Ein KI-System bewertet selbstständig Kreditanträge, schließt automatisiert Bestellungen ab oder trifft Personalentscheidungen ohne menschliche Prüfung im Einzelfall — das ist keine Zukunftsmusik mehr, sondern Alltag in vielen mittelständischen Unternehmen. Doch die Rechtsordnung hat diese Entwicklung noch nicht vollständig nachgezogen: Wer haftet, wenn die KI falsch liegt? Welche Offenlegungspflichten gelten gegenüber Kunden und Mitarbeitern? Und ab wann wird aus einem nützlichen Werkzeug ein regulierter Akteur im Sinne des EU AI Act?
Dieser Ratgeber beantwortet die drängendsten Fragen für Geschäftsführer, HR-Leitungen und CFOs — konkret, ohne Technik-Exkurs, mit Blick auf Haftung, Vertragsgestaltung und die neuen Pflichten aus dem EU AI Act. Wer seinen KI-Einsatz auf rechtlich sicherem Fundament aufbauen will, kann seinen Fall über /formular prüfen lassen.
Die entscheidende Verschiebung: KI agiert zunehmend autonom, schließt Verträge vor, filtert Bewerbungen und steuert Lieferketten. Damit wird sie nicht nur ein technisches Hilfsmittel, sondern ein Akteur mit rechtlichen Konsequenzen — für das Unternehmen, das sie betreibt.
Was bedeutet KI als Akteur rechtlich?
Solange KI nur Texte vorschlug oder Daten aufbereitete, war die Einordnung einfach: ein Werkzeug, das der Mensch nutzt und für dessen Ergebnisse der Mensch verantwortlich bleibt. Diese Logik trägt nicht mehr, wenn ein KI-System eigenständig Entscheidungen mit Außenwirkung trifft — also Angebote versendet, Verträge initiiert, Zahlungen auslöst oder Bewerber aussortiert.
Das deutsche Recht kennt keine KI-Rechtspersönlichkeit. Es gibt keinen Paragraphen, der der KI selbst Rechte oder Pflichten zuweist. Stattdessen gilt: Wer die KI betreibt, ist rechtlich verantwortlich. Das ist in der Regel das Unternehmen als juristische Person — und dahinter der Geschäftsführer persönlich, wenn er die gebotene Sorgfalt vernachlässigt hat. Die Haftung ergibt sich aus einer Kombination aus § 823 BGB (deliktische Haftung), § 280 BGB (vertragliche Pflichtverletzung) und den speziellen Regelungen des EU AI Act.
Besonders relevant ist die Frage der Wissenszurechnung: Was ein KI-System im Auftrag des Unternehmens verarbeitet und kommuniziert, gilt rechtlich als Wissen des Unternehmens — ähnlich wie das Wissen eines Mitarbeiters. Das BGH hat in mehreren Entscheidungen zur Wissenszurechnung bei arbeitsteiligen Organisationen klargestellt, dass es auf die interne Zugänglichkeit der Information ankommt, nicht auf die konkrete Kenntnis einer bestimmten Person. Diese Grundsätze übertragen Gerichte zunehmend auf automatisierte Systeme.
Für Geschäftsführer folgt daraus: Der Einsatz von KI-Systemen ist keine rein technische Entscheidung. Sie müssen sicherstellen, dass klare Zuständigkeiten, Kontrollmechanismen und Dokumentationspflichten bestehen. Wer das unterlässt, riskiert im Schadensfall persönliche Haftung nach § 43 GmbHG.
Ein typisches Praxis-Szenario: Ein mittelständischer Maschinenbauer aus dem Raum Stuttgart setzte ein KI-gestütztes Angebotssystem ein, das auf Basis von Lieferanten-Preisdaten automatisch Angebote an Kunden versendete. Als das System aufgrund fehlerhafter Trainingsdaten systematisch zu niedrige Preise kalkulierte, entstanden Verlustgeschäfte. Die interne Revision stellte fest, dass kein Vier-Augen-Prinzip für Angebote über einem bestimmten Auftragswert implementiert worden war — ein klassischer Organisations-Mangel mit Haftungsrelevanz.
EU AI Act: Welche Pflichten gelten ab wann für KMU?
