Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
Geschäftsführer Haftung CyberangriffGF Haftung IT-Sicherheit§43 GmbHG Cybersecurity

Geschäftsführer-Haftung bei Cyberangriffen: Rechtslage 2026

§ 43 GmbHG, § 93 AktG, § 38 BSIG: Wie Geschäftsführer bei Cyberangriffen persönlich haften und sich 2026 wirksam schützen.

Veröffentlicht: 13. März 2026Letzte Aktualisierung: 20. März 202611 Min. Lesezeit

Letzte Aktualisierung: 20. März 2026

Geschäftsführer haften nach NIS2 Art. 20, AI Act Art. 4, DSGVO Art. 83, § 43 GmbHG und § 93 AktG persönlich für Schäden durch Cyberangriffe, wenn sie ihre Sorgfaltspflichten bei IT-Sicherheit und KI-Governance verletzen. Für GmbHs bedeutet das im Jahr 2026 vor allem: Wer Risiken kennt, aber Backups, Schulung, Meldung und Überwachung nicht organisiert, schafft ein eigenes Haftungsproblem auf Leitungsebene.

Die kurze Antwort für Entscheider lautet deshalb: Ja, Geschäftsführer können bei einem Cyberangriff persönlich in Regress genommen werden. Das geschieht meist nicht über ein unmittelbares Bußgeld gegen die natürliche Person, sondern über Organhaftung, internen Schadensersatz, D&O-Deckungsstreit und in Einzelfällen über persönliche Außenhaftung. Wenn Sie zuerst den allgemeinen Rahmen der Organhaftung einordnen wollen, lesen Sie ergänzend Geschäftsführer-Haftung bei KI und den vertiefenden Beitrag zu persönlicher Geschäftsführer-Haftung im AI Act.

Geschäftsführer haften 2026 nicht abstrakt, sondern über klare Haftungsketten

Die Haftung bei Cyberangriffen entsteht 2026 über mehrere Normebenen gleichzeitig. Gesellschaftsrechtlich ist der Ausgangspunkt bei der GmbH § 43 Abs. 1 GmbHG: Geschäftsführer müssen die Sorgfalt eines ordentlichen Geschäftsmannes anwenden. Verstoßen sie dagegen, ordnet § 43 Abs. 2 GmbHG Schadensersatz gegenüber der Gesellschaft an. Für Vorstände einer AG gilt dieselbe Logik über § 93 Abs. 1 und Abs. 2 AktG.

Cybersecurity ist heute keine rein technische Randfrage mehr, sondern Teil ordnungsgemäßer Unternehmensorganisation. Spätestens seit NIS2 ist die Leitungsverantwortung ausdrücklich verschärft. Art. 20 der Richtlinie (EU) 2022/2555 verpflichtet Leitungsorgane, Cyber-Risikomaßnahmen zu billigen, deren Umsetzung zu überwachen und selbst Schulungen zu absolvieren. Für NIS2-pflichtige Einrichtungen konkretisiert die deutsche Umsetzung diese Verantwortung nach aktueller Rechtslage in § 38 BSIG. Wer sich darauf verlässt, dass der IT-Leiter „das schon macht“, verkennt genau diese neue Verantwortungszuweisung.

Die persönliche Haftung ist dabei grundsätzlich unbeschränkt. Geschäftsführer haften nicht nur bis zur Höhe ihres Jahresgehalts, sondern im Regressfall mit ihrem Privatvermögen, soweit keine wirksame Absicherung greift. Die praktisch wichtigste Frage ist deshalb nicht, ob jeder Cybervorfall automatisch zur Haftung führt. Die entscheidende Frage lautet vielmehr: War die Sicherheitsorganisation vor dem Vorfall angemessen, dokumentiert und überwacht?

Haftungsmatrix: Welche Regelwerke die Geschäftsleitung bei Cyberangriffen treffen

Cyberangriffe berühren selten nur ein Gesetz. In der Praxis wirken mehrere Regelwerke kumulativ.

