Persönlich haftbar. Was die neue Regulierungswelle für Geschäftsführer und Vorstände konkret bedeutet — und wie man sich schützt.

Ein Paradigmenwechsel, den noch nicht alle bemerkt haben

Europäische Regulierung hatte jahrzehntelang ein strukturelles Merkmal: Sie traf Unternehmen, nicht Menschen. Bußgelder trafen die GmbH, die AG, das Unternehmen als juristische Person. Wer im Vorstand oder in der Geschäftsführung saß, war über die körperschaftliche Haftungsstruktur abgeschirmt — solange keine vorsätzliche Pflichtverletzung vorlag.

Dieses Muster bricht gerade auf. Und zwar systematisch.

Eine Serie von Regulierungsvorhaben, die auf den ersten Blick nichts miteinander zu tun haben, zieht in dieselbe Richtung: Die persönliche Verantwortung der Leitungsorgane wird explizit gesetzlich verankert. Nicht als Randnotiz. Als Kernbestandteil der Durchsetzungsmechanismen.

Wer Geschäftsführer oder Vorstand eines deutschen Unternehmens ist, sollte das sehr genau lesen.

NIS2: Die direkteste Ansage

Die NIS2-Richtlinie ist in dieser Hinsicht die deutlichste. Sie sieht ausdrücklich vor, dass die Leitungsorgane von wesentlichen und wichtigen Einrichtungen für Verstöße gegen die Cybersicherheitspflichten persönlich haftbar gemacht werden können. Nicht nur das Unternehmen — die Leitungsorgane.

Konkret bedeutet das nach dem deutschen Umsetzungsentwurf: Geschäftsführer und Vorstände können mit Bußgeldern belegt werden, wenn sie die erforderlichen Cybersicherheitsmaßnahmen nicht angeordnet, überwacht oder durchgesetzt haben. Und sie können — das ist der weitreichendere Teil — von der Ausübung von Leitungsfunktionen vorübergehend ausgeschlossen werden, wenn schwerwiegende Verstöße vorliegen.

Ein Berufsverbot als Sanktion für regulatorisches Versagen. Das ist neu. Das ist ernst gemeint.

AI Act: Das Leitungsorgan in der Governance-Pflicht

Der EU AI Act regelt die KI-Governance auf Unternehmensebene — und er tut das mit einem ausdrücklichen Blick auf die Leitungsebene. Für Hochrisiko-KI-Systeme verlangt der Act, dass die Leitungsorgane Kenntnisse über die eingesetzten KI-Systeme haben, die Risikomanagementprozesse genehmigen und überwachen und die Einhaltung der Anforderungen aktiv sicherstellen.

Das klingt abstrakt, hat aber konkrete Konsequenzen: Ein Geschäftsführer, der nicht weiß, welche KI-Systeme sein Unternehmen im Hochrisikobereich einsetzt, erfüllt seine Leitungspflichten nach dem AI Act nicht. Das ist keine implizite Anforderung — sie ist im Gesetzestext angelegt.

Die Aufsichtsbehörden werden bei der Überprüfung von AI-Act-Compliance fragen, was das Leitungsorgan wusste, was es genehmigt hat und wie es die Umsetzung kontrolliert hat. Wer darauf keine Antwort hat, ist in einer schlechten Position.

LkSG und CSDDD: Sorgfaltspflicht als persönliche Obliegenheit

Das Lieferkettensorgfaltspflichtengesetz verpflichtet nicht abstrakt das Unternehmen — es verpflichtet zur Einrichtung eines Risikomanagementsystems, zur Durchführung von Risikoanalysen und zur Ergreifung von Abhilfemaßnahmen. Die Verantwortung für die Einrichtung und Überwachung dieses Systems liegt bei der Geschäftsführung.

Wo Unternehmen dieser Pflicht nicht nachkommen, ist das Haftungsrisiko nicht auf Bußgelder beschränkt. Das LkSG sieht zivilrechtliche Haftungsmechanismen vor — und die CSDDD, deren europäischer Rahmen trotz Omnibus-Vereinfachungen im Kern bestehen bleibt, wird diese Mechanismen europaweit verankern.

Was das in der Praxis bedeutet: Wer als Geschäftsführer eine nicht dokumentierte Lieferkette verantwortet und deswegen ein Schaden entsteht, sitzt nicht mehr hinter der körperschaftlichen Haftungsabschirmung. Er sitzt persönlich in der Verantwortung.

DSGVO: Der stille Erfahrungswert

Die DSGVO hat bereits vorgelebt, wohin die Reise geht. Zwar richtet sich das Bußgeldregime formal gegen das Unternehmen — aber Datenschutzbehörden in mehreren EU-Mitgliedstaaten haben begonnen, ergänzend die persönliche Verantwortung von Leitungsorganen zu adressieren. In Deutschland ist die Diskussion um die direkte Haftung von Geschäftsführern bei vorsätzlichen oder grob fahrlässigen Datenschutzverstößen gerichtlich noch nicht abschließend geklärt — was nicht bedeutet, dass sie praktisch keine Rolle spielt.

Compliance-Dokumentation, die im Ernstfall zeigt, dass das Leitungsorgan informiert war, Maßnahmen angeordnet hat und die Umsetzung kontrolliert hat, ist der entscheidende Unterschied zwischen persönlicher Haftung und unternehmerischer Verantwortung.

Was das praktisch bedeutet: Compliance ist Chefsache, nicht Stabsaufgabe

Der gemeinsame Nenner all dieser Entwicklungen ist ein einziger Satz: Regulierungs-Compliance ist keine Aufgabe, die man delegieren und vergessen kann.

Das bedeutet nicht, dass Geschäftsführer selbst NIS2-Risikoanalysen erstellen oder AI-Act-Dokumentationen schreiben. Es bedeutet, dass sie wissen müssen, was in ihrem Unternehmen auf diesen Feldern passiert, dass sie die Maßnahmen aktiv genehmigen und dass sie die Umsetzung kontrollieren — und das alles so dokumentieren, dass es im Zweifel nachweisbar ist.

Diese Dokumentation ist nicht bürokratischer Selbstzweck. Sie ist der persönliche Schutzschirm des Leitungsorgans.

Die Rolle des Projektjuristen: Schutz durch Struktur

Was Geschäftsführer in dieser Lage brauchen, ist kein weiteres Compliance-Programm auf dem Papier. Sie brauchen jemanden, der die regulatorischen Pflichten kennt, sie in operative Maßnahmen übersetzt, die Implementierung begleitet und das Ergebnis so dokumentiert, dass es trägt.

Das ist ein Projekt. Kein Dauerauftrag. Kein laufendes Kanzleimandat, das monatlich Stunden produziert und Berichte, die niemand liest. Sondern: Analyse, Maßnahmenplan, Umsetzung, Dokumentation — abgeschlossen, übergeben, fertig.

Ein Projektjurist, der die relevanten Regulierungsfelder kennt und Implementierungserfahrung mitbringt, schafft genau das: einen nachweisbaren Compliance-Status, der im Ernstfall Schutz bietet. Für das Unternehmen. Und für die Person, die darin Verantwortung trägt.

Fazit: Wer Compliance delegiert, muss trotzdem liefern können

Die neue Regulierungsrealität verlangt von Geschäftsführern und Vorständen keine juristische Ausbildung. Sie verlangt Steuerung, Entscheidung und Nachweis. Wer das nicht liefern kann, trägt persönlich das Risiko — unabhängig davon, ob er die Details kannte.

Das ist der neue Standard. Und er gilt schon jetzt.

Wer ihn ernst nimmt, handelt. Wer wartet, erklärt sich später.