KI und D&O-Versicherung.
Die Diskussion um KI-Haftung erreicht inzwischen den Vorstandstisch — und sie endet selten dort. Wer als Geschäftsführer eines mittelständischen Unternehmens KI-Projekte verantwortet, trägt persönliche Pflichten, die sich in den vergangenen zwei Jahren stillschweigend verändert haben. Die D&O-Versicherung, die viele für eine Standardabsicherung halten, deckt diese Risiken nicht automatisch. Manche Verträge schließen KI-bezogene Pflichtverletzungen explizit aus, andere schweigen so weit, dass eine spätere Berufung darauf unsicher ist. Geschäftsführer, die ihre Police vor 2024 abgeschlossen haben, finden in den Bedingungen meist keinen Bezug zu KI — und doch haben sich die Erwartungen an die Pflichtenwahrnehmung verändert. Dieser Artikel zeigt, welche Risiken die D&O-Versicherung im KI-Kontext deckt, welche Obliegenheiten daraus folgen und welche Fragen Geschäftsführer ihrem Versicherer stellen sollten — bevor der Ernstfall eintritt.
Was die D&O-Versicherung überhaupt absichert.
Die Directors-and-Officers-Versicherung ist eine Vermögensschadenhaftpflicht für Organe — also für Geschäftsführer, Vorstände, Aufsichtsräte. Sie deckt Schäden ab, die das Unternehmen oder Dritte erleiden, wenn ein Organ seine Pflichten verletzt hat. Im Mittelstand ist sie inzwischen Standard, weil persönliche Haftungssummen sechs- bis siebenstellig sein können.
Eine zentrale Unterscheidung gilt für jeden D&O-Vertrag: Versichert ist die Pflichtverletzung des Organs, nicht der Schaden des Unternehmens an sich. Wenn die KI-Software fehlerhafte Ergebnisse liefert und das Unternehmen Schaden nimmt, ist das zunächst eine Betriebsangelegenheit. Erst wenn die Geschäftsführung ihre Sorgfaltspflicht bei Auswahl, Einführung oder Überwachung der KI verletzt hat, wird daraus ein D&O-Fall.
Genau diese Sorgfaltspflicht ist im KI-Kontext im Wandel. Die Pflichtenmaßstäbe verschärfen sich mit jedem Urteil, jeder Aufsichtsentscheidung, jedem neuen regulatorischen Rahmen. Was 2022 noch als „angemessen“ galt, kann 2026 als Sorgfaltspflichtverletzung gewertet werden — rückwirkend bewertet aus der Sicht des Zeitpunkts der Entscheidung.
Drei typische Schadensbilder im KI-Kontext.
Wo liegen die realistischen Schadensfälle, die eine D&O-Versicherung beschäftigen könnten? In der Beratungspraxis kristallisieren sich drei Muster heraus, die Versicherer inzwischen aufmerksam beobachten und teilweise in ihren Bedingungen adressieren.
- KI-Auswahl ohne angemessene Prüfung: Die Geschäftsführung führt ein KI-System ein, ohne Datenschutz, AI-Act-Compliance oder Betriebssicherheit geprüft zu haben. Es kommt zu einer Datenschutzpanne, einer Behörde verhängt ein Bußgeld, das Unternehmen verlangt vom Geschäftsführer Ersatz.
- Fehlende Aufsicht über KI-getriebene Entscheidungen: Die KI trifft automatisierte Entscheidungen über Kunden, Lieferanten, Bewerber. Es gibt keine Kontrollebene. Eine systematische Diskriminierung wird öffentlich, Schadens-ersatzansprüche folgen.
- Geschäftsschädigende Halluzinationen: Eine KI-gestützte Beratungsfunktion liefert dem Kunden falsche Auskünfte. Der Kunde erleidet Schaden und macht das Unternehmen verantwortlich. Das Unternehmen wendet sich an die Geschäftsführung mit der Frage, ob die Implementierung sorgfaltsgemäß war.
In allen drei Fällen kommt es nicht primär darauf an, ob die KI fehlerhaft war, sondern ob die Geschäftsführung die KI hätte besser auswählen, einführen oder überwachen müssen. Dieser zweite Schritt ist die eigentliche Bewertungsebene der D&O — und sie wird härter, je etablierter KI im Geschäftsleben wird.
Deckungslücken, die in vielen Verträgen schlummern.