Der EU AI Act (Verordnung (EU) 2024/1689) ist die erste umfassende KI-Regulierung weltweit und gilt ab dem 2. August 2026 vollständig für Betreiber von Hochrisiko-KI-Systemen. Für verbotene KI-Praktiken (etwa Social Scoring oder biometrische Massenüberwachung) gilt das Verbot bereits seit dem 2. Februar 2025. KMU sind keine Ausnahme — auch wer eine KI-Anwendung eines Drittanbieters nutzt, kann als Betreiber im Sinne des Gesetzes eingestuft werden.
Das Gesetz unterscheidet vier Risikoklassen: minimales Risiko (z. B. Spam-Filter), begrenztes Risiko (z. B. Chatbots mit Offenlegungspflicht), hohes Risiko und inakzeptables Risiko. Hochrisiko-KI umfasst Systeme in den Bereichen Personalauswahl und -management, Kreditwürdigkeitsprüfung, Ausbildungs- und Berufsbildungszugang sowie kritische Infrastrukturen. Wer als KMU also ein KI-Tool für Bewerbungsscreenings oder Bonitätsbewertungen einsetzt, fällt in diese Kategorie.
Die Pflichten für Hochrisiko-Betreiber sind erheblich: Vor der Inbetriebnahme muss eine Risikobewertung vorliegen, das System muss in einem Register eingetragen sein, Mitarbeiter müssen geschult werden, und es muss eine menschliche Aufsicht sichergestellt sein. Zusätzlich sind Protokollierungspflichten und Post-Market-Monitoring vorgeschrieben. Verstöße können mit Bußgeldern von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes geahndet werden — je nachdem, was höher ist.
Für Geschäftsführer bedeutet das konkret: Sie sollten jetzt eine KI-Bestandsaufnahme im Unternehmen durchführen. Welche Systeme sind im Einsatz? Wer ist Hersteller, wer ist Betreiber? Welche Risikoklasse trifft zu? Diese Analyse ist nicht nur regulatorisch geboten, sondern auch aus Haftungssicht sinnvoll — denn bei einem späteren Vorwurf fahrlässiger Unternehmensführung zählt, ob der Geschäftsführer die Risikolage kannte und strukturiert gehandelt hat.
Praktisch hilfreich: Viele KI-Anbieter stellen bereits Konformitätsdokumentationen zur Verfügung. Prüfen Sie Ihre Verträge mit KI-Dienstleistern darauf, ob diese Dokumentation vertraglich zugesichert ist und welche Partei für die Eintragung im EU-KI-Register verantwortlich ist. Fehlen diese Regelungen, sollten Sie Ihre Verträge nachverhandeln lassen — über /formular können Sie Ihre bestehenden KI-Dienstleistungsverträge rechtlich prüfen lassen.
Praxis-Tipp
Unternehmen, die KI-Systeme betreiben, haften nach deutschem Recht grundsätzlich selbst für deren Entscheidungen — eine eigenständige KI-Rechtspersönlichkeit existiert bisher nicht.
DSGVO und automatisierte Entscheidungen: Wann droht Bußgeld?
Art. 22 DSGVO verbietet grundsätzlich automatisierte Entscheidungen, die gegenüber einer Person rechtliche oder ähnlich erhebliche Wirkung entfalten — ohne menschliche Überprüfung im Einzelfall. Das betrifft im Unternehmenskontext vor allem: Ablehnung von Bewerbern durch KI, automatisierte Kreditentscheidungen, KI-gestütztes Performance-Management und automatisierte Kündigung von Kundenverträgen.
Das Verbot gilt nicht absolut. Art. 22 Abs. 2 DSGVO erlaubt automatisierte Entscheidungen, wenn sie zur Vertragserfüllung notwendig sind, durch EU-Recht erlaubt werden oder auf ausdrücklicher Einwilligung beruhen. In jedem Erlaubnistatbestand müssen jedoch geeignete Schutzmaßnahmen vorhanden sein — insbesondere das Recht der betroffenen Person, eine menschliche Überprüfung zu verlangen und Widerspruch einzulegen.
