Die Sorgfaltspflicht verpflichtet Geschäftsführer und Vorstände, bei ihrer Amtsführung die Sorgfalt eines ordentlichen Geschäftsmanns anzuwenden (§ 43 GmbHG, § 93 AktG). Sie ist damit der zentrale Haftungsmaßstab für Compliance, IT-Sicherheit, KI-Governance und unternehmerische Entscheidungen im digitalen Unternehmen.
Was ist die Sorgfaltspflicht nach deutschem Recht?
Die Sorgfaltspflicht ist der rechtliche Maßstab dafür, wie Organmitglieder handeln, entscheiden und kontrollieren müssen. Sie verlangt keine Fehlerfreiheit, aber ein pflichtgemäßes, informierte Entscheidungen vorbereitendes und angemessen dokumentiertes Handeln. Für Geschäftsführer einer GmbH folgt das aus § 43 GmbHG, für Vorstände einer AG aus § 93 AktG.
Praktisch umfasst die Sorgfaltspflicht drei Ebenen: erstens sachgerechte Entscheidungsvorbereitung, zweitens eine funktionierende Unternehmensorganisation und drittens laufende Überwachung wesentlicher Risiken. Wer digitale Systeme einführt, muss deshalb nicht nur wirtschaftliche Chancen sehen, sondern auch Rechts-, Sicherheits- und Reputationsrisiken aktiv steuern.
| Kernmerkmal | Bedeutung für die Praxis |
|---|---|
| Entscheidungsgrundlage | Wesentliche Informationen müssen vorliegen und ausgewertet werden. |
| Organisationspflicht | Prozesse, Zuständigkeiten und Kontrollen müssen belastbar eingerichtet sein. |
| Überwachungspflicht | Risiken dürfen nicht nach der Delegation aus dem Blick geraten. |
| Dokumentation | Im Haftungsfall zählt, was nachvollziehbar belegt werden kann. |
Sorgfaltspflicht nach § 43 GmbHG und § 93 AktG
§ 43 GmbHG und § 93 AktG formulieren denselben Grundgedanken mit leicht unterschiedlicher Terminologie. Geschäftsführer müssen die Sorgfalt eines ordentlichen Geschäftsmanns anwenden, Vorstände die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters. Inhaltlich geht es in beiden Fällen um einen objektiven Sorgfaltsmaßstab.
Für Vorstände ist zusätzlich die Business Judgment Rule in § 93 Abs. 1 Satz 2 AktG wichtig. Sie schützt unternehmerische Entscheidungen, wenn ohne Sonderinteressen, auf angemessener Informationsgrundlage und zum Wohl der Gesellschaft gehandelt wurde. Für Geschäftsführer ist diese Logik ebenfalls prägend, auch wenn § 43 GmbHG sie nicht ausdrücklich so nennt.
Die rechtliche Folge ist klar: Nicht jede Fehlentscheidung führt zur Haftung, wohl aber eine schlecht vorbereitete, unkontrollierte oder organisatorisch unzureichend abgesicherte Entscheidung. Das ist für das Thema KI besonders relevant, weil Einführung, Einkauf und Betrieb neuer Systeme oft fachbereichsübergreifend erfolgen. Vertiefend dazu passen Geschäftsführerhaftung bei der KI-Verordnung und die Analyse zur persönlichen Haftung von Geschäftsführern beim AI Act.
Sorgfaltspflicht im Kontext von KI und Digitalisierung
Im digitalen Unternehmen umfasst die Sorgfaltspflicht heute auch KI-Systeme, automatisierte Entscheidungen, Datenflüsse und Cyberrisiken. Geschäftsleiter müssen nicht jedes technische Detail selbst beherrschen, aber sie müssen sicherstellen, dass Risiken erkannt, Verantwortlichkeiten zugewiesen und Kontrollen wirksam etabliert werden.
Das betrifft insbesondere Klassifizierung, Freigabe und Monitoring von KI-Systemen. Wer KI einsetzt, braucht ein belastbares Inventar, klare Rollen, Schulung und nachvollziehbare Eskalationswege. Für die Umsetzung sind KI-Kompetenz, ein dokumentierter Schulungsnachweis und ein gelebtes Risikomanagement-System keine Formalitäten, sondern typische Elemente pflichtgemäßer Organisation.
