IT-Sicherheit, Datenschutz & Recht

Geschäftsführer-Haftung bei IT-Sicherheitsvorfällen

Sind Sie persönlich ausreichend geschützt?

Als Geschäftsführer tragen Sie nicht nur unternehmerische, sondern auch persönliche Verantwortung für die IT-Sicherheit. Ein einziger Vorfall kann existenzbedrohende Konsequenzen haben - für Ihr Unternehmen und für Sie privat.

Lesezeit: ca. 5 Minuten
?
?
?
?
?
?

Stellen Sie sich diese wichtigen Fragen

Ehrliche Antworten helfen Ihnen, die richtige Entscheidung für Ihre IT-Sicherheit zu treffen

?
?

Wissen Sie mit Sicherheit, dass Ihre IT alle gesetzlichen Anforderungen erfüllt und Sie im Ernstfall nicht persönlich haften?

?
?

Was wären die Folgen für Sie persönlich, wenn Ihre Kunden nach einem Datenleck Schadensersatz fordern und Behörden Bußgelder verhängen?

?
?

Können Sie heute nachweisen, dass Sie alle zumutbaren Maßnahmen ergriffen haben - oder hoffen Sie nur, dass nichts passiert?

Das Problem & die Lösung

Wenn IT zur Schwachstelle wird - warum regelmäßige Wartung entscheidend ist

Das Problem

Risiko
!
!

Die Datenschutz-Grundverordnung (DSGVO) fordert in Artikel 32„geeignete technische und organisatorische Maßnahmen”. Dies ist keine Empfehlung, sondern eine gesetzliche Pflicht. Fehlen diese Maßnahmen, kann dies im Schadensfall als Organisationsverschulden gewertet werden. Die Konsequenzen sind in Artikel 82und Artikel 83klar geregelt: Bußgelder und Schadensersatz treffen nicht nur die Firma - die Verantwortung kann direkt auf Sie als Geschäftsführer durchschlagen.

Die Lösung

Sicher

Unsere Aufgabe bei TECHPOINT ist es nicht nur, Ihre IT am Laufen zu halten. Wir sind Ihr strategischer Partner, der Ihnen den Rücken freihält und Ihr persönliches Haftungsrisiko minimiert. Mit uns können Sie sich rechtlich auf der sicheren Seite wissen, weil Ihre IT nachweislich gesetzeskonform ist, sich auf Ihr Kerngeschäft konzentrieren, anstatt sich mit technischen Details zu belasten, und im Ernstfall belegen, dass Sie Ihrer unternehmerischen Sorgfaltspflicht vollumfänglich nachgekommen sind.

Die häufigsten Haftungsfallen

Jeder dieser Punkte stellt eine tickende Zeitbombe dar. Die Gerichte und Behörden sehen hier bei einem Vorfall ganz genau hin.

!

Keine professionelle Firewall

Eine Firewall nach "Stand der Technik" ist eine absolute Basisanforderung aus Art. 32 DSGVO. Fehlt sie, ist der Vorwurf der groben Fahrlässigkeit kaum abzuwenden.

!

Kein funktionierendes Backup

Art. 32 DSGVO fordert explizit die Fähigkeit, Daten "bei einem Zwischenfall rasch wiederherzustellen". Ohne getestete Backups: Pflicht nicht erfüllt.

!

Ignorieren der NIS2-Richtlinie

Die NIS2-Richtlinie sieht eine persönliche Haftung der Geschäftsleitung vor. Betroffen: Kritische Branchen mit >50 MA oder >10 Mio. € Umsatz.

!

Keine Mitarbeiter-Schulungen

Über 90% aller Cyberangriffe beginnen mit Phishing. Fehlt die Schulung, liegt ein klares Organisationsversäumnis der Geschäftsführung vor.

!

Keine Passwort-Regeln

Ausgeschiedene Mitarbeiter haben möglicherweise noch Zugriff. Im Schadensfall wird dies als mangelnde Kontrolle gewertet.

!

Fehlende Dokumentation

Die Beweislast liegt bei Ihnen. Ohne dokumentierte Sicherheitsstrategie gibt es keine Entlastung gegenüber Behörden.

