Hafte ich als Geschäftsführer persönlich für Cyberangriffe?

Ja, wenn Sie erkennbare Cyber-Risiken organisatorisch nicht beherrschen. Die persönliche Haftung entsteht typischerweise über § 43 GmbHG oder § 93 AktG, wenn fehlende Schulung, fehlende Überwachung oder unzureichende Sicherheitsorganisation zu einem Schaden beigetragen haben.

Schützt meine D&O-Versicherung bei NIS2?

Nicht automatisch. D&O-Versicherungen decken typischerweise fahrlässige Pflichtverletzungen, nicht aber sicher jede wissentliche Untätigkeit. Entscheidend ist, ob Sie Cyber-Risiken ernsthaft gesteuert, Schulungen absolviert und die Umsetzung dokumentiert haben.

Muss ich als Geschäftsführer persönlich an der Schulung teilnehmen?

Ja, soweit Ihr Unternehmen unter § 38 BSIG fällt oder Sie KI- und Datenschutz-Governance verantworten. Gerade § 38 Abs. 3 BSIG adressiert ausdrücklich die Geschäftsleitung selbst. Auch AI Act und DSGVO lassen sich auf Leitungsebene nicht vollständig an Untergebene wegdelegieren.

Wie oft muss die GF-Schulung wiederholt werden?

§ 38 Abs. 3 BSIG verlangt eine regelmäßige Schulung, ohne starres Jahresintervall. In der Praxis ist mindestens eine jährliche Auffrischung sinnvoll, ergänzt um Updates bei Vorfällen, neuen KI-Systemen, geänderten Geschäftsmodellen oder neuen regulatorischen Anforderungen.

Welche Nachweise brauche ich über die GF-Schulung?

Belastbar sind Teilnehmernachweis, Agenda, Lernziele, Datum, Dauer, Referenzen auf die behandelten Rechtsgrundlagen, Testergebnis oder Lernkontrolle sowie ein dokumentierter Bezug zu den tatsächlichen Risiken Ihres Unternehmens. Nur eine Rechnung oder ein Kalendereintrag reicht im Prüfungsfall regelmäßig nicht aus.

GF-Schulungspflicht: NIS2, AI Act, DSGVO [2026]

Geschäftsführer-Schulungspflicht — NIS2, AI Act, DSGVO

Die Geschäftsführer-Schulungspflicht ist 2026 dreifach verankert: NIS2 Art. 20 Abs. 2 verlangt Cybersecurity-Schulung, Art. 4 der EU-VO 2024/1689 KI-Kompetenz und Art. 39 Abs. 1 lit. b DSGVO Datenschutz-Awareness, jeweils persönlich und nicht vollständig delegierbar. Für die Geschäftsleitung bedeutet das nicht nur eine allgemeine Fortbildungserwartung, sondern eine konkrete Governance-Pflicht mit Haftungsbezug nach § 43 GmbHG und bei Aktiengesellschaften nach § 93 AktG.

Letzte Aktualisierung: 20. März 2026

Die kurze Antwort lautet: Geschäftsführer müssen 2026 in vielen Unternehmen tatsächlich selbst geschult werden. Am deutlichsten steht das inzwischen in § 38 Abs. 3 BSIG für besonders wichtige und wichtige Einrichtungen. Hinzu kommt seit dem 2. Februar 2025 die KI-Kompetenzpflicht nach Art. 4 AI Act und dauerhaft die Datenschutz-Awareness-Linie aus Art. 39 Abs. 1 lit. b DSGVO. Wenn Sie zuerst die Organhaftung einordnen möchten, lesen Sie ergänzend den Beitrag zur persönlichen Geschäftsführer-Haftung im AI Act, den Beitrag zur Geschäftsführer-Haftung bei Cyberangriffen, die Übersicht Cybersecurity-Schulung Pflicht, den Überblick Compliance-Schulung 2026 Pflicht, den Deep Dive KI-Schulungspflicht nach Artikel 4 und unsere EU-AI-Act-Schulung.

