Die **Verordnung (EU) 2024/1689** des Europäischen Parlaments und des Rates vom 13. Juni 2024 über harmonisierte Regeln für künstliche Intelligenz (KI-Verordnung), zusammen mit **Spaniens Entwurf eines Gesetzes über den verantwortungsvollen Einsatz und die Governance von KI** sowie dem bestehenden Strafrecht-Compliance-Rahmen, begründen einen neuen Sorgfaltsstandard für Unternehmensgeschäftsführer beim Einsatz von Systemen künstlicher Intelligenz.
Zeitplan der KI-Verordnung: Stand der Dinge
| Datum | Meilenstein |
|---|---|
| 1. August 2024 | Verordnung tritt in Kraft |
| 2. Februar 2025 | Verbotene Praktiken und KI-Kompetenzpflicht gelten |
| 2. August 2025 | Governance, Aufsichtsbehörden und GPAI-Pflichten |
| 2. August 2026 | Volle Anwendung: Hochrisiko-Systeme |
| 2. August 2027 | Hochrisiko-Systeme in regulierten Produkten |
Seit dem 2. Februar 2025 sind Verbote unzulässiger Praktiken und die KI-Kompetenzpflicht (Art. 4) bereits durchsetzbar. Jedes Unternehmen, das KI-Systeme in der EU einsetzt, muss diese Pflichten heute erfüllen.
Die Frage: Haftet der Geschäftsführer persönlich?
Was die KI-Verordnung sagt
Die KI-Verordnung begründet keine direkte persönliche Haftung von Geschäftsführern oder Führungskräften. Sanktionen werden gegen das Unternehmen (Anbieter, Betreiber oder Händler des KI-Systems) verhängt:
| Verstoß | Höchststrafe | % des Umsatzes |
|---|---|---|
| Verbotene Praktiken (Art. 5) | 35 Mio. € | 7 % |
| Hochrisiko-Pflichten (Arts. 6–49) | 15 Mio. € | 3 % |
| Unrichtige Angaben | 7,5 Mio. € | 1,5 % |
Für KMU und Start-ups gilt jeweils der niedrigere Betrag oder Prozentsatz.
Was Spaniens Gesetzentwurf vorsieht
Spaniens Entwurf eines Gesetzes über den verantwortungsvollen Einsatz und die Governance von KI (Ministerrat, 11. März 2025) überführt das Sanktionsregime der KI-Verordnung in spanisches Recht:
- Sehr schwere Verstöße: 7,5 Mio. € – 35 Mio. € oder 2–7 % des Umsatzes.
- Schwere Verstöße: 500.000 € – 7,5 Mio. € oder 1–2 %.
- Leichte Verstöße: 6.000 € – 500.000 € oder 0,5–1 %.
Bei öffentlichen Einrichtungen: Keine Bußgelder, aber eine formelle Rüge mit Nennung des verantwortlichen Beamten — dies betrifft die Person des Direktors direkt.
Bei Unternehmen einer Unternehmensgruppe wird der Umsatz der Gruppe für die Sanktionsberechnung herangezogen, um zu verhindern, dass große Unternehmen die Haftung über umsatzschwache Tochtergesellschaften kanalisieren.
Haftung besteht jedoch über andere Wege
Ein Geschäftsführer, der keine KI-Governance implementiert, ist über drei konvergierende Wege haftbar:
Weg 1: Sorgfalts- und Treuepflicht (spanisches Kapitalgesellschaftsgesetz)
Die Artikel 225 und 226 des spanischen Kapitalgesellschaftsgesetzes (Ley de Sociedades de Capital, LSC) verpflichten Geschäftsführer zu:
- Sorgfaltspflicht: mit der Sorgfalt eines ordentlichen Kaufmanns zu handeln, was die Implementierung interner Kontrollsysteme zur Steuerung der Unternehmensrisiken einschließt.
- Treuepflicht: in gutem Glauben und im besten Interesse des Unternehmens zu handeln.
- Business Judgment Rule (Art. 226 LSC): Dieser Schutz gilt nur für Entscheidungen, die mit ausreichenden Informationen und einem angemessenen Verfahren getroffen wurden.
