Die rechtliche Ausgangslage
Das österreichische Aktiengesetz verpflichtet Vorstandsmitglieder zur Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters. Bei Banken kommt §39 BWG hinzu: die Pflicht zur ordnungsgemäßen Geschäftsorganisation. Diese Normen sind die Grundlage dafür, dass Organisationsversagen persönliche Folgen haben kann.
Wenn ein KI-System ohne ausreichende Governance betrieben wird und daraus ein Schaden entsteht, kann dies zivilrechtliche, aufsichtsrechtliche und versicherungsrechtliche Fragen auslösen. Die konkrete Haftung ist immer einzelfallabhängig und sollte rechtlich geprüft werden.
Drei Haftungsdimensionen
Regulatorische Sanktionen
Die FMA ist bei Hochrisiko-KI-Systemen beaufsichtigter Finanzinstitute nach dem AI Act als Marktüberwachungsbehörde relevant. Zusätzlich wirken bestehende Aufsichtsregime wie BWG, VAG, DORA und DSGVO fort.
Zivilrechtliche Schadenersatzhaftung
KI-Systeme ohne dokumentierte Governance, ohne Risikoeinschätzung und ohne angemessene Human-Oversight-Strukturen können den Sorgfaltsmaßstab eines ordentlichen Geschäftsleiters berühren. Bei Schäden aus KI-Fehlentscheidungen drohen Ansprüche gegen das Unternehmen und interne Regressfragen.
D&O-Deckungsrisiko
D&O-Versicherungen decken Pflichtverletzungen nicht grenzenlos. Bei vorsätzlichen oder grob fahrlässigen Pflichtverletzungen können Ausschlüsse relevant werden. Gerade deshalb ist dokumentierte, nachvollziehbare Governance wichtig.
Vier Haftungsebenen
| Ebene | Risiko |
|---|---|
| Unternehmensbußgelder | Der EU AI Act sieht abgestufte Sanktionen bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes vor. |
| Persönliche Organhaftung | Über § 84 AktG, § 25 GmbHG und sektorale Organisationspflichten kann fehlende KI-Governance zur Sorgfaltspflichtfrage werden. |
| Organisations- und Überwachungspflicht | Vorstand und Geschäftsführung müssen angemessene Strukturen schaffen, überwachen und bei Abweichungen reagieren. |
| Innenhaftung | Bei schuldhafter Pflichtverletzung und Schaden können Regressfragen gegenüber Organmitgliedern entstehen. |
Die strategische Konsequenz: Nachweisbare Governance ist nicht nur regulatorische Pflicht, sondern auch persönlicher Haftungsschutz. Wer Inventar, Rollen, Kontrollen, Eskalation und Management Reviews dokumentiert, steht in einer anderen Risikoposition als ein Organ, das KI-Nutzung nicht aktiv überwacht.
Das Nichtwissen-Problem
Ein häufiges Missverständnis lautet: "Wir wussten nicht, dass dieses System KI enthält." Als Kontrollkonzept trägt diese Argumentation nicht. Betreiberpflichten setzen voraus, dass das Institut eingesetzte KI-Systeme kennt, klassifiziert und dokumentiert. Das Nichtwissen über Vendor-KI ist daher ein Governance-Risiko und spricht für ein strukturiertes KI-Inventar.
CSRD/ESRS: Verantwortung für berichtspflichtige Bias-Risiken
Wenn KI-Bias zu wesentlichen sozialen Auswirkungen, Diskriminierungsfällen oder Governance-Risiken führt, kann dies auch in der CSRD-/ESRS-Berichterstattung relevant werden. Für Leitungsorgane ist dabei nicht nur die technische KI-Compliance entscheidend, sondern auch, ob Policies, Kontrollen, Due-Diligence-Prozesse, Vorfälle und Maßnahmen nachvollziehbar berichtet und geprüft werden können.
Bei bewusstem Unterlassen erforderlicher Governance-Maßnahmen können neben aufsichts- und zivilrechtlichen Fragen auch strafrechtliche Aspekte zu prüfen sein. Solche Aussagen sollten nicht pauschal bewertet werden, sondern immer durch spezialisierte Rechtsberatung im konkreten Sachverhalt.