Die GmbH wurde nicht zufällig zur beliebtesten Rechtsform in Deutschland. Sie schützt ihre Gesellschafter vor persönlicher Haftung – das Gesellschaftsvermögen haftet, nicht das Privatvermögen.
Was dabei oft übersehen wird: Dieser Schutz gilt für Gesellschafter, nicht für den Geschäftsführer.
Wer die Unternehmensleitung übernimmt, trägt eine der haftungsrechtlich risikoreichsten Positionen im deutschen Wirtschaftsleben.
Das Wichtigste in Kürze
- Der Geschäftsführer haftet im Ernstfall unbegrenzt mit seinem Privatvermögen – der GmbH-Schutzschild gilt für ihn nicht.
- Die Haftung greift bereits bei einfacher Fahrlässigkeit, der Sorgfaltsmaßstab ist objektiv, und die Beweislast liegt beim Geschäftsführer.
- Neben der gesellschaftsrechtlichen Haftung kommen Steuerhaftung, Sozialversicherungshaftung, Insolvenzhaftung, Strafrechtshaftung, DSGVO und NIS2 als eigenständige Haftungsfelder hinzu.
- Mit Dokumentation, Ressortaufteilung, einer D&O-Versicherung und einem funktionierenden Compliance-System lässt sich das Risiko auf ein beherrschbares Maß reduzieren.
Wann haftet der Geschäftsführer persönlich?
Das Grundprinzip ist einfach: Die GmbH haftet als juristische Person eigenständig, solange der Geschäftsführer seine Pflichten ordnungsgemäß erfüllt. Sobald er das nicht tut, ändert sich die Lage grundlegend.
Die zentrale Norm ist § 43 GmbHG. Sie schreibt vor, dass Geschäftsführer die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden haben. Wer diese Pflicht verletzt, haftet der Gesellschaft solidarisch für den entstandenen Schaden – persönlich, unbegrenzt und mit seinem gesamten Privatvermögen. Die Verjährungsfrist beträgt fünf Jahre ab Entstehung des Anspruchs.
Der Sorgfaltsmaßstab ist objektiv. Ein unerfahrener Geschäftsführer haftet genauso wie ein langjährig erfahrener. Persönliche Eigenschaften, Alter oder mangelnde Einarbeitung spielen keine Rolle. Wer das Amt annimmt, akzeptiert damit den Maßstab.
Drei Punkte machen die Haftung besonders ernst: Einfache Fahrlässigkeit genügt als Haftungsauslöser.
Die Beweislast liegt beim Geschäftsführer – er muss beweisen, dass ihn kein Verschulden trifft, sobald die Gesellschaft eine Pflichtverletzung darlegt. Und ein Arbeitnehmerschutz existiert nicht: Die haftungsrechtliche Privilegierung normaler Arbeitnehmer gilt für Geschäftsführer nicht.
- Analyse von Haftungsrisiken
- Beratung zu D&O & Cyberrisiken
- Geschäftsführervorsorge
- Analyse von Haftungsrisiken
- Beratung zu D&O & Cyberrisiken
- Geschäftsführervorsorge
Innenhaftung: Was die GmbH selbst vom Geschäftsführer fordern kann
Die Innenhaftung – also die Haftung gegenüber der eigenen Gesellschaft – ist die häufigste Haftungsform.
Rund 90 Prozent aller Haftungsfälle entfallen auf das Innenverhältnis. Im Insolvenzfall übernimmt der Insolvenzverwalter die Anspruchsverfolgung, der Ansprüche gegen frühere Geschäftsführer standardmäßig und hartnäckig prüft.
