Home News Abo Bücher eBooks Veranstaltungen Berater-Magazin Datenbank
Logo ruw-online
Logo ruw-online
 
 
ZHR 183 (2019), 105-153
Noack 
drucken
PDF

Organisationspflichten und -strukturen kraft Digitalisierung

Von Ulrich Noack*

Was haben Organisationspflichten und -strukturen von Kapitalgesellschaften mit der binären Rasterung der Welt zu schaffen? Wie wirkt sich die neue Digitalisierung, namentlich durch Künstliche Intelligenz, auf die Unternehmensleitung und -verfassung aus? Der Beitrag handelt von der Verantwortung der Geschäftsleitung, die das Unternehmen mit digitaler Technologie führt. Die Perspektive reicht weiter, indem die Rolle der Gesellschaftsorgane in einer künftig volldigitalisierten Umgebung auf den Prüfstand gerät.

Inhalt

I.

Digitalisierung 2.0 und das Unternehmensrecht

106

1.

Die zweite Welle der Digitalisierung

106

2.

Zum Stand der Dinge in Gesetzgebung und Wissenschaft

108

a)

Nationale und EU-Rechtssetzung

108

b)

Forschungsstand

110

II.

Die digitale Unternehmensleitung

112

1.

Organisationspflichten bei der Kapitalgesellschaft

112

2.

Corporate Digital Responsibility

112

3.

Entscheidung über Digitalisierung

113

a)

Digitaler Rechtsverkehr als Pflicht

113

b)

Digitale Geschäftsorganisation als Pflicht

114

c)

Unternehmerische Ausrichtung auf Digitalität

114

4.

KI-Einsatz bei Geschäftsführung und Unternehmensleitung

116

a)

Geschäftsführung

116

b)

Unternehmensleitung mittels KI

118

c)

(Faktische) Entscheidung durch KI-Systeme

119

d)

Business Judgement Rule und der Einsatz von KI

121

5.

Datenmanagement/Cyber-Security

124

a)

Zur Bedeutung als “Chefsache”

124

b)

Bestandsgefährdendes Risiko

126

c)

Maßstäbe für Datensicherheit

126

d)

Folgen und Haftungsfragen

129

6.

Compliance

131

a)

Grundlage

131

b)

CMS der nächsten Generation

132

c)

Wissenszurechnung

133

III.

Die digitale Gesellschaftsorganisation

135

1.

Vorstand

135

ZHR 183 (2019) S. 105 (106)

a)

Unternehmenskultur und -kommunikation

135

b)

Bestellung und Ressort

135

c)

Ersetzung

136

2.

Hauptversammlung und Aktionäre

137

a)

Gleichbehandlung durch Online-Teilhabe

137

b)

Entwicklungen

138

3.

Aufsichtsrat

140

a)

Besetzung des AR

140

b)

Zugriff auf Unternehmens-KI

140

IV.

Ausblick und Thesen

141

I. Digitalisierung 2.0 und das Unternehmensrecht

1. Die zweite Welle der Digitalisierung

Seit den siebziger Jahren hielt die “Elektronische Datenverarbeitung” ihren Einzug in den Unternehmen, in den achtziger/neunziger Jahren kamen der Personal-Computer und das frühe Word Wide Web, in den letzten beiden Jahrzehnten waren es das entwickelte Internet und die mobile Kommunikation. In den Unternehmen ist mit diesen Technologien bereits vieles digitalisiert, insbesondere im Bürobereich und im Rechnungswesen. Jedoch handelt es sich dabei nur um die erste Welle. Die neue Digitalisierung bedeutet weit mehr als Datenbanken einrichten, E-Mail schreiben oder etwas im Internet suchen.

Die zweite Welle der Digitalisierung ergreift das Unternehmen in seiner Gesamtheit, sei es in der Wertschöpfung1 oder in der Binnenorganisation. Nicht allein die Umwandlung analoger Vorgänge in eine maschinenlesbare Codierung ist im Gange, sondern die Information liegt häufig bereits als Digitalisat vor und wird so weiterverarbeitet.2 Die technischen Treiber dafür sind massive Verbesserungen sowohl der Hardware als auch vor allem der Software. Speicher und Prozessoren sind bei stark gestiegener Rechenleistung in der Lage, größte Datenmengen in kurzer Zeit zu bewältigen (Big Data). Diese Daten kommen in stetem Strom von innen (Produktion, Verwaltung) und außen (Markt, Kunden, Lieferanten). Der Datenflut auf der Eingabe- entspricht auf der Ausgabeseite eine neue Vielfalt. Früher konnte mit den Daten der Bildschirm oder der Drucker bestückt werden, heute existieren zahlreiche Schnittstellen für verschiedenste Folgeaktionen, ohne dass ein Mensch als Mittler auftreten muss. So kann z.B. ein Auftrag von Anfang (Einwerbung, Bestellung) bis Ende (Lieferung, Bezahlung) als digitaler Prozess abgearbeitet werden. Preise werden vielfach dynamisch und individuell bestimmt.

ZHR 183 (2019) S. 105 (107)

Dieser Fortschritt ist wesentlich durch Algorithmen verursacht, die scheinbar selbstständig handeln. Der Algorithmus ist zunächst eine lineare Abfolge von Prozessschritten, ähnlich einem Klausurschema oder einem Kochrezept. Die Neuerung ist, dass die Linearität aufgebrochen wird, so dass der “kluge” Algorithmus sein Ziel, aber nicht mehr genau den Weg dorthin vorgeschrieben bekommt. Militärwissenschaftlich würde man sagen: von der Befehls- zur Auftragstaktik.3 Dieser Vorgang wird gerne als “Künstliche Intelligenz” (KI) bezeichnet, eine Wortwahl, die im politischen und sozialen Raum schillernde Eigendynamik entfaltet. Gleichwohl soll hier nicht ein Professorenbegriff vorgeschlagen werden,4 der außerhalb des Zirkels niemand anspricht. Vielmehr muss in der Sache klar sein, dass es nicht um “Intelligenz”5 im menschlichen Sinne geht und auch kein digitaler Homunkulus im Entstehen ist.

Der heute so genannten Künstlichen Intelligenz liegt zugrunde, dass in jüngster Zeit das maschinelle Lernen insbesondere mittels neuronaler Netze weit vorangeschritten ist. KI-Algorithmen gewinnen Brettspiele, navigieren Autofahrer, erkennen Personen, steuern Drohnen usw. In diesen Teilbereichen sind sie jedem Menschen bei weitem überlegen – eben darum, weil es um abgegrenzte Aufgaben geht. Die KI-Maschine kann etwas sehr viel besser, alles andere aber nicht.6 Daher spricht man heute von einer sektoriellen “schwachen KI”.7 Eine generell starke KI (“Superintelligenz”), die sich selbstständig neue Ziele setzt und diese autonom ansteuert, ist eine Vision, an der sich die Geister scheiden. Mit der Realität hat sie derzeit und in mittlerer Zukunft nichts zu tun. Selbst das auf Level 5 fahrende vollautonome Automobil8 würde von einer schwachen KI gesteuert. Doch schwach ist diese KI nur im Vergleich zu der utopischen, aber potentiell ungemein leistungsfähig in den ihr zugewiesenen Feldern, sei es in Dienstleistung,9 Produktion,10 Vorhersage, Planung, Recherche,11 im Marktauftritt oder im Personalwesen.

ZHR 183 (2019) S. 105 (108)

Neben Big Data und KI ist die Blockchain als weitere Innovation zu nennen, die imstande ist, die Verfassung der Unternehmen und ihrer Geschäftsbeziehungen umzupflügen. Sie betrifft vor allem Zwischenglieder, die etwa in einer Lieferkette für Sicherheit sorgen; aber auch unternehmensintern ist sie geeignet, Hierarchien zu schleifen, weil sie eine sichere Informationsstruktur verspricht.

Von einer breitflächigen Nutzung der vorstehend beschriebenen Technologien kann indessen noch keine Rede sein. Die bekannten Internet-Unternehmen sind von der Natur der Sache her datafiziert, während es bei der Zementproduktion ganz anders aussieht. Dazwischen stehen etwa Verkehrsunternehmen wie die Deutsche Bahn oder Automobilproduzenten. Innovative Kleinstunternehmen (start ups) bestehen fast virtuell, im Mittelstand herrscht offenbar Aufbruchstimmung,12 Großunternehmen sind teils Digitalpioniere, teils kämpfen sie mit der Transformation ihrer alten EDV.13

Überall entwickeln sich Inseln der Anwendung, deren Potential erkennbar ist und das Unternehmensgeschehen im nächsten Jahrzehnt prägen dürfte. Die Plattformökonomie ist fast schon Allgemeingut, das Voranschreiten der “Industrie 4.0”-Projekte lässt sich ebenso beobachten wie die Zunahme weiterer Internet-of-Things-Applikationen. Ob Großunternehmen oder der Mittelstand: Die neue Digitalisierung kommt, aber sie ist noch nicht in einem Ausmaß da, welches realitätsgestützte Folgerungen erlaubt, seien diese betriebswirtschaftlicher oder rechtswissenschaftlicher Natur. Zu vieles ist im reißenden Fluss, um in gewohnter Art über die Pflichten und Kompetenzen der Unternehmensorgane in einem algorithmisch geprägten Umfeld zu räsonieren.

Wer Organisationspflichten kraft Digitalisierung behandelt, visiert gleich auf zwei bewegliche Ziele. Das eine ist die Corporate Governance, die sich eher langsam entwickelt, das andere ist die Digitalisierung 2.0., die sich in ganz rasanter Fahrt befindet. Die BaFin hat es schon richtig gemacht, als sie ihren Report über “Big Data trifft auf künstliche Intelligenz – Herausforderungen für Aufsicht und Regulierung”14 mit dem Disclaimer versah, es handele sich um eine “spekulative Studie”.

2. Zum Stand der Dinge in Gesetzgebung und Wissenschaft

a) Nationale und EU-Rechtssetzung

Die erste Welle der Digitalisierung hat das Aktienrecht gestreift, aber sonst kaum Spuren hinterlassen. Die Öffnung der herkömmlichen Hauptversammlung (HV) im Saal für die zeitweilig so genannten “neuen Medien” war immerhin Gegenstand europäischer und deutscher Gesetzgebung, übrigens frühZHR 183 (2019) S. 105 (109) auch eines ZHR-Symposions im Jahr 2001.15 Dass die HV bei entsprechender Satzungsklausel ergänzend als Online-Veranstaltung abgehalten werden kann, gibt die Aktionärsrechte-Richtlinie aus dem Jahr 2007 vor. Das ARUG I16 hat in der Umsetzung die elektronische Stimmabgabe eingeführt (§ 118 Abs. 2 AktG)17 und die Teilhabe “im Wege elektronischer Kommunikation”, und zwar “ganz oder teilweise” (§ 118 Abs. 1 S. 2 AktG). Die Praxis macht zögernd von der ersten und fast gar nicht von der zweiten Option Gebrauch.18

Für den Aufsichtsrat (AR) wurde bereits 1998 die Videokonferenz erleichtert (§ 108 Abs. 4 AktG), was manche mit der transatlantischen Fusion von Daimler-Benz und Chrysler in Zusammenhang brachten. Wie auch immer: Diese sinnvolle Option wird weithin genutzt, wenige Streitpunkte sind offen,19 aber gerichtsnotorisch wurden sie nicht. Die Berichte des Vorstands an den AR können in “Textform” erstattet werden, was die E-Mail jedenfalls ist. Sicherheitsaspekte führen derzeit zum Vordringen geschlossener Board-Systeme, die eine komfortable Kommunikation und Sitzungsvorbereitung ermöglichen.20

Schließlich ist die eigene Internetseite für börsennotierte Gesellschaften zur Plattform der Aktionärsinformation mit Blick auf die HV geworden (§ 124a AktG, allgemein § 131 Abs. 3 Nr. 7, 175 Abs. 2 S. 3, 293f Abs. 3 AktG). Insbesondere die Namensaktiengesellschaften sind bemüht, schon aus Kostengründen die elektronische HV-Einladung voranzubringen (§ 121 Abs. 4 S. 2 AktG; restriktiv § 49 Abs. 3 WpHG zur “Datenfernübertragung”).

Der im Jahr 2018 vorgelegte Richtlinien-Vorschlag der EU-Kommission über den “Einsatz digitaler Werkzeuge und Verfahren im Gesellschaftsrecht”,21 klingt vielversprechend, aber er betrifft im Wesentlichen nur die Online-Unternehmensgründung und den elektronischen Registerverkehr. Die Auswirkungen der Digitalisierung auf die Organisationsverfassung sind kein Gegenstand dieses Regulierungsentwurfs.22 Die von der Kommission konsul-ZHR 183 (2019) S. 105 (110)tierte Expertengruppe hat sogar geraten, die Corporate Governance unangetastet zu lassen.23 Auch aus Deutschland erhielt sie den Hinweis, die rechtliche Ausgestaltung der Organisation – etwa dualistische oder monistische Leitung – habe nichts mit dem Grad der Digitalisierung “in der Gesellschaft” zu tun.24 Ob dieses Diktum haltbar ist, wird sich im Folgenden zeigen.

b) Forschungsstand

Die erste Welle hat früh zu arbeits- und datenschutzrechtlichen Kontroversen geführt,25 das Gesellschaftsrecht zog verzögert nach. Die elektronische Kommunikation der Organe, die neuen Publizitätsmedien, das Medienbündel (§ 121 Abs. 4a AktG), das tote Aktionärsforum (§ 127a AktG) und vor allem die “virtuelle” Hauptversammlung waren hier und da Themen rechtswissenschaftlicher Erörterung.26

Was die zweite Welle betrifft, steht die hiesige Gesellschaftsrechtswissenschaft noch ganz am Anfang. Immerhin ist sie dabei, dem Gegenstand erste Konturen zu geben. In den Jahren 2018/2019 sind etliche Beiträge erschienen, die sich mit “Gesellschaftsrecht und Digitalisierung”27, “Corporate Technologies”28 und mit der “Unternehmensleitung durch Algorithmen”29 befassen. Auch der vorliegende Beitrag ordnet sich in diese Reihe ein.

Die allgemeine zivilrechtliche Befassung mit KI-Systemen, gar mit digitalen Rechtssubjekten, nimmt ebenfalls Fahrt auf.30 Der Deutsche Juristentag 2016 hat über “Digitale Wirtschaft – Analoges Recht” beraten, allerdings noch den Problemstellungen der ersten Digitalisierungswelle verhaftet.31 Die Zivilrechtslehrertagung 2017 hatte die “Digitalisierung des Privatrechts” zum Generalthema.32 Insbesondere die Überlegungen von Teubner zum privatrechtlichen Status autonomer “Softwareagenten” verdienen hohe Beachtung gerade im Handels- und Gesellschaftsrecht.

ZHR 183 (2019) S. 105 (111)

Die internationale unternehmensrechtliche Forschung ist im Ansatz der Überlegungen sowie nach der Zahl der Publikationen deutlich weiter. Sie widmet sich dem Übergang zu dezentralisierten Organisationen, von vertikaler Ordnung zu horizontalen Netzen,33 von “Robots in the Boardroom”34 ist die Rede und von “Corporate Governance in an Algorithmic World”35, von “Technological progress and the future of the corporation”.36 Hier geht es um das große Ganze, um die Zukunft einer gesellschaftsrechtlich verfassten Organisation und ihrer Marktpräsenz. Aus ökonomischer Sicht fragen Beiträge, wie es mit der Organstruktur der Kapitalgesellschaft wohl weitergeht,37 wie sich durch KI die Rechnungslegung verändert38 oder überhaupt die Unternehmenssteuerung. Dass die digitale Transformation ein großes Thema der Managementlehren ist, dass “Business Digital Management” neuerdings studiert werden kann, darauf sei hier nur knapp hingewiesen.

Gegenüber diesen übergreifenden, zum Teil futuristischen Ansätzen nimmt sich das Vorhaben, einige Folgen der neuen Digitalisierung für die Unternehmensleitung aus rechtlicher Sicht zu skizzieren, sehr bescheiden aus. Nichtsdestotrotz ist immer die weit über das Rechtliche hinausreichende Frage präsent, ob es die Maschine künftig besser kann, ob der Knecht zum Herrn wird?39 Bei der ersten Digitalisierungswelle spielte sie keine Rolle, weil es dort wesentlich um eine bessere Kommunikation ging. Bei der zweiten Digitalisierungswelle geht es um bessere Entscheidungen, wozu die “Künstliche Intelligenz”40 als besonders prädestiniert gilt.