Wer seinen D&O-Vertrag vor 2024 abgeschlossen hat, findet darin in der Regel keine explizite Erwähnung von KI. Das bedeutet weder, dass KI gedeckt ist, noch dass sie ausgeschlossen ist. Es bedeutet, dass im Schadensfall eine Auslegungsdiskussion geführt wird — mit ungewissem Ausgang.
Versicherer arbeiten inzwischen an präziseren Bedingungen. Drei Tendenzen sind erkennbar: Erstens werden „algorithmische Entscheidungen“ und „Einsatz künstlicher Intelligenz“ in manchen Policen explizit benannt — entweder positiv eingeschlossen oder negativ ausgeschlossen. Zweitens fordern manche Versicherer dokumentierte Governance-Strukturen als Obliegenheit ein. Drittens werden bestimmte Risikofelder wie Bias-Diskriminierung oder Datenschutzverstöße separat behandelt.
Konkret bedeutet das für Geschäftsführer: Ein Blick in die geltenden Bedingungen ist überfällig. Wer sich auf eine Standarddeckung verlässt, kann im Ernstfall vor der Diskussion stehen, ob KI überhaupt gemeint war. Eine schriftliche Klärung mit dem Versicherer — am besten als Ergänzungsvereinbarung — ist die saubere Lösung. Sie kostet eine Stunde Aufwand und gibt Klarheit für Jahre.
Obliegenheiten, die sich verschärfen.
Eine D&O-Versicherung ist kein Persilschein. Sie deckt nur dann, wenn der Geschäftsführer seine Obliegenheiten erfüllt hat. Im KI-Kontext bilden sich derzeit neue Obliegenheiten heraus, die in keinem Vertrag stehen — die aber im Schadensfall als Sorgfaltsmaßstab herangezogen werden.
| Bereich | Erwartete Sorgfalt |
|---|---|
| Anbieterauswahl | Dokumentierte Prüfung der Lieferantensicherheit, Datenschutzbedingungen, AI-Act-Konformität |
| Datenschutz | DSFA bei personenbezogener Verarbeitung, Auftragsverarbeitungsvertrag, dokumentierte Rechtsgrundlage |
| Überwachung | Regelmäßige Qualitätskontrolle der KI-Ausgaben, Eskalationswege bei Auffälligkeiten |
| Schulung | Mitarbeitende, die KI nutzen, sind über Möglichkeiten und Grenzen geschult |
| Notfallmanagement | Rückfallebenen, wenn die KI ausfällt oder fehlerhafte Ergebnisse liefert |
Diese Erwartungen finden sich noch nicht in jedem D&O-Vertrag, sind aber implizit Teil der allgemeinen Sorgfaltspflicht. Ein Geschäftsführer, der diese Punkte ignoriert, kann sich später schwer auf seine D&O berufen — auch wenn formal nichts ausgeschlossen wurde.
Wie sich Prämien und Selbstbehalte verändern.
Die Versicherer kalkulieren KI-Risiken inzwischen aktiv ein. Drei Tendenzen sind in der Marktbeobachtung erkennbar — wenn auch noch nicht in jeder Police umgesetzt.
Erste Tendenz: Die Prämien steigen für Unternehmen, die KI in entscheidungs-relevanten Prozessen einsetzen, ohne dass dies bei Vertragsschluss offengelegt wurde. Die Anzeigepflichten werden strenger, der Risikofragebogen wird länger. Wer schweigt, riskiert eine Leistungskürzung im Schadensfall. Zweite Tendenz: Selbstbehalte für KI-bezogene Fälle werden teilweise gesondert ausgewiesen — etwa zwei- bis fünfmal so hoch wie der reguläre Selbstbehalt. Dritte Tendenz: Manche Anbieter bieten Erweiterungsmodule für KI-Risiken an, die mit Aufpreis hinzu-gewählt werden können.
Im Mittelstand sind die Prämieneffekte heute noch moderat — wenige hundert bis wenige tausend Euro pro Jahr, je nach Unternehmensgröße. Die Bedingungen entwickeln sich aber dynamisch. Geschäftsführer sollten bei jeder Vertragsverlängerung explizit fragen, wie KI behandelt wird und welche Anpassungen sinnvoll sind. Ein passiver Verlauf führt mit hoher Wahrscheinlichkeit zu Lücken, die erst im Schadensfall auffallen.
Was Geschäftsführer ihrem Versicherer schreiben sollten.