§ 38 BSIG macht die Cybersecurity-Schulung der Geschäftsleitung erstmals ausdrücklich zur gesetzlichen Pflicht

§ 38 BSIG ist 2026 die schärfste Norm für die Chefetage. Absatz 1 verpflichtet Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen, die Risikomanagementmaßnahmen nach § 30 BSIG umzusetzen und ihre Umsetzung zu überwachen. Absatz 3 geht weiter und verlangt, dass die Geschäftsleitungen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von IT-Sicherheitsrisiken und Risikomanagementpraktiken zu erlangen.

Wichtig ist, wer genau gemeint ist: Adressiert ist nicht irgendein IT-Leiter, sondern die Geschäftsleitung der Einrichtung selbst. Bei einer GmbH betrifft das die Geschäftsführer, bei anderen Rechtsformen die entsprechenden Leitungsorgane. Der Gesetzgeber verlagert die Verantwortung damit ausdrücklich auf Organebene. Operative Aufgaben können zwar delegiert werden, die Pflicht zur eigenen Schulung und zur Überwachung der Maßnahmen bleibt aber bei den Organmitgliedern.

Ebenso wichtig ist die Frequenz. Das Gesetz spricht von regelmäßiger Schulung, nennt aber kein starres Intervall wie "einmal pro Kalenderjahr". Daraus folgt keine Beliebigkeit, sondern eine risikoorientierte Wiederholungslogik. In der Praxis ist mindestens eine jährliche Auffrischung plus anlassbezogene Nachschulung sinnvoll, etwa bei größeren Vorfällen, neuen kritischen Systemen, neuen Lieferkettenrisiken oder relevanten Gesetzesänderungen. Wer mehrere Jahre gar keine Management-Schulung nachweisen kann, wird sich auf "regelmäßig" kaum berufen können.

Die Konsequenzen bei Versäumnissen sind doppelt. Erstens drohen der Einrichtung aufsichtsrechtliche und bußgeldrechtliche Folgen aus dem NIS2-/BSIG-Rahmen. Zweitens erleichtert ein dokumentierter Organisationsmangel den internen Regress gegen die Geschäftsleitung. Genau diese Haftungslogik vertieft bereits Geschäftsführer-Haftung bei Cyberangriffen und die branchennähere Einordnung IT-Sicherheit für Geschäftsführer.

NIS2 Art. 20 Abs. 2 zeigt, warum die Schulungspflicht nicht nur deutsches Sonderrecht ist

Die deutsche Regelung in § 38 BSIG steht nicht isoliert. Art. 20 Abs. 2 der Richtlinie (EU) 2022/2555 verpflichtet die Mitgliedstaaten sicherzustellen, dass Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen Schulungen absolvieren und dass die Einrichtungen vergleichbare Schulungen für ihre Beschäftigten regelmäßig fördern. Das ist der europäische Ausgangspunkt dafür, dass Cybersecurity 2026 kein reines Technikthema mehr ist, sondern eine Führungsaufgabe.

Für Geschäftsführer ist die wichtigste Schlussfolgerung: Die Pflicht ist persönlich, weil genau das NIS2-Regime bezweckt. Die Geschäftsleitung soll Maßnahmen billigen, deren Umsetzung überwachen und Risiken auf Dienstebene beurteilen können. Wer selbst nicht versteht, welche Folgen ein Backup-Ausfall, eine kompromittierte Lieferkette, mangelhafte Multifaktor-Authentifizierung oder eine verspätete Vorfallmeldung hat, kann diese Aufgabe nicht wirksam erfüllen.