ZHR 183 (2019) S. 105 (112)

II. Die digitale Unternehmensleitung

1. Organisationspflichten bei der Kapitalgesellschaft

Als im Jahr 2011 die “Organisationspflichten des Vorstands” auf dem ZHR-Symposion verhandelt wurden, hat man über die neu entdeckte Compliance, über Risikomanagement, Business Judgement Rule (BJR), Vergütung, Binnenorganisation und Ressortzuständigkeiten gesprochen – die Digitalisierung spielte noch keine Rolle.41 Die allgemeine Organisationspflicht der Leitung der Kapitalgesellschaft,42 also des Vorstands der AG bzw. der Geschäftsführung der GmbH, geht dahin, für eine gesetzmäßige, satzungskonforme und effiziente Struktur des Unternehmens zu sorgen.43 Dazu zählt ganz zentral, sich selbst legal zu verhalten und auf ein legales Gebaren der Unternehmensmitarbeiter zu achten.44 Die modernen (= zeitgeistigen) Anforderungen gehen freilich darüber hinaus.

2. Corporate Digital Responsibility

Wer die Corporate Social Responsibility (CSR) gerade verdaut hat, kann sich bald mit der Corporate Digital Responsibility (CDR) als neuem soft law vertraut machen. Dass dem gesetzlichen Datenschutz genügt werden muss, ist Grundbedingung für legales Unternehmenshandeln. Über diesen Bereich hinaus gibt es mannigfaltige Überlegungen, wie eine ethisch korrekte Datenwirtschaft zu betreiben ist. Dazu gibt es seit 2018 eine Initiative der Bundesregierung unter Federführung des BMJV: “Digitalisierung verantwortungsvoll gestalten”, an der sich u.a. die Deutsche Telekom, SAP, die Otto-Gruppe, Miele und das Medienhaus DIE ZEIT beteiligen. Das von der Initiative präsentierte Papier ist noch sehr allgemein und verschwurbelt gehalten: “CDR bezeichnet freiwillige unternehmerische Aktivitäten, die über das heute gesetzlich Vorgeschriebene hinausgehen und die digitale Welt aktiv zum Vorteil der Gesellschaft mitgestalten. CDR kann demnach als ein Teilbereich einer umfassenden Unternehmensverantwortung verstanden werden. . . . Eine verantwortliche Gestaltung der Digitalisierung bzw. der digitalen Transformation soll darauf abzielen, die Chancen der Digitalisierung zu nutzen und Werte wie Gerechtigkeit, Teilhabe, Vertrauen, Autonomie, Transparenz und Nachhaltigkeit zu be-ZHR 183 (2019) S. 105 (113)fördern.”45 Die genannten Unternehmen haben oder sind dabei, unternehmensinterne Leitlinien zu etablieren. Miele verspricht, die Küchengeräte im datenärmsten Zustand auszuliefern (Privacy by design); die Deutsche Telekom und SAP haben Grundsätze für den Umgang mit KI entwickelt und kommuniziert; SAP hat dazu noch einen externen Beirat eingerichtet, der die Einhaltung überwachen soll.46

Diese gutgemeinte Initiative dürfte irgendwann in hartes Recht münden, so wie es die CSR vorgemacht hat. Auch der Deutsche Corporate Governance Kodex könnte das Thema aufgreifen. Ein Kodex mit CDR-Empfehlungen würde offensive Kraft entfalten, schon mit Blick auf die (problematische) Beschlussanfechtung der Entlastung wegen fehlerhafter Entsprechenserklärung.47

Schließlich ist auf EU-Ebene einiges im Gange, um für die Big Data-KI-Wirtschaft eine rechtsethische Grundordnung zu schaffen. Gesucht wird ein europäischer Weg, der sich von den Tech-Giganten aus den USA ebenso abhebt wie von denen aus China. Eine von der EU-Kommission eingesetzte Expertengruppe48 hat im Dezember 2018 einen Entwurf ethischer Leitlinien für die Entwicklung, den Einsatz und die Nutzung von Künstlicher Intelligenz veröffentlicht.49 Eine europäische KI-Allianz wir geschmiedet;50 Think Tanks brüten über den Rahmen für eine gute KI-Gesellschaft.51

3. Entscheidung über Digitalisierung

Ob und wie weit digitalisiert wird, ist im Grundsatz eine unternehmerische Entscheidung (unten c)). Allerdings gibt es gesetzlich Vorgegebenes (unten a)) sowie einschlägige Anforderungen des statutarischen Unternehmensgegenstandes (unten b)).

a) Digitaler Rechtsverkehr als Pflicht

Eine völlige digitale Abstinenz ist heutigen Unternehmen nicht mehr möglich, auch nicht der kleinsten GmbH. Der Rechtsverkehr mit Behörden ist weithin elektronisch abzuwickeln, wofür allerdings Dienstleister engagiert werden können. Anmeldungen zur Eintragung und alle Dokumente zum Handelsregister sind elektronisch einzureichen (§ 12 HGB), desgleichen imZHR 183 (2019) S. 105 (114) XML-Format die Unterlagen der Rechnungslegung (§ 325 Abs. 1 S. 2 HGB) beim Betreiber des Bundesanzeigers. Die Finanzverwaltung akzeptiert nur noch elektronische Umsatz- und Lohnsteueranmeldungen sowie Jahressteuererklärungen. Den Trägern der Sozialversicherung sind die Meldungen “durch elektronische Datenübermittlung” zu erstatten (§ 28a Abs. 1 S. 3 SGB IV). Eine Internetpräsenz wird von börsennotierten Aktiengesellschaften verlangt, die auch auf diesem Wege die Einberufung der Hauptversammlung publik zu machen haben (§ 124a AktG).

b) Digitale Geschäftsorganisation als Pflicht

Wenn der Unternehmensgegenstand etwa auf den Online-Handel gerichtet ist, versteht sich die darauf ausgerichtete Digitalisierung der Geschäftsprozesse von selbst. Eine dauerhafte Unterschreitung des Unternehmensgegenstandes ist der Leitung nicht gestattet.52 Dezidiert auf eine rein digitale Umsetzung sind die Anbieter algorithmischer Handelsstrategien ausgerichtet.53 Zu erwarten ist, dass derlei Geschäftsmodelle zunehmen, insbesondere im FinTech-Bereich. Schließlich haben regulierte Unternehmen aus der Versicherungs- und Bankenbranche angesichts der Anforderungen an ihre Geschäftsorganisation und ihr Risikomanagement54 heute keine Wahl mehr, ob sie das Kontor oder den Computer nutzen.

c) Unternehmerische Ausrichtung auf Digitalität

Sieht man von den vorgenannten Rechtspflichten zum digitalen Rechtsverkehr bzw. der digitalen Geschäftsorganisation ab, liegt es in der Hand der Unternehmensleitung, ob und wie man es mit der Digitalisierung hält. Den Älteren noch bekannt ist die exkulpierende Formel bei Störungen: “wir stellen gerade auf EDV um”. Die zweite Welle trifft das Unternehmen weitaus einschneidender. Digitalisierungsentscheidungen können nach drei Richtungen wirken: erstens den Marktauftritt55 betreffend, zweitens das Produkt56 und drittens den Wertschöpfungsprozess.57 Wie im privaten Leben ist der Übergang zur digitalen Welt fließend. In der Regel ist es daher keine Schwarz-Weiß-Entscheidung der Unternehmensleitung, auf Digitalität zu setzen. Dennoch kann ein Punkt erreicht werden, an welchem der Einschnitt so gravierend ist, dass sich die Frage nach der Zuständigkeit stellt.

ZHR 183 (2019) S. 105 (115)

Die Verwirklichung des satzungsmäßigen Unternehmensgegenstands ist eine genuin unternehmerische Entscheidung,58 die in der AG dem Vorstand in eigener Verantwortung obliegt. Bei einer strategischen Weichenstellung, wie sie sich hier andeutet, wirkt der AR mit, mit eigenem Votum jedenfalls dann, wenn entsprechende Zustimmungsvorbehalte bestehen. Ein solcher Vorbehalt kann darin bestehen, dass das Eingehen einer gesellschaftsrechtlichen Verbindung dem AR vorzulegen ist. Dann wird es interessant: Ist die Einbindung in eine Industrie 4.0.-Umgebung als Begründung einer Personengesellschaft der Beteiligten anzusehen? Das wird bislang wenig diskutiert, und wenn, dann verneint.59 Immerhin besteht eine gemeinsame Verantwortlichkeit für den Datenschutz (§ 26 DSGVO) und auch die Produktverantwortung dürfte eine gemeinschaftliche sein. Intensive Pflichten zur Zusammenarbeit und Loyalität bestehen für die beteiligten Unternehmen, die vertrags- oder gesellschaftsrechtlich fundiert werden können. Ob die Vertragsnetzkonstruktion oder doch der gesellschaftsrechtliche Ansatz auch mit Blick auf die Rechtsfolgen das Richtige trifft, ist derzeit offen.

Forcieren kann der Aufsichtsrat den Schritt in die neue Digitalisierung allerdings nicht aktiv, da ihm eine Direktive zur Geschäftsführung verwehrt ist. Wenn der Vorstand keine oder eine unzureichende Digitalstrategie vorlegt, kann der AR nur über seine Personalkompetenz auf die Vorstandsbesetzung einwirken. Die Abberufung einer störrischen Vorstandsperson ist freilich heikel, denn wer will schon sagen, ihre Digitalphobie sei Beleg für die “Unfähigkeit zur ordnungsgemäßen Geschäftsführung” (§ 84 Abs. 3 S. 2 AktG)? Dass in der Praxis dieses Problem anders gelöst wird, ist bekannt.

Wer nicht mitentscheidet, das sind die Aktionäre. Nur in dem praxisfernen Fall, dass die Satzung den Gegenstand des Unternehmens so eng fasst, dass etwa ein Online-Handel ausgeschlossen ist, wären sie zum Beschluss aufgerufen. Im Allgemeinen sind weder Produktgestaltung noch Marktauftritt noch Wertschöpfungskette für die HV geeignet bzw. beschlusspflichtig. Das gilt auch dann, wenn der Übergang von der analogen zur digitalen Welt eine immense wirtschaftliche Bedeutung hat, ja angesichts der Unternehmenshistorie grundstürzend ist. Dies hat der BGH in anderem Zusammenhang für die “unternehmerische Ausrichtung” bekräftigt: “Die unternehmerische Ausrichtung umfasst die grundlegenden Weichenstellungen, die das Unternehmen als Ganzes betreffen, wie das verfolgte Geschäftsmodell, die Ausrichtung der Geschäftsbereiche oder die Finanzierungsstruktur. Sie ist mit dem in der Satzung festgelegten Gegenstand des Unternehmens nicht gleichzusetzen, weil sie auch die Unternehmenspolitik, die Formulierung und Durchsetzung von Zielen und Maßnahmen, die das Unternehmen als Ganzes betreffen und das Unternehmensgeschehen für die Zukunft festlegen, einschließt. Die FestlegungZHR 183 (2019) S. 105 (116) der Unternehmenspolitik ist aufgrund seiner Leitungsfunktion grundsätzlich Sache des Vorstands der Aktiengesellschaft, § 76 Abs. 1 AktG.”60

In der GmbH liegen die Dinge anders. Auch hier wird die Geschäftsführung über Digitalisierungsschritte befinden, doch können die Gesellschafter jederzeit eingreifen, vorbehaltlich abweichender Satzungsregelungen. Die Frage ist, ob es eine Vorlagepflicht der Geschäftsführer gibt, wenn das Digitalisierungsvorhaben als ungewöhnliches Geschäft einzuordnen ist. Beispiel: Künftig soll statt der hauseigenen IT eine Cloud-Lösung her. Eine allgemeine Vorlagepflicht wird von der wohl h.M. angenommen, teils in Anlehnung an die personengesellschaftsrechtlichen Bestimmungen der §§ 116 Abs. 1, 2, 164 HGB, teils als Grundsatz bei einer “Neuorientierung der Geschäftspolitik”. Das ist so nicht zutreffend, wie im Baumbach/Hueck nachzulesen ist61, sondern nur dann, wenn die Digitalisierungsmaßnahme einem vorgängigen Gesellschafterbeschluss widerspricht (Beispiel: Wir wollen keinen Online-Shop) oder zu erwarten ist, dass die Gesellschaftermehrheit widersprechen wird. Wie auch immer, der vorsichtige Geschäftsführer wird vorlegen, schon um seiner Rückendeckung wegen.

Problematisch könnte dann eine Beschlusslage sein, die den Digitalisierungsschritt stoppt, der allerdings wirtschaftlich als dringlich erscheint. Beispiel: Eine Zulieferer-GmbH wird vom Großkunden ausgelistet, wenn sie sich nicht in eine “Industrie 4.0.”-Struktur einfügt. Mit der Verweigerung wäre wahrscheinlich die GmbH in ihrer Existenz gefährdet. Zwar wird selten nur eine Entscheidung als die Richtige anzusehen sein, gerade im reißenden Strom der Digitalisierung, doch wenn es dazu kommt, wird man sich auf die Media/Saturn-Entscheidung des BGH62 besinnen, die im Kern ausführt: “Die gesellschafterliche Treuepflicht verpflichtet einen Gesellschafter erst dann zu einer bestimmten Stimmabgabe (. . .), wenn dies zur Erhaltung der geschaffenen Werte objektiv unabweisbar erforderlich und den Gesellschaftern unter Berücksichtigung ihrer eigenen schutzwürdigen Belange zumutbar ist.” Sollte es also keine ernsten Sachgründe geben, sondern nur eine allgemeine Aversion gegen Digitales, würde eine Gegenstimme wohl als unbeachtlich anzusehen sein.

4. KI-Einsatz bei Geschäftsführung und Unternehmensleitung

a) Geschäftsführung

Die Beherrschung, Erschließung und Nutzung der daraus entspringenden Datenflut ist eine zentrale Aufgabe der Unternehmensleitung. Mit Kennzahlen usw. haben es die Leitungen schon immer zu tun gehabt. Früher in derZHR 183 (2019) S. 105 (117) Akte, dann im Rechner, heute in der Cloud. Das eigentlich Neue ist auch nicht die enorme Ausweitung der Datenmenge, sondern dass diese durch KI-Systeme ausgewertet, verknüpft und fortgeschrieben wird, womit erhebliche Dynamik ins Spiel kommt.

Als Instrumente der Geschäftsführung nach innen und außen sind diese KI-Systeme grundsätzlich geeignet und unbedenklich.63 Im Gegenteil: Die Leitung wäre schlecht beraten (und wohl nicht mehr lange in dieser Position), wenn sie die Möglichkeiten einer modernen technikgestützten Geschäftsführung links liegen ließe. Ihre Verantwortung besteht darin, den sicheren Betrieb zu organisieren und das Legalitätsprinzip zu wahren. Letzteres meint insbesondere, den datenschutzrechtlichen Anforderungen zu genügen, die arbeitsrechtlichen Grenzen zu achten (z.B. bei der Protokollierung digitalen Mitarbeiterverhaltens) und auf diskriminierungsfreies Gebaren der Software zu dringen (z.B. bei der Personalauswahl64 oder beim Kunden-Scoring). Die wirkliche oder vermeintliche Diskriminierung durch KI ist ein Thema, das für einige Aufregung sorgt.65 Hier zeigt sich ein noch ungelöstes Problem der gängigen KI-Systeme: Sie “lernen”, aber der Lehrstoff ist das Entscheidende. Die alte Redensart gilt auch hier: Wie man in den Wald hineinruft, so schallt es heraus. In den Medien wurde von einer Personalauswahl-KI berichtet, die Frauen keine technischen Stellenangebote machte, weil sie von der Statistik geleitet wurde, dass Technikberufe hauptsächlich von Männern ergriffen werden.66 Für die Leitung ist diese Sachlage brisanter, als wenn “nur” Fehlverhalten von Mitarbeitern in Rede steht. Dieses kann als Einzelfall angesehen werden,67 während sich bei einem breitflächigen Einsatz einer fehlgeleiteten bzw. fehlleitenden KI ein generelles Risiko verwirklicht.

