MMXXVI · Köln · Dr. Hubertus Porschen GmbH 4.88 · 377 Bewertungen
Keynote-Speaker Beratung Übersicht → Alle BeratungswegeKI-Beratung kleine UnternehmenKI-Audit Workshops Übersicht → KI Deep DiveKI in VerhandlungenKI-Workshop Inhouse Formate Übersicht → Alle Formate (Übersicht)WhitepaperBranchenWebinareC-Level CrashkursKI Skills Lab
BuchBlog
Über Übersicht → Über HubertusReferenzen & CasesVideosPresse & Speaker-ProfilÜber das Scheitern
Keynote anfragen → Allgemeiner Kontakt
Führung in der KI-Ära · 9 Min Lesezeit

KI-Haftung ist Chefsache: Warum der AI Act kein IT-Thema ist.

Für KI-Verstöße im Unternehmen haften Geschäftsführer persönlich. §43 GmbHG macht den AI Act zur Chefsache — wer keine KI-Inventur hat, hat keinen Schutz. Was am 2. August 2026 greift und was 2027 nachkommt.

HP
Dr. Hubertus Porschen Keynote Speaker · KI · Mittelstand
KI-Haftung ist Chefsache: Warum der AI Act kein IT-Thema ist

Dein HR-Team nutzt seit zwei Jahren ein Bewerbermanagement-Tool mit KI-gestütztem Ranking. Es sortiert Bewerbungen vor, schlägt die besten Kandidaten vor, filtert automatisch aus. Alle sind zufrieden — es spart Zeit, die Ergebnisse sind gut.

Was Dir niemand gesagt hat: Dieses Tool ist Hochrisiko-KI nach Anhang III des EU AI Act. Und wenn etwas schiefgeht, haftest Du persönlich dafür. Nicht die IT-Abteilung. Nicht der HR-Leiter. Du — mit Deinem Privatvermögen.

54,5 %
der deutschen Unternehmen nutzen KI — aber nur 33 % haben formale Richtlinien
35 Mio. €
maximales Bußgeld nach EU AI Act — oder 7 % des weltweiten Jahresumsatzes
17 Mon.
ist die KI-Kompetenzpflicht bereits in Kraft — seit Februar 2025

Quellen: Ifo-Institut 2026 · IT-Boltwise KI-Governance-Report 2026 · EU AI Act Art. 4 und Art. 99.

Ich sage das nach über 600 Keynotes und in der täglichen Beratung mit Mittelständlern direkt: Die KI-Haftung von Geschäftsführern ist das Thema, das 2026 die meisten kalt erwischen wird. Nicht weil es neu ist — sondern weil es in der falschen Abteilung geparkt wurde.

Die Deadline, die die meisten Geschäftsführer falsch verstehen

Am 2. August 2026 wird der EU AI Act für Unternehmen scharfgestellt — aber anders, als die meisten Ratgeber noch schreiben. An diesem Tag greifen die Transparenzpflichten nach Artikel 50 (KI-Chatbots und KI-generierte Inhalte müssen gekennzeichnet werden), und die nationale Durchsetzung startet. In Deutschland übernimmt die Bundesnetzagentur die zentrale KI-Aufsicht.

Was viele überrascht: Die vollen Hochrisiko-Pflichten — Konformitätsbewertung, technische Dokumentation, menschliche Aufsicht für Recruiting- oder Scoring-KI — greifen nicht im August 2026. Über den Digital-Omnibus-Kompromiss der EU wurden sie auf den 2. Dezember 2027 verschoben (für KI in regulierten Produkten nach Anhang I sogar auf August 2028). Das verschafft Luft — aber es ändert nichts an der Haftungslogik.

Denn hier ist die Pointe, die in den meisten Berater-Präsentationen fehlt: Du bist wahrscheinlich schon jetzt non-compliant.

Seit dem 2. Februar 2025 — also seit über 17 Monaten — gilt Artikel 4 des AI Act: die KI-Kompetenzpflicht. Jedes Unternehmen, unabhängig von der Größe, muss sicherstellen, dass alle Mitarbeiter mit Zugang zu KI-Systemen „ausreichende KI-Kompetenz“ besitzen. Kein vorgeschriebenes Curriculum, keine Mindestdauer — aber die organisatorische Verantwortung, es nachweisbar umzusetzen.