Wird das Unternehmen mit erheblichen Bußgeldern wegen Nichteinhaltung der KI-Verordnung belegt und ist nachweislich kein KI-Governance-System implementiert worden, kann das Unternehmen oder können Aktionäre eine Schadensersatzklage (Art. 238 LSC) gegen die Geschäftsführer einreichen.
Weg 2: Strafrecht-Compliance (Art. 31 bis CP)
Art. 31 bis Código Penal (CP) begründet die Strafbarkeit juristischer Personen für Delikte ihrer gesetzlichen Vertreter oder Mitarbeiter, wenn kein Organisations- und Managementmodell mit angemessenen Aufsichts- und Kontrollmaßnahmen zur Verhinderung von Straftaten existiert.
KI-Systeme können das Instrument für Unternehmensdelikte sein:
- Diskriminierung (Art. 314 CP): ein Einstellungsalgorithmus, der aufgrund von Geschlecht, Alter oder Rasse diskriminiert.
- Betrug (Art. 248 CP): ein KI-System, das irreführende Informationen für Kunden erzeugt.
- Entdeckung von Geheimnissen (Art. 197 CP): ein KI-System, das ohne Rechtsgrundlage auf personenbezogene Daten zugreift.
- Verletzung geistigen Eigentums (Arts. 270–272 CP): Training auf geschützten Daten.
Fehlt dem Unternehmen ein Verbrechensvermeidungsmodell, das spezifische KI-Risiken einschließt, droht den Geschäftsführern strafrechtliche Haftung wegen Verstoßes gegen die Aufsichtspflicht gemäß Art. 31 bis.2 CP.
Weg 3: KI-Kompetenzpflicht (Art. 4 KI-Verordnung)
Art. 4 der KI-Verordnung verpflichtet Anbieter und Betreiber, sicherzustellen, dass ihre Mitarbeiter über ein ausreichendes Maß an KI-Kompetenz verfügen, unter Berücksichtigung ihrer technischen Kenntnisse, Erfahrungen, Schulungen und des Nutzungskontexts.
Diese Pflicht liegt direkt beim Unternehmen, aber ihre Erfüllung ist Aufgabe des Vorstands, der folgendes tun muss:
- Alle im Unternehmen eingesetzten KI-Systeme identifizieren.
- Das Risikoniveau jedes Systems bewerten.
- Angemessene Schulungen für Mitarbeiter konzipieren und durchführen, die KI-Systeme betreiben, überwachen oder Entscheidungen auf Basis von KI-Systemen treffen.
- Die Compliance dokumentieren.
AESIA (Agencia Española de Supervisión de la Inteligencia Artificial — spanische KI-Aufsichtsbehörde), seit 2023 operativ und mit vollständigen Inspektions- und Sanktionsbefugnissen seit August 2025, kann diese Dokumentation jederzeit anfordern.
CGPJ-Anweisung 2/2026
Am 28. Januar 2026 hat das Plenum des Allgemeinen Rates der Judikative die Anweisung 2/2026 über den Einsatz von KI-Systemen in der Rechtspflege (BOE-A-2026-2205) angenommen.
Diese Anweisung ist für Geschäftsführer relevant, weil:
- Sie einen Referenzrahmen dafür festlegt, wie spanische Gerichte den KI-Einsatz bewerten.
- Sie Transparenz, Erklärbarkeit und menschliche Aufsicht bei KI-gestützten Gerichtsentscheidungen fordert.
- Sie einen Governance-Präzedenzfall schafft, den Gerichte analog anwenden werden, wenn sie die Sorgfalt von Geschäftsführern im Privatsektor beurteilen.
Aufsichtsbehörden in Spanien
Spaniens Gesetzentwurf verteilt die Aufsicht auf mehrere Behörden:
| Behörde | Zuständigkeit |
|---|---|
| AESIA | Allgemeine Aufsicht, Koordination, Sandbox |
| AEPD | Biometrie, Migration, personenbezogene Daten |
| CGPJ | Justiz |
| Banco de España | Kreditscoring |
| CNMV | Kapitalmärkte |
| DG Versicherungen | Versicherungssektor |
| Zentrale Wahlkommission | Wahlprozesse |
Was der sorgfältige Geschäftsführer tun muss
Mindest-KI-Governance-Plan
- KI-System-Inventar: Alle KI-Systeme erfassen und nach Risikoniveau klassifizieren (unzulässig, hoch, begrenzt, minimal).