In jüngst erschienenen Beiträgen werden teilautomatisierte von vollautomatisierten Systemen unterschieden.68 Hier ist zu fragen, was “teilautomatisiert” eigentlich ist, worauf sich die Quote bezieht im Unternehmenseinsatz, bei welchem wiederum nur ein Teil der Wertschöpfung abgedeckt wird. Für Organisationspflichten mit Blick auf die Geschäftsführung folgt aus der Unter-ZHR 183 (2019) S. 105 (118)scheidung, wenn sie denn gelingen sollte, wenig. Ob die Online-Bestellung einem Mitarbeiter aufbereitet vorgelegt wird (teilautomatisiert) oder direkt in die Produktion oder ins Lager weitergeleitet und der Lieferprozess, ggf. mit Folgeakten bei anderen Unternehmen, in Gang gesetzt wird (vollautomatisiert), ist für sich genommen keine Leitungsangelegenheit.

b) Unternehmensleitung mittels KI

Aus gesellschaftsrechtlicher Sicht stellt sich die Frage, ob und welche rechtlichen Anforderungen zu stellen sind, wenn Leitungsentscheidungen auf der Grundlage von KI oder gar durch sie getroffen werden. Zunächst ist festzuhalten, dass Computerprogramme für derlei Entscheidungen grundsätzlich tauglich sind. Ob ein Berater oder ein Mitarbeiter sich vor dem Vorstand über eine Maßnahme erklärt (z.B. die Gestaltung der betrieblichen Altersversorgung): mit Sicherheit liegen hier Softwareberechnungen zugrunde.69 Diese Ergebnisse, die etwa aus der Tabellenkalkulation herrühren, sind selbstverständlich akzeptabel, ohne dass der Algorithmus für den Vorstand offengelegt wird. Was sollte er auch mit dem Programmcode von Excel anfangen? Grundsätzlich genügt, wenn nach dem Stand der Technik anerkannte Programme eingesetzt werden.

Die Digitalisierung 2.0 bringt allerdings das Problem mit sich, dass vielfach ein anerkannter KI-Stand der Technik, den man bei der herkömmlichen Standardsoftware anlegen kann, noch nicht zur Verfügung steht. Bei den neuen (“selbstlernenden”) Algorithmen wird gesagt, eine auf sie gestützte Entscheidung erfordere “zumindest ein Grundverständnis der technischen Wirkungsweise”.70 Diese Anforderung ist problematisch, sie könnte zu Missverständnissen verleiten. Beispiel: Wenn sich der Geschäftsführer auf dem Weg zu einem wichtigen Termin von seinem Navigationsgerät leiten lässt, nutzt er eine KI mit einem Optionen-Algorithmus. Jedoch muss er die grundsätzliche Funktionsweise71 dieses “Wunder der Technik” nicht verstehen.

Bei KI-gestützten Entscheidungsvorschlägen beunruhigt das “Black-Box-Problem”. Wie diese Vorschläge zustande kommen, ist kaum nachvollziehbar – das liegt in der Natur der Sache bei Verwendung einer KI. Über diese (bislang) systemimmanente Restriktion muss sich die Leitung im Klaren sein, und darüber, dass der Algorithmus im Ansatz “konservativ” ist, weil er Vergangenes auswertet. Dass man der KI nicht blind vertrauen darf, sei der Vollständigkeit halber hinzugefügt. Aber auch diese selbstverständlich anmutende Aussage ist genauer zu fassen. Wenn das Geschäftsmodell gerade darin besteht, KI-ZHR 183 (2019) S. 105 (119)gestützte Handlungen vorzunehmen, wäre eine menschliche Überprüfung durch das Leitungsorgan zweckverfehlend. Wer eine algorithmische Kapitalanlage anbietet, setzt gerade auf diese Technik, was dem Anlegerpublikum ein Investment wert ist.72

Insofern kann man dem BGH-“Ision”-Kriterium einer “fachlich qualifizierten” Expertise jedenfalls nicht durch Zeugnisse, Arbeitsbelege oder Zertifikate nachkommen, wie sie bei einem menschlichen Berufsträger üblich sind. Überhaupt ist fraglich, ob diese für die menschliche Intelligenz entwickelten Maßstäbe auf die künstliche nolens volens zu übertragen sind.73 Besser werden sachangepasste Kriterien entwickelt, die an den Eigenheiten des verwendeten Systems ansetzen: Eingabe-Verarbeitung-Ausgabe. So wird es bei wichtigen KI-gestützten Entscheidungen darauf ankommen, welche Datensätze eingeflossen sind, wie sie kalibriert wurden und was die Grundannahmen des Algorithmus sind. Eine Plausibilisierung, wie sie der BGH nach “Ision” verlangt, dürfte allerdings nicht gelingen, wenn und weil der Entscheidungsweg nicht wie bei einem menschlichen Expertengutachten offenliegt.74 Denkbar wäre, eine Art zweite Meinung dadurch einzuholen, dass die Parameter des Systems verändert werden. Aus der möglichen Unterschiedlichkeit könnte sich ein Anlass zu weiterer Investigation ergeben oder auch eine Bekräftigung der Entscheidung.

Im Übrigen sind Lösungen für das Black-Box -Problem auf dem Wege.75 Es ist als solches erkannt, und IT-Unternehmen bewerben Programme, mit deren Hilfe verstanden werden soll, wie die KI zu ihrem Vorschlag bzw. der Entscheidung kommt. Ob eine solche Aufschlüsselung machbar ist, ist derzeit technisch noch ungeklärt. Für die rechtliche Wertung sei auf die Verhältnismäßigkeit hingewiesen. Für ein autonomes System, das Büromaterial organisiert, braucht man keine ausgeprägte Kontrolle, doch bei autonomen Systemen im Straßenverkehr oder als Militärwaffe ganz sicher.

c) (Faktische) Entscheidung durch KI-Systeme

Dass die KI auf Leitungsebene nicht selbst entscheidet, sondern vorbereitet, ist bislang selbstverständlich. Über die M&A-Transaktion befindet der Vorstand, die KI liefert ihm das Material. Doch auf der nachgelagerten Ebene der Geschäftsführung wirken KI-gestützte Entscheidungen zuweilen wie Lei-ZHR 183 (2019) S. 105 (120)tungsmaßnahmen. Moderne Algorithmen führen nicht nur Geschäftsführungsakte aus (z.B. ein Kunde bucht einen Flug, was automatisch erledigt wird), sondern führen in der Summe zu einer geschäftspolitischen Grundausrichtung (z.B. die Preisfestlegung erfolgt nach Merkmalen, die Kunde/Wettbewerb/Saison/Marktsegment, auch makroökonomische und politische Situationen berücksichtigt). Oder die Produktionskapazitäten werden nach variablen Kriterien gesteuert, was am Ende auf eine Standortentscheidung hinauslaufen kann; Geschäftspartner werden vom KI-System ausgesucht, etwa bei Zulieferern, ohne dass eine menschliche Entscheidung mitwirkt.

In diesen Fällen setzt die Leitung einen Prozess in Gang, den sie weder im Einzelfall (das ist auch nicht ihre Aufgabe), aber auch nicht generell steuert, sondern nur, aber immerhin, die Ziele setzt. In kartellrechtlichem Zusammenhang werden KI-Systeme von Marktteilnehmern beschrieben, die eine gemeinsame Preisstrategie entwickeln und umsetzen.76 Solange diese Systeme zur technischen Umsetzung von Absprachen eingesetzt werden, liegen menschliche Handlungen dem Grunde nach vor, die kartellrechtlich verfolgt werden können.77 Hingegen könnte es auch dahin kommen, dass sich KI-Systeme dahin entwickeln, objektiv ein Kartell zu formieren, ohne dass die Unternehmensleitungen dazu irgendeine Weisung erteilt haben.78

Diese relative Selbständigkeit der KI wirft die über das Gesellschaftsrecht hinausreichende Frage nach der Verantwortung auf.79 Dass der Ingangsetzer nach dem Vorbild der Gefährdungshaftung einstehen muss, liegt nahe, aber nicht immer ist das rechtsökonomisch sinnvoll oder er ist nicht eindeutig identifizierbar. Insoweit ist eine Grundsatzdebatte im Gange, die hier nicht geführt werden soll, weil die interne Pflichtenlage im Fokus steht.

Spezifisch aktienrechtlich stellt sich die Frage, ob und wieweit der Vorstand bei einer Leitungsaufgabe die Zügel aus der Hand geben darf. Eine gesetzlich festgelegte Leitungsaufgabe ist etwa, Beschlussvorschläge für die HV zu unterbreiten (§ 124 Abs. 3 S. 1 AktG).80 Würde eine KI ohne Zutun des Vorstands einen solchen Vorschlag in der Einberufung machen, wäre dies aktienrechtlich fehlsam. Die “Geschäftspolitik” sei Vorstandsangelegenheit, hat der BGH in der Entscheidung vom 8. 11. 2018 befunden. Dazu wird man die Festlegung der Markt-, Produkt-, Finanz-, Investitions- und Personalpolitik zu zählen haben sowie die wesentlichen Maßnahmen zur Erreichung dieser Ziele.81 Davon ausgehend könnten autonome Algorithmen, welche die Geschäftspolitik in den genannten Bereichen präformieren, als unzulässig anzu-ZHR 183 (2019) S. 105 (121)sehen sein, weil die Letztentscheidung durch den Vorstand nicht gewahrt ist.82 Das wäre aber nur dann misslich, wenn der Vorstand weder den Anstoß noch die Zielvorgabe gegeben hätte und er das Programm auch nicht mehr stoppen könnte. Dann wäre der Vorstand aus dem Spiel genommen, die KI regierte materiell und Menschen wären nur noch formell zu Wahrung der Anforderung, dass der Vorstand aus natürlichen Personen zu bestehen habe, vorhanden.

So aber liegen die Dinge in der Gegenwart und in naher Zukunft, mit der es sich ernsthaft zu befassen lohnt, aber nicht. Wenn der Vorstand das Programm testen lässt, es kontrolliert, ggf. rekalibriert und die Ergebnisse billigt, ist die Hoheit gewahrt. Die KI operiert kraft delegierter Entscheidungsmacht in eben dem “Autonomiebereich”, der ihr eingeräumt ist.83 Im Grunde ist die Situation nicht anders, wenn der Vorstand in einem Biotech-Unternehmen einer menschlichen Expertengruppe die Produktentwicklung anvertraut. Er wird und darf den gut ausgesuchten Fachleuten vertrauen, auch wenn er deren Überlegungen intellektuell nicht folgen kann.

d) Business Judgement Rule und der Einsatz von KI

aa) Angemessene Information

Das Gesetz verlangt, dass der Vorstand “vernünftigerweise annehmen durfte auf der Grundlage angemessener Information” zu entscheiden (§ 93 Abs. 1S. 2 AktG). “Annehmen” wird dabei subjektiv verstanden; es zählt die seinerzeitige Perspektive des Entscheiders. Das Wort “vernünftigerweise” steuert dem eine objektive Komponente bei.84 So weit, so gut. Doch über das Maß der “angemessenen Information” besteht Unklarheit, dabei ist sie in der Praxis das wichtigste Kriterium. Der BGH erwartet, dass “alle verfügbaren Informationsquellen tatsächlicher und rechtlicher Art” ausgeschöpft werden, verbunden mit dem wichtigen Hinweis, dies sei auf die “konkrete Entscheidungssituation” zu beziehen.85 Dieser relativierende Bezug auf die Situation ist jedoch ambivalent. In der Praxis bleibt das Diktum haften, alle Informationen seien zu nutzen. “Was nützt einem Geschäftsleiter die Existenz eines sicheren Hafens, wenn das Schiff schon in der rauen und unberechenbaren See der angemessenen Informationsbeschaffung sinkt?”86 Geradezu als die Achillesverse der BJR wird die Entscheidungsvorbereitung durch Informationsermittlung und -analyse bezeichnet.87

Hier bietet sich Big Data und die KI-gestützte Auswertung geradezu an. Sowohl die Informationsgewinnung durch Abfrage diverser Datenbestände, gerade auch verstreut gespeicherter, ist mit moderner Technik ziemlich einfachZHR 183 (2019) S. 105 (122) zu bewerkstelligen. Für die Auswertung der Informationen ist eine KI prädestiniert, die etwa als LegalTech-Anwendung die Verträge analysiert.

bb) Pflicht zum KI-Einsatz

Die Leitung hat eine Informationsverantwortung, sie darf gewiss nicht die Augen verschließen bzw. nur das spontan Greifbare nehmen. Doch schon bei der Informationsbeschaffung, nicht erst bei der Informationsauswertung, hat sie ein Ermessen,88 das sich an der Verhältnismäßigkeit orientiert. Daher wäre es derzeit verfehlt, stets eine KI-Befragung zu verlangen. Das liegt zunächst an der Qualität und Quantität der unternehmerischen Entscheidung. Die Geschäftsführung einer GmbH wird bei dem Kauf eines regionalen Konkurrenten weit weniger Informationsanstrengungen zu bewältigen haben als der Vorstand einer DAX30–AG, der einen internationalen M&A-Deal ins Werk setzt. Zum einen ist die Überlegenheit der KI in erster Linie beim Umgang mit sehr großen Datenmengen zu konstatieren, ferner hat die heutige “schwache” KI systemimmanente Grenzen (oben I. 1.). Des Weiteren sind die Kosten des KI-Systems in Rechnung zu stellen, schließlich muss es auch bei der Informationsaufbereitung verhältnismäßig zugehen.

Die sektoriell operierenden KI-Systeme können größte Datenmengen bewältigen, sind aber vom Input abhängig, der durchaus nicht objektiv zu sein braucht.89 “Informationen zu ermitteln und zu nutzen ist eine Kunst, keine Wissenschaft”, hat Christoph Seibt formuliert.90 Vor allem muss man die richtigen Fragen stellen, denn es gilt nach wie vor der Satz: “Das Meer der Tatsachen bleibt stumm, erst unsere Theorie bringt sie zum Reden” (Erich Schneider).

Vor allem aber ist vor einer kruden Technikgläubigkeit zu warnen, gerade wenn es um unternehmerische Entscheidungen geht, die notwendig in Unsicherheit getroffen werden, auch wenn viele Informationen vorliegen. Nach wie vor gilt die rührende Sentenz aus der Regierungsbegründung zur Einführung der BJR im Jahr 2005, was neben den objektiven Fakten zählt: “Instinkt, Erfahrung, Phantasie und Gespür für künftige Entwicklungen und ein Gefühl für die Märkte” – der subjektive Faktor (“das Bauchgefühl”). Wie “Intuition und Business Judgement” zusammenspielen, hat jüngst Jochen Vetter in einem lesenswerten Beitrag dargelegt.91

cc) Maßgebende Nutzung der KI

Hat man eine KI, die für den Sachverhalt einschlägig ist (schon das ist alles andere als klar), dann muss man sie auch nutzen. Alles andere wäre hanebüchen. Die KI ist eine riesengroße Chance – und ein Danaergeschenk. DennZHR 183 (2019) S. 105 (123) wenn aus der amorphen Datenmenge durch KI die relevanten Informationen gewonnen werden könnten: dann liegt es nahe zu sagen, dieser Wissensschatz wird zugerechnet, mag er in casu gehoben sein oder nicht.

Ob man ihren Annahmen bzw. Empfehlungen folgt, ist damit dennoch offen. Ein dahingehendes Gebot sollte nicht postuliert werden. Damit würde verkannt, dass die derzeitige KI im Grunde “konservativ” designt ist,92 dass es unterschiedliche KI-Ansätze gibt, dass die Leitung kreativ sein soll und nicht “furchtsamer Bürokrat”,93 dass der KI-Knecht nicht unversehens zum Herrn wird. Freilich bedarf es guter Gründe, um etwa den Erwerb eines Pharmaunternehmens durchzuziehen, obwohl die KI wegen der Produkt- und Prozessrisiken ein rotes Signal gibt – ein theoretisches Beispiel mit praktischem Hintergrund.

dd) Wohl der Gesellschaft

Schließlich ist die Anforderung der BJR, dass zum “Wohle der Gesellschaft” entschieden wurde. Dieses Kriterium scheint besonders gut geeignet, durch einen KI-Einsatz erfüllt zu werden. Denn bei menschlicher Entscheidung schwingt immer die Befürchtung mit, es könnten auch Eigeninteressen eine Rolle spielen, also Befangenheit vorliegen. Dieser Sorge wäre man ledig, wenn die KI für eine Objektivierung sorgt. Aber auch hier ist der zweite Blick wichtig, der dem maßgeblichen Input gilt. Die Algorithmen werden (bislang) von Menschen gemacht, weshalb es ganz und gar nicht ausgeschlossen ist, dass hinter einem vermeintlich objektiven System doch alte Rollenkonflikte wieder zum Vorschein kommen.

ee) KI und Haftungsprozess

Wegen der zunehmenden Technisierung ist der Aspekt des Subjektiven besonders hervorzuheben, auch um dem hindsight bias zu wehren, der in einem Haftungsprozess des nächsten Jahrzehnts in der Weise auftreten mag, dass man angesichts dann noch weiter verbesserter KI deren Votum für allein seligmachend hält.