Gerade deshalb ist die typische Ausrede "Ich bin nicht technisch" rechtlich schwach. Das Gesetz verlangt keine Ausbildung zum CISO, wohl aber ein ausreichendes Managementverständnis. Geschult werden muss also nicht Tiefenwissen zu Firewalls oder Forensik, sondern die Fähigkeit, Risiken zu priorisieren, Berichte kritisch zu lesen, Budgets freizugeben, Mängel nachzuhalten und Krisenentscheidungen verantwortlich zu treffen. Für die operative Brücke zwischen Norm und Praxis helfen zusätzlich NIS2 Incident Response Plan, NIS2 Vorfallmeldung Anleitung, NIS2 Maßnahme Cyberhygiene Schulungen und der übergreifende Beitrag NIS2 und AI Act: doppelte Compliance.

Art. 4 AI Act erweitert die Schulungspflicht seit dem 2. Februar 2025 auf KI-Kompetenz

Art. 4 AI Act gilt seit dem 2. Februar 2025 und ist für Geschäftsführer deshalb besonders relevant, weil er nicht nur Technikteams betrifft. Die Norm verlangt von Anbietern und Betreibern von KI-Systemen, nach bestem Vermögen ein ausreichendes Maß an KI-Kompetenz bei den eigenen Beschäftigten und anderen in ihrem Auftrag handelnden Personen sicherzustellen. Das schließt die Geschäftsleitung ein, sobald sie KI-Systeme beschafft, freigibt, strategisch einsetzt oder deren Nutzung organisatorisch verantwortet.

Die Pflicht greift deutlich früher als viele annehmen. Sie setzt nicht erst bei Hochrisiko-KI oder ab dem 2. August 2026 ein, sondern bereits heute bei normaler beruflicher Nutzung von KI-Systemen. Wenn Geschäftsleiter Entscheidungen zu ChatGPT, Copilot, KI-gestützter Dokumentenanalyse, HR-Scoring, Kundenkommunikation oder Produktivitätsassistenten treffen, müssen sie die damit verbundenen Chancen, Grenzen und Risiken ausreichend verstehen. Genau diese Reichweite erläutert KI-Schulungspflicht nach Artikel 4 im Detail.

Für die Chefetage bedeutet KI-Kompetenz vor allem Governance-Kompetenz. Geschäftsführer müssen keine Modelle trainieren, aber sie müssen erkennen können, wann Halluzinationen, Bias, personenbezogene Daten, Geheimnisschutz, Transparenzpflichten oder menschliche Aufsicht relevant werden. Wer KI nur als Effizienzwerkzeug betrachtet und Governance, Freigaben oder Nachweise ignoriert, schafft ein neues Organisationsrisiko. Als Management-Rahmen lohnt deshalb zusätzlich der Blick auf ISO 42001, ISO 42001 für Geschäftsführer, die ISO-42001-Schulung und den ISO-42001-Leitfaden.

Die DSGVO ergänzt die Pflicht über Awareness, Schulung und Rechenschaft

Die DSGVO richtet sich nicht mit einer isolierten "Geschäftsführer-Schulungspflicht" an Organmitglieder. Trotzdem entsteht auf Leitungsebene ein klarer Schulungsdruck. Art. 39 Abs. 1 lit. b DSGVO nennt als Aufgabe des Datenschutzbeauftragten die Überwachung der Einhaltung der Datenschutzvorschriften einschließlich Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung des an Verarbeitungsvorgängen beteiligten Personals. In Verbindung mit Art. 5, Art. 24 und Art. 32 DSGVO folgt daraus, dass Datenschutzorganisation ohne nachweisbare Awareness und Schulung praktisch unvollständig ist.

Für Geschäftsführer ist das relevant, weil sie die Datenschutzorganisation letztlich verantworten. Wenn sie Budget, Zuständigkeiten, Freigaben, Tool-Entscheidungen und Risikoprioritäten setzen, müssen sie selbst zumindest verstehen, wo Datenschutzrisiken in Geschäftsprozessen entstehen und warum bestimmte Sicherheits- oder Freigabemaßnahmen erforderlich sind. Das gilt erst recht, wenn KI-Systeme mit personenbezogenen Daten arbeiten. Dann greifen Datenschutz, KI-Governance und Cybersecurity gleichzeitig. Die Zusammenhänge beschreibt auch DSGVO + AI Act + NIS2: Der Compliance-Dreiklang sehr gut.

