Datenschutz und Compliance: Wie Geschäftsführer rechtliche Risiken minimieren können

Inhalt in Kürze

• Datenschutz und Compliance ist 2026 kein Bürokratie-Thema mehr, sondern Chefsache: Bußgelder bis 20 Mio. Euro (DSGVO) bzw. 10 Mio. Euro (NIS-2), persönliche Haftung der Geschäftsführung.
• Deutsche Behörden verhängten 2025 rund 249 DSGVO-Bußgelder über 47 Millionen Euro — die Mehrheit traf KMU, nicht Konzerne.
• Die Pflicht-Basis für jedes KMU: Datenschutzbeauftragter (ab 20 MA mit Datenverarbeitung), Verarbeitungsverzeichnis, TOMs, Auftragsverarbeitungsverträge, 72-Stunden-Meldepflicht.
• NIS-2 betrifft seit Dezember 2025 rund 29.500 Unternehmen in Deutschland — wer DSGVO sauber hat, deckt schon 50-60 Prozent der NIS-2-Anforderungen ab.
• Pragmatischer Einstieg: Externer Datenschutzbeauftragter für 150-400 Euro pro Monat, ein Verarbeitungsverzeichnis in Excel, MFA für alle Konten — damit ist das gröbste Risiko aus dem Spiel.

Datenschutz und Compliance werden gerne im selben Atemzug genannt — und genauso oft als juristische Schikane abgetan. Beides ist falsch. Datenschutz ist Pflicht, Compliance ist Geschäftsführungsaufgabe, und wer beides ignoriert, riskiert hohe Bußgelder, persönliche Haftung und im Ernstfall den Verlust wichtiger Aufträge. Wir sehen das wöchentlich bei Hamburger Geschäftsführern: nicht, weil sie es nicht ernst nehmen — sondern weil ihnen niemand ehrlich erklärt, was wirklich Pflicht ist und was Theaterdonner.

Dieser Artikel räumt damit auf. Konkrete Pflichten, konkrete Kostenrahmen, klare Reihenfolge der Maßnahmen.

Was Datenschutz und Compliance heute bedeuten — kurz und klar

Datenschutz ist die Einhaltung der DSGVO: Sie schützt personenbezogene Daten von Mitarbeitern, Kunden, Bewerbern und Lieferanten. Compliance ist der Oberbegriff: Einhaltung aller relevanten Regeln — DSGVO, NIS-2, GoBD, Steuerrecht, Branchenstandards.

Für Geschäftsführer in Deutschland sind drei Regelwerke 2026 zentral:

1. DSGVO (seit 2018) — Bußgelder bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.
2. NIS-2 (in Deutschland seit Dezember 2025) — Bußgelder bis 10 Millionen Euro oder 2 Prozent, persönliche Haftung. Details in unserem NIS-2-Beratung-Artikel.
3. BDSG (Bundesdatenschutzgesetz) — ergänzt die DSGVO für Deutschland, regelt z.B. die Pflicht zum Datenschutzbeauftragten.

Wer in regulierten Branchen arbeitet (Gesundheit, Steuerberatung, Anwaltskanzleien, Finanzdienstleister), kommt zusätzlich auf branchenspezifische Pflichten — Schweigepflicht nach § 203 StGB, Berufsrecht, MaRisk, KRITIS. Aber das DSGVO/NIS-2-Fundament gilt für alle. Für Zulieferer im Lübecker Medtech-Cluster (Dräger, Euroimmun & Co.) zeigt unsere Vertiefung zur NIS2 Medizintechnik Lübeck, welche Nachweise OEMs im Auftragsgespräch heute tatsächlich verlangen.

Quelle für die Bußgeld-Zahlen: aktuelle Auswertung des DSGVO-Portals zu Bußgeldverfahren 2025.

