Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
Geschäftsführer-Haftung Compliance: Briefing | vsca
Geschaeftsfuehrer-HaftungZuletzt aktualisiert: 2026-06-23

Geschäftsführer-Haftung & Compliance: Das Executive-Briefing zu NIS2 und DSGVO

Zuletzt aktualisiert: 23.06.2026

Compliance ist 2026 keine reine IT- oder Rechtsabteilungsfrage mehr – sie ist zur persönlichen Pflicht der Geschäftsleitung geworden. NIS2 und DSGVO adressieren ausdrücklich Sie als Geschäftsführerin oder Geschäftsführer: bei der Billigung und Überwachung von Maßnahmen, bei einer eigenen Schulungspflicht und – im Ernstfall – beim persönlichen Haftungsrisiko. Dieses kompakte Briefing fasst auf wenigen Seiten zusammen, wofür Sie als Leitungsorgan einstehen, welche Bußgeldrahmen gelten und welche drei bis fünf Entscheidungen Sie kurzfristig treffen sollten. Knapp, führungstauglich, faktenbasiert – ohne Paragrafendickicht.

Briefing anfordern · oder direkt Fragen mit uns klären.

Warum die Haftung jetzt bei Ihnen persönlich liegt

Der regulatorische Rahmen hat sich 2025/2026 in zwei Punkten entscheidend verschoben: Pflichten werden zunehmend direkt an die Leitungsebene adressiert, und sie sind bereits geltendes Recht – nicht mehr Countdown.

  • NIS2 ist seit dem 6. Dezember 2025 in Kraft (NIS2UmsuCG), und zwar ohne allgemeine Übergangsfrist. Der Kreis der betroffenen Einrichtungen ist von rund 4.500 auf etwa 29.500 in 18 Sektoren gewachsen (Schwelle: ab 50 Mitarbeitende oder 10 Mio. € Umsatz).
  • Die BSI-Registrierungsfrist (6. März 2026) ist abgelaufen – und bis dahin waren laut BDO (2026) erst rund 11.500 der etwa 29.500 Einrichtungen registriert. Wer betroffen ist und nicht gehandelt hat, ist bereits im Verzug.
  • Die DSGVO flankiert das seit Jahren mit unmittelbarer Verantwortlichkeit des Verantwortlichen – also des Unternehmens, dessen Pflichten die Geschäftsleitung organisieren und überwachen muss.

Der entscheidende Punkt für Sie: NIS2 verlagert die Verantwortung ausdrücklich auf die Leitungsorgane und sieht eine persönliche Haftung vor. Das ist kein abstraktes Restrisiko, sondern eine konkrete Sorgfaltspflicht, deren Erfüllung Sie nachweisen können müssen.

NIS2: Was die persönliche Geschäftsleiter-Haftung konkret bedeutet

NIS2 macht die Geschäftsleitung zum Adressaten der Cybersicherheitspflichten. Drei Verpflichtungen stehen im Zentrum:

  • Billigung der Risikomanagementmaßnahmen: Die Leitungsorgane müssen die Maßnahmen nach Art. 21 (Risikoanalyse, Vorfallbehandlung, Business Continuity, Lieferketten-Sicherheit, Zugriffskontrolle, Verschlüsselung u. a.) aktiv billigen – nicht delegieren und vergessen, sondern formal verantworten.
  • Überwachung der Umsetzung: Mit der Billigung endet die Pflicht nicht. Die Geschäftsleitung muss die Umsetzung überwachen und steuern. Wer Maßnahmen abnickt, aber ihre Wirksamkeit nie kontrolliert, erfüllt die Sorgfaltspflicht nicht.
  • Eigene Schulungspflicht: NIS2 verlangt, dass die Leitungsorgane selbst regelmäßig an Schulungen teilnehmen, um Risiken einschätzen und Maßnahmen beurteilen zu können. Diese Schulungspflicht trifft die Geschäftsführung persönlich, nicht nur das Fachpersonal.

