Was sind die Aufgaben der Gesellschafter nach § 46 GmbHG?

Die Gesellschafter einer GmbH bilden das oberste Willensbildungsorgan. Gemäß § 46 GmbHG obliegen ihnen zentrale Entscheidungen, die über das operative Tagesgeschäft hinausgehen. Dazu gehören insbesondere die Feststellung des Jahresabschlusses, die Verwendung des Ergebnisses, die Bestellung und Abberufung von Geschäftsführern sowie die Überwachung der Geschäftsführung und die Geltendmachung von Ersatzansprüchen.

Die Gesellschafter halten die „Finanzhoheit“. Sie prüfen den von der Geschäftsführung vorgelegten Jahresabschluss und stellen diesen fest.

• Ergebnisverwendung: Sie entscheiden, ob Gewinne ausgeschüttet oder als Rücklagen in das Unternehmen reinvestiert werden.

• Internationale Standards: Gemäß § 46 Nr. 1a und 1b GmbHG entscheiden sie über die Billigung von Konzernabschlüssen und die Anwendung von IFRS-Standards, was besonders für die Vergleichbarkeit auf globalen Märkten entscheidend ist.

Eine relativ neue Regelung erlaubt den Gesellschaftern, über die Offenlegung eines Einzelabschlusses nach internationalen Rechnungslegungsstandards (IFRS) zu entscheiden. Dies ist vor allem relevant für international tätige Unternehmen, da diese Standards eine größere Vergleichbarkeit der finanziellen Berichterstattung ermöglichen.

Falls die GmbH Teil eines Konzerns ist, obliegt den Gesellschaftern auch die Billigung des Konzernabschlusses. Dieser gibt ein umfassendes Bild der finanziellen Lage des gesamten Unternehmensverbunds und wird von den Geschäftsführern aufgestellt.

• Einlagen: Die Gesellschafter müssen sicherstellen, dass das Stammkapital real vorhanden ist. Sie beschließen die Einforderung noch nicht geleisteter Einlagen.

• Nachschüsse: Falls die Satzung dies vorsieht, können zusätzliche Mittel eingefordert werden. Die Entscheidung über deren Rückzahlung obliegt ebenfalls der Versammlung (§ 46 Nr. 2 & 3 GmbHG).

Aufgaben der Gesellschafter gemäß § 46 GmbHG

Nachschüsse sind zusätzliche Einzahlungen, die Gesellschafter bei Bedarf leisten müssen. Die Entscheidung über die Rückzahlung solcher Nachschüsse, wenn sie geleistet wurden, liegt ebenfalls bei den Gesellschaftern.

Gesellschafter entscheiden über strukturelle Veränderungen in Bezug auf die Anteile der Gesellschaft. Dies betrifft insbesondere die Teilung oder Zusammenlegung von Geschäftsanteilen sowie die Einziehung von Anteilen, wenn diese zurückgekauft oder eingezogen werden sollen.

Die Bestellung und Abberufung der Geschäftsführung ist das schärfste Schwert der Gesellschafter (§ 46 Nr. 5 GmbHG).

• Entlastung: Durch die jährliche Entlastung billigen die Gesellschafter die bisherige Führung.

• Prokura: Auch die Erteilung und der Widerruf der Prokura sowie der allgemeinen Handlungsvollmacht fallen in ihren Zuständigkeitsbereich (§ 46 Nr. 7 GmbHG).

Die Gesellschafter sind nicht nur „stille Teilhaber“, sondern Kontrollinstanz:

• Prüfung: Sie können jederzeit Einsicht in die Bücher verlangen und Sonderprüfungen anordnen (§ 46 Nr. 6 GmbHG).

• Ersatzansprüche: Wenn Geschäftsführer ihre Pflichten verletzen, entscheiden die Gesellschafter über die Einleitung rechtlicher Schritte und die Geltendmachung von Schadensersatz (§ 46 Nr. 8 GmbHG).

Die Gesellschafter sind verantwortlich für die Bestellung von Prokuristen und Handlungsbevollmächtigten, die weitreichende Handlungsvollmachten für das Unternehmen erhalten. Diese Personen können wesentliche Entscheidungen für die Gesellschaft treffen und das operative Geschäft leiten.

Falls der Gesellschaft durch die Geschäftsführung oder Gesellschafter Schaden entstanden ist, liegt es in der Hand der Gesellschafter, Ersatzansprüche geltend zu machen. Sie vertreten die Gesellschaft in rechtlichen Auseinandersetzungen gegen die Geschäftsführer, um potenzielle Schäden auszugleichen.

Bei der Entscheidung über die Geltendmachung von Ansprüchen gegen einen Gesellschafter-Geschäftsführer unterliegt der betroffene Gesellschafter einem Stimmverbot. Das ist für die Praxis extrem relevant, damit Beschlüsse nicht anfechtbar sind.

§ 46 des GmbHG verdeutlicht die weitreichenden Rechte und Pflichten der Gesellschafter einer GmbH. Sie tragen die Verantwortung für zentrale Entscheidungen, die den Fortbestand und den Erfolg der Gesellschaft betreffen. Von der Bestellung der Geschäftsführung bis zur Feststellung des Jahresabschlusses – die Gesellschafter haben maßgeblichen Einfluss auf die strategische Ausrichtung der GmbH und deren langfristige Entwicklung.

Hinweis für die Praxis: Viele dieser gesetzlichen Regelungen sind „dispositiv“. Das bedeutet, durch den Gesellschaftsvertrag (Satzung) können Aufgaben teilweise anders verteilt werden. Die Kernkompetenzen (wie die Entlastung oder Abberufung aus wichtigem Grund) sind jedoch meist fest im Gesetz verankert.