Die fünf Pflicht-Bausteine, die jedes KMU braucht

Ohne diese fünf Punkte gehen Sie unbeschützt in jeden Behörden-Audit:

1. Datenschutzbeauftragten bestellen. Pflicht, sobald 20 oder mehr Personen ständig mit automatisierter Datenverarbeitung befasst sind (§ 38 BDSG). Bei sensiblen Daten (Gesundheit, Beschäftigte, Profiling) kann die Pflicht schon früher greifen. Externer DSB: 150-400 Euro/Monat — günstiger und unabhängiger als interne Lösungen.
2. Verarbeitungsverzeichnis nach Art. 30 DSGVO. Eine Liste aller Stellen, an denen personenbezogene Daten verarbeitet werden — von Lohnabrechnung über CRM bis Webanalyse. Excel-Tabelle reicht für KMU. Das Verzeichnis ist das Erste, was Aufsichtsbehörden anfordern.
3. Technische und organisatorische Maßnahmen (TOMs). Zugriffskontrollen, Verschlüsselung, Backups, Berechtigungskonzepte, Vertraulichkeitsverpflichtungen. Die DSGVO verlangt sie in Art. 32. Achtung: TOMs müssen dokumentiert UND technisch umgesetzt sein.
4. Auftragsverarbeitungsverträge (AVV). Mit jedem Dienstleister, der Daten in Ihrem Auftrag verarbeitet — Microsoft 365, CRM-Anbieter, externer IT-Dienstleister, Lohnbuchhaltung. Ohne AVV ist die Datenweitergabe rechtswidrig. Wir liefern AVVs für unsere Managed-IT-Kunden mit.
5. Meldepflicht bei Datenpannen. 72 Stunden, sobald Sie eine meldepflichtige Datenpanne entdecken — an die zuständige Aufsichtsbehörde, ggf. an Betroffene. Ein vorbereiteter Incident-Response-Prozess ist Gold wert.

DSGVO-Bußgelder 2025: Wer wurde wirklich getroffen?

Es ist ein hartnäckiger Mythos, dass DSGVO-Bußgelder nur Großkonzerne treffen. Laut DSGVO-Portal-Auswertung 2025 verhängten deutsche Behörden 249 Bußgelder über insgesamt 47 Millionen Euro. Der höchste Einzelfall war Vodafone mit 45 Millionen Euro — aber die übrigen 248 Verfahren trafen weit überwiegend mittelständische und kleine Unternehmen.

Die häufigsten Auslöser:

• Tracking ohne Einwilligung (Cookie-Banner ohne echte Wahl, Google Analytics nicht DSGVO-konform konfiguriert)
• Unrechtmäßiger Umgang mit Bewerberdaten (Bewerbungen zu lang aufbewahrt, an Dritte weitergegeben)
• Datenpannen ohne Meldung (Festplatte verloren, E-Mail an falsche Empfängergruppe — und nicht innerhalb 72 Stunden gemeldet)
• Unzureichende technische Maßnahmen (kein verschlüsseltes Backup, schwache Passwörter, keine MFA)
• Fehlende AVVs mit IT-Dienstleistern

Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss. Beim Datenschutz ist das oft erstaunlich simpel: AVVs durchgehen, MFA aktivieren, Backup prüfen.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Persönliche Haftung — was Geschäftsführer wirklich riskieren

Nach außen haftet immer das Unternehmen. Aber im Innenverhältnis kann die Geschäftsführung in Regress genommen werden, wenn sie ihre Sorgfaltspflicht verletzt. Konkret bedeutet das:

• Sie haben keinen DSB bestellt, obwohl Pflicht? Fahrlässig.
• Sie haben keine TOMs umgesetzt, obwohl ein Datenleck offensichtlich vermeidbar gewesen wäre? Grob fahrlässig.
• Sie haben NIS-2 ignoriert? Persönliche Haftung — die Geschäftsleiterhaftung ist hier ausdrücklich geregelt.

Bei Cyberangriffen mit Datenabfluss kommt schnell ein Schadensersatz-Cocktail zusammen: DSGVO-Bußgeld, Schadensersatz an Betroffene, Vertragsstrafen aus Kundenverträgen, Aufsichtsmaßnahmen. Wenn der Aufsichtsrat oder die Gesellschafter dann fragen, warum die Geschäftsführung nicht früher gehandelt hat, wird es persönlich.

Pragmatischer Fahrplan für den Mittelstand

Wir haben mit Mandanten in Hamburg und Norddeutschland einen Standard-Fahrplan entwickelt, der die wichtigsten Risiken in 4-8 Wochen aus dem Spiel nimmt. Ohne externe Compliance-Maschinerie, ohne Berater-Marathon.