Hast Du das dokumentiert? Hast Du überhaupt gewusst, dass diese Pflicht existiert?

54,5 Prozent der deutschen Unternehmen nutzen bereits KI, aber nur 33 Prozent haben formale Richtlinien dafür. Die Lücke zwischen Nutzung und Governance ist nirgends größer als im Mittelstand. Und diese Lücke wird teuer — beim Transparenz-Stichtag im August 2026 genauso wie bei den Hochrisiko-Pflichten 2027.

Warum KI-Haftung ein Geschäftsführer-Thema ist — nicht IT

Hier liegt der Denkfehler, den ich in fast jedem Beratungsgespräch höre: „Das regelt unsere IT.“ Oder: „Dafür haben wir den Datenschutzbeauftragten.“

Nein. Die KI-Haftung von Geschäftsführern ist keine delegierbare Aufgabe. Und das liegt nicht am AI Act — sondern am deutschen Gesellschaftsrecht.

§43 GmbHG verpflichtet Geschäftsführer zur „Sorgfalt eines ordentlichen Geschäftsmannes“. Das umfasst ausdrücklich die ordnungsgemäße Organisation des Betriebs — insbesondere beim risikobehafteten Einsatz von Technologien. Der AI Act schafft jetzt eine regulatorische Pflicht zur KI-Governance. Wer sie nicht umsetzt, verletzt §43. Persönlich. Mit dem Privatvermögen.

§130 OWiG geht noch einen Schritt weiter: Bußgelder gegen den Geschäftsführer persönlich — auch ohne eigenen Vorsatz. Es reicht, dass keine ausreichenden Aufsichtsmaßnahmen bestanden haben. Organisationsverschulden nennt sich das.

Die Haftungskette ist kurz und direkt:

  1. AI Act verpflichtet zur KI-Governance
  2. Verstoß erzeugt regulatorische Haftung (Bußgeld bis 35 Mio. €)
  3. §43 GmbHG macht den Geschäftsführer persönlich haftbar
  4. §130 OWiG: Bußgeld gegen den GF, auch ohne eigenen Vorsatz

Und die Business Judgment Rule — der übliche Schutzschild — greift nur, wenn Du nachweisen kannst, dass Du eine informierte Entscheidung getroffen hast. Wer keine KI-Inventur gemacht hat, hat keine Informationsbasis. Und damit keinen Schutz. Diese Logik gilt unabhängig davon, ob eine Pflicht schon 2026 oder erst 2027 greift — die Sorgfaltspflicht kennt keine Schonfrist.

Mehr dazu, warum Führung und KI untrennbar zusammengehören — und warum Delegation in die IT der falsche Reflex ist.

Die dreifache Bußgeld-Falle: AI Act + DSGVO + NIS2

Das Bußgeldsystem des AI Act ist dreistufig:

Verstoß Maximum Umsatz-Anteil
Verbotene KI-Praktiken (Art. 5) 35 Mio. € 7 %
Sonstige Pflichten (Hochrisiko und Transparenz) 15 Mio. € 3 %
Falsche Angaben gegenüber Behörden 7,5 Mio. € 1 %

Für kleine und mittlere Unternehmen sowie Start-ups gilt jeweils der niedrigere der beiden Werte — ein bewusstes Zugeständnis an den Mittelstand. Das allein ist schmerzhaft genug. Aber der eigentliche Hebel liegt in der Kumulation: Ein einziger KI-Vorfall kann drei Regulierungsregime gleichzeitig auslösen — AI Act (bis 7 %), DSGVO (bis 4 %) und NIS2 (bis 2 %). Theoretisch bis 13 Prozent des weltweiten Jahresumsatzes.

Rechenbeispiel

Was ein 20-Mio.-Unternehmen riskiert

Bußgeld nach AI Act (3 % bei Verstoß gegen Transparenz- oder Hochrisiko-Pflichten): 600.000 €. Dazu DSGVO-Bußgeld bei Datenschutzverletzung: bis 400.000 €. Persönliche Haftung des GF nach §43 GmbHG: unbegrenzt. D&O-Versicherung: Deckung unklar — die meisten Policen wurden vor dem AI Act konzipiert.

