Betriebs-Berater
KI-gestützte Krisenfrüherkennung als Compliance-Aufgabe
Quelle: Betriebs-Berater 2026 Heft 26 vom 22.06.2026, Seite 1480

Dr. Dr. Fabian Teichmann, LL.M. (London), EMBA (Oxford), RA

KI-gestützte Krisenfrüherkennung als Compliance-Aufgabe

Was Geschäftsleiter bei der Implementierung von KI-Frühwarnsystemen nach § 1 StaRUG, AI Act und DSGVO beachten müssen

Künstliche Intelligenz kann die Krisenfrüherkennung nach § 1 StaRUG qualitativ verbessern – von automatisierter Liquiditätsüberwachung bis zur Mustererkennung in Finanzdaten. Zugleich erzeugen der AI Act (VO (EU) 2024/1689) und die EuGH-Rechtsprechung zu Art. 22 DSGVO neue Compliance-Anforderungen, die bei der Implementierung zu beachten sind. Der Beitrag entwickelt eine praxistaugliche Compliance-Matrix, die StaRUG-Pflichten, AI-Act-Deployer-Anforderungen und datenschutzrechtliche Grenzen verzahnt, und gibt Geschäftsleitern, Syndici und Beratern eine Handlungsanleitung für die Einführung KI-gestützter Frühwarnsysteme.

I. Einleitung

Cyberangriffe, Lieferkettenstörungen und konjunkturelle Eintrübung haben die Zahl der Unternehmensinsolvenzen in Deutschland auf einen neuen Höchststand getrieben.1 Die Pflicht zur Krisenfrüherkennung nach § 1 StaRUG2 verpflichtet Geschäftsleiter, bestandsgefährdende Entwicklungen fortlaufend zu überwachen. Gleichzeitig werden KI-gestützte Analysewerkzeuge, von Echtzeit-Liquiditätsprognosen bis zur automatisierten Identifikation von Insolvenzindikatoren, zunehmend marktgängig und leistungsfähig.

Der Einsatz solcher Systeme ist jedoch kein rechtsfreier Raum. Der AI Act3 und die EuGH-Rechtsprechung zum automatisierten Scoring4 begründen regulatorische Anforderungen, die bei der Implementierung zu beachten sind. Zugleich steigt der Haftungsdruck, da Cybervorfälle unmittelbar Insolvenzgründe auslösen können,5 und die Verfügbarkeit von KI-Tools den Sorgfaltsmaßstab der Geschäftsleitung verschiebt.6

Der vorliegende Beitrag richtet sich an Geschäftsleiter, Syndici und Restrukturierungsberater. Er entwickelt eine praxistaugliche Compliance-Matrix, die StaRUG-Pflichten, AI-Act-Deployer-Anforderungen und datenschutzrechtliche Grenzen verzahnt, und gibt konkrete Handlungsempfehlungen für die Einführung KI-gestützter Frühwarnsysteme.7

II. Pflichten aus § 1 StaRUG: Was Geschäftsleiter jetzt beachten müssen

§ 1 StaRUG begründet eine eigene, nicht delegierbare Rechtspflicht zur fortlaufenden Krisenfrüherkennung. Die Business Judgment Rule findet auf das “Ob” der Überwachung keine Anwendung;8 für die Auswahl der Gegenmaßnahmen besteht hingegen ein Ermessen, das sich mit Krisenvertiefung verengt.9 Die Intensität der Pflichten variiert nach Risikoprofil, Unternehmensgröße und Finanzierungsstruktur.10

Der IDW S 16 (verabschiedet am 8.9.2025), konkretisiert, dass in stabilen Situationen eine einfache Liquiditätsplanung genügt; mit zunehmender Krisennähe müssen Detaillierungsgrad und Aktualisierungsfrequenz steigen.11 Die StaRUG-Evaluation bestätigt, dass erfolgreiche Verfahren funktionierende Governance voraussetzen.12 Entscheidend für die Praxis: § 1 Abs. 3 StaRUG lässt weitergehende Pflichten aus anderen Gesetzen ausdrücklich unberührt13 – namentlich den AI Act und die DSGVO.

Für Geschäftsleiter ergeben sich daraus drei unmittelbare Handlungspflichten: Erstens die Implementierung eines dem Risikoprofil angemessenen Überwachungssystems. Zweitens die Dokumentation der Krisenfrüherkennung und dies auch als Entlastungsnachweis im Haftungsfall. Drittens die Prüfung, ob der Einsatz von KI-Werkzeugen den Stand der Technik repräsentiert und daher in die Abwägung einbezogen werden muss.