• Woche 1: DSB klären. Externer oder interner Datenschutzbeauftragter, Vertrag aufsetzen, Verantwortung klar zuordnen. Wir arbeiten mit unseren Partnern bei [fragHugo](/it-dienstleister/ihre-datenschutz-checkliste-fuer-2026-und-was-sie-ueber-die-neuen-datengesetze-wissen-muessen "Datenschutz-Checkliste 2026 — neue Datengesetze") für externen DSB-Service.
• Woche 2-3: Verarbeitungsverzeichnis aufnehmen. Welche Anwendungen verarbeiten welche personenbezogenen Daten? Wer ist Verantwortlicher, wer Auftragsverarbeiter? Excel reicht.
• Woche 3-4: TOMs prüfen und dokumentieren. Backup verschlüsselt? MFA überall? EDR aktiv? Patchmanagement geregelt? Wir machen das im Rahmen unserer [Cybersecurity-Beratung](/it-insights/compliance-und-datenschutz-in-der-cloud-tipps-fuer-geschaeftsfuehrer "Compliance und Datenschutz in der Cloud").
• Woche 4-5: AVVs einsammeln. Mit jedem IT-Dienstleister, jedem Cloud-Anbieter, jedem Lohnbüro. Standardvertragsklauseln nutzen, nicht jeder Anbieter braucht eigenen Vertrag.
• Woche 6-8: Incident-Response-Plan. Wer macht was im Fall einer Datenpanne? Klare Verantwortlichkeiten, 72-Stunden-Meldekette, Vorlagen vorbereiten.

Aus der Praxis: Drei häufige Fehlannahmen

In den letzten 12 Monaten haben wir bei rund 30 Erstgesprächen mit Hamburger Geschäftsführern systematisch dieselben Missverständnisse gehört.

„Wir sind zu klein für DSGVO-Audits.” Falsch. Aufsichtsbehörden prüfen zunehmend KMU — gerade dort, wo schlampig gearbeitet wird. Beschwerden von Mitarbeitern oder Kunden lösen Verfahren aus. Mit 20 Mitarbeitern sind Sie längst auf dem Radar.

„DSGVO ist doch von 2018, das haben wir.” Wir prüfen das Verarbeitungsverzeichnis und die TOMs. In 8 von 10 Fällen ist das Dokument von 2018, seitdem nichts mehr. Neue Tools (Microsoft Teams, neuer CRM, neue Webanalyse) tauchen nicht auf. Das ist ein klassischer Audit-Fund.

„Unser Steuerberater macht das mit.” Steuerberater dürfen — aber sind selten DSGVO-Spezialisten. Datenschutz braucht jemanden, der sich nur damit beschäftigt. Externer DSB ist hier in 9 von 10 Fällen die bessere Wahl.

Was kostet pragmatischer Datenschutz für ein KMU?

Konkrete Hausnummer für ein typisches Hamburger KMU mit 30-50 Arbeitsplätzen:

Das ist eine Größenordnung. Wenn Sie davon abweichen — nach oben oder unten — hat das einen Grund (Branche, Komplexität, Datenmengen). Im Vergleich zu durchschnittlichen DSGVO-Bußgeldern ist das eine sinnvolle Investition. Im Rahmen unserer Managed IT Services sind viele TOMs (Backup, MFA, Patchmanagement) ohnehin enthalten.

Wer noch nicht weiß, ob das Unternehmen NIS-2-pflichtig ist, kann das in 5 Minuten mit dem NIS-2-Betroffenheits-Check klären — die DSGVO-Pflichten gelten dann zusätzlich.

Fazit: Compliance ist kein Projekt, sondern Hygiene

Datenschutz und Compliance sind 2026 keine optionale Tugend mehr, sondern die Grundlage jedes seriösen Geschäftsbetriebs. Die gute Nachricht: Mit 4-8 Wochen Disziplin bringen Sie die wichtigsten Pflichten in den Griff. Mit 300-600 Euro pro Monat halten Sie sie laufend aktuell.

Die schlechte Nachricht: Wer die Basis nicht hat, riskiert Bußgelder, Reputationsschäden und persönliche Haftung. Wir sehen das in jedem zweiten Erstgespräch in Hamburg.

Externe Quellen für Geschäftsführer:

• BSI — IT-Grundschutz und Compliance
• Bitkom — Cloud-Strategie & Compliance Leitfaden 2025
• Datenschutz-Checkliste 2026 aus unserem Blog