Seit dem 2. Februar 2025 gilt Artikel 4 der EU-KI-Verordnung (EU-VO 2024/1689) unmittelbar in ganz Deutschland. Er verpflichtet Anbieter und Betreiber von KI-Systemen, dafür zu sorgen, dass ihr Personal über ein ausreichendes Maß an KI-Kompetenz verfügt. Was viele Geschäftsführer noch nicht auf dem Schirm haben: Diese Pflicht endet nicht an der Unternehmensgrenze. Sie landet auf dem Schreibtisch der Geschäftsleitung — und kann zur persönlichen Haftungsfalle werden.
Dieser Artikel klärt sachlich, was rechtlich auf dem Spiel steht, welche Präzedenzfälle aus dem DSGVO-Recht bereits existieren, und was Geschäftsführer konkret tun sollten.
Persönliche Haftung: Kein direktes Bußgeld, aber ein Verstärker
Artikel 4 der EU-KI-Verordnung enthält keinen eigenen, unionsweit harmonisierten Bußgeldtatbestand. Wer nach Art. 99 EU-VO 2024/1689 sucht, findet dort keine isolierte Sanktionsstufe für fehlende KI-Schulung. Das ist die gute Nachricht — und sie ist zugleich die am häufigsten missverstandene Aussage in der Diskussion um GF-Haftung.
Die Gefahr liegt woanders: Fehlt die KI-Schulung und entsteht daraus ein Schaden, wirkt Artikel 4 als Verstärker. Er verschärft das Haftungsrisiko bei anderen Verstößen und begründet zivilrechtliche Schadensersatzansprüche gegen das Unternehmen — und potenziell gegen seine Führungskräfte persönlich. Ein Geschäftsführer, der seit Februar 2025 keine Schulungsstruktur aufgebaut hat, liefert damit eine belegbare Sorgfaltspflichtverletzung, die bei jedem späteren KI-bedingten Schaden als Beweisstück dient.
Ob und wie ein Geschäftsführer persönlich haftet, bestimmt sich vor allem nach deutschem Gesellschaftsrecht.
§43 GmbHG und §93 AktG: Sorgfaltspflicht als Haftungsgrundlage
§43 GmbHG verlangt vom Geschäftsführer, in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Bei Verletzung dieser Pflicht haftet er der Gesellschaft für den entstandenen Schaden — gesamtschuldnerisch mit anderen Geschäftsführern. Für Aktiengesellschaften gilt die inhaltsgleiche Regelung in §93 AktG.
Was "Sorgfalt eines ordentlichen Geschäftsmannes" im Jahr 2025 konkret bedeutet: Ein ordentlicher Geschäftsmann ignoriert nicht, dass seit Februar 2025 eine verbindliche europäische Verordnung zu KI-Kompetenzen gilt. Er informiert sich. Er organisiert. Er handelt. Ein Geschäftsführer, der seinen Mitarbeitenden KI-Tools ohne jegliche Schulung überlässt und dies damit begründet, dass noch kein Bußgeld verhängt wurde, erfüllt diesen Standard nicht.
Business Judgment Rule: Schutz mit Grenzen
Die Business Judgment Rule (§93 Abs. 1 Satz 2 AktG, analog für GmbH) schützt Führungskräfte vor Haftung, wenn sie eine unternehmerische Entscheidung auf Grundlage angemessener Information und ohne Eigeninteresse im Sinne des Unternehmens getroffen haben.
Der Schutz greift nicht, wenn der Geschäftsführer gesetzliche Mindestpflichten ignoriert. Die Schulungspflicht nach Artikel 4 EU AI Act ist eine solche gesetzliche Pflicht — keine bloße unternehmerische Ermessensentscheidung. Wer sie nicht umsetzt, kann sich nicht auf die Business Judgment Rule berufen. Das hat BaFin in ihren Leitlinien zur Vorstandshaftung ausdrücklich festgehalten: "Vorstände haften für schlechte Compliance."
