Geschäftsführerhaftung bei KI: Persönliche Risiken nach dem AI Act

Das Wichtigste in Kürze

• Geschäftsführer und Vorstände haften persönlich für KI-Compliance-Verstöße ihres Unternehmens -- auf Grundlage von §43 GmbHG, §93 AktG und §130 OWiG.
• Der AI Act (VO (EU) 2024/1689) richtet Bußgelder zwar an die juristische Person, doch die Geschäftsleitung kann im Innenverhältnis auf Schadensersatz in Regress genommen werden.
• Über §130 OWiG droht Geschäftsführern ein persönliches Bußgeld bis zu 1 Million Euro bei Aufsichtspflichtverletzungen.
• Die Business Judgment Rule schützt nur, wer nachweislich informiert und im Unternehmensinteresse entschieden hat.
• Ein dokumentiertes KI-Governance-System ist der wirksamste Schutz vor persönlicher Haftung.

Künstliche Intelligenz verändert Geschäftsprozesse grundlegend -- und mit ihr das Haftungsrisiko der Unternehmensleitung. Seit dem Inkrafttreten der europäischen KI-Verordnung (AI Act) am 1. August 2024 und der schrittweisen Anwendbarkeit ihrer Vorschriften stehen Geschäftsführer und Vorstände vor einer neuen Realität: Wer den Einsatz von KI im Unternehmen nicht aktiv steuert und überwacht, riskiert nicht nur Bußgelder für das Unternehmen, sondern haftet unter Umständen mit dem eigenen Privatvermögen.

Dieser Artikel zeigt, auf welchen Rechtsgrundlagen die persönliche Geschäftsführerhaftung bei KI basiert, welche konkreten Szenarien besonders gefährlich sind und wie Sie sich als Organ wirksam schützen.

Warum Geschäftsführer persönlich haften

Die persönliche Haftung von Geschäftsführern und Vorständen ist kein neues Phänomen. Sie ergibt sich aus dem deutschen Gesellschaftsrecht und dem Ordnungswidrigkeitenrecht -- und wird durch die neuen KI-Regulierungen massiv verschärft.

§43 GmbHG: Die Sorgfaltspflicht des Geschäftsführers

Nach §43 Abs. 1 GmbHG haben Geschäftsführer die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Dies umfasst die Pflicht, gesetzliche Vorgaben einzuhalten und deren Einhaltung im Unternehmen sicherzustellen. Verstößt das Unternehmen gegen den AI Act oder die DSGVO, weil der Geschäftsführer keine ausreichenden Compliance-Strukturen geschaffen hat, liegt ein Sorgfaltsverstoß vor.

§43 Abs. 2 GmbHG regelt die Rechtsfolge: Geschäftsführer, die ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden. Das bedeutet: Zahlt das Unternehmen ein Bußgeld wegen eines KI-Verstoßes, kann es den Geschäftsführer persönlich auf Ersatz in Anspruch nehmen.

§93 AktG: Die Business Judgment Rule für Vorstände

Für Aktiengesellschaften gilt §93 AktG mit einer vergleichbaren Sorgfaltspflicht. Abs. 1 Satz 1 verpflichtet Vorstandsmitglieder, bei der Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Besonders brisant: Nach §93 Abs. 2 AktG kehrt sich die Beweislast um -- der Vorstand muss im Streitfall beweisen, dass er pflichtgemäß gehandelt hat.

Das bedeutet konkret: Wird das Unternehmen wegen eines KI-Compliance-Verstoßes sanktioniert, muss der Vorstand nachweisen, dass er alle zumutbaren Maßnahmen ergriffen hat. Ohne dokumentiertes KI-Governance-System wird dieser Nachweis nahezu unmöglich.

§130 OWiG: Aufsichtspflichtverletzung mit persönlichem Bußgeld

Die schärfste Waffe gegen Geschäftsführer ist §130 OWiG (Ordnungswidrigkeitengesetz). Diese Vorschrift erfasst die Verletzung der Aufsichtspflicht in Betrieben und Unternehmen. Danach handelt ordnungswidrig, wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um Zuwiderhandlungen gegen Pflichten zu verhindern.

Der entscheidende Unterschied zu §43 GmbHG und §93 AktG: Das Bußgeld nach §130 OWiG trifft den Geschäftsführer persönlich -- nicht die Gesellschaft. Die Höchstgrenze liegt bei 1 Million Euro. Und es kommt noch schlimmer: Über §30 OWiG kann zusätzlich ein Bußgeld gegen das Unternehmen selbst verhängt werden -- ein doppeltes Risiko.