Und ab dem 9. Dezember 2026 wird es noch ernster: Die neue EU-Produkthaftungsrichtlinie erfasst erstmals Software und KI-Systeme. Sie bringt eine Beweislastumkehr: Wer AI-Act-Pflichten verletzt hat — etwa fehlende Dokumentation oder keine menschliche Aufsicht —, dem wird vermutet, dass die KI den Schaden verursacht hat. Nicht der Geschädigte muss beweisen, dass die KI schuld war. Du musst beweisen, dass sie es nicht war. Diese Richtlinie ist eigenständig — sie ist von der Verschiebung der Hochrisiko-Pflichten nicht betroffen.

Nutzt Du bereits Hochrisiko-KI? Wahrscheinlich ja.

Anhang III des AI Act definiert acht Kategorien von Hochrisiko-KI. Die drei, die den Mittelstand am häufigsten treffen:

1. Personalauswahl und Recruiting. Sobald eine Software Kandidaten ranked, Matches berechnet oder Bewerbungen automatisiert vorsortiert. Das betrifft Personio mit KI-Add-ons, Workday, SmartRecruiters und viele branchenspezifische ATS-Systeme. Die Pflichten ab Dezember 2027: Konformitätsbewertung, Bias-Testing, Vier-Augen-Pflicht bei Ablehnungen, Logging über mindestens sechs Monate.

2. Kreditscoring und Bonitätsprüfung. Automatisierte Risikobewertungen in Debitorenmanagement, Versicherungen oder Finanzdienstleistungen.

3. Biometrische Identifikation. Gesichtserkennung am Werkstor, Fingerprint-Zeiterfassung mit KI-Auswertung.

Die Überraschung: Diese Funktionen stecken oft eingebettet in Software, die Du längst einsetzt. Dein HR-Tool „kann jetzt auch KI“ — und plötzlich bist Du Betreiber eines Hochrisiko-Systems. Dass die vollen Pflichten erst Ende 2027 greifen, ist kein Grund zu warten: Die Inventur und Klassifizierung dieser Systeme ist Arbeit, die Monate dauert. Wer im Dezember 2027 startet, ist zu spät.

Was nicht hochriskant ist — und das ist die Entwarnung, die in der Panik-Berichterstattung fehlt: ChatGPT für Marketing-Texte, Copilot in Excel, KI-Übersetzungstools, Bildgenerierung für Social Media. Die allermeisten KI-Anwendungen im Mittelstand fallen nicht unter Hochrisiko. Aber: Website-Chatbots und KI-generierte Inhalte fallen ab August 2026 unter die Transparenzpflicht — sie müssen als KI erkennbar sein.

Das real größte Risiko ist ein anderes: Shadow AI — die unkontrollierte KI-Nutzung durch Mitarbeiter. Der ChatGPT-Account Deines Vertriebsleiters, in den Kundendaten, Preislisten und Vertragsentwürfe fließen. Kein Verarbeitungsverzeichnis, kein Audit-Pfad, kein Auftragsverarbeitungsvertrag. Das ist kein hypothetisches Szenario — laut IBM 2025 involvieren 20 Prozent aller Datenpannen bereits Shadow AI.

Was Du in den nächsten 8 Wochen tun musst — ein 5-Schritte-Plan

Die Stichtage stehen. Du kannst sie nicht zurückdrehen. Aber Du kannst in acht Wochen eine solide Grundlage schaffen — für die Transparenzpflicht im August 2026 und die Hochrisiko-Pflichten 2027.

Checkliste

5 Schritte zur KI-Compliance

Schritt 1: KI-Inventur — sofort (Woche 1–2). Geh durch jede Abteilung und dokumentiere alle KI-Systeme. Nicht nur die offensichtlichen wie ChatGPT oder Copilot — auch eingebettete KI in bestehender Software. Dein HR-Tool, Dein CRM, Dein ERP. Frag konkret: „Welche Software nutzt Ihr, die Vorschläge macht, Ergebnisse ranked oder Entscheidungen vorbereitet?“ Erfasse: Zweck, Einsatzbereich, Nutzerkreis, Dateninput.