Nach § 17 GwG dürfen Verpflichtete bestimmte geldwäscherechtliche Sorgfaltspflichten auf Dritte oder externe Dienstleister übertragen. Während die Identifizierung und Informationseinholung (§ 10 Abs. 1 Nr. 1–4 GwG) delegierbar sind, verbleibt die Letztverantwortung für die Einhaltung der Compliance stets beim Verpflichteten. Erfahre hier, welche Voraussetzungen für die rechtssichere Auslagerung und den Rückgriff auf Dritte gelten.

Nach § 17 GwG kannst du Sorgfaltspflichten auf Dritte oder externe Dienstleister übertragen, aber Achtung: Die Letztverantwortung bleibt immer bei dir als Verpflichtetem.

• Was übertragen werden darf: Ausschließlich die allgemeinen Sorgfaltspflichten nach § 10 Abs. 1 Nr. 1 bis 4 GwG (Identifizierung, wirtschaftlich Berechtigte, Zweck der Geschäftsbeziehung, PEP-Prüfung).

• Was NICHT übertragen werden darf:

  • Die kontinuierliche Überwachung (§ 10 Abs. 1 Nr. 5 GwG).

  • Die Erfüllung verstärkter Sorgfaltspflichten (z. B. bei Hochrisikofällen nach § 15 GwG).

• Zurechnung: Fehler des Dritten werden dir so zugerechnet, als hättest du sie selbst begangen.

Hierbei handelt es sich um „gesetzlich zuverlässige“ Stellen, bei denen du keinen separaten Auslagerungsvertrag benötigst.

• Zulässige Dritte: Kredit- und Finanzinstitute (Inland/EU), bestimmte Güterhändler oder vergleichbare Institute in Drittstaaten mit gleichwertigem Schutzniveau.

• Privileg für Gruppen (§ 17 Abs. 4 GwG): Innerhalb einer Unternehmensgruppe ist der Rückgriff erleichtert, sofern gruppenweite AML-Standards (Anti-Money Laundering) gelten und überwacht werden.

• Wichtig: Ein Rückgriff auf Dritte in Hochrisiko-Drittstaaten ist (bis auf wenige Ausnahmen bei Tochterunternehmen) untersagt.

• Keine Umgehung: Du darfst kein „Identification-Shopping“ betreiben. Wenn ein Kunde im Inland sitzt, darf das ausländische Recht des Dritten das deutsche Schutzniveau nicht unterschreiten.

Willst du die Pflichten auf Dienstleister übertragen, die keine „Dritten“ im Sinne des Gesetzes sind (z. B. spezialisierte KYC-Agenturen), greift die vertragliche Auslagerung.

• Anforderungen an dich:

  • Eignungsprüfung: Du musst vorab prüfen, ob der Dienstleister fachlich und personell in der Lage ist (§ 17 Abs. 7 GwG).

  • Kontrollpflicht: Du musst die Durchführung laufend stichprobenartig überwachen.

  • Vertragsgestaltung: Weisungs- und Kontrollrechte müssen explizit fixiert sein.

• Sub-Auslagerung: Diese ist nur mit deiner Zustimmung und unter Einhaltung derselben strengen Kriterien zulässig.

Die Aufsicht (BaFin/FIU) verlangt, dass Identifizierungsdaten direkt vom Dritten zum Verpflichteten fließen.

Eine Übermittlung „über den Kunden“ (z.B. Kunde schickt Kopie, die der Dritte erstellt hat) ist unzulässig und führt bei Prüfungen regelmäßig zu Bußgeldern.

Dritte müssen das Rad nicht jedes Mal neu erfinden: Unter bestimmten Voraussetzungen erlaubt § 17 GwG, dass ein Dritter auf Identifizierungsdaten zurückgreift, die er bereits zu einem früheren Zeitpunkt erhoben hat. Damit dieser Rückgriff rechtssicher ist, müssen folgende vier Kriterien gleichzeitig erfüllt sein:

• Eigene Geschäftsbeziehung: Die ursprüngliche Identifizierung muss im Rahmen einer eigenen Geschäftsbeziehung des Dritten erfolgt sein – und zwar unter Anwendung der allgemeinen (nicht vereinfachten!) Sorgfaltspflichten.

• Die 24-Monats-Frist: Die Identifizierung oder die letzte Datenaktualisierung (gemäß § 12 GwG) darf zum Zeitpunkt der Übermittlung nicht länger als 24 Monate zurückliegen. Diese Frist ist eine strikte materielle Ausschlussgrenze.

• Aktualität & Plausibilität: Es dürfen keine äußeren Umstände vorliegen, die an der Richtigkeit oder Aktualität der Daten zweifeln lassen.

• Gültige Dokumente: Das damals verwendete Identifikationsdokument (z. B. Personalausweis oder Reisepass) muss zum Zeitpunkt des Rückgriffs noch gültig sein.

Wichtig für die Praxis: Nach Ablauf der 24 Monate erlischt die Erlaubnis zum Datenrückgriff. Der Dritte muss in diesem Fall eine vollständige Neu-Identifizierung oder Aktualisierung nach §§ 10, 12 GwG durchführen, bevor er die Daten an dich übermitteln darf.

Auch wenn § 17 Abs. 4 GwG Erleichterungen bietet, entbindet dich das nicht von der Pflicht, die Informationen tatsächlich zu erhalten. Du musst jederzeit nachweisen können, dass du die Angemessenheit der Maßnahmen im Blick behältst – besonders wenn das Schutzniveau im Sitzland des Gruppenmitglieds niedriger ist als in Deutschland.

Damit du bei der Zusammenarbeit mit Dritten oder Dienstleistern rechtlich auf der sicheren Seite stehst, hilft dir ein strukturierter Compliance-Toolbox-Ansatz. So stellst du sicher, dass die Delegation von Sorgfaltspflichten nicht zum Haftungsrisiko wird.