- KI-Beauftragter: Einen KI-Governance-Beauftragten oder -Ausschuss mit direktem Zugang zum Vorstand benennen.
- Interne KI-Richtlinie: Eine Richtlinie mit Nutzungsprinzipien, zugelassenen Systemen, internen Verboten und Genehmigungsverfahren für neue Systeme verabschieden.
- Folgenabschätzung: Für Hochrisiko-Systeme die Konformitätsbewertung, Trainingsdaten, identifizierte Verzerrungen und Minderungsmaßnahmen dokumentieren.
- Schulung (KI-Kompetenz): Schulungsprogramme für Mitarbeiter konzipieren und durchführen, die KI-Systeme betreiben, überwachen oder Entscheidungen auf Basis von KI treffen.
- Menschliche Aufsicht: Sicherstellen, dass jede wesentliche KI-gestützte Entscheidung eine effektive — nicht nur formale — menschliche Aufsicht hat.
- Vorfallsverfahren: Einen internen Meldekanal für KI-System-Vorfälle oder -Ausfälle einrichten.
- Regelmäßige Prüfung: Das Inventar, die Richtlinie und die Schulungen jährlich überprüfen.
Integration in das bestehende Compliance-Modell
Der KI-Governance-Plan darf kein eigenständiges Dokument sein, sondern muss in das Verbrechensvermeidungsmodell (Art. 31 bis CP) und das allgemeine Compliance-System des Unternehmens integriert werden.
DSGVO + KI-Verordnung: Interaktionsmatrix für Hochrisiko-Systeme
| Anforderung | DSGVO | KI-Verordnung (Hochrisiko-Systeme) | Gemeinsame Maßnahme |
|---|---|---|---|
| Folgenabschätzung | DSFA (Art. 35 DSGVO) | Konformitätsbewertung (Arts. 9–15 KI-VO) | Integrierter Prozess |
| Recht auf Erklärung | Kein rein automatisiertes Entscheiden (Art. 22 DSGVO) | Verpflichtende menschliche Aufsicht (Art. 14 KI-VO) | System muss dokumentierte menschliche Überprüfung ermöglichen |
| Transparenz | Information an Betroffene über automatisierte Verarbeitung | KI-Interaktionshinweis (Art. 13 KI-VO) | Datenschutzhinweise aktualisieren |
| Aufzeichnungspflicht | Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) | Aktivitätsprotokolle des Systems (Art. 12 KI-VO) | Einheitliches Register |
Fazit: Faktische Haftung, nicht rechtliche Haftung
Die KI-Verordnung besagt nicht ausdrücklich, dass Geschäftsführer persönlich haften. Aber die Kombination aus erheblichen Sanktionen auf Unternehmensebene, Sorgfaltspflichten nach LSC, Strafrecht-Compliance (Art. 31 bis CP), KI-Kompetenzpflicht (Art. 4 KI-VO), AESIA mit vollständigen Inspektionsbefugnissen und CGPJ-Anweisung 2/2026 als gerichtlichem Präzedenzfall begründet einen Sorgfaltsstandard, der bei Nichteinhaltung den Geschäftsführer zivilrechtlich (Schadensersatzklage, Art. 238 LSC), strafrechtlich (Art. 31 bis CP) und reputationsmäßig exponiert.
Die Botschaft ist klar: KI-Governance ist keine technische Empfehlung mehr — sie ist eine Pflicht aus der Sorgfaltspflicht des Geschäftsführers.
BMC berät Unternehmen und ihre Vorstände bei der Implementierung von KI-Governance-Systemen, die der KI-Verordnung und dem spanischen Compliance-Rahmen entsprechen. Erfahren Sie mehr über unsere KI-Act-Compliance-Dienstleistungen.
