Geschäftsführer haften nach dem EU AI Act nicht automatisch persönlich. Das persönliche Risiko entsteht aber schnell mittelbar, wenn das Unternehmen KI ohne Zuständigkeiten, Schulung, Freigaben und Dokumentation einsetzt und dadurch Organpflichten, Aufsichtspflichten oder interne Sorgfaltspflichten verletzt werden.
Seit dem 2. Februar 2025 gilt Artikel 4 der EU-VO 2024/1689 zur KI-Kompetenz. Anbieter und Betreiber müssen dafür sorgen, dass Mitarbeitende und sonstige Personen auf ihrer Seite ein ausreichendes Maß an KI-Kompetenz haben. Für Geschäftsführer ist das keine Randnotiz, sondern eine unmittelbare Governance-Frage.
Kurzantwort: Wann wird aus AI-Act-Compliance ein persönliches Risiko?
Persönliches Risiko entsteht vor allem dann, wenn die Geschäftsführung erkennbar notwendige Organisationsmaßnahmen unterlässt. Das betrifft nicht nur klassische Hochrisiko-KI, sondern schon alltägliche Nutzung von ChatGPT, Copilot oder KI-Funktionen in HR-, Marketing- oder Support-Prozessen, wenn intern niemand zuständig ist und Regeln fehlen.
Der AI Act selbst arbeitet mit Rollen wie Anbieter, Betreiber, Einführer und Händler gemäß Art. 2 EU-VO 2024/1689. In deutschen Kapital- und Personenhandelsgesellschaften werden diese Rollen praktisch über die Unternehmensleitung organisiert. Wer als Geschäftsführer keine belastbare Governance schafft, verlagert das Problem deshalb nicht nach unten, sondern macht es größer.
Für GmbHs folgt das aus der Sorgfaltspflicht des § 43 GmbHG. Für AG-Vorstände gilt funktional dasselbe über § 93 AktG. Hinzu kommt § 130 OWiG: Fehlende Aufsicht kann selbst dann relevant werden, wenn Pflichtverstöße im Unternehmen durch angemessene Organisation vermeidbar gewesen wären.
Welche Pflichten die Geschäftsführung konkret organisieren muss
Geschäftsführer müssen zuerst wissen, wo im Unternehmen überhaupt KI genutzt wird. Ohne KI-Inventar lässt sich weder beurteilen, ob das Unternehmen nur allgemeine Artikel-4-Pflichten hat, noch ob zusätzlich Transparenzpflichten aus Art. 50 oder Betreiberpflichten für Hochrisiko-Systeme aus Art. 26 relevant werden.
Geschäftsführer müssen zweitens Schulung als Rollenpflicht organisieren, nicht als Einmal-Webinar. Die AI-Office-Fragen und Antworten zu Art. 4 stellen ausdrücklich klar, dass es kein Einheitsprogramm gibt. Entscheidend sind technisches Vorwissen, Erfahrung, Ausbildung, Training und der konkrete Nutzungskontext der eingesetzten KI.
Geschäftsführer müssen drittens dokumentieren, wie sie zu ihren Entscheidungen gekommen sind. Das AI Office verlangt zwar kein bestimmtes Zertifikat und keine starre Governance-Struktur. Gerade deshalb ist saubere Dokumentation so wichtig: Wer Risiken bewertet, Rollen festlegt, Schulungsstände nachhält und Freigaben protokolliert, kann im Streitfall zeigen, dass die Organisation nicht blind gehandelt hat.
Geschäftsführer müssen viertens sicherstellen, dass sensible Anwendungsfälle eskalieren. Wenn KI in Recruiting, Leistungsbewertung, Kreditprüfung, Versicherung, biometrischer Identifizierung oder anderen Anhang-III-Bereichen eingesetzt wird, kippt das Thema schnell von allgemeiner Literacy zu harter Hochrisiko-Compliance. Für Betreiber von Hochrisiko-Systemen verlangt Art. 26 Abs. 2 ausdrücklich kompetente Personen mit ausreichender Schulung, Befugnis und Unterstützung für Gebrauchsanweisungen und menschliche Aufsicht.
Was der Geschäftsführer aus Artikel 4 praktisch ableiten sollte
Artikel 4 verlangt keine perfekte KI-Kompetenz, sondern angemessene Maßnahmen nach bestem Bemühen. Das klingt weich, ist für Geschäftsführer aber gerade deshalb gefährlich: Wer gar nichts tut, kann sich später kaum darauf berufen, das Unternehmen habe den Pflichtstandard vernünftig ausgelegt.
