23. Juni 2025

Datenschutzverstöße mit Konsequenzen – Haftungsrisiken für das Management

Risikomanagement
Versicherungsmanagement
Datenschutzverstöße mit Konsequenzen – Haftungsrisiken für das Management
Die fortschreitende Digitalisierung erhöht nicht nur die Effizienz in Unternehmen, sondern auch ihre Anfälligkeit für Cybervorfälle und Datenschutzverletzungen.

Datenlecks bei prominenten Unternehmen wie Facebook oder Volkswagen machen deutlich: Die Verantwortung endet nicht auf der operativen Ebene – auch das Management kann persönlich haftbar gemacht werden. Aber nicht nur große Unternehmen, sondern auch auf KMU-Ebene sind Datenlecks und deren Folgen mittlerweile fast alltäglich. Zu nennen sind hierbei igus, Pilz oder Heise. 

DSGVO: Stärkung der Betroffenenrechte durch BGH-Urteil

Ein Urteil des Bundesgerichtshofs (BGH) aus November 2024 hat zentrale Weichen in der Auslegung von Art. 82 DSGVO gestellt. Der BGH stellte klar, dass bereits der kurzfristige Kontrollverlust über personenbezogene Daten einen immateriellen Schaden darstellen kann – selbst ohne konkreten Missbrauch oder psychische Beeinträchtigungen. Damit wurde das Datenschutzverständnis weiter geschärft: Die bloße Verletzung der Verfügungsgewalt über eigene Daten reicht aus, um einen Schadensersatzanspruch geltend zu machen. 

Dieser Anspruch ergibt sich aus Art. 82 Abs. 1 DSGVO, der Betroffenen bei Verstößen gegen die Datenschutz-Grundverordnung einen Anspruch auf Ersatz sowohl materieller als auch immaterieller Schäden zuspricht. Diese Rechtsprechung stärkt nicht nur die Position der Betroffenen, sondern erhöht zugleich die Haftungsrisiken für Unternehmen und deren Führungskräfte erheblich.

Wer haftet – Unternehmen oder Geschäftsführung? 

Grundsätzlich ist die juristische Person (z. B. GmbH oder AG) als „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DSGVO haftbar. Doch bereits das Urteil des Oberlandesgerichts Dresden vom 30. November 2021 zeigt, dass auch Geschäftsführer persönlich haften können – und zwar als datenschutzrechtlich Verantwortliche neben dem Unternehmen. Entscheidend ist, ob die betreffende Person maßgeblich über Zwecke und Mittel der Datenverarbeitung entscheidet. Darüber hinaus droht eine Innenhaftung nach gesellschaftsrechtlichen Vorschriften wie § 43 GmbHG oder § 93 AktG. Wird etwa ein Bußgeld gegen die Gesellschaft verhängt und lässt sich dies auf eine Sorgfaltspflichtverletzung der Geschäftsführung zurückführen, kann die Gesellschaft Regress beim Organmitglied nehmen.

Prävention durch D&O-Versicherung – aber mit DSGVO-Prüfung

In diesem Zusammenhang gewinnt der Blick auf bestehende D&O-Versicherungen (Directors and Officers Liability) an Bedeutung. Zwar dienen diese Policen dem Schutz von Geschäftsführern und Vorständen vor persönlichen Haftungsrisiken. Doch nicht jede D&O-Police deckt Datenschutzverletzungen ab, insbesondere im Kontext der DSGVO. 

Es ist daher dringend zu empfehlen, bestehende Versicherungsverträge einer individuellen Prüfung und gegebenenfalls einer DSGVO-konformen Anpassung zu unterziehen. Hier sollte geprüft werden, ob: 

  • Schadensersatzansprüche nach Art. 82 DSGVO abgedeckt sind,
  • Regressforderungen der Gesellschaft im Innenverhältnis versichert sind,
  • Bußgeldrisiken berücksichtigt werden (sofern zulässig).

