KI-Haftung: Wer zahlt, wenn die kuenstliche Intelligenz einen Fehler macht?

KI Haftung bei fehlerhaften Ergebnissen ist eine der draengendsten Rechtsfragen fuer Unternehmen, die kuenstliche Intelligenz einsetzen. Wenn ein KI-System eine falsche medizinische Empfehlung gibt, einen fehlerhaften Vertrag erstellt oder eine diskriminierende Personalentscheidung trifft, steht sofort die Frage im Raum, wer dafuer geradesteht. Der Anbieter der KI? Das Unternehmen, das sie einsetzt? Der Mitarbeiter, der das Ergebnis nicht geprueft hat? Die Antwort ist komplexer als ein reines "es kommt darauf an", laesst sich aber auf klare Grundsaetze herunterbrechen.

Die drei Haftungsebenen

Die Haftung fuer KI-Fehler verteilt sich auf drei Ebenen, die je nach Sachverhalt einzeln oder kumulativ greifen koennen.

Ebene 1: Vertragliche Haftung (Unternehmen gegenueber Kunden)

Wenn ein Unternehmen gegenueber seinen Kunden eine Leistung erbringt und dabei KI einsetzt, haftet es fuer das Ergebnis wie fuer jede andere Leistung auch. Der Einsatz von KI aendert daran grundsaetzlich nichts.

Ein Beispiel. Ein Steuerberatungsbuero nutzt KI zur Erstellung von Steuererklaerungen. Die KI berechnet einen falschen Betrag. Der Mandant erhaelt einen Steuerbescheid mit Nachzahlung. Das Steuerberatungsbuero haftet dem Mandanten gegenueber aus dem Beratungsvertrag, unabhaengig davon, ob der Fehler von der KI oder von einem Mitarbeiter verursacht wurde.

Rechtsgrundlage: Schlechtleistung nach den allgemeinen Regeln des BGB (Schadensersatz statt oder neben der Leistung, §§ 280 ff. BGB).

Wer KI einsetzt, muss das Ergebnis pruefen. Die blosse Nutzung eines KI-Tools entbindet nicht von der vertraglichen Sorgfaltspflicht.

Ebene 2: Deliktische Haftung (Unternehmen gegenueber Dritten)

Wenn ein KI-Fehler nicht einen Vertragspartner, sondern einen unbeteiligten Dritten schaedigt, greift die deliktische Haftung.

Beispiel: Ein autonomes Lieferfahrzeug (gesteuert durch KI) verursacht einen Unfall. Der Geschaedigte hat keinen Vertrag mit dem Betreiber, kann aber Schadensersatz nach § 823 BGB verlangen.

Hier wird es fuer Unternehmen kritisch. Die deliktische Haftung setzt grundsaetzlich ein Verschulden voraus. Wenn ein Unternehmen KI einsetzt, ohne angemessene Kontrollmassnahmen zu treffen (zum Beispiel ohne menschliche Ueberpruefung bei risikobehafteten Entscheidungen), kann bereits das als Fahrlaessigkeit gewertet werden. Wer eine Gefahrenquelle schafft oder unterhaelt, muss angemessene Massnahmen treffen, um Dritte zu schuetzen. KI-Systeme, die eigenstaendig Entscheidungen treffen, koennen als Gefahrenquelle eingestuft werden.

Ebene 3: Produkthaftung (Hersteller gegenueber Geschaedigten)

Die dritte Ebene betrifft den Hersteller des KI-Systems selbst. Hier hat sich die Rechtslage 2024/2025 grundlegend geaendert.

Das bisherige Produkthaftungsgesetz (ProdHaftG) wurde fuer physische Produkte geschrieben. Ob Software ein "Produkt" im Sinne des Gesetzes ist, war jahrelang umstritten. Die neue EU-Produkthaftungsrichtlinie (EU 2024/2853), in Kraft seit dem 9. Dezember 2024, stellt unmissverstaendlich klar: Software, einschliesslich KI-Systeme, KI-Modelle und deren Updates, ist ein Produkt. Die Richtlinie muss bis zum 9. Dezember 2026 in deutsches Recht umgesetzt werden. Das Bundesjustizministerium hat im September 2025 einen Gesetzentwurf zur Modernisierung des Produkthaftungsrechts vorgelegt.