Schritt 2: Risikoklassifizierung (Woche 2–3). Prüfe jedes erfasste System gegen Anhang III des AI Act. Faustregel: Alles, was über Menschen entscheidet oder Entscheidungen vorbereitet — Recruiting, Scoring, Bewertungen — ist potenziell hochriskant. Alles, was Texte generiert, übersetzt oder zusammenfasst, ist es nicht — fällt aber ggf. unter die Transparenzpflicht.

Schritt 3: KI-Richtlinie aufsetzen (Woche 3–4). Eine schriftliche Policy mit klaren Regeln: Welche Tools sind freigegeben (Whitelist)? Welche Daten dürfen wohin? Wer prüft Ergebnisse vor der Weitergabe? Was passiert bei Verstößen? Kein 80-Seiten-Dokument — zwei bis drei Seiten reichen, wenn sie konkret sind.

Schritt 4: Schulungen dokumentieren (Woche 4–6). Artikel 4 gilt seit Februar 2025. Hole jetzt nach, was versäumt wurde. Kein vorgeschriebenes Format — intern, E-Learning, externer Workshop. Entscheidend: Dokumentation. Wer wurde wann zu welchem Inhalt geschult? Wer das nicht belegen kann, steht bei einer Prüfung ohne Nachweis da. Die KI-Kompetenz Deines Teams ist keine Kür — sie ist Pflicht.

Schritt 5: D&O-Versicherung prüfen (Woche 6–8). Ruf Deinen Versicherungsmakler an und stell eine Frage: „Deckt meine D&O-Police Haftungsansprüche aus Verstößen gegen den EU AI Act ab?“ Die Antwort wird in den meisten Fällen unbefriedigend sein. Kläre das jetzt — nicht wenn der erste Bescheid kommt.

Was das kostet? Realistisch zwischen 10.000 und 100.000 Euro, je nach Unternehmensgröße und Komplexität. Das klingt nach viel — bis Du es mit den Alternativen vergleichst: 600.000 Euro Bußgeld bei einem 20-Mio.-Unternehmen. Persönliche Haftung mit dem Privatvermögen. Reputationsschaden, der kein Preisschild hat.

Eine konkrete, abhakbare Version dieser Schritte — inklusive der aktuellen Fristen nach dem Digital-Omnibus-Kompromiss — findest Du in meiner Checkliste zum EU AI Act für den Mittelstand.

Wer die typischen Fehler bei der KI-Einführung vermeiden will, fängt mit der Governance an — nicht mit dem Tool.

Compliance ist kein Kostenfaktor — sondern Dein Wettbewerbsvorteil

Ich will diesen Artikel nicht mit Angst enden lassen. Denn die Wahrheit ist: Wer KI-Governance jetzt sauber aufbaut, gewinnt etwas, das sich mit keinem Bußgeld aufwiegen lässt — Vertrauen.

Im B2B-Geschäft wird KI-Compliance zum Differenzierungsmerkmal. Kunden fragen: „Wie geht ihr mit unseren Daten um, wenn ihr KI einsetzt?“ Wer eine dokumentierte Antwort hat, gewinnt den Auftrag. Wer keine hat, verliert ihn — an jemanden, der eine hat.

Der AI Act ist kein Bremsklotz. Er ist der Rahmen, der seriöse KI-Nutzung von Wildwest unterscheidet. Und im Mittelstand — wo persönliche Beziehungen und Verlässlichkeit über Jahrzehnte aufgebaut werden — ist Verlässlichkeit bei neuen Technologien kein Nice-to-have. Sie ist Geschäftsgrundlage.

Die Stichtage stehen: 2. August 2026 für Transparenzpflichten und den Start der Durchsetzung, 9. Dezember 2026 für die Beweislastumkehr der Produkthaftung, 2. Dezember 2027 für die vollen Hochrisiko-Pflichten. Die Verschiebung ist eine Atempause, kein Freibrief — die Verschiebungen aus dem Digital-Omnibus-Paket werden zudem bis zur formalen Veröffentlichung im EU-Amtsblatt noch finalisiert. Wer jetzt anfängt, ist im Vorteil. Wer wartet, haftet.

