Ein KI-System bewertet selbstständig Kreditanträge, schließt automatisiert Bestellungen ab oder trifft Personalentscheidungen ohne menschliche Prüfung im Einzelfall — das ist keine Zukunftsmusik mehr, sondern Alltag in vielen mittelständischen Unternehmen. Doch die Rechtsordnung hat diese Entwicklung noch nicht vollständig nachgezogen: Wer haftet, wenn die KI falsch liegt? Welche Offenlegungspflichten gelten gegenüber Kunden und Mitarbeitern? Und ab wann wird aus einem nützlichen Werkzeug ein regulierter Akteur im Sinne des EU AI Act?
Dieser Ratgeber beantwortet die drängendsten Fragen für Geschäftsführer, HR-Leitungen und CFOs — konkret, ohne Technik-Exkurs, mit Blick auf Haftung, Vertragsgestaltung und die neuen Pflichten aus dem EU AI Act. Wer seinen KI-Einsatz auf rechtlich sicherem Fundament aufbauen will, kann seinen Fall prüfen lassen.
Die entscheidende Verschiebung: KI agiert zunehmend autonom, schließt Verträge vor, filtert Bewerbungen und steuert Lieferketten. Damit wird sie nicht nur ein technisches Hilfsmittel, sondern ein Akteur mit rechtlichen Konsequenzen — für das Unternehmen, das sie betreibt.
Was bedeutet KI als Akteur rechtlich?
Solange KI nur Texte vorschlug oder Daten aufbereitete, war die Einordnung einfach: ein Werkzeug, das der Mensch nutzt und für dessen Ergebnisse der Mensch verantwortlich bleibt. Diese Logik trägt nicht mehr, wenn ein KI-System eigenständig Entscheidungen mit Außenwirkung trifft — also Angebote versendet, Verträge initiiert, Zahlungen auslöst oder Bewerber aussortiert.
Das deutsche Recht kennt keine KI-Rechtspersönlichkeit. Es gibt keinen Paragraphen, der der KI selbst Rechte oder Pflichten zuweist. Stattdessen gilt: Wer die KI betreibt, ist rechtlich verantwortlich. Das ist in der Regel das Unternehmen als juristische Person — und dahinter der Geschäftsführer persönlich, wenn er die gebotene Sorgfalt vernachlässigt hat. Die Haftung ergibt sich aus einer Kombination aus § 823 BGB (deliktische Haftung), § 280 BGB (vertragliche Pflichtverletzung) und den speziellen Regelungen des EU AI Act.
Besonders relevant ist die Frage der Wissenszurechnung: Was ein KI-System im Auftrag des Unternehmens verarbeitet und kommuniziert, gilt rechtlich als Wissen des Unternehmens — ähnlich wie das Wissen eines Mitarbeiters. Das BGH hat in mehreren Entscheidungen zur Wissenszurechnung bei arbeitsteiligen Organisationen klargestellt, dass es auf die interne Zugänglichkeit der Information ankommt, nicht auf die konkrete Kenntnis einer bestimmten Person. Diese Grundsätze übertragen Gerichte zunehmend auf automatisierte Systeme.
Für Geschäftsführer folgt daraus: Der Einsatz von KI-Systemen ist keine rein technische Entscheidung. Sie müssen sicherstellen, dass klare Zuständigkeiten, Kontrollmechanismen und Dokumentationspflichten bestehen. Wer das unterlässt, riskiert im Schadensfall persönliche Haftung nach § 43 GmbHG.
Ein typisches Praxis-Szenario: Ein mittelständischer Maschinenbauer aus dem Raum Stuttgart setzte ein KI-gestütztes Angebotssystem ein, das auf Basis von Lieferanten-Preisdaten automatisch Angebote an Kunden versendete. Als das System aufgrund fehlerhafter Trainingsdaten systematisch zu niedrige Preise kalkulierte, entstanden Verlustgeschäfte. Die interne Revision stellte fest, dass kein Vier-Augen-Prinzip für Angebote über einem bestimmten Auftragswert implementiert worden war — ein klassischer Organisations-Mangel mit Haftungsrelevanz.
EU AI Act: Welche Pflichten gelten ab wann für KMU?
Der EU AI Act (Verordnung (EU) 2024/1689) ist die erste umfassende KI-Regulierung weltweit und gilt ab dem 2. August 2026 vollständig für Betreiber von Hochrisiko-KI-Systemen. Für verbotene KI-Praktiken (etwa Social Scoring oder biometrische Massenüberwachung) gilt das Verbot bereits seit dem 2. Februar 2025. KMU sind keine Ausnahme — auch wer eine KI-Anwendung eines Drittanbieters nutzt, kann als Betreiber im Sinne des Gesetzes eingestuft werden.