Organisationsverschulden: Fehlende Schulung als strukturelles Versagen
Das Organisationsverschulden ist ein zentraler Haftungstatbestand im deutschen Recht: Wer innerhalb einer Organisation keine ausreichenden Strukturen schafft, um Rechtsverstöße zu verhindern, trägt dafür die Verantwortung. Das OLG Nürnberg hat klargestellt, dass ein GmbH-Geschäftsführer verpflichtet ist, ein Compliance-Management-System einzurichten, um Schaden von der Gesellschaft abzuwenden. Wer dies versäumt, riskiert nach §43 Abs. 2 GmbHG persönlich in Anspruch genommen zu werden.
Übertragen auf den EU AI Act bedeutet das drei konkrete Risikopunkte:
- Kein Schulungskonzept für KI-nutzende Mitarbeitende — strukturelles Organisationsversagen
- Keine Dokumentation, wer welche KI-Systeme verwendet — fehlende Übersicht und Kontrolle
- Kein interner Verantwortlicher für KI-Compliance — Überwachungspflichtverletzung
Entsteht ein Schaden durch den unkontrollierten Einsatz von KI — etwa fehlerhafte Kreditentscheidungen, diskriminierende HR-Auswahlprozesse oder falsche Patienteninformationen — und fehlt eine dokumentierte Schulungsstruktur, ist das Organisationsverschulden schwer zu widerlegen.
OLG Dresden: Der DSGVO-Präzedenzfall, der direkt übertragbar ist
Das DSGVO-Recht ist der wichtigste Spiegel für die kommende AI-Act-Durchsetzung. Die strukturellen Parallelen sind eindeutig: neue europäische Verordnung, direkte Geltung, hohe Bußgeldrahmen, und die Grundfrage, wer persönlich verantwortlich ist.
Das OLG Dresden hat am 30. November 2021 (Az. 4 U 1158/21) ein wegweisendes Urteil gesprochen: Der Geschäftsführer einer GmbH ist neben der GmbH selbst als datenschutzrechtlich Verantwortlicher einzustufen und haftet für Datenschutzverstöße gesamtschuldnerisch. Betroffene können sich aussuchen, ob sie die GmbH oder den Geschäftsführer persönlich in Anspruch nehmen.
Die juristische Begründung: Ein Geschäftsführer entscheidet typischerweise über Zwecke und Mittel der Verarbeitung — anders als ein weisungsgebundener Angestellter. Damit wird er selbst zum Verantwortlichen.
Diese Logik ist auf den EU AI Act übertragbar. Der Geschäftsführer entscheidet, welche KI-Systeme das Unternehmen einsetzt. Er entscheidet, ob Schulungen stattfinden. Er trägt die Letztverantwortung für die Compliance-Struktur. Es ist nur eine Frage der Zeit, bis erste Gerichte diese Argumentation auf AI-Act-Sachverhalte anwenden. Wer bis dahin keine Dokumentation aufgebaut hat, liefert den Klägeranwälten eine fertige Argumentation.
D&O-Versicherung in Gefahr: Was dokumentierte Untätigkeit kostet
Die Directors-and-Officers-Versicherung (D&O) schützt Führungskräfte vor persönlichen Schadensersatzforderungen. Sie ist das Standard-Sicherheitsnetz für Geschäftsführer in Deutschland. Aber sie ist kein Freifahrtschein.
D&O-Policen decken typischerweise Fahrlässigkeit, nicht wissentliche Pflichtverletzung. Der BGH hat 2025 Ausschlussklauseln für wissentliche Pflichtverletzungen enger ausgelegt — eine wissentliche Pflichtverletzung muss gerade in Bezug auf die konkret geltend gemachte Pflicht vorliegen. Das ist ein Fortschritt für Versicherte.
Dennoch gilt: Wer als Geschäftsführer seit Februar 2025 von der Schulungspflicht nach Art. 4 EU AI Act weiß — und das ist nach dem Inkrafttreten der Verordnung schwer zu leugnen — und trotzdem nichts unternimmt, liefert Versicherern gute Argumente für eine Leistungsverweigerung. "Ich wusste, dass es eine gesetzliche Pflicht gibt, aber habe sie ignoriert" ist die klassische Konstellation, auf die sich Versicherer berufen.
Einige Versicherer, darunter QBE im internationalen Markt, haben bereits KI-Act-spezifische Coverage-Produkte eingeführt, die regulatorische Haftungsszenarien aus dem EU AI Act als eigene Risikokategorie behandeln. Das zeigt: Die Branche erwartet Deckungsstreitigkeiten. Prüfen Sie Ihre bestehende D&O-Police explizit auf KI-relevante Ausschlüsse — am besten jetzt, nicht nach einem Vorfall.
Art. 99 Bußgelder und GF-Regress: Der indirekte Durchgriff
Art. 99 EU-VO 2024/1689 sieht folgende Sanktionsstufen vor:
| Verstoßart | Höchstbetrag | Umsatzgrenze |
|---|---|---|
| Verbotene KI-Praktiken (Art. 5) | bis 35 Mio. EUR | bis 7 % weltweiter Jahresumsatz |
| Anbieter-, Betreiber- und Transparenzpflichten (u. a. Hochrisiko) | bis 15 Mio. EUR | bis 3 % Jahresumsatz |
| Falsche oder unvollständige Angaben gegenüber Behörden | bis 7,5 Mio. EUR | bis 1,5 % Jahresumsatz |
Diese Bußgelder richten sich zunächst gegen das Unternehmen als juristische Person. Eine direkte Bebußung des Geschäftsführers persönlich durch die Marktüberwachungsbehörden ist in der EU-KI-Verordnung selbst nicht vorgesehen.
Der Durchgriff auf den Geschäftsführer erfolgt auf anderem Weg: Wenn das Unternehmen ein Bußgeld zahlt, weil KI-Schulungen fehlten, und dieser Schaden kausal auf das Unterlassen des Geschäftsführers zurückzuführen ist, kann die GmbH nach §43 Abs. 2 GmbHG Rückgriff beim Geschäftsführer nehmen. Das ist kein theoretisches Risiko — es entspricht der etablierten deutschen Gesellschaftsrechtspraxis. Hinzu kommen zivilrechtliche Schadensersatzansprüche Dritter, die bei KI-bedingten Schäden direkt gegen das Unternehmen und potenziell gegen die Führungskraft persönlich geltend gemacht werden können.
KI-MIG: Deutschlands Umsetzungsgesetz schafft die Vollzugsbehörde
Das deutsche Gesetz zur Durchführung der KI-Verordnung (KI-MIG) wurde am 11. Februar 2026 vom Bundeskabinett verabschiedet. Es benennt die Bundesnetzagentur (BNetzA) als zentrale nationale Marktüberwachungsbehörde für den EU AI Act.
Ab dem 2. August 2026 nimmt die BNetzA ihre volle Durchsetzungstätigkeit auf. Das ist das Datum, ab dem Bußgeldverfahren nach Art. 99 realistisch werden. Für Geschäftsführer bedeutet das: Wer bis August 2026 keine belastbare Schulungsdokumentation aufgebaut hat, hat anderthalb Jahre Sorgfaltspflichtverletzung nach §43 GmbHG dokumentiert — und zwar schriftlich, durch sein eigenes Unterlassen.
Die Parallele zur DSGVO-Entwicklung ist lehrreich: Auch dort kamen die ersten Urteile nicht am ersten Tag. Aber als sie kamen, galten sie rückwirkend. Das OLG Dresden 2021 bewertete Verhalten, das Jahre zuvor stattgefunden hatte. Beim AI Act beginnt dieser Zyklus jetzt.
Der 3-Schritte-Schutzplan für Geschäftsführer
Der Schutzplan ist nicht komplex. Er erfordert Entscheidung und konsequente Umsetzung.
Schritt 1: KI-Inventar erstellen
Erstellen Sie eine interne Liste aller KI-Systeme, die im Unternehmen im Einsatz sind. Für jedes System: Wer nutzt es? Zu welchem Zweck? Handelt es sich um ein Hochrisiko-System nach Anhang III EU AI Act? Diese Bestandsaufnahme ist die Grundlage für alles Weitere — und bereits ein nachweisbarer Beleg gegenüber Behörden, dass Sie die Lage kennen und strukturiert angehen.
Schritt 2: Dokumentierte Schulung einführen
Führen Sie für alle Mitarbeitenden, die KI-Systeme verwenden, eine nachweisbare Schulung nach Art. 4 EU AI Act durch. Artikel 4 verlangt keine Einheitslösung, sondern angemessene Maßnahmen je nach Nutzungskontext. Dokumentieren Sie: Wer hat wann was gelernt? Schulungszertifikate sichern den Nachweis.
Praxis-Hinweis: Strukturierte Online-Schulungen mit Abschlusstest und Schulungszertifikat sind die effizienteste Lösung für KMU. Sie sind günstiger als externe Präsenzworkshops, jederzeit wiederholbar und liefern sofort verwertbare Nachweise. Weitere Informationen dazu finden Sie in unserem EU AI Act Schulungsprogramm.
Schritt 3: Interne Governance verankern und jährlich reviewen
Bestellen Sie einen KI-Compliance-Verantwortlichen. Definieren Sie dessen Aufgaben schriftlich. Etablieren Sie einen jährlichen Review-Prozess. Legen Sie die Ergebnisse in Protokollen fest, die Sie im Zweifelsfall vorlegen können. Diese Struktur schützt auf zwei Ebenen: Sie erfüllt die Organisationspflicht aus §43 GmbHG, und sie zeigt im Haftungsfall, dass sorgfältig gehandelt wurde — die Voraussetzung für die Business Judgment Rule.
Zum Thema Dokumentation und Nachweis finden Sie eine strukturierte Übersicht in der Art.-4-Checkliste.
Häufige Fragen
Gilt die Schulungspflicht nach Art. 4 auch für Kleinstunternehmen?
Ja. Die EU-KI-Verordnung unterscheidet bei einzelnen Pflichten zwischen Unternehmensgrößen, nicht aber bei der Grundpflicht zur KI-Kompetenz nach Art. 4. Auch ein Unternehmen mit zehn Mitarbeitenden, das KI-Tools einsetzt, ist verpflichtet. Die Verhältnismäßigkeit der Maßnahmen darf aber dem Kontext angepasst werden.
Kann der Geschäftsführer die Pflicht vollständig auf einen Compliance Officer delegieren?
Teilweise — aber mit klaren Grenzen. Der BGH hat in Az. 5 StR 394/08 festgehalten, dass die Geschäftsführung weiterhin eine Überwachungspflicht trägt. Wer einen Compliance Officer bestellt, aber nie nachfragt, ob Schulungen tatsächlich stattgefunden haben und dokumentiert wurden, ist nicht enthaftet. Die operative Pflicht kann delegiert werden, nicht die Aufsichtspflicht.
Ab wann werden Bußgelder tatsächlich verhängt?
Die BNetzA darf Bußgelder ab dem 2. August 2026 verhängen. Die Schulungspflicht selbst gilt seit dem 2. Februar 2025. Wer bis August 2026 nichts unternimmt, hat anderthalb Jahre Sorgfaltspflichtverletzung dokumentiert — mit direkter Relevanz für GF-Haftung und D&O-Deckung. Eine vollständige Übersicht der Bußgeldstufen finden Sie unter AI Act Bußgelder und Strafen.
Reicht eine einmalige Schulung aus?
Nein. Art. 4 EU AI Act verlangt angemessene, kontextbezogene Maßnahmen. Da KI-Technologie sich schnell entwickelt und Systeme ausgetauscht oder neu eingeführt werden, wird eine regelmäßige Wiederholung — mindestens jährlich — erwartet. Fehlt die Aktualisierung, verliert die ursprüngliche Schulung ihren Nachweiswert. Weitere Einordnung finden Sie unter CEO-Haftung im Überblick.
Dieser Artikel dient der allgemeinen rechtlichen Orientierung und ersetzt keine individuelle Rechtsberatung. Für die Beurteilung Ihrer konkreten Situation empfehlen wir die Konsultation eines auf IT- und Gesellschaftsrecht spezialisierten Anwalts. Rechtsgrundlagen: EU-VO 2024/1689 Art. 4, Art. 99; §43 GmbHG; §93 AktG; OLG Dresden Az. 4 U 1158/21 (30.11.2021); BGH Az. 5 StR 394/08; KI-MIG (beschlossen 11.02.2026).
Wenn Sie als Geschäftsführer die erste dokumentierte Schulung für Ihr Team strukturieren wollen, zeigt unser EU AI Act Schulungsprogramm, wie ein Rollout mit nachweisbarem Abschluss praktisch aussieht.