Datenschutz ist Chefsache: Ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) vom 3. April 2025 hat gezeigt, dass selbst die Daten von Geschäftsführern in amtlichen Dokumenten nicht automatisch für jeden frei verfügbar sind. Die DSGVO gilt auch hier vollumfänglich. Für Unternehmen inmitten der digitalen Transformation bedeutet das: Geschäftsführer-Daten und andere personenbezogene Informationen, die in öffentlichen Registern, Berichten oder im Internet auftauchen, müssen genauso sorgfältig geschützt werden wie Kundendaten. Ignorieren Sie diese Entwicklung nicht – es stehen konkrete Schritte an, um Bußgelder, Abmahnungen und Vertrauensverluste zu vermeiden.
Kurz zum Hintergrund: Was hat der EuGH entschieden?
Der Fall mag auf den ersten Blick speziell klingen, hat aber weitreichende Wirkung. Ein Journalist in Tschechien verlangte Einblick in Unterlagen eines Ministeriums (auf Grundlage des dortigen Transparenzgesetzes). Darin enthalten waren die Namen und Kontaktdaten von Geschäftsführern ausländischer Unternehmen, die Verträge mit der Behörde unterschrieben hatten. Die Behörde wollte diese personenbezogenen Daten zunächst nicht herausgeben und berief sich auf den Datenschutz. Der EuGH stellte in seinem Urteil klar, dass solche Angaben – also z.B. der Name eines Geschäftsführers in einem offiziellen Dokument – als personenbezogene Daten im Sinne der DSGVO gelten. Die Veröffentlichung amtlicher Dokumente mit solchen Informationen ist somit eine Datenverarbeitung, die nur mit einer gültigen Rechtsgrundlage erfolgen darf. Kurz gesagt: Auch wenn Daten in einem offiziellen Kontext stehen, braucht es eine Erlaubnis nach der DSGVO, um sie weiterzugeben oder online zu stellen.
Warum ist das für Unternehmen wichtig?
Viele Unternehmen wähnten sich bislang auf der sicheren Seite, wenn es um berufliche Kontaktdaten ging. Schließlich sind Namen von Geschäftsführer:innen oft in Registern, im Impressum oder auf Websites zu finden. Das EuGH-Urteil macht jedoch deutlich, dass hier kein Freibriefbesteht. Jedes Unternehmen, ob Konzern oder KMU, muss nun prüfen, wie es mit solchen Daten umgeht. Wenn zum Beispiel ein Projektbericht mit Unterschriften der Geschäftsleitung veröffentlicht wird oder ein Behördengang die Übermittlung von Vorstandsdaten erfordert, greift die DSGVO. Wer diese Anforderungen unterschätzt, riskiert nicht nur rechtliche Probleme wie hohe Bußgelder – es steht auch die Reputation auf dem Spiel. In einer Zeit, in der Vertrauen der Kundschaft und der Geschäftspartner Gold wert ist, kann ein Datenschutzverstoß erhebliche Schäden für die Unternehmensmarke bedeuten.
Zudem passt das Urteil in den größeren Kontext der digitalen Transformation: Unternehmen werden immer transparenter, Informationen fließen schneller (Stichwort Open Data, E-Government, Social Media). Umso wichtiger ist es, dass Datenschutz von Anfang an Teil der Unternehmensstrategie ist. Nur so lassen sich Innovation und Datenstrategie mit Compliance vereinen.
Handlungsbedarf: Was sollten Unternehmen jetzt tun?
Im Folgenden einige pragmatische Schritte, die Entscheidungsträger jetzt angehen sollten, um ihr Unternehmen DSGVO-konform aufzustellen:
- Datentransparenz schaffen: Listen Sie auf, wo überall personenbezogene Daten von Geschäftsführern oder anderen Führungskräften veröffentlicht werden (oder werden könnten). Typische Quellen sind z.B. Pressemitteilungen mit Zitaten der Geschäftsführung, Einträge auf der Unternehmenswebsite (Team-Seiten, Blogbeiträge), Geschäftsberichte, öffentliche Ausschreibungsunterlagen oder Social-Media-Posts. Nur wer den Überblick hat, kann Risiken gezielt managen.
- Rechtslage prüfen: Für jede dieser Veröffentlichungen muss eine Rechtsgrundlage nach DSGVO bestehen. Fragen Sie sich: Gibt es eine gesetzliche Verpflichtung zur Veröffentlichung (etwa ein Gesetz, das die Nennung im Impressum oder Register vorschreibt)? Wenn nein, stützen Sie sich auf ein berechtigtes Interesse Ihres Unternehmens oder Dritter – dann dokumentieren Sie diese Abwägung sorgfältig. In manchen Fällen wird es sinnvoll sein, eine Einwilligung der betroffenen Person einzuholen, gerade wenn sensible Daten oder Fotos im Spiel sind.
- Interne Richtlinien anpassen: Überarbeiten Sie Ihre internen Datenschutzrichtlinien und Prozessbeschreibungen. Legen Sie fest, wie mit Anfragen nach Informationen umzugehen ist. Zum Beispiel sollte klar geregelt sein, wer entscheidet, ob bestimmte personenbezogene Daten herausgegeben oder veröffentlicht werden dürfen. Binden Sie hier Ihren Datenschutzbeauftragten ein, falls vorhanden. Ziel ist ein klarer Workflow, damit im Fall der Fälle nicht ad hoc und hektisch reagiert werden muss.