Das Gesetz unterscheidet vier Risikoklassen: minimales Risiko (z. B. Spam-Filter), begrenztes Risiko (z. B. Chatbots mit Offenlegungspflicht), hohes Risiko und inakzeptables Risiko. Hochrisiko-KI umfasst Systeme in den Bereichen Personalauswahl und -management, Kreditwürdigkeitsprüfung, Ausbildungs- und Berufsbildungszugang sowie kritische Infrastrukturen. Wer als KMU also ein KI-Tool für Bewerbungsscreenings oder Bonitätsbewertungen einsetzt, fällt in diese Kategorie.
Die Pflichten für Hochrisiko-Betreiber sind erheblich: Vor der Inbetriebnahme muss eine Risikobewertung vorliegen, das System muss in einem Register eingetragen sein, Mitarbeiter müssen geschult werden, und es muss eine menschliche Aufsicht sichergestellt sein. Zusätzlich sind Protokollierungspflichten und Post-Market-Monitoring vorgeschrieben. Verstöße können mit Bußgeldern von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes geahndet werden — je nachdem, was höher ist.
Für Geschäftsführer bedeutet das konkret: Sie sollten jetzt eine KI-Bestandsaufnahme im Unternehmen durchführen. Welche Systeme sind im Einsatz? Wer ist Hersteller, wer ist Betreiber? Welche Risikoklasse trifft zu? Diese Analyse ist nicht nur regulatorisch geboten, sondern auch aus Haftungssicht sinnvoll — denn bei einem späteren Vorwurf fahrlässiger Unternehmensführung zählt, ob der Geschäftsführer die Risikolage kannte und strukturiert gehandelt hat.
Praktisch hilfreich: Viele KI-Anbieter stellen bereits Konformitätsdokumentationen zur Verfügung. Prüfen Sie Ihre Verträge mit KI-Dienstleistern darauf, ob diese Dokumentation vertraglich zugesichert ist und welche Partei für die Eintragung im EU-KI-Register verantwortlich ist. Fehlen diese Regelungen, sollten Sie Ihre Verträge nachverhandeln lassen — können Sie Ihre bestehenden KI-Dienstleistungsverträge rechtlich prüfen lassen.
Praxis-Tipp
Unternehmen, die KI-Systeme betreiben, haften nach deutschem Recht grundsätzlich selbst für deren Entscheidungen — eine eigenständige KI-Rechtspersönlichkeit existiert bisher nicht.
DSGVO und automatisierte Entscheidungen: Wann droht Bußgeld?
Art. 22 DSGVO verbietet grundsätzlich automatisierte Entscheidungen, die gegenüber einer Person rechtliche oder ähnlich erhebliche Wirkung entfalten — ohne menschliche Überprüfung im Einzelfall. Das betrifft im Unternehmenskontext vor allem: Ablehnung von Bewerbern durch KI, automatisierte Kreditentscheidungen, KI-gestütztes Performance-Management und automatisierte Kündigung von Kundenverträgen.
Das Verbot gilt nicht absolut. Art. 22 Abs. 2 DSGVO erlaubt automatisierte Entscheidungen, wenn sie zur Vertragserfüllung notwendig sind, durch EU-Recht erlaubt werden oder auf ausdrücklicher Einwilligung beruhen. In jedem Erlaubnistatbestand müssen jedoch geeignete Schutzmaßnahmen vorhanden sein — insbesondere das Recht der betroffenen Person, eine menschliche Überprüfung zu verlangen und Widerspruch einzulegen.
Der Europäische Datenschutzausschuss hat in mehreren Leitlinien klargestellt, dass Profile, die aus KI-Analysen entstehen und Grundlage für Entscheidungen sind, als automatisierte Entscheidungen im Sinne von Art. 22 DSGVO einzustufen sind — auch wenn am Ende formal ein Mensch auf einen Knopf drückt, der Entscheidungsspielraum aber de facto bei null liegt. Das OVG Niedersachsen hat in einer Entscheidung zu algorithmisch gestützten Verwaltungsentscheidungen ähnliche Grundsätze entwickelt, die auf private Arbeitgeber ausstrahlungswirksam sind.
Für HR-Leitungen in KMU gilt: Jedes KI-gestützte Bewerbertool muss datenschutzrechtlich bewertet werden. Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist bei Hochrisiko-Verarbeitungen Pflicht. Fehlt sie, kann die zuständige Datenschutzbehörde unabhängig von einem konkreten Schaden tätig werden. Die Bußgeldpraxis der deutschen Landesdatenschutzbehörden zeigt, dass auch KMU in den letzten Jahren substanzielle Bußgelder erhalten haben.
Handlungsempfehlung: Dokumentieren Sie für jedes KI-System im Personalbereich, auf welchen Rechtsgrundlagen die Verarbeitung beruht, welche Schutzmaßnahmen nach Art. 22 Abs. 2 DSGVO implementiert sind und wie Betroffene ihr Recht auf menschliche Überprüfung ausüben können. Diese Dokumentation gehört in Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO.
Wichtig zu wissen
Der EU AI Act klassifiziert KI-Systeme in Risikoklassen und verpflichtet Betreiber von Hochrisiko-KI bereits ab August 2026 zu Transparenz, Dokumentation und menschlicher Aufsicht.