Die Pflichten, deren Verletzung die Innenhaftung auslöst, lassen sich in vier Gruppen unterteilen:
- Organisationspflichten: Aufbau einer funktionsfähigen Unternehmensorganisation, Einrichtung eines Risikofrüherkennungssystems, Sicherstellung der Liquidität
- Überwachungspflichten: Kontrolle von Mitarbeitern und Beauftragten, stichprobenweise Kontrolle auch nach Delegation, Eingreifen bei Anhaltspunkten für Fehlverhalten
- Loyalitätspflichten: Strikte Trennung von Privat- und Gesellschaftsvermögen, Einhaltung des Wettbewerbsverbots, keine Nutzung von Geschäftschancen der Gesellschaft für sich selbst
- Berichtspflichten: Vollständige Information der Gesellschafter, Meldepflichten bei wirtschaftlicher Schieflage
Typische Fälle, die zur Innenhaftung führen:
- Fehlinvestitionen ohne ausreichende Prüfung und Dokumentation
- Verstöße gegen das Kapitalerhaltungsgebot (§ 30 GmbHG)
- Fehlende oder fehlerhafte Buchführung
- Verletzung des Wettbewerbsverbots während der Amtszeit
- Fehlen einer Compliance-Struktur, die Mitarbeiterfehlverhalten ermöglicht
Business Judgment Rule als Schutzinstrument
Nicht jede Fehlentscheidung führt zur Haftung. Die Business Judgment Rule schützt Geschäftsführer vor Haftung für unternehmerische Entscheidungen, wenn vier Voraussetzungen gleichzeitig erfüllt sind: angemessene Informationsgrundlage, kein Eigeninteresse und kein Interessenkonflikt, Handeln zum Wohl der Gesellschaft, und Entscheidung in gutem Glauben. Entscheidend ist die Perspektive zum Zeitpunkt der Entscheidung, nicht das Ergebnis im Nachhinein.
Die Rule funktioniert aber nur bei echten unternehmerischen Entscheidungen. Bei gebundenen Entscheidungen – also überall dort, wo Gesetz, Satzung oder Weisung ein bestimmtes Verhalten vorschreiben – gibt es keinen Ermessensspielraum und damit auch keinen Schutz. Dasselbe gilt für insolvenzrechtliche und steuerrechtliche Pflichten.
Und: Die Rule greift nur, wenn die Entscheidungsgrundlage dokumentiert ist. Wer nachträglich glaubt, er habe seinerzeit sorgfältig entschieden, aber keine Unterlagen hat, wird sich im Streitfall schwer tun.
Außenhaftung: Was Dritte vom Geschäftsführer fordern können
Die Außenhaftung – also die Haftung gegenüber Gläubigern, Behörden oder anderen Dritten – ist die gefährlichere Form, weil sie vom Geschäftsführer schlechter kontrollierbar ist. Sie entsteht auf verschiedenen Wegen.
Deliktsrechtliche Haftung (§§ 823, 826 BGB)
Der Geschäftsführer haftet neben der GmbH nach § 823 BGB, wenn er selbst rechtswidrig in ein absolutes Recht eingreift – also in Leben, Gesundheit, Körper, Freiheit oder Eigentum – oder ein Schutzgesetz verletzt. Bei vorsätzlicher und sittenwidriger Schädigung Dritter – etwa wenn er eine als insolvent erkannte GmbH weiter betreibt und damit Gläubiger schädigt – kommt § 826 BGB hinzu. Auch Unterlassen kann haftungsbegründend sein, wenn eine gesetzliche Handlungspflicht besteht.
Durchgriffshaftung
Die Haftungsbeschränkung der GmbH wird durchbrochen, wenn die Gesellschaft missbräuchlich verwendet wird: zur Vermögensverschachtelung, zur gezielten Gläubigerbenachteiligung oder wenn eine Vermögensvermischung zwischen GmbH und Privatvermögen des Geschäftsführers vorliegt.
Rechtsscheinhaftung
Wer im Geschäftsverkehr ohne den gesetzlich vorgeschriebenen Rechtsformzusatz auftritt – also zum Beispiel „Schmidt“ statt „Schmidt GmbH“ – erweckt den Anschein, persönlich zu haften. Und dann haftet er auch persönlich.
