Haftung & Risiko5 Min. Lesezeit

Was passiert, wenn ein Mitarbeiter mit KI einen teuren Fehler macht?

Marco Quinter·10. April 2026

Donnerstagmorgen. Eine Projektleiterin in einem Schweizer Ingenieurbüro erstellt ein Angebot für einen Grossauftrag. Sie nutzt ChatGPT, um die technische Beschreibung zu formulieren. Als Kontext gibt sie die vollständige Kalkulation ein, inklusive Margen, Zuliefererpreise und interner Kostenstruktur.

Drei Wochen später erfährt der CEO durch einen Zufall: Der Wettbewerber hat ein Angebot abgegeben, das exakt unter den eigenen Konditionen liegt. Nicht beweisbar, dass ein Zusammenhang besteht. Aber der Verdacht steht im Raum.

Das Szenario ist konstruiert. Aber die einzelnen Elemente sind real. Sie passieren in Schweizer KMU. Täglich.

Was in den nächsten 48 Stunden passiert

Der CEO informiert den VRP. Der VRP stellt drei Fragen.

Frage 1: «Wussten wir, dass Mitarbeitende Kalkulationsdaten in externe KI-Systeme eingeben?»

In den meisten Fällen lautet die Antwort: Nein. Es gibt keine KI-Nutzungsrichtlinie. Kein Inventar der eingesetzten Tools. Keine Datenklassifikation. Die Mitarbeiterin hat kein Verbot missachtet, weil es kein Verbot gab.

Frage 2: «Gibt es einen VR-Beschluss zur KI-Nutzung?»

In den meisten Fällen: Nein. KI war kein formelles Traktandum. Keine Policy, kein Beschluss im Protokoll.

Frage 3: «Was bedeutet das für unsere persönliche Haftung?»

Hier wird es konkret.

Die Haftungskette

Art. 754 Abs. 1 OR regelt die Verantwortlichkeit von Verwaltungsräten. Haftung tritt ein bei absichtlicher oder fahrlässiger Pflichtverletzung. Bereits leichte Fahrlässigkeit genügt. Und die Haftung ist solidarisch: Ein einzelnes Mitglied kann für den gesamten Schaden belangt werden.

Die Business Judgement Rule schützt Verwaltungsräte, die auf vernünftiger Informationsbasis entschieden haben. Der Schutz setzt drei Dinge voraus: informierte Entscheidung, sorgfältige Dokumentation, kein Interessenkonflikt.

Im beschriebenen Szenario fehlen alle drei Voraussetzungen. Keine informierte Entscheidung, weil das Thema nie traktandiert wurde. Keine Dokumentation, weil es keinen Beschluss gibt. Die Business Judgement Rule greift nicht.

Art. 716a OR verankert die unübertragbare Oberaufsichtspflicht. Der Verwaltungsrat kann die operative Führung an die GL delegieren. Er kann nicht die Oberaufsicht delegieren. Wenn KI-Systeme im Unternehmen Geschäftsdaten verarbeiten und der VR hat dazu keine Rahmenbedingungen definiert, ist die Oberaufsichtspflicht nicht erfüllt.

Was das nDSG hinzufügt

Seit dem 1. September 2023 gilt das revidierte Datenschutzgesetz. Wenn die eingegebenen Kalkulationsdaten Personenbezug haben (Zuliefererkontakte, Kundenansprechpartner), kann die Eingabe in ein externes KI-System eine Datenschutzverletzung darstellen. Bussen bis CHF 250'000 sind möglich. Persönlich. Nicht als Unternehmensbusse.

Die Kombination ist das Problem: Organisationsverschulden nach Art. 716a OR plus Datenschutzverletzung nach nDSG plus fehlende Dokumentation. Drei Ebenen, die sich gegenseitig verstärken.

Was den VR geschützt hätte

Derselbe Vorfall, anderes Szenario: Das Unternehmen hat eine KI-Policy. Datenklassifikation ist definiert. Kalkulationsdaten sind als «vertraulich» eingestuft. Die Nutzungsrichtlinie verbietet die Eingabe vertraulicher Daten in öffentliche KI-Systeme. Alle Mitarbeitenden sind geschult. Der Beschluss ist protokolliert.

Die Mitarbeiterin hat trotzdem die Daten eingegeben. Sie hat gegen eine bestehende, kommunizierte Richtlinie verstossen.

In diesem Szenario greift die Business Judgement Rule. Der VR hat auf vernünftiger Informationsbasis Rahmenbedingungen geschaffen. Er hat die Oberaufsichtspflicht wahrgenommen und dokumentiert. Die persönliche Haftung des Verwaltungsrats ist abgeschirmt. Nicht eliminiert, aber substanziell reduziert.

Der Unterschied zwischen den beiden Szenarien: drei VR-Beschlüsse in drei ordentlichen Sitzungen.

Was ein Verwaltungsrat morgen tun kann

Drei Fragen, die in der nächsten VR-Sitzung gestellt werden können:

  1. Haben wir ein Inventar aller KI-Systeme, die im Unternehmen eingesetzt werden?
  2. Gibt es eine schriftliche Datenklassifikation, die regelt, welche Daten in welche Systeme fliessen dürfen?
  3. Liegt ein formeller VR-Beschluss zur KI-Nutzung vor, der im Protokoll dokumentiert ist?

Wer alle drei Fragen mit Ja beantworten kann, hat eine solide Grundlage. Wer bei einer oder mehreren Fragen zögert, hat Handlungsbedarf. Das ist kein Versäumnis. Es ist der Stand in der Mehrheit der Schweizer KMU-Gremien. Und es ist lösbar.

Die KI-Standortbestimmung klärt in einem halben Tag, wo Ihr Unternehmen steht und welche Schritte als nächstes anstehen.

Marco Quinter macht KI-Haftungsrisiken für Verwaltungsräte greifbar und steuerbar. Verwaltungsrat, ehemaliger CBO und CIO.

← Zurück zu Wissen
Klären wir Ihren konkreten Handlungsbedarf.Gespräch vereinbaren →