• S+P Checkliste „Dienstleister-Audit“: Bevor du Aufgaben auslagerst, musst du die Geeignetheit und Zuverlässigkeit des Partners prüfen (§ 17 Abs. 5 & 7 GwG). Nutze eine standardisierte Checkliste für das Vorab-Screening und die laufende Überwachung (Stichprobenkontrolle).

• Muster-Auslagerungsvertrag (GwG-konform): Verwende Vertragsvorlagen, die explizit die unverzügliche Übermittlungspflicht, deine Weisungsrechte und die Kontrollrechte (§ 17 Abs. 3 & 5 GwG) regeln. Ohne diese schriftliche Fixierung ist die Auslagerung rechtlich unwirksam.

• Monitoring-Tool für die 24-Monats-Frist: Implementiere ein einfaches Ampelsystem oder eine Datenbank-Abfrage, die dich warnt, wenn Identifizierungsdaten eines Dritten älter als 24 Monate sind. So verhinderst du den Rückgriff auf veraltete, unzulässige Datensätze.

• Übermittlungs-Protokoll: Erstelle eine klare Vorgabe für den Datentransfer. Dokumentiere, dass die Unterlagen (Video-Ident, Ausweiskopien etc.) direkt vom Partner an dich geflossen sind und nicht über den Kunden eingereicht wurden.

​

Strategische Exzellenz auf C-Level erfordert kontinuierliche Orientierung. Damit du nach deinem Lehrgang nicht allein gelassen wirst, haben wir S+P C.O.R.E. entwickelt.

S+P Mehrwert-Garantie: Dein Wissens-Vorsprung für 2026

Jede Buchung eines S+P Seminars beinhaltet automatisch den kostenfreien Zugang zum quartalsweisen S+P C.O.R.E. Executive Update. Warum? Weil wir wissen, dass die regulatorische Welt nicht stillsteht. Wir halten dein Wissen aktuell – garantiert.

Das BRUBEG ist beschlossene Sache! Mit den neuen §§ 26c und 26d KWG ziehen ESG-Risiken endgültig in das Kerngeschäft der Banken ein. Erfahre hier, welche Pflichten bis 2027 auf dein Institut zukommen, wie du von Erleichterungen profitierst und was der Finanzausschuss in letzter Minute geändert hat.

Das Bankenrichtlinienumsetzungs- und Bürokratieentlastungsgesetz (BRUBEG) markiert einen Wendepunkt in der deutschen Bankenregulierung. Seit der Verabschiedung am 29. Januar 2026 ist klar: Nachhaltigkeitsrisiken sind keine „Nice-to-have“-Themen mehr, sondern integraler Bestandteil des Risikomanagements (§ 25a KWG).

Die gute Nachricht: Der Gesetzgeber verzichtet auf „Gold-Plating“ und nutzt Spielräume für kleine Institute konsequent aus.

Mit der Einführung zwei völlig neuer Paragrafen wird die ESG-Integration konkret:

§ 26c KWG – ESG im Risikomanagement

Institute müssen ESG-Risiken nun über alle Ebenen hinweg steuern. Besonders spannend: Der Gesetzgeber verlangt einen Zeithorizont von mindestens 10 Jahren.

• Strategie: ESG-Ziele müssen in der Gesamt- und Risikostrategie dokumentiert werden.

• Personal & IT: Die Ausstattung muss ausreichen, um langfristige ESG-Effekte zu beurteilen.

• Geschäftsleitung: Vorstände müssen über spezifische ESG-Kenntnisse verfügen – inklusive der Auswirkungen des Instituts auf die Umwelt (Double Materiality).

§ 26d KWG – Der ESG-Risikoplan

Jedes Institut muss einen spezifischen Plan zur Überwachung und Steuerung finanzieller ESG-Risiken erstellen. Dieser muss:

1. Quantifizierbare Ziele und Kennzahlen enthalten.

2. Mit anderen Offenlegungen (z. B. CSRD) kohärent sein.

3. Regulatorische Transitionsrisiken der EU adressieren.

Bist du bei einem „kleinen und nicht komplexen Institut“ tätig? Dann gibt es wichtige Privilegien (§ 26d Abs. 1):

• Fokus bis 2029: Der ESG-Risikoplan darf sich zunächst auf Klimarisiken beschränken.

• Qualität vor Quantität: Wenn die Messung zu aufwendig ist, reichen qualitative Ziele (nach Anzeige bei der BaFin).

Ein „kleines und nicht komplexes Institut“ (Small and Non‑Complex Institution, SNCI) ist ein Institut, das die in Art. 4 Abs. 1 Nr. 145 CRR genannten Kriterien erfüllt. Diese Kriterien betreffen insbesondere:

• Begrenzte Bilanzsumme und geringe Größe des Geschäftsvolumens.

• Ein einfaches, wenig komplexes Geschäftsmodell ohne umfangreichen Handel oder komplexe Derivatestrukturen.

• Keine oder nur sehr begrenzte internationale Tätigkeiten und Vernetzungen.

• Kein bedeutendes Institut im Sinne der Aufsicht (also nicht systemrelevant).

Ob ein Institut als SNCI gilt, prüft die Aufsicht anhand der CRR‑Kriterien; das Ergebnis ist dann Grundlage für die Privilegien in § 26d Abs. 1 KWG‑neu (Fokus auf Klimarisiken bis 2029, qualitative statt quantitativer ESG‑Ziele nach Anzeige bei der BaFin).

Am 28.01.2026 hat der Finanzausschuss noch einmal nachgebessert. Besonders Förderbanken können aufatmen:

• Meldepflichten: Förderbanken des Bundes und der Länder sind von den ESG-Berichtspflichten ausgenommen.