Die Not der ausgeschiedenen Leitungsperson, die den Beweis führen soll, nicht pflichtwidrig bzw. nicht schuldhaft gehandelt zu haben, ist ein bekanntes Dilemma.94 Künftig wird es verstärkt durch die unerfreuliche Situation, dass es evtl. keine Dokumente gibt, sondern eben das KI-gestützte Verfahren zugrunde lag, zu welchem der Beklagte keinen Zugang mehr hat. Der BGH hat in einem Fall gegen den beklagten Bankvorstand entschieden, weil er nicht darlegen konnte, dass die Zinsderivategeschäfte als Macro-Hedging demZHR 183 (2019) S. 105 (124) Hauptgeschäft dienten.95 Möglicherweise hätte eine FinTech-KI diesen Zusammenhang hergestellt. Ohne in prozessuale Einzelheiten zu gehen, erscheint es als richtig, dem ehemaligen Vorstand den Verweis auf dieses KI-Resultat, ggf. dessen Prüfung durch ein eigenes System, zu ermöglichen.

5. Datenmanagement/Cyber-Security

a) Zur Bedeutung als “Chefsache”

Was wäre Google ohne seine Daten? Eine leere Ansammlung von Rechenzentren! Auch bei vielen Unternehmen, deren Geschäftsgegenstand nicht in erster Linie die Datenwirtschaft ist, sind Bits und Bytes mittlerweile die Kronjuwelen. Ohne die Produktions-, Vertriebs- und Finanzdaten steht das moderne Unternehmen bald still. Ohne Datenschutz und -sicherheit gerät das Unternehmen in uferlose Haftungsgefahren und sieht sich Ansprüchen der Kunden, der Geschäftspartner und Behörden ausgesetzt. Daher wird die Verantwortung für die digitale Infrastruktur zunehmend als “Chefsache” bezeichnet.96

Gesellschaftsrechtlich gesprochen ist damit wohl die Leitungsaufgabe gemeint, die von der bloßen Geschäftsführung abgegrenzt wird.97 Das Aktiengesetz kennt eine Reihe von Gegenständen, die dem Vorstand obliegen,98 doch hier stehen ungeschriebene Aufgaben in Rede. Nur für das regulierte Finanzwesen ist durch Spezialgesetze angeordnet, dass “die Geschäftsleiter für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich (sind)”, wozu die “IT-Systeme” gehören (§ 25a Abs. 1 KWG).

Subsumtionsfähige Kriterien für die Abgrenzung zwischen Leitung und Geschäftsführung gebe es nicht, stellt ein führender Kommentator fest.99 Die Bedeutung der Grenzziehung soll darin liegen, dass bei der Geschäftsführung delegiert werden könne, bei Leitungsaufgaben nicht. Diese Folge ist mehr als zweifelhaft; sie ist gesetzlich nicht verortet und wird auch nicht durchgehalten, da sich die Leitung der Assistenz ihres Apparates bedienen kann, was sachlich auf Delegation hinausläuft. Gegenüber der unsicheren Einpassung in eine der beiden Kategorien sollte es auf die Bedeutung des Gegenstandes ankommen, der die Delegationsstruktur bestimmt.100 Damit verlagert sich die Diskussion auf die pflichtgemäße Organisation, also nach §§ 91 Abs. 2, 93ZHR 183 (2019) S. 105 (125) AktG.101 Die haftungsrechtlichen Konsequenzen ergeben sich dann aus den zu diesen Bestimmungen entwickelten Grundsätzen.

Hält man mit der h.M. an der kategorialen Unterscheidung von Leitung und Geschäftsführung hingegen fest, ergibt sich für den hier besprochenen Gegenstand kein anderes Ergebnis. Zwar darf man nicht freihändig von der angenommenen Bedeutsamkeit des Gegenstandes auf seine Qualifikation als Leitungsaufgabe schließen.102 Mangels Versorgung mit Energie kann z.B. auch nicht weitergearbeitet werden; doch niemand ist bislang auf die Idee verfallen, das Energiemanagement zur nicht delegierbaren Vorstandsangelegenheit zu erklären. Der Inflation angeblich unabweisbarer Leitungsaufgaben ist zu wehren, schon um eine Überforderung des Topmanagements zu vermeiden. Hier gilt der dem alten Fritz zugeschriebene Satz: “Wer alles defendieret, defendiert am Ende nichts”.

Die Zurückhaltung bei der Zuschreibung der “EDV” als Leitungsaufgabe103 erscheint verständlich, solange “Datenverarbeitung” statisch angelegt war im Sinne einer besseren Aktenführung. Den heutigen Verhältnissen wird diese – der ersten Welle der Digitalisierung verhaftete – Sicht nicht mehr gerecht. Insbesondere die allgegenwärtige Vernetzung, die Ingangsetzung von KI-Systemen, der verschärfte Datenschutz und die Einpassung in Industrie 4.0–Strukturen beschwören existentielle Risiken herauf, die schon mit Blick auf § 91 Abs. 2 AktG den Schluss auf die Leitungsaufgabe rechtfertigen.

“Chefsache” heißt freilich nicht, dass der Chef zum IT-Spezialisten werden muss. Aus der grundsätzlichen Verankerung in der Leitung ist keineswegs zu folgern, dass es sich um eine Gesamtzuständigkeit handele bzw. eine Delegation unzulässig wäre.104 Die horizontale Delegation im Sinne eines Vorstandsressorts ist selbstverständlich; ob ein eigener Posten für Digitales zu schaffen ist, kann aus rechtlicher Sicht nicht beantwortet werden.

Die Ausgestaltung der Aufgabe, für Datenschutz und -sicherheit zu sorgen, ist eine unternehmerische Organisationsentscheidung. Dass für sie die BJR gilt,105 sollte im Ergebnis nicht fraglich sein. Die vertikale Delegation an Mitarbeiter ist gerade bei dieser technisch anspruchsvollen Aufgabe sehr sinnvoll.106 Wer wegen der Einordnung als Leitungsaufgabe nur Assistenz zulassen will, verkennt die praktischen Notwendigkeiten. Die Letztentscheidung ist Leitungsangelegenheit, die operative Durchführung eine Linienverantwortung. Von erheblichem Interesse ist nach alledem, welchen Maßstäben das Datenmanagement entsprechen muss, um im Grundsatz auf der sicheren Seite zu stehen.

ZHR 183 (2019) S. 105 (126)

b) Bestandsgefährdendes Risiko

Im Aktiengesetz heißt es, der Vorstand habe “geeignete Maßnahmen zu treffen, . . . damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden” (§ 91 Abs. 2 AktG). Selbstverständlich wird nicht nur das Erkennen, sondern in Folge dessen die Abwehr drohender Gefahren verlangt. Dazu gehört in erster Linie eine Vorbereitung auf die Krise, auf den Notfall eines Datenlecks oder -ausfalls.107 Die “Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme”, wird von der regulierten Finanzindustrie erwartet (§ 25a Abs. 1 S. 3 Nr. 5 KWG). Das dort Vorgeschriebene ist auch als Pflicht der übrigen Geschäftsleiter zu verstehen. Es geht nicht um eine entsprechende Anwendung, wofür die Basis fehlte, sondern um den allgemeinen Grundsatz, der darin steckt. Nicht jedes Unternehmen außerhalb der regulierten Finanzbranche braucht ein ausgefeiltes Notfallkonzept oder gar ein Überwachungssystem, insbesondere wenn die Digitalität dort noch eine untergeordnete Rolle spielt. Aber Prophylaxe wird man auch vom Geschäftsführer der kleinen GmbH erwarten. Einen guten Anhalt für eine Notfallplanung bietet der BSI-Standard über das “Business Continuity Management”, der als Stufenmodell für alle Institutionen, unabhängig von Branche oder Größe, konzipiert ist.108

c) Maßstäbe für Datensicherheit

Zuerst sei an den Satz erinnert: Das größte Sicherheitsrisiko ist der Mensch, und zwar der eigene Mitarbeiter. Prävention durch Rat und Aufsicht sind hier unabdingbar. Eine Totalkontrolle ist wegen der praktischen Betriebsabläufe, aber auch wegen der arbeitsrechtlichen Grenzen nicht möglich.

aa) Spezielle Bestimmungen

Wichtige Bereiche der Wirtschaft haben nach dem BSI-Gesetz109 besonderen Anforderungen zu genügen. “Einrichtungen”, die den “Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind” (§ 2 Abs. 10 BSIG), müssen “angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse . . . treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll derZHR 183 (2019) S. 105 (127) Stand der Technik eingehalten werden.” Ähnliches gilt für “Anbieter digitaler Dienste” (§ 8c BSIG), also für Online-Marktplätze, -Suchmaschinen, und für den, der einen “skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen” (vulgo: Cloud) vorhält. Für die betroffenen Unternehmen sind Sicherheitsaudits sowie Meldepflichten für Vorfälle, die den Betrieb dieser Systeme beeinträchtigt haben oder beeinträchtigen können, vorgeschrieben. Eine Rechtsverordnung (BSI-KritisV) präzisiert den Anwendungsbereich des sog. IT-Sicherheitsgesetzes.

Für die regulierte Finanzindustrie gelten weitere Vorgaben, die sich insbesondere aus der Überwachung durch die BaFin ergeben.110 Soweit dort allgemeine Grundsätze formuliert werden (“Verlässlichkeit”, “Stand der Technik”), sind diese auch für nicht-regulierte Unternehmen und deren Leitungen von Belang. Eine Ausstrahlungswirkung111 ist das nicht, sondern es handelt sich um ein gemeinsames Fundament ordnungsgemäßer Datenwirtschaft.

Für Detailbestimmungen ist zunächst das Rundschreiben 09/2017 der BaFin – Mindestanforderungen an das Risikomanagement (MaRisk) zu nennen. Die Verwaltungsanweisung betrifft “Datenmanagement, Datenqualität, und Aggregation von Risikodaten” (Nr. 4. 3. 4) und äußert sich zur “Technisch-organisatorischen Ausstattung” von IT-Systemen (Nr. 7. 2. ). Diese Anforderungen werden durch zwei weitere Rundschreiben noch weiter konkretisiert, die für Banken und Versicherungen eine “IT-Governance” vorsehen, u.a. ein “Informationssicherheitsmanagement” verlangen, wozu ein Informationssicherheitsbeauftragter und dezidierte Benutzerberechtigungen gehören.112

§ 80 WpHG ist mit “Organisationspflichten” betitelt und bringt einige Vorgaben für den algorithmischen Handel. Die allgemeinen Grundsätze (Notfallvorkehrungen, Stabilität, Missbrauchsschutz) können angepasst auch für andere Unternehmen gelten. Spezifisch ist die Vorgabe, dass die “Handelssysteme nicht für einen Zweck verwendet werden können, der gegen die europäischen und nationalen Vorschriften gegen Marktmissbrauch oder die Vorschriften des Handelsplatzes verstößt, mit dem es verbunden ist”. Darin wird für das spezielle Segment das Legalitätsprinzip zum Ausdruck gebracht, das selbstverständlich auch im Übrigen gilt (siehe oben 4. a) zur Diskriminierung).

Im Übrigen fehlt es zwar an Vorgaben, aber nicht an Empfehlungen.

bb) Allgemeiner Schutz durch technische und organisatorische Maßnahmen

Zunächst gilt das allgemeine Regime einer ordnungsgemäßen Organisation: Klare Berichtswege, regelmäßige Prüfungen, Alarmübungen, saubere Doku-ZHR 183 (2019) S. 105 (128)mentation, internes und externes Backup etc. Ob man ein eigenes IT-Sicherheitsmanagement einzurichten hat, kann nicht generell postuliert werden. Gleichsinnig ist die Frage, ob es ein Risikomanagementsystem geben muss oder eine Compliance-Organisation.

Soweit es um personenbezogene Daten geht, findet sich ein gesetzlicher Fingerzeig in Art. 5 Abs. 1 Buchst. f) DSGVO, wonach “Integrität und Vertraulichkeit” durch “geeignete technische und organisatorische Maßnahmen” zu wahren sind. Da praktisch immer Daten natürlicher Personen im Spiel sind, ist diese sehr allgemeine Grundanforderung stets zu achten. Gleichsinnig verpflichtet Art. 25 EU-DSGVO Unternehmen zu allen technischen und organisatorischen Maßnahmen, die zur Gewährleistung eines optimalen Datenschutzes erforderlich sind. Weiteres gibt Art. 32 DSGVO für die “Sicherheit der Verarbeitung” vor, insbesondere wird ein “Verfahren” der regelmäßigen Überprüfung verlangt.113

Doch was sind geeignete organisatorische Maßnahmen? Insoweit sei auf die IT-Grundschutzkataloge des BSI verwiesen. Das BSI erklärt: “Der IT-Grundschutz des BSI ist eine bewährte Methodik, um das Niveau der Informationssicherheit in Behörden und Unternehmen jeder Größenordnung zu erhöhen. Die Angebote des IT-Grundschutzes gelten in Verwaltung und Wirtschaft als Maßstab, wenn es um die Absicherung von Informationen und den Aufbau eines Managementsystems für Informationssicherheit (ISMS) geht. Dabei ist der IT-Grundschutz durch seine Kompatibilität zu ISO 27001 auch international angesehen.” Die BSI-Grundschutz-Kompendien sind in Prozess- sowie System-Bausteine aufgeteilt und in zehn Schichten untergliedert. Durch fortlaufende Aktualisierung werden neue Entwicklungen und Gefahren erkannt und behandelt. Allein das Grundschutz-Kompendium umfasst fast 800 Seiten.114

Eine weitere Möglichkeit der technischen Absicherung (darum geht es ja den Leitungen!) sind Zertifizierungen, also Bescheinigungen über die Güte der verwendeten Software und IT-Einrichtungen.115 Unternehmen und Behörden, die ihre erfolgreichen Aktivitäten zur Erhöhung der Informationssicherheit nachweisen möchten, bietet das BSI zwei Möglichkeiten an: die Testierung nach der Basis-Absicherung und die Zertifizierung der Standard- bzw. Kern-Absicherung. Auch Dienstleister wie etwa Dekra und TÜV116 haben dieses Feld für sich entdeckt und bieten Zertifizierungen an. Bei dieser Art von Approbation muss man allerdings sehen, dass sie meist als Systemprüfung angelegt ist, während die Verhältnisse des Einzelfalls schließlich entscheiden.

ZHR 183 (2019) S. 105 (129)

Auf EU-Ebene wird im Laufe des Jahres 2019 der Cyber-Security Act in Kraft treten, über den im Dezember 2018 das Europäische Parlament, der Rat und die Europäische Kommission im Trilog eine politische Einigung erzielt haben.117 Die Verordnung schafft einen Rahmen für europäische Cyber-Security-Zertifikate für Produkte, Prozesse und Dienstleistungen. Bei der Erstellung eines solchen Cyber-Security-Zertifizierungs-Frameworks werden Sicherheitsmerkmale in den frühen Stadien ihrer technischen Planung und Entwicklung (Sicherheit durch Design) berücksichtigt.

d) Folgen und Haftungsfragen

aa) Meldepflichten; Versicherung

Cyber-Vorfälle sind ggf. zu melden und sie werfen Fragen der Verantwortlichkeit auf. Für die Betreiber kritischer Infrastrukturen ordnet § 8b Abs. 4 BSIG an, dass sie erhebliche IT-Störungen an das Bundesamt zu melden haben. Art. 33 EU-DSGVO sieht eine Meldung von Verletzungen an die Behörde und Art. 34 EU-DSGVO eine Benachrichtigung der betroffenen Personen vor.

Weiter enthält Art. 82 EU-DSGVO eine Anspruchsgrundlage für Schadensersatzansprüche gegen den Verantwortlichen oder Auftragsverarbeiter, die gesamtschuldnerisch haften. Dieser Anspruch richtet sich nur gegen die Gesellschaft, nicht auch gegen den Geschäftsleiter.118 Nach Art. 83 EU-DSGVO kann eine Geldbuße, die im Fall eines Unternehmens bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes betragen kann, verhängt werden.

Ob der Cyber-Vorfall von einer Versicherung reguliert wird, hängt wie immer von den Bedingungen ab.119 Insoweit stimmt ein Bericht bedenklich, wonach eine Versicherung den Schaden nicht decken wollte mit dem Argument, es handle sich beim Cyber-Angriff um eine “feindliche oder kriegerische Handlung”.120

bb) Innenhaftung des Geschäftsleiters
(1) Pflichtverletzung

Der Geschäftsleiter muss darlegen und beweisen, dass ihn keine Pflichtwidrigkeit bzw. kein Verschulden trifft. Diese bekannte Kalamität steigert sich bei IT-Prozessen noch, weil es wohl in der Rückschau immer “klar” ist, dass Defizite bestanden. Die IT-Welt entwickelt sich schließlich sehr dynamisch weiter. Dezidierte gesetzliche Vorgaben gibt es nicht, Best-Practice-Standards haben sich noch nicht deutlich gebildet.

