MMXXVI · Köln · Dr. Hubertus Porschen GmbH 4.88 · 377 Bewertungen
Keynote-Speaker Beratung Übersicht → Alle BeratungswegeKI-Beratung kleine UnternehmenKI-Audit Workshops Übersicht → KI Deep DiveKI in VerhandlungenKI-Workshop Inhouse Formate Übersicht → Alle Formate (Übersicht)WhitepaperBranchenWebinareC-Level CrashkursKI Skills Lab
BuchBlog
Über Übersicht → Über HubertusReferenzen & CasesVideosPresse & Speaker-ProfilÜber das Scheitern
Keynote anfragen → Allgemeiner Kontakt
Führung in der KI-Ära · 9 Min Lesezeit

KI-Haftung ist Chefsache: Warum der AI Act kein IT-Thema ist.

Ab dem 2. August 2026 haften Geschäftsführer persönlich für KI-Verstöße im Unternehmen. §43 GmbHG macht den AI Act zur Chefsache — wer keine KI-Inventur hat, hat keinen Schutz.

HP
Dr. Hubertus Porschen Keynote Speaker · KI · Mittelstand
KI-Haftung ist Chefsache: Warum der AI Act kein IT-Thema ist
Inhaltsübersicht
  1. Die Deadline, die die meisten Geschäftsführer nicht auf dem Schirm haben
  2. Warum KI-Haftung ein Geschäftsführer-Thema ist — nicht IT
  3. Die dreifache Bußgeld-Falle: AI Act + DSGVO + NIS2
  4. Nutzt Du bereits Hochrisiko-KI? Wahrscheinlich ja.
  5. Was Du in den nächsten 8 Wochen tun musst — ein 5-Schritte-Plan
  6. Compliance ist kein Kostenfaktor — sondern Dein Wettbewerbsvorteil

Dein HR-Team nutzt seit zwei Jahren ein Bewerbermanagement-Tool mit KI-gestütztem Ranking. Es sortiert Bewerbungen vor, schlägt die besten Kandidaten vor, filtert automatisch aus. Alle sind zufrieden — es spart Zeit, die Ergebnisse sind gut.

Was Dir niemand gesagt hat: Seit dem 2. August 2026 ist dieses Tool Hochrisiko-KI nach Anhang III des EU AI Act. Und Du haftest persönlich dafür. Nicht die IT-Abteilung. Nicht der HR-Leiter. Du — mit Deinem Privatvermögen.

54,5 %
der deutschen Unternehmen nutzen KI — aber nur 33 % haben formale Richtlinien
35 Mio. €
maximales Bußgeld nach EU AI Act — oder 7 % des weltweiten Jahresumsatzes
16 Mon.
ist die KI-Kompetenzpflicht bereits in Kraft — seit Februar 2025

Quellen: Ifo-Institut 2026 · IT-Boltwise KI-Governance-Report 2026 · EU AI Act Art. 4 und Art. 99.

Ich sage das nach über 600 Keynotes und in der täglichen Beratung mit Mittelständlern direkt: Die KI-Haftung von Geschäftsführern ist das Thema, das 2026 die meisten kalt erwischen wird. Nicht weil es neu ist — sondern weil es in der falschen Abteilung geparkt wurde.

Die Deadline, die die meisten Geschäftsführer nicht auf dem Schirm haben

Am 2. August 2026 werden die Hochrisiko-Pflichten des EU AI Act vollständig durchsetzbar. Ab diesem Tag kann die Bundesnetzagentur — als neue zentrale KI-Aufsichtsbehörde in Deutschland — Unternehmen prüfen, Bußgelder verhängen und im Extremfall KI-Systeme vom Markt nehmen.

Aber hier ist die Pointe, die in den meisten Berater-Präsentationen fehlt: Du bist wahrscheinlich schon non-compliant.

Seit dem 2. Februar 2025 — also seit über 16 Monaten — gilt Artikel 4 des AI Act: die KI-Kompetenzpflicht. Jedes Unternehmen, unabhängig von der Größe, muss sicherstellen, dass alle Mitarbeiter mit Zugang zu KI-Systemen „ausreichende KI-Kompetenz" besitzen. Kein vorgeschriebenes Curriculum, keine Mindestdauer — aber die organisatorische Verantwortung, es nachweisbar umzusetzen.

Hast Du das dokumentiert? Hast Du überhaupt gewusst, dass diese Pflicht existiert?

54,5 Prozent der deutschen Unternehmen nutzen bereits KI, aber nur 33 Prozent haben formale Richtlinien dafür. Die Lücke zwischen Nutzung und Governance ist nirgends größer als im Mittelstand. Und diese Lücke wird ab August 2026 richtig teuer.

