Wie soll Ihr nächstes Level aussehen?

Wir wissen, welche Schritte gegangen werden müssen. Und stehen Ihnen bei jedem einzelnen zur Seite.

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.

  • Es gelten die LPJ Datenschutzbestimmungen.

LPJ News Kontakt
Mann schaut auf Bildschirm mit einem KI-Dashboard.

Neue Anforderungen an Vorstand und Aufsichtsrat unter dem EU AI Act

Künstliche Intelligenz ist längst in der Unternehmenspraxis angekommen. In vielen Aktiengesellschaften wird sie bereits heute zur Entscheidungsunterstützung, Risikoanalyse, Prozessautomatisierung oder sogar zur Generierung von Vertragsinhalten eingesetzt. Parallel dazu hat der europäische Gesetzgeber mit dem EU AI Act erstmals einen umfassenden, horizontalen Rechtsrahmen geschaffen, der die Entwicklung, Bereitstellung und Nutzung von KI-Systemen systematisch reguliert.

Diese Entwicklung markiert einen Perspektivwechsel: KI ist nicht länger lediglich ein technisches Hilfsmittel, sondern ein sozio-technisches System mit eigenständiger Risikodynamik. Für die Unternehmensorganisation bedeutet dies, dass der Einsatz von KI nicht mehr isoliert als IT-Thema behandelt werden kann. Vielmehr rückt er in den Kernbereich ordnungsgemäßer Unternehmensleitung und -überwachung.

Der vorliegende Beitrag zeigt, welche Anforderungen sich daraus für Vorstand und Aufsichtsrat ergeben, welche haftungsrechtlichen Risiken bestehen und wie eine tragfähige KI-Governance in der Praxis ausgestaltet werden kann.

Checkliste zu KI-Compliance und KI-Governance im Aktienrecht

Rechtsrahmen: KI-Regulierung als Mehrebenensystem

Der Rechtsrahmen für KI-Compliance ist durch ein komplexes Zusammenspiel verschiedener Regelungsebenen geprägt. Im Zentrum steht der EU AI Act, der ein risikobasiertes System etabliert und je nach Gefährdungspotenzial abgestufte Anforderungen an Anbieter und Nutzer von KI-Systemen vorsieht. Insbesondere für Hochrisiko-Systeme gelten weitreichende Pflichten, etwa im Hinblick auf Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht und Dokumentation.

Diese Vorgaben stehen jedoch nicht isoliert, sondern greifen in bestehende Regulierungsregime ein. Besonders hervorzuheben ist die Verzahnung mit der DSGVO, die etwa bei der Verarbeitung personenbezogener Daten und automatisierten Entscheidungen eine zentrale Rolle spielt. Hinzu treten weitere unionsrechtliche Regelwerke, etwa im Bereich der Cybersicherheit, der Plattformregulierung oder des Datenzugangs, die ergänzende Anforderungen begründen.

Für Unternehmen entsteht daraus die Herausforderung, KI-Compliance nicht als singuläres Projekt, sondern als integralen Bestandteil eines umfassenden Compliance-Systems zu begreifen. Fragmentierte Einzelmaßnahmen genügen regelmäßig nicht; erforderlich ist vielmehr eine kohärente Gesamtstruktur.

KI-Einsatz als originäre Vorstandsaufgabe

Nach § 76 Abs. 1 AktG leitet der Vorstand die Gesellschaft in eigener Verantwortung. Daraus folgt die Pflicht, eine angemessene Organisation sicherzustellen und insbesondere ein wirksames Risikomanagement zu etablieren sowie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters walten zu lassen.

Der Einsatz von KI-Systemen, die geschäftsrelevante Entscheidungen beeinflussen, fällt unmittelbar in diesen Verantwortungsbereich. Eine Einordnung als rein technisches Detail, das vollständig delegiert werden kann, ist mit diesen Pflichten nicht vereinbar. Vielmehr handelt es sich um eine strukturelle Organisationsentscheidung mit potenziell erheblichen rechtlichen und wirtschaftlichen Auswirkungen.