• Eigenmittel: Für Beteiligungspositionen im Förderauftrag sinkt das Risikogewicht von 250 % auf 100 %.

Damit du den Überblick behältst, solltest du die Umsetzung in Etappen planen:

Phase 1: Analyse & Governance (Sofort bis Q3 2026)

• Gap-Analyse: Wo stehen eure Prozesse im Vergleich zu den neuen §§ 26c/26d?

• Eignungsprüfung: Haben Vorstand und Aufsichtsrat die nötige ESG-Sachkunde? Ggf. Schulungen einplanen.

• Vergütung: Prüft, ob die Vergütungssysteme die ESG-Risikoneigung bereits widerspiegeln (§ 4 InstitutsVergV).

Phase 2: ESG-Risikoplan & Integration (Q3 2026 – Q2 2027)

• Plan-Erstellung: Erarbeitet den ESG-Risikoplan mit einem 10-Jahres-Horizont.

• Stresstests: Integriert internationale Klimaszenarien in eure Resilienzanalysen.

• Anzeige: Denkt daran, die Aufstellung des Plans der BaFin und Bundesbank anzuzeigen (§ 24 KWG).

Phase 3: Operationalisierung (Ab Q3 2027)

• Risikoinventur: ESG-Risiken müssen nun fest in der Inventur verankert sein.

• SREP-Check: Bereitet die Dokumentation für die aufsichtliche Prüfung vor. Die BaFin bewertet euren ESG-Risikoplan künftig im Rahmen des SREP (§ 6b KWG).

Wichtiger Hinweis: Die BaFin hat durch § 45 KWG nun eine neue „Scharfe Waffe“: Sie kann spezifische Anpassungen an deiner Geschäftsstrategie anordnen, wenn deine ESG-Risiken kurz- oder langfristig zu hoch erscheinen.

Strategische Exzellenz auf C-Level erfordert kontinuierliche Orientierung. Damit du nach deinem Lehrgang nicht allein gelassen wirst, haben wir S+P C.O.R.E. entwickelt.

S+P Mehrwert-Garantie: Dein Wissens-Vorsprung für 2026

Jede Buchung eines S+P Seminars beinhaltet automatisch den kostenfreien Zugang zum quartalsweisen S+P C.O.R.E. Executive Update. Warum? Weil wir wissen, dass die regulatorische Welt nicht stillsteht. Wir halten dein Wissen aktuell – garantiert.

Stell dir vor, in deiner Marketingabteilung werden Pressemitteilungen mit ChatGPT optimiert, dein Controlling lässt Quartalszahlen von einer KI analysieren und die HR-Abteilung nutzt ein praktisches Tool zur Vorauswahl von Bewerbern. Klingt nach dem Traum eines jeden CEO? Absolut. Doch wenn diese Tools ohne deine offizielle Freigabe und ohne Sicherheitsleitplanken genutzt werden, spricht man von Schatten-KI.

Was früher als „Schatten-IT“ (der private Drucker unter dem Schreibtisch) begann, hat durch generative KI eine völlig neue Eskalationsstufe erreicht. Mit dem Inkrafttreten des EU AI Acts wird das, was deine Mitarbeitenden „einfach mal ausprobieren“, für dich als Geschäftsführer zur unmittelbaren persönlichen Haftungsfalle.

Die 3 Säulen der KI-Haftung

1. Regulatorische Haftung: Bußgelder bis zu 35 Mio. € oder 7 % des Weltumsatzes (Art. 99 EU AI Act).

2. Zivilrechtliche Haftung: Schadensersatz bei Fehlentscheidungen oder Urheberrechtsverletzungen.

3. Persönliche Haftung: Durchgriff auf dein Privatvermögen bei Organisationsverschulden (§ 43 GmbHG).

Schatten-KI entsteht im Vakuum zwischen technologischer Innovation und veralteten Unternehmensrichtlinien. Das Paradoxe: Deine Mitarbeitenden handeln meist in bester Absicht. Sie wollen keine Sicherheitsbarrieren durchbrechen, sondern Prozesse beschleunigen. Sie nutzen private Accounts für ChatGPT, Gemini oder DeepL, um Präsentationen zu strukturieren, Code zu debuggen oder sensible E-Mails zu übersetzen.

Das Problem: Die unsichtbare Datenabwanderung. Diese Nutzung findet in einem völlig ungeschützten Raum statt. Ohne Verträge zur Auftragsverarbeitung (AVV) und ohne technische Absicherung (z.B. API-Sperren für Training) werden deine Unternehmensdaten zum Allgemeingut der KI-Anbieter.

• Keine Kontrolle: Du weißt nicht, welche Daten das Haus verlassen.

• Keine Sicherheit: Private Accounts bieten keine Enterprise-Schutzwälle.

• Kein Urheberrecht: Werden KI-generierte Inhalte ungeprüft übernommen, drohen rechtliche Grauzonen beim Schutz deines geistigen Eigentums.

Aus einer vermeintlich harmlosen Arbeitserleichterung wird so über Nacht ein massives Compliance-Leck, das bei der nächsten Prüfung durch Aufsichtsbehörden direkt auf deinen Schreibtisch zurückfällt.

Die Schonfrist ist vorbei. Seit dem vollständigen Inkrafttreten der maßgeblichen Teile des EU AI Acts im Jahr 2025 ist die regulatorische Landschaft für KI in Stein gemeißelt. Was früher als Grauzone galt, ist heute ein klar definiertes Rechtsfeld. Wer heute noch behauptet, von der KI-Nutzung seiner Mitarbeitenden nichts zu wissen, agiert nach den aktuellen Maßstäben der Aufsichtsbehörden grob fahrlässig.

