Künstliche Intelligenz verändert Geschäftsmodelle – und auch die rechtliche Verantwortung von Verwaltungsrätinnen und Verwaltungsräten. Verzerrte Ergebnisse, Datenschutzverletzungen, unklare Vertragsklauseln: Die Risiken im Umgang mit KI sind nicht nur technischer Natur. Sie betreffen unmittelbar die gesetzliche Sorgfaltspflicht gemäss Artikel 716 und 717 OR. In diesem Beitrag beleuchten wir fünf Handlungsfelder, in denen der Verwaltungsrat aktiv werden muss, um Fehlentwicklungen vorzubeugen, Entscheide abzusichern und persönliche Haftung zu vermeiden.
Einleitung: Zwischen Innovationsversprechen und wachsendem Haftungsrisiko
KI unterstützt Prognosen, trifft automatisierte Entscheidungen und verarbeitet grosse Datenmengen. Richtig eingesetzt, ist sie ein strategisches Instrument für Verwaltungsräte: bessere Marktanalysen, realistischere Szenarien, fundiertere Entscheide.
Ohne klare Governance wird sie jedoch schnell zu einem zentralen Risiko.
Warum? Weil die Verantwortung beim Verwaltungsrat bleibt, auch wenn die operative Umsetzung delegiert ist. Im Schadensfall stellt sich immer die Frage: Hat der Verwaltungsrat seine Sorgfaltspflicht erfüllt? Wurden KI-Risiken erkannt und adressiert? Wurde eine angemessene Governance aufgebaut?
Im Folgenden finden Sie fünf zentrale Themenfelder mit konkreten Praxisbeispielen und umsetzbaren Handlungsempfehlungen.
KI ist kein R&D-Experiment mehr, sondern ein entscheidender Faktor für Leistung, Talentmanagement und strategische Steuerung. Der Verwaltungsrat sollte daher:
- KI in die Gesamtstrategie des Unternehmens integrieren
- eine klare KI-Strategie fordern: Wo, warum und mit welchem Risikoprofil wird sie eingesetzt?
- sicherstellen, dass die Geschäftsleitung die Ressourcen und Kompetenzen für die Umsetzung hat
Umsetzung in der Praxis:
- KI in den strategischen Dokumenten und Traktandenlisten des Verwaltungsrats verankern
- Ein Verwaltungsratsmitglied als Ansprechperson für KI oder Cybersicherheit benennen
- Eine Übersicht über alle KI-Anwendungen im Unternehmen anfordern
Gemäss Artikel 717 OR müssen Mitglieder des Verwaltungsrats ihr Mandat mit der gebotenen Sorgfalt ausüben.
Das bedeutet konkret:
- Risiken im Zusammenhang mit KI (Bias, Sicherheit, Compliance) kennen
- sicherstellen, dass diese identifiziert und unter Kontrolle sind
- Entscheidungen auf Basis fundierter Informationen und mit der nötigen Umsicht treffen
Die Business Judgement Rule schützt den Verwaltungsrat nur dann, wenn die Entscheidungen dokumentiert, nachvollziehbar, unabhängig und gut informiert getroffen wurden.
Umsetzung in der Praxis:
- KI-Risiken in die unternehmensweite Risikokarte integrieren
- Protokollierung aller wesentlichen Entscheide mit KI-Bezug im Verwaltungsrat sicherstellen
a. Personalmanagement
Wird KI zur Vorselektion von Bewerbungen eingesetzt, kann sie diskriminierend wirken (Alter, Geschlecht, Herkunft). Das hat direkte Auswirkungen auf:
- die Reputation des Unternehmens
- arbeitsrechtliche Aspekte
- die Governance
Zu tun: Systematische Bias-Tests für alle KI-Anwendungen im HR verlangen
b. Finanzentscheide
Wie im Fall Apple Card können KI-Systeme unfaire Kreditbedingungen vergeben. Ohne entsprechende Kontrollen liegt die Verantwortung beim Verwaltungsrat.
Zu tun: Transparenz und Erklärbarkeit der Algorithmen einfordern sowie die Möglichkeit von Kundeneinsprüchen sicherstellen
c. Produktion und industrielle Sicherheit
Wenn eine KI Maschinen steuert und ein Fehler passiert (falsche Sensorauswertung, Fehlbefehl), muss der Verwaltungsrat nachweisen können, dass ein Risikomanagementplan existierte.
Zu tun: Kritische KI-Systeme in Notfall- und Sicherheitspläne aufnehmen
d. Personendaten
Gemäss Datenschutzgesetz (DSG) ist eine Datenschutz-Folgenabschätzung (PIA) für risikoreiche Datenverarbeitung verpflichtend. KI wird oft auf sensiblen Daten eingesetzt.
Zu tun: Für jedes KI-Projekt mit Personendaten eine dokumentierte PIA verlangen
Zahlreiche Unternehmen setzen auf zugekaufte oder ausgelagerte KI-Lösungen. Verträge mit diesen Anbietern sollten zwingend folgende Punkte enthalten:
- Konformität mit dem EU AI Act, sofern relevant
- Verbot, Ihre Daten für das Training anderer Modelle zu verwenden
- Klare Regelung zur Eigentümerschaft von Modellen und Ergebnissen
- Verpflichtung zur Unterstützung bei regulatorischen Audits
Umsetzung in der Praxis:
- Eine gezielte Vertragsprüfung durch die Geschäftsleitung verlangen
- Im Verwaltungsrat folgende Fragen stellen:
- Wem gehört das weiterentwickelte Modell?