RegelwerkZentrale PflichtRelevanz für GeschäftsführerTypische Folge bei Verstoß
GmbHG § 43Sorgfalt eines ordentlichen Geschäftsmannes; Schadensersatz bei PflichtverletzungMaßstab für GmbH-GeschäftsführerInterner Regress der Gesellschaft
AktG § 93Sorgfaltspflicht; Haftung bei PflichtverstoßMaßstab für Vorstand und oft Orientierungswert für GmbHsSchadensersatz, Beweislastprobleme
NIS2 Art. 20 / § 38 BSIGMaßnahmen billigen, Umsetzung überwachen, Management-SchulungBoard-Level-Verantwortung für CybersecurityBußgeldrisiko für Unternehmen, verschärfter Regress
NIS2 Art. 21 / BSIGRisikoanalyse, Incident Handling, Backup, Business Continuity, SchulungOrganisationspflicht für technische und organisatorische MaßnahmenAufsichtsmaßnahmen, Bußgelder, Reputationsschäden
AI Act Art. 4Ausreichende KI-Kompetenz sicherstellenRelevant, wenn KI-Systeme im Incident betroffen sindVerstärker für Organisationsverschulden
DSGVO Art. 32, Art. 33, Art. 83Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, BußgelderRelevanz bei Datenabfluss im CybervorfallBehördliche Verfahren, Schadensersatz, Regress

Die Matrix zeigt den Kernpunkt: Der Cyberangriff selbst ist oft nur der Auslöser. Persönliche Haftung entsteht regelmäßig erst dann, wenn der Angriff auf vorhersehbare organisatorische Versäumnisse trifft. Genau deshalb sollten Geschäftsführer Cybersecurity zusammen mit KI-Schulungspflicht nach Artikel 4, Richtlinien und Nachweisen denken, nicht als isoliertes IT-Projekt.

§ 43 GmbHG macht fehlende Cyber-Vorsorge zum persönlichen Regressrisiko

Für GmbH-Geschäftsführer ist § 43 Abs. 1 GmbHG die zentrale Haftungsnorm. „Sorgfalt eines ordentlichen Geschäftsmannes“ bedeutet 2026 nicht Perfektion, aber ein nachvollziehbares Mindestniveau an Risikoorganisation. Dazu gehören bei Cyberrisiken mindestens eine dokumentierte Risikoanalyse, klare Verantwortlichkeiten, ein angemessenes Sicherheitsbudget, ein funktionierendes Backup-Konzept, Schulungen gegen Phishing sowie definierte Melde- und Eskalationswege.

Der relevante Maßstab ist immer die Angemessenheit im konkreten Unternehmen. Ein Maschinenbauer mit 180 Beschäftigten, vernetzter Produktion und ERP-Anbindung muss mehr organisieren als ein kleines Beratungsbüro mit wenigen Standardtools. Beide dürfen das Thema aber nicht ignorieren. Wer Ransomware-Risiken kennt, trotzdem keine Wiederherstellung testet, keine Mehrfaktor-Authentifizierung priorisiert und keine Verantwortlichkeit im Krisenfall festlegt, handelt nicht mehr im geschützten Bereich vertretbarer Managemententscheidungen.

Wichtig ist auch die Innenhaftung. Wenn die Gesellschaft nach einem Angriff Lösegeldfolgen, Wiederherstellungskosten, Umsatzausfälle, Forensik, Rechtsberatung oder Bußgelder tragen muss, kann sie prüfen, ob die Geschäftsführung diese Schäden durch pflichtwidrige Untätigkeit verursacht hat. Die Aussage „Das Bußgeld trifft doch die GmbH“ hilft dann nicht. Gerade darin liegt das persönliche Risiko des Geschäftsführers.

§ 93 AktG und Business Judgment Rule schützen nicht bei ignorierter IT-Sicherheit

Für Vorstände einer AG regelt § 93 Abs. 1 Satz 1 AktG die Sorgfaltspflicht; § 93 Abs. 1 Satz 2 AktG enthält die Business Judgment Rule. Diese Regel schützt unternehmerische Entscheidungen, wenn der Vorstand vernünftigerweise annehmen durfte, auf Grundlage angemessener Information zum Wohl der Gesellschaft zu handeln.

Bei IT-Sicherheit endet dieser Schutz dort, wo keine bloße Ermessensentscheidung mehr vorliegt, sondern eine gesetzliche Mindestpflicht. Wer bekannte Cyberrisiken überhaupt nicht bewertet, keine Budgets freigibt, Audit-Hinweise ignoriert oder Incident-Response-Prozesse nicht einfordert, trifft keine vertretbare Geschäftsentscheidung mehr. Er verzichtet auf Organisation. Das ist rechtlich etwas anderes als die Frage, ob man Produkt A oder Produkt B zur Angriffserkennung einsetzt.