III. KI als Instrument der Krisenfrüherkennung: Chancen, Grenzen und Governance

1. Dynamischer Sorgfaltsmaßstab

Die gesellschaftsrechtliche Diskussion zeigt eine klare Entwicklungslinie. Fleischer formuliert, je leichter und kostengünstiger Big Data zur Verfügung stehen, desto schwerer falle dem Geschäftsleiter eine Begründung, sie nicht zu nutzen.14 Der Geschäftsleiter darf KI-Systeme zur Entscheidungsvorbereitung nutzen, sofern er die Letztentscheidung in eigener Verantwortung trifft.15

In der Praxis bedeutet dies, dass Geschäftsleiter nicht verpflichtet sind, jedes am Markt verfügbare KI-System einzusetzen. Sie müssen aber den Einsatz erwägen und ihre Entscheidung dokumentieren. Wer die Verfügbarkeit marktgängiger Früherkennungstools ignoriert, ohne dies begründen zu können, riskiert eine Haftungsverschärfung. Die Proportionalität bleibt gewahrt, weil kleine Gesellschaften nicht übermäßig belastet werden dürfen; bei größeren Unternehmen mit entsprechendem Risikoprofil verdichtet sich der Maßstab.

2. Algorithmus-Governance: Vier Organisationspflichten

Fleischer fasst die Pflichten beim KI-Einsatz unter dem Begriff der Algorithmus-Governance zusammen, die auch den Datenschutz einschließt.16 Der Geschäftsleiter darf sich nicht blind auf großdatengestützte Analysen verlassen, sondern muss deren Ergebnisse kritisch hinterfragen – gerade angesichts des Black-Box-Problems.17

Daraus ergeben sich vier konkrete Organisationspflichten:

  • Systemzuverlässigkeit: Der Geschäftsleiter hat sicherzustellen, dass das eingesetzte KI-System technisch zuverlässig arbeitet und für den konkreten Einsatzzweck validiert ist.
  • Schutz gegen Manipulation: Das System muss gegen unzulässige Einflussnahmen Dritter geschützt sein, einschließlich Cybersicherheit der KI-Infrastruktur.
  • Regelmäßige und anlassbezogene Kontrollen: Die Leistungsfähigkeit des Systems ist fortlaufend zu überwachen; bei Auffälligkeiten sind anlassbezogene Prüfungen durchzuführen.
  • Datenschutz: Die Informationsbasis des KI-Systems muss den Anforderungen der DSGVO entsprechen – insbesondere hinsichtlich Speicherfristen, Rechtsgrundlage und Grenzen automatisierter Entscheidungen.

3. ISION-Grundsätze als Prüfungskanon

Spindler hat die ISION-Grundsätze des BGH18 auf KI-Systeme übertragen. Der Geschäftsleiter hat ein qualifiziertes System zu wählen, es mit umfassender Informationsbasis zu versorgen, eine unabhängige Analyse zu gewährleisten und eine eigene Plausibilitätskontrolle durchzuführen.19 Der DAV hat die grundsätzliche Zulässigkeit und gegebenenfalls Gebotenheit des KI-Einsatzes klargestellt, zugleich aber eine erhöhte Überprüfungspflicht betont.20

Für die Praxis lässt sich daraus ein vierstufiger Prüfungskanon ableiten: (1) Sorgfältige Auswahl des KI-Systems oder -Anbieters (Anbieterqualifikation, Zertifizierung, Referenzen). (2) Vollständige Datenbereitstellung – keine selektive Eingabe, die das Ergebnis verzerrt. (3) Plausibilitätskontrolle des Outputs – Abgleich mit konventionellen Analysemethoden, Einholung einer Zweitmeinung bei kritischen Befunden. (4) Dokumentierte Entscheidungsbegründung – warum wurde dem KI-Ergebnis gefolgt oder nicht? Dieser Prüfungskanon schützt den Geschäftsleiter im Haftungsfall.

IV. AI Act: Was kommt auf Unternehmen zu?

1. KI-Systemdefinition und Abgrenzung

Nicht jedes algorithmische Werkzeug fällt unter den AI Act. Die Europäische Kommission hat klargestellt, dass einfache Datenverarbeitung, mathematische Optimierung und klassische Heuristiken keine KI-Systeme darstellen.21 Ein regelbasiertes Warnsystem, das bei Unterschreitung definierter Schwellenwerte alarmiert, ist daher kein KI-System im Sinne des AI Act. Ein maschinell lernendes Prognosemodell, das eigenständig Muster identifiziert, hingegen schon.22 Praxistipp: Die Abgrenzung sollte zu Beginn jeder Implementierung dokumentiert werden.