- Werden unsere Daten weiterverwendet?
- Sind Audits vertraglich vorgesehen?
- Ist der Einsatz der Lösung vertraglich begrenzt?
Sie müssen keine KI-Expertin oder kein Technikspezialist sein. Entscheidend ist, dass Sie die richtigen Fragen stellen und die Aufsicht professionell gestalten.
Dazu gehören:
- Grundkenntnisse zu Regulierung, Anwendungsfällen und Risikotypen aufbauen
- formalisierte Prozesse für Validierung, Dokumentation und Überwachung einfordern
- sicherstellen, dass Entscheidungen auf ausreichend fundierter Basis getroffen werden
Konkrete Werkzeuge:
- Ein KI-Risiko-Dashboard im Audit-Ausschuss
- Protokolle mit klar dokumentierten KI-Entscheidungen
- Ein jährlicher Maturity-Check zur KI-Governance im Verwaltungsrat
Fazit: KI-Governance ist heute ein zentrales Element guter Verwaltungsratstätigkeit
Künstliche Intelligenz ist kein technisches Nebenprojekt. Sie verändert Geschäftsmodelle, Wertschöpfungsketten und die rechtlichen Rahmenbedingungen.
Was früher dem IT-Bereich vorbehalten war, ist heute eine Kernaufgabe der Governance. KI betrifft Daten, Prozesse, Strategie und Menschen – und verlangt vom Verwaltungsrat eine neue Wachsamkeit.
Die entscheidende Frage ist nicht mehr, ob Sie sich mit KI befassen sollten.
Sondern: Sind Sie bereit, die Verantwortung zu übernehmen?
Der Verwaltungsrat kann nicht alle Entwicklungen vorwegnehmen. Aber er ist rechtlich, strategisch und ethisch verpflichtet, die richtigen Fragen zu stellen, geeignete Kontrollmechanismen zu fordern, sich mit Expertise zu umgeben und Entscheide nachvollziehbar zu dokumentieren.
In diesem Kontext kann Ihre persönliche Verantwortung auch dann ins Spiel kommen, wenn Sie keine technische Entscheidung getroffen haben. Der Schlüssel liegt in der Sorgfaltspflicht: Haben Sie präventiv, informiert, dokumentiert und strukturiert gehandelt?
Die gute Nachricht: Es gibt heute konkrete Hebel, um aktiv zu werden
- Governance-Strukturen etablieren
- Strategisches Verständnis vertiefen
- Risiken systematisch in Ihre Risikokarten integrieren
- Verträge gezielt überprüfen
- Und vor allem: aus regulatorischer Wachsamkeit einen strategischen Vorteil machen
Wer heute eine verantwortungsvolle KI-Governance aufbaut, minimiert nicht nur Risiken –sondern schafft die Grundlage für ein zukunftsfähiges, glaubwürdiges und vorausschauendes Unternehmen.
Das Wichtigste auf einen Blick
1. Sorgfaltspflicht
Verwaltungsräte müssen KI-Risiken erkennen, kontrollieren und aktiv überwachen. Diese Pflicht ist persönlich, kontinuierlich und nicht übertragbar.
2. Typische Risikofelder
Algorithmische Diskriminierung (HR, Kredite), Datenschutzverstösse (Personendaten), technische Fehler (Automatisierung), Intransparenz (Blackbox-Entscheide)
3. Konkrete Sofortmassnahmen
- Grundverständnis zu KI im eigenen Sektor aufbauen
- Klare Governance-Struktur definieren
- Review- und Dokumentationsprozesse etablieren
- Kritische KI-Einsätze aktiv beaufsichtigen
4. Verträge absichern
Verträge mit KI-Anbietern sollten folgende Punkte enthalten:
- Rechtsgrundlagen (z. B. EU AI Act)
- Nutzungsregeln
- Verantwortlichkeiten
- Eigentumsrechte
- Datenaufbewahrung
- Auditrechte und Sanktionen
5. Früh handeln = besser geschützt
Wer heute die richtigen Fragen stellt, minimiert juristische, operationelle und Reputationsrisiken. Vorausschauendes Handeln ist die beste Absicherung – und ein strategischer Vorteil.
Checkliste Verwaltungsrat: KI und Sorgfaltspflicht
| Zentrale Massnahme | Aktueller Stand |
|---|---|
| Wurde eine KI-Strategie im Verwaltungsrat diskutiert? | Ja / Nein |
| Wurde ein Governance-Rahmen für KI definiert und verabschiedet? | Ja / Nein |
| Sind KI-Risiken in der Risikokarte enthalten? | Ja / Nein |
| Wurde für jedes KI-Projekt mit Personenbezug eine PIA durchgeführt? | Ja / Nein |
| Enthalten Verträge mit KI-Anbietern kritische Klauseln? | Ja / Nein |
| Ist die Eigentümerschaft von Daten, Modellen und Outputs geklärt? | Ja / Nein |
| Werden KI-Entscheidungen systematisch dokumentiert? | Ja / Nein |
| Gibt es eine jährliche Überprüfung der KI-Reife im Verwaltungsrat? | Ja / Nein |
- Und bei Ihnen? Wie viele dieser Punkte sind erfüllt?
- Welche Risiken können Sie bereits in der nächsten Sitzung adressieren?
- Und welche strategischen Chancen entstehen, wenn Sie jetzt Verantwortung übernehmen?