Steuerliche Haftung: Eine der häufigsten Haftungsformen in der Praxis
§ 69 AO macht den Geschäftsführer persönlich haftbar, wenn er steuerliche Pflichten der GmbH vorsätzlich oder grob fahrlässig verletzt. Die Voraussetzungen sind drei: Der Geschäftsführer ist als gesetzlicher Vertreter betroffen, es liegt eine Pflichtverletzung vor, und diese Pflichtverletzung hat kausal dazu geführt, dass Steuern nicht oder nicht rechtzeitig gezahlt wurden.
Betroffen sind alle Steuerarten der GmbH – Umsatzsteuer, Körperschaftsteuer, Gewerbesteuer, Lohnsteuer und Kapitalertragsteuer. Der Haftungsumfang ist unbeschränkt: Das gesamte Privatvermögen des Geschäftsführers steht zur Verfügung.
Vier Praxispunkte sind dabei besonders wichtig:
- Unwissenheit schützt nicht. Wer das Amt übernimmt, muss die steuerrechtlichen Kenntnisse mitbringen oder sich durch Fachberater verschaffen. Das ist keine Empfehlung, sondern eine Pflicht.
- Delegation schützt nur bedingt. Organisations- und Überwachungspflichten verbleiben beim Geschäftsführer, auch wenn ein Steuerberater beauftragt ist. Der Steuerberater entlastet, aber er übernimmt nicht die Verantwortung.
- Strohmann-Geschäftsführer haften vollständig. Wer den faktischen Geschäftsführer nicht überwacht, haftet für dessen Versäumnisse genauso wie dieser selbst.
- In der Krise gilt der Gleichbehandlungsgrundsatz. Verfügbare Mittel sind gleichmäßig auf alle Gläubiger zu verteilen – einschließlich des Finanzamts. Wer das Finanzamt bevorzugt oder benachteiligt, riskiert zusätzliche Haftungsansprüche.
Sozialversicherungshaftung: Straftat und Zivilhaftung gleichzeitig
Das Nichtabführen von Sozialversicherungsbeiträgen ist keine bloße Pflichtverletzung – es ist eine Straftat nach § 266a StGB mit bis zu fünf Jahren Freiheitsstrafe. Der Tatbestand erfasst das Vorenthalten der Arbeitnehmeranteile (§ 266a Abs. 1 StGB) und das Vorenthalten der Arbeitgeberanteile (§ 266a Abs. 2 StGB).
Neben dem Strafverfahren können Sozialversicherungsträger den Geschäftsführer zivilrechtlich in Regress nehmen. Beiträge sind spätestens am drittletzten Bankarbeitstag des jeweiligen Monats fällig. Bei mehreren Geschäftsführern entbindet eine interne Aufgabenteilung nicht von der Überwachungspflicht. In der Krise muss der Geschäftsführer gegebenenfalls die Nettolöhne anpassen, um die Abführung der Arbeitnehmeranteile sicherzustellen – die Nichtabführung ist auch bei allgemeiner Zahlungsunfähigkeit strafbar.
Insolvenzrechtliche Haftung: Das größte Einzelrisiko
Die Insolvenzhaftung ist das existenzbedrohendste Szenario, weil hier mehrere Tatbestände miteinander verzahnt sind.
Insolvenzantragspflicht nach § 15a InsO
Bei Zahlungsunfähigkeit oder Überschuldung muss der Geschäftsführer unverzüglich, spätestens innerhalb von drei Wochen, Insolvenzantrag stellen. Die drei Wochen sind eine Maximalfrist – nicht eine Frist, innerhalb derer zunächst nichts passiert. Erst wenn nach ernsthafter Prüfung und fachkundiger Beratung keine begründete Aussicht auf Sanierung besteht, beginnt die Frist zu laufen.