Der Europäische Datenschutzausschuss hat in mehreren Leitlinien klargestellt, dass Profile, die aus KI-Analysen entstehen und Grundlage für Entscheidungen sind, als automatisierte Entscheidungen im Sinne von Art. 22 DSGVO einzustufen sind — auch wenn am Ende formal ein Mensch auf einen Knopf drückt, der Entscheidungsspielraum aber de facto bei null liegt. Das OVG Niedersachsen hat in einer Entscheidung zu algorithmisch gestützten Verwaltungsentscheidungen ähnliche Grundsätze entwickelt, die auf private Arbeitgeber ausstrahlungswirksam sind.
Für HR-Leitungen in KMU gilt: Jedes KI-gestützte Bewerbertool muss datenschutzrechtlich bewertet werden. Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist bei Hochrisiko-Verarbeitungen Pflicht. Fehlt sie, kann die zuständige Datenschutzbehörde unabhängig von einem konkreten Schaden tätig werden. Die Bußgeldpraxis der deutschen Landesdatenschutzbehörden zeigt, dass auch KMU in den letzten Jahren substanzielle Bußgelder erhalten haben.
Handlungsempfehlung: Dokumentieren Sie für jedes KI-System im Personalbereich, auf welchen Rechtsgrundlagen die Verarbeitung beruht, welche Schutzmaßnahmen nach Art. 22 Abs. 2 DSGVO implementiert sind und wie Betroffene ihr Recht auf menschliche Überprüfung ausüben können. Diese Dokumentation gehört in Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO.
Wichtig zu wissen
Der EU AI Act klassifiziert KI-Systeme in Risikoklassen und verpflichtet Betreiber von Hochrisiko-KI bereits ab August 2026 zu Transparenz, Dokumentation und menschlicher Aufsicht.
KI und Verträge: Wer haftet, wenn die Maschine Fehler macht?
KI-Systeme schließen keine Verträge im Rechtssinne — das können nur natürliche oder juristische Personen. Aber sie können Willenserklärungen im Namen des Unternehmens auslösen. Versendet ein automatisiertes System eine Auftragsbestätigung, ein Angebot oder eine Kündigung, wirkt das rechtlich wie eine Erklärung des Unternehmens selbst — sofern der Empfänger davon ausgehen durfte, dass eine bindende Erklärung vorliegt. Der BGH hat zu automatisierten Buchungssystemen bereits in mehreren Entscheidungen klargestellt, dass ein technisches Versehen den Erklärenden nicht ohne Weiteres von der Bindung befreit.
Besonders heikel ist die Konstellation, wenn das KI-System aufgrund fehlerhafter Daten oder eines Konfigurationsfehlers Verträge zu falschen Konditionen abschließt. Anfechtung wegen Irrtums nach § 119 BGB ist möglich, muss aber unverzüglich nach Entdeckung des Fehlers erklärt werden. In der Praxis vergehen oft Wochen, bis ein systematischer Konfigurationsfehler im KI-System entdeckt wird — und dann ist die Anfechtungsfrist häufig versäumt.
Für Verträge mit KI-Dienstleistern gilt: Achten Sie auf klare Regelungen zur Haftung bei Systemfehlern, zur Verfügbarkeit und zur Datensicherheit. Viele Standard-AGB von KI-Anbietern beschränken die Haftung auf den Jahresvertragswert — das ist bei geschäftskritischen Systemen oft nicht ausreichend. Verhandeln Sie Haftungsdeckel, Service-Level-Agreements und Schadenersatz-Regelungen individuell nach.
Ein weiterer Aspekt betrifft KI-generierte Inhalte in Verträgen. Wenn Ihr Vertrieb KI-Tools nutzt, um Vertragsentwürfe oder Angebote zu erstellen, tragen Sie die volle Verantwortung für den Inhalt — auch wenn die KI einen juristischen Fehler eingebaut hat. Gerichte werden keinen Nachlass bei der Prüfungspflicht gewähren, weil ein Algorithmus beteiligt war. Prüfen Sie über /formular, ob Ihre KI-Nutzungsprozesse im Vertrieb rechtlich abgesichert sind.
Empfehlenswert ist eine interne Richtlinie (KI-Policy), die festlegt: Welche Systeme dürfen welche Arten von Erklärungen auslösen? Ab welchem Wert ist menschliche Freigabe Pflicht? Wie werden KI-Ausgaben vor Weiterverwendung geprüft? Diese Policy ist kein bürokratischer Luxus, sondern Haftungsschutz für den Geschäftsführer persönlich.
