Geschäftsführerhaftung im Zeitalter von KI und Cyber-Risiken

Konkrete Inhalte und Kernaussagen des Urteils

Rechtlicher Rahmen für den Umgang mit KI-unterstützten Entscheidungen
Die Entwicklung eines Rechtsrahmens für den Umgang mit KI-unterstützten Entscheidungen steht derzeit noch am Anfang.

Die rechtlichen Maßstäbe sind nicht neu – ihre Anwendung jedoch schon. Die allgemeinen Sorgfaltspflichten aus § 43 GmbHG und § 93 Abs. 1 S. 2 AktG verpflichten Geschäftsführer und Vorstandsmitglieder zu einem Handeln mit der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters. Eine Pflichtverletzung des Geschäftsleiters liegt nicht vor, wenn der Entscheider vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. Das Gesetz räumt ihm somit in den Grenzen seiner Sorgfaltspflicht einen Beurteilungsspielraum ein, um die konkrete Entscheidungssituation sowie den Informationsbedarf einzuschätzen.

Vergleichsweise neu sind diese Überlegungen, wenn es um KI-basierte Entscheidungen des Leitungsorgans geht. Nicht selten sind die vom Algorithmus generierten Empfehlungen für den Menschen inhaltlich kaum nachvollziehbar; das KI-Modell erweist sich dann als „Blackbox“. Es stellt sich die Frage, inwieweit die Geschäftsleitung hierauf vertrauen darf.

Letztentscheidungskompetenz der Geschäftsführung

Der Geschäftsführer darf algorithmische Auswertungen nicht ungeprüft zur Grundlage unternehmerischer Entscheidungen machen. Entscheidungsverantwortung verlangt vielmehr, dass er den Inhalt der vorgeschlagenen Maßnahmen selbst prüft und als eigene Entscheidung verantwortet.

Beruht eine unternehmerische Maßnahme auf einer fehlerhaften KI-basierten Einschätzung und führt dies zu einem Schaden der Gesellschaft, kommt eine Haftung des Geschäftsführers nach § 43 Abs. 2 GmbHG in Betracht. Die vom Bundesgerichtshof entwickelten Maßstäbe zur Nutzung externer Informationsquellen sind dabei auf KI-Systeme übertragbar. Maßgeblich ist insbesondere, ob das System angesichts seiner Funktionsweise sowie der Qualität der Datengrundlage geeignet ist, die jeweilige fachliche oder rechtliche Fragestellung zutreffend zu erfassen. Da diese Eignung regelmäßig nicht verlässlich beurteilt werden kann, scheidet ein ausschließlich KI-gestütztes Vorgehen in der Regel aus. Zudem steigen die Anforderungen an die Plausibilitätsprüfung mit der wirtschaftlichen Tragweite der Entscheidung.

 

KI als neue Dimension der unternehmensinternen Compliance

Ergänzend treten Organisations- und Kontrollpflichten in Bezug auf den Einsatz von KI hinzu. Die Entscheidung, ob KI-Systeme im Unternehmen eingesetzt werden, ist eine unternehmerische Leitentscheidung. Angesichts des Wettbewerbsdrucks ist ein vollständiger Verzicht auf KI in vielen Branchen kaum realistisch.

Rechtlich anspruchsvoller ist das „Wie“ der KI-Nutzung. Auf europäischer Ebene zeichnet sich eine zunehmende Regulierung ab: Mit der KI-Verordnung (VO [EU] 2024/1689) reagiert der Unionsgesetzgeber auf die dynamische Entwicklung der KI-Technologien. Die Regulierung adressiert insbesondere die wachsenden systemischen und organisatorischen Risiken, die mit dem Einsatz von KI verbunden sind. Diese Pflichten betreffen nicht nur das eigene rechtmäßige Handeln der Leitungsorgane. Sie erstrecken sich insbesondere auf die Einrichtung, Gestaltung und fortlaufende Aufrechterhaltung geeigneter Organisations- und Überwachungsstrukturen. Arbeitgeber, die KI-Systeme betreiben oder bereitstellen, sind nach Art. 4 KI-VO verpflichtet, Maßnahmen sicherzustellen, die ein ausreichendes Maß an KI-Kompetenz bei ihren Beschäftigten gewährleisten. Die Verantwortung für die Umsetzung trifft damit nicht zuletzt den Geschäftsleiter im Rahmen seiner Legalitätskontrollpflicht.