!

Fehlender Auftragsverarbeitungsvertrag

Nutzen Sie externe Dienstleister (Cloud, Buchhaltung, Newsletter)? Ohne AVV verstoßen Sie gegen Art. 28 DSGVO - ein klassischer Fehler bei KMU.

!

Veraltete Systeme & fehlende Updates

Alte Software ohne Sicherheitsupdates ist ein Einfallstor für Angreifer. Wer Updates ignoriert, handelt fahrlässig und verletzt seine Organisationspflicht.

!

Unzureichende Datenschutzerklärung

Jede Website muss eine vollständige Datenschutzerklärung haben. Fehlen Angaben zu Cookies, Kontaktformularen oder externen Diensten, liegt ein klarer DSGVO-Verstoß vor.

Fallbeispiele aus der Praxis

Reale DSGVO-Bußgelder zeigen: Es kann jedes Unternehmen treffen. Diese Fälle sind alle offiziell dokumentiert.

Arztpraxis

Deutschland

Bußgeld

50 €

Unzureichende Sicherheitsmaßnahmen beim Entsorgen von Daten - Patientenunterlagen wurden nicht ordnungsgemäß vernichtet.

Quelle: DSGVO-Portal

Apotheke

Deutschland

Bußgeld

6.500 €

Unsachgemäße Entsorgung sensibler Kundendaten und unrechtmäßige Videoüberwachung des Verkaufsraums.

Quelle: DSGVO-Portal

Restaurant

Saarland, Deutschland

Bußgeld

2.000 €

Unerlaubte Kameraüberwachung des Gastraumes ohne rechtliche Grundlage und ohne Information der Gäste.

Quelle: DSGVO-Portal

Verein

Deutschland

Bußgeld

1.000 €

Fehlende Sicherung des Onlineshops vor unbefugtem Zugriff - keine ausreichenden technischen Maßnahmen implementiert.

Quelle: DSGVO-Portal

Dienstleister

Hamburg, Deutschland

Bußgeld

5.000 €

Fehlender Auftragsverarbeitungsvertrag mit einem Dienstleister, der Zugriff auf Kundendaten hatte.

Quelle: Onlinehändler News

Online-Shop für Medikamente

Niedersachsen, Deutschland

Bußgeld

65.500 €

Veraltete Software mit bekannten Sicherheitslücken wurde weiter betrieben, obwohl Updates verfügbar waren.

Quelle: Heise Online

Gaststätte

Deutschland

Bußgeld

20.000 €

Videoüberwachung von Kunden und Mitarbeitenden im Gastraum ohne ausreichende Rechtsgrundlage.

Quelle: DSGVO-Portal

Pflegeheim

Deutschland

Bußgeld

9.500 €

Offenlegung einer Besucherliste mit personenbezogenen Daten von Angehörigen und Besuchern.

Quelle: DSGVO-Portal

Solo-Selbstständiger

Deutschland

Bußgeld

9.000 €

Unzureichender Datenschutz durch Technikgestaltung - fehlende technische Maßnahmen zur Absicherung.

Quelle: DSGVO-Portal

Dienstleister

Deutschland

Bußgeld

8.900 €

Fehlender Schutz einer Kundendatenbank - unzureichende technische Sicherheitsmaßnahmen.

Quelle: DSGVO-Portal

Solo-Selbstständige

Deutschland

Bußgeld

6.200 €

Unzulässige Datenverarbeitung - Verarbeitung personenbezogener Daten ohne Rechtsgrundlage.

Quelle: DSGVO-Portal

Steuerberater

Deutschland

Bußgeld

5.832 €

Lagerung von Steuerakten mit sensiblen Mandantendaten in einem ungesicherten Parkhaus.

Quelle: DSGVO-Portal

Unternehmen

Deutschland

Bußgeld

5.000 €

Verstoß gegen den Grundsatz der Datenminimierung - Erhebung und Speicherung übermäßiger Daten.

Quelle: DSGVO-Portal

Unternehmen

Deutschland

Bußgeld

4.500 €

Weitergabe von Vertragsinformationen an Dritte ohne Einwilligung oder Rechtsgrundlage.