Warum KI-Haftung ein Geschäftsführer-Thema ist — nicht IT

Hier liegt der Denkfehler, den ich in fast jedem Beratungsgespräch höre: „Das regelt unsere IT." Oder: „Dafür haben wir den Datenschutzbeauftragten."

Nein. Die KI-Haftung von Geschäftsführern ist keine delegierbare Aufgabe. Und das liegt nicht am AI Act — sondern am deutschen Gesellschaftsrecht.

§43 GmbHG verpflichtet Geschäftsführer zur „Sorgfalt eines ordentlichen Geschäftsmannes". Das umfasst ausdrücklich die ordnungsgemäße Organisation des Betriebs — insbesondere beim risikobehafteten Einsatz von Technologien. Der AI Act schafft jetzt eine regulatorische Pflicht zur KI-Governance. Wer sie nicht umsetzt, verletzt §43. Persönlich. Mit dem Privatvermögen.

§130 OWiG geht noch einen Schritt weiter: Bußgelder gegen den Geschäftsführer persönlich — auch ohne eigenen Vorsatz. Es reicht, dass keine ausreichenden Aufsichtsmaßnahmen bestanden haben. Organisationsverschulden nennt sich das.

Die Haftungskette ist kurz und direkt:

  1. AI Act verpflichtet zur KI-Governance
  2. Verstoß erzeugt regulatorische Haftung (Bußgeld bis 35 Mio. €)
  3. §43 GmbHG macht den Geschäftsführer persönlich haftbar
  4. §130 OWiG: Bußgeld gegen den GF, auch ohne eigenen Vorsatz

Und die Business Judgment Rule — der übliche Schutzschild — greift nur, wenn Du nachweisen kannst, dass Du eine informierte Entscheidung getroffen hast. Wer keine KI-Inventur gemacht hat, hat keine Informationsbasis. Und damit keinen Schutz.

Mehr dazu, warum Führung und KI untrennbar zusammengehören — und warum Delegation in die IT der falsche Reflex ist.

Die dreifache Bußgeld-Falle: AI Act + DSGVO + NIS2

Das Bußgeldsystem des AI Act ist dreistufig:

| Verstoß | Maximum | Umsatz-Anteil | |---|---|---| | Verbotene KI-Praktiken (Art. 5) | 35 Mio. € | 7 % | | Hochrisiko-Anforderungen (Art. 8–15) | 15 Mio. € | 3 % | | Falsche Angaben gegenüber Behörden | 7,5 Mio. € | 1 % |

Das allein ist schmerzhaft genug. Aber der eigentliche Hebel liegt in der Kumulation: Ein einziger KI-Vorfall kann drei Regulierungsregime gleichzeitig auslösen — AI Act (bis 7 %), DSGVO (bis 4 %) und NIS2 (bis 2 %). Theoretisch bis 13 Prozent des weltweiten Jahresumsatzes.

Rechenbeispiel

Was ein 20-Mio.-Unternehmen riskiert

Bußgeld nach AI Act (3 % bei Hochrisiko-Verstoß): 600.000 €. Dazu DSGVO-Bußgeld bei Datenschutzverletzung: bis 400.000 €. Persönliche Haftung des GF nach §43 GmbHG: unbegrenzt. D&O-Versicherung: Deckung unklar — die meisten Policen wurden vor dem AI Act konzipiert.

Und ab dem 9. Dezember 2026 wird es noch ernster: Die neue EU-Produkthaftungsrichtlinie erfasst erstmals Software und KI-Systeme. Sie bringt eine Beweislastumkehr: Wer AI-Act-Pflichten verletzt hat — etwa fehlende Dokumentation oder keine menschliche Aufsicht —, dem wird vermutet, dass die KI den Schaden verursacht hat. Nicht der Geschädigte muss beweisen, dass die KI schuld war. Du musst beweisen, dass sie es nicht war.

Nutzt Du bereits Hochrisiko-KI? Wahrscheinlich ja.

Anhang III des AI Act definiert acht Kategorien von Hochrisiko-KI. Die drei, die den Mittelstand am häufigsten treffen:

1. Personalauswahl und Recruiting. Sobald eine Software Kandidaten ranked, Matches berechnet oder Bewerbungen automatisiert vorsortiert. Das betrifft Personio mit KI-Add-ons, Workday, SmartRecruiters und viele branchenspezifische ATS-Systeme. Pflichten ab August: Konformitätsbewertung, Bias-Testing, Vier-Augen-Pflicht bei Ablehnungen, Logging über mindestens sechs Monate.

2. Kreditscoring und Bonitätsprüfung. Automatisierte Risikobewertungen in Debitorenmanagement, Versicherungen oder Finanzdienstleistungen.

