KI-Haftung: Deutsche Vorstände in der persönlichen Falle

Während die EU ihre spezielle KI-Haftungsrichtlinie kassierte, wächst für deutsche Manager die Gefahr persönlicher Verantwortung. Neue IT-Sicherheits- und Produkthaftungsregeln schaffen schärfere Pflichten denn je.

Seit dem Rückzug der geplanten KI-Haftungsrichtlinie (AILD) durch die EU-Kommission im Oktober 2025 atmen viele Vorstände auf. Ein folgenschwerer Irrtum, wie aktuelle Rechtsgutachten zeigen. Durch die Hintertür der NIS-2-Richtlinie und der überarbeiteten Produkthaftungsrichtlinie drohen Geschäftsführern heute konkretere persönliche Haftungsrisiken für KI-Fehler als jemals zuvor. Die vermeintliche Atempause entpuppt sich als Falle.

Die größte unmittelbare Bedrohung geht vom deutschen NIS-2-Umsetzungsgesetz aus, das seit Dezember 2025 in Kraft ist. Es verschärft das IT-Sicherheitsgesetz (BSIG) massiv. Paragraph 38 stellt klar: Mitglieder der Geschäftsleitung haften persönlich, wenn sie die Umsetzung und Überwachung von Cybersicherheitsmaßnahmen vernachlässigen.

Da KI-Systeme integraler Bestandteil der IT-Infrastruktur sind, gilt dies auch für deren Absicherung. Ein nicht ausreichend gegen Manipulation oder Datenlecks geschütztes KI-Modell verstößt gegen NIS-2. Juristen betonen: Diese Aufsichtspflicht ist nicht delegierbar. Vorstände können die Verantwortung nicht einfach an die IT-Abteilung weiterreichen. Kommt es zu einem Sicherheitsvorfall durch mangelnde Kontrolle, haften sie persönlich für den finanziellen Schaden.

Viele Vorstände unterschätzen die Konsequenzen der EU‑KI-Verordnung und die Pflicht zur technischen Dokumentation. Ein kostenloser Umsetzungsleitfaden erklärt praxisnah, welche Kennzeichnungspflichten, Risikoklassen und Nachweisdokumente jetzt erforderlich sind — plus konkrete Checklisten zur Umsetzung bis zu den Übergangsfristen. Der Leitfaden richtet sich an Unternehmen, Entwickler und Betreiber von KI-Systemen und hilft, Haftungs- und Bußgeldrisiken zu minimieren. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Produkthaftung: KI als „defektes“ Produkt

Parallel verschärft die überarbeitete EU-Produkthaftungsrichtlinie die zivilrechtlichen Risiken. Sie trat bereits Ende 2024 in Kraft und wird nun in nationales Recht umgesetzt. Die Neuerung: Software und KI-Systeme gelten explizit als „Produkte“.

Das bedeutet Gefährdungshaftung. Hersteller – oder Unternehmen, die eine KI wesentlich modifizieren – können für Schäden durch einen „Fehler“ in der KI haften, unabhängig von Verschulden. Der Entwurf für das neue deutschen Produkthaftungsgesetz sieht zudem eine Beweiserleichterung für Geschädigte vor. Bei komplexen KI-Systemen wird vermutet, dass ein Defekt vorlag, wenn der Nachweis extrem schwerfällt. Für Vorstände erhöht dies das Risiko, dass ihr Unternehmen haftet und intern Regress gegen sie geltend macht.

KI-Verordnung: Die Uhr tickt unerbittlich

Während die Haftung verschärft wird, läuft die Frist für die EU-KI-Verordnung. Seit August 2025 gelten bereits Regeln für Allgemeine KI-Modelle (GPAI), die technische Dokumentation und Urheberrechts-Compliance erfordern.

Die heiße Phase beginnt im August 2026. Dann treten die Vorschriften für „Hochrisiko-KI-Systeme“ voll in Kraft. Experten wie Deloitte warnen in aktuellen Webinaren: Vorstände, die jetzt nicht genug Ressourcen für die Compliance bis zu diesem Stichtag bereitstellen, handeln möglicherweise fahrlässig. Diese Fahrlässigkeit könnte in einem Haftungsfall zusätzlich gegen sie verwendet werden.

Was jetzt zu tun ist: Drei Schritte zur Absicherung

Das Zusammenspiel dieser Regeln erfordert sofortiges Handeln. Eine „Abwarte-Haltung“ ist riskant. Die Priorität für Geschäftsführer muss die Etablierung robuster KI-Governance-Rahmenwerke sein.

Dazu gehören:
* Dokumentierte Aufsicht über alle KI-Systeme, auch inoffizielle „Schatten-KI“.
* Regelmäßige Schulungen des Vorstands zu KI-Risiken – eine explizite NIS-2-Anforderung.
* Klare Protokolle für die menschliche Überprüfung von KI-Entscheidungen („Human-in-the-Loop“).

Rechtskanzleien wie White & Case prognostizieren für 2026 die ersten „Testfälle“ unter der NIS-2-Regelung in Deutschland. Behörden werden genau prüfen, wie „wesentliche Entitäten“ KI-Sicherheit in ihr Risikomanagement integriert haben.

Die Botschaft für Januar 2026 ist eindeutig: Die spezielle KI-Haftungsrichtlinie mag vom Tisch sein. Doch das Zeitalter der persönlichen Verantwortung für Künstliche Intelligenz hat gerade erst begonnen.

PS: Die Frist für Hochrisiko-KI und die damit verbundenen Nachweispflichten ist näher als viele denken. Wer jetzt interne Dokumentation, Risikobewertungen und Kennzeichnungen vorbereitet, verhält sich defensiv — und reduziert das persönliche Haftungsrisiko des Managements. Der kostenlose Leitfaden fasst die wichtigsten Pflichten, Übergangsfristen und Handlungsschritte zusammen. Kostenlosen KI-Leitfaden jetzt sichern