Die AI-Office-FAQ sagt ausdrücklich, dass kein bestimmtes Schulungsformat und kein einzelnes Zertifikat vorgeschrieben sind. Für die Geschäftsführung folgt daraus kein Freifahrtschein, sondern das Gegenteil: Sie muss selbst definieren, welches Kompetenzniveau für Vertrieb, HR, IT, Compliance, Führungskräfte und Fachbereiche mit KI-Nutzung ausreicht.
Die richtige Frage lautet deshalb nicht: „Brauchen wir ein Zertifikat, weil das Gesetz es verlangt?“ Die richtige Frage lautet: „Können wir heute nachweisen, dass die richtigen Personen die richtigen Regeln kennen und anwenden?“ Wenn die Antwort nein ist, liegt das Risiko bereits auf Management-Ebene.
Wo persönliche Haftung typischerweise entsteht
Persönliche Haftung entsteht typischerweise nicht aus einem isolierten AI-Act-Paragrafen, sondern aus einem Organisationsversagen mit Folgeschäden. Das ist der Kern der Debatte um AI Act CEO Haftung: Der AI Act liefert die materiellen Pflichten, deutsches Gesellschafts- und Ordnungswidrigkeitenrecht macht Führungsfehler daraus ein persönliches Problem.
Das erste typische Muster ist ungeregelte GenAI-Nutzung im Alltag. Wenn Mitarbeitende Kundendaten, vertrauliche Vertragsinhalte oder HR-Informationen in frei verfügbare Tools eingeben und es dafür keine Regeln, Freigaben oder Schulung gibt, ist das kein Mitarbeiterproblem allein. Es ist ein Führungs- und Aufsichtsproblem.
Das zweite typische Muster ist fehlende Verantwortlichkeit. Wenn im Unternehmen niemand benannt ist, der KI-Einsätze inventarisiert, Risiken bewertet, Anbieterunterlagen prüft und Schulungsstände nachhält, wird aus Innovation schnell Blindflug. Geschäftsführer können Aufgaben delegieren, aber nicht die Letztverantwortung für eine angemessene Organisation.
Das dritte typische Muster ist falsche Einordnung von HR- oder Entscheidungs-KI. Recruiting-Tools, CV-Screening, Scoring oder KI-gestützte Leistungsüberwachung können in den Hochrisiko-Bereich fallen. Wer solche Systeme ohne juristische und organisatorische Prüfung einführt, setzt das Unternehmen nicht nur einem Bußgeld-, sondern auch einem Regressrisiko aus.
Das vierte typische Muster ist Schein-Compliance. Ein einzelnes Schulungsvideo, keine Wiederholung, keine Zielgruppenlogik und keine Dokumentation wirken nach außen oft ordentlicher als sie tatsächlich sind. In einem Audit oder Schadensfall hilft formale Kosmetik nicht, wenn das Management keine belastbare Struktur nachweisen kann.
Welche Vorschriften Geschäftsführer kennen sollten
Die zentrale Rechtslogik lässt sich auf wenige Normen verdichten:
| Rechtsgrundlage | Inhalt | Relevanz für Geschäftsführer | | --- | --- | --- | | Art. 2 EU-VO 2024/1689 | Bestimmt, wer als Anbieter oder Betreiber betroffen ist | Entscheidet, ob und warum das Unternehmen überhaupt in der Pflicht ist | | Art. 4 EU-VO 2024/1689 | Verlangt ausreichende KI-Kompetenz bei Mitarbeitenden und weiteren Personen auf Unternehmensseite | Macht Schulung, Rollenlogik und Nachweis zur Management-Aufgabe | | Art. 26 Abs. 2 EU-VO 2024/1689 | Verlangt kompetente, geschulte Personen für Aufsicht bei Hochrisiko-KI | Erhöht den Druck bei sensiblen Use Cases wie HR oder Scoring | | Art. 50 EU-VO 2024/1689 | Regelt Transparenzpflichten, etwa bei KI-Interaktion oder künstlich erzeugten Inhalten | Relevant für Marketing, Kundenservice und Kommunikationsprozesse | | Art. 99 EU-VO 2024/1689 | Regelt Bußgeldrahmen bis 35 Mio. EUR oder 7 % Umsatz | Zeigt die finanzielle Größenordnung, auch wenn Art. 4 keinen eigenen Tatbestand hat | | § 43 GmbHG, § 93 AktG, § 130 OWiG | Regeln Sorgfalt, Organhaftung und Aufsichtspflicht im deutschen Recht | Hier materialisiert sich das persönliche Managementrisiko |
Fristen: Was heute schon gilt und was Geschäftsführer im Blick behalten müssen
Artikel 4 gilt seit dem 2. Februar 2025. Für Geschäftsführer ist das das wichtigste Datum, weil die Pflicht nicht auf 2026 oder 2027 verschoben werden darf, solange die Rechtslage nicht offiziell geändert wurde.