Der AI Act als Haftungsbeschleuniger

Die Verordnung teilt KI-Systeme in Risikoklassen ein. Das Tückische: Sobald ein KI-System in deinem Unternehmen eingesetzt wird, giltst du rechtlich als Betreiber. Es spielt keine Rolle, ob du die Lizenz gekauft hast oder ob ein Werkstudent ein Gratis-Tool nutzt.

Besonders kritisch wird es bei sogenannten Hochrisiko-KI-Systemen. Dazu gehören fast alle Anwendungen, die in die Grundrechte von Menschen eingreifen:

• Personalwesen: KI zur Sortierung von Lebensläufen oder zur Bewertung der Arbeitsleistung.

• Finanzwesen: Systeme zur Kreditwürdigkeitsprüfung.

• Zugang zu Leistungen: KI-basierte Kundenbewertungen (Scoring).

Wenn solche Systeme unkontrolliert als Schatten-KI in deinem Haus laufen, verletzt du direkt die strengen Auflagen für Risikomanagement, technische Dokumentation und menschliche Aufsicht.

Das finanzielle Damoklesschwert

Die Sanktionen sind drakonisch. Verstöße gegen den AI Act können Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes nach sich ziehen. Für dich als Geschäftsführer bedeutet das: Ein Ignorieren der Schatten-KI ist keine Nachlässigkeit mehr, sondern ein existenzbedrohendes Risiko für die Gesellschaft.

Du haftest nicht nur gegenüber der Aufsichtsbehörde, sondern stehst an zwei Fronten unter Beschuss.

1. Daten-Exfiltration und der Verlust von IP

Wenn Mitarbeitende Firmengeheimnisse in eine öffentliche KI eingeben, verlassen diese Daten deinen Kontrollbereich. Viele KI-Modelle nutzen die Eingaben (Prompts), um ihre Algorithmen weiter zu trainieren.

• DSGVO-Verstöße: Personenbezogene Kundendaten landen auf Servern außerhalb der EU.

• IP-Verlust: Deine Strategiepapiere oder Produktdetails werden Teil des globalen Wissensschatzes des KI-Anbieters.

• Urheberrecht: Werden KI-generierte Inhalte ohne Prüfung verwendet, riskierst du teure Abmahnungen wegen Urheberrechtsverletzungen.

2. Das Organisationsverschulden (§ 43 GmbHG)

Als Geschäftsführer bist du zur „Sorgfalt eines ordentlichen Geschäftsmannes“ verpflichtet. Wenn du weißt (oder wissen müsstest), dass KI im Unternehmen genutzt wird, aber keine Governance-Strukturen schaffst, handelst du fahrlässig. In diesem Fall greift die Durchgriffshaftung: Du könntest bei schweren Fehlern der KI persönlich mit deinem Privatvermögen haften, weil du die erforderliche Organisation und Überwachung unterlassen hast.

Beweislast und Haftungsregeln bei KI-Schäden

Auf EU‑Ebene wurde mit der vorgeschlagenen KI‑Haftungsrichtlinie (Artificial Intelligence Liability Directive, AILD) ein eigenständiger Rahmen für zivilrechtliche Haftung bei KI‑Schäden diskutiert. Ziel dieses Entwurfs war es, Geschädigten den Zugang zu Beweismitteln zu erleichtern und in bestimmten Konstellationen eine widerlegliche Vermutung für den Kausalzusammenhang zwischen Pflichtverstoß und Schaden einzuführen, insbesondere wenn Dokumentations‑ und Sorgfaltspflichten verletzt wurden. 

Politisch ist allerdings offen, ob und in welcher Schärfe diese Haftungsmechanismen tatsächlich umgesetzt werden; der ursprüngliche AILD‑Vorschlag wurde zwischenzeitlich zurückgenommen bzw. grundlegend überarbeitet und es ist eher nicht damit zu rechnen, dass die ursprünglich sehr weitreichenden Beweislastregeln 1:1 in geltendes Recht übergehen.

Die Lösung ist nicht das Verbot – Verbote führen nur zu noch mehr Schatten-Aktivitäten. Die Lösung ist ein strukturierter Rahmen, der Innovation ermöglicht und Haftung minimiert.

Der AI Compliance Officer (AI-CO) als Rettungsanker

Du brauchst eine zentrale Rolle, die zwischen der IT, der Rechtsabteilung und der Geschäftsführung vermittelt. Der AI Compliance Officer ist kein Programmierer. Er ist ein Governance-Manager. Er sorgt dafür, dass die regulatorischen Anforderungen des AI Acts in den Arbeitsalltag übersetzt werden.

Wichtig für dich: Die Benennung eines AI-CO ist dein stärkstes Signal für aktive Compliance. Im Falle einer Prüfung durch die Aufsichtsbehörden dient die Etablierung dieser Rolle als direkter Entlastungsbeweis (Exkulpation). Du dokumentierst damit schwarz auf weiß, dass du deiner Überwachungspflicht als Geschäftsführer nachkommst und das Risiko nicht ignorierst.

Schritt 1: Die KI-Inventur

Du kannst nicht managen, was du nicht kennst. Starte einen Prozess zur Erfassung aller genutzten Systeme.

• Nutze ein standardisiertes KI-Inventar (z. B. auf Excel-Basis).

• Erfasse: Welches Tool? Wer nutzt es? Welche Daten fließen hinein? Welchem Zweck dient es?

• Vergleiche dies mit Art. 6 des AI Acts, um die Risikoklasse zu bestimmen.

Schritt 2: Die Risiko-Klassifizierungs-Matrix

Nicht jedes Tool ist gefährlich. Ein Tool, das nur Marketing-Slogans für Turnschuhe schreibt, ist unbedenklich. Ein Bot, der über die Bonus-Zahlungen deiner Angestellten mitentscheidet, ist Hochrisiko. Erstelle eine Matrix, mit der deine Fachabteilungen selbstständig prüfen können, in welche Kategorie ihr Wunsch-Tool fällt. Das nimmt den Druck von der IT und schafft Klarheit.