Die 4 Haftungsgrundlagen bei KI im Überblick

Diese vier Haftungsebenen können kumulativ greifen. Ein einziger KI-Compliance-Verstoß kann also gleichzeitig ein Bußgeld gegen das Unternehmen (AI Act oder DSGVO), ein persönliches Bußgeld gegen den Geschäftsführer (§130 OWiG) und einen Regressanspruch der Gesellschaft gegen den Geschäftsführer (§43 GmbHG) auslösen.

Typische Haftungsszenarien bei KI

Die abstrakte Haftungslage wird greifbar, wenn man sie auf konkrete Unternehmenssituationen überträgt. Die folgenden fünf Szenarien zeigen, wo die größten Risiken lauern.

1. Keine KI-Schulung trotz gesetzlicher Pflicht (Art. 4 AI Act)

Art. 4 der KI-Verordnung verpflichtet Anbieter und Betreiber von KI-Systemen, dafür zu sorgen, dass ihr Personal über ein ausreichendes Maß an KI-Kompetenz verfügt. Diese Pflicht gilt seit dem 2. Februar 2025.

Szenario: Ein mittelständisches Unternehmen setzt ChatGPT, KI-gestützte Buchhaltungssoftware und ein automatisiertes Bewerbermanagement ein. Der Geschäftsführer ordnet keine Schulungen an und erstellt kein Schulungskonzept. Ein Mitarbeiter gibt versehentlich vertrauliche Kundendaten in ein KI-Tool ein.

Haftungsfolge: Der Geschäftsführer hat gegen seine Organisationspflicht verstoßen (§130 OWiG), weil er keine Aufsichtsmaßnahmen -- hier: Schulungen und Nutzungsrichtlinien -- etabliert hat. Zusätzlich liegt ein Sorgfaltsverstoß nach §43 GmbHG vor, da die Pflicht aus Art. 4 AI Act bekannt und leicht umsetzbar war.

2. Verbotene KI-Praktik nicht erkannt (Art. 5 AI Act)

Art. 5 der KI-Verordnung verbietet bestimmte KI-Praktiken vollständig -- darunter manipulative Techniken, Social Scoring und Emotionserkennung am Arbeitsplatz. Die Verbote gelten seit dem 2. Februar 2025, Verstöße werden mit bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet (Art. 99 Abs. 3).

Szenario: Ein Unternehmen führt eine Software zur Mitarbeiterüberwachung ein, die mittels Webcam-Analyse die Emotionen und Aufmerksamkeit von Beschäftigten im Homeoffice bewertet. Der Geschäftsführer genehmigt die Einführung, ohne zu prüfen, ob die Software unter die Verbote des Art. 5 fällt.

Haftungsfolge: Der Einsatz von Emotionserkennung am Arbeitsplatz ist nach Art. 5 Abs. 1 lit. f verboten. Das Bußgeld trifft das Unternehmen, doch der Geschäftsführer haftet im Innenverhältnis auf vollen Schadensersatz, weil er die rechtliche Prüfung unterlassen hat. Ein ordentlicher Geschäftsmann hätte die Zulässigkeit vor Einführung geprüft.

3. Datenleck durch unkontrollierte KI-Nutzung (DSGVO)

Szenario: Mitarbeitende nutzen eigenständig verschiedene KI-Tools -- sogenannte Shadow AI -- ohne Wissen oder Genehmigung der Geschäftsführung. Dabei werden systematisch personenbezogene Kundendaten in Cloud-basierte KI-Dienste hochgeladen, die Daten auf Servern außerhalb der EU verarbeiten. Es kommt zu einem Datenleck.

Haftungsfolge: Nach Art. 83 DSGVO droht dem Unternehmen ein Bußgeld von bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes. Der Geschäftsführer hat seine Organisationspflicht verletzt, indem er weder eine KI-Richtlinie erlassen noch technische Schutzmaßnahmen implementiert hat. Die fehlende Kontrolle über den KI-Einsatz begründet sowohl eine Haftung nach §43 GmbHG als auch ein persönliches Bußgeld nach §130 OWiG.

4. KI-Diskriminierung im Recruiting (AGG + AI Act)

Szenario: Die Personalabteilung setzt ein KI-gestütztes Bewerbermanagementsystem ein, das Lebensläufe automatisch filtert und bewertet. Das System wurde mit historischen Einstellungsdaten trainiert und bevorzugt systematisch männliche Bewerber für technische Positionen. Weibliche Bewerberinnen werden überproportional häufig aussortiert.