Der Grundtext des AI Act sieht den 2. August 2026 als Startdatum für große Teile der Verordnung vor, insbesondere für Anhang-III-Hochrisiko-Systeme und Transparenzpflichten. Stand 16. März 2026 liegt mit dem Digital-Omnibus-Vorschlag der Kommission zwar eine mögliche Anpassung der späteren Hochrisiko-Fristen auf dem Tisch. Solange diese Änderung nicht beschlossen ist, sollten Geschäftsführer jedoch mit dem geltenden Fristenmodell arbeiten und sich nicht auf politische Optionen verlassen.
Artikel 99 zeigt außerdem die wirtschaftliche Größenordnung. Für verbotene KI-Praktiken drohen bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes, für andere Pflichtverstöße bis zu 15 Mio. EUR oder 3 %. Für Artikel 4 selbst gibt es keinen eigenständigen unionsweit harmonisierten Bußgeldtatbestand. Genau deshalb unterschätzen viele Geschäftsführungen das Thema zu lange.
Fünf Sofortmaßnahmen für Geschäftsführer
Geschäftsführer sollten erstens alle KI-Einsätze inventarisieren. Ohne sauberen Überblick über Chatbots, Copilots, HR-Tools, Analysefunktionen und eingebettete KI in Fremdsoftware bleibt jede Compliance-Diskussion spekulativ.
Geschäftsführer sollten zweitens einen Owner benennen. Ob Compliance, Datenschutz, HR oder ein AI-Governance-Lead koordiniert, ist zweitrangig. Entscheidend ist, dass Zuständigkeit, Eskalation und Reporting klar definiert sind.
Geschäftsführer sollten drittens Rollenprofile für Schulungen festlegen. Führungskräfte brauchen andere Inhalte als Endanwender, HR andere als Marketing oder IT. Wenn Sie dafür eine kompakte Umsetzungsbasis suchen, finden Sie im Wissensbereich weitere Einordnungen und auf der FAQ-Seite Antworten zu typischen Praxisfragen.
Geschäftsführer sollten viertens Regeln und Freigaben schriftlich machen. Dazu gehören zugelassene Tools, Verbote für sensible Daten, Prüfpfade für neue Use Cases, Kennzeichnungsvorgaben und Eskalationswege bei Incidents oder Auffälligkeiten.
Geschäftsführer sollten fünftens Nachweise systematisch pflegen. Ein dokumentiertes Schulungsformat mit Teilnehmerstand, Aktualisierungen und Schulungszertifikat ersetzt keine Governance, reduziert aber das Risiko, im Ernstfall gar nichts vorlegen zu können. Auf der Kursseite finden Sie dafür ein kompaktes Format, das sich in bestehende Prozesse integrieren lässt.
Was Geschäftsführer nicht tun sollten
Geschäftsführer sollten das Thema nicht allein an die IT delegieren. Artikel 4, Transparenzpflichten und Hochrisiko-Fragen betreffen regelmäßig HR, Marketing, Einkauf, Vertrieb, Datenschutz und Compliance gleichzeitig.
Geschäftsführer sollten sich nicht darauf verlassen, dass ein Tool-Anbieter schon alles sauber gelöst hat. Anbieterunterlagen helfen, ersetzen aber nicht die Pflicht des eigenen Unternehmens, Einsatzkontext, Aufsicht und Kompetenzen der Nutzer zu prüfen.
Geschäftsführer sollten auch nicht auf eine spätere Umsetzung warten. Wer heute KI produktiv nutzt, hat heute Governance-Bedarf. Die Startseite fasst diese Logik allgemein zusammen, aber operative Haftungsrelevanz entsteht immer aus dem konkreten Einsatz im Unternehmen.
Fazit
AI Act CEO Haftung bedeutet in der Praxis nicht „automatische persönliche Haftung wegen eines einzelnen Artikels“. AI Act CEO Haftung bedeutet, dass Geschäftsführung eine belastbare KI-Organisation schaffen muss, weil aus unterlassener Governance sehr schnell ein persönliches Risiko über Organpflichten, Aufsichtspflichten und interne Regresswege werden kann.
Wer jetzt inventarisiert, Verantwortliche benennt, zielgruppengerecht schult und Nachweise aufbaut, senkt nicht nur AI-Act-Risiken. Er reduziert auch die Wahrscheinlichkeit, dass aus einem normalen KI-Projekt später ein Managementproblem wird.