Hinzu kommt die Selbstprüfungspflicht: NIS2 kennt in Deutschland keinen behördlichen Bescheid, der Ihnen Ihre Betroffenheit mitteilt. Sie müssen selbst feststellen, ob und in welcher Kategorie Sie betroffen sind, und das dokumentieren. Die dokumentierte Selbsteinschätzung ist damit selbst Teil Ihrer Pflichten – und im Ernstfall Teil Ihrer Entlastung.

DSGVO: Die zweite Verantwortungslinie der Geschäftsleitung

Die DSGVO macht das Unternehmen als „Verantwortlichen" haftbar – die Organisation dieser Verantwortung ist Leitungsaufgabe. Drei Eckpunkte, die in der Praxis am häufigsten zum Problem werden:

  • Auftragsverarbeiter-Kontrolle (Art. 28): Wer Dienstleister einsetzt, muss deren Datenverarbeitung vertraglich regeln und kontrollieren. Genau hier setzte das deutsche DSGVO-Rekordbußgeld an: 45 Mio. € gegen Vodafone (BfDI, 3.6.2025), unter anderem wegen unzureichender Kontrolle von Auftragsverarbeitern.
  • Meldepflicht bei Datenpannen (Art. 33/34): Eine meldepflichtige Verletzung des Schutzes personenbezogener Daten ist binnen 72 Stunden an die Aufsichtsbehörde zu melden. Ohne vorbereiteten Prozess ist diese Frist im Ernstfall kaum zu halten.
  • Cookie-Consent: Das praktisch heißeste KMU-Thema bleibt die korrekte Einwilligung – insbesondere ein gleichwertiger „Alle ablehnen"-Button. Hier entsteht messbares Bußgeldrisiko im Tagesgeschäft.

Zur Einordnung der Größenordnung: Die in Europa kumuliert verhängten DSGVO-Bußgelder liegen bei rund 6,1 Mrd. € (CMS Enforcement Tracker, 03/2026). Das ist kein theoretisches Risiko mehr.

Der Bußgeldrahmen auf einen Blick

Für die Leitungsebene zählt vor allem die Größenordnung des Risikos – hier die verifizierten Rahmen, jeweils mit Quelle:

  • NIS2: Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – maßgeblich ist der jeweils höhere Wert (NIS2UmsuCG, in Kraft seit 6.12.2025).
  • DSGVO: Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes; deutscher Rekord aktuell 45 Mio. € (BfDI, 2025). Kumuliert rund 6,1 Mrd. € europaweit (CMS Enforcement Tracker, 03/2026).
  • Einordnung EU AI Act (nur zur Vollständigkeit): Der Sanktionsrahmen (Art. 99) gilt bereits seit dem 2.8.2025; bei verbotenen Praktiken bis 35 Mio. € oder 7 %, wobei für kleine und mittlere Unternehmen jeweils der niedrigere Wert greift (Art. 99 Abs. 6). Relevant für jede Geschäftsleitung, in deren Haus KI genutzt wird.

Das eigentliche Führungsrisiko liegt aber nicht allein in der Höhe des Unternehmens-Bußgelds, sondern in der persönlichen Dimension: Wo die Geschäftsleitung ihre Billigungs-, Überwachungs- und Schulungspflichten nachweisbar nicht erfüllt hat, verschiebt sich die Verantwortung vom Unternehmen auf die handelnden Personen.

Was das Briefing enthält

Das GF-Haftungs-Briefing ist ein kompaktes Whitepaper für Entscheider – kein Schulungsskript für Praktiker. Auf wenigen Seiten erhalten Sie:

  • Die Haftungslandkarte NIS2 & DSGVO – wofür Sie als Leitungsorgan persönlich einstehen, klar gegliedert nach Billigung, Überwachung und Schulungspflicht.
  • Der Bußgeldrahmen im Überblick – die relevanten Schwellen mit Quelle und Jahr, ohne Panikrhetorik.
  • Die typischen Haftungsfallen – Auftragsverarbeiter-Kontrolle, fehlender Meldeprozess, ungeregelte Selbstprüfung, nicht dokumentierte Governance.
  • Ihre Entlastungs-Checkliste – die drei bis fünf Maßnahmen, mit denen Sie Ihre Sorgfaltspflicht nachweisbar erfüllen.
  • Die Entscheidung „eigene Stelle vs. ausgelagerte Compliance" – eine nüchterne Gegenüberstellung als Grundlage für Ihre nächste Leitungsentscheidung.