ZHR 183 (2019) S. 105 (130)

Der unterstellten Pflichtwidrigkeit nach einem Schaden wird am ehesten begegnen können, wer eine angemessene Vorsorge (neuerdings: “preparedness”) und eine passende Reaktion nachweisen kann.121 Insoweit kann eine KI sogar bei der Verteidigung helfen, wenn sie als – nicht kontaminiertes – Überwachungsnetz für die operativen IT-Systeme, deren Ausfall zu Schäden führte, eingesetzt war. Spezialisierte Dienstleister bieten solche Programme an. Für den aus der Gesellschaft ausgeschiedenen Beklagten bleibt das Problem, dass er sich kaum mit Dokumenten, sondern sachgerecht nur unter Zugriff auf die KI des Unternehmens verteidigen kann.

(2) Schaden

Die Organisationspflichtverletzung begründet einen Anspruch der Gesellschaft auf Ersatz des daraus entstandenen Schadens.122 Fällt der Online-Handel aus, fehlt der Umsatz; oder die Lieferung verspätet sich, was Ansprüche der Vertragspartner auslöst. Auch die Kosten einer forensischen Ermittlung nach einer Cyber-Attacke, die bei ausreichender Sicherung nicht erfolgreich gewesen wäre, sind als Schaden zu buchen.123

In einem weiteren, schwerlich ersatzfähigen Sinne sind Einbußen durch Reputationsverlust zu konstatieren124 oder wenn Daten der Konkurrenz zugespielt werden, die dadurch Wettbewerbsvorteile hat. Eine nicht mehr zeitgemäße IT-Struktur kann zu Nachteilen bei der Anbahnung von Geschäftsbeziehungen führen. Insbesondere im Rahmen von Vergabeverfahren spielt der Nachweis einer modernen und gesicherten IT eine zunehmende Rolle.125 Der potentielle Auftraggeber will schließlich seine Daten nicht mit einem unsicheren Gesellen teilen.

Ein Sonderproblem ist, ob der Schaden, welcher der Gesellschaft durch eine Geldbuße entstanden ist, letztlich von dem Geschäftsleiter zu ersetzen ist. Diese Regressfrage wird im Kartell- und Kapitalmarktrecht sehr kontrovers diskutiert.126 Für den IT-Sektor kommt ihr dieselbe Bedeutung zu, nachdem die DSGVO den Bußgeldrahmen drastisch angehoben hat.127 Die Buße orientiert sich ersichtlich an den Unternehmensverhältnissen, weshalb nach Sinn und Zweck eine Abwälzung auf das Organmitglied einer besonderen Begründung bedarf. Zudem ist für die DSGVO zu berücksichtigen, dass sie als europarechtliche Bestimmung abschließend über die zivilrechtlichen SanktionenZHR 183 (2019) S. 105 (131) befindet, was einer Überwälzung nach mitgliedstaatlichem Recht auf andere Personen entgegenstehen dürfte.

cc) Außenhaftung des Geschäftsleiters

Die Daten-Organisationspflicht besteht im Verhältnis zur Gesellschaft, während die Geschäftspartner und sonstige Personen aus dieser Pflichtenlage grundsätzlich keine eigenen Rechte gewinnen. Beispiel: Eine GmbH ist in eine Industrie 4.0.-Struktur eingebunden. Ihr System ist unausgereift, fällt aus oder beschädigt Güter der Partnerfirma. Hier liegt ein Vermögensschaden vor, doch dieser ist von der Gesellschaft, aber keineswegs von dem Geschäftsführer zu ersetzen, auch dann nicht, wenn dieser seine digitale Verkehrssicherungspflicht verletzt hat.

Soweit allerdings ein Delikt in Rede steht, ist die Rechtslage nicht mehr eindeutig. Eine deliktische Außenhaftung des Geschäftsleiters wird zum Teil grundsätzlich verneint,128 zum Teil bejaht;129 dazwischen finden sich differenzierende Ansichten.130 Diese Diskussion betrifft im hiesigen Zusammenhang etwa den Fall, dass eine sorgfaltswidrig in den Verkehr gebrachte Technik, etwa in einem Mobiltelefon, zu einer Überhitzung und einem Brand führt, wodurch der Kunde verletzt wird. Eine weitere Drehung der Komplikationsspirale besteht in der Erwägung, dass eine Schädigung durch “autonome KI” nicht § 823 BGB unterfällt, sondern die KI wie ein Verrichtungsgehilfe entsprechend § 831 BGB einzuordnen ist.131 Wenn dies zutrifft,132 wäre der Geschäftsleiter wieder aus der Haftung entlassen, weil er nicht in die Pflichtenstellung nach § 831 Abs. 2 BGB einrückt.133

6. Compliance

a) Grundlage

Eine wesentliche Organisationspflicht der Leitung besteht in der Legalitätskontrolle und -durchsetzung.134 Dafür hat sich Compliance als Begriff fest etabliert, über dessen Sinnhaftigkeit hier nicht mehr verhandelt werden soll. Über die Legalitätswahrung hinaus wird von Compliance auch gesprochen,ZHR 183 (2019) S. 105 (132) wo es um Rechtspositionen des Unternehmens geht, wie etwa bei Lizenzen135 oder allgemein im Vertragsmanagement.

Noch nicht ganz geklärt ist, ob es eine regelrechte Compliance-Organisation geben muss und wie diese auszugestalten ist. Jedenfalls das “wie” der Compliance ist als unternehmerische Maßnahme zu begreifen, für welche die BJR gilt.136 Die Leitung hat die Anfälligkeit des Unternehmens für Rechtsverstöße, das Gewicht der bedrohten Rechtsgüter, das regulatorische Umfeld137 und die Effektivität der ergriffenen Maßnahmen in den Blick zu nehmen. Daran ansetzend ist eine den Verhältnissen des Unternehmens entsprechende Compliance-Struktur zu entwickeln. Im Rahmen der Industrie 4.0.-Kooperationen kommt es zu verwickelten Zurechnungen, die nur mit hochentwickelter IT einigermaßen entwirrt werden können. Auch dafür ist als Teil des Vertragsmanagements vorzusorgen.138

b) CMS der nächsten Generation

Neu ist die Erschließung sowohl der unternehmenseigenen Quellen als auch externer Bestände durch Algorithmen, die vermeintlich Fernliegendes in einen Zusammenhang bringen. Die neue Digitalisierung wird auf diesem Felde zu drastischen Folgerungen führen, juristisch gesprochen ändern sich Tatbestand und Rechtsfolge der Compliance. Zum Tatbestand: Die KI-Compliance kann umfassend aufgesetzt werden. Sie ist in der Lage, Risiken mehrdimensional zu erfassen. Die Compliance-Management-Systeme (CMS) der nächsten Generation beruhen auf einer Kombination aus technischer und juristischer Expertise, die auf umfassender Datenerhebung aufbauend eine automatisierte Analyse von Risiken bis hin zu einer visualisierten Auswertung leisten können.139 In der Kombination von Big Data und präskriptiver Analytik mit Echtzeit-Verfahren zur Datenaggregation und -analyse sowie mit beweisrechtlicher Datensicherung lassen sich integrierte Compliance-Management-Systeme konfigurieren. “Ob es sich um Handelssanktionen, Geldwäsche, Betrug, Korruption, Untreue, Marktmissbrauch, Insider-Trading oder Kartellabsprachen handelt, der Katalog solcher normativen Bedingungen lässt sich binär codieren und tatbezogenes Verhalten in algorithmisch überschaubaren Umweltnetzen erkennen. Zum Beispiel können Vorbereitungshandlungen für Insider-Trading oder Marktmissbrauch identifiziert werden, bevor es zur eigentlichen Tathandlung kommt.”140 Dienstleister bieten an “eine Cloud-basierte Plattform, die alle wichtigen Aspekte der CSR- und Nachhaltigkeitsan-ZHR 183 (2019) S. 105 (133)forderungen abdeckt und es Unternehmen ermöglicht, Tausende von Lieferanten mit minimalem Verwaltungsaufwand zu überwachen”.141

An der Universität Düsseldorf ist eine Forschergruppe aus Ökonomen, Informatikern und Juristen dabei, die Möglichkeiten der KI zur Erkennung von corporate fraud zu erforschen. Erste Erkenntnisse einer vergangenheitsbezogenen Auswertung liegen vor, wonach etwa zwei Drittel der späteren Problemfälle durch eine Analyse der vorhandenen Unternehmensdaten hätten prognostiziert werden können.

c) Wissenszurechnung

Zur Rechtsfolge der Wissenszurechnung: Der BGH hat vor fast dreißig Jahren, also im digitalen Neolithikum, von einer “Pflicht zur ordnungsgemäßen Organisation der gesellschaftsinternen Kommunikation” gesprochen.142 Das Risiko aus der Wissensaufteilung soll derjenige tragen, der sie veranlasst hat und durch zweckmäßige Organisation beherrschen kann. Der Wissenszurechnung seien persönliche und zeitliche Grenzen zu ziehen. Die juristische Person dürfe nicht “weit über jede menschliche <sic!> Fähigkeit hinaus belastet” werden. Die drei Prüfpunkte sind: (1) Muss die Information überhaupt gespeichert werden – das ist der Fall bei “typischerweise aktenmäßig festgehaltenem Wissen”;143 (2) bestand Anlass, sich dieser Information in der konkreten Situation zu vergewissern – das hängt von der Bedeutung des Anlasses und der Schwierigkeit der Suche ab; (3) Ist eine Informationszurechnung danach geboten – ja, sofern der Informationsaustausch möglich und naheliegend war.144 Aufteilung und Abfrage der Daten war und ist das Problem, dem man mit Zurechnungsüberlegungen (BGH) oder Risikozuweisungen (Spindler) zu Leibe rückt.

Bei einem umfassenden Big Data-Einsatz wird jede Information gespeichert, nicht nur “typischerweise”. Suchschwierigkeiten und -kosten bestehen nicht mehr. Der Informationsaustausch ist automatisiert. Die Grenzen der Zumutbarkeit für die Wissenszurechnung verschieben sich “asymptotisch gegen null”.145 Bei elaborierten Systemen liegen jede Information146 und vor allemZHR 183 (2019) S. 105 (134) die Korrelation der Daten zur Recherche parat. Beispiel: Eine Entscheidung zu A beruht auf hinreichender Auswertung der Informationen aus dem Sektor A. Es hätte allerdings der Bezug zu Sektor Z eine andere Beurteilung nahegelegt. Doch nach menschlichem Ermessen war Z von A zu weit entfernt, um danach zu forschen. Objektiv verfügbar war die Information, aber subjektiv nicht. Hier kann KI den Raum der Verfügbarkeit – und damit auch der Zurechnung – drastisch vergrößern.

Durch die weite Wissenszurechnung, die als Folge der KI-Systeme eintritt, sind sie ein Danaergeschenk für die Leitungen, deren Risikoexposition wächst. Gegenläufig sind allerdings die Grenzen, die der Datenschutz setzt.147 Für personenbezogene Daten gilt ein Verbotsprinzip mit Erlaubnisvorbehalt (Art. 6, 9, 10 DSGVO), was gerade in Unternehmensgruppen zu Limitierungen der konzernweiten Datensammlung führt. Damit stößt eine auf mögliches menschliches Fehlverhalten angesetzte KI auf erhebliche Aufklärungsschwierigkeiten. Das Gesellschaftsrecht verlangt nach umfassender Aufklärung, das Europa- und Verfassungsrecht nach Datenschutz. Man kann nicht den Kuchen essen und ihn behalten. Aber es gibt einen Ausweg, wenn man einer in der datenschutzrechtlichen Literatur vertretenen Auffassung folgend aus der möglichen gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) der Gesellschaften der Unternehmensgruppe den Schluss zieht, dass insoweit personenbezogene Daten intern zur gemeinsamen Verarbeitung offengelegt werden dürfen.148

Die Kernfrage dürfte sein, ob es eine Art Verwertungsverbot für datenschutzrechtlich unzulässig erhobene Personeninformationen gibt. Beispiel: Die KI erkennt, dass ein Manager einer Enkelgesellschaft in unlautere Geschäfte verstrickt ist; eine Datenerhebung durch den dazu beauftragten Dienstleister der Konzernspitze wäre allerdings nicht erlaubt, da insoweit keine Einwilligung vorliegt.

Im Ansatz sollte kaum strittig sein, dass die Pflicht zur (konzernweiten) Wissensorganisation weder Verschwiegenheitsgebote noch Datenschutzvorgaben überspielen kann.149 Der Zielkonflikt ist im Sinne der letztgenannten Regelungen hin aufzulösen. Wenn jedoch Daten in das System gelangt sind und ein Alarm ausgelöst wurde, kann es schlechterdings nicht angehen, ihn zu ignorieren. Dann müssen die Abwendung bzw. Ahndung der rechtswidrigen Tat den Vorrang haben. Insoweit ist die Redeweise von einem Verwertungsverbot missverständlich, da den ganz anderen Hintergrund des staatlichen Strafanspruchs voraussetzend.

ZHR 183 (2019) S. 105 (135)

III. Die digitale Gesellschaftsorganisation

Die Digitalisierung hat das Zeug, Organfunktionen und Organbeziehungen durcheinander zu wirbeln. Die klassische Trias aus Vorstand, Aufsichtsrat und Hauptversammlung steht zur Debatte. Plakativ formuliert: Industrie 4.0 trifft auf Organisation 1.0. Wie verändern sich Rollen und Verantwortung, wenn “intelligente” Maschinen zunehmend Autorität über Entscheidungen erringen? Das ist eine Frage, die nicht nur den hier behandelten Gegenstand, die Kapitalgesellschaften, betrifft, sondern die politische Gesellschaft genauso wie die eigene Familie – Data Governance hier wie dort.

1. Vorstand

a) Unternehmenskultur und -kommunikation

Der durch die neue Technologie beförderte Kulturwandel, man könnte ihn auch Zeitgeist nennen, ist natürlich keine Sache des Rechts. Dass mancher Vorstand die Krawatte ablegt und das “Du” bevorzugt, gehört zum Gesamtbild, eine rechtliche Anzugsordnung gibt es nicht. Dennoch soll dieser neue Stil nicht als irrelevant abgetan werden, denn er reflektiert einen Abbau linearer Hierarchie und das Vordringen kollaborativer Muster. Viele traditionell aufgestellte Unternehmen tun sich schwer damit, die Start-up-Szene im Hause nachzubilden. Eine Lösung ist, dafür Tochtergesellschaften zu gründen, die als “Inkubatoren” fungieren und einen entsprechenden Freiraum genießen.150 Damit ist wieder rechtlich vorbereitetes Terrain erreicht, insoweit die Konzernverantwortung für die “wilden Töchter” in Rede steht.

Ein weiterer Einbruch in herkömmliche Hierarchien und Berichtswege steht mit einer Umstellung der Unternehmenskommunikation auf Blockchain-Prozesse bevor.151 Viele Bearbeitungsebenen, die mit Prüfung und Rückfrage befasst sind, werden überflüssig. Für die Leitung hat die Unveränderbarkeit der Blockchain-Dokumente Vor- und Nachteile. Im Haftungsfall ist keine Manipulation der für den Vorfall relevanten Daten mehr möglich, was be- und entlastend wirken kann. Auf spektakulär inszenierte Durchsuchungen der Unternehmenszentrale müssten die Ermittlungsbehörden dann ebenfalls verzichten.

b) Bestellung und Ressort

Wer die digitale Transformation bewältigen will, braucht dafür geeignete Führungskräfte. Bei der AG und der voll mitbestimmten GmbH ist es Sache des Aufsichtsrats, diese Personalauswahl zu treffen. Rechtliche Vorgaben gibt es dafür nicht. Zwar betonen die Erläuterungswerke, wie überaus wichtig die-ZHR 183 (2019) S. 105 (136)se Aufgabe des AR sei, doch bei den anzulegenden Kriterien der fachlichen und persönlichen Kompetenz werden sie verständlicherweise schmallippig.152 Die Nutzung von KI durch Headhunter zur Führungskräfteauswahl ist im Kommen, ebenso gibt es KI-Anwendungen, die es mit der komplexen Vorstandsvergütung zu tun haben – finden sie den gerechten Preis? Beherzigenswert ist der Hinweis, gerade hier auf menschlich induzierte Interessen zu achten, die sich in der KI abbilden.153

Die interne Geschäftsverteilung kann durch Satzung oder eine Geschäftsordnung geordnet werden. Praktisch bedeutsam ist die letztgenannte Möglichkeit, die im Wege der Selbstorganisation oder durch den AR wahrgenommen wird (§ 77 Abs. 2 AktG). Ob für die Digitalisierung eine besondere Zuständigkeit geschaffen wird oder gerade das Ressortdenken dieser ganzheitlichen Herausforderung entgegensteht, ist beinahe eine Glaubensfrage. Sie spiegelt sich in der bekannten politischen Debatte, ob die Bundesregierung wohl ein Digitalministerium benötige oder nicht. Unberührt bleibt der vorstehend erörterte Befund, dass die Verantwortung für die bestehende Digitalstruktur als Gesamtaufgabe des Vorstands anzusehen ist (oben II. 5. a)), was eine Ressortzuweisung freilich nicht ausschließt.

c) Ersetzung

Geschäftsführer der GmbH und Vorstandsmitglieder bei der AG können nur natürliche Personen sein. Daher kann es de lege lata keine Besetzung mit KI-Maschinen geben, auch dann nicht, wenn diese als digitale Rechtsperson anerkannt wären. Die in den Medien zuweilen zu findenden Beispielen aus den USA154 und Hongkong155 unterliegen einem anderen Rechtssystem – und auch dort ist die KI nicht als Vorstand zugelassen, sondern fungiert als wesentlicher Berater.

