortlichen Personen halten die persönliche Haftung von Geschäftsleitern für ein relevantes Risiko. Dabei drohen gerade hier existenzgefährdende Regressforderungen für Fehler im Datenschutz.
Anzeige
Datenschützer in deutschen Unternehmen fürchten vor allem eins: Imageschäden. Fast jeder Dritte derjenigen, die für den Datenschutz verantwortlich sind, sorgt sich vor allem um die Reputation des Unternehmens. Weitere 27 Prozent sehen als besonders gefährlich an, dass sich innerhalb der Fachabteilungen zu wenig um den Datenschutz gekümmert wird. 22 Prozent nennen Schadenersatz als eines der größten Risiken. Danach folgen Bußgelder von Behörden (19 Prozent) und mögliche Rechtskosten (17 Prozent), sollte es zu einem Verfahren kommen. Das Problem: Ausgerechnet die Unternehmensspitze trifft es im Fall des Falles am härtesten, denn sie können persönlich haften und zwar mit ihrem gesamten Privatvermögen.
Wer haftet, wenn der Datenschutz versagt?
Das Gesetz ist eindeutig: Top-Entscheider, also vor allem Geschäftsführer und Vorstände, müssen das Unternehmen mit der Sorgfalt eines ordentlichen Geschäftsmannes – das Gesetz gendert nicht – leiten und unterliegen einer strikten Compliance- und Legalitätspflicht. GmbH-Geschäftsführer fallen dabei unter die Regelungen von § 43 GmbHG, bei Vorständen gilt nahezu der identische Maßstab aus § 93 Aktiengesetz. Verletzen sie diese Pflichten und entsteht dem Unternehmen dadurch ein Schaden, müssen sie diesen Schaden grundsätzlich aus eigener Tasche ersetzen und dies schließt verhängte Unternehmensbußgelder im Wege des internen Regresses ein.
Doch auch wenn Betroffene wegen eines Verstoßes gegen Datenschutzvorgaben beispielsweise nach Art. 82 DSGVO Schadenersatz vom Unternehmen erstreiten, kann die Geschäftsleitung dafür persönlich zur Rechenschaft gezogen werden.
Die eigentliche Gefahr lauert im Innenverhältnis: Der Vorwurf lautet hier, eventuellen Datenschutzverstößen durch eine unangemessene Organisation im Unternehmen unzureichend vorgebeugt zu haben. Hier sieht das Gesetz sogar eine Umkehr der Beweislast vor. Wem ein solcher Pflichtverstoß vorgeworfen wird, muss belegen können, alles Notwendige unternommen zu haben, um Datenschutzverstöße möglichst zu vermeiden.
Organisationsverschulden als Einfallstor
In der Praxis entsteht die Haftung selten durch eine einzelne Fehlentscheidung. Häufiger ist es ein schleichendes Organisationsversagen, das Juristen als Organisationsverschulden bezeichnen. Sobald sich Anhaltspunkte für Missstände zeigen, gilt für das Management die strikte Drei-Schritte-Regel: Aufklären, Abstellen, Ahnden. Wer hier die Augen verschließt oder bewusst rechtswidrige Risiken in Kauf nimmt, begeht einen bewussten Pflichtverstoß.
Die Geschäftsleitung muss sicherstellen, dass im Unternehmen klare Zuständigkeiten für den Datenschutz bestehen, dass Verstöße auffallen und dass die Organisation auf neue Risiken reagieren kann. Genau hier liegt eine Schwachstelle, welche die Umfrage offenlegt: Fast sechs von sieben Datenschutzverantwortlichen übernehmen neben dem Datenschutz noch weitere Aufgaben, etwa in der IT-Sicherheit oder im Qualitätsmanagement. Nur 17 Prozent kümmern sich ausschließlich um den Datenschutz. Wenn dieselbe Person den Datenschutz organisiert und gleichzeitig die Abteilung leitet, die dabei kontrolliert werden soll, entsteht ein struktureller Interessenkonflikt. Und genau ein solcher Konflikt lässt sich vor einer Behörde oder einem Gericht schwer rechtfertigen.
Die Zahlen zeigen zudem, dass sich die Lage eher verschärft als entspannt. Fast ein Viertel der für den Datenschutz Verantwortlichen kritisieren, dass ihnen schlicht die Zeit für ihre Aufgaben fehlt. 17 Prozent fühlen sich zu spät oder gar nicht in wichtige Entscheidungen eingebunden, 13 Prozent vermissen Rückendeckung durch das Top-Management. Gleichzeitig wachsen die regulatorischen Anforderungen: 37 Prozent nennen die gesetzlichen Vorgaben als zunehmend komplex, 30 Prozent berichten von immer neuen Anforderungen, etwa durch KI-Regulierung. Wenn Ressourcen fehlen, obwohl die Anforderungen immer weiter steigen, wächst auch die Gefahr, das vor Gericht später auf Organisationsverschulden entschieden wird und die strenge persönliche Haftung, etwa nach § 43 GmbHG, greift.
Existenzbedrohend hohe Summen
Wie teuer ein solches Organisationsverschulden werden kann, zeigte sich erst im Juni 2025: Die Bundesbeauftragte für den Datenschutz verhängte gegen Vodafone ein Bußgeld von 45 Millionen Euro, unter anderem, weil das Unternehmen seine Partneragenturen nicht ausreichend kontrolliert und Sicherheitslücken im Authentifizierungsverfahren seines Kundenportals nicht geschlossen hatte. Bislang handelt es sich um das höchste Datenschutz-Bußgeld in Deutschland, und es traf ein Unternehmen, das über erhebliche Compliance-Ressourcen verfügt. Kleinere und mittlere Unternehmen, deren Datenschutzbeauftragte ohnehin schon mit zu vielen Aufgaben jonglieren, tragen ein vergleichbares Risiko, dessen sich die Geschäftsleiter vergegenwärtigen sollten.