Die Chefetage kann sich daher auch im Datenschutz nicht vollständig darauf zurückziehen, "der DSB macht das schon". Der Datenschutzbeauftragte informiert, berät und überwacht, aber die Geschäftsführung bleibt für Organisation, Ressourcen und Entscheidungen verantwortlich. Genau daraus entsteht die dritte Schulungslinie neben NIS2 und AI Act.

Besonders praxisrelevant wird diese Linie, wenn Geschäftsleiter Standard-KI-Tools freigeben oder dulden, ohne Datenkategorien, Zugriffskonzepte und Transferfragen mitzudenken. Dann fehlt nicht nur KI-Kompetenz, sondern zugleich ein Verständnis für die datenschutzrechtlichen Folgen der Nutzung. Management-Schulungen sollten deshalb 2026 nicht drei getrennte Rechtsvorträge liefern, sondern typische Fälle aus HR, Vertrieb, Support, Marketing und Wissensarbeit gemeinsam durchdeklinieren.

Welche Inhalte Geschäftsführer konkret lernen müssen

Geschäftsleiter brauchen 2026 keine technische Spezialausbildung, aber eine belastbare Management-Baseline über drei Regelungsfelder hinweg. Der Lernstoff muss deshalb an den realen Organpflichten ausgerichtet sein und nicht an beliebigen Awareness-Folien.

Regulierung	Wer muss lernen?	Was ist der Kerninhalt?	Wie oft?	Welcher Nachweis ist sinnvoll?
§ 38 BSIG / NIS2	Geschäftsleitung betroffener Einrichtungen	Cyber-Risiken, Risikomanagement, Vorfälle, Überwachung, Auswirkungen auf Dienste	Regelmäßig, praktisch mindestens jährlich plus anlassbezogen	Teilnahme, Agenda, Protokoll, Risikobezug
Art. 4 AI Act	Alle relevanten Personen, ausdrücklich auch Leitungsebene	KI-Kompetenz, Grenzen, Risiken, menschliche Aufsicht, Einsatzkontext	Seit 2. Februar 2025 laufend und bei neuen KI-Systemen zu aktualisieren	Schulungsplan, Lerninhalte, Test, Schulungszertifikat
Art. 39 DSGVO	Verarbeitendes Personal, mit starker Relevanz für Führung und Governance	Awareness, Datenschutzgrundsätze, Rollen, Meldewege, sichere Verarbeitung	Laufend, typischerweise jährlich plus bei Prozessänderungen	Register, Inhalte, Zuständigkeiten, Auditspur

Inhaltlich sollten Geschäftsführer mindestens fünf Felder beherrschen. Erstens NIS2- und BSIG-Basics: Welche Einrichtungen sind betroffen, welche Managementpflichten bestehen, wie funktionieren Vorfall- und Eskalationsprozesse, und welche Mindestmaßnahmen müssen eingefordert werden? Zweitens KI-Risikobewertung: Welche KI-Systeme nutzt das Unternehmen, wer darf sie freigeben, welche Daten dürfen hinein, wo sind menschliche Kontrolle und Dokumentation nötig? Drittens Datenschutzgrundsätze: Rechtsgrundlagen, Datenminimierung, Vertraulichkeit, Zweckbindung, Meldepflichten und Drittlandrisiken. Viertens Dokumentation und Nachweis: Was muss aufbewahrt werden, damit man im Audit oder Haftungsfall nicht mit leeren Händen dasteht? Fünftens Entscheidungs- und Überwachungslogik: Wie werden Reports gelesen, Budgets begründet, Maßnahmen priorisiert und offene Risiken nachgehalten?