- Mitarbeiter sensibilisieren: Machen Sie Ihrem Team deutlich, dass Datenschutz nicht nur Theorie für die Rechtsabteilung ist. Gerade Abteilungen wie Marketing, PR, HR oder IT, die regelmäßig Inhalte veröffentlichen oder Daten nach außen geben, müssen die neuen Vorgaben kennen. Ein kurzes Briefing oder eine Schulung zum Thema „DSGVO im Unternehmensalltag“ kann helfen, Bewusstsein zu schaffen. So verhindern Sie, dass gut gemeinte Aktionen (z.B. ein Post über einen neuen großen Kundenvertrag inkl. Unterschriftenfoto) zum Datenschutz-Problem werden.
- Zusammenarbeit mit Behörden überprüfen: Falls Ihr Unternehmen mit Behörden zu tun hat – etwa in genehmigungspflichtigen Projekten, bei öffentlichen Ausschreibungen oder durch Anfragen nach Informationsfreiheitsgesetzen – achten Sie auf gegenseitiges Verständnis in Sachen Datenschutz. Behörden sind nun angehalten, bei Auskunftsanfragen personenbezogene Daten zu schützen, aber eben auch den Informationszugang zu gewähren. Stellen Sie sicher, dass Sie als Unternehmen auf mögliche Rückfragen vorbereitet sind und intern abgesprochen ist, wie man reagiert. Im Zweifel suchen Sie früh das Gespräch mit der Behörde und informieren die betreffenden Personen im Unternehmen über geplante Datenweitergaben.
Drohende Risiken: Bußgeld, Abmahnung, Image-Schaden
Die Einhaltung der DSGVO ist nicht nur “nice to have”,sondern geschäftskritisch. Wenn Sie jetzt nicht aktiv werden, drohen handfeste Risiken:
- Hohe Bußgelder: Aufsichtsbehörden können bei Datenschutzverstößen kräftige Geldstrafen verhängen – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Ein Verstoß, der darin besteht, personenbezogene Daten unbefugt zu veröffentlichen, könnte schnell als schwerwiegend eingestuft werden.
- Abmahnungen & Klagen: In Deutschland ist es möglich, dass Wettbewerber oder Verbände DSGVO-Verstöße abmahnen. Auch Geschäftsführer oder Mitarbeiter selbst könnten rechtliche Schritte einleiten, wenn ihre Daten ohne Zustimmung veröffentlicht werden. Das kann Unterlassungsforderungen oder Schadensersatzklagen nach sich ziehen.
- Verlust von Vertrauen: Vielleicht noch gravierender als Geldstrafen ist der Imageschaden, wenn Ihre Datenschutzpraxis in Frage gestellt wird. Kunden, Partner und Investoren reagieren sensibel, wenn Unternehmen nachlässig mit persönlichen Daten umgehen. Ein einziger Vorfall kann reichen, um hart erarbeiteten Ruf zunichte zu machen – gerade in sozialen Medien verbreiten sich solche Nachrichten rasant.
Datenschutz als Teil der digitalen Strategie
Dieses Urteil unterstreicht, dass Datenschutz ein integraler Bestandteil jeder Datenstrategie sein sollte. Wer Daten effektiv nutzen will(sei es für Marketing, Big Data Analytics oder öffentliche Kommunikation), muss die Regeln kennen und einhalten. Die gute Nachricht: Datenschutz und Digitalisierung sind keine Gegensätze. Im Gegenteil – ein durchdachter Umgang mit Daten schafft Vertrauen bei Ihren Kunden und Stakeholdern und kann so zum Wettbewerbsvorteil werden.
Unternehmen, die schon früh auf Compliance setzen, haben langfristig weniger Unterbrechungen in ihren digitalen Projekten und können Innovationen ohne rechtliche Rückschläge vorantreiben. Setzen Sie daher auf einen Ansatz der Privacy by Design: Bei neuen digitalen Projekten oder Prozessen wird der Datenschutz von Beginn an mit bedacht. So stellen Sie sicher, dass etwa bei einer neuen Online-Plattform oder einem Daten-Portalgleich geregelt ist, welche personenbezogenen Informationen angezeigt werden dürfen – und welche nicht.
Fazit
Für Geschäftsführer und Vorstände selbst mag es paradox klingen, aber das EuGH-Urteil führt ihnen vor Augen, dass ihre eigenen Daten schützenswert sind – und zwar auch dann, wenn sie in amtlichen oderöffentlichen Dokumenten stehen. Für das Unternehmen insgesamt heißt das: Datenschutz-Compliance endet nicht beim Kunden oder Arbeitnehmer, sondern schließt alle personenbezogenen Daten ein, bis hin zum Geschäftsführer im Handelsregister. Indem Sie jetzt aktiv werden und die genannten Schritte umsetzen, sichern Sie Ihr Unternehmen rechtlich ab und stärken zugleich Ihre digitale Vertrauenswürdigkeit. In der heutigen Datenökonomie zahlt es sich aus, Datenschutz nicht als Bürde, sondern als Qualitätsmerkmal zu begreifen.
Ihr Nutzen im Vordergrund.
Beratung aus einer Hand.
Strategisch mit Weitblick.