2. Hochrisiko-Einstufung

Anhang III Nr. 5 lit. b AI Act erfasst KI-Systeme zur Kreditwürdigkeitsprüfung und Bonitätsbewertung natürlicher Personen. Die BaFin wird im nationalen Recht zur zuständigen Marktüberwachungsbehörde.23 Ob ein KI-gestütztes Krisenfrüherkennungssystem unter diese Kategorie fällt, hängt von der konkreten Ausgestaltung ab. Soweit personenbezogene Bonitätsdaten verarbeitet werden, liegt eine Hochrisiko-Einstufung nahe. Bei rein unternehmensbezogenen Finanzkennzahlen ist die Einstufung offen.

3. Deployer-Pflichten und Quasi-Anbieterstellung

Art. 26 AI Act verpflichtet den Betreiber (Deployer) eines Hochrisiko-KI-Systems zur Verwendung nach Betriebsanleitung, zur Überwachung, zur Gewährleistung menschlicher Aufsicht und zur Aufbewahrung automatisch erzeugter Protokolle.24 Besondere Vorsicht ist bei der Zweckänderung geboten. Wer ein allgemeines Analyse-Tool für die spezifische Krisenfrüherkennung umwidmet, kann zum Quasi-Anbieter werden und den gesamten Pflichtenkatalog der Art. 8–15 AI Act auslösen.25 

Das Risikomanagementsystem nach Art. 9 AI Act ist als kontinuierlicher Prozess ausgestaltet.26 Bemerkenswert für die Insolvenzpraxis ist, dass der Regierungsentwurf eines KI-Marktberwachungs- und Innovationsförderungsgesetzes (KI-MIG) die Dokumentationspflicht bei Insolvenz auf den Insolvenzverwalter übergehen lässt.27 Das Sanktionsregime ist zweistufig, der AI Act ermöglicht Bußgelder bis 35 Mio. Euro oder 7 % des Jahresumsatzes.28 Verstöße gegen den AI Act fallen künftig unter das HinSchG.29

V. Datenschutzrechtliche Grenzen: Art. 22 DSGVO in der Praxis

Die DSGVO und die nachfolgende EuGH-Rechtsprechung betreffen unmittelbar nur personenbezogene Daten natürlicher Personen (Art. 1 Abs. 1, Art. 4 Nr. 1 DSGVO),30 während § 1 StaRUG juristische Personen und haftungsbeschränkte Personengesellschaften adressiert.31 Die datenschutzrechtlichen Grenzen sind gleichwohl praxisrelevant, weil KI-gestützte Krisenfrüherkennungssysteme regelmäßig auch auf personenbezogene Daten zugreifen wie – Bonitätsdaten von Geschäftspartnern, Gehaltsdaten von Arbeitnehmern oder persönliche Daten der Geschäftsleiter selbst. Die Restschuldbefreiung gemäß § 286 InsO gilt ebenfalls nur für natürliche Personen;32 sie betrifft die Datenbasis von KI-Systemen aber insoweit, als diese häufig auch Restschuldbefreiungsdaten von Gesellschaftern oder Geschäftsführern enthalten.

Der EuGH hat klargestellt, dass bereits die automatisierte Erstellung eines Scoring-Wahrscheinlichkeitswerts eine automatisierte Entscheidung im Sinne des Art. 22 Abs. 1 DSGVO darstellen kann.33 Entscheidend ist, ob der Wert das Handeln des Dritten maßgeblich leitet. Inhaltliche, nicht bloß formale Mitverantwortung einer natürlichen Person ist erforderlich, um die Ausschließlichkeit zu beseitigen.34

Für die Praxis heißt das: Ein Geschäftsleiter, der KI-generierte Krisenbefunde lediglich abzeichnet, ohne sie materiell zu prüfen, handelt im Anwendungsbereich des Art. 22 DSGVO. Bloße Stichprobenkontrollen oder nachgeschaltete formale Bearbeitung genügen nicht.

Eine Entwarnung gibt es für rein unternehmensbezogene Krisenfrüherkennung: Art. 22 DSGVO erfasst nach überzeugender Auffassung nur Bewertungen einzelner Persönlichkeitsaspekte.35 Finanzkennzahlen und Cashflow-Prognosen ohne Personenbezug fallen nicht in den Anwendungsbereich. Vorsicht ist aber geboten, wenn das System Bonitätsdaten von Geschäftspartnern verarbeitet – hier gelten die vom EuGH aufgestellten Speicherfristengrenzen.36

Der BGH hat die Speicherfristenjudikatur differenziert und die Frage offengelassen, ob die Einhaltung genehmigter Verhaltensregeln zur Exkulpation genügt.37 Praxistipp: Bei Einsatz eines KI-Systems, das auf Auskunftei-Daten zurückgreift, sollte die Speicherdauer beim Datenanbieter vertraglich abgesichert und regelmäßig geprüft werden.

