Login

Geschäftsführerhaftung bei DSGVO-Verstößen nach Cyber-Attacken: Neuer kostenloser Guide schützt vor persönlichem Risiko

Die Zahlen sind alarmierend: Rund 60% der Cyberangriffe in Deutschland richten sich gegen den Mittelstand. Die Gesamtschäden durch Cyberattacken beliefen sich 2023 auf 148 Milliarden Euro. Doch während viele Geschäftsführer denken, dass „nur" das Unternehmen haftet, zeigt die aktuelle Rechtsprechung ein anderes Bild: Bei DSGVO-Verstößen können Geschäftsführerpersönlich zur Verantwortung gezogen werden.

🕒 5 Min. Lesezeit

Inhaltsverzeichnis

Wenn Cyberattacken zur persönlichen Haftungsfalle werden

Die Zahlen sind alarmierend: Rund 60% der Cyberangriffe in Deutschland richten sich gegen den Mittelstand. Die Gesamtschäden durch Cyberattacken beliefen sich 2023 auf 148 Milliarden Euro. Doch während viele Geschäftsführer denken, dass „nur“ das Unternehmen haftet, zeigt die aktuelle Rechtsprechung ein anderes Bild: Bei DSGVO-Verstößen können Geschäftsführerpersönlich zur Verantwortung gezogen werden – mit Bußgeldern bis zu 20 Millionen Euro und Schadensersatzforderungen, die auch das Privatvermögen gefährden.

Ein aktueller Fall macht deutlich, wie ernst die Lage ist: Nach einer Cyberattacke auf einen IT-Dienstleister der Berliner Verkehrsbetriebe (BVG) wurden 145 Schadensersatzklagen eingereicht– obwohl die BVG selbst nicht direkt angegriffen wurde. Die Botschaft ist klar: Geschäftsführerhaften auch für Versäumnisse bei Dienstleistern.

Um Geschäftsführern von KMU eine praxisnahe Orientierung zu bieten, hat die Security Awareness Toolbox jetzt einen umfassenden kostenlosen Guide zur Geschäftsführerhaftung bei DSGVO-Verstößen und Cyberattacken veröffentlicht.

Warum die Geschäftsführerhaftung bei Cyberattacken zunimmt

Rechtliche Grundlage: § 43 GmbHG und § 93 AktG

Die persönliche Haftung der Geschäftsführung ergibt sich aus mehreren Rechtsgrundlagen:

  • § 43 GmbHG (GmbH-Geschäftsführer) verpflichtet zur Sorgfalt eines ordentlichen Geschäftsmanns. Das bedeutet: Geschäftsführer müssen proaktiv für angemessene IT-Sicherheit sorgen.
  • § 93 AktG (Vorstände) sowie § 91 Abs. 2 AktG fordern ein Risikomanagement, das bestandsgefährdende Entwicklungen frühzeitig erkennt – dazu gehört explizit auch die Cybersicherheit.
  • Art. 5 DSGVO verpflichtet zur Gewährleistung angemessener Sicherheit personenbezogener Daten. Verstöße können laut Art. 82 DSGVO zu Schadensersatzforderungen führen – und zwar bereits bei rein immateriellen Schäden.

Die neue Dimension: NIS2-Richtlinie verschärft die Haftung

Ab Herbst 2025 tritt die NIS2-Richtlinie in Deutschland in Kraft und betrifft etwa 30.000Unternehmen. Die Besonderheit: Artikel 20 der NIS2-Richtlinie macht die Geschäftsführung persönlich verantwortlich für die Überwachung der Cybersicherheitsmaßnahmen.

Neu ist auch die Verpflichtung, dass die Geschäftsführung selbst an Sicherheitsschulungen teilnehmen muss – ein klares Signal des Gesetzgebers, dass Cybersecurity Chefsache ist.

Der „Risikofaktor Mensch“: Warum ein Security Awareness Programm unverzichtbar ist

Die Statistik ist eindeutig: 82% aller Sicherheitsvorfälle gehen auf menschliches Fehlverhalten zurück. Phishing-E-Mails, unsichere Passwörter oder das unachtsame Öffnen von Anhängen – die größte Schwachstelle in jedem Unternehmen sind die Mitarbeiter.

