Ab August haften GmbH-Chefs privat, wenn KI-Governance fehlt
Welche KI-Tools nutzt dein Team gerade – und weißt du es überhaupt?
Stell dir vor, dein Team nutzt seit Monaten ChatGPT für Kundenmails, Microsoft Copilot für Angebote und die KI-Funktion im CRM für die Lead-Bewertung. Niemand hat das böse gemeint, es hat sich einfach so eingeschlichen. Und jetzt stellt sich heraus: Genau dieses unkontrollierte Nebeneinander kann dich als Geschäftsführer persönlich dein Privatvermögen kosten. Kein Scherz, keine Panikmache – sondern die logische Konsequenz aus geltendem Recht, das ab dem 2. August 2026 eine neue Dringlichkeit bekommt.
Viele Inhaber und Geschäftsführer im Mittelstand kennen das Gefühl: KI ist längst im Unternehmen angekommen, aber niemand hat wirklich den Überblick. Es gibt keine IT-Abteilung, die das nebenbei regelt, keine Compliance-Stelle, die Richtlinien schreibt. Stattdessen wächst ein diffuses Unbehagen – irgendwo zwischen "Das wird schon irgendwie passen" und "Was, wenn genau das zum Problem wird?". Dieser Artikel bringt Klarheit: Was ab August wirklich gilt, warum die Haftung dich persönlich trifft und nicht nur die GmbH – und was der erste sinnvolle Schritt ist, um das Risiko in den Griff zu bekommen.
Warum der August-Stichtag für Geschäftsführer persönlich brisant ist
Die Kernbotschaft vorweg: Wer als GmbH-Geschäftsführer kein KI-Inventar vorhält, riskiert ab August, persönlich zu haften – nicht das Unternehmen, sondern er selbst, mit seinem Privatvermögen. Das klingt drastisch, ist aber keine neue Erfindung. Die rechtliche Grundlage dafür existiert schon lange.
Die eigentliche Haftungsfalle: § 43 GmbHG
Das Paragraphenwerk, das hier greift, ist nicht der EU AI Act – sondern das gute alte GmbH-Gesetz. § 43 GmbHG verpflichtet dich als Geschäftsführer, die Sorgfalt eines ordentlichen Geschäftsmannes walten zu lassen. Fehlt eine angemessene Compliance-Struktur – und dazu zählt inzwischen auch KI-Governance –, verletzt du diese Pflicht. Die Folge: persönliche Haftung gegenüber deiner eigenen Gesellschaft. Für AG-Vorstände gilt mit § 93 AktG eine vergleichbare Regelung, die beiden Paragraphen sollte man aber nicht vermischen.
Besonders unangenehm: Es gilt Beweislastumkehr. Nicht irgendjemand muss dir ein Versäumnis nachweisen – du musst beweisen, dass du sorgfältig gehandelt hast. Ohne Dokumentation, ohne Nachweis, stehst du im Ernstfall mit leeren Händen da.

Das KI-Inventar – eine vollständige Liste aller eingesetzten Systeme.
Was konkret ab dem 2. August 2026 gilt
Ab diesem Datum ist die nationale Marktüberwachung nach EU AI Act in Deutschland aktiv. Damit greifen die Transparenzpflichten nach Art. 50 EU AI Act – etwa die Pflicht, KI-generierte Inhalte und KI-Systeme im Kundenkontakt zu kennzeichnen. Ergänzend gilt bereits seit Februar 2025 die AI-Literacy-Pflicht: Unternehmen müssen sicherstellen und dokumentieren, dass Mitarbeitende, die KI nutzen, ausreichende Kenntnisse mitbringen.
Eine wichtige Einordnung: Die strengeren Hochrisiko-Pflichten aus Annex III des EU AI Act wurden im Rahmen des Digital Omnibus auf Dezember 2027 verschoben. Für die meisten KMU sind diese Pflichten ohnehin selten relevant. Das ändert aber nichts an den bereits geltenden Transparenz- und Literacy-Pflichten – und erst recht nichts an der persönlichen GF-Haftung nach § 43 GmbHG, die unabhängig vom EU AI Act besteht und durch ihn nur einen neuen, konkreten Auslöser bekommt.
| Zeitpunkt | Was gilt | Betrifft direkt den GF? |
|---|---|---|
| Bereits seit Feb. 2025 | AI-Literacy-Pflicht (Art. 4 EU AI Act) | Ja, Dokumentationspflicht |
| 2. August 2026 | Transparenzpflichten (Art. 50), nationale Marktüberwachung | Ja, direkte Compliance-Pflicht |
| Dezember 2026 | Neue EU-Produkthaftungsrichtlinie mit eigener Beweislastumkehr | Ja, erhöhtes Haftungsrisiko |
| 2. Dezember 2027 | Hochrisiko-Pflichten (Annex III) | Für die meisten KMU kaum relevant |
Das OLG-Hamm-Urteil als Warnsignal der Rechtsprechung
Am 12. Mai 2026 hat das Oberlandesgericht Hamm (Az. 4 UKl 3/25) entschieden, dass ein Unternehmen für irreführende Aussagen seines KI-Chatbots nach dem Wettbewerbsrecht (UWG) haftet. Im konkreten Fall hatte der Chatbot einer Klinik Facharztbezeichnungen behauptet, die die Ärzte gar nicht besaßen. Die Kernaussage des Gerichts: Der Chatbot ist rechtlich Teil der geschäftlichen Organisation – kein unabhängiger Dritter, auf den man sich herausreden könnte. Auch das sogenannte Black-Box-Problem, also die von außen schwer nachvollziehbare Funktionsweise der KI, ändert daran nichts.