Denkbar ist eine Regelung in der Geschäftsordnung, dass die KI bei Meinungsverschiedenheiten den Ausschlag gibt. Gegen die Mehrheit der Vorstandsmitglieder kann sich ein KI-Votum aber auch dann nicht durchsetzen, wenn es von einem oder mehreren Vorstandsmitgliedern übernommen wird, s. § 77 Abs. 1 S. 2 HS. 2 AktG. Für die Auflösung von Patt-Situationen kann die Geschäftsordnung einen Stichentscheid vorsehen. Dieses Recht wird inZHR 183 (2019) S. 105 (137) der Regel dem Vorsitzenden zugewiesen, es kann aber auch ein anderes Vorstandsmitglied damit ausgestattet werden. Wenn sich das berechtigte Vorstandsmitglied das KI-Votum zu eigen macht, ist alles in Ordnung. Was nicht geht, ist der KI als solcher den Stichentscheid zu überlassen. Damit würde eine vorstandsfremde Einrichtung mit einer Vorstandsaufgabe betraut, was unzulässig ist.

Im Übrigen ist noch einmal zu betonen, dass die Technik noch lange nicht so weit ist (if ever), dass eine starke KI eine Vorstandsfunktion vollständig wahrnehmen könnte. Die Tätigkeit als Vorstand ist keine repetitive, die durch mathematische Modellierung automatisiert werden könnte156 – sonst wäre es keine, sondern eine Art gehobene Sachbearbeitung. Im Vordringen ist die immer weiterreichende Unterstützung, insbesondere des Finanzvorstandes und des Compliance-Verantwortlichen, durch KI-Systeme.

2. Hauptversammlung und Aktionäre

a) Gleichbehandlung durch Online-Teilhabe

Die digitale Unterstützung der Massenveranstaltung “Hauptversammlung” (HV) ist seit langem etabliert. Erste Ansätze gab es schon in den siebziger Jahren, als bei der Siemens AG und anderen Gesellschaften die Abstimmungsvorgänge mit Hilfe einer Lochkarten-EDV durchgeführt wurden, was immerhin zu rechtlicher Erörterung Anlass gab.157 Heute ist die HV bei entsprechender Satzungsgestaltung online als Kür durchführbar, freilich ist das Angebot eines Präsenztreffens verpflichtend. So hat sich bei großen Aktiengesellschaften eine hybride Gestaltung etabliert. Nach wie vor findet das Geschehen im Saal statt, während die externe Stimmabgabe als “Briefwahl” oder über elektronisch erreichbare gesellschaftsbenannte Vertreter erfolgen kann. Ganz selten wird mit der Möglichkeit einer Teilnahme “im Wege elektronischer Kommunikation” (§ 118 Abs. 1 S. 2 AktG) experimentiert.158 Für die rechtliche Absicherung hat das Gesetz gesorgt, indem eine Verhinderung dieser Fernteilnahme durch eine “technische Störung” erst bei grober Fahrlässigkeit der Gesellschaft als Anfechtungsgrund in Betracht kommt (§ 243 Abs. 3 Nr. 1 AktG).159

Schon früh ist bei der seinerzeit so genannten Diskussion um eine “virtuelle HV” der Gedanke eingebracht worden, es sei doch um der internationalen Gleichbehandlung willen erforderlich, dass eine solche Online-Teilhabe von der Gesellschaft offeriert wird.160 Denn die Aktionäre wohnen seit langemZHR 183 (2019) S. 105 (138) nicht mehr im Umkreis ihres Unternehmens,161 sondern sind bei großen Gesellschaften über die Welt verstreut; der internationale Aktienbesitz überwiegt bei den DAX30-Werten. Die Anreise zu und der Tagesaufenthalt bei einer HV ist für die meisten Aktionäre ein zu großer Aufwand. So spiegeln die nach Tausenden zählenden Personen im Saal keineswegs das Aktionariat, sondern meist Kleinaktionäre der älteren Generation. Angesichts dessen ist die Öffnung der HV für die elektronische Teilhabe geradezu ein Petitum guter Corporate Governance. Dass der Entwurf eines neuen DCGK dazu nichts sagt (Stand Februar 2019), ist enttäuschend. Heute und in Zukunft wird verstärkt darauf zu drängen sein, dass die Vorstände von den Satzungsoptionen einer Online-HV aktiv Gebrauch machen. Bewegung in diese Richtung bringen die Erwartungskataloge der großen Stimmrechtsberater, die sich für ein Online-Voting positionieren, eine 100 %-virtuelle HV aber auch nicht wollen.

In der Tat wäre es verfehlt, mit gesetzgeberischer Radikalität die Hauptversammlung als physische Präsenzveranstaltung abzuschaffen. Jedoch sollte die Durchführung einer Präsenz-Hauptversammlung satzungsdispositiv sein. Es sind im Grunde nur drei Worte, die in § 118 Abs. 1 AktG einzufügen wären: “Die Aktionäre üben ihre Rechte in den Angelegenheiten der Gesellschaft in der Hauptversammlung aus, soweit das Gesetz oder die Satzung nichts anderes bestimmt”.162

b) Entwicklungen

Die KI kann bei der Durchführung der online oder präsent stattfindenden Versammlung helfen.163 Die gesamte formale Abfolge, beginnend mit der Einberufung, der Zulassung, der Abwicklung der Tagesordnung, der Auszählung und Beschlussprotokollierung, der Dokumentation und ggf. Einreichung zum Handelsregister, ist in binärer Codierung erfassbar und als Smart Contracts exekutierbar. Selbst materielle Fragen, wie etwa rechtswidrige Beschlussvorlagen oder das Bestehen von Stimmverboten, sind einem LegalTech-Ansatz zugänglich.164 So kann etwa eine Diskrepanz aus dem Abgleich der Stimmrechtsmitteilungen und der mittels der künftigen ARUG II-Bestimmungen165 erforschten Aktionärsstruktur eine computergenerierte Warnung erzeugt werden bzw. der Ausschluss praktisch automatisch erfolgen.

ZHR 183 (2019) S. 105 (139)

Die “Know Your Shareholder”-Regelung soll die wahren Aktionäre mittels einer elektronischen Abfrage entlang der Kette der Intermediäre166 aufspüren. Von der Begrenzung auf 0,5 %, die nach der RL möglich wäre, macht das deutsche Umsetzungsgesetz voraussichtlich keinen Gebrauch. Damit kann der Vorstand sein Aktionariat bis hin zum kleinsten Aktionär durchleuchten, und zwar nach Namen, Aktienzahl und Haltedatum. Ob diese Entwicklung zur Stärkung der Aktionärsrechte dient, mit welchem Anspruch die Richtlinie immerhin antritt, ist überaus zweifelhaft. Die Macht der Verwaltung jedenfalls nimmt zu, wenn sie weit über die kapitalmarktrechtlichen Meldeschwellen hinaus über ihre “Gutsherren”167 ganz genau Bescheid weiß. Kapitalmaßnahmen lassen sich besser planen, Übernahme erkennen bzw. verhindern, Aktivisten bekämpfen.

Eine neue Qualität in den Beziehungen zwischen Aktionären und ihrer Gesellschaft wird erreicht, wenn die Aktie als Digitalisat vorhanden ist. Dann wären auf einen Schlag zahlreiche Regelungen über die Legitimation, über Stimmrechtsmeldungen, über Informationsketten, über Aktienregister usw. überflüssig. Die früher gebräuchliche Nummerierung der einzelnen Aktie ist spätestens mit der faktischen Abschaffung der Papierurkunde verschwunden, was auch zu einer hohen Verkehrsfähigkeit der Aktie als vertretbarem Gegenstand führte. Im Digitalzeitalter kann die verlorene Zuordnung in neuer Qualität wieder erreicht werden. Schon sind Bestrebungen zur “Tokenisierung” der Aktie im Gange, die auf der Blockchain-Technologie ansetzen.168 Ihre konsequente Durchführung verlangt mindestens nach Folgeänderungen im Depotrecht,169 während das Aktienrecht damit weniger Schwierigkeiten haben dürfte, ist doch die Namensaktie “unabhängig von einer Verbriefung” (§ 67 Abs. 1 AktG). Das vom Vorstand geführte Aktienregister könnte in einem Registernetz aufgehen, das als Blockchain-Anwendung auf verteilte Speicherung bei den Intermediären setzt. Die Unterscheidung zwischen Inhaber- und Namensaktien würde dann endgültig obsolet. Auch der internationale Börsenhandel, der mit zentralen Gegenparteien operiert, müsste sich anpassen, was unter Konkurrenzdruck schneller als jede Gesetzgebung geschehen dürfte – denn erste Krypto-Börsen machen auf, die nicht mehr Aktien, sondern Token handeln.170

ZHR 183 (2019) S. 105 (140)

3. Aufsichtsrat

a) Besetzung des AR

Zahlreiche Umfragen und Studien, zumeist von WP-Gesellschaften, stellen unisono einen Mangel an digitaler Kompetenz in den Aufsichtsträten fest.171 Das ist nicht wirklich überraschend für eine Zeit des Übergangs zu einer volldigitalisierten Wirtschaft. Die naheliegende Folgerung ist, dass die Wahlvorschläge (§ 124 Abs. 3 S. 1 AktG) darauf zu achten haben, entsprechend qualifizierte Personen in den Rat zu bringen. Diesem Petitum wird man schwerlich widersprechen wollen, so einleuchtend ist es. Allenfalls ist anzumerken, dass der AR mit noch mehr Expertentum befrachtet wird, was die Besetzung bald zu einer Matrixaufgabe macht, die nur eine spezielle KI noch hinbekommt. Es sollen ja den Rat bilden: die Arbeitnehmer schon lange, die Geschlechter (nur zwei!), die Unabhängigen, die Fachkundigen, die Internationalen und die Repräsentanten sowie eine für Rechnungslegung ausgewiesene Person.

Doch man erkenne in dieser Überfrachtung auch den Keim einer gegenläufigen Entwicklung. Wenn Vorstand und AR durch mächtige KI-Systeme unterstützt werden, kann die Zusammensetzung in einem wirklichen Sinne “divers” sein. Die überspannt wirkenden Anforderungen an die Expertise, die Erfahrung, die Professionalität usw. können zurückgenommen werden. Der AR braucht nicht zur Superinstanz ausgebaut werden, sondern mag wieder als Spiegel des Aktionariats (und mit Blick auf die Mitbestimmung auch der Arbeitnehmerschaft) fungieren. Eine schöne Vorstellung, dass Menschen mit aus dem Leben geschöpfter Urteilskraft das Gremium zieren, während die KI im Maschinenraum ihr Werk verrichtet.

b) Zugriff auf Unternehmens-KI

Der AR oder ein AR-Ausschuss kann “Bücher” und “Schriften” einsehen (§ 111 Abs. 2 S. 1 AktG). Die Formulierung zielt auf den Papierbestand, doch ist sie überholt, unstreitig sind die elektronischen Aufzeichnungen genauso erfasst.172 Würde jedoch der AR nur die eine und andere Datenbank einsehen dürfen, wäre vor lauter Bäumen der Wald nicht zu erblicken. Ohne eine Big Data-Analyse durch die KI ist der Datenwust meist nicht zu durchdringen und damit weithin wertlos. Daher ist auch Nutzung der KI-Systeme, die dem Vorstand zur Verfügung stehen, für die Auswertung zu fordern, auch anlassunabhängig. Dass dieser Gebrauch der vertrauensvollen Zusammenarbeit schade,173 ist schwerlich zu erkennen, denn es muss ja das Interesse beider Organe sein, die KI-Analysen original zu kennen. In zeitlicher Hinsicht werdenZHR 183 (2019) S. 105 (141) die Anforderungen an AR-Mitglieder auch nicht überspannt, wenn die Information “auf Knopfdruck” parat ist.

Als weitere Frage taucht auf, ob der AR eine “eigene” KI zum Einsatz bringen kann, um seine Kontrolle autonom auszuüben. Diesem Ansinnen wird man mit Zurückhaltung begegnen, denn der AR soll nicht zu einem Ober-Vorstand werden. Grundsätzlich darf sich der AR auf die Informationen des Vorstands bzw. der von ihm administrierten IT/KI in der Regel verlassen. Nicht aus den Basisdaten, sondern aus den daraus gewonnenen Ergebnissen zieht der AR seine Schlüsse. Für diesen letzteren Vorgang ist allerdings eine Unterstützung durch Technik hilfreich. So könnte ein Algorithmus die Plausibilität der vorgelegten Informationen prüfen, ähnlich wie es bei der Steuererklärung durch das Finanzamt geschieht. Die eigene Beurteilung durch den AR wird dadurch nicht ersetzt, sondern wesentlich unterstützt.

Erkennt man die Entwicklung, dass die Verwaltungsorgane Vorstand und AR aus denselben Quellen schöpfen, dass die KI-Systeme das Material sachgerecht aufbereiten und Entscheidungsvorschläge unterbreiten, dann gerät jedenfalls in diesem wichtigen Bereich die herkömmliche Organtrennung in Zweifel. Die bekannte Diskussion Dualismus vs. Monismus wird um ein Argument für die letztere Seite bereichert.

IV. Ausblick und Thesen

Die Unternehmensverfassung ist in stetem Wandel, der durch die neue Digitalisierung weiter beschleunigt wird. Das ist nicht verwunderlich, ist doch die Verbandsorganisation selbst ein “virtuelles” Produkt des Rechts. Die Aufgaben und Rollen von Vorstand, Aufsichtsrat und Hauptversammlung geraten ins Wanken. Die Frage stellt sich ernsthaft: “Werden die Algorithmen die Organe der AG teilweise oder vollständig substituieren?”.174 Vom geltenden Recht ganz unbefangen erörtern Ökonomen, ob es einen AR überhaupt noch braucht, wenn eine Schwarmintelligenz der Aktionäre hergestellt (oder herbeiphantasiert?) wird.175 Und schließlich ist “die erste Firma ohne Menschen”176 mit virtuellem Sitz in der Blockchain schon probiert worden; sie scheiterte;177 aber wie war das bei den Anfängen der Fliegerei?

Eine im Wesentlichen dem geltenden Recht verpflichtete Untersuchung des gegenwärtig sich vollziehenden Umbruchs kommt zu weniger spektakulären Ergebnissen. Die modernen IT-Systeme helfen der menschlichen Unternehmensleitung im Rahmen der technischen Grenzen der “schwachen” KI (oben I. 1.). Daraus ergeben sich Folgerungen für die Arbeitsweise und -organisa-ZHR 183 (2019) S. 105 (142)tion, die allerdings eher betriebswirtschaftlicher und unternehmenskultureller Natur sind. Aus gesellschaftsrechtlicher Sicht sind die Zuständigkeiten, die Leitungsverantwortung, die Wissenszurechnung und Haftungsfragen von Belang (oben II.).