Schritt 3: Die verbindliche AI Policy

Ersetze das „Vielleicht“ durch ein klares „So machen wir es“. Eine gute AI Policy sollte folgende Punkte enthalten:

1. Whitelist: Welche Tools (z. B. Enterprise-Versionen von Copilot) sind erlaubt?

2. Daten-Ampel: Was darf rein? (Grün: Öffentliche Texte; Gelb: Interna ohne Personenbezug; Rot: Kundendaten, Bilanzen).

3. Transparenzgebot: KI-generierte Ergebnisse müssen als solche gekennzeichnet werden.

4. Human-in-the-loop: Kein KI-Ergebnis darf ungeprüft an Kunden oder Behörden gehen.

Die Situation: Ein Senior-Projektleiter in einem mittelständischen Unternehmen möchte Zeit sparen. Für ein komplexes internationales Infrastruktur-Angebot nutzt er seinen privaten ChatGPT-Account, um die umfangreichen Vertragsbedingungen und Kalkulationsgrundlagen zusammenzufassen und auf Inkonsistenzen zu prüfen.

Der Vorfall: Die KI unterliegt einer sogenannten „Halluzination“: Sie übersieht eine versteckte Pönale-Klausel (Vertragsstrafe) bei Lieferverzug und gibt stattdessen aus, dass die Haftung gedeckelt sei. Der Projektleiter verlässt sich auf die Zusammenfassung, das Angebot wird abgegeben und der Auftrag gewonnen.

Die Folgen:

1. Finanzieller Schaden: Durch Lieferengpässe wird die Klausel schlagend. Das Unternehmen muss 500.000 € Strafe zahlen, die bei korrekter Kalkulation im Preis inkludiert oder wegverhandelt worden wäre.

2. Haftung der Geschäftsführung: Da das Tool „Schatten-KI“ war, gab es keine technische Dokumentation und kein Vier-Augen-Prinzip (Human-in-the-loop). Die Gesellschafter werfen dem Geschäftsführer Organisationsverschulden vor: Es gab keine Policy, die die Nutzung privater KI-Tools für geschäftskritische Kalkulationen untersagte.

3. Datenschutz: Da der Projektleiter auch Namen von Ansprechpartnern und interne Preislisten hochgeladen hat, leitet die Datenschutzbehörde zusätzlich ein Bußgeldverfahren wegen unzulässiger Datenübermittlung in ein Drittland ein.

Das Learning: Ohne eine AI Policy und ein KI-Inventar wäre dieser Vorfall vermeidbar gewesen. Mit einer klaren Regelung hätte der Projektleiter ein internes, abgesichertes System nutzen müssen, bei dem die finale menschliche Prüfung zwingend vorgeschrieben ist.

Hinweis: Diese Muster-Vorlage dient der Veranschaulichung und muss vor der Implementierung auf die spezifische IT-Infrastruktur und Rechtslage deines Unternehmens angepasst werden.

Um die Theorie in die Praxis umzusetzen, solltest du auf bewährte Toolbox-Ansätze setzen. Ein „S+P-Toolbox-Ansatz“ hilft dir dabei, das Rad nicht neu zu erfinden.

• AI-Policy-Muster: Nutze Vorlagen, die bereits auf die rechtlichen Besonderheiten von DSGVO und AI Act abgestimmt sind.

• Lieferanten-Checkliste: Wenn du neue Software kaufst, muss dein Einkauf prüfen, ob der Anbieter die Anforderungen des AI Acts erfüllt (technische Dokumentation, Audit-Fähigkeit).

• Schulungsprogramme: Deine Mitarbeitenden müssen verstehen, warum sie ihre privaten Accounts nicht nutzen dürfen. Nur durch Bildung reduzierst du das Risiko von Anwendungsfehlern.

Schatten-KI ist weit mehr als ein IT-Problem. Es ist eine Frage deiner persönlichen Haftung und der Zukunftsfähigkeit deines Unternehmens. Wenn du die Zügel jetzt in die Hand nimmst, verwandelst du ein unkontrolliertes Risiko in einen rechtssicheren Innovationsprozess.

Indem du einen AI Compliance Officer einsetzt und klare Leitplanken durch ein KI-Inventar und eine AI Policy setzt, schützt du dich vor Bußgeldern und nutzt das volle Potenzial der künstlichen Intelligenz – ohne dabei den Boden unter den Füßen zu verlieren.

Was ist dein nächster Schritt? Möchtest du, dass ich dir einen Entwurf für eine erste AI Policy erstelle, die du direkt an deine Abteilungsleiter schicken kannst, oder soll ich dir eine Checkliste für die KI-Inventur ausarbeiten?