Für GmbHs wird die Business Judgment Rule zwar nicht wortgleich angewandt, sie dient aber regelmäßig als Orientierungsmaßstab. Praktisch heißt das: Ein Geschäftsführer kann sich entlasten, wenn er Risiken ernsthaft erhoben, externe Expertise eingeholt, Schutzmaßnahmen priorisiert, Budgetentscheidungen dokumentiert und deren Umsetzung überwacht hat. Er kann sich nicht entlasten, wenn er IT-Sicherheit trotz Warnsignalen vollständig delegiert und aus dem Blick verliert.

NIS2 verschärft die Geschäftsführer-Haftung ausdrücklich

NIS2 macht Cybersecurity 2026 endgültig zum Leitungsthema. Art. 20 der Richtlinie (EU) 2022/2555 verlangt, dass Leitungsorgane Cyber-Risikomaßnahmen billigen, deren Umsetzung überwachen und an Schulungen teilnehmen. Art. 21 verlangt konkrete Risiko- und Resilienzmaßnahmen, darunter Incident Handling, Business Continuity, Krisenmanagement, Lieferkettensicherheit, Sicherheitskonzepte für Erwerb und Entwicklung sowie Grundlagen der Cyberhygiene und Schulung.

Für deutsche Unternehmen mit NIS2-Bezug wird diese Leitungsverantwortung nach aktuellem Rechtsstand über § 38 BSIG besonders scharf. Die Geschäftsleitung kann die operative Umsetzung delegieren, aber nicht die Letztverantwortung. Genau das ist der Wendepunkt zur älteren Praxis. Ein bloßes „Ich habe einen IT-Leiter“ reicht nicht mehr, wenn die Geschäftsleitung keine Billigung, kein Monitoring und keine Nachschulung nachweisen kann.

Auch das Bußgeldniveau erhöht den Druck. Unter NIS2 und BSIG drohen für schwere Verstöße Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Diese Sanktionen treffen zunächst das Unternehmen. Für Geschäftsführer sind sie aber haftungsrechtlich hochrelevant, weil jeder behördlich festgestellte Organisationsmangel den internen Regress gegen die Leitungsebene erleichtern kann. Wer NIS2-pflichtig ist, sollte Cyber-Governance deshalb genauso konsequent behandeln wie Finanz- oder Exportkontrollen.

Gerichtsentscheidungen zeigen, dass Organisations- und Backup-Mängel justiziabel sind

Die deutsche Rechtsprechung kennt keine generelle „Cyberangriffs-Ausnahme“ für die Geschäftsleitung. Entscheidend ist vielmehr, ob das Unternehmen organisatorisch auf vorhersehbare Ausfälle vorbereitet war. Bereits das OLG Hamm, Urteil vom 01.12.2004, Az. 13 U 133/03, hat klargestellt, dass fehlende oder unzureichende Datensicherung bei geschäftskritischen IT-Systemen haftungsrechtlich erheblich sein kann. Die Entscheidung wird bis heute als Warnsignal dafür gelesen, dass Datensicherung kein Komfort, sondern Teil ordnungsgemäßer Organisation ist.

Für die Organverantwortung ist außerdem die BGH-Rechtsprechung zur Compliance- und Überwachungspflicht zentral. Der BGH, Urteil vom 17.07.2009, Az. 5 StR 394/08, betont, dass Leitungsaufgaben zwar delegiert werden können, die Pflicht zur Überwachung aber bestehen bleibt. Diese Logik trifft Cybersecurity unmittelbar: Ein bestellter CISO oder IT-Leiter enthaftet nicht, wenn die Geschäftsleitung nie kontrolliert, ob Maßnahmen tatsächlich umgesetzt wurden.

Häufig wird in der Praxis zusätzlich auf Entscheidungen aus dem Datenschutzrecht verwiesen, weil Cyberangriffe fast immer auch Datenverarbeitung betreffen. Der OLG Dresden, Beschluss vom 30.11.2021, Az. 4 U 1158/21, wird deshalb regelmäßig als Hinweis gelesen, dass Geschäftsführer bei Datenschutzverstößen nicht reflexhaft hinter der juristischen Person verschwinden. Für Cybervorfälle mit Datenabfluss verschärft das die Lage zusätzlich.