Eine Aktivität des (deutschen und europäischen) Gesetzgebers auf den genannten Feldern ist nicht vonnöten, ja geradezu unerwünscht.178 Hingegen wäre der Umgang mit der Digitalisierung, insbesondere mit der KI, durchaus eine Empfehlung des DCGK wert – aber der (alte und neue) Kodex schweigt dazu. Aus rechtsethischer Sicht sind Festlegungen für das allgemeine KI-Design erforderlich. Im engeren Bereich des Gesellschaftsrechts sollte indessen die KI-Implementation der weiteren Diskussion überlassen werden, denn eine zu frühe gesetzliche Bindung dürfte versteinernd wirken. Die Dynamik von Künstlicher Intelligenz und Blockchain wird jedes Gesetz überholen.

Thesen:

I. Digitalisierung 2.0

  1. Die neue Digitalisierung beruht auf der Verbindung großer Datenmengen, hoher Rechenleistung und lernenden Algorithmen. In den Unternehmen wird zunehmend auf diese Technologie gesetzt, die eigene Digitalisate hervorbringt. Der Vorgang wird – der Alltagssprache folgend – als Einsatz “Künstlicher Intelligenz” (KI) bezeichnet. Dabei handelt es sich um die “schwache” KI, die zwar äußerlich autonom agiert, deren Grundeinstellungen kontrollierbar und vor allem deren Ziele von Menschen festgelegt sind.

  2. Die Gesetzgebung in Deutschland und in der EU hat bislang die erste (“alte”) Digitalisierung adressiert. Regeln über Online-Hauptversammlung oder elektronische Handelsregister sind beispielhaft zu nennen. Auch das Company Law Package der EU geht nicht darüber hinaus. Der Gebrauch digitaler Werkzeuge im Gesellschaftsrecht (Titel des RL-Vorschlags) beschränkt sich auf die Online-Gründung von Kapitalgesellschaften und den Behördenverkehr.

  3. Die rechtswissenschaftliche Diskussion im Gesellschaftsrecht verharrt wie die Gesetzgebung weithin auf diesem Stand. In anderen Rechtsgebieten, namentlich auch im allgemeinen Zivilrecht, ist die Problematik der neuen Digitalisierung schon eher angekommen (Überlegungen zur digitalen Rechtsperson, zur Verantwortung für KI-Systeme, zu Datenschutz und -sicherheit). International sind akademische Überlegungen über die Corporate Governance in einer algorithmischen Welt en vogue.

  4. Die neue Digitalisierung verändert schleichend die Aufgaben und die Rolle der Organe der Kapitalgesellschaft. Die Technik ist der Knecht – oder eigentlich der Herr (Hegel)?

ZHR 183 (2019) S. 105 (143)

II. Digitale Unternehmensleitung

  1. Corporate Digital Responsibility (CDR) ist ein neues Trend-Thema, das durchaus zu soft law und dann – wie bei CSR – zu harten Regulierungen führen kann.

  2. Der Vorstand der AG hat über die unternehmerische Ausrichtung hin zur Digitalisierung zu entscheiden; ggf. mit Zustimmung des Aufsichtsrats, wenn ein entsprechender Vorbehalt besteht. Die Hauptversammlung wirkt nicht mit.

  3. Die Geschäftsführung der GmbH hat die unternehmerische Ausrichtung hin zur Digitalisierung dann den Gesellschaftern vorzulegen, wenn mit Widerspruch zu rechnen ist. Eine allgemeine Vorlagepflicht wegen der Auswirkungen (z.B. Einbindung in Industrie 4.0) besteht nicht.

  4. Die Geschäftsführung durch KI-Systeme ist grundsätzlich unbedenklich, auch dann, wenn sie “autonom” sind. Eine Unterscheidung nach “teil-/vollautonom” erscheint nicht sinnvoll möglich. Stets handelt es sich um Ausprägungen der schwachen KI. Die Geschäftsleitung muss überwachen, insbesondere ob es zu unzulässigen Diskriminierungen kommt.

  5. Die Unternehmensleitung mit Hilfe unterstützender KI-Systeme ist ebenfalls unbedenklich. Die Leitung muss keine Kenntnisse über Algorithmen etc. haben. Je nach Bedeutung des Geschäftsgegenstandes ist erforderlich, dass die Leitung über die allgemeine Wirkweise (Datenmaterial, Kriterien, Parameter) im Bilde ist. Dass der KI-Vorschlag nicht genau hergeleitet werden kann (Black Box), ist kein Grund zur generellen Ablehnung. Die auf menschlichen Expertenrat gemünzten Ision-Grundsätze des BGH passen nur zum Teil.

  6. Die Unternehmensleitung durch KI ist unzulässig. Dies folgt rechtlich aus der Vorgabe, dass die Leitung aus natürlichen Personen bestehen muss und technisch aus dem Befund, dass es eine allgemeine (starke) KI nicht gibt. Es ist auch nicht möglich, in der Geschäftsordnung der KI einen Stichentscheid zuzubilligen.

  7. Die Verantwortung für die Datensicherheit und das Datenmanagement ist grundsätzlich eine Leitungsaufgabe. Die Ausgestaltung dieser Bereiche unterliegt der BJR. Maßstäbe für die organisatorische und technische Infrastruktur geben die BSI-Empfehlungen und ISO-Standards, ggf. verbunden mit Zertifizierungen. Für regulierte Unternehmen bestehen spezialgesetzliche Anforderungen. Sehr speziell ist die Bestimmung des § 80 Abs. 2 WpHG für algorithmische Handelssysteme, deren Zweck die Stabilität des Finanzsektors ist.

  8. Eine Pflicht zur KI-gestützten digitalen Compliance-Organisation bzw. eines Risk-Managements besteht zwar nicht – aber ihr funktionierendes Vorhandensein kann entlastend wirken. Ein wesentlicher Vorteil dieser Systeme besteht in der Verknüpfung aller Unternehmensdaten, ferner in der Option, zukünftiges Fehlverhalten im Ansatz zu erkennen.

    ZHR 183 (2019) S. 105 (144)
  9. Die Wissenszurechnung i. S. d. Wissenmüssens ist entsprechend umfassend angelegt, die alten Grundsätze über die Grenzen der Speicherung und Suche gelten nicht mehr. Es ist eine wertende Zurechnung vorzunehmen, insbesondere danach, ob Anlass bestand, die “richtigen Fragen” zu stellen.

  10. Für die “angemessene Information” (§ 93 Abs. 1 S. 2 AktG) werden KI-Systeme immer wichtiger. Zu den “verfügbaren Informationsquellen” (BGH) zählt nicht, dass solche Systeme auf dem Markt existieren, sondern es kommt auf den Einsatz im Unternehmen an. Das “Gefühl für die Märkte” (UMAG-Begründung) kann die KI nicht ersetzen. Vorsicht ist geboten bei der Annahme, das “Wohl der Gesellschaft” wäre durch eine KI von selbst gewährleistet, da menschliche Eigeninteressen ausgeschaltet seien.

III. Digitale Gesellschaftsorganisation

  1. Die neue Digitalisierung wird das Binnengefüge der Organe weiter verändern. Ein HV-Präsenztreffen der “Schornsteinaktionäre” ist schon seit längerem ein Auslaufmodell. Der Vorstand ist gehalten, die Satzungsoptionen für eine digitale Teilhabe auszuschöpfen, auch um der Gleichbehandlung willen. Eine aktivere Mitwirkung des Aktionariats stellt die Kompetenzabgrenzung zur Leitung in Frage.

  2. Der Aufsichtsrat verliert, wenn er nur dem Filter des Vorstandsberichts unterliegt – er gewinnt, wenn er Zugriff auf die KI-Systeme des Unternehmens hat. Seine Überwachung wird unmittelbarer. In der Tendenz dürfte diese Lage dem monistischen Modell entgegenkommen.

ZHR 183 (2019) S. 105 (145)
*

Dr. iur., Professor an der Heinrich-Heine-Universität Düsseldorf, Inhaber des Lehrstuhls für Bürgerliches Recht, Handels- und Wirtschaftsrecht.

1

Der “digitale Zwilling” repräsentiert reale Objekte, das können physische mögliche Gegenstände sein als auch immaterielle, z.B. Dienste. Mit diesem Digitalisat kann geplant, organisiert und ausgetauscht werden (insbes. in der Industriekollaboration 4.0); siehe Gesellschaft für Informatik, https://gi.de/informatiklexikon/digitaler-zwilling/.

2
3

Van Crefeld, Command in war, 1985, S. 268 ff.

4

Herzberger, NJW 2018, 2825 schlägt vor, von “kooperativ vernetzter Intelligenz” (extended intelligence) zu sprechen.

5

Ein Auslöser für Missdeutungen ist die wörtliche Übersetzung des englischen “intelligence”.

6

“Kann jeden Schach-Weltmeister schlagen, aber nicht Äpfel von Birnen unterscheiden.”

7

So die Begriffsbestimmung der KI-Strategie der Bundesregierung im Einklang mit dem Wortgebrauch der KI-Forschung (www.ki-strategie-deutschland.de, Positionspapier S. 4 f.); abw. Strohn, ZHR 182 (2018) 371 f., der bereits selbstlernende begrenzte Systeme als “starke KI” bezeichnet.

8

Zu den Stufen https://www.adac.de/rund-ums-fahrzeug/autonomes-fahren/grundlagen/autonomes-fahren-5–stufen/.

9

Speziell zum LegalTech-Einsatz Wagner, BB 2018, 1097.

10

Siehe Mindsphere, das cloudbasierte, offene IoT-Betriebssystem von Siemens, https://new.siemens.com/global/de/produkte/software/mindsphere.html.

11

Siehe Watson, ein Businesstool von IBM.

12

Siehe “Mittelstand-Digital”, www.bmwi.de.

13

So nach Medienberichten die Deutsche Bank, deren Ex-Vorstände Cyan und Hammonds von “lausiger IT” sprachen (welt.online v. 26. 3. 2018).

14

https://www.bafin.de/SharedDocs/Downloads/DE/dl_bdai_studie.html.

15

Habersack, ZHR 165 (2001) 172; Riegger, ZHR 165 (2001) 204; zur Entwicklung Noack in: Fleischer/Koch/Kropff/Lutter, ZGR-Sonderheft 50 Jahre Aktiengesetz, 2016, S. 164 ff.; Spindler, ZGR 2018, 18, 25 ff.

16

Gesetz zur Umsetzung der Aktionärsrechterichtlinie v. 30. 7. 2009, BGBl. I (2009), S. 2479.

17

Das Gesetz spricht in zu enger Anlehnung an die Übersetzung der Richtlinie missverständlich von “Briefwahl”, obwohl es weder um einen Brief noch nur um einen Wahlakt geht; besser formuliert das österreichische AktG in § 126: “Fernabstimmung”.

18

Von Holten/Bauerfeind, AG 2018, 729 ff. über die “Online-Hauptversammlung in Deutschland und Europa”.

19

Hüffer/Koch, AktG, 13. Aufl. 2018, § 108 Rdn. 21 und § 110 Rdn. 11.

20

Theisen, DB 2018, 2885 ff.

21

Dazu Lieder, NZG 2018, 1081; Noack, DB 2018, 1324; Knaier, GmbHR 2018, 560; J. Schmidt, Der Konzern 2018, 229; Bock, DNotZ 2018, 643; Böhm, EuZW 2018, 435; zuvor Teichmann, GmbHR 2018, 1.

22

Sehr krit. Zetzsche, AG 2019, 1, 2: “potemkinsches Dorf”.

23

The Informal Company Law Expert Group (ICLEG), Report 1016, S. 15, https://ec.europa.eu/info/sites/info/files/icleg-report-on-digitalisation-24–march-2016_en.pdf.

24

Kindler in: Schnauder, Digitalisierung im Gesellschaftsrecht, 2018, S. 52.

25

Zöllner, Daten- und Informationsschutz im Arbeitsverhältnis, 1983.

26

Aktuell zusammenfassend Spindler, ZGR 2018, 17, 21 ff.; aus der Frühzeit Noack, ZGR 1998, 592 ff.

27

Spindler, ZGR 2018, 17 ff.

28

Zetzsche, AG 2019, 1 ff.

29

Möslein, ZIP 2018, 204; siehe auch Strohn, ZHR 182 (2018) 371; Weber/Kiefner/Jobst, NZG 2018, 1131; Wagner, BB 2018, 1097; Sattler, BB 2018, 2243.

30

Hähnlein/Bommel, JZ 2018, 334; Borges, NJW 2018, 977.

31

Faust, Gutachten für den 71. DJT 2016. Der DJT 2020 wird sich mit der Verantwortung und Haftung beim Einsatz autonomer digitaler Systeme befassen.

32

Teubner, AcP 218 (2018) 155 ff.; relativ früh die “Überlegungen zur Relativierung des Rechts in der digitalisierten Welt” von Boehme-Neßler, Unscharfes Recht, 2008; zur elektronischen Willenserklärung Noack/Beurskens, GS Wolf, 2010, S. 687.

33

Fenwick/Kaal/Vermeulen, The ‘Unmediated’ and ‘Tech-Driven' Corporate Governance of Today's Winning Companies, 2017, https://ssrn.com/abstract=2922176; Fenwick/McCahery/Vermeulen, The End of ‘Corporate' Governance: Hello ‘Platform’ Governance, 2018, https://ssrn.com/abstract=3232663.

34

Möslein in: Barfield/Pagallo, Research Handbook on the Law of Artificial Intelligence, 2019, S. 649.

35

Enriques/Zetzsche, Working Paper 2019, im Erscheinen (SSRN 2019); siehe auch die Beiträge in Hilb, Governance of Digitalization, 2017.

36

Belenzon/Hamdani/Hashai/Kandel/Yafeh, Technological Progress and the Future of the Corporation, Journal of the British Academy, 6(s1), 215–245. DOI https://doi.org/10.5871/jba/006s1.215.

37

Bankewitz/Aberg/Teuchert, Digitalization and Boards of Directors: A New Era of Corporate Governance?, 2016, http://bmr.sciedupress.com.

38

Kokina/Davenport, Journal of Emerging Technologies in Accounting (2017), 115; Weißenberger/Bauch, FS Altenburger, 2017, S. 203.

39

Frei nach Hegels Parabel (in: Phänomenologie des Geistes).

40

Im Folgenden wird dieser Begriff verwandt, ungeachtet oder gerade wegen seiner unscharfen Kontur (siehe bereits oben bei Fn. 7). Andere Termini (Big Data, maschinelles Lernen, etc.) bezeichnen Teilbereiche oder sind zu ungewöhnlich (“Softwareagenten”); zur Begrifflichkeit auch Teubner, AcP 218 (2018) 155, 156 Fn. 1.

41

Abgesehen von der Randbemerkung Hemelings, ZHR 175 (2011) 368, , 380 f., “angesichts der heutigen Bedeutung der IT” seien “Zweifel” an der Aussage in Kommentaren angebracht, diese zählen nicht zur Leitungsaufgabe; dazu unten 5. a).

42

Die Personengesellschaft bleibt in diesem Beitrag ausgeklammert.

43

Hemeling, ZHR 175 (2011) 368; Goette, ZHR 175 (2011) 388; Harbarth, ZHR 179 (2015) 136, , 144 f.; Bachmann, VGR 2007, 2008, 65, 73 f.; Lutter, FS Goette, 2011, S. 289, 291; Winter, FS Hüffer, 2010, S. 1103, 1104; KölnKommAktG/Mertens/Cahn, 3. Aufl. 2010, § 91 Rdn. 35; Spindler/Stilz/Fleischer, 4. Aufl. 2019, § 76 Rdn. 15 ff.

44

Spindler/Stilz/Fleischer (Fn. 43), § 93 Rdn. 15 ff.; unten 6.

45

https://www.bmjv.de/SharedDocs/Artikel/DE/2018/100818_CDR.html.

46

Zur Etablierung weiterer Gremien neben dem AR siehe MünchKommAktG/Habersack, 5. Aufl. 2019, § 95 Rdn. 6.

47

BGHZ 180, 9 (Entlastung).

48

52 Personen, die sich aus Vertretern der Hochschulen, der Zivilgesellschaft und der Indus-trie zusammensetzen (https://ec.europa.eu/digital-single-market/en/high-level-expert-group-artificial-intelligence).

49

https://ec.europa.eu/digital-single-market/en/news/draft-ethics-guidelines-trustworthy-ai.

50

https://ec.europa.eu/digital-single-market/en/european-ai-alliance.

51

http://www.eismd.eu/ai4people.

52

KölnKommAktG/Zetzsche, 3. Aufl. 2018, § 179 Rdn. 264.

53

Kumpan, EuZW 2018, 745; Möslein/Arndt, ZIP 2017, 793; Zetzsche, AG 2019, 1, 8; Söbbing, BKR 2016, 360; Oppenheim/Lange-Hausstein, WM 2016, 1966.

54

Siehe unten 5. c) aa).