Wichtig: Das Briefing ist eine fundierte Orientierung für die Leitungsebene und ersetzt keine Rechtsberatung im Einzelfall. Branche, Größe, Sektor und konkrete Datenverarbeitung machen den Unterschied – die belastbare Einordnung treffen wir gemeinsam.

Was Sie als Entscheider konkret tun sollten

Aus den Pflichten ergeben sich wenige, aber unverzichtbare Führungsentscheidungen. Das Briefing führt sie aus – hier die Kurzfassung:

  1. Betroffenheit feststellen und dokumentieren. Klären Sie, ob NIS2 greift, und halten Sie das Ergebnis nachvollziehbar fest – die dokumentierte Selbsteinschätzung ist Teil Ihrer Pflicht.
  2. Maßnahmen formal billigen und überwachen. Verankern Sie die Billigung der Risikomanagementmaßnahmen und ein regelmäßiges Überwachungsformat (z. B. Quartals-Reporting) in der Leitungsarbeit.
  3. Eigene Schulung nachweisen. Erfüllen Sie die Schulungspflicht der Leitungsorgane und dokumentieren Sie die Teilnahme.
  4. Meldeprozesse einrichten. Stellen Sie sicher, dass die 72-Stunden-Meldung (DSGVO Art. 33) und die NIS2-Meldepflichten im Ernstfall funktionieren.
  5. Verantwortung bündeln. Entscheiden Sie, ob Sie eine interne Stelle aufbauen oder die Funktion als externe Leistung beziehen – und schaffen Sie damit eine klare, nachweisbare Zuständigkeit.

Genau bei den Punkten 4 und 5 setzt unser Compliance-as-a-Service-Ansatz an: Wir übernehmen die laufende Steuerung und Dokumentation, sodass Ihre Geschäftsleitung ihre Sorgfaltspflicht belastbar erfüllt – ohne eigenes Team aufbauen zu müssen.

GF-Haftungs-Briefing kostenlos anfordern {#briefing-formular}

Tragen Sie Ihre Daten ein und Sie erhalten das Executive-Briefing zu NIS2 & DSGVO umgehend per E-Mail. Kostenlos, unverbindlich und in wenigen Minuten gelesen.

  • Name
  • Unternehmen
  • Geschäftliche E-Mail-Adresse
  • (optional) Funktion / Position

Briefing anfordern

Nach der Bestätigung Ihrer E-Mail-Adresse (Double-Opt-in) liegt das Briefing direkt in Ihrem Postfach. Kein Vertrieb, keine versteckten Kosten.

Nach dem Briefing: Von der Erkenntnis zur belastbaren Entlastung

Ein Briefing schafft Klarheit über die Lage – die Umsetzung entlastet Sie tatsächlich. Drei Wege, auf denen wir Geschäftsleitungen begleiten:

  • NIS2 strukturiert umsetzen. Von der Betroffenheitsanalyse über die Maßnahmen nach Art. 21 bis zur dokumentierten Governance der Geschäftsleitung – mehr dazu auf unserer Seite zur NIS2-Beratung.
  • Datenschutz aus einer Hand. Auftragsverarbeiter-Verträge, Meldeprozesse und Cookie-Consent rechtssicher aufsetzen – das übernimmt unsere Datenschutzberatung.
  • Compliance auslagern statt aufbauen. Wenn Sie die Verantwortung bündeln und die laufende Steuerung abgeben möchten, sind unsere externe Compliance und – für rechtliche Themen – die Rechtsabteilung as a Service der pragmatische Weg, Ihre Sorgfaltspflicht dauerhaft und nachweisbar zu erfüllen.