Für das im Ticket genannte Beispiel „LG München wegen fehlender Datensicherung“ gilt: In der deutschen Spruchpraxis gibt es zahlreiche Entscheidungen zu Datenverlust, Datensicherheit und DSGVO-Schäden, aber die genaue Übertragbarkeit auf persönliche Geschäftsführer-Haftung hängt stark vom Einzelfall ab. Für einen belastbaren Managementmaßstab ist deshalb wichtiger, was alle Entscheidungen gemeinsam zeigen: Fehlende Backups, fehlende Überwachung und fehlende Dokumentation werden vor Gericht nicht als technische Bagatellen behandelt.

Diese Haftungsszenarien sind 2026 besonders gefährlich

Cyberhaftung wird für Geschäftsführer typischerweise in drei Standardsituationen konkret.

Ransomware ohne getestete Backups

Ein Geschäftsführer haftet besonders schnell, wenn das Unternehmen zwar Backups behauptet, deren Wiederherstellung aber nie getestet hat. Nach einem Ransomware-Angriff zeigt sich dann oft, dass Sicherungen mitverschlüsselt wurden, Wiederanlaufzeiten unbekannt sind oder Geschäftsprozesse trotz Datensicherung tagelang stillstehen. In dieser Konstellation wird nicht der Angriff selbst zum Vorwurf, sondern die unzureichende Resilienzvorsorge.

Phishing ohne Schulung und klare Prozesse

Ein Geschäftsführer schafft ein persönliches Risiko, wenn Mitarbeitende regelmäßig auf Phishing hereinfallen und das Unternehmen weder Pflichtschulung noch technische Mindeststandards eingeführt hat. Gerade hier greifen NIS2, DSGVO und allgemeine Organpflichten ineinander. Wer Awareness-Training, Meldewege und Mehrfaktor-Authentifizierung trotz bekannter Bedrohungslage nicht organisiert, kann schwer argumentieren, er habe angemessen gehandelt. Für die operative Basis helfen eine KI-Policy für Unternehmen und eine strukturierte AI-Act-Checkliste für Unternehmen, weil beide Governance und Nachweis zusammendenken.

Fehlende oder verspätete Meldung nach NIS2 oder DSGVO

Ein Geschäftsführer verschärft seine Haftung, wenn nach einem Sicherheitsvorfall zwar intern Chaos herrscht, aber niemand Meldefristen und Zuständigkeiten kennt. Bei Datenschutzverletzungen gelten die Fristen aus Art. 33 DSGVO; bei NIS2 kommen zusätzliche Meldepflichten hinzu. Ohne Incident-Plan wird aus dem Primärschaden schnell ein Zweitschaden durch Fristversäumnisse, unvollständige Kommunikation und behördliche Vorwürfe mangelhafter Organisation.

Cyberangriff, KI-Governance und Datenschutz müssen 2026 zusammen geführt werden

Geschäftsführer dürfen Cybersecurity 2026 nicht mehr isoliert von KI-Governance und Datenschutz behandeln. In vielen Unternehmen laufen Ransomware-, Phishing- und Datenabflussrisiken inzwischen direkt über KI-gestützte Prozesse, etwa bei Copilot-Nutzung, automatisierter Dokumentenverarbeitung, HR-Workflows oder Support-Systemen. Dadurch greifen Cyberpflichten, KI-Kompetenzpflichten und datenschutzrechtliche Sicherheitsanforderungen parallel.

Praktisch relevant wird das besonders bei Fehlbedienung durch Mitarbeitende. Wenn Beschäftigte sensible Daten in nicht freigegebene Tools eingeben, KI-generierte Inhalte ungeprüft weiterverwenden oder Angriffe auf KI-nahe Systeme nicht erkennen, liegt das Problem selten nur in der Technik. Es liegt in unzureichender Governance. Genau deshalb sollte die Geschäftsleitung Cyber- und KI-Risiken in derselben Risikomatrix führen und Schulung nicht nur als Awareness-Maßnahme, sondern als Entlastungsinstrument verstehen.

