Ein Geschäftsführer ist gesetzlich verpflichtet, bei der Leitung seines Unternehmens mit der Sorgfalt eines ordentlichen Geschäftsmannes vorzugehen. Er ist auch zur Einhaltung der gesetzlichen Datenschutzbestimmungen verpflichtet. Diese Verpflichtung beinhaltet auch, zu kontrollieren, ob diese Bestimmungen von seinen Mitarbeitern und evtl. von seinen Dienstleistern eingehalten werden. Selbst wenn ein Datenschutzbeauftragter bestellt ist, bleibt die Verantwortung für die IT-Sicherheits- und Datenschutz-Compliance bei der Geschäftsführung.
Bei Unternehmen, die gesetzlich keinen Datenschutzbeauftragten bestellen müssen, hat deren Geschäftsführer sicherzustellen, dass die Aufgaben eines betrieblichen Datenschutzbeauftragten von jemandem wahrgenommen werden.
Nimmt der Geschäftsführer seine Kontrollpflichten für die IT-Sicherheit und den Datenschutz nicht oder nur unzureichend wahr, und treten infolgedessen z. B. Datenverluste oder Manipulationen an Daten mit gravierenden Schäden auf, kann er von der Gesellschaft dafür in vollem Umfang persönlich haftbar gemacht werden (§ 43, Abs. 2 GmbHG). Die DS-GVO sieht darüber hinaus Sanktionen bis hin zu Bußgeldern vor.