Wissen · Regulatorik & Haftung

Haftet der Geschäftsführer persönlich, wenn Mitarbeiter KI ohne Regeln nutzen?

Stand: 3. Juli 2026

Kurzantwort

Ein persönliches Haftungsrisiko existiert, aber es entsteht nicht automatisch. Nach § 43 GmbHG hat der Geschäftsführer die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden und haftet der Gesellschaft für Schäden aus Pflichtverletzungen[1]. Die Rechtsprechung leitet daraus eine Organisationspflicht ab: Der Geschäftsführer muss das Unternehmen so aufstellen, dass Rechtsverstöße verhindert werden. Das OLG Nürnberg hat 2022 ausdrücklich bestätigt, dass daraus die Pflicht zur Einrichtung eines Compliance-Management-Systems folgen kann[2]. Auf KI übertragen heißt das: Riskant ist nicht die KI-Nutzung selbst, sondern der Zustand, sie weder zu kennen noch zu regeln, obwohl sie im Unternehmen stattfindet. Eine gefestigte höchstrichterliche Rechtsprechung speziell zu KI gibt es bislang nicht: Wer eine automatische Privathaftung behauptet, überzeichnet[7]. Der Maßstab ist nicht Perfektion, sondern nachweisbare, angemessene Organisation: wissen, wo KI genutzt wird, Regeln setzen, Kompetenz aufbauen, dokumentieren.

Die Rechtsgrundlage nüchtern

§ 43 Abs. 1 GmbHG verpflichtet Geschäftsführer, „in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden". Nach Abs. 2 haften Geschäftsführer, die ihre Obliegenheiten verletzen, der Gesellschaft solidarisch für den entstandenen Schaden[1]. Es handelt sich um eine Innenhaftung: Anspruchsinhaberin ist die Gesellschaft selbst, nicht ein außenstehender Dritter. Zur Sorgfaltspflicht gehört nach allgemeiner Auffassung die Legalitätspflicht: Der Geschäftsführer muss dafür sorgen, dass sich die Gesellschaft rechtmäßig verhält.

Von der Legalitätspflicht zur Organisationspflicht

Die Rechtsprechung hat diese Pflicht in zwei Schritten konkretisiert. Das Landgericht München I entschied 2013 im sogenannten Neubürger-Verfahren, dass ein Vorstand seiner Organisationspflicht nur genügt, wenn er eine auf Schadensprävention und Risikokontrolle angelegte, funktionierende Compliance-Organisation einrichtet[3]. Das Urteil betraf eine Aktiengesellschaft; das OLG Nürnberg übertrug den Gedanken 2022 auf die GmbH und stellte fest, dass aus der allgemeinen Legalitätspflicht der Geschäftsführung die Verpflichtung folgt, ein Compliance-Management-System einzurichten, also organisatorische Vorkehrungen, die Rechtsverstöße aus dem Unternehmen heraus verhindern[2]. Umfang und Tiefe richten sich nach Größe, Branche und Risikoprofil des Unternehmens[2].

Der Kern beider Entscheidungen: Es genügt nicht, keine Rechtsverstöße zu begehen. Der Geschäftsführer muss das Unternehmen so organisieren, dass Verstöße auch dort verhindert werden, wo er nicht selbst handelt.

Was KI an dieser Lage neu macht

Unkontrollierte KI-Nutzung („Schatten-KI") ist ein Organisationsthema im Sinne dieser Rechtsprechung: Sie findet flächig statt, ist ohne aktive Erfassung unsichtbar, und sie berührt Rechtspflichten, von der KI‑Kompetenzpflicht aus Artikel 4 der KI‑Verordnung über Datenschutz bis zum Schutz von Geschäftsgeheimnissen[5]. In der juristischen Literatur wird daraus gefolgert, dass ein Geschäftsführer, der von KI-Nutzung im Unternehmen weiß oder wissen müsste und gleichwohl weder Richtlinien noch Schulungen noch Prozesse etabliert, ein Organisationsverschulden riskiert[8]. Das ist eine Literaturmeinung, noch keine gefestigte Rechtsprechung, aber sie liegt auf der Linie von Neubürger und OLG Nürnberg.

Hinzu kommt: Der wahrscheinlichste Schaden aus ungeregelter KI-Nutzung ist nicht das Bußgeld, sondern operativ: abgeflossene Geschäftsgeheimnisse, unkontrollierte Kosten, übernommene Falschinformationen. Genau solche Schäden der Gesellschaft sind es, für die § 43 Abs. 2 GmbHG die Haftungsfrage stellt[1].

Ehrliche Dimensionierung: Was gesichert ist und was nicht

Gesichert ist die Organisationspflicht als solche[2][3]. Nicht gesichert ist, wie Gerichte sie im KI-Kontext im Einzelnen anwenden werden: Eine höchstrichterliche Entscheidung speziell zur Geschäftsführerhaftung wegen ungeregelter KI-Nutzung ist (soweit ersichtlich, Stand Juli 2026) nicht ergangen[7]. Seriös ist deshalb weder die Aussage „Geschäftsführer haften automatisch mit dem Privatvermögen" noch die Entwarnung „KI ist haftungsrechtlich irrelevant".