Geeignete Schulungsformate für Geschäftsführer sind kurz, fokussiert und entscheidungsnah

Geschäftsführer brauchen kein achtstündiges Technikseminar. Wirksam sind kurze, verdichtete Formate mit klarer Managementperspektive. Besonders geeignet sind kompakte E-Learnings, Executive Briefings, jährliche Update-Module und kombinierte Risiko-Workshops mit Datenschutz, KI und Cybersecurity in einer gemeinsamen Sprache.

Ein gutes Format für die Geschäftsleitung erfüllt vier Kriterien. Es ist erstens zeitlich realistisch, also eher 60 bis 120 Minuten als ein ganzer Schulungstag. Es ist zweitens rollenspezifisch, spricht also Haftung, Delegation, Aufsicht, Freigaben und Budgetentscheidungen an. Es ist drittens nachweisbar, etwa über Abschlusstest, Protokoll oder Schulungszertifikat. Und es ist viertens aktualisierbar, damit neue KI-Tools, neue Vorfälle oder neue Rechtsstände ohne kompletten Neustart eingearbeitet werden können.

Für viele Mittelständler ist eine Kombination sinnvoll: ein Basismodul für alle Führungskräfte, ein vertieftes Executive-Briefing für die Geschäftsleitung und ergänzende Rollenmodule für IT, HR, Datenschutz, Einkauf und Security. Genau deshalb funktionieren integrierte Modelle oft besser als drei getrennte Einzeltrainings. Wer den KI-Teil sofort abbilden möchte, findet mit der EU-AI-Act-Schulung einen schnellen Einstieg; wer die Governance-Struktur darüber hinaus systematisieren will, sollte ISO 42001 mitdenken.

Dokumentation und Nachweis entscheiden im Prüfungs- und Haftungsfall

Im Ernstfall zählt nicht, ob sich jemand "ungefähr erinnert", einmal an einem Webinar teilgenommen zu haben. Maßgeblich ist, ob die Geschäftsleitung die Schulung und ihre Relevanz belastbar nachweisen kann. Der Nachweis sollte deshalb mindestens Datum, Dauer, Teilnehmer, Zielgruppe, Agenda, behandelte Rechtsgrundlagen, Versionsstand und gegebenenfalls Lernkontrolle enthalten.

Besonders stark ist die Dokumentation, wenn sie mit der realen Risikolage verknüpft ist. Beispiel: Eine Schulung zur Geschäftsleitung ist überzeugender, wenn daraus hervorgeht, dass auch Lieferkettenrisiken, Incident Response, KI-Freigaben, Datenschutzverletzungen und Meldewege des konkreten Unternehmens behandelt wurden. Ein abstraktes Zertifikat ohne Bezug zu den tatsächlichen Risiken ist deutlich schwächer. Gute operative Anknüpfungspunkte sind Schulungsnachweis als Haftungsschutz und KI-Schulung dokumentieren nach Art. 4.

Praktisch sollte die Geschäftsführung einen kleinen Entlastungsordner führen oder führen lassen mit:

Management-Schulungsnachweisen inklusive Agenda und Datum.
Protokollen über Risiko-Reviews und nachgehaltene Maßnahmen.
Nachweisen zu Incident-Übungen, Backup-Tests oder KI-Freigabeprozessen.
Rollenmatrix für Datenschutz, Informationssicherheit und KI-Governance.
Aktualisierungslogik bei neuen Tools, Vorfällen oder Rechtsänderungen.

Zusätzlich sollte dokumentiert werden, welche Folgeentscheidungen aus der Schulung entstanden sind. Wenn nach einem Executive-Briefing etwa ein KI-Freigabeprozess eingeführt, ein Incident-Playbook nachgeschärft oder ein Datenschutz-Review für neue Tools beschlossen wurde, ist das im Haftungsfall deutlich stärker als eine isolierte Teilnahmebescheinigung. Gute Schulung ist deshalb immer mit Follow-up verbunden.