VI. Compliance-Matrix: Vier Handlungsfelder für die Praxis

Aus den vorstehenden Überlegungen ergibt sich eine Compliance-Matrix mit vier Handlungsfeldern, die StaRUG, AI Act und DSGVO verzahnt.

1. Systemauswahl und Validierung

Der Geschäftsleiter hat ein fachlich qualifiziertes KI-System auszuwählen und die Auswahl zu dokumentieren. Bei Hochrisiko-KI ist die Konformitätsprüfung des Anbieters zu verifizieren. Die ISION-Grundsätze wie Auswahl, Information oder Plausibilitätskontrolle dienen als Prüfungskanon.

Checkliste: Anbieterqualifikation und Referenzen prüfen. Konformitätserklärung (CE-Kennzeichnung bei Hochrisiko-KI) anfordern. Vertragliche Zusicherung der AI-Act-Compliance. Dokumentation der Auswahlentscheidung mit Begründung.

2. Datenqualität und Datenschutz

Die Informationsbasis des KI-Systems muss den Anforderungen der DSGVO entsprechen. Bei Verarbeitung personenbezogener Bonitätsdaten ist eine Datenschutz-Folgenabschätzung durchzuführen. Die Speicherfristen der EuGH-Schufa-Rechtsprechung38 sind zu beachten.

Checkliste: Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO prüfen. Speicherfristen beim Datenanbieter vertraglich absichern. Bei personenbezogenem Scoring: Art. 22-Prüfung durchführen (liegt eine automatisierte Entscheidung vor?). Informationspflichten nach Art. 13, 14, 15 DSGVO sicherstellen.

3. Laufende Überwachung und Dokumentation

Das KI-System bedarf einer fortlaufenden Leistungskontrolle und einer systematischen Dokumentation der Entscheidungsprozesse. Der IDW S 16 wird als Richtschnur für die strafrechtliche Bewertung dienen.39 Die Dokumentation ist daher nicht nur gesellschaftsrechtlich, sondern auch strafrechtlich geboten.

Checkliste: Audit-Trail für KI-Entscheidungen einrichten. Regelmäßige Leistungsüberprüfung (Genauigkeit, Fehlalarme) durchführen. Anlassbezogene Kontrollen bei Auffälligkeiten. Aufbewahrung der Protokolle nach Art. 18 AI Act sicherstellen. Berichterstattung an Überwachungsorgane nach § 1 Abs. 1 S. 2 StaRUG dokumentieren.

4. Schulung und Organisationskultur

Art. 4 AI Act normiert eine allgemeine KI-Kompetenzpflicht (AI Literacy).40 Im Zusammenspiel mit der NIS-2-Schulungspflicht gemäß § 38 Abs. 3 BSIG ergibt sich die Notwendigkeit, KI-Kompetenz und Cybersicherheit gemeinsam in der Geschäftsleitung zu verankern.41

Die gesellschaftsrechtliche Tone-from-the-Top-Pflicht verlangt Dreierlei und zwar Compliance-Committment der Geschäftsleitung, aktive Compliance-Kommunikation im Unternehmen und Verankerung in der Organisationskultur.42 Ein positives Testat nach IDW PS 980 entfaltet keine Enthaftungswirkung, kann aber im Rahmen der Beweiswürdigung wertvolle Dienste leisten.43

Checkliste: KI-Kompetenzschulung für die Geschäftsleitung planen (Art. 4 AI Act). Cybersicherheitsschulung nach § 38 Abs. 3 BSIG integrieren. Interne Richtlinie zum KI-Einsatz erlassen. Zuständigkeiten für Algorithmus-Governance zuweisen. Regelmäßige Berichterstattung an Aufsichtsrat/Überwachungsorgane etablieren.

VII. D&O-Dimension und Haftungsprävention

Das OLG Frankfurt a. M. hat die Verletzung der Krisenfrüherkennungspflicht, der Insolvenzantragspflicht und des Zahlungsverbots als einheitlichen Pflichtenverstoß mit Wissentlichkeitsindiz qualifiziert – mit Durchschlag auf die D&O-Deckung.44

Für die Praxis ergibt sich daraus eine Umkehrkonstruktion. Wer ein KI-Früherkennungssystem einsetzt und dessen Ergebnisse dokumentiert, kann die Wissentlichkeitsvermutung widerlegen. Die dokumentierte Befassung mit Krisensignalen zeigt, dass der Geschäftsleiter die Pflicht zur Krisenfrüherkennung ernst genommen hat. Die Dokumentation des KI-Einsatzes wird damit zum gesellschaftsrechtlichen und versicherungsrechtlichen Schutzinstrument.