Ein kurzes, schriftliches Vorgehen ist die wirksamste Absicherung. Es geht nicht um Schriftverkehr ohne Ende, sondern um drei klare Punkte, die dokumentiert werden sollten — am besten in einem einzigen Schreiben an den Versicherer oder Makler.
- Liste der wichtigsten KI-Anwendungen im Unternehmen, mit kurzer Beschreibung des Zwecks und der Datengrundlage.
- Frage, welche dieser Anwendungen unter die geltende D&O-Deckung fallen und welche Obliegenheiten dafür gelten.
- Bitte um schriftliche Klarstellung beziehungsweise um eine Ergänzungs-vereinbarung, sofern Lücken erkennbar werden.
Die Antwort ist oft erhellend. In manchen Fällen kommt sie schnell und klärt das Bild. In anderen Fällen weicht der Versicherer aus oder verlangt zusätzliche Informationen — was selbst ein wertvolles Signal ist. Wer keine schriftliche Klärung hat, hat im Schadensfall nichts in der Hand. Wer sie hat, kann sich darauf berufen, auch wenn sich die allgemeine Marktlage später verändert.
Wo D&O-Versicherungen nichts ausrichten.
Die D&O-Versicherung deckt fahrlässige Pflichtverletzungen. Sie schützt nicht gegen Vorsatz, sie schützt nicht gegen wissentliche Verstöße, und sie schützt nicht gegen jede strategische Fehlentscheidung. Diese Grenzen sollten klar sein, bevor die Versicherung als pauschale Rückversicherung verstanden wird.
Drei Konstellationen liegen außerhalb der typischen Deckung. Erstens vorsätzliche Pflichtverletzungen — wer wissentlich gegen Datenschutzrecht verstößt, weil das KI-Projekt schneller laufen soll, kann sich nicht auf die D&O berufen. Zweitens rein unternehmerische Fehlentscheidungen, die zwar zum Schaden geführt haben, aber innerhalb des unternehmerischen Ermessens lagen — solange die Sorgfalt eingehalten wurde. Drittens vertragliche Strafzahlungen, etwa AI-Act-Bußgelder, sind in vielen Verträgen ausgeschlossen.
Die wichtigste Lehre: Eine D&O-Versicherung ist eine Rückfallebene, kein Ersatz für saubere Governance. Wer KI im Unternehmen einsetzt, muss dies dokumentiert, geprüft und überwacht tun — nicht weil die Versicherung es verlangt, sondern weil die Sorgfaltspflicht es verlangt. Die Versicherung schützt vor den Folgen ehrlicher Fehler, nicht vor den Folgen schludriger Praxis.
Konkrete nächste Schritte für Geschäftsführer.
Wer das Thema bisher nicht systematisch angegangen ist, kann mit einem überschaubaren Aufwand in den nächsten Wochen ein deutlich klareres Bild herstellen. Es geht nicht um große Versicherungsentscheidungen, sondern darum, vorhandene Verträge an die Realität des Geschäftsjahres 2026 anzupassen.
Ein praktikabler Pfad besteht aus drei Schritten. Erster Schritt: Sichtung der aktuellen D&O-Bedingungen, gemeinsam mit dem Justiziar oder einem unabhängigen Makler — Suchwort „algorithmische“, „automatisierte“, „künstliche Intelligenz“, „maschinelle“. Welche Klauseln finden sich? Welche fehlen? Zweiter Schritt: Schreiben an den Versicherer mit klarer Anfrage nach Deckung für die wichtigsten KI-Anwendungen im Haus. Dritter Schritt: Ggf. Ergänzungsvereinbarung oder Wechsel des Anbieters bei der nächsten Hauptverlängerung.
Parallel dazu lohnt der Aufbau einer dokumentierten KI-Governance. Sie ist nicht nur Versicherungsvoraussetzung, sondern Grundlage einer ernsthaften Geschäftsführung. In Beratungsprojekten zeigt sich regelmäßig, dass die Klärung der Versicherungsfrage als Anlass dient, viele liegengebliebene Governance-Themen endlich anzugehen. Das ist ein willkommener Nebeneffekt.
Sie wollen wissen, ob Ihre D&O-Police Ihre KI-Verantwortung tatsächlich deckt? Unverbindlich anfragen — wir prüfen mit Ihnen die Lücken zwischen Vertragstext, Pflichtenlage und gelebter Praxis.