AI Act Anwalt – Haftung, Bußgeld und KI-Governance

Haftung, Bußgeld und KI-Governance – Anwalt erklärt, warum der AI Act für Unternehmen zur Leitungsaufgabe wird und welche Organisationsfehler bei KI-Systemen später besonders teuer werden können.

Über den Autor

Max Hortmann ist Rechtsanwalt sowie Autor für juris, jurisPR-ITR und AZO.
Er publiziert regelmäßig zu Krypto-Betrug, digitaler Forensik, Bankhaftung und Plattformverantwortlichkeit.

In seiner anwaltlichen Praxis vertritt er Mandanten, die Opfer komplexer Online-Betrugsstrukturen geworden sind – insbesondere bei Fake-Broker-Systemen, Wallet-Angriffen und international verschleierten Geldflüssen.

Er trat unter anderem als Experte in BR24, Business Insider und WirtschaftsWoche auf und arbeitet derzeit an einem juristischen Handbuch zum Cybercrime-Recht.

LinkedIn-Profil

‍Weitere Einblicke in aktuelle Fälle, rechtliche Entwicklungen und forensische Analysen im Bereich Krypto-Betrug finden Sie auf meinem LinkedIn-Profil.

Einleitung: Warum KI-Governance keine IT-Frage, sondern Führungsverantwortung ist

Viele Unternehmen behandeln künstliche Intelligenz operativ. Systeme werden getestet, eingeführt, integriert und später in Prozesse übernommen. Solange alles funktioniert, erscheint KI als Produktivitäts- oder Innovationsthema. Rechtlich ist diese Sicht zu schmal. Denn mit dem AI Act verschiebt sich die Frage von der bloßen Nutzbarkeit hin zur Organisationsverantwortung. Wer KI im Unternehmen zulässt, fördert oder strategisch einsetzt, muss auch die Voraussetzungen schaffen, unter denen dieser Einsatz regulatorisch und haftungsrechtlich verteidigt werden kann.

Gerade hier liegt das eigentliche Risiko. In der Praxis entstehen Probleme nicht zuerst durch spektakuläre Verbote, sondern durch fehlende Struktur. Unklare Zuständigkeiten, unzureichende Freigabeprozesse, lückenhafte Dokumentation, mangelnde Überwachung und fehlende Eskalationswege führen dazu, dass Unternehmen KI zwar einsetzen, aber nicht wirklich steuern. Kommt es später zu Beschwerden, Vorfällen, aufsichtsrechtlichen Rückfragen oder Schäden, wird daraus schnell ein Governance-Problem.

Der AI Act verschärft diese Lage, weil er nicht nur materielle Anforderungen an Systeme stellt, sondern deren organisatorische Beherrschung voraussetzt. Für Geschäftsleitung, Compliance und Aufsichtsgremien bedeutet das: KI ist kein Randbereich der IT, sondern Teil ordnungsgemäßer Unternehmenssteuerung.

Wenn Sie prüfen möchten, ob Ihr Unternehmen für Haftungs-, Aufsichts- und Bußgeldrisiken im Zusammenhang mit KI belastbar aufgestellt ist, erreichen Sie mich direkt unter 0160 9955 5525 oder über das Kontaktformular: hortmannlaw.com/contact

Das eigentliche Risiko liegt selten im Einzelsystem, sondern in der fehlenden Organisation

Unternehmen fokussieren sich bei KI-Risiken häufig auf das einzelne Tool. Sie fragen, ob das System sicher ist, ob der Anbieter seriös erscheint oder ob die Ergebnisse plausibel wirken. Diese Fragen sind wichtig, greifen aber zu kurz. Das eigentliche Haftungs- und Bußgeldrisiko liegt oft nicht im System isoliert, sondern in der fehlenden organisatorischen Einbettung.

Gerade dort zeigen sich in der Praxis immer wieder dieselben Muster. Fachbereiche führen Systeme ein, ohne dass eine zentrale Freigabe erfolgt. IT und Einkauf verlassen sich auf Anbieterinformationen. Compliance wird erst spät einbezogen. Geschäftsleitung erfährt von operativer Nutzung erst, wenn bereits Konflikte auftreten. Auf dieser Grundlage entstehen später kaum belastbare Nachweise dafür, dass die Nutzung rechtlich geprüft, risikoorientiert überwacht und dokumentiert gesteuert wurde.