Der Vorstand ist daher gehalten, klare und belastbare Strukturen für den KI-Einsatz zu schaffen. Dazu gehört insbesondere:

Pfeil Icon Terracotta_LPJ die Festlegung von Verantwortlichkeiten,

Pfeil Icon Terracotta_LPJ die Definition von Einsatzbereichen sowie

Pfeil Icon Terracotta_LPJ die Implementierung von Verfahren zur Risikoidentifikation, -bewertung und -steuerung.

Entscheidend ist, dass der Einsatz von KI-Systemen nicht nur technisch funktioniert, sondern auch rechtlich beherrscht wird.

Ein unzureichendes KI-Governance-Konzept kann im Schadensfall haftungsrechtliche Konsequenzen nach sich ziehen. Dies gilt insbesondere dann, wenn Fehlentscheidungen auf unzureichend geprüfte KI-Modelle zurückzuführen sind, Compliance-Vorgaben verletzt werden oder diskriminierende bzw. rechtswidrige Ergebnisse generiert werden.

Überwachungspflichten des Aufsichtsrats

Die Verantwortung für eine angemessene KI-Governance beschränkt sich nicht auf den Vorstand. Auch der Aufsichtsrat ist im Rahmen seiner Überwachungspflicht gefordert, sich mit dem Einsatz von KI-Systemen auseinanderzusetzen.

Dabei geht es nicht darum, dass Aufsichtsratsmitglieder selbst zu technischen Experten werden. Vielmehr besteht die Pflicht, sich ein hinreichendes Verständnis der relevanten Risiken und Steuerungsmechanismen zu verschaffen. Der Aufsichtsrat muss in der Lage sein zu beurteilen, ob der Vorstand den Einsatz von KI sachgerecht organisiert hat und ob ein angemessenes Compliance- und Kontrollsystem besteht.

In der Praxis bedeutet dies insbesondere, dass sich der Aufsichtsrat regelmäßig über die Einsatzbereiche von KI, die zugrunde liegenden Entscheidungsprozesse sowie die implementierten Kontrollmechanismen berichten lassen sollte. Gerade im Prüfungsausschuss kann die Auseinandersetzung mit KI-Risiken eine zunehmend wichtige Rolle einnehmen.

KI und die Business Judgement Rule

Besondere Aufmerksamkeit verdient die Einordnung KI-gestützter Entscheidungen im Lichte der Business Judgement Rule (§ 93 Abs. 1 Satz 2 AktG). Danach handelt ein Vorstandsmitglied nicht pflichtwidrig, wenn es bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Informationen zum Wohl der Gesellschaft zu handeln.

KI-Systeme können diese Informationsgrundlage erheblich erweitern. Sie ermöglichen die Auswertung großer Datenmengen und die Generierung komplexer Prognosen. Gleichzeitig besteht jedoch die Gefahr, dass Entscheidungen zu stark auf automatisierte Analysen gestützt werden, ohne deren Grenzen ausreichend zu reflektieren.

Die Nutzung von KI entbindet den Vorstand nicht von der Pflicht zur eigenständigen Bewertung. Vielmehr muss sichergestellt werden, dass die Funktionsweise, die Datengrundlage und die Aussagekraft der eingesetzten Systeme zumindest in ihren Grundzügen verstanden werden. Blindes Vertrauen in algorithmische Ergebnisse genügt den Anforderungen an eine ordnungsgemäße Entscheidungsfindung nicht.

In diesem Zusammenhang gewinnt das Konzept des „human in the loop“ besondere Bedeutung. Die letztliche Entscheidungsverantwortung verbleibt beim Menschen; KI kann unterstützen, aber nicht substituieren.

KI-Compliance-Strukturen in der Unternehmenspraxis

Eine wirksame KI-Governance setzt geeignete organisatorische Strukturen voraus:

1. Ausgangspunkt ist eine klare Verankerung im bestehenden Compliance-System des Unternehmens. KI-Compliance darf nicht isoliert neben anderen Compliance-Bereichen stehen, sondern muss in bestehende Prozesse integriert werden.