Praxistipp: D&O-Police auf Deckung für KI-bezogene Sorgfaltspflichtverletzungen prüfen. Dokumentationsprozess für KI-Entscheidungen als Compliance-Standard etablieren. Bei Nichtnutzung verfügbarer KI-Tools: Begründung schriftlich festhalten.

VIII. Zeitplan und Handlungsbedarf

Die regulatorische Taktung ergibt folgenden Zeitplan:

  • Seit 17.1.2025: DORA anwendbar (Finanzunternehmen).45
  • Seit 6.12.2025: NIS-2-Umsetzung in Deutschland in Kraft.46
  • Ab 2.8.2026: AI Act weitgehend anwendbar, einschließlich Deployer-Pflichten (Art. 113 AI Act).
  • Bis 17.7.2026: EU-Kommission evaluiert die Restrukturierungsrichtlinie.47
  • IDW S 16 (seit 8.9.2025): Faktischer Referenzstandard für § 1 StaRUG.

Unternehmen sollten die verbleibende Zeit bis August 2026 nutzen, um die Compliance-Matrix in ihre Governance-Strukturen einzuarbeiten. Wer frühzeitig für eine KI-informierte Krisenfrüherkennung sorgt, schafft damit nicht nur rechtliche Compliance, sondern auch betriebliche Resilienz.

IX. Fazit

KI-gestützte Krisenfrüherkennung ist weder Zukunftsmusik noch rechtsfreier Raum. Sie bewegt sich in einem Gesetzes-Dreiklang aus StaRUG, AI Act und DSGVO, das den Sorgfaltsmaßstab der Geschäftsleitung materiell konturiert.48

Die Ergebnisse lassen sich in fünf Thesen zusammenfassen:

1. Die Verfügbarkeit marktgängiger KI-Früherkennungssysteme verschiebt den Sorgfaltsmaßstab, ohne eine absolute Einsatzpflicht zu begründen. Geschäftsleiter müssen den Einsatz erwägen und dokumentieren.

2. Die Algorithmus-Governance (Systemzuverlässigkeit, Manipulationsschutz, Kontrollen, Datenschutz) konvergiert mit den Deployer-Pflichten des AI Act und bildet den organisatorischen Kern jeder KI-Implementierung.

3. Art. 22 DSGVO begrenzt den KI-Einsatz nur bei personenbezogenen Bewertungen natürlicher Personen. Rein unternehmensbezogene Krisenfrüherkennung ohne Personenbezug fällt nicht in den Anwendungsbereich. Da KI-Systeme in der Praxis aber regelmäßig auch personenbezogene Daten verarbeiten, ist eine DSGVO-Compliance-Prüfung im Regelfall geboten.

4. Die D&O-Dimension verstärkt den Handlungsdruck: Die dokumentierte KI-Nutzung schützt vor Wissentlichkeitsvorwürfen; die Nichtnutzung verschärft sie.

5. Cybersicherheit, KI-Kompetenz und Krisenfrüherkennung bilden eine untrennbare Governance-Trias, die als Querschnittsaufgabe in der Geschäftsleitung verankert werden muss.

Dr. Dr. Fabian Teichmann, LL.M. (London), EMBA (Oxford), RA, ist Rechtsanwalt und Notar in St. Gallen sowie Managing Partner der Teichmann International (Schweiz) AG. Zudem ist er Lehrbeauftragter an verschiedenen Universitäten und als Fachspezialist in mehreren Rechtsbereichen tätig.

Hinweis der Redaktion:

Lesen Sie vom Autoren Teichmann auch die folgenden Beiträge:

  • Teichmann, Cybersicherheit als Führungsaufgabe: Die BSI-Handreichung zur NIS-2-Schulungspflicht und ihre Bedeutung für die betriebliche Organisation, BB 2026, 74 ff. –Teichmann, Digital Operational Resilience Act (DORA)
  • EU-weit einheitliche IT-Sicherheitsregeln für Finanzinstitute, BB 2025, 2760 ff.
  • Teichmann, IT-Sicherheitsgesetz 2.0 in der Praxis: Angriffserkennung und kritische Komponenten, BB 2025, 1993 ff.

Lesen Sie zudem auch den KI-themenpassenden Beitrag Klaas/Bertermann, KI-basierte Transkription zwischen Datenschutz- und Strafrecht, BB 2026, 1100 ff.