Typische Angriffsszenarien auf KMU:

  • Phishing-Attacken: Gefälschte E-Mails vom vermeintlichen CEO, IT-Support oder Geschäftspartner
  • Social Engineering: Manipulation von Mitarbeitern zur Preisgabe vertraulicher Informationen
  • Ransomware: Verschlüsselung von Unternehmensdaten mit Lösegeldforderung
  • „Chefmasche“ (CEO Fraud): Anweisung zu Überweisungen im Namen der Geschäftsführung

Ein prominentes Beispiel: Bei Adecco Frankreich verkaufte ein 19-jähriger Praktikant Zugangsdaten für 15.000 Euro. Die Folge: 2.400 Nebenkläger forderten Schadensersatz, der Gesamtschaden belief sich auf 1,6 Millionen Euro.

Die Lösung: Security Awareness-Programm

Ein strukturiertes nachhaltiges Programm für mehr Bewusstsein zu Datenschutz und Datensicherheit kann die Erfolgsquote von Phishing-Angriffen um bis zu70% reduzieren. Die Investition liegt bei typischerweise 50-100 Euro pro Mitarbeiter und Jahr – ein Bruchteil der potenziellen Schadenskosten bei einem erfolgreichen Cyberangriff.

Was der neue Guide zur Geschäftsführerhaftung bietet

Der kostenlose Guide „Geschäftsführerhaftung bei DSGVO-Verstößen und Cyberattacken“ umfasst über 20 Seiten mit praxisrelevanten Informationen:

Kernthemen des Guides:

  • Persönliche Haftung der Geschäftsführung: Wann greift die persönliche Haftung nach § 43GmbHG? Welche Voraussetzungen müssen erfüllt sein?
  • DSGVO-Bußgelder: Aktuelle Beispiele und Höhe der Strafen bei Datenschutzverstößen (bis zu 20 Mio. EUR oder 4% des Jahresumsatzes)
  • Der „Risikofaktor Mensch“: Warum Mitarbeiter das größte Sicherheitsrisiko darstellen und wie Sie gegensteuern können
  • Phishing, Social Engineering & Co.: Die häufigsten Angriffsszenarien auf KMU – mit konkreten Beispielen
  • Organisationspflichten: Was Sie als Geschäftsführer nachweisen können müssen, um Ihrer Sorgfaltspflicht gerecht zu werden
  • Security Awareness-Programm: Die wirksamste Präventionsmaßnahme – mit Umsetzungsempfehlungen für KMU
  • Compliance-Nachweis: Wie Sie Ihre Sorgfaltspflicht dokumentieren und im Ernstfall belegen können
  • Praxis-Checkliste: 10 Sofortmaßnahmen zur Risikominimierung, die Sie direkt umsetzen können

Für wen ist der Guide relevant?

Der Guide richtet sich speziell an:

  • Geschäftsführer und Vorstände von KMU mit bis zu 250 Mitarbeitern
  • Inhaber von Personengesellschaften, die datenschutzrechtlich verantwortlich sind
  • Datenschutzbeauftragte und IT-Verantwortliche, die die Geschäftsführung beraten
  • IT-Dienstleister und Systemhäuser, die ihre Kunden über Haftungsrisiken aufklären möchten

Aktuelle Rechtsprechung: OLG Dresden bestätigt persönliche Haftung

Das Urteil des OLG Dresden vom 30.11.2021 (Az. 4 U 1158/21) hat Signalwirkung: Das Gericht stellte fest, dass Geschäftsführer bei DSGVO-Verstößen auch persönlich gegenüber Betroffenenhaften können – nicht nur gegenüber der eigenen Gesellschaft.

Im konkreten Fall wurde ein Schadensersatz von 5.000 Euro wegen eines DSGVO-Verstoßes zugesprochen. Für KMU kann dies schnell existenzbedrohend werden, wenn hunderte odertausende Betroffene Schadensersatz fordern.

Was bedeutet das für die Praxis?

Die Rechtsprechung macht deutlich:

  • Es reicht nicht, sich auf IT-Dienstleister zu verlassen
  • Die Geschäftsführung trägt die Gesamtverantwortung – auch ohne technische Fachkenntnisse
  • Der Verweis auf interne Zuständigkeiten („Ich bin nicht für IT verantwortlich“) greift nicht
  • Proaktives Handeln ist entscheidend – nicht nur Reaktion nach einem Vorfall

Warum gerade KMU besonders gefährdet sind

Kleine und mittlere Unternehmen stehen vor besonderen Herausforderungen:

  • Begrenzte Ressourcen
  • Keine eigene IT-Security-Abteilung
  • Abhängigkeit von externen Dienstleistern
  • Oft veraltete Sicherheitsmaßnahmen aufgrund von Budgetbeschränkungen

Attraktives Ziel für Cyberkriminelle

Nach Angaben der European Union Agency for Cybersecurity (ENISA) entfallen rund 60% der Cyberangriffe in Deutschland auf den Mittelstand. Der Grund: Cyberkriminelle erwarten hier geringere Sicherheitsmaßnahmen („low hanging fruits“) bei gleichzeitig lohnenswerten Zielen.