Insolvenzverschleppungshaftung
Wer den Antrag zu spät stellt, haftet gegenüber Altgläubigern für den Quotenschaden – also die Verschlechterung der Insolvenzquote durch weitere aufgelaufene Schulden. Gegenüber Neugläubigern haftet er für den vollen Vertrauensschaden: alle Gläubiger, die nach Eintritt der Insolvenzreife noch neue Geschäfte mit der GmbH eingegangen sind, können ihre Forderungsausfälle geltend machen.
Der BGH hat 2024 (II ZR 206/22) die Haftungsrisiken weiter verschärft: Ein ausgeschiedener Geschäftsführer haftet auch für Schäden von Neugläubigern, die erst nach seinem Ausscheiden Verträge abschlossen, wenn die durch seine Pflichtverletzung geschaffene Gefahrenlage zu diesem Zeitpunkt noch fortbestand. Die bloße Abberufung schützt also nicht.
Zahlungsverbot nach Insolvenzreife (§ 15b InsO)
Ab Eintritt der Insolvenzreife sind Zahlungen aus der Gesellschaftsmasse weitgehend verboten. Alle nach diesem Zeitpunkt geleisteten Zahlungen muss der Geschäftsführer der Gesellschaft erstatten, soweit sie nicht mit der Sorgfalt eines ordentlichen Geschäftsmannes vereinbar waren. Ausnahmen sind extrem eng: nur unvermeidliche Zahlungen zur Verhinderung noch größerer Schäden.
Die Insolvenzverschleppung ist zudem eine Straftat (§ 15a Abs. 4 InsO) – bis zu drei Jahre Freiheitsstrafe. Wer wegen Insolvenzverschleppung verurteilt wird, darf für fünf Jahre kein Geschäftsführeramt mehr übernehmen.
Strafrechtliche Haftung: Von Untreue bis Bankrott
Der Geschäftsführer ist nicht nur zivilrechtlich, sondern auch strafrechtlich gefährdet. Die relevanten Tatbestände und ihre Strafmaße im Überblick:
| Straftatbestand | Typische Konstellation | Strafmaß |
| Untreue (§ 266 StGB) | Private Nutzung des Firmenkontos, Verträge zugunsten von Familienangehörigen, Ausgaben ohne Unternehmenszweck | Bis 5 Jahre, in schweren Fällen bis 10 Jahre |
| Betrug (§ 263 StGB) | Falsche Angaben gegenüber Kreditgebern, Leistungserbringung in Kenntnis der Zahlungsunfähigkeit | Bis 5 Jahre |
| Bankrott (§ 283 StGB) | Beiseiteschaffen von Vermögen vor Gläubigern, Zerstören von Buchhaltungsunterlagen | Bis 5 Jahre |
| Insolvenzverschleppung (§ 15a Abs. 4 InsO) | Zu später Insolvenzantrag | Bis 3 Jahre |
| Steuerhinterziehung (§ 370 AO) | Vorsätzliche Nichtabgabe von Steuererklärungen | Bis 5 Jahre, in schweren Fällen bis 10 Jahre |
| § 266a StGB | Nichtabführen von SV-Beiträgen | Bis 5 Jahre |
Bei Verurteilung wegen Untreue zu mindestens einem Jahr Freiheitsstrafe ist der Verurteilte für fünf Jahre vom Geschäftsführeramt ausgeschlossen (§ 6 Abs. 2 Nr. 3 GmbHG).
DSGVO-Haftung: Persönlich, nicht nur unternehmensseitig
Das OLG Dresden (Az. 4 U 1158/21) hat entschieden, dass ein GmbH-Geschäftsführer neben der Gesellschaft als „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO eingestuft werden kann – und damit persönlich für Datenschutzverstöße haftet. Gericht und Geschäftsführer wurden als Gesamtschuldner verurteilt: Der Geschädigte kann sich aussuchen, ob er die Gesellschaft oder den Geschäftsführer direkt in Anspruch nimmt.
Die möglichen Sanktionen: Bußgelder gegen das Unternehmen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes nach Art. 83 DSGVO, Schadensersatz gegenüber Betroffenen nach Art. 82 DSGVO ohne gesetzliches Maximum, sowie persönliche Haftung des Geschäftsführers mit Beträgen von 1.000 bis 5.000 Euro pro betroffener Person in der Rechtsprechung.