Pflichten der Geschäftsleitung – organisatorisch und technisch 

Nach Art. 32 DSGVO ist die Geschäftsleitung verpflichtet, technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten. Dazu zählt insbesondere die Fähigkeit, Systeme nach einem Sicherheitsvorfall zügig wiederherzustellen. Kommt es zu einem Datenleck infolge eines Cyberangriffs, greifen zudem die Meldepflichten gemäß Art. 33 und 34 DSGVO: Betroffene und Aufsichtsbehörde müssen unverzüglich informiert werden. 

Blick nach vorn: NIS2-Richtlinie erhöht Anforderungen 

Mit der bis Oktober 2024 umzusetzenden EU-Richtlinie NIS2 (Network and Information Security Directive) steigen die Anforderungen weiter. Sie sieht erweiterte Verpflichtungen zur Cybersicherheit vor – inklusive verpflichtender Schulungen für Führungskräfte und Mitarbeitende. Die Geschäftsleitung steht damit noch stärker in der Verantwortung, eine umfassende Sicherheitsarchitektur aufzubauen und kontinuierlich zu pflegen. 

Fazit 

Die aktuelle Rechtsprechung und die verschärfte gesetzliche Lage zeigen: Datenschutzverstöße sind nicht länger nur ein IT-Thema – sie betreffen das gesamte Unternehmen, insbesondere die Führungsebene. Der persönliche Haftungsrahmen für Geschäftsführer und Vorstände wächst. Ein effektives Datenschutzmanagement, flankiert durch geeignete Versicherungen wie eine DSGVO-konforme D&O-Police, ist daher heute unverzichtbar. Wer hier nicht proaktiv handelt, riskiert nicht nur Bußgelder, sondern auch persönliche Haftungsansprüche. 

Für eine fundierte Beratung zur Optimierung Ihrer D&O-Versicherung und zur Einschätzung individueller Haftungsrisiken stehen wir Ihnen gerne zur Verfügung. 

Folgen Sie uns auf LinkedIn und erhalten Sie regelmäßig Updates zu den Themen Versicherungen & Risikomanagement
Schulz & Partner signet logo

Weitere relevante Beiträge für Sie

Risiken im Zusammenhang mit Insolvenzanfechtungen managen
29. Aug 2025
Risiken im Zusammenhang mit Insolvenzanfechtungen managen.
Die Insolvenzanfechtung ist ein Rechtsinstrument im deutschen Insolvenzrecht, mit dem der Insolvenzverwalter bestimmte Vermögensvorteile, die kurz vor Eröffnung des Insolvenzverfahrens dem Schuldner entzogen wurden, zurückfordert, um sie der Insolvenzmasse zur gleichmäßigen Begleichung aller Gläubiger zuzuführen.
Versicherungsmanagement
Ein Thema aus der Praxis – die vorläufige Deckung
21. Aug 2025
Ein Thema aus der Praxis – die vorläufige Deckung
In der täglichen Arbeit sind wir immer wieder damit konfrontiert, dass Unternehmen sofortigen Versicherungsschutz benötigen – etwa weil sie zügig Aufträge starten oder neue Risiken abdecken müssen, bevor alle Formalitäten vollständig abgeschlossen sind.
Versicherungsmanagement
Alle Beiträge

Versicherungs
management

Wir evaluieren Ihre Risiken, betreuen Ihr Portfolio, überprüfen es regelmäßig, kennen Märkte und Preise, übernehmen den Versicherungsschriftverkehr und prüfen Dokumente, Rechnungen etc.

Schaden
management

Wir unterstützen Sie von der Meldung bis zur Regulierung und Abwicklung von Schäden. Aber auch bei der Prävention – denn es ist für alle am besten, wenn einfach nichts passiert …

Risiko
management

Wir erstellen Risikoanalysen und belastbare Risk-Management-Konzepte mit Behörden und Versicherern.Wir unterstützen durch Risikoinformationen und mit Risk and Insurance Due Diligence Prüfungen.

Mergers &
Acquisitions

Wir begleiten Unternehmenstransaktionen mit Versicherungs-Due-Diligence, präziser Analyse und maßgeschneiderten M&A-Transaktionsversicherungen für Garantien und (Steuer-)Freistellungen.