Quelle: DSGVO-Portal

Arztpraxis

Deutschland

Bußgeld

3.700 €

Veröffentlichung personenbezogener Daten inkl. Gesundheitsdaten als Reaktion auf schlechte Google-Bewertung.

Quelle: DSGVO-Portal

Was passiert im Schadensfall?

Die Kaskade der Konsequenzen - vom ersten Vorfall bis zur persönlichen Haftung

1

Die Schwachstelle existiert

Lange bevor etwas passiert, ist die Lücke bereits da: Keine Firewall, veraltete Software, fehlende Schulungen. Sie wissen vielleicht nichts davon - aber im Schadensfall wird genau das zum Problem.

2

Der Vorfall tritt ein

Ransomware verschlüsselt Ihre Systeme, Kundendaten werden gestohlen, oder Ihre Produktion steht still. Die ersten Stunden sind chaotisch - niemand weiß genau, was zu tun ist.

3

Meldepflicht & Behörden

Sie müssen den Vorfall innerhalb von 72 Stunden den Datenschutzbehörden melden (Art. 33 DSGVO). Betroffene Kunden müssen unverzüglich informiert werden. Der Druck ist enorm.

4

Die Untersuchung beginnt

Datenschutzbehörden und Versicherungen prüfen akribisch: Wurden alle Sorgfaltspflichten erfüllt? Gab es ein dokumentiertes Sicherheitskonzept?

5

Die Konsequenzen treffen ein

Bußgelder bis zu 20 Mio. €, Schadensersatzforderungen, Betriebsunterbrechung, Reputationsschaden und persönliche Haftung der Geschäftsführung bei nachweislichem Organisationsverschulden.

6

Sie haften persönlich

Als Geschäftsführer können Sie nicht auf die Firma verweisen. Wurde die Sorgfaltspflicht verletzt, haftet die GmbH nicht - sondern Sie. Mit Ihrem Privatvermögen.

Die klassischen Trugschlüsse

Viele Unternehmer wiegen sich in falscher Sicherheit. Erkennen Sie Ihre eigenen Gedanken wieder?

Zu klein für Hacker?

Ich bin doch viel zu klein, um für Hacker interessant zu sein.

Die Realität:

Laut BSI-Lageberichtgelten KMU als Hauptziel von Cyberkriminellen. Warum? Weil hier oft die Schutzmaßnahmen am schwächsten sind.

Bisher ist nichts passiert

Bei uns ist doch bisher noch nie etwas passiert.

Die Realität:

Das ist wie Autofahren ohne Gurt. Die Bedrohungslage ändert sich täglich. Die Frage ist nicht ob, sondern wann eine Schwachstelle ausgenutzt wird.

Die Versicherung zahlt schon

Wir haben eine Cyber-Versicherung. Das reicht doch.

Die Realität:

Versicherungen zahlen nur, wenn Sie Ihre Sorgfaltspflicht nachweisen können. Ohne dokumentierte Maßnahmen gibt es keine Leistung - und die persönliche Haftung bleibt.

Mein IT-Mensch regelt das

Dafür ist doch mein IT-Mensch zuständig.

Die Realität:

Die Geschäftsführung trägt die Organisationsverantwortung. Sie können Aufgaben delegieren, aber nicht die Haftung. Sie müssen kontrollieren, ob Maßnahmen umgesetzt werden.

Ihre IT-Sicherheit ist Chefsache.Lassen Sie uns gemeinsam handeln.

Wenn Sie bei einem oder mehreren Punkten unsicher geworden sind, ist das ein gutes Zeichen. Es zeigt, dass Sie Ihre Verantwortung ernst nehmen.

Lassen Sie uns in einem unverbindlichen und absolut vertraulichen Gespräch klären, wo Ihre persönlichen Risiken liegen und wie wir diese für Sie schnell und unkompliziert eliminieren können.

Jetzt Haftungs-Check vereinbaren

Keine Verkaufsgespräche. Nur ehrliche Beratung unter vier Augen.