EU – AI Act und KI‑Rahmen

• Amtliche Fassung des AI Act (Regulation (EU) 2024/1689)
  Volltext im Amtsblatt der EU (mehrsprachig, inkl. Deutsch).
  Link (EUR‑Lex, konsolidierte Fassung/Amtsblatt):
  https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L:2024:206:TOC

• Strukturierte Darstellung des AI Act (nicht amtlich, aber auf Basis des Amtsblatts, sehr gut zitierbar als Sekundärquelle)
  Übersicht, Artikelstruktur, Risikoklassen, Zeitplan.
  Link: https://artificialintelligenceact.eu/the-act/

• AI Act als zweisprachige (EN/DE) Website
  Praktische Parallelansicht der Rechtsnorm (kein Amtsblatt, aber als Arbeitstext nutzbar).
  Link: https://ai-act-law.eu​

BaFin – Orientierungshilfe und Aufsichtssicht zu KI

• BaFin – Orientierungshilfe zu IKT‑ und KI‑Risiken
  (Governance, Risikomanagement, Modellrisiken; meist im Kontext MaRisk/BAIT/ZAIT relevant.)
  Zentraler Einstieg in BaFin‑Dokumente zu KI‑bezogenen IKT‑Risiken:
  https://www.bafin.de​

• DORA / IKT‑Risiken – Schnittstelle zum KI‑Einsatz
  BaFin‑DORA‑Informationsseite (für Verknüpfung AI Act – DORA – IKT‑Risiko sehr geeignet):
  https://www.bafin.de/DE/Aufsicht/IT/Digital_Operational_Resilience/digital_operational_resilience_node.html​

(Hinweis: Die konkrete BaFin‑„Orientierungshilfe zu KI“ wird regelmäßig im BaFin‑Journal / unter „Fachinformationen – IT‑Aufsicht“ verlinkt; für den Fachartikel können Sie über die BaFin‑Suche „Orientierungshilfe künstliche Intelligenz“ recherchieren und den konkreten PDF‑Link einfügen.)

EBA – KI, Technologierisiken, DORA

• EBA – Allgemeine Infos zu DORA (relevant für KI‑gestützte IKT‑Risiken)
  Offizielle DORA‑Seite der EBA mit Leitlinien, technischen Standards und News:
  https://www.eba.europa.eu/regulation-and-policy/digital-operational-resilience-dora​

• EBA – Risikoanalysen zu neuen Technologien inkl. KI‑Risiken (ML/TF‑Risiken, KI‑betrug)
  EBA Opinion on ML/TF risks in the EU’s financial sector (wird alle zwei Jahre aktualisiert; enthält KI‑bezogene Passagen zu Betrug / RegTech‑Risiken):
  https://www.eba.europa.eu/eba-risk-assessment-and-data​

• EBA – Leitlinien zu IKT‑/Sicherheitsrisiken (Rahmen auch für KI‑Systeme)
  EBA Guidelines on ICT and security risk management:
  https://www.eba.europa.eu/regulation-and-policy/internal-governance/guidelines-ict-and-security-risk-management​

(Spezifische EBA‑Leitlinien nur zu „KI“ existieren aktuell nicht als eigenständige Guideline; die EBA verweist auf Nutzung bestehender Governance‑/IKT‑Rahmen auch für KI‑Systeme. )​

Bundesregierung / BMI / BMWK – nationale KI‑Strategie und Regulierung

• Bundesregierung – Nationale KI‑Strategie
  Deutsche KI‑Strategie (fortgeschrieben, inkl. Bezüge zu Regulierung, Innovation, Verwaltung):
  https://www.bundesregierung.de/breg-de/themen/ki-strategie​

• Bundesministerium des Innern (BMI) – KI und Regulierung / Verwaltung
  BMI‑Themenportal „Künstliche Intelligenz“ (u. a. öffentlicher Sektor, rechtliche Rahmenbedingungen):
  https://www.bmi.bund.de/DE/themen/moderne-verwaltung/digitalisierung/kuenstliche-intelligenz/kuenstliche-intelligenz-node.html​

• Bundesministerium für Wirtschaft und Klimaschutz (BMWK) – KI in der Wirtschaft
  KI‑Initiativen, Förderung und Hinweise zur Nutzung von KI in Unternehmen (guter Kontext für Governance‑Argumentation):
  https://www.bmwk.de/Redaktion/DE/Dossier/kuenstliche-intelligenz.html​

• Informationsportal der Bundesregierung zur digitalen Verwaltung / Recht (u. a. KI, Daten, Cyber‑Sicherheit)
  Zentraler Einstieg zu digital‑ und KI‑relevanten Rechtsinformationen:
  https://www.digital-made-in.de​

Strategische Exzellenz auf C-Level erfordert kontinuierliche Orientierung. Damit du nach deinem Lehrgang nicht allein gelassen wirst, haben wir S+P C.O.R.E. entwickelt.

S+P Mehrwert-Garantie: Dein Wissens-Vorsprung für 2026

Jede Buchung eines S+P Seminars beinhaltet automatisch den kostenfreien Zugang zum quartalsweisen S+P C.O.R.E. Executive Update. Warum? Weil wir wissen, dass die regulatorische Welt nicht stillsteht. Wir halten dein Wissen aktuell – garantiert.

Im Finanzwesen bezeichnet Forbearance (deutsch: „Stundung“ oder „Entgegenkommen“) spezifische Maßnahmen, die Kreditinstitute ergreifen, wenn sich bei Kreditnehmern finanzielle Schwierigkeiten abzeichnen oder bereits eingetreten sind.

Das primäre Ziel dieser Maßnahmen ist es, die Zahlungsfähigkeit des Kreditnehmers (Schuldners) zu erhalten oder wiederherzustellen und einen drohenden Kreditausfall (Default) abzuwenden.

Forbearance-Maßnahmen sind ein zentrales Instrument im risikobewussten Kreditmanagement (Intensivbetreuung) und werden durch europäische (EBA) und nationale (BaFin/MaRisk) Vorgaben streng reguliert.

Wenn ein Kreditnehmer in Schwierigkeiten gerät, kann das Institut ihm mit folgenden Zugeständnissen entgegenkommen. Diese Zugeständnisse führen dazu, dass der Kredit als „gestundet“ (Forbearance Exposure – FBE) klassifiziert wird:

Forbearance ist kein rein kaufmännischer Akt, sondern wird von der Europäischen Bankenaufsichtsbehörde (EBA) streng überwacht. Die relevanten Vorgaben finden sich in den EBA-Leitlinien für das Management von notleidenden und gestundeten Krediten (NPEs und FBEs).