3. Biometrische Identifikation. Gesichtserkennung am Werkstor, Fingerprint-Zeiterfassung mit KI-Auswertung.

Die Überraschung: Diese Funktionen stecken oft eingebettet in Software, die Du längst einsetzt. Dein HR-Tool „kann jetzt auch KI" — und plötzlich bist Du Betreiber eines Hochrisiko-Systems.

Was nicht hochriskant ist — und das ist die Entwarnung, die in der Panik-Berichterstattung fehlt: ChatGPT für Marketing-Texte, Copilot in Excel, KI-Übersetzungstools, Website-Chatbots ohne Entscheidungskompetenz, Bildgenerierung für Social Media. Die allermeisten KI-Anwendungen im Mittelstand fallen nicht unter Hochrisiko.

Das real größte Risiko ist ein anderes: Shadow AI — die unkontrollierte KI-Nutzung durch Mitarbeiter. Der ChatGPT-Account Deines Vertriebsleiters, in den Kundendaten, Preislisten und Vertragsentwürfe fließen. Kein Verarbeitungsverzeichnis, kein Audit-Pfad, kein Auftragsverarbeitungsvertrag. Das ist kein hypothetisches Szenario — laut IBM 2025 involvieren 20 Prozent aller Datenpannen bereits Shadow AI.

Was Du in den nächsten 8 Wochen tun musst — ein 5-Schritte-Plan

Die Deadline steht. Du kannst nicht zurückdrehen. Aber Du kannst in acht Wochen eine solide Grundlage schaffen.

Checkliste

5 Schritte zur KI-Compliance bis August 2026

Schritt 1: KI-Inventur — sofort (Woche 1–2). Geh durch jede Abteilung und dokumentiere alle KI-Systeme. Nicht nur die offensichtlichen wie ChatGPT oder Copilot — auch eingebettete KI in bestehender Software. Dein HR-Tool, Dein CRM, Dein ERP. Frag konkret: „Welche Software nutzt Ihr, die Vorschläge macht, Ergebnisse ranked oder Entscheidungen vorbereitet?" Erfasse: Zweck, Einsatzbereich, Nutzerkreis, Dateninput.

Schritt 2: Risikoklassifizierung (Woche 2–3). Prüfe jedes erfasste System gegen Anhang III des AI Act. Faustregel: Alles, was über Menschen entscheidet oder Entscheidungen vorbereitet — Recruiting, Scoring, Bewertungen — ist potenziell hochriskant. Alles, was Texte generiert, übersetzt oder zusammenfasst, ist es nicht.

Schritt 3: KI-Richtlinie aufsetzen (Woche 3–4). Eine schriftliche Policy mit klaren Regeln: Welche Tools sind freigegeben (Whitelist)? Welche Daten dürfen wohin? Wer prüft Ergebnisse vor der Weitergabe? Was passiert bei Verstößen? Kein 80-Seiten-Dokument — zwei bis drei Seiten reichen, wenn sie konkret sind.

Schritt 4: Schulungen dokumentieren (Woche 4–6). Artikel 4 gilt seit Februar 2025. Hole jetzt nach, was versäumt wurde. Kein vorgeschriebenes Format — intern, E-Learning, externer Workshop. Entscheidend: Dokumentation. Wer wurde wann zu welchem Inhalt geschult? Wer das nicht belegen kann, steht bei einer Prüfung ohne Nachweis da. Die KI-Kompetenz Deines Teams ist keine Kür — sie ist Pflicht.

Schritt 5: D&O-Versicherung prüfen (Woche 6–8). Ruf Deinen Versicherungsmakler an und stell eine Frage: „Deckt meine D&O-Police Haftungsansprüche aus Verstößen gegen den EU AI Act ab?" Die Antwort wird in den meisten Fällen unbefriedigend sein. Kläre das jetzt — nicht wenn der erste Bescheid kommt.

Was das kostet? Realistisch zwischen 10.000 und 100.000 Euro, je nach Unternehmensgröße und Komplexität. Das klingt nach viel — bis Du es mit den Alternativen vergleichst: 600.000 Euro Bußgeld bei einem 20-Mio.-Unternehmen. Persönliche Haftung mit dem Privatvermögen. Reputationsschaden, der kein Preisschild hat.

Wer die typischen Fehler bei der KI-Einführung vermeiden will, fängt mit der Governance an — nicht mit dem Tool.

Compliance ist kein Kostenfaktor — sondern Dein Wettbewerbsvorteil

Ich will diesen Artikel nicht mit Angst enden lassen. Denn die Wahrheit ist: Wer KI-Governance jetzt sauber aufbaut, gewinnt etwas, das sich mit keinem Bußgeld aufwiegen lässt — Vertrauen.

