Wird einem IT-Verantwortlichen betrieblichen Datenschutzbeauftragten, Compliance-Officer, Gesellschafter oder Vorstandsmitglied die Resortverantwortlichkeit für die Informationstechnologie übertragen, so haftet er in der Regel persönlich, während die lediglich eine allgemeine Überwachungspflicht trifft. Wird diese verletzt, haften auch die übrigen Veantwortlichen insoweit.

Zivilrechtliche Haftung für Tun oder Unterlassen kann insbesondere im Falle des Vertroßes gegen Vorschriften des Bundesdatenschutzgesetzes bei Fahrlässigkeit oder gar Vorsatz begründet sein.

Werden personenbezogene Daten erhoben, verarbeitet oder genutzt, müssen die zur Ausführung der Vorschriften des Bundesdatenschutzgesetzes erforderlichen technischen und orgainisatorischen Maßnahmen getroffen werden, soweit ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Strafbar kann sich der Verantwortliche machen, wenn er etwa gegen § 44 BDSG verstößt, Urheberrechtsverletzungen zuläßt oder private eMails unterdrückt. Es besteht eine Vielzahl von zu beachtenden Straftatbeständen, so daß eine individuelle Risikoprüfung frühzeitig erfolgen sollte.