Unterschätzte rechtliche Risiken

Viele KMU-Geschäftsführer:

  • Behandeln DSGVO-Compliance als „Papierkram“
  • Haben keine Vorbereitung auf Schadensersatzforderungen
  • Führen keine ausreichende Dokumentation von Sicherheitsmaßnahmen
  • Kennen ihre persönlichen Haftungsrisiken nicht

Hohe relative Schadenshöhe

Für KMU können bereits durchschnittliche Schadenssummen existenzbedrohend sein:

  • 25.000 Euro durchschnittliche Kosten pro Cyber-Vorfall
  • 148 Milliarden Euro Gesamtschaden durch Cyberangriffe in Deutschland (2023)
  • DSGVO-Bußgelder bis zu 4% des Jahresumsatzes
  • Zusätzlich: Anwaltskosten, Schadensersatz, Reputationsverlust

So fordern Sie den kostenlosen Guide an

Der Guide „Geschäftsführerhaftung bei DSGVO-Verstößen nach Cyberattacken“ steht ab sofort kostenlos zur Verfügung.

Anforderung in 3 Schritten:

  • Formular ausfüllen auf www.security-awareness-toolbox.de/gf-haftung-dsgvo-cyberattacken
  • E-Mail-Bestätigung erhalten
  • PDF-Download direkt im Posteingang

Fazit: Handeln Sie jetzt – bevor es zu spät ist

Die Bedrohungslage durch Cyberattacken nimmt kontinuierlich zu, und die rechtlichen Anforderungen an Geschäftsführer werden immer strenger. Die Kombination aus DSGVO, NIS2-Richtlinie und aktueller Rechtsprechung macht deutlich: IT-Sicherheit ist Chefsache – und Versäumnisse können zur persönlichen Haftung führen.

Häufig gestellte Fragen (FAQ)

No accordions found

Kann ich als Geschäftsführer einer GmbH persönlich haften?

Ja. Nach § 43 Abs. 2 GmbHG haften Geschäftsführer der Gesellschaft gegenüber auf Schadensersatz, wenn sie ihre Pflichten verletzen. Bei DSGVO-Verstößen kann nach aktueller Rechtsprechung (OLG Dresden, 2021) auch eine direkte Haftung gegenüber Betroffenenbestehen.

Was kostet ein durchschnittlicher Cyber-Vorfall?

Die durchschnittlichen Kosten pro Cyber-Vorfall liegen bei etwa 25.000 Euro. Bei größeren Vorfällen mit Datenschutzverletzungen können jedoch schnell Kosten im sechsstelligen Bereich entstehen – plus mögliche DSGVO-Bußgelder bis zu 20 Millionen Euro.

Wie oft sollten Mitarbeiter geschult werden?

Mindestens einmal jährlich, besser sind quartalsweise kurze Auffrischungen. Die Schulung sollte dokumentiert werden, um im Haftungsfall die Sorgfaltspflicht nachweisen zu können.

Was passiert, wenn ich als Geschäftsführer nichts tue?

Bei einem Cyber-Vorfall mit DSGVO-Relevanz können folgen:
  • Bußgelder bis zu 20 Mio. EUR oder 4% des Jahresumsatzes
  • Schadensersatzforderungen von Betroffenen
  • Persönliche Haftung für Schäden der Gesellschaft Strafverfolgung bei grober Fahrlässigkeit
  • Reputationsverlust und Kundenabwanderung

Schützt mich eine Cyber-Versicherung?

Eine Cyber-Versicherung deckt oft finanzielle Schäden ab, schützt aber nicht vor der persönlichen Haftung bei grober Fahrlässigkeit. Entscheidend ist: Sie müssen nachweisen, dass Sie angemessene Präventionsmaßnahmen getroffen haben – sonst zahlt die Versicherung nicht.

Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Datenschutz (DSGVO): Regelt den rechtmäßigen Umgang mit personenbezogenen Daten Datensicherheit (IT-Security): Technische und organisatorische Maßnahmen zum Schutz vor Cyberattacken Beide Bereiche sind eng verzahnt: Ohne ausreichende IT-Sicherheit kann kein wirksamer Datenschutz gewährleistet werden.

Security Awareness Toolbox: Die Komplettlösung für mehr Bewusstsein zu Datenschutz & Datensicherheit im Unternehmen

Die Security Awareness Toolbox bietet KMU eine Ready-to-Use-Lösung für die Konzeption und Umsetzung eines strukturierten Security Awareness Programms – ohne dass Sie alles selbst entwickeln müssen.

Was die Toolbox umfasst:

  • 12-Monats-Schulungsplan für strukturierte Security Awareness-Kampagnen
  • 12 Schulungsmodule (Video-Tutorials, Schulungsskripte, Schulungstests) zu allen relevanten Themen der IT-Sicherheit und des Datenschutzes
  • 12 monatliche Newsletter „Datenschutz & Datensicherheit“ zur kontinuierlichen Sensibilisierung der Mitarbeiter
  • Phishing-Beispiele mit Analysen und Erklärungen für praktische Schulungen
  • Checkliste zur Konzeption, Durchführung und Auswertung von Phishing-Simulationen
  • Präsentationsvorlagen für Kickoff-Meetings mit Rednerskripten
  • Dokumentationsvorlagen für Schulungsnachweise (wichtig für Compliance und Haftungsschutz!)

Investment und ROI

Die 12-monatige Unternehmenslizenz kostet 166 EUR pro Monat (1.992 EUR pro Jahr zzgl. MwSt.). – das entspricht bei 50 Mitarbeitern weniger als 4 Euro pro Mitarbeiter und Monat.

Im Vergleich: Ein einziger erfolgreicher Phishing-Angriff kostet im Durchschnitt 25.000 Euro. Die Toolbox amortisiert sich also bereits, wenn sie einen einzigen Vorfall verhindert.

Fordern Sie den kostenlosen Guide zur Geschäftsführerhaftung an und erfahren Sie, wie Sie sich vor persönlicher Haftung bei DSGVO-Verstößen schützen:

Guide jetzt kostenlos anfordern

Sie möchten mehr darüber erfahren, wie Sie die Beschäftigten Ihres Unternehmensvom Risikofaktor in eine "Human Firewall" verwandeln?

Kein Problem! In einem kostenlosen Erstgespräch vermitteln wir Ihnen einen Überblick, welche Maßnahmen dafür erforderlich sind und wie Ihnen die Security Awareness Toolbox dabei hilft, diese Maßnahmen mit minimalem Zeit- und Kostenaufwand umzusetzen.
Termin vereinbaren

📋 Nächste Schritte

Security Quick Check starten
Kostenloses Beratungsgespräch vereinbaren
Newsletter abonnieren

📚 Ähnliche Artikel

Ohne Bewusstsein keine Sicherheit

Alles was Sie für ein nachhaltiges Security Awareness-Programm im Unternehmen benötigen
Security Awareness Toolbox kennenlernen
Bild von Heike Kröner

Heike Kröner

Heike Kröner ist als Marketingleiterin für die Content-Marketing-Strategie der Security Awareness Toolbox verantwortlich. Als zertifizierte Online-Marketing-Expertin kombiniert sie digitales Marketing-Know-how mit langjähriger praktischer Erfahrung im B2B-Umfeld. Sie erlebte den Ransomware-Angriff auf GROHMANN BUSINESS CONSULTING hautnah mit und arbeitete danach aktiv am ersten Security Awareness-Programm des Unternehmens mit. Dabei erkannte sie die besonderen Herausforderungen, vor denen kleine und mittlere Unternehmen stehen: Knappe Ressourcen, fehlendes Spezialwissen und die Schwierigkeit, komplexe Sicherheitsthemen verständlich zu vermitteln. Dieses Verständnis für die KMU-Perspektive prägt heute ihre Arbeit für die Security Awareness Toolbox.

📚 Weitere Beiträge zum Thema:

Nur 166,- € pro Monat *)

Jahreslizenz pro Unternehmen

  • Alle Module und Updates
  • Unbegrenzte Mitarbeiterlizenzen
  • Persönliches On-Boarding
  • Support per Telefon & E-Mail
  • Sofort einsatzbereit
Jetzt Angebot anfordern

*) = 1.992,- € zzgl. MwSt. bei jährlicher Zahlung