Softwaregestützte Geschäftsprozesse, vernetzte IT-Infrastrukturen und automatisierte Entscheidungssysteme haben längst den Siegeszug in Unternehmen angetreten. Sie erschließen Effizienzreserven, tragen neue Geschäftsmodelle und verschaffen im Wettbewerb entscheidende Vorteile. Doch dieselbe Vernetzung, die Chancen schafft, erhöht zugleich die Angriffsfläche: Ransomwareattacken, gezielte Phishingversuche und Systemmanipulationen können in kürzester Zeit massive wirtschaftliche Schäden auslösen.
Vergleichsweise jung hingegen sind Risiken aus fehlerhaften oder unzureichend überwachten automatisierten Entscheidungsprozessen. Wo softwarebasierte Systeme Handlungsempfehlungen generieren, mag menschliches Ermessen langsam in den Hintergrund treten. Rechtlich jedoch verbleibt die Verantwortung ungeteilt beim handelnden Organ. Damit rückt eine zentrale Frage in den Fokus: Unter welchen Voraussetzungen haften Geschäftsführer persönlich für IT-bezogene Organisationsdefizite, Cyberrisiken und fehlerhaft automatisierte Entscheidungsprozesse?
Der folgende Beitrag skizziert einige der haftungsrelevanten Themenfelder, mit denen Geschäftsführer in einem zunehmend digitalisierten Unternehmensumfeld konfrontiert sein können.
Rechtlicher Rahmen für den Umgang mit KI-unterstützten Entscheidungen
Die Entwicklung eines Rechtsrahmens für den Umgang mit KI-unterstützten Entscheidungen steht noch am Anfang. Was bleibt, sind die bekannten Maßstäbe – angewendet auf eine neue Realität. Die allgemeinen Sorgfaltspflichten aus § 43 GmbHG und § 93 Abs. 1 Satz 2 AktG verpflichten Geschäftsführer und Vorstandsmitglieder zum Handeln mit der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters. Eine Pflichtverletzung des Geschäftsleiters liegt nicht vor, wenn der Entscheider vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. Das Gesetz räumt ihm somit in den Grenzen seiner Sorgfaltspflicht einen Beurteilungsspielraum ein, um die konkrete Entscheidungssituation sowie den Informationsbedarf einzuschätzen.
Vergleichsweise neu sind diese Überlegungen, wenn es um KI-basierte Entscheidungen des Leitungsorgans geht. Nicht selten sind die vom Algorithmus generierten Empfehlungen für den Menschen inhaltlich kaum nachvollziehbar; das KI-Modell erweist sich dann als „Blackbox“. Aber darf die Geschäftsleitung hierauf vertrauen?
Kein algorithmischer Instrumentenflug
Der Geschäftsführer darf algorithmische Auswertungen nicht ungeprüft zur Grundlage unternehmerischer Entscheidungen machen. Entscheidungsverantwortung verlangt vielmehr, dass er den Inhalt der vorgeschlagenen Maßnahmen selbst prüft und als eigene Entscheidung verantwortet.
Beruht eine unternehmerische Maßnahme auf einer fehlerhaften KI-basierten Einschätzung und führt dies zu einem Schaden der Gesellschaft, kommt eine Haftung des Geschäftsführers nach § 43 Abs. 2 GmbHG in Betracht. Was das in der Praxis bedeuten kann, zeigt folgendes Szenario: Ein mittelständischer Automobilzulieferer hat die Bonitätsbewertung seiner Abnehmer auf ein KI-gestütztes System umgestellt. Auf Grundlage der Systemempfehlung gewährt der Geschäftsführer einem langjährigen Kunden Zahlungsziele über mehrere Millionen Euro. Die Datengrundlage und Bewertungslogik des Systems zieht er nicht in Zweifel. Was er nicht weiß: Das System greift auf veraltete Bilanzdaten zurück und erfasst die sich bereits abzeichnende Zahlungsunfähigkeit des Kunden nicht. Als dieser seine Zahlungen einstellt, wird der Forderungsausfall für die Gesellschaft existenzbedrohend.
Ob eine solche Konstellation tatsächlich zu einer persönlichen Haftung führt, hängt von den Umständen des Einzelfalls ab. Als Orientierung können jedoch auch in diesem konstruierten Beispiel die vom Bundesgerichtshof entwickelten Grundsätze zur Nutzung externer Informationsquellen dienen, die sich auf KI-Systeme übertragen lassen. Bedeutsam ist dabei unter anderem, ob das eingesetzte System angesichts seiner Funktionsweise und Datengrundlage überhaupt geeignet ist, die Fragestellung verlässlich zu beantworten, und ob der Geschäftsführer dies hätte erkennen können. Je größer die wirtschaftliche Tragweite einer Entscheidung, desto höher dürften die Anforderungen an eine kritische Auseinandersetzung mit dem KI-Output anzusetzen sein. Da diese Eignung regelmäßig nicht verlässlich beurteilt werden kann, scheidet ein ausschließlich KI-gestütztes Vorgehen in der Regel aus.
KI als neue Dimension der unternehmensinternen Compliance
Ergänzend entstehen beim Einsatz von künstlicher Intelligenz Organisations- und Kontrollpflichten. Die Entscheidung, ob KI-Systeme im Unternehmen eingesetzt werden, ist eine unternehmerische Leitentscheidung. Ein vollständiger Verzicht auf KI erscheint dabei zunehmend illusorisch, will man wettbewerbsfähig bleiben.
