Haftung, KI-Einsatz

Haftung fĂŒr KI-Einsatz: GeschĂ€ftsfĂŒhrer haften persönlich ab Juli

03.07.2026 - 18:29:06 | boerse-global.de

VerschĂ€rfte Regeln machen Unternehmensleitungen persönlich haftbar. Bußgelder bis zu 35 Millionen Euro und Verlust des Versicherungsschutzes drohen.

EU AI Act: Neue Haftungsrisiken fĂŒr FĂŒhrungskrĂ€fte ab Juli 2026
Haftung - Ein besorgter GeschĂ€ftsfĂŒhrer in einem modernen BĂŒro betrachtet einen Bildschirm mit abstrakten Cybersicherheitsbedrohungen und Datenströmen. 03.07.2026 - Bild: ĂŒber boerse-global.de

Seit dem 1. Juli 2026 greifen verschĂ€rfte Haftungsregeln fĂŒr Unternehmensleitungen. Der EU AI Act macht FĂŒhrungskrĂ€fte persönlich verantwortlich, wenn beim Einsatz KĂŒnstlicher Intelligenz etwas schieflĂ€uft.

Die rechtlichen Grundlagen dafĂŒr sind im GmbH-Gesetz, dem Aktiengesetz und der NIS-2-Richtlinie verankert. GeschĂ€ftsfĂŒhrer mĂŒssen kĂŒnftig nicht nur fĂŒr Cybersicherheit geradestehen – sie haften zunehmend mit ihrem Privatvermögen.

Bis zu 35 Millionen Euro Bußgeld

Die neuen Strafen haben es in sich. Bei VerstĂ¶ĂŸen gegen die Sicherheitsvorgaben drohen Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. In besonders schweren FĂ€llen können es sogar 35 Millionen Euro oder sieben Prozent des Umsatzes werden.

Eine zentrale Pflicht: GeschĂ€ftsfĂŒhrer mĂŒssen die KI-Kompetenz ihrer Mitarbeiter sicherstellen. Diese Anforderung gilt bereits seit Februar 2025 – doch nur rund 38 Prozent der Organisationen erfĂŒllen sie bislang vollstĂ€ndig.

FĂŒr Hochrisiko-KI-Systeme gibt es unterschiedliche Fristen. Stand-alone-Lösungen mĂŒssen bis zum 2. Dezember 2027 die Anforderungen erfĂŒllen, regulierte Produkte haben bis zum 2. August 2028 Zeit.

Anzeige

Die neuen EU-Vorgaben fordern von Unternehmen klare Strukturen bei Risikoklassen und Dokumentationspflichten. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act hilft Ihrer Rechts- und IT-Abteilung, alle Fristen und Pflichten kompakt zu verstehen. EU AI Act in 5 Schritten verstehen

NIS-2: Viele Unternehmen noch nicht registriert

Seit Dezember 2025 verschĂ€rft die NIS-2-Richtlinie die Anforderungen an die Cyber-Resilienz. Rund 30.000 Unternehmen und Behörden in Deutschland sind betroffen – besonders Betriebe ab 50 Mitarbeitern und einem Jahresumsatz von ĂŒber 10 Millionen Euro.

Die Registrierungsfrist beim BSI fĂŒr das Gesundheitswesen endete bereits am 6. MĂ€rz 2026. Doch erst rund 11.000 der betroffenen Organisationen haben sich registriert.

„Eine bloße Registrierung reicht nicht aus, um die operative HandlungsfĂ€higkeit sicherzustellen", warnt Christoph Neukam von Axians. Viele Unternehmen unterschĂ€tzen die strikten Meldepflichten: Bei SicherheitsvorfĂ€llen sind Meldungen innerhalb von 24 Stunden, 72 Stunden und nach einem Monat erforderlich.

Die Kosten fĂŒr den Gesundheitssektor sind enorm: Die initialen MehraufwĂ€nde werden auf rund 1,5 Milliarden Euro geschĂ€tzt, die jĂ€hrlichen Folgekosten auf etwa 760 Millionen Euro.

Urteil des OLG Köln: Versicherungsschutz in Gefahr

Ein Urteil des Oberlandesgerichts Köln vom 10. Februar 2026 (Az. 9 U 49/25) zeigt die Risiken fĂŒr FĂŒhrungskrĂ€fte. Falsche Angaben beim Abschluss einer D&O-Versicherung können zur rĂŒckwirkenden Anfechtung des Vertrages fĂŒhren. Dann verlieren alle VorstĂ€nde und GeschĂ€ftsfĂŒhrer den Versicherungsschutz – Severability-Klauseln wurden in diesem Fall als unwirksam erklĂ€rt.

Die Rechnung ist einfach: Bei IT-SicherheitsmĂ€ngeln und einem Ransomware-Angriff haften GeschĂ€ftsfĂŒhrer nicht nur rechtlich, sondern im Extremfall auch ohne privaten Versicherungsschutz. Ein Angriff auf ein Unternehmen mit 200 Mitarbeitern kann SchĂ€den von etwa 1,2 Millionen Euro verursachen. Dem stehen Investitionskosten von 150.000 bis 250.000 Euro fĂŒr ein zertifiziertes Informationssicherheits-Managementsystem (ISMS) ĂŒber drei Jahre gegenĂŒber.

Anzeige

Da GeschĂ€ftsfĂŒhrer zunehmend persönlich fĂŒr IT-SicherheitsmĂ€ngel haften, wird eine proaktive Absicherung zur Existenzfrage. Ein aktueller Experten-Report klĂ€rt auf, welche rechtlichen Pflichten und neuen Cyberrisiken Unternehmer jetzt kennen mĂŒssen, um ihr Privatvermögen zu schĂŒtzen. Gratis-Report zu neuen Cyberrisiken herunterladen

Neue Meldepflichten ab September

Die regulatorische Landschaft wird sich weiter verdichten. Ab dem 11. September 2026 greift die Meldepflicht fĂŒr aktiv ausgenutzte Schwachstellen gemĂ€ĂŸ dem Cyber Resilience Act (CRA). Die vollstĂ€ndigen Sicherheitsanforderungen mĂŒssen Unternehmen bis zum 11. Dezember 2027 umsetzen – inklusive Software-StĂŒckliste (SBOM) und kontinuierlichem Schwachstellenmanagement.

Die Dringlichkeit zeigt sich in der Entwicklung spezialisierter KI-Modelle wie Claude Mythos oder GPT-5.5-Cyber. Diese Systeme können komplette Angriffsketten eigenstĂ€ndig planen und ausfĂŒhren. Die Zeitfenster zwischen Entdeckung einer LĂŒcke und deren Ausnutzung schrumpfen rasant.

Experten raten daher zu verstĂ€rkten Detektions- und Reaktionsmechanismen sowie zu einem umfassenden Risikomanagement in der Lieferkette. Wer jetzt nicht handelt, spielt mit dem Feuer – und seinem Privatvermögen.

de | wirtschaft | 69681574 |