Dokumentierte Weiterbildung reduziert das Haftungsrisiko, ersetzt aber keine Umsetzung

Schulung allein immunisiert die Geschäftsleitung nicht gegen Haftung. Sie ist aber ein zentrales Entlastungselement. Wer als Geschäftsführer nachweisen kann, dass er Risiken verstanden, Schulungen absolviert, Maßnahmen eingefordert, Budgets beschlossen und deren Umsetzung überwacht hat, hat im Streitfall eine deutlich bessere Verteidigungsposition als jemand, der nur formal delegiert hat.

Genau hier wirkt die Business-Judgment-Logik mittelbar. Gerichte und Aufsichtsstellen erwarten keine Fehlerfreiheit, aber eine informierte, nachvollziehbare und dokumentierte Entscheidung. Schulung ist deshalb nicht bloß Wissensvermittlung, sondern Voraussetzung dafür, dass Leitungsentscheidungen überhaupt als informiert gelten können. Fehlt diese Grundlage, wird aus einer vertretbaren Ermessensentscheidung schnell ein Organisationsverschulden.

Auch für die D&O-Versicherung ist das relevant. Versicherer prüfen im Schadenfall genau, ob ein Vorwurf auf bloßer Fahrlässigkeit, mangelhafter Organisation oder bewusster Untätigkeit beruht. Dokumentierte Weiterbildung, klare Zuständigkeiten und regelmäßige Reviews verbessern die Deckungsargumentation, auch wenn sie keinen Versicherungsschutz garantieren. Die richtige Perspektive lautet also: Schulung reduziert Haftungs- und Deckungsrisiken, aber nur zusammen mit echter Governance.

Fazit: 2026 ist die Geschäftsführer-Schulungspflicht kein Soft Skill mehr, sondern Organpflicht

Die Geschäftsführer-Schulungspflicht entsteht 2026 aus drei Richtungen gleichzeitig: § 38 Abs. 3 BSIG für NIS2-betroffene Einrichtungen, Art. 4 AI Act für KI-Kompetenz und Art. 39 DSGVO für Awareness und Schulung innerhalb der Datenschutzorganisation. Zusammengenommen entsteht daraus für viele Unternehmen eine echte Leitungspflicht, die persönlich wahrgenommen und nachweisbar dokumentiert werden muss.

Die pragmatische Konsequenz ist klar: Geschäftsleiter sollten Cybersecurity, KI-Kompetenz und Datenschutz nicht getrennt behandeln, sondern in ein gemeinsames Executive-Training mit jährlicher Auffrischung, Rollenmatrix und Nachweisregister überführen. Wenn Sie dafür einen schnellen Einstieg suchen, starten Sie mit unserer EU-AI-Act-Schulung und vertiefen Sie den Governance-Rahmen über ISO 42001 sowie die haftungsrechtliche Einordnung in Geschäftsführer-Haftung bei Cyberangriffen.

Geschäftsführer-Schulungspflicht — NIS2, AI Act, DSGVO

Geschäftsführer-Schulungspflicht — NIS2, AI Act, DSGVO

§ 38 BSIG macht die Cybersecurity-Schulung der Geschäftsleitung erstmals ausdrücklich zur gesetzlichen Pflicht

NIS2 Art. 20 Abs. 2 zeigt, warum die Schulungspflicht nicht nur deutsches Sonderrecht ist

Art. 4 AI Act erweitert die Schulungspflicht seit dem 2. Februar 2025 auf KI-Kompetenz

Die DSGVO ergänzt die Pflicht über Awareness, Schulung und Rechenschaft

Welche Inhalte Geschäftsführer konkret lernen müssen

Geeignete Schulungsformate für Geschäftsführer sind kurz, fokussiert und entscheidungsnah

Dokumentation und Nachweis entscheiden im Prüfungs- und Haftungsfall

Dokumentierte Weiterbildung reduziert das Haftungsrisiko, ersetzt aber keine Umsetzung

Fazit: 2026 ist die Geschäftsführer-Schulungspflicht kein Soft Skill mehr, sondern Organpflicht

Ihr KI-Nachweis in 90 Minuten