Die juristische Problematik ist klar: Haftung und Aufsicht knüpfen regelmäßig nicht nur an das Vorliegen eines Systems an, sondern an die Frage, ob dessen Einsatz im Unternehmen organisatorisch beherrscht wurde. Wer hier keine tragfähige KI-Governance aufbaut, schafft genau jene Angriffsfläche, die später zu internen Regressfragen, aufsichtsrechtlichen Maßnahmen oder Bußgeldrisiken führen kann.

Warum der AI Act Bußgeldrisiken erheblich verschärft

Sanktionsrisiken werden im Zusammenhang mit KI häufig entweder dramatisiert oder bagatellisiert. Beides ist unhelpful. Der sachliche Punkt ist: Der AI Act baut ein ernstzunehmendes Sanktionsregime auf, das Unternehmen nicht erst bei vorsätzlichem Fehlverhalten trifft. Relevanter sind gerade die Fälle, in denen organisatorische Pflichten, Transparenzanforderungen oder hochrisikobezogene Vorgaben nicht sauber umgesetzt wurden.

Für Unternehmen ist dabei weniger der abstrakte Höchstbetrag entscheidend als die tatsächliche Angreifbarkeit der eigenen Struktur. Wer keine belastbare Klassifizierung, keine klare Governance, keine dokumentierte Aufsicht und keine wirksame Risikosteuerung hat, kann einen Vorwurf der Nichtkonformität regelmäßig nur schwer abwehren. Das Bußgeldrisiko entsteht also nicht erst im spektakulären Ausreißerfall, sondern vielfach dort, wo das Unternehmen seine Nutzung nicht plausibel erklären kann.

Hinzu kommt, dass Bußgelder nur ein Teil der Belastung sind. Bereits behördliche Nachfragen, Prüfungen, Beanstandungen, Abhilfemaßnahmen oder die Forderung nach nachträglicher Herstellung von Konformität können operativ und wirtschaftlich erheblichen Druck erzeugen. Unternehmen brauchen deshalb keine Symbol-Compliance, sondern eine Struktur, die auch unter Prüfungsbedingungen standhält.

Haftung beginnt oft dort, wo interne Kontrollsysteme nicht auf KI eingestellt sind

Neben dem Sanktionsregime tritt die zivil- und gesellschaftsrechtliche Haftungsperspektive. Gerade auf dieser Ebene zeigt sich, warum KI-Governance nicht delegiert werden darf, ohne sie zugleich wirksam zu kontrollieren. Denn sobald ein Unternehmen durch KI-Nutzung Schäden verursacht, Ansprüchen Dritter ausgesetzt ist oder eigene Vermögensnachteile erleidet, stellt sich fast zwangsläufig die Frage, ob diese Folgen auf ein Organisationsversagen zurückzuführen sind.

Praktisch besonders relevant sind hier Pflichtverletzungen im Zusammenhang mit Legalitätskontrolle und Überwachung. Unternehmen müssen nicht nur verhindern, dass Mitarbeiter oder Systeme rechtswidrig agieren. Sie müssen auch Strukturen schaffen, die rechtswidrige oder risikobehaftete Entwicklungen frühzeitig erkennen. Gerade bei KI ist das besonders anspruchsvoll, weil Systeme komplex, dynamisch und teilweise schwer nachvollziehbar sind.

Kommt es etwa durch eine KI-Anwendung zu diskriminierenden Effekten, datenschutzwidrigen Verarbeitungen, fehlerhaften Aussteuerungen, unvertretbaren Risikobewertungen oder sonstigen Schäden, richtet sich der Blick schnell auf die interne Organisation. Gab es ein angemessenes Compliance-System? Wurden KI-bezogene Risiken überhaupt identifiziert? Waren Zuständigkeiten definiert? Gab es eine laufende Kontrolle? Wurden regulatorische Entwicklungen beobachtet und eingepflegt?

Wenn diese Fragen nicht überzeugend beantwortet werden können, verlagert sich die Auseinandersetzung vom technischen Problem zur Governance-Frage. Genau das macht KI für Geschäftsleitung und Aufsichtsorgane so relevant.

Warum die Geschäftsleitung KI nicht nur kennen, sondern strukturell steuern muss

Ein häufiger Irrtum besteht darin, die Verantwortung für KI vollständig in Fachbereiche oder technische Teams zu verlagern. Tatsächlich ist das für operative Umsetzung oft notwendig, rechtlich aber nicht ausreichend. Denn die Nutzung von KI berührt je nach Einsatzbereich nicht nur Technik, sondern Risiko, Legalität, Datenschutz, Arbeitsrecht, Produkthaftung, Reputationsschutz und Unternehmensorganisation.