55

Beispiel: online first (2019: “der letzte Otto-Katalog”).

56

Klassisches Beispiel: Kodak und der verpasste Übergang auf digitale Fotographie (dazu Seibert, FS Bergmann, 2018, S. 677, 685 f.).

57

Beispiel für alle drei Bereiche: Der Aufstieg von Wirecard und der Abstieg der Commerzbank.

58

KölnKommAktG/Zetzsche (Fn. 52), § 179 Rdn. 271 ff.

59

Spindler, DB 2018, 41, 47.

60

BGH v. 25. 9. 2018 – II ZR 190/17, NZG 2018, 1350.

61

Baumbach/Hueck/Zöllner/Noack, GmbHG, 21. Aufl. 2017, § 37 Rdn. 7 ff.

62

BGH v. 12. 4. 2016 – II ZR 275/14, NZG 2016, 781; dazu Paefgen, ZIP 2016, 2293; Saenger, FS Bergmann, 2018, S. 603, 612 ff.; ferner OLG München NZG 2016, 1149; OLG Brandenburg GmbHR 2017, 408, 413 f.

63

Zetzsche, AG 2019, 1, 5 f.; a.A. Strohn, ZHR 182 (2018) 371, , 376, der ausführt: “Ein mögliches Ergebnis dieser Abwägung kann darin bestehen, auf die Verwendung selbstlernender KI-Programme schlicht zu verzichten. Das ist der sicherste Weg. Je nach Zuschnitt des Unternehmens ist es auch der sinnvollste.” Diese Empfehlung beruht auf der Black-Box-Annahme, weshalb “niemand eine valide Risikoabschätzung vornehmen” könne. – Hier dürften aber zu strikte Maßstäbe an die Erklärbarkeit von Geschäftsprozessen angelegt sein. Im Allgemeinen genügt es, wenn die Überwachung sachgerecht organisiert ist und die Ergebnisse stimmen.

64

Dzida/Groh, NJW 2018, 1917.

65

Rechtspolitisch sieht die Bundesregierung hier Handlungsbedarf; siehe Koalitionsvertrag 2018, Rdn. 2092.

66

Zeit Online v. 18. 10. 2018.

67

https://www.dw.com/de/starbucks-schlie%C3 %9Ft-us-filialen-f%C3 %BCr-anti-rassismus-training/a-43429430.

68

Weber/Kiefner/Jobst, NZG 2018, 1131, 1134; ähnlich Möslein, ZIP 2018, 204, 210 f.

69

Ähnliches Beispiel bei Zetzsche, AG 2019, 1, 7: Investmentbank erklärt bei Fairness Option keineswegs, von Hand gerechnet zu haben, sondern dass sie an das Ergebnis ihrer Algorithmen glaubt.

70

Möslein, ZIP 2018, 204, 209; i.d.S. auch Weber/Kiefner/Jobst, NZG 2018, 1131, 1132; Wagner, BB 2018, 1097, , 1100.

71

Ausgehend von Einsteins spezieller Relativitätstheorie?!

72

Strohn, ZHR 182 (2018) 371, , 377, der diese Kenntnis der Anleger betont.

73

So verfahren Weber/Kiefner/Jobst, NZG 2018, 1131, 1133; zu LegalTech siehe Wagner, BB 2017, 1097, , 1102 f.

74

Siehe auch Herzberger, NJW 2018, 2825, 2828, der darauf hinweist, dass die Erklärung einer aus großen Datenmengen gewonnenen Prognose etwas anderes ist als die Erklärung eines auf juristisches Wissen gegründeten argumentativen Ergebnisses.

75

In der Informatik sind Forschungen im Gange, die Entscheidungswege transparent zu machen, siehe etwa Luo, Automatically Explaining Machine Learning Prediction Results, 2016 (pages.cs.wisc.edu/~gangluo/explain_prediction_results.pdf).

76

Paal, GRUR 2019, 43; Ylinen, NZKart 2018, 19.

77

Kling, FS Bergmann, 2018, S. 391, 411.

78

Bernhard/Meßmer, FAZ v. 19. 12. 2018, S. 18; dies., Unternehmensjurist 5/2018, 48 f.

79

Borges, NJW 2018, 977 ff.; Spindler, DB 2018, 48.

80

BGH NZG 2002, 130.

81

GroßKommAktG/Kort, 5. Aufl. 2015, § 76 Rdn. 36 und 36a.

82

So wohl Weber/Kiefner/Jobst, NZG 2018, 1131, 1134.

83

Herzberger, NJW 2018, 2825, 2827.

84

Hüffer/Koch (Fn. 19), § 93 Rdn. 21.

85

BGH NJW 2008, 3361, Rdn. 11.

86

Freund, NZG 2015, 1419, 1422.

87

Seibt, FS Seibert, 2019 (im Erscheinen).

88

Hüffer/Koch (Fn. 19), § 93 Rdn. 21.

89

Zetzsche, AG 2019, 1, 9.

90

Seibt, Manager-Magazin 2018 (Nr. 10, Oktober), S. 106.

91

Vetter, FS Bergmann, 2018, S. 827 ff.

92

Siehe oben I. 1.

93

Zetzsche, AG 2019, 1, 9.

94

Monographisch V. Richter, Informationsrechte im Organhaftungsprozess – Der Auskunftsanspruch des ausgeschiedenen Vorstandsmitglieds, 2019.

95

BGH NZG 2013, 293.

96

Spindler, ZGR 2018, 1, 40 f.; ders., DB 2018, 44; Behling, ZIP 2017, 697 ff. (zum Datenschutz).

97

KölnKommAktG/Mertens/Cahn (Fn. 43), § 77 Rdn. 2 f.; GroßKommAktG/Kort (Fn. 81), § 76 Rdn. 28 ff.

98

§§ 90, 91, 92, 121, 124 Abs. 3, 131, 161, 170, 293a, 312 AktG (z.T. zusammen mit dem Aufsichtsrat).

99

Hüffer/Koch (Fn. 19), § 76 Rdn. 9

100

Ähnl. Seibt, FS Karsten Schmidt, 2009, S. 1464, 1476 ff.; dagegen Dreher, FS Hopt, 2010, S. 517, 520 f.

101

Koch in: Fleischer/Koch/Kropff/Lutter, ZGR Sonderheft 19, 2016, 66, 95 ff.

102

Zutr. Nietsch, ZHR 180 (2016) 738; i.d.S. auch Hüffer/Koch (Fn. 19), § 76 Rdn. 9.

103

GroßkommAktG/Kort, 4. Aufl. 2008, § 76 Rdn. 37 – anders jetzt in der 5. Aufl. 2015.

104

Dazu mit Blick auf die Compliance-Verantwortung Nietsch, ZHR 180 (2016) 742.

105

Ott, ZGR 2017, 129 ff.

106

Spindler, CR 2917, 715, 721 f.; Daghles, DB 2018, 2289, 2291.

107

Löschhorn/Fuhrmann, NZG 2019, 161, 163 f.

108

www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzAktuelles/itgrundschutzAktuelles_node.html.

109

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (IT-Sicherheitsgesetz) 2009/2017. Siehe dazu auch Uwer, ZHR 183 (2019), 154 (in diesem Heft).

110

Frisse/Glaßl/Baranowski/Duwald, BKR 2018, 177.

111

Dazu monographisch J.-B. Fischer, Ausstrahlungswirkungen im Recht, 2018.

112

Rundschreiben 10/2017: Bankaufsichtsrechtliche Anforderungen an die IT (BAIT); Rundschreiben 10/2018: Versicherungsaufsichtliche Anforderungen an die IT (VAIT).

113

Näher Löschhorn/Fuhrmann, NZG 2019, 161, 167 f.; Behling, ZIP 2017, 697, 701 f.

114

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/FD_BS_Kompendium.html.

115

Wachter/Link, AktG, 3. Aufl. 2018, § 93 Rdn. 16.

116

www.tuev-sued.de/produktpruefung/dienstleistungen/softwarequalitaet.

117

https://ec.europa.eu/commission/news/cybersecurity-act-2018–dec-11_en.

118

Löschhorn/Fuhrmann, NZG 2019, 161, 169; Laue/Kremer, Das neue Datenschutzrecht, 2. Aufl. 2019, S. 371.

119

Zu speziellen Cyber-Versicherungen Achenbach, VersR 2017, 1493; Wirth, BB 2018, 200; Daghles, DB 2018, 2289, 2292.

120

NZZ online v. 11. 1. 2019.

121

Gabel/Heinrich/Kiefner/ders., Rechtshandbuch Cyber-Security, 2019 (im Erscheinen).

122

Goette, ZHR 175 (2011) 388, , 398 f.; insbes. für “Cyber-Schäden” König, AG 2017, 262, 268 f.

123

Gabel/Heinrich/Kiefner/ders. (Fn. 121); Löschhorn/Fuhrmann, NZG 2019, 161, 170.

124

Zum Reputationsvermögensschaden Klöhn/Schmolke, NZG 2015, 689, 692 f.

125
126

Hüffer/Koch (Fn. 19), § 93 Rdn. 48 mit allen aktuellen Nachweisen.

127

Art. 83 Abs. 2 DSGVO: bis zu 20 Mio. € oder bis zu 4 % des Jahresumsatzes.

128

MünchKommAktG/Spindler (Fn. 46), § 93 Rdn. 357.

129

BGHZ 109, 297 (Baustoff); BGHZ 208, 182 (Glasfasern II; siehe 3. Leitsatz); Altmeppen, ZIP 2016, 97, 101 ff.

130

Hüffer/Koch (Fn. 19), § 93 Rdn. 66 (persönliche Gewährsübernahme); Baumbach/Hueck/Zöllner/Noack (Fn. 61), § 43 Rdn. 78 (Wertigkeit des Rechtsguts).

131

Denga, CR 2018, 69, 74 ff.

132

Anders Borges, NJW 2018, 977, 981 ff: Gefährdungshaftung analog § 833 BGB.

133

BGHZ 125, 366, 375; zust. Altmeppen, ZIP 2016, 97, 101.

134

Reichert, FS Hoffmann-Becking, 2013, S. 943, 945; Harbarth, ZHR 179 (2015) 136, , 146 f.; Goette, ZHR 175 (2011) 388, , 391 f.; Bicker, AG 2012, 542, 543; Verse, ZHR 175 (2011) 401, , 404; zur Datenschutzverantwortung Behling, ZIP 2017, 697; zur Cyber-Security-Compliance Daghles, DB 2018, 2289 ff.

135

Spindler, CR 2017, 715 zur IT-Compliance.

136

Löbbe, FS Seibert, 2019 (im Erscheinen).

137

Zu RegTech Zetzsche, AG 2019, 1, 16 Fn. 124.

138

Studie des wissenschaftlichen Beirats https://www.acatech.de/wp-content/uploads/2018/03/WissBeirat_I40–bf_acatech_Recht_und_Industrie40_bf.pdf

139

Behr, DB 6/2019, M22.

140

Neufang, IRZ 2017, 249.

141

https://www.integritynext.com/de/.

142

BGHZ 109, 327 = NJW 1990, 975 in einem kaufrechtlichen Mängelfall; krit. Spindler, ZHR 181 (2017) 311, , 314 ff.; Spindler/Seidel, FS Marsch-Barner, 2018, S. 549, 550: Rechtsgrundlage und normative Anknüpfung seien ungeklärt; siehe auch Buck-Heeb, AG 2015, 801.

143

BGH NJW 1990, 975, 976.

144

BGH NJW 1989, 2879, 2881; sehr weit gehend für damalige Verhältnisse BGH NJW 1993, 2807 (Versicherungsgesellschaft wird Information über eine Knieoperation zugerechnet, die sich in der EDV einer vertragsverbundenen anderen Versicherungsgesellschaft befand).

145

Spindler/Seidel, NJW 2018, 2153.

146

Selbstverständlich hängt die KI-Leistung auch vom Input ab; stimmen die Eingangsdaten nicht, so gilt: garbage in – garbage out (allerdings können die lernenden Systeme schlechte Datenqualität zunehmend erkennen).

147

Spindler/Seidel, FS Marsch-Barner, 2018, S. 549, 555 ff.

148

Schwartmann/Jaspers/Thüsing/Kremer, DS-GVO/BDSG, 2018, Art. 26 Rdn. 25 ff.

149

Zutr. Spindler/Seidel, FS Marsch-Barner, 2018, S. 549, 556.

150

Fraunhofer-Institut IPT Aachen, Studie: Gestaltung von Corporate Inkubatoren, 2017.

151

Beurskens, FS Seibert, 2019 (im Erscheinen); Sandner in seinem Vortrag im Rahmen des ZHR-Symposions im Januar 2019.

152

MünchKommAktG/Spindler (Fn. 46), § 93 Rdn. 41 und § 76 Rdn. 184.

153

Zetzsche, AG 2019, 1, 12 f.

154

Aus dem Handelsblatt v. 25. 1. 2018: “(Am) Beispiel des amerikanischen Softwareunternehmens Salesforce: ‘Ich habe an meinem Vorstandstisch einen leeren Stuhl für Einstein reserviert’, erzählt Konzernchef Marc Benioff. Einstein ist ein virtueller Manager. Er nimmt an Vorstandssitzungen teil und ist mit seiner künstlichen Intelligenz in der Lage, riesige Datenmengen aus dem Zehn-Milliarden-Dollar-Konzern zu analysieren.”

155

Zu VITAL siehe Strohn, ZHR 182 (2018) 371; Möslein in: Barfield/Pagallo (Fn. 34), S. 649.

156

Zur Sondersituation bei einer Kapitalverwaltungsgesellschaft siehe Zetzsche, AG 2019, 1, 10 f.

157

Zöllner, ZGR 1974, 1; siehe auch U.H. Schneider, FS Peltzer, 2001, S. 425.

158

SAP SE, Munich Re AG (beschränkt auf Stimmrechtsausübung); zur Gesellschafterversammlung siehe Wertenbruch, GmbHR 2019, 149.

159

KölnKommAktG/Zetzsche (Fn. 52), § 243 Rdn. 564 ff.

160

Timm, FS Lutter, 2000, S. 157, 169; Noack, FS Druey, 2002, S. 869, 880.

161

Der ehemalige FAZ-Finanzjournalist Heinz Brestel nannte sie treffend “die Schornsteinaktionäre”.

162

Vorschlag von Bachmann, FS G. H. Roth, 2011, S. 37, 48; in diese Richtung auch Habersack, Gutachten für den 69. Deutschen Juristentag, 2012, Bd. I E, S. 89: “Als Endpunkt der Entwicklung ist die Abkehr von der zwingenden Vorgabe einer versammlungsgebundenen Beschlussfassung erwägenswert.”; ferner Zetsche, AG 2019, 1, 15.

163

Van der Elst/Lafarre, 14 Eur. Comp. L. (2017) 167–176.

164

Beurskens, FS Seibert, 2019 (im Erscheinen).

165

§ 67d AktG-E (Regierungsentwurf eines ARUG II v. 20. 3. 2019).

166

Krit. zum (durch die Aktionärsrechte-RL allerdings vorgegebenen) Kettenansatz und eine Blockchain-Lösung vorziehend Kuntz, ZHR 183 (2019), 190 (in diesem Heft).

167

BGHSt 50, 331 (Mannesmann): mündliche Urteilsbegründung.

168

Siehe die estnische Handelsplattform DX Exchange: https://dx.exchange/de/digitalstocks-etfs/; Geis, Vol. 113, Nw. U. L.R. (2018) 227; A. Wagner/Weber, SZW 2017, 64 f.

169

Zetzsche, AG 2019, 1, 13.

170

S. oben Fn. 168.

171

Theisen/Probst, DB 2018, 2885 ff.; Vetter/Favoccia, FAZ v. 28. 11. 2017; Kaspar, Board 2018, 202; Meckl/J. Schmidt, BB 2019, 131.

172

MünchKommAktG/Habersack (Fn. 46), § 111 Rdn. 74.

173

So Lieder, ZGR 2018, 523, 563; für Zugriff bereits Zöllner in: Noack/Spindler, Unternehmensrecht und Internet, 2011, S. 69, 86; Noack, FS Druey, 2002, S. 869 ff.; ebenso GroßkommAktG/Hopt/Roth, 5. Aufl. 2018, § 111 Rdn. 480 ff.

174

Zetzsche, AG 2019, 1, 5.

175

Siehe oben Fn. 38.

176

DIE ZEIT v. 26. 5. 2016; siehe auch Eidenmüller, ZHR 183 (2019), 169 (in diesem Heft).

177

Mann, NZG 2017, 1014.

178

Anders Weber/Kiefner/Jobst, NZG 2018, 1131, 1136.

 
stats