Wichtig für die Einordnung: Das Urteil ist noch nicht rechtskräftig, die Revision beim BGH wurde zugelassen. Trotzdem zeigt es deutlich, wohin die Rechtsprechung tendiert – Gerichte rechnen KI-Outputs dem Unternehmen zu. Entsteht daraus ein Schaden, den der Geschäftsführer hätte verhindern können, ist wieder § 43 GmbHG im Spiel.
Der erste Schritt: Ein KI-Inventar als Basis für Governance
Die gute Nachricht: Du musst nicht sofort ein komplettes Compliance-System aufbauen. Der erste, entscheidende Schritt ist ein KI-Inventar – eine vollständige Liste aller im Unternehmen eingesetzten KI-Systeme. Das schließt auch eingebettete KI in bestehenden Tools ein: Microsoft Copilot in Office 365, HubSpot AI, Gong, Fireflies, DATEV-KI-Funktionen und ähnliches.
Für jedes System sollte festgehalten werden:
- Welcher Anbieter steht dahinter?
- Wofür wird das System eingesetzt?
- Welche Datenkategorien sind betroffen?
- Wer ist intern verantwortlich?
Dieses Inventar ist die Grundlage für alles Weitere: Risikoklassifizierung, interne Nutzungsrichtlinien, Schulungsnachweise. Schätzungen aus dem KI-Compliance-Beratungsumfeld gehen davon aus, dass die große Mehrheit der deutschen KMU ein solches Inventar bislang nicht besitzt – vielen Geschäftsführern ist schlicht nicht bewusst, welche KI-Tools ihr Team bereits täglich nutzt.

Dokumentiert, abgesichert – der GF mit vollständigem KI-Überblick.
Zwei Wege, wie KINAQ Solutions dabei unterstützt
Genau hier setzt KINAQ Solutions an. Der AI Security Audit ist der geeignete Einstieg für Unternehmen, die bereits KI im Einsatz haben, aber nicht genau wissen, wo sie stehen. Er bringt Licht ins Dunkel: Welche Systeme sind aktiv? Wo gibt es unkontrollierte Outputs oder fehlende Freigabeprozesse? Das Ergebnis ist die Basis für ein belastbares KI-Inventar.
Für Unternehmen, die neue KI-Systeme einführen wollen, gibt es den Done-4-You-Ansatz: KINAQ baut und betreibt Lösungen mit vollständiger Governance von Anfang an – inklusive Logging aller Schritte, Human-in-the-Loop bei kritischen Entscheidungen und klar definierten Leitplanken. Kein nachträgliches Nachrüsten, kein Compliance-Rückstand. Der Geschäftsführer muss sich damit nicht selbst um die Details kümmern.
Fazit: Warten ist keine Strategie
Die persönliche Haftung nach § 43 GmbHG ist kein neues Gesetz, das erst mit dem EU AI Act entstanden ist – sie galt schon immer. Was sich ändert, ist der konkrete Auslöser: Ab August 2026 greifen Transparenzpflichten, die Marktüberwachung wird aktiv, und Gerichte wie das OLG Hamm zeigen bereits jetzt, in welche Richtung sich die Rechtsprechung bewegt. Wer bis dahin kein KI-Inventar und keine dokumentierte Governance vorweisen kann, steht im Schadensfall ohne Verteidigung da – dank Beweislastumkehr.
Der klare Handlungsschritt: Verschaffe dir jetzt Klarheit darüber, welche KI-Systeme in deinem Unternehmen tatsächlich im Einsatz sind. Ein unverbindliches Erstgespräch mit KINAQ Solutions kann der erste, unkomplizierte Schritt sein, um deine individuelle Situation einzuordnen und zu klären, wo du konkret stehst.
Betrifft mich das auch, wenn wir gar keine eigene KI entwickelt haben?
Ja. Auch eingebettete KI-Funktionen in Tools wie Microsoft Copilot, HubSpot oder DATEV fallen unter den Geltungsbereich – nicht nur selbst entwickelte Systeme oder Spezialroboter.
Schützt mich die GmbH nicht vor persönlicher Haftung?
Die GmbH-Haftungsbeschränkung wirkt gegenüber Dritten. Sie schützt dich aber nicht vor der persönlichen Haftung gegenüber deiner eigenen Gesellschaft nach § 43 GmbHG, wenn du deine Sorgfaltspflichten verletzt.
Ist das OLG-Hamm-Urteil schon rechtskräftig?
Nein, das Urteil vom 12. Mai 2026 ist nicht rechtskräftig, eine BGH-Revision wurde zugelassen. Es gilt trotzdem als deutliches Signal dafür, wie Gerichte künftig entscheiden könnten.
Muss ich mich erst ab Dezember 2027 kümmern, weil die Hochrisiko-Pflichten verschoben wurden?
Nein. Transparenzpflichten und die AI-Literacy-Nachweispflicht gelten bereits deutlich früher, und die persönliche GF-Haftung nach § 43 GmbHG bestand schon vor dem EU AI Act.
Was ist der erste sinnvolle Schritt, wenn ich noch gar keinen Überblick habe?
Ein KI-Inventar aller eingesetzten Systeme, idealerweise unterstützt durch einen strukturierten Audit, der Transparenz schafft und die Basis für weitere Governance-Maßnahmen liefert.