Nächster Schritt

KI-Governance ist Chefsache — lass uns reden

Du willst wissen, wo Dein Unternehmen beim AI Act steht — und was Du in den nächsten Wochen konkret tun musst? In meinen Workshops, in der Keynote KI für Entscheider und in Beratungen helfe ich Geschäftsführern im Mittelstand, KI-Governance aufzubauen, die nicht nur compliant ist, sondern Wettbewerbsvorteile schafft.

Beratungsgespräch vereinbaren

Dieser Beitrag ist eine praxisorientierte Einordnung, keine Rechtsberatung. Für die verbindliche Bewertung Deiner konkreten Systeme und Haftungsrisiken ziehe eine spezialisierte Kanzlei hinzu.

Quellen: EU AI Act Art. 4, 5, 50, 99 · Digital-Omnibus-Paket (Verschiebung Hochrisiko-Pflichten) · §43 GmbHG · §130 OWiG · Ifo-Institut KI-Monitor 2026 · IT-Boltwise KI-Governance-Report 2026 · IBM Cost of a Data Breach 2025 · Bundesnetzagentur KI-Aufsicht · EU-Produkthaftungsrichtlinie 2024/2853.

FAQ: Führung in der KI-Ära

Gilt der AI Act auch für kleine Unternehmen? +
Ja. Artikel 4 (KI-Kompetenzpflicht) gilt seit Februar 2025 unabhängig von der Unternehmensgröße. Auch ein 20-Mitarbeiter-Betrieb muss nachweisen können, dass Mitarbeiter mit KI-Zugang ausreichend geschult sind. Ab dem 2. August 2026 kommen die Transparenzpflichten (Artikel 50) hinzu. Die strengen Hochrisiko-Pflichten wurden über den Digital-Omnibus-Kompromiss auf den 2. Dezember 2027 verschoben — gelten dann aber für jedes Unternehmen, das solche Systeme einsetzt.
Was ändert sich konkret am 2. August 2026? +
Ab dem 2. August 2026 gelten die Transparenzpflichten nach Artikel 50 (Kennzeichnung von KI-Chatbots und KI-generierten Inhalten) und die nationale Durchsetzung startet. Die Hochrisiko-Pflichten aus Anhang III (etwa Recruiting-KI oder Kreditscoring) greifen dagegen erst ab dem 2. Dezember 2027. Bereits seit Februar 2025 in Kraft — und oft übersehen — ist die KI-Kompetenzpflicht nach Artikel 4.
Deckt meine D&O-Versicherung KI-Haftung ab? +
Wahrscheinlich nicht vollständig. Die meisten D&O-Policen wurden vor dem AI Act konzipiert. Eine eigenständige KI-Versicherung existiert als Produkt kaum. Prüfe Deine Police jetzt mit Deinem Versicherungsmakler — bevor Du sie brauchst.
Ist ChatGPT im Marketing Hochrisiko-KI? +
Nein. ChatGPT für Texte, Copilot in Excel oder KI-Übersetzungstools fallen nicht unter Hochrisiko. Aber: Ein KI-gestütztes Bewerbermanagement, automatisiertes Kreditscoring oder biometrische Systeme sind Hochrisiko nach Anhang III des AI Act. Die zugehörigen Pflichten greifen ab Dezember 2027 — die Bestandsaufnahme lohnt sich aber jetzt.
Was kostet KI-Compliance für einen Mittelständler? +
Realistisch zwischen 10.000 und 100.000 Euro — abhängig von Größe und Komplexität der eingesetzten KI-Systeme. Zum Vergleich: Ein einziges Bußgeld nach AI Act kann bei einem 20-Mio.-Unternehmen bis 600.000 Euro betragen. Die Mathematik ist eindeutig.
HP
Dr. Hubertus Porschen Keynote Speaker · KI-Experte · Unternehmer

Keynote Speaker, KI-Experte und Unternehmer mit mehr als 20 Jahren Erfahrung. Mit über 600 Vorträgen im deutschsprachigen Raum, als ehemaliger Bundesvorsitzender der Jungen Unternehmer und Aufsichtsrat einer Genossenschaftsbank verbindet er unternehmerisches Denken mit konkreter KI-Expertise.

Keynote Beratung