Daraus folgt: Geschäftsleitung und leitende Compliance-Strukturen müssen nicht jedes System im technischen Detail beherrschen, aber sie müssen eine Organisation schaffen, die diese Systeme rechtlich steuern kann. Genau das ist der Maßstab ordnungsgemäßer Unternehmensführung im KI-Kontext.

In der Praxis bedeutet das eine doppelte Verantwortung. Einerseits müssen Zuständigkeiten sinnvoll delegiert werden. Andererseits muss sichergestellt sein, dass diese Delegation nicht in Kontrollverlust umschlägt. Gerade im Bereich KI reicht eine formale Ressortverteilung nicht aus, wenn auf Leitungsebene weder hinreichender Überblick über wesentliche Systeme noch ein belastbares Eskalations- und Berichtswesen vorhanden ist.

Reputationsschäden sind oft schneller da als die behördliche Reaktion

Ein weiterer Gesichtspunkt, der im Zusammenhang mit Haftung und Governance häufig unterschätzt wird, ist die Reputationsdimension. KI-Systeme stehen gesellschaftlich und medial unter besonderer Beobachtung. Fehlerhafte Entscheidungen, diskriminierende Wirkungen, problematische Datennutzung oder intransparente Prozesse erzeugen häufig schon dann erheblichen Druck, wenn die endgültige Rechtslage noch gar nicht geklärt ist.

Für Unternehmen ist das besonders relevant, weil Reputationsschäden regelmäßig schneller eintreten als förmliche Sanktionen. Gerade in personalbezogenen, datenintensiven oder kundenrelevanten Einsatzfeldern kann schon der nachvollziehbare Eindruck entstehen, das Unternehmen habe KI unkontrolliert, intransparent oder unfair eingesetzt. Dann wird aus einer juristischen Detailfrage in kurzer Zeit ein Vertrauensproblem.

Auch daraus folgt, dass KI-Governance nicht nur auf Rechtskonformität, sondern auf Nachweisbarkeit und Erklärbarkeit ausgerichtet sein muss. Unternehmen müssen im Konfliktfall nicht nur sagen können, dass sie Regeln haben. Sie müssen zeigen können, dass sie die Nutzung tatsächlich steuern, kontrollieren und dokumentieren.

‍

Warum Dokumentation im Haftungsfall mehr ist als Formalismus

Dokumentation ist im KI-Kontext nicht bloß Nachweis nach außen, sondern Verteidigungsgrundlage. Gerade bei Haftungs- und Aufsichtsfragen entscheidet sich oft an der Dokumentationslage, ob ein Unternehmen seine Entscheidungen, Prüfungen und Kontrollen plausibel machen kann.

Das ist im KI-Bereich deshalb so wichtig, weil viele Konflikte retrospektiv bewertet werden. Erst später stellt sich die Frage, warum ein System eingeführt, wie es klassifiziert, wer es freigegeben und wie es überwacht wurde. Fehlen dazu belastbare Unterlagen, gerät das Unternehmen schnell in eine defensive Position. Dann wird nicht nur die materielle Rechtmäßigkeit, sondern die gesamte Sorgfaltsstruktur in Zweifel gezogen.

Dokumentation ist deshalb nicht lästige Begleitpflicht, sondern Teil risikobeherrschender Unternehmensführung. Wer KI einsetzt, muss in der Lage sein, später nachvollziehbar zu erklären, auf welcher Grundlage dies geschah, welche Risiken erkannt wurden und welche Maßnahmen ergriffen wurden, um diese Risiken zu kontrollieren.

Warum Mandanten mich mit Fragen zu Haftung, Bußgeld und KI-Governance beauftragen

Unternehmen benötigen im Bereich KI-Governance keine abstrakten Zukunftsszenarien, sondern belastbare rechtliche Strukturen für reale Risiken. Genau dort liegt der anwaltliche Mehrwert.

Ich prüfe nicht nur, ob einzelne AI-Act-Pflichten theoretisch relevant sind, sondern wie die Organisation eines Unternehmens aufgebaut sein muss, um spätere Aufsichts-, Haftungs- und Dokumentationsrisiken tatsächlich zu beherrschen. Maßgeblich ist, ob Geschäftsleitung, Compliance, Fachbereiche und technische Verantwortliche in einem System zusammenwirken, das KI nicht nur einführt, sondern rechtlich kontrollierbar macht.

