Suchformular öffnen Menü öffnen
Expertensuche
Suche
Gesellschaftsrecht
  • 22 Aug 2025
  • 7 Minuten Lesezeit

Danke für nichts? Geschäftsleiterpflichten und Künstliche Intelligenz

Verfasst von

Dr. Georg Haas

Lukas Schmidt

Dieser Beitrag ist Bestandteil unserer Reihe zur Organhaftung. Zuletzt ist am 7. Juli 2025 der Beitrag „Kardinalpflichten von Geschäftsleitern – echter Paukenschlag oder viel Lärm um Nichts?“ auf unserem Blog und als Podcast erschienen.

Ein aktuelles Editorial mit dem Titel „Danke für nichts! Die Künstliche Intelligenz und das Aktienrecht“ hebt pointiert hervor, dass das Aktienrecht – und das Gesellschaftsrecht insgesamt – bislang kaum konkrete Hilfestellungen bei den zahlreichen Fragen bietet, die sich um Künstliche Intelligenz (KI) ranken (Koch, NZG 2025, 385). In der Tat trifft die Revolution durch KI und ihre ständige Weiterentwicklung nicht nur die wirtschaftlichen und gesellschaftlichen, sondern auch die rechtlichen Strukturen mit einer kaum dagewesenen Wucht.

Im Umgang (auch) mit KI erweist sich jedoch eine zentrale Eigenschaft des deutschen Rechts im Allgemeinen und des Gesellschaftsrechts im Besonderen von Vorteil: Dessen abstrakte Vorgaben, insbesondere die allgemeine Sorgfaltspflicht der Geschäftsleitung aus § 43 GmbHG bzw. § 93 AktG, ermöglichen eine flexible Auslegung und Anpassung an neue Entwicklungen. Dabei können sowohl die technischen Veränderungen als auch rechtliche Neuerungen im Zusammenhang mit KI berücksichtigt werden, insbesondere die EU-Verordnung über Künstliche Intelligenz (KI-VO, VO [EU] 2024/1689).
Dieser Beitrag gibt einen Überblick über den aktuellen Stand der Diskussion um die Pflichten der Geschäftsleitung im Umgang mit KI. Dass die rechtliche Entwicklung noch am Anfang steht und stets mit den unternehmerischen und technologischen Besonderheiten des Einzelfalls abgeglichen werden muss, versteht sich von selbst.

Anknüpfungspunkte im Pflichtenkanon der Geschäftsleitung

Der rechtliche Ausgangspunkt ist noch vergleichsweise klar: Die Entscheidung über das „Ob“ der Nutzung von KI im Unternehmen ist grundsätzlich eine unternehmensleitende Entscheidung, die die Geschäftsleitung im Rahmen ihrer Verantwortung für die Grundsätze der Unternehmens- und Geschäftspolitik (§ 37 GmbHG, § 76 AktG) selbst treffen muss (so aktuell zutreffend Grimm, GmbHR 2025, 800 f.).

Weniger klar sind die Vorgaben für die Umsetzung dieser Leitungsentscheidung, also das „Wie“ der KI-Nutzung. Soweit relevante rechtliche Vorgaben bestehen, sind diese im Rahmen der sog. Legalitätspflicht zu beachten. Diese Pflicht zum rechtskonformen Verhalten umfasst sowohl das Handeln der Leitungsorgane selbst als auch die Schaffung und Erhaltung von Strukturen, die rechtskonformes Verhalten innerhalb des Unternehmens sicherstellen (sog. Organisationsverantwortung).

Die KI-VO und ihr risikobasierter Ansatz der Klassifizierung von KI-Systemen

Rechtliche Vorgaben, die im Rahmen der Legalitätspflicht zu beachten und umzusetzen sind, finden sich in erster Linie in der KI-VO. Als EU-Verordnung findet die KI-VO unmittelbare Anwendung ab dem 2. Februar 2025 bzw. 2. August 2026 und enthält zahlreiche neue Pflichten für Unternehmen im Zusammenhang mit KI-Systemen.

Dabei verfolgt die KI-VO einen risikobasierten Ansatz, d.h. die für ein KI-System einzuhaltenden Pflichten bemessen sich nach dem von dem jeweiligen System ausgehenden Risiken. Die KI-VO teilt KI-Systeme je nach Einsatzzweck und Funktionsumfang in verschiedene Risikokategorien ein:

  • Verbotene KI-Systeme sind solche, die mit einem inakzeptablen Risiko einhergehen, bspw. absichtlich manipulative oder täuschende Techniken. Sie sind in Art. 5 der KI-VO im Einzelnen geregelt und seit dem 2. Februar 2025 verboten. Ihr Einsatz wird mit erheblichen Bußgeldern belegt.
  • Hochrisiko-KI-Systeme nach sind grundsätzlich erlaubt, unterliegen aber strengen Auflagen (Art. 6 bis 49 KI-VO). So müssen für Hochrisiko-KI-Systeme u.a. fortlaufende Risikobewertungen durchgeführt und ein Qualitätsmanagementsystem eingerichtet werden, um die Einhaltung der Regulierungsvorschriften sicherzustellen und zu dokumentieren. Besonders praxisrelevante Beispiele sind KI-Systeme, die im HR-Bereich etwa zur Unterstützung bei der Auswahl und Sichtung von Bewerbern eingesetzt werden.
  • Sonstige KI-Systeme für allgemeine Zwecke mit begrenzten Risiken, die jedenfalls beim Einsatz für die direkte Interaktion mit natürlichen Personen gesonderten Transparenzpflichten unterliegen (Art. 50 KI-VO).