Für mittelständische Unternehmen ist diese Verzahnung oft der schnellste Hebel. Wer Richtlinie, Schulung, Freigabeprozess und Incident-Eskalation an einem Punkt zusammenführt, reduziert nicht nur das Angriffspotenzial, sondern verbessert gleichzeitig die Beweislage im Haftungsfall. Inhaltlich schließt das an die KI-Policy-Vorlage, die AI-Act-Checkliste und die EU AI Act Schulung an. Auch wenn ISO 42001 rechtlich nicht zwingend ist, zeigt der Standard als Managementsystem-Rahmen, wie Unternehmen Verantwortlichkeiten, Reviews und Verbesserungszyklen sauber dokumentieren können.

So schützen sich Geschäftsführer gegen Regress, Bußgeldfolgen und D&O-Streit

Die wirksamste Entlastungsstrategie ist Dokumentation. Geschäftsführer sollten erstens eine förmliche Risikoanalyse für wesentliche IT- und KI-Risiken beschließen lassen. Zweitens sollten sie Budgets, Prioritäten und Verantwortlichkeiten schriftlich festhalten. Drittens müssen sie sich die Umsetzung regelmäßig berichten lassen. Eine gute Entscheidung ohne Nachweis ist im Haftungsfall oft wertlos.

Ebenso wichtig sind belastbare Schulungsnachweise. Management, IT, HR, Vertrieb und Fachbereiche brauchen nicht dieselben Inhalte, aber alle relevanten Rollen brauchen einen dokumentierten Mindeststandard. Für KI-bezogene Risiken wird diese Linie seit Februar 2025 zusätzlich durch Art. 4 EU AI Act verstärkt. Wenn Sie Governance strukturieren, Schulungsstände dokumentieren und Führungskräfte einbinden wollen, ist die EU AI Act Schulung der schnellste Einstieg; für strategischen Kontext hilft auch die Einordnung von ISO 42001 im Beitrag IAPP AIGP vs. AI-Act-Kurs.

Zur Entlastung gehört außerdem die Versicherungsseite. Eine D&O-Versicherung schützt nicht gegen dokumentierte Untätigkeit, kann aber bei fahrlässigen Fehlentscheidungen entscheidend sein. Geschäftsführer sollten deshalb vor einem Vorfall prüfen, ob Cyber- und Compliance-Sachverhalte, Regressansprüche und wissentliche Pflichtverletzungen in der Police sauber adressiert sind. Wer die Deckung erst nach dem Incident liest, ist zu spät.

Praktisch sinnvoll ist ein Vier-Punkte-Programm:

  1. Beschließen Sie ein jährliches Cyber-Risikoreview mit Protokoll auf Geschäftsleitungsebene.
  2. Verlangen Sie Nachweise zu Backup-Tests, Schulungen, Incident-Übungen und kritischen Lieferanten.
  3. Dokumentieren Sie Budgetentscheidungen ausdrücklich mit Risikobezug statt nur mit IT-Betriebsbezug.
  4. Prüfen Sie D&O-, Cyber- und Krisenkommunikationsbausteine, bevor ein Schadenfall eintritt.

Diese Unterlagen entlasten die Geschäftsleitung im Ernstfall wirklich

Im Haftungsfall zählt nicht, was intern „eigentlich geplant“ war, sondern was sich belegen lässt. Geschäftsführer sollten deshalb einen kleinen, aber belastbaren Entlastungsordner aufbauen. Dazu gehören erstens Beschluss- oder Protokollunterlagen zur Risikobewertung, zweitens Nachweise über Budgetfreigaben und priorisierte Maßnahmen, drittens Ergebnisse von Backup- und Restore-Tests, viertens Schulungsnachweise für Management und Belegschaft und fünftens ein Incident-Response-Playbook mit klaren Rollen.

Besonders stark wirken Dokumente, die nicht nur Existenz, sondern Management-Kontrolle zeigen. Ein Beispiel: Ein bloßes IT-Konzept hilft weniger als ein Protokoll, aus dem hervorgeht, dass die Geschäftsleitung den Restore-Test angefordert, einen kritischen Mangel adressiert und einen Nachtermin überwacht hat. Genauso ist eine E-Learning-Lizenz allein schwach; deutlich besser sind Teilnehmerlisten, Abschlussnachweise und Follow-up-Maßnahmen für Personen mit hohem Risiko. Für die allgemeine Governance-Grundlinie ist auch der Beitrag zur KI-Schulung dokumentieren nach Art. 4 relevant.

