AI Regulatory Intelligence — by YRproject

sachliche Einordnung · nachvollziehbar bis zur Primärquelle

Compliance-Plattform Zusammenarbeiten LinkedIn NL·EN·DE
Wegweiser

Die KI-Verordnung für die Geschäftsführung: Verantwortung, Haftung und Aufsicht

Verabschiedet 2026-06-22 · ≈ 2 Min. Lesezeit · Dirk Baaijen

Die KI-Verordnung macht die Geschäftsführung letztverantwortlich für verantwortungsvolle KI-Nutzung. Bußgelder reichen bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes. Diese Übersicht erläutert, worauf die Geschäftsführung steuern muss und wo persönliche Risiken liegen.

Kurze Antwort: Die KI-Verordnung ist kein IT-Thema, sondern eine Verantwortung der Geschäftsführung. Die Geschäftsführung bestimmt die Risikobereitschaft, richtet die Aufsicht ein und ist ansprechbar, wenn etwas schiefgeht. Die schwersten Bußgelder reichen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes — ein Betrag, der nur auf Leitungsebene zu tragen ist. Compliance darf delegiert werden; die Letztverantwortung nicht.

Warum dies auf den Tisch der Geschäftsführung gehört

Die KI-Verordnung legt die Pflichten der Organisation auf, nicht einer Abteilung. Wer KI einkauft, entwickelt oder einsetzt, muss nachweisen, dass dies verantwortungsvoll geschieht: Risikoklassifizierung, Dokumentation, menschliche Aufsicht und in manchen Fällen Registrierung. Eine Geschäftsführung, die dies nicht absichert, nimmt ein unbeherrschtes Risiko in die Bilanz.

Hinzu kommt, dass KI an die Strategie rührt: Effizienz, Produktinnovation, Reputation und Rechtsrisiko laufen zusammen. Das macht es zu einem Thema par excellence für die Geschäftsleitung und den Aufsichtsrat.

Drei Arten von Verantwortung

  • Rechtlich. Die Organisation kann von der Aufsichtsbehörde mit Bußgeldern belegt werden. Das Bußgeldregime ist gestaffelt: Verbotene KI-Praktiken bilden die schwerste Kategorie.
  • Zivilrechtlich. Neben der KI-Verordnung bestimmt die überarbeitete Produkthaftungsrichtlinie, wer Schaden ersetzt, wenn KI fehlgeht — siehe KI-Haftung.
  • Organschaftlich. Pflichtwidrige Geschäftsführung kann zu persönlicher Haftung führen, wenn die Geschäftsführung ein erkennbares Risiko strukturell ignoriert.

Was die Geschäftsführung absichern muss

Eine Geschäftsführung muss die Technik nicht verstehen, aber nachweisen können, dass sie die Kontrolle hat. Das verlangt einen Governance-Rahmen mit klaren Rollen, eine aktuelle Übersicht der eingesetzten KI-Systeme und ihrer Risikoklasse sowie eine Eskalationslinie zur Geschäftsleitung.

Beginnen Sie mit einer Bestandsaufnahme: Welche KI nutzen wir, in welcher Rolle (Anbieter oder Betreiber) und welche Risikoklasse gehört dazu? Siehe die Übersicht der Hochrisiko-Pflichten für die Bedeutung einer Hochrisiko-Einstufung.

Aufsicht einrichten

Wirksame Aufsicht ist Rhythmus, kein einmaliger Check. Lassen Sie die Geschäftsleitung regelmäßig über das KI-Portfolio, Vorfälle und offene Compliance-Punkte berichten. Belegen Sie die Eigentümerschaft ausdrücklich — oft bei einem KI-Beauftragten oder einer Steuerungsgruppe — und sorgen Sie dafür, dass die Geschäftsführung über genügend KI-Kompetenz verfügt, um die richtigen Fragen zu stellen.

Was zu tun ist

  • Belegen Sie die Eigentümerschaft auf Leitungsebene und legen Sie die Berichtslinie fest.
  • Erstellen Sie eine KI-Bestandsaufnahme mit Rolle und Risikoklasse je System.
  • Implementieren Sie einen Governance-Rahmen mit Richtlinien, Prüfung und Eskalation.
  • Sichern Sie KI-Kompetenz bei Geschäftsführung und Schlüsselfunktionen.
  • Stimmen Sie sich mit DSB, CISO und Einkauf ab — siehe die KI-Verordnung für den DSB und für den Einkäufer.
  • Prüfen Sie Versicherung und Verträge auf die Deckung von KI-Risiken.

Die KI-Verordnung verlangt keine Geschäftsführung, die alles weiß, wohl aber eine, die nachweislich steuert. Dieser Unterschied entscheidet später, ob eine Aufsichtsbehörde oder ein Gericht von sorgfältiger oder fahrlässiger Geschäftsführung spricht.

Quellen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordnung (EU) 2024/1689 (KI-Verordnung): risikobasierte Pflichten, Bußgeldregime und Anforderungen an die menschliche Aufsicht.
  2. https://eur-lex.europa.eu/eli/dir/2024/2853/oj
    Richtlinie (EU) 2024/2853 (überarbeitete Produkthaftungsrichtlinie): zivilrechtlicher Weg für Schäden durch KI.

Share on LinkedIn

Lesen Sie auch

U

NIS2 und Leitungshaftung: Was muss die Leitung tun?

Unter NIS2 genehmigt die Leitung die Cybersicherheitsmaßnahmen, überwacht ihre Umsetzung, nimmt an verpflichtenden Schulungen teil und kann bei Verstößen gegen die Sorgfaltspflicht haftbar gemacht werden.

W

KI-Verordnung-Fahrplan: von der Bestandsaufnahme zur Konformität

Ein praktischer Fahrplan, um KI-Verordnung-konform zu werden — von der Bestandsaufnahme Ihrer KI-Systeme und der Bestimmung von Rolle und Risikoklasse bis zu Governance, Dokumentation und laufender Aufsicht.

U

Agentische KI: Wie fallen autonome KI-Agenten unter die Regeln?

Agentische KI — Systeme, die selbst planen, Werkzeuge nutzen und handeln — hat keine eigene Kategorie in der KI-Verordnung. Dennoch fällt sie darunter: über das GPAI-Regime, die Risikoeinstufung der Anwendung und die Aufsichtspflichten. Offener Punkt: die Haftung für autonome Handlungen.

Dirk Baaijen

Über diese Wissensdatenbank

Zusammengestellt und gepflegt von YRproject — Programm- und Projektsteuerung an der Schnittstelle von digitaler Transformation, KI und Regulierung. Jede sachliche Aussage ist bis zur Primärquelle nachvollziehbar. Hinter YRproject steht Dirk Baaijen Über & Methode →

Ein Projekt oder Programm? Mit YRproject arbeiten →

Das monatliche Briefing

KI-Regulierung in fünf Minuten: was sich geändert hat, was kommt und was es bedeutet. Kein Spam, jederzeit abbestellbar.

Ihre Adresse wird nur hierfür verwendet und auf eigenen Servern gespeichert.