Angesichts der Vielzahl an Einsatzmöglichkeiten ist eine sorgfältige Analyse der jeweils einschlägigen Risikokategorie und der damit einhergehenden Anforderungen und Pflichten entscheidend. Insbesondere Unternehmen, die bereits KI-Systeme nutzen, sollten umgehend eine Inventarisierung durchführen, um nicht gegen die teilweise bereits seit dem 2. Februar 2025 geltenden Anforderungen der KI-VO zu verstoßen. 

Schaffung von KI-Kompetenz im Unternehmen 

Eine wesentliche Pflicht besteht in der Schaffung von KI-Kompetenz im Unternehmen (Art. 4 KI-VO), die die Geschäftsleitung im Rahmen der Legalitätspflicht unmittelbar trifft. Danach haben Anbieter und Betreiber von KI-Systemen Maßnahmen zu ergreifen haben, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit der Nutzung von KI-Systemen befasst sind über ein ausreichendes Maß an KI-Kompetenz verfügen. 

Der Begriff der „KI-Kompetenz“ ist in Art. 3 Nr. 56 KI-VO definiert als „die Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden.“

Umgesetzt werden kann diese Pflicht insbesondere durch die Durchführung von Schulungen, die folgende, nicht abschließende Inhalte haben können (dazu im Einzelnen aktuell Grimm, GmbHR 2025, 800 ff.: 

  • Die Vermittlung eines Basisverständnisses von KI-Technologien, ihren Funktionsweisen und Risiken,
  • Sensibilisierung für mögliche Fehlfunktionen oder Verzerrungen (Bias) sowie den Umgang mit KI-generierten Ergebnissen,
  • Sensibilisierung für weitere rechtliche Vorgaben, insbesondere Datenschutz und Schutz von Betriebsgeheimnissen,
  • Aufklärung über ethische Leitlinien und die Vermeidung von Diskriminierung,
  • Spezifische Zusatzschulungen für Führungskräfte, HR-Verantwortliche, IT-Mitarbeitende sowie juristische Abteilungen.


Der Umfang und die Tiefe der Schulungen richten sich nach der jeweiligen Funktion und Rolle der Beschäftigten sowie der Risikoeinstufung der eingesetzten KI-Systeme. Regelmäßige Wiederholungsschulungen sind empfehlenswert, um mit den schnellen Entwicklungen im KI-Bereich Schritt zu halten.

Maßnahme der KI-Compliance

Neben der Schaffung von KI-Kompetenz sind weitere Präventionsmaßnahmen erforderlich, um die Nutzung von KI-Systemen in ein umfassendes Compliance-Management-System zu integrieren

Verbindliche Leitlinien für den Einsatz von KI-Systemen helfen, Klarheit zu schaffen und das Risiko von Fehlverhalten und Verstößen zu begrenzen. Je nach Unternehmensgröße und Branche kann auch die Benennung eines KI-Beauftragten sinnvoll sein, selbst wenn die KI-VO hierfür (anders als etwa die Datenschutz-Grundverordnung, DSGVO) keine Verpflichtung vorsieht.

Wechselwirkungen mit weiteren rechtlichen Vorgaben

Neben den Vorgaben der KI-VO sind weitere Vorschriften bei Nutzung von KI-Systemen eine Rolle spielen.

So muss bei der Verwendung von personenbezogenen Daten einem KI-System beispielsweise eine datenschutzrechtliche Rechtsgrundlage gem. Art. 6 bzw. Art. 9 der DSGVO bestehen.

Auch im medizinischen Bereich hat der Einsatz von KI Einfluss auf die geltenden regulatorischen Vorgaben. So werden Medizinprodukte nach der Medizinprodukte-Verordnung (Medical Device Regulation, VO [EU] 2017/745), die KI-basierte Software nutzen oder selbst eine solche sind, regelmäßig als Hochrisiko-KI-Systeme einzustufen sein.

Vor dem Hintergrund der ineinandergreifenden und sich teilweise ergänzenden Regelwerke, sollte die Etablierung von KI-Konformität genutzt werden, um die im jeweiligen Unternehmen vorhandenen Compliance-Strukturen umfassend und kritisch zu überprüfen. 

Unterstützung der Geschäftsleitung durch KI-Systeme?