1

BSI, Die Lage der IT-Sicherheit in Deutschland 2024, S. 13 ff., https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.pdf?_
_
blob=publicationFile&v=5 (Abruf: 6.6.2026); Evers, CCZ 2025, 239; Allianz Risk Barometer 2026, Cyber bleibt weltweit Top-Risiko, während KI-Risiken auf Platz 2 springen, https://commercial.allianz.com/news-and-insights/news/allianz-risk-barometer-2026/de.html (Abruf: 6.6.2026); It-Sicherheit, Insolvenz nach Cyberangriff?, https://it-sicherheit.de/artikel/insolvenz-nach-cyberangriff-cyber-resilienz-wird-wichtiger/ (Abruf: 6.6.2026); WDR, Euskirchener Firma droht nach Cyberattacke Insolvenz, https://www1.wdr.de/nachrichten/rheinland/insolvenz-nach-cyberangriff-bonn-100.html (Abruf: 6.6.2026); ZRI online, Heft 1/2026, Cyberangriff als Insolvenzauslöser: Der Fall Fasana, https://www.zri-online.de/heft-1-2026/zri-2026-6-cyberangriff-als-insolvenzausloeser-der-fall-fasana-als-weckruf/ (Abruf: 6.6.2026).

2

Thole, in: Jacoby/Thole, StaRUG, 2023, StaRUG § 1, Rn. 11; Schmidt, in: MüKoStaRUG, 2023, StaRUG § 1, Rn. 23; Mock, in: BeckOK StaRUG, 19. Ed. 1.1.2026, StaRUG § 1, Rn. 19.

3

VO (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13.6.2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Verordnung über künstliche Intelligenz) – nachfolgend AI Act.

4

EuGH, 7.12.2023 – C-634/21, BB 2024, 270, NJW 2024, 413.

5

Teichmann, ZInsO 2025, 2193 ff.; Evers, CCZ 2025, 239; BSI, Die Lage der IT-Sicherheit in Deutschland 2025, S. 3 ff., https://medien.bsi.bund.de/lagebericht/Lagebericht2025_
Achtseiter.pdf (Abruf: 6.6.2026); Allianz Risk Barometer 2026, Cyber bleibt weiltweit Top-Risiko, während KI-Risiken auf Platz 2 springen, https://commercial.allianz.com/news-and-insights/news/allianz-risk-barometer-2026/de.html (Abruf: 6.6.2026); ZRI online, Heft 1/2026 Cyberangriff als Insolvenzauslöser: Der Fall Fasana, https://www.zri-online.de/heft-1-2026/zri-2026-6-cyberangriff-als-insolvenzausloeser-der-fall-fasana-als-weckruf/ (Abruf: 6.6.2026); WDR, Euskirchener Firma droht nach Cyberattacke Insolvenz, https://www1.wdr.de/nachrichten/rheinland/insolvenz-nach-cyberangriff-bonn-100.html (Abruf: 6.6.2026).

6

Spindler, in: MüKoAktG, 6. Aufl. 2023, § 93, Rn. 56; Braegelmann, NZI-Beilage 2025, 92, 96.

7

Der Beitrag gibt die Rechtslage zum 5.5.2026 wieder; etwaige Änderungen durch die Vereinfachungsvorschläge der Kommission (“Digital Omnibus”) bleiben vorbehalten, vgl. Ashkar/Schröder, BB 2026, 842; Dienst/Hartl/Steinberger, BB 2026, 1165; Wegmann/Kröhnert, BB 2026, 1290.

8

Mock, in: BeckOK StaRUG, 19. Ed. 1.1.2026, § 1, Rn. 38; Goetker, in: Flöther, StaRUG, 2021, StaRUG § 1, Rn. 104–107.

9

Mock, in: BeckOK StaRUG, 19. Ed. 1.1.2026, § 1, Rn. 54; Gleißner/Nickert/Nickert, DB 2023, 1489, 1493 f.

10

Mock, in: BeckOK StaRUG, 19. Ed. 1.1.2026, § 1, Rn. 33–34.1; Fleischer, in: MüKoGmbHG, 5. Aufl. 2026, § 43, Rn. 73.

11

Köllner/Otto, NZI 2026, 52, 56; Gutmann/Hoffmann, NZI 2026, 141, 143 f.

12

Gutmann/Hoffmann, NZI 2026, 141, 144.

13

Thole, in: Jacoby/Thole, StaRUG, 2023, StaRUG § 1, Rn. 39–40; Goetker, in: Flöther, StaRUG, 2021, StaRUG § 1, Rn. 83; Mock, in: BeckOK StaRUG, 19. Ed. 1.1.2026, § 1, Rn. 69–70; Goetker, in: Flöther, StaRUG, 2021, StaRUG § 1, Rn. 83.