Was das konkret bedeutet:

• Verschuldensunabhaengige Haftung: Der Hersteller haftet fuer Schaeden durch ein fehlerhaftes KI-Produkt, auch wenn ihn kein Verschulden trifft.
• Software-Updates als eigenstaendige Produkte: Ein fehlerhaftes KI-Update, das neue Fehler einfuehrt, begruendet eine eigenstaendige Haftung.
• Beweiserleichterungen: Bei "uebermaessiger Komplexitaet" des Produkts (typisch fuer KI-Blackbox-Modelle) kann das Gericht den Produktfehler vermuten. Der Hersteller muss dann beweisen, dass sein Produkt fehlerfrei war.
• Keine Haftungsobergrenze mehr: Die bisherige Obergrenze von 85 Millionen Euro fuer Personenschaeden entfaellt.

Die Rolle des EU AI Act

Der EU AI Act (Verordnung (EU) 2024/1689) ist seit dem 1. August 2024 in Kraft. Die zentralen Pflichten fuer Hochrisiko-KI-Systeme gelten ab dem 2. August 2026. Der AI Act schafft keine eigene Haftungsgrundlage, er regelt also nicht direkt, wer bei einem KI-Schaden zahlt. Er definiert Pflichten, deren Verletzung die Haftung erheblich verschaerft.

Pflichten fuer Anbieter von Hochrisiko-KI

Hochrisiko-KI-Systeme (zum Beispiel in den Bereichen Personalauswahl, Kreditwuerdigkeit, Bildung, kritische Infrastruktur) muessen:

• Ein Risikomanagementsystem implementieren
• Mit hochwertigen, repraesentativen Daten trainiert werden
• Menschliche Aufsicht ermoeglichen
• Transparent und nachvollziehbar dokumentiert sein
• Genauigkeit, Robustheit und Cybersicherheit gewaehrleisten

Pflichten fuer Betreiber

Auch Unternehmen, die Hochrisiko-KI-Systeme einsetzen (nicht nur entwickeln), haben Pflichten:

• Bestimmungsgemaesse Nutzung sicherstellen
• Menschliche Aufsicht durch qualifiziertes Personal gewaehrleisten
• Eingabedaten ueberwachen und auf Anomalien pruefen
• Schwerwiegende Vorfaelle dem Anbieter und den Behoerden melden

Die Verbindung zur Haftung

Wenn ein Unternehmen gegen diese Pflichten verstoesst und ein Schaden eintritt, der plausibel mit dem Verstoss zusammenhaengt, wird die Ursaechlichkeit vermutet. Das ist eine erhebliche Beweiserleichterung fuer Geschaedigte und eine ebenso erhebliche Verschaerfung der Haftungsposition fuer Unternehmen.

Bussgelder: Verstoesse gegen die Hochrisiko-Pflichten koennen mit Bussgeldern von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden. Bei Verstoessen gegen die verbotenen KI-Praktiken (Art. 5 AI Act) steigt dies auf 35 Millionen Euro oder 7 Prozent des Umsatzes.

Was mit der KI-Haftungsrichtlinie passiert ist

Die Europaeische Kommission hatte im September 2022 einen Vorschlag fuer eine eigene KI-Haftungsrichtlinie (AI Liability Directive, AILD) vorgelegt. Diese sollte eine EU-weit einheitliche Regelung fuer die aussevertragliche Haftung bei KI-Schaeden schaffen, mit einer besonderen Beweislastumkehr zugunsten der Geschaedigten.

Im Februar 2025 zog die Kommission den Vorschlag im Rahmen ihres Arbeitsprogramms 2025 zurueck. Die offizielle Begruendung: Eine Einigung zwischen Europaeischem Parlament und Rat war nicht absehbar. Hintergrund war auch die politische Diskussion ueber eine moegliche Ueberregulierung von KI in Europa.