Dies gilt umso mehr, als auch die von vielen Geschäftsführern und Vorständen abgeschlossene D&O-Versicherung keinen hundertprozentigen Schutz im Ernstfall bietet. Zwar wird sie häufig als Schutzschild verstanden und auch so angeboten, doch Bußgelder werden in den vielen AVB (Allgemeine Versicherungsbedingungen) ausgeschlossen. Zudem gilt bei der D&O-Versicherung oft ein schmerzhafter Selbstbehalt von mindestens zehn Prozent des Schadens bis zu einer bestimmten Höhe der festen jährlichen Vergütung des Organs, was bei Millionenbußgeldern den direkten Ruin bedeuten kann. Zudem geht der Versicherungsschutz verloren, falls sich die versicherten Personen vorsätzlich oder wissentlich etwas haben zuschulden kommen lassen. In solchen Fällen kann der Versicherer die verauslagten Kosten für den Rechtsstreit sogar ersetzt verlangen. Dies gilt auch bei Schadenersatzforderungen, die sich das Unternehmen von den Managern zurückholen kann.
Was Geschäftsleiter jetzt tun sollten
Wer sich schützen möchte, sollte als Geschäftsführer oder Vorstand mindestens die folgenden fünf Schritte abarbeiten:
- Sich regelmäßig über den Stand des Datenschutzes im Unternehmen informieren lassen und dies dokumentieren. Dazu gehört insbesondere das Verzeichnis von Verarbeitungstätigkeiten (VVT), welches beschreibt, wie mit personenbezogenen Daten umgegangen wird und an welchen Stellen. Wer informierte und vor allem gesetzeskonforme Entscheidungen trifft und das auch belegen kann, bewegt sich innerhalb der sogenannten Business Judgment Rule und ist meistens sicher. Denn ein bewusster Rechtsverstoß ist immer ein Pflichtverstoß; rechtswidrige Entscheidungen sind niemals Teil der unternehmerischen Freiheit und sprengen diesen rettenden Schutz sofort.
- Klare Zuständigkeiten ohne Interessenkonflikte einführen. Wie die Umfrage zeigt, läuft Datenschutz häufig als Nebenaufgabe in einer anderen Fachabteilung mit, obwohl diese selbst zum Gegenstand der Kontrolle werden kann. Solche offensichtlichen Widersprüche in der Unternehmensorganisation sollten unbedingt vermieden werden, damit ein möglicher Datenschutzvorfall nicht zu einem Boomerang für die Geschäftsleiter persönlich wird.
- Die strikte Drei-Schritte-Regel konsequent anwenden. Sobald sich bei Kontrollen oder durch Hinweise Anhaltspunkte für ein Fehlverhalten zeigen, muss das Management sofort eingreifen: Aufklären, Abstellen, Ahnden. Wer hier die Augen verschließt, begeht ein klassisches Organisationsverschulden, für das er voll haftbar gemacht werden kann
- Wer Software, Cloud-Dienste oder KI-Anwendungen einführt, sollte von Anfang an die Datenschutzverantwortlichen einbinden. Dies geschieht noch viel zu selten und birgt gleich eine doppelte Gefahr: Einerseits werden personenbezogene Daten womöglich entgegen der Vorschriften, insbesondere der DSGVO, verarbeitet. Andererseits entgeht dem wichtigsten DSGVO-Dokument, dem VVT, eventuell eine wesentliche Änderung hinsichtlich der internen Abläufe bei besonders schützenswerten Daten.
- Neben einer D&O-Versicherung, die über eine ausreichend hohe Versicherungssumme verfügen sollte, lohnt sich ein genauer Blick auf die personelle und ressourcentechnische Ausstattung der eigenen Datenschutzabteilung. Angesichts der Geschwindigkeit, in der sich allein durch KI jeden Tag etwas im Unternehmen ändern kann, kommt es auf gut geschulte Kolleginnen und Kollegen im Datenschutz an. Die DSGVO verpflichtet das Management in Art. 38 Abs. 2 ohnehin dazu, ausreichende Ressourcen und Fachwissen zur Verfügung zu stellen – wer hier an der falschen Stelle spart, provoziert die persönliche Inanspruchnahme direkt selbst.
Apropos KI: Wenn es hart auf hart kommt, zählt allein, was im Gesetz steht und wie Gerichte bewerten, was in einem Unternehmen passiert. Gerade in sensiblen Bereichen, wie Gesundheit und Vorsorge, kann beispielsweise ein mit KI erstelltes Einwilligungsformular zu einer bösen Falle werden. Denn in vielen Fällen arbeiten keine ausgebildeten Juristen im Datenschutz, sondern Fachleute, die diese Aufgaben zusätzlich übernehmen und durch immer neue regulatorische Anforderungen, wie etwa den AI Act,/ KI Verordnung schnell an ihre Grenzen stoßen. Auch dieses Risiko sollten Geschäftsleiter sehr sorgsam abwägen und den internen Datenschutz von einer rein reaktiven Kontrollinstanz zu einer interdisziplinären Governance-Funktion an der Schnittstelle von Recht und Technik weiterentwickeln.
Über die Umfrage: Dury Consult hat 500 Verantwortliche für den Datenschutz in Unternehmen in Deutschland mit mehr als 500 Mitarbeitern befragen lassen. Die Umfrage wurde im April und Mai 2026 von Civey Deutschland durchgeführt.