14

Fleischer, in: MüKoGmbHG, 5. Aufl. 2026, § 43, Rn. 103–104.

15

Fleischer, in: MüKoGmbHG, 5. Aufl. 2026, § 43, Rn. 184.

16

Fleischer, in: MüKoGmbHG, 5. Aufl. 2026, § 43, Rn. 185.

17

Fleischer, in: MüKoGmbHG, 5. Aufl. 2026, § 43, Rn. 185.

18

Grundlegend BGH, 20.9.2011 – II ZR 234/09, BB 2011, 2960 – ISION.

19

Spindler, in: MüKoAktG, 6. Aufl. 2023, § 93, Rn. 132–136.

20

DAV, Stellungnahme SN 32/25 v. 9.7.2025, S. 5, https://anwaltverein.de/newsroom/sn-32-25-einsatz-von-ki-in-der-anwaltschaft (Abruf: 6.6.2026); Braegelmann, NZI-Beilage 2025, 92.

21

VO (EU) 2024/1689, Art. 3 Nr. 1; Kirschke-Biller/Füllsack, in: BeckOK KI-Recht, 5. Ed. 1.11.2025, KI-VO Art. 3, Rn. 7–11; Hilgendorf/Härtlein, in: HK-KI-VO, 2025, KI-VO Art. 3, Rn. 3; Lange-Kulmann/Rammos, in: Clausen/Schroeder-Printzen, Münchener Anwaltshdb. MedR, 4. Aufl. 2026, § 26, Rn. 9–14.

22

EU-Kommission, Leitlinien der Europäischen Kommission v. 6.2.2025, Ziff. 5.2, Rn. 42, unter https://digital-strategy.ec.europa.eu/de/library/commission-publishes-guidelines-ai-system-definition-facilitate-first-ai-acts-rules-application (Abruf: 6.6.2026); Lange-Kulmann/Rammos, in: Clausen/Schroeder-Printzen, Münchener Anwaltshdb. MedR, 4. Aufl. 2026, § 26, Rn. 14; Wendt, in: Wendt/Wendt, Das neue KI-Recht, 2. Aufl. 2025, § 5, Rn. 33–36.

23

VO (EU) 2024/1689, Anhang III Nr. 5 lit. b; Bundesregierung, RegE KI-MIG, § 2 Abs. 3, https://bmds.bund.de/fileadmin/BMDS/Dokumente/Gesetzesvorhaben/260209_
RegE_
KI-MIG_
final_
barr.pdf (Abruf: 6.6.2026); Klawonn, in: BeckOK KI-Recht, 5. Ed. 1.2.2026, KI-VO Anhang III, Rn. 79–81.

24

VO (EU) 2024/1689, Art. 26; Denga, in: BeckOK KI-Recht, 5. Ed. 1.2.2026, KI-VO Art. 26, Rn. 17–22; Lange-Kulmann/Rammos, in: Clausen/Schroeder-Printzen, Münchener Anwaltshdb. MedR, 4. Aufl. 2026, § 26, Rn. 31–33; Hilgendorf/Härtlein, in: HK-KI-VO, 2025, KI-VO Art. 26, Rn. 2.

25

VO (EU) 2024/1689, Art. 25 Abs. 1; Dubovitskaya, AG 2024, 877, 879 ff.; Lange-Kulmann/Rammos, in: Clausen/Schroeder-Printzen, Münchener Anwaltshdb. MedR, 4. Aufl. 2026, § 26, Rn. 25; Bosman, in: BeckOK KI-Recht, 5. Ed. 1.11.2025, KI-VO Art. 25, Rn. 13.

26

VO (EU) 2024/1689, Art. 9; Wendt, in: Wendt/Wendt, Das neue Recht der Künstlichen Intelligenz, 2. Aufl. 2025, § 6, Rn. 7–9; Hilgendorf/Härtlein, in: HK-KI-VO, 2025, KI-VO Art. 9, Rn. 3–9; Gerdemann, in: BeckOK KI-Recht, 5. Ed. 1.2.2026, KI-VO Art. 9, Rn. 19–21.

27

Bundesregierung, RegE KI-MIG, § 18, https://bmds.bund.de/fileadmin/BMDS/Dokumente/Gesetzesvorhaben/260209_
RegE_
KI-MIG_
final_
barr.pdf (Abruf: 6.6.2026). Vgl. zum Umsetzungsgesetz auch Haar, Die Erste Seite, BB Heft 18/2026.