Haftungsfolge: Das KI-System im Bereich Recruiting fällt als Hochrisiko-KI-System unter Anhang III Nr. 4 der KI-Verordnung. Der Betreiber ist nach Art. 26 verpflichtet, die Ausgaben des Systems auf Diskriminierung zu überwachen. Zusätzlich greifen die Diskriminierungsverbote des Allgemeinen Gleichbehandlungsgesetzes (AGG). Der Geschäftsführer, der kein Monitoring-System eingerichtet hat, haftet nach §43 GmbHG für die Folgeschäden -- einschließlich Entschädigungsklagen abgelehnter Bewerberinnen und Bußgeldern.

5. Fehlende Dokumentation bei Hochrisiko-KI

Szenario: Ein Finanzdienstleister setzt ein KI-System zur Kreditwürdigkeitsprüfung ein -- ein klassisches Hochrisiko-KI-System nach Anhang III Nr. 5 lit. b der KI-Verordnung. Der Geschäftsführer unterlässt es, die nach Art. 26 Abs. 5 erforderlichen Protokolle der automatisch erzeugten Aufzeichnungen (Logs) zu führen und aufzubewahren.

Haftungsfolge: Ab dem 2. August 2026 müssen Betreiber von Hochrisiko-KI-Systemen die Aufzeichnungspflichten vollständig einhalten. Ein Verstoß wird nach Art. 99 Abs. 4 mit bis zu 15 Mio. Euro oder 3 % des Umsatzes geahndet. Der Geschäftsführer, der keine Prozesse zur Dokumentation eingerichtet hat, haftet im Innenverhältnis auf Regress und riskiert ein persönliches Bußgeld nach §130 OWiG.

Die Business Judgment Rule: Wann schützt sie den Geschäftsführer?

Die Business Judgment Rule (unternehmerische Ermessensentscheidung) ist im Aktienrecht in §93 Abs. 1 Satz 2 AktG kodifiziert und wird für die GmbH entsprechend angewandt. Sie schützt Geschäftsführer vor Haftung, wenn ihre Entscheidung bestimmte Voraussetzungen erfüllt.

Die vier Voraussetzungen der Business Judgment Rule

1. Informierte Entscheidung: Der Geschäftsführer muss auf Grundlage angemessener Informationen gehandelt haben. Bezogen auf KI bedeutet das: Er muss sich über die rechtlichen Anforderungen des AI Act, der DSGVO und weiterer einschlägiger Vorschriften informiert haben -- etwa durch Rechtsberatung, Fachpublikationen oder Compliance-Schulungen.

2. Handeln zum Wohl der Gesellschaft: Die Entscheidung muss im besten Interesse des Unternehmens getroffen worden sein. Wer KI-Compliance als unnötigen Kostenblock ablehnt, um kurzfristig Kosten zu sparen, handelt nicht im langfristigen Unternehmensinteresse.

3. Kein Eigeninteresse oder sachfremde Einflüsse: Der Geschäftsführer darf bei der Entscheidung keine persönlichen Interessen verfolgen, die im Widerspruch zum Unternehmensinteresse stehen.

4. Gutgläubigkeit: Der Geschäftsführer muss vernünftigerweise annehmen dürfen, zum Wohl der Gesellschaft zu handeln.

Wann die Business Judgment Rule bei KI versagt

Die Business Judgment Rule schützt nicht bei Rechtsverstößen. Wer eine gesetzliche Pflicht verletzt -- etwa die Schulungspflicht aus Art. 4 AI Act oder die Verbote des Art. 5 -- kann sich nicht auf unternehmerisches Ermessen berufen. Die Einhaltung von Gesetzen ist keine Ermessensfrage, sondern eine Pflicht.

Ebenso versagt der Schutz, wenn der Geschäftsführer keine ausreichende Informationsgrundlage geschaffen hat. Wer sich nicht über die KI-Regulierung informiert und blind entscheidet, handelt gerade nicht „auf Grundlage angemessener Informationen".

Praxisbeispiel: Ein Geschäftsführer, der ein dokumentiertes KI-Governance-System implementiert hat, sich regelmäßig beraten lässt und die Risikoklassifizierung seiner KI-Systeme geprüft hat, kann sich bei einer unvorhersehbaren Fehlentscheidung auf die Business Judgment Rule berufen. Ein Geschäftsführer, der das Thema KI-Compliance ignoriert hat, kann dies nicht.