Mitbestimmung bei KI: Was Arbeitgeber im Betrieb beachten müssen
Der Betriebsrat hat bei der Einführung und Anwendung technischer Systeme, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, ein erzwingbares Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. KI-Systeme, die Arbeitsleistung messen, Fehlerquoten analysieren, Schichten planen oder Bewerbungen bewerten, fallen regelmäßig in diesen Tatbestand. Das BAG hat in seiner Entscheidung vom 13. Dezember 2016 — 1 ABR 7/15 — klargestellt, dass technische Überwachungseignung ausreicht, auch wenn keine konkrete Überwachungsabsicht besteht.
Die Konsequenz: Ohne Betriebsvereinbarung darf ein solches KI-System nicht eingeführt werden. Handeln Arbeitgeber hier ohne Mitbestimmung, können Betriebsräte die Nutzung über einstweiligen Rechtsschutz beim Arbeitsgericht untersagen lassen. Das ist nicht nur teuer und imageschädlich, sondern kann laufende Projekte monatelang blockieren.
Für KMU ohne Betriebsrat gilt: Wenn keiner existiert, entfällt das Mitbestimmungshindernis formell. Aber informationspflichtige Maßnahmen gegenüber Mitarbeitern (z. B. über die Verarbeitung ihrer Daten durch KI-Systeme) bleiben bestehen. Außerdem: Sobald ein Betriebsrat gewählt wird, entsteht das Mitbestimmungsrecht sofort — Unternehmen, die in Wachstum investieren, sollten daher KI-Prozesse von Anfang an mitbestimmungsfest gestalten.
Empfehlung für die Praxis: Schließen Sie für jedes KI-System im HR-Bereich eine Betriebsvereinbarung ab, die Zweck, Funktionsweise, Datenzugriff und Auswertungslogik des Systems beschreibt. Das schafft nicht nur Rechtssicherheit, sondern erhöht auch die Akzeptanz im Unternehmen. Eine gut verhandelte Betriebsvereinbarung ist außerdem Schutzschild gegen spätere Klagen einzelner Arbeitnehmer auf Auskunft oder Unterlassung nach Art. 22 DSGVO.
Ihre Checkliste auf einen Blick
- Unternehmen, die KI-Systeme betreiben, haften nach deutschem Recht grundsätzlich selbst für deren Entscheidungen — eine eigenständige KI-Rechtspersönlichkeit existiert bisher nicht.
- Der EU AI Act klassifiziert KI-Systeme in Risikoklassen und verpflichtet Betreiber von Hochrisiko-KI bereits ab August 2026 zu Transparenz, Dokumentation und menschlicher Aufsicht.
- Automatisierte Individualentscheidungen gegenüber Personen unterliegen nach Art. 22 DSGVO einem Verbot mit Erlaubnisvorbehalt — Verstöße können Bußgelder in Millionenhöhe auslösen.
- KI-generierte Vertragsentwürfe oder Angebote können rechtlich bindend werden, wenn sie dem Empfänger gegenüber als verbindlich erscheinen — Unternehmen müssen ihre Prozesse entsprechend absichern.
- Wer KI im Bewerbungs- oder Personalbereich einsetzt, muss Betriebsräte nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmen lassen — fehlende Mitbestimmung macht entsprechende Vereinbarungen angreifbar.
Fazit
KI verändert die rechtliche Risikolandschaft für KMU grundlegend — nicht irgendwann, sondern jetzt. Wer KI-Systeme einsetzt, ohne Haftungsfragen, Datenschutzanforderungen, Mitbestimmungsrechte und die neuen Pflichten aus dem EU AI Act zu adressieren, übernimmt persönliche Haftungsrisiken als Geschäftsführer. Der richtige Zeitpunkt für eine strukturierte KI-Compliance-Prüfung ist vor dem Schaden, nicht danach. Starten Sie mit einer Bestandsaufnahme Ihrer KI-Systeme und klären Sie Ihren Handlungsbedarf über /formular. Dieser Beitrag wurde von RA Marek Schauer fachlich geprüft — Details zur Person unter /anwaelte/marek-schauer.
Dieser Beitrag ersetzt keine individuelle Rechtsberatung — bei konkreten Fragen wenden Sie sich an einen Rechtsanwalt.