Der Geschäftsführer muss konkret sicherstellen:
- Einrichtung einer rechtssicheren Datenschutzorganisation
- Benennung eines Datenschutzbeauftragten, wo gesetzlich vorgeschrieben
- Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO
- Fristgerechte Meldung von Datenpannen innerhalb von 72 Stunden nach Art. 33 DSGVO
NIS2-Haftung: Cybersicherheit ist Chefsache
Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Deutschland – ohne Übergangsfrist, für über 30.000 Unternehmen. § 38 BSIG schreibt fest: Die Geschäftsleitung trägt persönlich die Verantwortung für die Umsetzung der Cybersicherheitsmaßnahmen. Diese Pflichten sind nicht delegierbar – nicht an den IT-Leiter, nicht an externe Dienstleister, nicht an den CISO.
Die Kernpflichten der Geschäftsführung, die nicht delegierbar sind:
- Aktive Genehmigung der Risikomanagementmaßnahmen (ISMS-Billigung)
- Kontrolle und Überwachung der Umsetzung
- Persönliche Weiterbildung zu Cyberrisiken – verpflichtend alle drei Jahre
- Registrierung beim BSI (Frist war der 6. März 2026 – ein versäumter Eintrag stellt bereits einen Verstoß dar)
Bei NIS2-Verstößen gilt eine besondere Regel: Das Unternehmen muss die verantwortlichen Leitungsorgane in Regress nehmen. Ein vorab vereinbarter Verzicht auf Haftungsansprüche ist unwirksam.
Sonderkonstellationen: Gründung, mehrere Geschäftsführer, faktischer GF
Haftung in der Gründungsphase
Das Haftungsrisiko beginnt vor der Eintragung ins Handelsregister. Wer im Namen der noch nicht eingetragenen GmbH handelt, haftet persönlich nach § 11 Abs. 2 GmbHG für alle vor Eintragung begründeten Verbindlichkeiten. Die Haftung erlischt erst nach Eintragung und wenn die Gesellschaft die Verbindlichkeiten übernimmt. Vor der notariellen Beurkundung des Gesellschaftsvertrags haften die Beteiligten sogar unbeschränkt nach den Regeln der GbR oder OHG.
Mehrere Geschäftsführer: Gesamtverantwortung und Ressortaufteilung
Bei mehreren Geschäftsführern gilt der Grundsatz der Gesamtverantwortung: Jeder Geschäftsführer ist für den gesamten Geschäftsbetrieb mitverantwortlich, und mehrere pflichtverletzende Geschäftsführer haften als Gesamtschuldner nach § 43 Abs. 2 GmbHG – die Gesellschaft kann sich einen heraussuchen und auf den vollen Schaden in Anspruch nehmen.
Eine schriftliche Ressortaufteilung durch die Gesellschafterversammlung begrenzt die Handlungsverantwortung auf das eigene Ressort. Sie hebt aber nicht die Kontroll- und Überwachungspflicht im fremden Ressort auf. Das LG Stuttgart hat 2025 bestätigt, dass die interne Ressortverteilung die gesamtschuldnerische Außenhaftung nicht beseitigt. Sobald Anhaltspunkte für Pflichtverletzungen im fremden Ressort erkennbar werden, muss auch der nicht zuständige Geschäftsführer eingreifen.
Faktischer Geschäftsführer und Strohmann
Wer faktisch die Unternehmensleitung ausübt – also im Kernbereich Unternehmenspolitik, Personalentscheidungen, Kreditverhandlungen, Steuerangelegenheiten trifft – haftet genauso wie ein förmlich bestellter Geschäftsführer. Der BGH hat 2025 (5 StR 287/24) klargestellt, dass es keine starre Merkmalsliste gibt, sondern eine einzelfallbezogene Prüfung entscheidet.