7 Schutzmaßnahmen für Geschäftsführer

Persönliche Haftung ist vermeidbar. Die folgenden sieben Maßnahmen bilden einen wirksamen Schutzschild für Geschäftsführer und Vorstände.

1. KI-Governance-Rahmenwerk etablieren

Schaffen Sie eine verbindliche KI-Governance-Struktur mit klaren Verantwortlichkeiten, Prozessen und Richtlinien. Definieren Sie, wer im Unternehmen über die Einführung neuer KI-Systeme entscheidet, wer die Risikoklassifizierung nach dem AI Act durchführt und wer die laufende Überwachung verantwortet. Eine schriftlich fixierte KI-Richtlinie ist das Fundament jeder Haftungsvorsorge.

2. Pflichten wirksam delegieren

Geschäftsführer müssen nicht alles selbst machen -- aber sie müssen richtig delegieren. Benennen Sie einen KI-Compliance-Beauftragten oder ein KI-Compliance-Team und statten Sie es mit den notwendigen Ressourcen und Befugnissen aus. Entscheidend: Die Delegation muss dokumentiert sein, und der Geschäftsführer behält eine Überwachungspflicht. Eine Delegation ohne Kontrolle entlastet nicht.

3. KI-Kompetenz durch Schulung sicherstellen

Die Schulungspflicht nach Art. 4 AI Act trifft nicht nur Mitarbeitende -- auch die Geschäftsleitung selbst muss über KI-Kompetenz verfügen. Nur wer die Risiken versteht, kann angemessene Entscheidungen treffen. Etablieren Sie ein systematisches Schulungsprogramm, das alle Ebenen erfasst -- vom Vorstand bis zu den operativen Teams. Dokumentieren Sie die Schulungen lückenlos.

4. D&O-Versicherung prüfen und anpassen

Eine Directors-and-Officers-Versicherung (D&O) schützt Geschäftsführer vor den finanziellen Folgen von Haftungsansprüchen. Prüfen Sie jedoch kritisch, ob Ihre bestehende D&O-Versicherung KI-bezogene Risiken abdeckt. Viele ältere Policen enthalten Ausschlüsse für regulatorische Bußgelder oder neuartige Technologierisiken. Lassen Sie die Deckung an die neuen Anforderungen anpassen.

Wichtig: Persönliche Bußgelder nach §130 OWiG sind in der Regel nicht versicherbar. Auch vorsätzliche Pflichtverletzungen sind von der Deckung ausgeschlossen. Die D&O-Versicherung ersetzt kein Compliance-System -- sie ergänzt es.

5. Dokumentation als Haftungsschutz

Im Haftungsfall entscheidet die Dokumentation über Freispruch oder Verurteilung. Dokumentieren Sie systematisch:

• Alle KI-Systeme, die im Unternehmen eingesetzt werden (KI-Inventar)
• Die Risikoklassifizierung jedes Systems nach dem AI Act
• Entscheidungsprozesse bei der Einführung neuer KI-Tools
• Durchgeführte Schulungen mit Teilnehmerlisten und Inhalten
• Ergebnisse von Risikoanalysen und Datenschutz-Folgenabschätzungen

Diese Dokumentation ist Ihr Beweis dafür, dass Sie Ihre Sorgfaltspflicht erfüllt haben. Ohne sie steht im Streitfall Aussage gegen Aussage -- und die Beweislast liegt nach §93 Abs. 2 AktG beim Vorstand.

6. Compliance-Management-System implementieren

Ein KI-Compliance-Management-System (CMS) integriert alle Maßnahmen in einen strukturierten Rahmen. Es umfasst Risikoanalysen, Richtlinien, Schulungen, Kontrollen und Berichtswege. Ein CMS nach anerkannten Standards -- etwa angelehnt an IDW PS 980 -- erhöht die Chancen erheblich, sich im Haftungsfall zu entlasten. Gerichte und Behörden bewerten ein funktionierendes CMS als starkes Indiz für pflichtgemäßes Handeln.

7. Laufendes Monitoring und Anpassung

KI-Compliance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Die regulatorische Landschaft entwickelt sich weiter, neue KI-Systeme kommen hinzu, bestehende Systeme verändern sich. Etablieren Sie regelmäßige Reviews:

• Quartalsweises Monitoring der eingesetzten KI-Systeme
• Jährliche Aktualisierung der Risikoklassifizierung
• Laufende Überwachung regulatorischer Entwicklungen
• Regelmäßige Berichte an die Geschäftsleitung

Nur wer kontinuierlich überwacht und anpasst, kann sich dauerhaft auf die Business Judgment Rule berufen.