2. Zentral ist die Einrichtung eines strukturierten Governance-Frameworks, das Verantwortlichkeiten, Entscheidungsprozesse und Kontrollmechanismen definiert. In größeren Organisationen bietet sich die Etablierung spezialisierter Funktionen an, etwa eines AI-Compliance Officers oder eines interdisziplinären KI-Gremiums, das rechtliche, technische und operative Perspektiven zusammenführt.

3. Ein wesentliches Element bildet die fortlaufende Durchführung von Risikoanalysen. KI-Systeme sind dynamisch und können sich durch neue Daten oder veränderte Einsatzkontexte weiterentwickeln. Entsprechend müssen auch die zugrunde liegenden Risikobewertungen regelmäßig überprüft und angepasst werden.

4. Hinzu treten umfassende Dokumentationsanforderungen. Unternehmen müssen nachvollziehbar festhalten, wie KI-Systeme entwickelt, trainiert und eingesetzt werden. Audit-Trails und technische Dokumentationen sind nicht nur aus regulatorischer Sicht relevant, sondern auch im Hinblick auf mögliche Haftungsfragen von zentraler Bedeutung.

5. Schließlich spielen Kontroll- und Überwachungsmechanismen eine entscheidende Rolle. Dazu gehören etwa Validierungsprozesse, Vier-Augen-Prinzipien bei kritischen Anwendungen sowie technische Sicherungsmaßnahmen, die Fehlfunktionen erkennen und begrenzen können.

Besondere Herausforderungen beim Einsatz von KI-Agenten

Eine besondere Dynamik entfaltet sich beim Einsatz sogenannter KI-Agenten. Dabei handelt es sich um Systeme, die nicht lediglich auf Eingaben reagieren, sondern eigenständig Daten analysieren, Entscheidungen treffen und Handlungen ausführen können. Ihr Einsatz nimmt insbesondere in cloudbasierten und automatisierten Unternehmensumgebungen zu.

Dogmatisch bleiben solche Systeme auch weiterhin technische Werkzeuge. Gleichwohl führt ihr zunehmender Autonomiegrad zu einer faktischen Verschiebung von Entscheidungsprozessen, die rechtlich beherrscht werden muss.

Je selbstständiger ein KI-Agent agiert, desto höher sind die Anforderungen an Kontrolle, Überwachung und Dokumentation. Unternehmen müssen sicherstellen, dass geeignete Eingriffs- und Steuerungsmöglichkeiten bestehen, etwa durch Freigabeprozesse, Monitoring-Systeme oder Notfallmechanismen wie einen „Kill Switch“.

Hinzu treten spezifische Risiken. Verzerrungen in den Trainingsdaten können zu diskriminierenden Ergebnissen führen. Intransparente Entscheidungsprozesse erschweren die Nachvollziehbarkeit und können Beweisprobleme im Haftungsfall verursachen. Fehlinterpretationen („Halluzinationen“) können zu erheblichen wirtschaftlichen Schäden führen.

Diese Risiken begründen gesteigerte Organisationspflichten. Unternehmen müssen geeignete technische und organisatorische Maßnahmen implementieren, um die Funktionsfähigkeit und Rechtmäßigkeit der eingesetzten Systeme sicherzustellen. Die Vorgaben des EU AI Act konkretisieren insoweit die bestehenden Sorgfaltsanforderungen und können als Maßstab für die Beurteilung von Pflichtverletzungen herangezogen werden.

Integration in bestehende Compliance-Strukturen

KI-Compliance ist kein isolierter Regelungsbereich, sondern Teil der Gesamt-Compliance eines Unternehmens. Viele der erforderlichen Mechanismen sind aus anderen Bereichen bekannt, etwa aus dem Datenschutzrecht, dem Kartellrecht oder der IT-Sicherheit.