Im B2B-Geschäft wird KI-Compliance zum Differenzierungsmerkmal. Kunden fragen: „Wie geht ihr mit unseren Daten um, wenn ihr KI einsetzt?" Wer eine dokumentierte Antwort hat, gewinnt den Auftrag. Wer keine hat, verliert ihn — an jemanden, der eine hat.

Der AI Act ist kein Bremsklotz. Er ist der Rahmen, der seriöse KI-Nutzung von Wildwest unterscheidet. Und im Mittelstand — wo persönliche Beziehungen und Verlässlichkeit über Jahrzehnte aufgebaut werden — ist Verlässlichkeit bei neuen Technologien kein Nice-to-have. Sie ist Geschäftsgrundlage.

Die Deadlines stehen: August 2026 für Hochrisiko-KI, Dezember 2026 für die Beweislastumkehr, 2027 für die Grundrechte-Folgenabschätzung. Wer jetzt anfängt, ist im Vorteil. Wer wartet, haftet.

Nächster Schritt

KI-Governance ist Chefsache — lass uns reden

Du willst wissen, wo Dein Unternehmen beim AI Act steht — und was Du in den nächsten Wochen konkret tun musst? In meinen Workshops und Beratungen helfe ich Geschäftsführern im Mittelstand, KI-Governance aufzubauen, die nicht nur compliant ist, sondern Wettbewerbsvorteile schafft.

Beratungsgespräch vereinbaren

Quellen: EU AI Act Art. 4, 5, 26, 50, 99 · §43 GmbHG · §130 OWiG · Ifo-Institut KI-Monitor 2026 · IT-Boltwise KI-Governance-Report 2026 · IBM Cost of a Data Breach 2025 · Bundesnetzagentur KI-Aufsicht · KI-MIG Regierungsentwurf (Feb. 2026) · EU-Produkthaftungsrichtlinie 2024/2853.

FAQ: Führung in der KI-Ära

Gilt der AI Act auch für kleine Unternehmen? +
Ja. Artikel 4 (KI-Kompetenzpflicht) gilt seit Februar 2025 unabhängig von der Unternehmensgröße. Auch ein 20-Mitarbeiter-Betrieb muss nachweisen können, dass Mitarbeiter mit KI-Zugang ausreichend geschult sind. Die Hochrisiko-Pflichten ab August 2026 gelten ebenfalls für jedes Unternehmen, das entsprechende Systeme einsetzt — etwa ein KI-gestütztes Bewerbermanagement.
Was passiert, wenn ich bis August 2026 nichts unternehme? +
Bußgelder bis 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes. Dazu persönliche Haftung nach §43 GmbHG und §130 OWiG — auch ohne eigenen Vorsatz, wenn keine ausreichenden Organisationsmaßnahmen nachweisbar sind. Ab Dezember 2026 kommt die Beweislastumkehr durch die neue Produkthaftungsrichtlinie hinzu.
Deckt meine D&O-Versicherung KI-Haftung ab? +
Wahrscheinlich nicht vollständig. Die meisten D&O-Policen wurden vor dem AI Act konzipiert. Eine eigenständige KI-Versicherung existiert als Produkt kaum. Prüfe Deine Police jetzt mit Deinem Versicherungsmakler — bevor Du sie brauchst.
Ist ChatGPT im Marketing Hochrisiko-KI? +
Nein. ChatGPT für Texte, Copilot in Excel oder KI-Übersetzungstools fallen nicht unter Hochrisiko. Aber: Ein KI-gestütztes Bewerbermanagement, automatisiertes Kreditscoring oder biometrische Systeme sind Hochrisiko nach Anhang III des AI Act. Die Überraschung für viele: Diese Funktionen stecken oft eingebettet in bestehender Software.
Was kostet KI-Compliance für einen Mittelständler? +
Realistisch zwischen 10.000 und 100.000 Euro — abhängig von Größe und Komplexität der eingesetzten KI-Systeme. Zum Vergleich: Ein einziges Bußgeld nach AI Act kann bei einem 20-Mio.-Unternehmen bis 600.000 Euro betragen. Die Mathematik ist eindeutig.
HP
Dr. Hubertus Porschen Keynote Speaker · KI-Experte · Unternehmer

Keynote Speaker, KI-Experte und Unternehmer mit mehr als 20 Jahren Erfahrung. Mit über 600 Vorträgen im deutschsprachigen Raum, als ehemaliger Bundesvorsitzender der Jungen Unternehmer und Aufsichtsrat einer Genossenschaftsbank verbindet er unternehmerisches Denken mit konkreter KI-Expertise.

Keynote Beratung