28

VO (EU) 2024/1689, Art. 99 Abs. 3–5; Bundesregierung, RegE KI-MIG, § 15 Abs. 1–3, § 16 Abs. 1, https://bmds.bund.de/fileadmin/BMDS/Dokumente/Gesetzesvorhaben/260209_
RegE_
KI-MIG_
final_
barr.pdf (Abruf: 6.6.2026).

30

Vgl. EuGH, 7.12.2023 – C-634/21, BB 2024, 270 – Scoring; EuGH, 7.12.2023 – verb. Rs. C-26/22 und C-64/22, BB 2024, 274 – SCHUFA-Speicherfristen; Schild, in: BeckOK DatenschutzR, 55. Ed. 1.2.2026, DS-GVO Art. 4, Rn. 3–3b, 5; Schmidt, in: MüKoStaRUG, 2023, StaRUG § 1, Rn. 25–32; Thole, in: Jacoby/Thole, StaRUG, 2023, StaRUG § 1, Rn. 5, 7; Buchner, in: Kühling/Buchner, DS-GVO/BDSG, 4. Aufl. 2024, DS-GVO Art. 1, Rn. 8; Ernst, in: Paal/Pauly, DS-GVO BDSG, 4. Aufl. 2026, VO (EU) 2016/679 Art. 4, Rn. 4–6.

31

Thole, in: Jacoby/Thole, StaRUG, 2023, StaRUG § 1, Rn. 5, 7; Schmidt, in: MüKoStaRUG, 2023, StaRUG § 1, Rn. 25–32.

32

Andres, in: Andres/Leithaus, InsO, 5. Aufl. 2025, InsO § 286, Rn. 1; Riedel, in: BeckOK InsR, 42. Ed. 1.2.2026, InsO § 286, Rn. 2; Sternal, in: Uhlenbruck, InsO, 16. Aufl. 2025, InsO § 286, Rn. 4.

33

EuGH, 7.12.2023 – C-634/21, BB 2024, 270, Rn. 46–50.

34

Buchner, in: Kühling/Buchner, DS-GVO/BDSG, 4. Aufl. 2024, Art. 22, Rn. 15.

35

Buchner, in: Kühling/Buchner, DS-GVO/BDSG, 4. Aufl. 2024, Art. 22, Rn. 17–19.

36

EuGH, 7.12.2023 – verb. Rs. C-26/22 und C-64/22, BB 2024, 274, NJW 2024, 417.

37

BGH, 18.12.2025 – I ZR 97/25, WRP 2026, 198, NJW 2026, 845, BB 2026, 65 Ls.

38

EuGH, 7.12.2023 – verb. Rs. C-26/22 und C-64/22, BB 2024, 274 SCHUFA-Speicherfristen.

39

Köllner/Otto, NZI 2026, 52, 56.

40

VO (EU) 2024/1689, Art. 4; Hilgendorf/Härtlein, in: HK-KI-VO, 2025, KI-VO Art. 4, Rn. 1–3; Kaufmann, in: BeckOK KI-Recht, 5. Ed. 1.2.2026, KI-VO Art. 4, Rn. 1–2.

41

Teichmann, EnWZ 2025, 248.

42

Fleischer, in: MüKoGmbHG, 5. Aufl. 2026, § 43, Rn. 198–201.

43

Fleischer, in: MüKoGmbHG, 5. Aufl. 2026, § 43, Rn. 202; Schluck-Amend, in: Münchener Anwaltshdb. GmbHR, 5. Aufl. 2023, § 23, Rn. 114.

44

OLG Frankfurt a. M., 5.3.2025 – 7 U 134/23, juris; Schäfer, NZI 2025, 719, 721.

45

VO (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14.12.2022 über die digitale operationale Resilienz im Finanzsektor, Art. 64.

46

BSI, Cybersicherheitsrecht: NIS-2-Umsetzuungsgesetz ab morgen in Kraft, https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251205_
NIS-2-Umsetzungsgesetz_
in_
Kraft.html (Abruf: 6.6.2026).

47

RL (EU) 2019/1023 des Europäischen Parlaments und des Rates vom 20.6.2019 über präventive Restrukturierungsrahmen, über Entschuldung und über Tätigkeitsverbote sowie über Maßnahmen zur Steigerung der Effizienz von Restrukturierungs-, Insolvenz- und Entschuldungsverfahren, Art. 33.

48

Moosmayer/Lösler, in: Moosmayer/Lösler, Corporate Compliance, 4. Aufl. 2024, § 1, Rn. 1–12; Teichmann, LKV 2025, 253, 257; OLG Nürnberg, 30.3.2022 – 12 U 1520/19, NZG 2022, 1058.