Gerade Unternehmen, die bereits mehrere KI-Systeme in unterschiedlichen Bereichen einsetzen, merken häufig erst spät, dass die eigentliche Schwachstelle nicht das einzelne Tool ist, sondern die fehlende Gesamtsteuerung. Viele Mandate beginnen deshalb mit der Frage, ob die bestehende Governance belastbar ist, ob Bußgeld- und Haftungsrisiken realistisch adressiert werden und wie Dokumentation, Freigabe und Kontrolle neu strukturiert werden müssen.

Was Unternehmen jetzt konkret tun sollten

Unternehmen sollten ihre KI-Governance nicht erst dann überprüfen, wenn bereits Vorfälle, Beschwerden oder Prüfungen im Raum stehen. Der richtige Zeitpunkt ist früher.

Erforderlich ist zunächst eine Bestandsaufnahme aller wesentlichen KI-Systeme und ihrer Einsatzbereiche. Darauf aufbauend muss geprüft werden, welche regulatorischen Pflichten greifen, welche Systeme besonders haftungs- oder aufsichtsrelevant sind und wo interne Steuerungslücken bestehen. Besonders wichtig ist ein klares Modell für Freigabe, Verantwortlichkeit, Eskalation, Berichterstattung und laufende Überwachung.

Ebenso entscheidend ist die Frage, ob Geschäftsleitung und Compliance-Struktur über ausreichende Sicht auf die tatsächliche KI-Nutzung verfügen. Wo dies nicht der Fall ist, entstehen schnell Blindstellen, die später kaum noch vertretbar geschlossen werden können.

Wenn Sie Ihre KI-Governance im Unternehmen rechtlich überprüfen oder Bußgeld- und Haftungsrisiken im Zusammenhang mit konkreten Systemen einordnen lassen möchten, können Sie mich direkt kontaktieren: 0160 9955 5525 oder über hortmannlaw.com/contact

Großes FAQ: Haftung, Bußgeld und KI-Governance im Unternehmen

Warum ist KI-Governance eine Führungsaufgabe?
Weil der Einsatz von KI nicht nur Technik betrifft, sondern Legalität, Organisation, Risiko, Datenschutz, Reputationsschutz und Dokumentation. Diese Bereiche berühren ordnungsgemäße Unternehmensführung unmittelbar.

Kann ein Unternehmen Bußgelder riskieren, auch wenn kein vorsätzlicher Verstoß vorliegt?
Ja. Praktisch relevant sind gerade Fälle unzureichender Organisation, fehlerhafter Klassifizierung oder unvollständiger Umsetzung regulatorischer Pflichten.

Worin liegt das größte Haftungsrisiko bei KI?
Oft nicht im System isoliert, sondern in fehlender oder unzureichender interner Kontrolle. Wenn ein Unternehmen KI nutzt, ohne Zuständigkeiten, Aufsicht und Dokumentation sauber aufzubauen, wird daraus schnell ein Governance-Problem.

Reicht es aus, wenn Fachbereiche KI eigenständig steuern?
Regelmäßig nein. Operative Verantwortung kann delegiert werden, die Pflicht zur Schaffung belastbarer Governance-Strukturen bleibt aber auf Leitungsebene relevant.

Welche Rolle spielt Dokumentation im Haftungsfall?
Eine sehr große. Dokumentation entscheidet oft darüber, ob ein Unternehmen seine Einordnung, Freigabe, Überwachung und Risikosteuerung später plausibel nachweisen kann.

Können Reputationsschäden auch ohne formelle Sanktion entstehen?
Ja. Gerade bei KI treten öffentliche oder interne Vertrauensschäden häufig früher ein als förmliche behördliche Maßnahmen.

Warum ist KI für Aufsichtsgremien und Compliance besonders relevant?
Weil KI-Systeme dynamisch, komplex und teilweise schwer nachvollziehbar sind. Das erhöht die Anforderungen an Kontrolle, Eskalation und regulatorische Beobachtung.

Wann werden Organisationsmängel besonders sichtbar?
Typischerweise bei Beschwerden, Vorfällen, Prüfungen, datenschutzrechtlichen Konflikten, arbeitsrechtlichen Auseinandersetzungen oder Schadensfällen mit Außenwirkung.

Was sollten Unternehmen zuerst prüfen?
Ob alle wesentlichen Systeme erfasst sind, ob Zuständigkeiten klar verteilt sind und ob es einen nachvollziehbaren Freigabe-, Dokumentations- und Überwachungsprozess gibt.