Praktisch bewährt sich folgende Mindestdokumentation:

  1. Cyber-Risikoanalyse mit Datum, Prioritäten und Verantwortlichen.
  2. Beschluss- oder Freigabevermerk zu Budget, Maßnahmen und Fristen.
  3. Nachweis getesteter Backups, Wiederherstellungszeiten und Lessons Learned.
  4. Schulungsregister für Management, IT, Fachbereiche und neue Mitarbeitende.
  5. Melde- und Eskalationsplan für DSGVO-, NIS2- und Krisenkommunikation.

Diese Dokumente verhindern keine Attacke, aber sie verbessern die rechtliche Ausgangslage erheblich. Sie zeigen gegenüber Behörden, Versicherern und der eigenen Gesellschaft, dass die Geschäftsleitung Cybersecurity nicht nur formal delegiert, sondern tatsächlich geführt hat.

Fazit: Persönliche Haftung beginnt lange vor dem eigentlichen Cyberangriff

Geschäftsführer haften 2026 nicht deshalb persönlich, weil Cyberangriffe an sich unvermeidbar wären. Sie haften persönlich, wenn sie vorhersehbare Risiken nicht organisieren, Warnsignale ignorieren und ihre Leitungsverantwortung bei IT-Sicherheit nicht wahrnehmen. § 43 GmbHG, § 93 AktG, NIS2 Art. 20 und die deutsche Umsetzung im BSIG ziehen die Verantwortung ausdrücklich auf die Organebene.

Die pragmatische Konsequenz ist klar: Risikoanalyse, Budget, Backup-Tests, Schulungsnachweise und Incident-Prozesse gehören auf die Agenda der Geschäftsleitung. Wenn Sie dafür eine belastbare Mindestlinie für Management und Fachbereiche aufbauen wollen, starten Sie mit der EU AI Act Schulung oder klären Sie offene Umsetzungsfragen zuerst in unserer FAQ.

FAQ zur Geschäftsführer-Haftung bei Cyberangriffen

Hafte ich als Geschäftsführer persönlich für Cyberangriffe?

Ja, unter bestimmten Voraussetzungen. Persönliche Haftung entsteht vor allem dann, wenn Sie als Geschäftsführer erkennbare Cyberrisiken organisatorisch nicht beherrschen, obwohl § 43 GmbHG, § 93 AktG und NIS2 eine aktive Leitungsverantwortung verlangen.

Schützt meine D&O-Versicherung bei NIS2-Verstößen?

Nicht automatisch. D&O deckt typischerweise fahrlässige Pflichtverletzungen, aber nicht sicher jede wissentliche Untätigkeit. Entscheidend ist, ob Sie Cyberrisiken erkennbar bearbeitet, dokumentiert und überwacht haben oder trotz klarer Pflichten gar nicht gehandelt haben.

Welche Sorgfaltspflichten hat ein Geschäftsführer bei IT-Sicherheit?

Geschäftsführer müssen Cyberrisiken angemessen organisieren. Dazu gehören typischerweise Risikoanalyse, Zuständigkeiten, Budget, Backup- und Wiederanlaufkonzept, Schulungen, Meldeprozesse und Überwachung der Umsetzung. Der Maßstab ist nicht Perfektion, sondern dokumentierte Angemessenheit.

Kann ich die Haftung an den IT-Leiter oder CISO delegieren?

Nein, nicht vollständig. Sie können operative Aufgaben delegieren, aber nicht Ihre Überwachungs- und Letztverantwortung. Genau diese Grenze betont die BGH-Rechtsprechung zur Compliance-Organisation.

Was ändert NIS2 an der Geschäftsführer-Haftung?

NIS2 macht Cybersecurity ausdrücklich zum Thema der Geschäftsleitung. Leitungsorgane müssen Maßnahmen billigen, deren Umsetzung überwachen und selbst Schulungen absolvieren. Für betroffene Unternehmen wird es dadurch deutlich schwerer, sich auf reine Delegation herauszureden.

Dieser Beitrag dient der allgemeinen rechtlichen Orientierung und ersetzt keine individuelle Rechtsberatung. Für die Bewertung Ihres konkreten Haftungsrisikos sollten Sie spezialisierten IT-, Datenschutz- und Gesellschaftsrechtsrat einholen.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →