Seit dem 2. Februar 2025 verpflichtet Art. 4 der EU-VO 2024/1689 Unternehmen dazu, für ausreichende KI-Kompetenz zu sorgen. Für Geschäftsführer entsteht das persönliche Risiko nicht zuerst über ein direktes AI-Act-Bußgeld, sondern über deutsches Organhaftungsrecht, vor allem über § 43 GmbHG, wenn KI ohne Schulung, Zuständigkeiten und Dokumentation im Unternehmen eingesetzt wird.
Dieser Beitrag grenzt die persönliche Geschäftsführer-Haftung bewusst von der allgemeinen Unternehmenshaftung ab. Wenn Sie zunächst den breiteren Überblick zur GF-Ebene benötigen, lesen Sie den Artikel Geschäftsführer-Haftung bei KI; hier geht es enger um die Frage, wann aus einer Compliance-Lücke ein persönliches Haftungsproblem für die Geschäftsleitung werden kann.
Persönliche Haftung beginnt nicht bei Art. 99, sondern bei § 43 GmbHG
Die erste juristische Trennlinie ist klar: Art. 99 richtet Bußgelder des AI Act primär gegen Unternehmen in ihren Rollen als Anbieter oder Betreiber. Persönliche Geschäftsführer-Haftung läuft typischerweise nicht über eine unmittelbare Sanktion aus der Verordnung selbst, sondern über den internen Regress der GmbH, wenn der Gesellschaft durch pflichtwidrige Organisation ein Schaden entsteht.
Für GmbH-Geschäftsführer ist § 43 GmbHG der zentrale Maßstab. Die Norm verlangt die Sorgfalt eines ordentlichen Geschäftsmanns; im Jahr 2026 bedeutet das bei produktiver KI-Nutzung mindestens vier Dinge: KI-Einsätze kennen, Verantwortliche benennen, betroffene Teams schulen und Nachweise geordnet aufbewahren. Wer seit dem 2. Februar 2025 KI-Tools wie ChatGPT, Copilot oder HR-Screening-Software duldet, ohne diese vier Punkte umzusetzen, schafft ein persönliches Organisationsrisiko.
Ein praktisches Beispiel macht die Abgrenzung greifbar. Nutzt ein mittelständisches Unternehmen mit 120 Mitarbeitenden ein KI-Tool zur Bewerbervorsortierung und kommt es später zu einem diskriminierenden Fehlentscheid, drohen zunächst Unternehmensfolgen: Projektstopp, Rechtsberatung, möglicher Schadenersatz und je nach Konstellation aufsichtsrechtliche Folgen. Persönlich relevant wird der Fall für den Geschäftsführer, wenn intern belegbar ist, dass kein Schulungskonzept, keine Freigabe und keine dokumentierte Aufsicht existierten.
Genau deshalb ist der häufige Satz "Das Bußgeld trifft nur die GmbH" für Geschäftsführer zu kurz. Selbst wenn der primäre Adressat des AI Act die juristische Person bleibt, kann die GmbH einen eigenen Schaden aus Anwaltkosten, Vergleichsbeträgen oder internen Sanierungskosten später dem Geschäftsführer zurechnen, wenn die Pflichtverletzung auf Leitungsebene lag. Für die Sanktionssystematik hilft die Einordnung in AI Act Bußgelder und Strafen; für das persönliche Risiko ist die entscheidende Frage aber immer dieselbe: Was haben Sie als Organ seit Februar 2025 konkret organisiert?
Organisationsverschulden wird bei KI schnell zur persönlichen Pflichtverletzung
Organisationsverschulden entsteht nicht erst bei einem spektakulären KI-Schaden, sondern schon dann, wenn ein Unternehmen vorhersehbare Risiken ohne tragfähige Struktur laufen lässt. Art. 4 ist dabei die Mindestlinie: Wer KI im Unternehmen nutzt, muss das Qualifikationsniveau der eingesetzten Personen am Nutzungskontext ausrichten. Für Geschäftsführer heißt das operativ, dass ein allgemeines "Bitte vorsichtig mit KI" seit 2025 nicht mehr ausreicht.
Besonders deutlich wird das bei sensiblen Einsatzfeldern. Wenn HR, Compliance oder Finance Systeme nutzen, die in Richtung Hochrisiko gehen, verschärft sich die Lage zusätzlich, weil Art. 26 für Betreiber kompetente Personen, Gebrauch der Anweisungen und menschliche Aufsicht verlangt. Ob ein konkreter Use Case unter Hochrisiko fällt, sollten Sie nicht improvisieren, sondern gegen die Kriterien aus Hochrisiko-KI nach Annex III prüfen.
In der Praxis zeigen sich persönliche Haftungsrisiken meist an drei Lücken. Erstens fehlt ein KI-Inventar, obwohl seit 2025 mehrere Fachbereiche produktiv mit generativer KI arbeiten. Zweitens fehlt ein Rollenkonzept, sodass HR, Marketing und Vertrieb dieselben Schulungsinhalte erhalten oder gar keine. Drittens fehlt eine schriftliche Freigabelogik, obwohl neue Tools im Monatsrhythmus eingeführt werden. Jede dieser Lücken ist kein Technikproblem, sondern ein Leitungsproblem.
Für Geschäftsführer ist der relevante Prüfmaßstab deshalb nicht Perfektion, sondern nachvollziehbare Angemessenheit. Wenn Sie ein einfaches Textassistenz-Tool in Marketing und Support einsetzen, genügen oft ein sauberes Verzeichnis, klare Verbote für sensible Daten, eine dokumentierte Grundschulung und eine schriftliche KI-Policy. Wenn Sie dagegen Recruiting, Bonitätsprüfung oder Leistungsbewertung mit KI stützen, steigt die Erwartung an Aufsicht und Qualifikation spürbar. Eine gute operative Startbasis liefert die AI-Act-Checkliste für Unternehmen zusammen mit einer KI-Policy-Vorlage.
D&O-Versicherung schützt nicht gegen dokumentierte Untätigkeit
D&O-Versicherungen sollen Geschäftsführer gegen persönliche Inanspruchnahme wegen Pflichtverletzungen absichern. In KI-Fällen ist der kritische Punkt jedoch nicht der Name der Police, sondern die Qualität Ihres Vorverhaltens seit dem 2. Februar 2025. Je klarer eine bekannte Compliance-Pflicht ignoriert wurde, desto leichter kann der Versicherer im Schadenfall argumentieren, dass nicht bloße Fahrlässigkeit, sondern eine wissentliche Pflichtverletzung oder ein gravierender Compliance-Mangel vorliegt.
Das bedeutet nicht, dass jede AI-Act-Lücke automatisch zum Deckungsausschluss führt. Es bedeutet aber, dass fehlende KI-Governance die D&O-Verteidigung massiv schwächt. Liegen Protokolle, Schulungsnachweise, Freigaben und Risikoentscheidungen vor, lässt sich ein Vorwurf eher als fahrlässige Fehlbewertung eines dynamischen Rechtsgebiets einordnen. Fehlt seit 13 oder 18 Monaten dagegen jede Dokumentation, wirkt dieselbe Situation schnell wie bewusstes Wegsehen.
Ein typischer Streitfall sieht so aus: Das Unternehmen führt 2025 ein Copilot- oder Recruiting-Tool ein, spart die Schulung ein, verzichtet auf eine Policy und entdeckt den Fehler erst nach einem Incident oder nach einer Beschwerde. Dann geht es in der D&O-Praxis nicht nur um den Primärschaden, sondern um die Frage, ob die Geschäftsleitung ein bekanntes Risiko trotz gesetzlicher Pflicht unkontrolliert laufen ließ. Genau an dieser Stelle kippt der Fall von "unglücklicher Fehlentscheidung" zu "schwer vermittelbarer Pflichtverletzung".
Für Geschäftsführer folgt daraus ein einfacher Handlungsschritt für Q2 2026: Lassen Sie Ihre D&O-Police und den Fragebogen zur Risikoerfassung gemeinsam mit Makler oder Rechtsberater auf KI-Bezug prüfen. Fragen Sie konkret nach Ausschlüssen bei Compliance-Verstößen, nach Anforderungen an Vorstands- oder Geschäftsführerbeschlüsse und nach der Behandlung von Schulungs- und Governance-Nachweisen. Wer diese Prüfung vor einem Vorfall dokumentiert, verbessert seine Position erheblich.
Dokumentation ist das wirksamste Schutzschild gegen persönlichen Regress
Dokumentation ist im AI Act kein Selbstzweck, sondern Entlastungsbeweis. Art. 4 schreibt kein bestimmtes Zertifikat und kein starres Formular vor; genau deshalb muss der Geschäftsführer selbst dafür sorgen, dass die getroffenen Maßnahmen später nachweisbar sind. Der Mindestbestand sollte seit 2025 aus KI-Inventar, Rollenmatrix, Schulungskonzept, Teilnehmerlisten, Testergebnissen, Policy, Freigaben und Eskalationsweg bestehen.
Diese Unterlagen schützen auf zwei Ebenen. Gegenüber Behörden zeigen sie, dass das Unternehmen seine Pflicht zur KI-Kompetenz nicht ignoriert hat. Gegenüber der eigenen GmbH zeigen sie, dass der Geschäftsführer organisiert, delegiert und kontrolliert hat, statt das Thema blind in Fachbereiche abzuschieben. Wer beides nicht belegen kann, hat im Regressfall nach § 43 GmbHG die deutlich schlechtere Ausgangslage.
Ein Beispiel aus der Praxis: Ein Vertriebsmitarbeiter lädt 2026 vertrauliche Kundendaten in ein generatives Tool und verursacht dadurch einen Schaden im Vertragsverhältnis. Wenn der Geschäftsführer eine dokumentierte Policy, eine verpflichtende Schulung, eine Tool-Freigabeliste und eine jährliche Wiederholung vorweisen kann, spricht viel für ein individuelles Fehlverhalten des Mitarbeiters. Fehlt all das, verschiebt sich der Fokus schnell auf die Frage, warum die Geschäftsleitung trotz Art. 4 keinen belastbaren Rahmen geschaffen hat.
Dokumentation ist auch der Punkt, an dem sich persönliche Haftung von allgemeiner Unternehmenshaftung am klarsten trennt. Unternehmenshaftung fragt zuerst, ob das Unternehmen gegen Pflichten verstoßen hat oder einen Schaden verursacht hat. Persönliche Geschäftsführer-Haftung fragt zusätzlich, ob die Leitungsebene erkennbare Risiken organisatorisch beherrscht hat. Diese zweite Frage beantworten Sie nicht mit einer PowerPoint, sondern mit belastbaren Unterlagen und datierten Entscheidungen.
Was Geschäftsführer bis zum 2. August 2026 konkret tun sollten
Erstens sollten Sie innerhalb von 30 Tagen ein belastbares KI-Inventar beschließen. Listen Sie jedes eingesetzte System, den Fachbereich, den Zweck, die verantwortliche Person und das Risikoniveau auf; ohne diese Liste bleibt jede Haftungsdiskussion spekulativ. Für den Einstieg in die Schulungspflicht hilft der Überblick KI-Schulungspflicht nach Artikel 4.
Zweitens sollten Sie innerhalb von 60 Tagen eine rollenbezogene Schulung mit Nachweis einführen. Marketing, HR, Einkauf und Führungskräfte brauchen unterschiedliche Beispiele, aber alle benötigen seit dem 2. Februar 2025 einen dokumentierten Mindeststandard zu Chancen, Grenzen, Prüfpflichten und Eskalation. Entscheidend ist nicht ein schönes Zertifikat, sondern der belastbare Zusammenhang zwischen Einsatzfall, Schulungsinhalt und Teilnehmerkreis.
Drittens sollten Sie bis spätestens zum 2. August 2026 eine schriftliche Governance-Linie verabschieden. Dazu gehören zugelassene Tools, Verbote für sensible Daten, Freigaben für neue Use Cases, Incident-Meldung, Review-Termine und Verantwortlichkeiten auf Leitungsebene. Wenn Sie diese Linie jetzt umsetzen, reduzieren Sie nicht nur das Unternehmensrisiko, sondern stärken auch Ihre persönliche Entlastungsposition für den Fall späterer Regress- oder D&O-Streitigkeiten.