Unternehmen müssen im Rahmen ihrer Geschäftstätigkeit regelkonformes Verhalten sicherstellen und nicht zuletzt die Vorgaben des Datenschutzrechts, insbesondere jene der noch jungen Datenschutz-Grundverordnung (DSGVO), einhalten. Im Innenverhältnis fällt es in die Verantwortlichkeit des Geschäftsleiters (des Vorstands der AG bzw. des Geschäftsführers der GmbH), für eine ordnungsgemäße Compliance-Organisation im Unternehmen zu sorgen. Diese hat sich auch auf das Datenschutzrecht zu erstrecken. Der Beitrag geht der Frage nach, ob ein Verstoß gegen datenschutzrechtliche Vorschriften – jenseits der Haftung des Unternehmens und über die Innenhaftung des Geschäftsleiters wegen Verletzung seiner Compliance-Verantwortung hinaus (§ 93 Abs. 2 AktG, § 43 Abs. 2 GmbHG) – zu einer Außenhaftung des Geschäftsleiters gegenüber Dritten führen kann. Zudem untersucht er, ob die Verhängung einer Geldbuße gegen den Geschäftsleiter möglich ist und ob die Gesellschaft den Geschäftsleiter im Hinblick auf eine gegen sie verhängte Geldbuße in Regress nehmen kann.

Companies have to ensure compliance with a plethora of legal provisions, not least data protection law and particularly the General Data Protection Regulation (GDPR). Internally, the director is responsible for establishing an adequate compliance management system which incorporates the data protection framework. This paper adresses the question whether non-compliance with data protection law – beyond the company’s liability and the director’s internal liability – results in the director’s liability to third parties (e.g. the company’s clients). Moreover, it analyses whether administrative fines may be imposed on directors and whether a company may have recourse against the director regarding administrative fines imposed on the company.