AI Act, NIS2, DORA — Neue Sorgfaltspflichten für Geschäftsführer
AI Act, NIS2 und DORA schaffen keine völlig neue Organpflicht, aber sie konkretisieren die bestehende Sorgfaltspflicht für digitale Risiken. Seit dem 2. Februar 2025 verlangt Art. 4 der EU-VO 2024/1689 ausreichende KI-Kompetenz im Unternehmen. NIS2 betont die Verantwortung der Leitungsorgane für Cybersecurity-Risikomanagement und Schulung. DORA ordnet für Finanzunternehmen ausdrücklich die Verantwortung des Leitungsorgans für das Management von IKT-Risiken ein.
Für Geschäftsführer bedeutet das: Wer KI oder kritische digitale Prozesse ohne Governance-Struktur laufen lässt, verletzt möglicherweise nicht nur Spezialrecht, sondern zugleich den allgemeinen Sorgfaltsmaßstab. Neue Regulierung erhöht also den Erwartungshorizont an Auswahl, Kontrolle, Ressourcen und Dokumentation.
| Regelwerk | Relevanz für die Sorgfaltspflicht |
|---|---|
| AI Act | KI-Kompetenz, Rollenklärung, Dokumentation und risikobasierter Einsatz von KI werden organisatorisch erwartbar. |
| NIS2 | Geschäftsleiter müssen Cyberrisiken beaufsichtigen, Maßnahmen billigen und Schulungen unterstützen. |
| DORA | Leitungsorgane im Finanzsektor bleiben für IKT-Risikomanagement und Resilienz verantwortlich. |
Haftungsfolgen bei Verletzung der Sorgfaltspflicht
Bei Verletzung der Sorgfaltspflicht drohen vor allem Innenhaftung und Regress gegenüber der Gesellschaft. Hinzu kommen je nach Sachverhalt Organhaftung, Abberufung, D&O-relevante Streitigkeiten, aufsichtsrechtliche Folgen und bei spezialgesetzlichen Verstößen auch Bußgelder. Gerade bei KI-, Datenschutz- oder IT-Sicherheitsvorfällen wird regelmäßig gefragt, ob die Geschäftsleitung eine angemessene Organisation eingerichtet hatte.
Delegation entlastet nur begrenzt. Aufgaben dürfen an Compliance, IT, Datenschutz oder Fachbereiche übertragen werden, aber Auswahl, Anleitung, Kontrolle und Eskalation verbleiben auf Leitungsebene. Wer Warnsignale ignoriert oder keine belastbare Governance schafft, kann sich später nicht mit interner Zuständigkeitsverteilung entlasten.
Die praktische Konsequenz lautet deshalb: Geschäftsleiter sollten digitale Risiken als Führungsaufgabe behandeln, Entscheidungen dokumentieren und regelmäßige Berichte verlangen. Wenn Sie AI Act, NIS2 und DORA nicht nur juristisch einordnen, sondern in klare Rollen und Nachweise übersetzen wollen, finden Sie auf der Kursübersicht den passenden Einstieg für Geschäftsführung und Compliance-Teams.
Häufig gestellte Fragen (FAQ)
Was passiert bei Verletzung der Sorgfaltspflicht?
Bei einer Verletzung der Sorgfaltspflicht drohen Innenhaftung gegenüber der Gesellschaft, Regressansprüche, Organhaftung, Abberufung und je nach Spezialgesetz zusätzliche Sanktionen. Entscheidend ist, ob Geschäftsleiter ein angemessenes Organisations-, Überwachungs- und Dokumentationsniveau nachweisen können.
Umfasst die Sorgfaltspflicht auch IT-Sicherheit?
Ja. Die Sorgfaltspflicht umfasst heute regelmäßig auch IT-Sicherheit, Cyberresilienz und die Steuerung digitaler Risiken. Das gilt besonders, wenn kritische Prozesse, personenbezogene Daten, KI-Systeme oder Anforderungen aus NIS2, DORA und dem AI Act betroffen sind.
Kann Sorgfaltspflicht delegiert werden?
Einzelne Aufgaben können delegiert werden, die Organverantwortung aber nicht vollständig. Geschäftsleiter müssen delegierte Bereiche geeignet besetzen, Berichte einfordern, Risiken verstehen und bei kritischen Entwicklungen selbst eingreifen können.