• NPE (Non-Performing Exposure): Ein notleidender Kredit, bei dem der Schuldner z.B. mehr als 90 Tage in Verzug ist.

• FBE (Forbearance Exposure): Ein Kredit, bei dem Forbearance-Maßnahmen gewährt wurden.

Das Hauptziel der EBA ist es, die Stabilität der Bankbilanzen durch eine nachhaltige Reduktion von NPEs zu sichern.

Ein wesentlicher Punkt der EBA-Leitlinien ist die Etablierung eines Schwellenwerts von 5 % für die NPL-Quote (Netto-Quote notleidender Kredite). Dies ist kein „Zielwert“, sondern ein prudenzialer Rahmen:

• Überschreitet ein Institut diese 5 %-Schwelle, erwarten die Aufsichtsbehörden (BaFin/Bundesbank) eine detaillierte NPE-Strategie sowie verschärfte Governance- und Betriebsvereinbarungen zur Reduktion der Ausfälle.

Die EBA-Leitlinien betonen, dass Forbearance-Maßnahmen nachhaltig („viable“) sein müssen. Sie dürfen nicht nur gewährt werden, um einen Ausfall künstlich zu verschieben, sondern müssen darauf abzielen, die Rückzahlungsfähigkeit des Kreditnehmers langfristig wiederherzustellen.

Die Effektivität des NPE- und Forbearance-Managements eines Instituts wird von den zuständigen Behörden im Rahmen des Aufsichtlichen Überprüfungs- und Bewertungsprozesses (SREP) bewertet.

Die EBA-Leitlinien zu NPEs und Forbearance wurden direkt in die deutschen Mindestanforderungen an das Risikomanagement (MaRisk) überführt (insbesondere in den Modulen BTO 1.2.5 und BTO 2.2.4 der letzten Novellen).

Für Chief Risk Officer und die Interne Revision bedeutet dies:

1. Pflicht zur Früherkennung: Institute müssen über wirksame Frühwarnsysteme verfügen, um finanzielle Schwierigkeiten bei Schuldnern (und damit den Bedarf an Forbearance) rechtzeitig zu erkennen.

2. Pflicht zur NPE-Strategie: Institute mit erhöhten NPE-Quoten (über 5 %) müssen der BaFin eine detaillierte Strategie zum Abbau vorlegen.

3. Prozessanforderungen: Die MaRisk fordern klare Prozesse für die Gewährung, Überwachung und Risikobewertung von Forbearance-Maßnahmen und notleidenden Krediten.

Mit der Leitlinie (EU) 2025/2595 (EZB/2025/40) wird der bereits aus den EBA‑Leitlinien zu notleidenden und gestundeten Risikopositionen bekannte Fokus auf ein stringentes NPE‑ und Forbearance‑Management nun ausdrücklich auch für weniger bedeutende Institute im SSM geschärft.

Die nationalen Aufseher müssen künftig auf Basis von Artikel 47c CRR systematisch prüfen, ob die Risikovorsorge für NPE – einschließlich Forbearance‑Engagements – angemessen ist und die Ergebnisse in den SREP einfließen lassen, sodass unzureichende Deckung in aufsichtliche Maßnahmen (z. B. zusätzliche Eigenmittelanforderungen oder qualitative Vorgaben) münden kann.

Für Institute mit NPL‑Quoten ab 5 % entsteht damit neben den bereits in den MaRisk verankerten Pflichten zur NPE‑Strategie und Forbearance‑Policy ein zusätzlicher, europäisch harmonisierter Erwartungsrahmen zur Reduktion von Altbeständen und zur frühzeitigen, datenbasierten Steuerung von Stundungsentscheidungen.

Forbearance ist ein notwendiges Instrument im Kreditmanagement, um auf Zahlungsschwierigkeiten von Kunden zu reagieren. Gleichzeitig ist es ein hochregulierter Bereich. Die EBA-Leitlinien und die MaRisk setzen einen strengen Rahmen, um sicherzustellen, dass diese Maßnahmen nachhaltig sind und Risiken in den Bankbilanzen transparent gesteuert werden.

Forbearance ist ein notwendiges Instrument im Kreditmanagement, um auf Zahlungsschwierigkeiten von Kunden zu reagieren. Gleichzeitig ist es ein hochregulierter Bereich. Die EBA-Leitlinien und die MaRisk setzen einen strengen Rahmen, um sicherzustellen, dass diese Maßnahmen nachhaltig sind und Risiken in den Bankbilanzen transparent gesteuert werden.

• Wie erkenne ich frühzeitig Risiken im Kreditgeschäft? Um Forbearance-Maßnahmen rechtzeitig zu ergreifen, benötigst du ein funktionierendes Frühwarnsystem. Dieser Artikel zeigt dir, worauf du achten musst.

• ESG-Risiken effektiv bewerten (MaRisk 7.0) Auch Forbearance-Entscheidungen werden zunehmend von ESG-Faktoren beeinflusst. Erfahre, wie du diese Risiken in die Kreditbewertung integrierst.

• 5 Änderungen, die mit den MaRisk 7.0 geplant sind Ein Überblick über die Neuerungen im Risikomanagement, die auch Auswirkungen auf deine Kreditprozesse und die Intensivbetreuung haben.

• Neue MaRisk 6.0 & Umsetzung der NPE-Guidelines Die regulatorische Basis: Wie die EBA-Leitlinien zu notleidenden Krediten (NPE) und Forbearance in deutsches Recht (MaRisk) überführt wurden.

• Neuer Leitfaden zur Risikotragfähigkeit Kreditausfälle und Forbearance belasten das Eigenkapital. Lies hier, wie du die Risikotragfähigkeit (ICAAP) korrekt berechnest und steuerst.