Geschäftsleiterpflichten und Cyber-Security

IT-Sicherheit und Cyber-Resilienz gehören demgegenüber seit langem zum Pflichtenkern ordnungsgemäßer Unternehmensleitung. Zu den Organpflichten gehört insbesondere, das Unternehmen auf strukturelle Veränderungen durch fortschreitende Digitalisierung auszurichten. Dies umfasst sowohl die Weiterentwicklung von Produkten und Dienstleistungen als auch die Anpassung der Unternehmensorganisation, insbesondere durch den Aufbau digitaler Kompetenzen und die Überprüfung bestehender Strukturen.

Außerhalb spezialgesetzlicher Regelungen unterliegt der Umfang der Cyber-Compliance ebenfalls dem ordnungsgemäßen Ermessen der Geschäftsleitung. Auch hier greifen die Grundsätze der Business Judgement Rule. Welche Maßnahmen zu ergreifen sind, hängt insbesondere von Art und Größe des Unternehmens, seiner wirtschaftlichen und finanziellen Lage sowie der personellen Ausstattung der Geschäftsleitung ab.

Anforderungen an die Cyber-Compliance

Unabhängig von einem konkreten Cyber-Angriff ist die Geschäftsleitung verpflichtet, potenzielle Risiken zu identifizieren und zu bewerten. Persönliche Haftung droht nicht bei jedem Fehlgriff, wohl aber bei strukturellem Organisationsversagen. Die Verantwortung beschränkt sich dabei nicht auf strategische Entscheidungen, sondern umfasst auch den Aufbau und die Aufrechterhaltung tragfähiger Organisationsstrukturen.

Dazu zählen etwa:

• ein angemessenes technisches Sicherheitsniveau,
• klare Zuständigkeiten und wirksame Kontrollmechanismen,
• regelmäßige Schulungen der Mitarbeitenden sowie
• belastbare Notfall- und Reaktionskonzepte.

Für Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse existieren zudem spezialgesetzliche Vorgaben. Die NIS-2-Richtlinie der EU (RL [EU] 2022/2555) verschärft diese Anforderungen und macht Cyber-Sicherheit in bestimmten Bereichen ausdrücklich zur Managementaufgabe. In Deutschland wurde das NIS-2-Umsetzungsgesetz am 13.11.2025 vom Bundestag beschlossen. Es sieht unter anderem eine verpflichtende Schulung der Unternehmensleitung vor, um das Verständnis für Cyber-Risiken und Risikomanagement auf Leitungsebene zu stärken.

Reichweite und Eindämmung der Geschäftsleiterhaftung

Dass nicht jeder IT-bedingte Schaden unmittelbar zu einer persönlichen Haftung führt, zeigt ein Urteil des OLG Zweibrücken (Urt. v. 18.08.2022 – 4 U 198/21). In dem zugrunde liegenden Phishing-Fall hatte eine GmbH-Geschäftsführerin auf manipulierte E-Mails reagiert und Überweisungen freigegeben. Eine persönliche Haftung wurde dennoch verneint.

Ausschlaggebend war, dass es sich um administrative Tätigkeiten handelte und keine Verletzung spezifisch organschaftlicher Pflichten vorlag. Zudem war die Entscheidungsfreiheit eingeschränkt und ein Mitgeschäftsführer eingebunden. Die Entscheidung verdeutlicht: Eine Haftung setzt eine Pflichtverletzung auf Organebene voraus; bloße Fehler im Tagesgeschäft genügen nicht.

Digitale Risiken lassen sich niemals vollständig ausschließen. Sie erfordern eine strukturierte, risikoadäquate Steuerung. Hierzu zählen neben einer belastbaren Cyber- und KI-Compliance-Organisation auch ein angemessener Versicherungsschutz. Während die D&O-Versicherung Geschäftsleiter vor den finanziellen Folgen persönlicher Inanspruchnahme schützt, dient die Cyber-Versicherung der Absicherung unternehmensbezogener Schäden infolge von Cyberangriffen, IT-Störungen oder Datenverlusten. In einem digital geprägten Haftungsumfeld ist ein angemessener Versicherungsschutz zugleich Ausdruck verantwortungsbewusster Unternehmensleitung.

Fazit

Digitale Risiken und der Einsatz von KI verändern nicht die Grundsätze der Organhaftung, wohl aber ihre praktische Reichweite. Geschäftsleiter sind gehalten, digitale Entwicklungen aktiv zu steuern, Risiken frühzeitig zu identifizieren und Compliance-Strukturen kontinuierlich anzupassen. Sie dürfen sich bei ihrer Entscheidungsfindung nicht blind auf großdatengestützte Analysen verlassen, sondern müssen deren Ergebnisse kritisch hinterfragen und eigenverantwortlich prüfen.