Häufige Fragen zur Geschäftsführer-Haftung bei Compliance

Haftet die Geschäftsführung bei NIS2 wirklich persönlich? Ja. NIS2 adressiert die Leitungsorgane ausdrücklich: Sie müssen die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und selbst an Schulungen teilnehmen. NIS2 sieht dabei eine persönliche Haftung der Geschäftsleitung vor. Das Gesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft, ohne allgemeine Übergangsfrist – die Pflichten gelten bereits.

Welche Bußgelder drohen bei NIS2- und DSGVO-Verstößen? Bei NIS2 liegt der Rahmen bei bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, maßgeblich ist der höhere Wert (NIS2UmsuCG, 2025). Bei der DSGVO sind bis zu 20 Mio. € oder 4 % des Weltumsatzes möglich; der deutsche Rekord liegt bei 45 Mio. € gegen Vodafone (BfDI, 2025), europaweit kumuliert rund 6,1 Mrd. € (CMS Enforcement Tracker, 03/2026). Entscheidend für die Geschäftsleitung ist zusätzlich die persönliche Verantwortungsverlagerung, wenn Sorgfaltspflichten nachweisbar verletzt wurden.

Kann ich die Haftung an die IT- oder Rechtsabteilung delegieren? Operative Aufgaben können Sie delegieren – die Verantwortung als Leitungsorgan bleibt bei Ihnen. NIS2 verlangt ausdrücklich die Billigung und Überwachung der Maßnahmen durch die Geschäftsleitung sowie deren eigene Schulung. Entscheidend ist, dass Sie Ihre Sorgfaltspflicht nachweisbar erfüllen und dokumentieren. Genau dabei unterstützt eine externe Compliance, ohne dass Sie die Verantwortung „loswerden" – Sie organisieren sie nur belastbar.

Was muss ich als Geschäftsführer kurzfristig tun? Fünf Schritte: Betroffenheit feststellen und dokumentieren, die Risikomanagementmaßnahmen formal billigen und ein Überwachungsformat einrichten, Ihre eigene Schulungspflicht erfüllen und nachweisen, Meldeprozesse für Datenpannen (DSGVO Art. 33, 72 Stunden) und NIS2-Vorfälle vorbereiten und die Zuständigkeit für Compliance klar bündeln. Das Briefing fasst diese Schritte als Entlastungs-Checkliste zusammen.

Reicht ein Datenschutzbeauftragter aus, um die Haftung abzudecken? Nein. Ein Datenschutzbeauftragter berät und überwacht im Datenschutz, übernimmt aber nicht die Leitungsverantwortung – und deckt NIS2 ohnehin nicht ab. Die NIS2-Pflichten (Billigung, Überwachung, Schulung der Leitungsorgane) bleiben Aufgabe der Geschäftsleitung. Sinnvoll ist daher eine integrierte Lösung über alle relevanten Regelwerke hinweg, etwa über unsere Datenschutzberatung kombiniert mit NIS2-Beratung.

Was kostet das Briefing? Nichts. Das GF-Haftungs-Briefing ist kostenlos. Sie erhalten es nach Bestätigung Ihrer E-Mail-Adresse (Double-Opt-in) – ohne Verpflichtung und ohne Verkaufsdruck.

Jetzt Briefing anfordern – und Ihre Haftung führungstauglich einordnen {#kontakt}

Verschaffen Sie sich in wenigen Minuten Klarheit darüber, wofür Sie als Geschäftsleitung persönlich einstehen – und welche Entscheidungen jetzt anstehen. Möchten Sie Ihre konkrete Lage einordnen oder die Verantwortung dauerhaft entlasten, klären wir das in einem kostenlosen, unverbindlichen Erstgespräch.

Briefing anfordern

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Mehr zum Thema: NIS2-Beratung · externe Compliance als laufende Leistung · Rechtsabteilung as a Service

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben auf dieser Seite geben den Stand vom 23.06.2026 wieder und ersetzen keine Rechtsberatung im Einzelfall. Das Briefing dient der Orientierung der Leitungsebene; die belastbare Einordnung Ihrer individuellen Haftungslage erfolgt im Einzelfall.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.