Besondere Schwierigkeiten bereitet die Frage, inwieweit die Geschäftsleitung selbst KI-Systeme in ihre Entscheidungen einbinden darf. In dieser Hinsicht führt der Blick ins Gesetz und in weitere rechtliche Vorgaben, etwa den Deutschen Corporate Governance Kodex, derzeit unweigerlich zu dem eingangs wiedergegebenen Befund „Danke für nichts“.

Insbesondere ist ungeklärt, ob Erkenntnisse aus der Konsultierung einer KI als „angemessene Informationen“ im Sinne des Geschäftsleiterermessens (sog. Business Judgment Rule, § 93 Abs. 1 S. 2 AktG) angesehen werden können, die ein Leitungsorgan seiner Entscheidung zu Grund legen darf. Angesichts der nach wie vor kaum nachvollziehbaren Entscheidungs- und Analyseprozess von KI (sog. „Blackbox-Problem“) dürfte dies jedenfalls zweifelhaft sein. 

Jedenfalls eine vollständige Übertragung der Entscheidungsfindung auf ein KI-System dürfte nach der geltenden Rechtslage unzulässig sein. So sind Leitentscheidungen nach wie vor eindeutig den Führungsorganen ohne Delegationsmöglichkeit zugewiesen (vgl. §§ 76 Abs. 1 AktG, 37 Abs. 1 GmbHG). Die Verpflichtung zur eigenständigen Entscheidungsfindung darf vorerst nicht durch den Einsatz von KI ausgehöhlt werden. 

Haftungsrisiken

Haftungsrisiken im Kontext des Einsatzes von KI-Systemen finden sich sowohl innerhalb des Anwendungsbereiches der KI-VO, also auch im nationalen Gesellschaftsrecht. 

Art. 99 der KI-VO normiert zu Teil empfindliche Geldbußen von bis zu 35 Mio. € oder bis zu 7% des weltweiten Jahresumsatzes eines Unternehmens, die bei Verstößen gegen die Vorgaben der Verordnung verhängt werden können. 

Weiterhin besteht das Risiko, dass bei unzureichender Umsetzung der Anforderungen der KI-VO, insbesondere der Schulungspflichten nach Art.4 KI-VO Verstöße für ein Organisationsverschulden des jeweiligen Unternehmens sprechen können. Während die Einhaltung der Schulungspflicht zwar nicht unmittelbar bußgeldbewehrt ist, drohen somit auch für Geschäftsleitungsorgane und ihre Unternehmen Haftungsrisiken beim Einsatz von KI. 

Ergebnis und Ausblick

Das Fazit ist zwiespältig: Einerseits besteht die Gefahr der (Über-)Regulierung der KI als junger Technologie und damit der Hemmung von Innovation. Andererseits benötigen Unternehmen sichere Leitplanken im Umgang mit KI, um nicht im Zweifel risikoavers und zurückhaltend zu agieren.

Gleichzeitig ist klar, dass die gewaltigen Möglichkeiten der KI insbesondere bei der Beschaffung und Verarbeitung von Informationen und Daten nicht ungenutzt bleiben dürfen. Dementsprechend wird bereits eine Pflicht zur KI-Nutzung diskutiert, deren Voraussetzungen und Rechtsfolgen jedoch noch weitgehend ungeklärt sind.

Im Ergebnis bleibt derzeit nur der Rat, die konkreten Bedürfnisse des Unternehmens und Geschäftsmodells und die in Betracht kommenden KI-Systeme sorgfältig zu analysieren und, sobald die Entscheidung für ein oder mehrere KI-System(e) gefallen ist, eine KI-Compliance-Struktur zur Einhaltung rechtlichen Vorgaben insbesondere der KI-VO zu schaffen bzw. in bestehende Strukturen zu integrieren.

Kontaktieren Sie uns

Dr. Georg Haas

Senior Manager Frankfurt am Main
Gesellschaftsrecht Litigation, Arbitration Insolvenzen und Restrukturierungen

Tel.  +49 69 9585-1250

Mail  E-Mail

Profil anzeigen

Lukas Schmidt

Senior Associate Mannheim
Gesellschaftsrecht

Tel.  +49 151 70591481

Mail  E-Mail

Profil anzeigen

Weitere Fachbeiträge und Blogs

Kartell-, Vergabe- und Beihilfenrecht
Grenzüberschreitende Kumulierung von Beihilfen
  • 21 Aug 2025
  • 4 Minuten Lesezeit
Financial Services
Anforderungen an die Empfängerüberprüfung (Verification of Payee, VoP) nach der EU Verordnung über Echtzeitüberweisungen (IPR)
  • 21 Aug 2025
  • 1 Minute Lesezeit
Kartell-, Vergabe- und Beihilfenrecht
Einleitung einer eingehenden Prüfung zur Übernahme von Covestro durch ADNOC nach EU-Drittstaatensubventionsverordnung
  • 15 Aug 2025
  • 1 Minute Lesezeit
Alle Fachbeiträge und Blogs