Eine bestehende Rechtsprechungslinie ist allerdings unmittelbar übertragbar: Nach der ISION-Entscheidung des Bundesgerichtshofs kann sich ein Organ nur dann auf fachlichen Rat verlassen und damit entlasten, wenn der Rat von einem unabhängigen, fachlich qualifizierten Berater stammt, dieser umfassend informiert wurde und das Organ die Auskunft einer Plausibilitätskontrolle unterzieht[4]. Die Auskunft eines KI-Chatbots erfüllt diese Kriterien nicht ohne Weiteres: Sie ist keine Auskunft eines qualifizierten Beraters im Sinne dieser Rechtsprechung, und die Plausibilitätskontrolle bleibt beim Geschäftsführer[4][9]. Wer Geschäftsentscheidungen auf ungeprüfte KI-Ausgaben stützt, kann sich also gerade nicht auf sie berufen.

Was den Geschäftsführer konkret schützt

Aus der Organisationspflicht folgt spiegelbildlich, was schützt: erstens Kenntnis: eine Erfassung, wo im Unternehmen KI-Systeme tatsächlich genutzt werden; zweitens Regeln: welche Werkzeuge für welche Daten und Zwecke zulässig sind; drittens Kompetenz: rollenbezogene Maßnahmen, wie sie Artikel 4 der KI‑Verordnung ohnehin verlangt[5][6]; viertens Nachweis: die Dokumentation dieser Schritte. Maßstab ist die Angemessenheit im Verhältnis zu Größe und Risikoprofil des Unternehmens[2]. Ein Geschäftsführer, der diese vier Punkte nachweisbar erledigt hat, hat seine Organisationspflicht im Kern erfüllt und damit der persönlichen Haftungsfrage ihre Grundlage entzogen.

Welche Kompetenzmaßnahmen Artikel 4 im Einzelnen verlangt und was der KI‑Omnibus daran ändert, behandelt der Beitrag „Was verlangt Artikel 4 EU AI Act von Unternehmen, und was ändert sich im August 2026?".

Häufige Fragen (FAQ)

Haftet der Geschäftsführer auch, wenn er von der KI-Nutzung nichts wusste?

Unwissenheit entlastet nicht automatisch. Die Organisationspflicht verlangt gerade, sich Kenntnis zu verschaffen und Strukturen einzurichten, die Verstöße verhindern[2][3]. Wer nicht weiß, was im eigenen Haus genutzt wird, hat die Pflicht nicht erfüllt, sondern ihren ersten Schritt ausgelassen.

Reicht ein KI-Verbot per Rundmail?

Ein bloßes Verbot ohne Kontrolle und ohne praktikable Alternative ist keine funktionierende Compliance-Organisation im Sinne der Rechtsprechung, die auf Wirksamkeit abstellt[3]. Es verschiebt die Nutzung erfahrungsgemäß nur ins Verborgene.

Was ist der Unterschied zwischen Innen- und Außenhaftung?

§ 43 Abs. 2 GmbHG regelt die Innenhaftung: Die Gesellschaft selbst kann den Geschäftsführer auf Ersatz ihres Schadens in Anspruch nehmen[1]. Eine direkte Haftung gegenüber außenstehenden Dritten ist die Ausnahme und an engere Voraussetzungen geknüpft.

Schützt eine D&O-Versicherung?

Das hängt vom konkreten Vertrag ab. D&O-Policen decken typischerweise auch Innenhaftungsansprüche, enthalten aber Ausschlüsse; eine pauschale Aussage ist nicht möglich. Die Versicherung ersetzt zudem nicht die Organisationspflicht, sie reguliert allenfalls deren Verletzungsfolgen.

Kann ich mich entlasten, wenn ich mich auf KI-Auskünfte verlassen habe?

Nach den ISION-Grundsätzen des BGH entlastet nur der Rat eines unabhängigen, fachlich qualifizierten und umfassend informierten Beraters nach eigener Plausibilitätsprüfung[4]. Ungeprüfte KI-Ausgaben erfüllen diese Anforderungen nicht ohne Weiteres[9].

Quellen

  1. § 43 GmbHG, amtlicher Normtext
  2. OLG Nürnberg, Urteil vom 30.03.2022 – 12 U 1520/19, Nachweise und Volltextverweise
  3. LG München I, Urteil vom 10.12.2013 – 5 HK O 1387/10 („Neubürger"), Besprechung
  4. BGH, Urteil vom 20.09.2011 – II ZR 234/09 („ISION"), Nachweise und Volltextverweise
  5. Verordnung (EU) 2024/1689 (KI‑Verordnung), Art. 4, EUR-Lex
  6. Europäische Kommission, „AI Literacy – Questions & Answers"
  7. Rechtsprechungsübersichten KI-Recht (laufend gepflegt, Abruf 03.07.2026): beyer.law und ki-kanzlei.de
  8. Literaturstimmen zum Organisationsverschulden bei KI-Einsatz: PMPG und CORTA
  9. Zur Anwendung der ISION-Grundsätze auf KI-Auskünfte: Pöppel Rechtsanwälte

Dieser Beitrag ist allgemeine Rechtsinformation, keine Rechtsberatung im Einzelfall.

Dieser Beitrag wurde KI-gestützt erstellt und vor Veröffentlichung inhaltlich geprüft und verantwortet von Stephan Flegler. Stand: 3. Juli 2026.

Der Einstieg

In wenigen Minuten wissen, wo Ihr Unternehmen steht.

Der Governance-Scan ordnet Ihren KI‑Governance-Reifegrad in 15 Fragen ein. Ergebnis mit Reifegradstufe und Top-3-Handlungsfeldern per E-Mail.

Governance-Scan starten