Wann sollte ein Anwalt eingeschaltet werden?
Möglichst früh – insbesondere dann, wenn bereits mehrere KI-Systeme im Einsatz sind oder unklar ist, ob die bestehende Governance Belastungen durch Aufsicht, Haftung oder Bußgeld standhalten würde.

Fazit: Das größte KI-Risiko im Unternehmen ist oft fehlende Steuerungsfähigkeit

Haftung, Bußgeld und Governance lassen sich im KI-Kontext nicht sauber trennen. Der AI Act macht deutlich, dass rechtssichere KI-Nutzung nicht nur vom System abhängt, sondern von der Fähigkeit des Unternehmens, dessen Einsatz organisatorisch zu beherrschen.

Wer KI einsetzt, ohne Freigabe, Kontrolle, Dokumentation und Verantwortung belastbar zu ordnen, riskiert nicht nur regulatorische Beanstandungen. Er riskiert, im Konfliktfall nicht mehr plausibel erklären zu können, wie und warum ein System eingesetzt wurde. Genau daraus entstehen in der Praxis die gravierendsten Probleme.

Wenn Sie prüfen möchten, ob Ihre KI-Governance im Unternehmen für Haftungs-, Aufsichts- und Bußgeldrisiken tragfähig aufgestellt ist, können Sie mich direkt kontaktieren – telefonisch unter 0160 9955 5525 oder über hortmannlaw.com/contact.

‍

AI Act & KI-Recht – Leitfäden im Überblick

Die folgenden Beiträge bilden eine geschlossene Struktur zum AI Act – von der Einordnung einzelner KI-Systeme über Hochrisiko-Klassifizierung und Datenschutz bis hin zu Haftung, Bußgeldern und spezifischen Fragestellungen im Bereich Krypto-Betrug und KI-gestützter Täuschung.

1. Grundlagen der AI-Act-Umsetzung

AI Act Anwalt: KI im Unternehmen rechtssicher umsetzen
https://www.hortmannlaw.com/articles/ai-act-anwalt-unternehmen-ki-umsetzung-probleme
Ein Überblick über die praktischen Umsetzungsprobleme des AI Act im Unternehmen: Governance, Dokumentation, Zuständigkeiten und organisatorische Anforderungen.

AI Act Anwalt: Wann ist KI überhaupt reguliert?
https://www.hortmannlaw.com/articles/ai-act-anwalt-wann-ist-ki-reguliert
Die zentrale Vorfrage: Wann fällt eine Softwarelösung unter den AI Act – und wann nicht? Maßgeblich für alle weiteren Pflichten.

2. Hochrisiko-KI und regulatorische Anforderungen

AI Act Anwalt: Hochrisiko-KI im Unternehmen richtig einstufen
https://www.hortmannlaw.com/articles/ai-act-anwalt-hochrisiko-ki-unternehmen
Die Einordnung als Hochrisiko-KI entscheidet über den gesamten Compliance-Aufwand. Darstellung der maßgeblichen Kriterien und Folgen.

AI Act Anwalt: KI und DSGVO im Unternehmen
https://www.hortmannlaw.com/articles/ai-act-anwalt-dsgvo-ki-unternehmen
Zusammenspiel von AI Act und DSGVO: Datenverarbeitung, Transparenzpflichten und Grenzen automatisierter Entscheidungen.

3. Krypto-Betrug, Love Scam und KI

AI Act Anwalt: Einfluss auf Krypto Betrug, Love Scam und Romance Scam
https://www.hortmannlaw.com/articles/ai-act-anwalt-krypto-betrug-love-scam-romance-scam
Einordnung des AI Act im Kontext klassischer Betrugsdelikte. Der Einfluss ist mittelbar, aber strukturell relevant.

AI Act Anwalt: Manipulative KI bei Krypto Betrug und Love Scam
https://www.hortmannlaw.com/articles/ai-act-anwalt-manipulative-ki-krypto-betrug-love-scam-deepfakes
Deepfakes, automatisierte Kommunikation und gezielte Täuschung: Wann KI-gestützte Manipulation unter den AI Act fällt.

AI Act Anwalt: Krypto Betrug, Finanz-Compliance und Hochrisiko-KI
https://www.hortmannlaw.com/articles/ai-act-anwalt-krypto-betrug-finanz-compliance-hochrisiko-ki
Bedeutung des AI Act für Banken, Finanzinstitute und Krypto-nahe Systeme: Monitoring, Betrugsprävention und regulatorische Pflichten.

‍