Die Integration von KI-Compliance in bestehende Systeme bietet erhebliche Vorteile. Sie vermeidet Doppelstrukturen, nutzt vorhandene Prozesse und erleichtert die praktische Umsetzung. Insbesondere Schulungsprogramme, interne Kontrollsysteme und Berichtslinien können häufig angepasst und erweitert werden, anstatt vollständig neu geschaffen zu werden.

Von besonderer Bedeutung ist die Verzahnung mit der IT- und Informationssicherheit. KI-Systeme sind regelmäßig auf große Datenmengen angewiesen und in komplexe IT-Infrastrukturen eingebettet. Entsprechend müssen auch sicherheitsrechtliche Anforderungen berücksichtigt werden.

Handlungsempfehlungen für die Praxis

Für die Unternehmenspraxis lässt sich festhalten, dass der Aufbau eines tragfähigen KI-Compliance-Frameworks einen strukturierten und proaktiven Ansatz erfordert.

Pfeil Icon Terracotta_LPJ  Ausgangspunkt sollte eine umfassende Bestandsaufnahme der eingesetzten oder geplanten KI-Systeme sein. Darauf aufbauend sind Risiken zu identifizieren und geeignete Governance-Strukturen zu entwickeln.

Pfeil Icon Terracotta_LPJ Von zentraler Bedeutung ist die Implementierung klarer Richtlinien, die den Umgang mit KI im Unternehmen verbindlich regeln. Diese sollten insbesondere Vorgaben zur Entwicklung, Auswahl und Nutzung von KI-Systemen enthalten sowie Verfahren für den Umgang mit Vorfällen definieren.

Pfeil Icon Terracotta_LPJ Ergänzend ist die Sensibilisierung der Mitarbeitenden entscheidend. Da KI-Systeme in unterschiedlichen Unternehmensbereichen eingesetzt werden, müssen auch Nicht-Techniker ein grundlegendes Verständnis für die damit verbundenen Risiken entwickeln.

Pfeil Icon Terracotta_LPJ Schließlich sollten Unternehmen prüfen, inwieweit sie sich an bestehenden technischen Standards und Zertifizierungen orientieren können. Diese bieten nicht nur praktische Orientierung, sondern können auch zur Erhöhung der Rechtssicherheit beitragen.

Fazit und Ausblick

Der Einsatz von KI ist kein rechtsfreier Raum. Mit dem EU AI Act wird ein verbindlicher Ordnungsrahmen geschaffen, der erhebliche Auswirkungen auf die Unternehmensorganisation hat.

Für Vorstand und Aufsichtsrat bedeutet dies, dass KI-Governance zu einem festen Bestandteil ordnungsgemäßer Unternehmensführung wird. Die damit verbundenen Anforderungen betreffen nicht nur technische Fragen, sondern insbesondere die Gestaltung von Verantwortungsstrukturen, Kontrollmechanismen und Entscheidungsprozessen.

Unternehmen sind gut beraten, den Einsatz von KI frühzeitig strukturiert, dokumentiert und rechtlich abgesichert zu gestalten. Wer KI nutzt, muss sie auch beherrschen. Eine wirksame KI-Governance ist damit nicht nur eine regulatorische Notwendigkeit, sondern auch ein zentraler Baustein nachhaltiger und verantwortungsvoller Unternehmensführung.

Sie setzen KI bereits ein oder planen den nächsten Schritt? Dann ist jetzt der richtige Zeitpunkt, Governance, Haftung und Prozesse rechtssicher aufzusetzen. Gerne bringen wir Struktur in Ihre KI-Nutzung und begleiten Sie rechtlich fundiert und pragmatisch in der Umsetzung.

Unsere Gesichter für Handels- und Gesellschaftsrecht.

Ihre Ansprechpartner.

Karsten Schreiner

Rechtsanwalt

Fachanwalt für Handels- und Gesellschaftsrecht

Fabian Schwertfeger

Rechtsanwalt

Fachanwalt für Handels- und Gesellschaftsrecht