Rechtlich anspruchsvoller ist das „Wie“ der KI-Nutzung. Auf europäischer Ebene zeichnet sich eine zunehmende Regulierung ab: Mit der KI-Verordnung [VO (EU) 2024/1689] reagiert der Unionsgesetzgeber auf die dynamische Entwicklung der KI-Technologien. Die Regulierung adressiert insbesondere die wachsenden systemischen und organisatorischen Risiken, die mit dem Einsatz von KI verbunden sind. Diese Pflichten betreffen nicht nur das eigene rechtmäßige Handeln der Leitungsorgane. Sie erstrecken sich insbesondere auf die Einrichtung, Gestaltung und fortlaufende Aufrechterhaltung geeigneter Organisations- und Überwachungsstrukturen. Arbeitgeber, die KI-Systeme betreiben oder bereitstellen, sind nach Art. 4 KI-VO verpflichtet, Maßnahmen sicherzustellen, die ein ausreichendes Maß an KI-Kompetenz bei ihren Beschäftigten gewährleisten. Die Verantwortung für die Umsetzung trifft damit nicht zuletzt den Geschäftsleiter im Rahmen seiner Legalitätskontrollpflicht.
Geschäftsleiterpflichten und Cybersecurity
IT-Sicherheit und Cyberresilienz gehören demgegenüber seit langem zum Pflichtenkern ordnungsgemäßer Unternehmensleitung. Zu den Organpflichten gehört insbesondere, das Unternehmen auf strukturelle Veränderungen durch fortschreitende Digitalisierung auszurichten. Dies umfasst sowohl die Weiterentwicklung von Produkten und Dienstleistungen als auch die Anpassung der Unternehmensorganisation, vor allem durch den Aufbau digitaler Kompetenzen und die Überprüfung bestehender Strukturen.
Außerhalb spezialgesetzlicher Regelungen unterliegt der Umfang der Cybercompliance ebenfalls dem ordnungsgemäßen Ermessen der Geschäftsleitung. Auch hier greifen die Grundsätze der Business-Judgement-Rule. Welche Maßnahmen zu ergreifen sind, hängt insbesondere von Art und Größe des Unternehmens, seiner wirtschaftlichen und finanziellen Lage sowie der personellen Ausstattung der Geschäftsleitung ab.
Anforderungen an die Cybercompliance
Unabhängig von einem konkreten Cyberangriff ist die Geschäftsleitung verpflichtet, potentielle Risiken zu identifizieren und zu bewerten. Persönliche Haftung droht nicht bei Fehleinschätzungen im Einzelfall, wohl aber bei strukturellem Organisationsversagen. Die Verantwortung beschränkt sich dabei nicht auf strategische Entscheidungen, sondern umfasst auch den Aufbau und die Aufrechterhaltung tragfähiger Organisationsstrukturen.
Dazu zählen etwa:
- ein angemessenes technisches Sicherheitsniveau,
- klare Zuständigkeiten und wirksame Kontrollmechanismen,
- regelmäßige Schulungen der Mitarbeitenden sowie
- belastbare Notfall- und Reaktionskonzepte.
Für Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse existieren zudem spezialgesetzliche Vorgaben. Die NIS-2-Richtlinie der EU [RL (EU) 2022/2555] verschärft diese Anforderungen und macht Cybersicherheit in bestimmten Bereichen ausdrücklich zur Managementaufgabe. In Deutschland wurde das NIS-2-Umsetzungsgesetz am 13.11.2025 vom Bundestag beschlossen. Es sieht unter anderem eine verpflichtende Schulung der Unternehmensleitung vor, um das Verständnis auf Leitungsebene für Cyberrisiken und Risikomanagement zu stärken.
Grenzen der persönlichen Haftung
Dass nicht jeder IT-bedingte Schaden unmittelbar zu einer persönlichen Haftung führt, zeigt ein Urteil des Oberlandesgerichts (OLG) Zweibrücken (Urteil vom 18.08.2022 – 4 U 198/21). In dem zugrundeliegenden Phishingfall hatte eine GmbH-Geschäftsführerin auf manipulierte E-Mails reagiert und Überweisungen freigegeben. Eine persönliche Haftung wurde dennoch verneint. Ausschlaggebend war, dass es sich um administrative Tätigkeiten handelte und keine Verletzung spezifisch organschaftlicher Pflichten vorlag. Zudem war die Entscheidungsfreiheit eingeschränkt und ein Mitgeschäftsführer eingebunden. Die Entscheidung verdeutlicht: Eine Haftung setzt eine Pflichtverletzung auf Organebene voraus; bloße Fehler im Tagesgeschäft genügen nicht.
Digitale Risiken lassen sich niemals vollständig ausschließen. Sie erfordern eine strukturierte, risikoadäquate Steuerung. Hierzu zählen neben einer belastbaren Cyber- und KI-Complianceorganisation auch ein angemessener Versicherungsschutz. Während die D&O-Versicherung Geschäftsleiter vor den finanziellen Folgen persönlicher Inanspruchnahme schützt, dient die Cyberversicherung der Absicherung unternehmensbezogener Schäden infolge von Cyberangriffen, IT-Störungen oder Datenverlusten. In einem digital geprägten Haftungsumfeld ist ein angemessener Versicherungsschutz zugleich Ausdruck verantwortungsbewusster Unternehmensleitung.
Fazit
Digitale Risiken und der Einsatz von KI verschieben nicht die Grundsätze der Organhaftung, erweitern jedoch deren praktische Reichweite erheblich. Geschäftsleiter sind gehalten, digitale Entwicklungen proaktiv zu steuern, Risiken frühzeitig zu erkennen und Compliancestrukturen fortlaufend weiterzuentwickeln. Auf algorithmisch generierte Analysen dürfen sie sich dabei nicht unkritisch stützen; deren Ergebnisse sind stets eigenverantwortlich zu prüfen und in die unternehmerische Entscheidung zu integrieren.