Wer nur nominell als Geschäftsführer eingetragen ist, ohne tatsächlich Einfluss zu haben, geht ein erhebliches Risiko ein. Der Strohmann haftet identisch wie ein echter Geschäftsführer – auch für Steuerschulden, wenn er den faktischen Geschäftsführer nicht überwacht. Vertragliche Absprachen mit dem Hintermann schützen im Außenverhältnis nicht.
Die vollständige Haftungsübersicht
| Haftungsfeld | Rechtsgrundlage | Anspruchsteller | Verjährung |
| Innenhaftung | § 43 GmbHG | GmbH / Insolvenzverwalter | 5 Jahre |
| Kapitalerhaltung | § 43 Abs. 3 GmbHG | GmbH | 5 Jahre |
| Steuerhaftung | § 69 AO | Finanzamt | 5 Jahre (AO) |
| Sozialversicherung | § 266a StGB + § 823 BGB | Sozialversicherungsträger | 3 Jahre |
| Insolvenzzahlungen | § 15b InsO | Insolvenzverwalter | 3 Jahre |
| Insolvenzverschleppung | § 823 Abs. 2 BGB + § 15a InsO | Gläubiger | 3 Jahre |
| Deliktsrecht | §§ 823, 826 BGB | Jeder Geschädigte | 3 Jahre |
| DSGVO | Art. 82 DSGVO | Betroffene Personen | 3 Jahre |
| NIS2 | § 38 BSIG | GmbH / BSI | — |
| Untreue | § 266 StGB | Staatsanwaltschaft | 5 Jahre |
Was schützt den Geschäftsführer konkret?
Haftung ist beherrschbar – wenn die richtigen Strukturen vorhanden sind.
D&O-Versicherung
Die Directors-and-Officers-Versicherung ist eine Vermögensschadenshaftpflichtversicherung, die ein Unternehmen für seine Organe abschließt. Sie leistet bei berechtigten Haftungsansprüchen – sowohl für Ansprüche Dritter als auch für Ansprüche des eigenen Unternehmens – und übernimmt Anwalts-, Gutachter- und Gerichtskosten zur Abwehr unberechtigter Ansprüche. Typische Versicherungssummen liegen bei 1 bis 10 Millionen Euro.
Wichtige Grenzen der D&O:
- Vorsätzliche Schädigungen sind grundsätzlich nicht gedeckt
- Strafrechtliche Verfahren werden in der Regel nicht abgedeckt
- Wer das Unternehmen verlässt, verliert Einfluss auf die Versicherungsbedingungen – eine Nachschutzklausel ist deshalb unverzichtbar
- Für Konstellationen, in denen das Unternehmen insolvent ist und die Unternehmens-D&O nicht greift, empfiehlt sich eine eigene persönliche D&O (Side-A-Deckung)
Dokumentation und Business Judgment Rule
Alle wichtigen Entscheidungen schriftlich festhalten, Gesellschafterbeschlüsse einholen und dokumentieren, vollständige Buchführung sicherstellen. Nur was dokumentiert ist, kann im Streitfall verteidigt werden.
Ressortverteilung und Compliance
Bei mehreren Geschäftsführern eine klare, schriftliche Ressortabgrenzung durch die Gesellschafterversammlung einrichten. Ein Compliance Management System aufbauen, das Straftaten oder Fehlhandlungen von Mitarbeitern verhindert oder frühzeitig erkennt. Das OLG Nürnberg (2022) hat entschieden, dass das Fehlen eines ausreichenden CMS zur persönlichen Haftung führt – auch bei mittelständischen GmbHs.
Frühzeitiges Krisenmonitoring
Wöchentliche Liquiditätsprüfung in der Krise, Insolvenzberater früh einschalten, die Drei-Wochen-Frist als Maximalfrist, nicht als Schonfrist verstehen. Jeder Tag des Zögerns nach Eintritt der Insolvenzreife erhöht die persönliche Haftung.