Häufige Fragen zur Geschäftsführerhaftung bei KI

Hafte ich als Geschäftsführer persönlich für KI-Bußgelder?

Die Bußgelder nach dem AI Act (Art. 99 VO (EU) 2024/1689) richten sich primär an das Unternehmen als juristische Person. Allerdings kann das Unternehmen den Geschäftsführer im Innenverhältnis auf Schadensersatz in Regress nehmen, wenn der Verstoß auf einer Pflichtverletzung beruht (§43 Abs. 2 GmbHG). Zusätzlich droht über §130 OWiG ein persönliches Bußgeld von bis zu 1 Million Euro wegen Aufsichtspflichtverletzung.

Schützt mich die Business Judgment Rule vor KI-Haftung?

Die Business Judgment Rule (§93 Abs. 1 Satz 2 AktG) schützt nur bei unternehmerischen Ermessensentscheidungen, nicht bei Gesetzesverstößen. Wenn Sie nachweislich informiert entschieden haben -- etwa durch Einholung von Rechtsberatung, Risikoanalysen und ein dokumentiertes KI-Governance-System -- können Sie sich bei unvorhersehbaren Fehlentwicklungen auf die Business Judgment Rule berufen. Wer das Thema KI-Compliance ignoriert, kann dies nicht.

Reicht eine D&O-Versicherung als Schutz aus?

Nein. Eine D&O-Versicherung deckt in der Regel Schadensersatzansprüche gegen Organmitglieder ab, hat aber häufig Ausschlüsse bei wissentlichen Pflichtverletzungen und regulatorischen Bußgeldern. Persönliche Bußgelder nach §130 OWiG sind typischerweise nicht versicherbar. Die D&O-Versicherung ist eine wichtige Ergänzung, ersetzt aber kein funktionierendes Compliance-System.

Ab wann gilt die Haftung für KI-Verstöße?

Die Haftung besteht bereits jetzt. Die allgemeinen Sorgfaltspflichten nach §43 GmbHG und §93 AktG gelten unabhängig vom AI Act. Die Schulungspflicht nach Art. 4 und die Verbote nach Art. 5 AI Act sind seit dem 2. Februar 2025 anwendbar. Die Pflichten für Hochrisiko-KI-Systeme (Art. 16-27) werden ab dem 2. August 2026 anwendbar. Geschäftsführer sollten bereits heute handeln, da die Vorbereitungsphase Teil der Sorgfaltspflicht ist.

Was passiert, wenn ich KI-Compliance an einen Mitarbeiter delegiere?

Delegation ist möglich und sinnvoll, befreit aber nicht vollständig von der Haftung. Der Geschäftsführer behält eine Auswahl-, Einweisungs- und Überwachungspflicht. Sie müssen sicherstellen, dass der Beauftragte fachlich geeignet ist, über ausreichende Ressourcen verfügt und seine Aufgaben tatsächlich erfüllt. Regelmäßige Berichte und Stichprobenkontrollen sind unerlässlich. Nur eine dokumentierte, überwachte Delegation entlastet im Haftungsfall.

Fazit: Handeln Sie jetzt -- bevor es persönlich wird

Die Geschäftsführerhaftung bei KI ist keine theoretische Gefahr, sondern eine konkrete rechtliche Realität. Die Kombination aus Organhaftung, AI Act, DSGVO und Ordnungswidrigkeitenrecht schafft ein engmaschiges Haftungsnetz, dem sich kein Geschäftsführer und kein Vorstand entziehen kann.

Die gute Nachricht: Persönliche Haftung ist vermeidbar. Wer ein dokumentiertes KI-Governance-System implementiert, Pflichten wirksam delegiert, Schulungen durchführt und die Entwicklung kontinuierlich überwacht, schafft den Nachweis pflichtgemäßen Handelns -- und kann sich im Ernstfall auf die Business Judgment Rule berufen.

---

Sie möchten Ihre persönliche Haftung als Geschäftsführer minimieren? KI Comply unterstützt Sie mit einem vollständigen KI-Compliance-System: von der Risikoklassifizierung Ihrer KI-Systeme über rechtssichere Schulungen bis zur lückenlosen Dokumentation. Starten Sie jetzt Ihre kostenlose Testphase und machen Sie KI-Compliance zur Chefsache -- bevor es die Aufsichtsbehörde tut.