Es gibt keine EU-weit harmonisierte Haftungsregelung speziell fuer KI. Stattdessen greifen die bestehenden nationalen Haftungsregeln (in Deutschland: BGB, ProdHaftG) und die neue Produkthaftungsrichtlinie. Fuer Unternehmen, die in mehreren EU-Laendern taetig sind, bedeutet das unterschiedliche Haftungsstandards je nach Land. In der Praxis sehen wir, dass viele Mittelstaendler dieses Thema deutlich unterschaetzen und erst nach dem ersten Vorfall beim Anwalt landen.

Geschaeftsfuehrerhaftung: Das persoenliche Risiko

Geschaeftsfuehrer tragen eine persoenliche Verantwortung fuer die ordnungsgemaesse Organisation ihres Unternehmens (Organisationsverschulden, § 43 GmbHG, § 93 AktG). Das umfasst auch den Einsatz von KI-Systemen.

Ein Geschaeftsfuehrer kann persoenlich haften, wenn:

• Keine Richtlinien fuer den KI-Einsatz im Unternehmen existieren
• Keine angemessene Risikoueberwachung eingerichtet wurde
• Mitarbeiter nicht geschult wurden (insbesondere bei Hochrisiko-KI)
• Bekannte Risiken eines KI-Systems ignoriert wurden
• Keine menschliche Kontrollinstanz fuer kritische KI-Entscheidungen vorgesehen ist

Die Pflicht zur KI-Kompetenz ist durch den EU AI Act (Art. 4) seit dem 2. Februar 2025 ausdruecklich normiert: Anbieter und Betreiber muessen sicherstellen, dass ihr Personal ueber ein ausreichendes Mass an KI-Kompetenz verfuegt.

Praxisempfehlungen: So minimieren Sie die Haftungsrisiken

KI-Governance einrichten

Definieren Sie klare Richtlinien, welche KI-Tools fuer welche Zwecke eingesetzt werden duerfen. Differenzieren Sie nach Risikoklassen: Ein Chatbot fuer FAQ ist anders zu behandeln als ein KI-System, das Kreditentscheidungen trifft.

Menschliche Kontrolle sicherstellen

Bei allen Entscheidungen, die rechtliche, finanzielle oder gesundheitliche Auswirkungen haben, muss ein Mensch das KI-Ergebnis pruefen, bevor es umgesetzt wird. Dokumentieren Sie diesen Prozess.

Mitarbeiter schulen

Schulen Sie Ihre Mitarbeiter im Umgang mit KI-Tools. Nicht nur in der Bedienung, sondern im Erkennen von Fehlern und Grenzen der KI. Die Weiterbildung zum Digitalisierungsmanager vermittelt genau diese Kompetenzen.

Dokumentation und Nachvollziehbarkeit

Halten Sie fest, welche KI-Systeme eingesetzt werden, welche Entscheidungen sie treffen und wie die Ergebnisse geprueft werden. Im Schadensfall ist diese Dokumentation entscheidend fuer die Entlastung.

Versicherungsschutz pruefen

Pruefen Sie, ob Ihre bestehende Betriebs- und Berufshaftpflichtversicherung KI-bezogene Schaeden abdeckt. Viele Policen schliessen "algorithmische Entscheidungen" oder "automatisierte Prozesse" noch nicht explizit ein.

Vertraege mit KI-Anbietern pruefen

Welche Haftung uebernimmt der KI-Anbieter? Gibt es Haftungsbeschraenkungen, die Sie im Schadensfall allein dastehen lassen? Achten Sie auf Klauseln zu Gewaehrleistung, Haftungsbegrenzung und Freistellung.

Haeufige Fragen

Haftet der KI-Anbieter oder das Unternehmen, das die KI einsetzt? In den meisten Faellen haftet primaer das einsetzende Unternehmen gegenueber seinen Kunden und Dritten (vertragliche und deliktische Haftung). Der KI-Anbieter haftet ueber die Produkthaftung, wenn das KI-System selbst fehlerhaft ist. In der Praxis koennen beide gleichzeitig haften.

Kann ein Mitarbeiter persoenlich fuer einen KI-Fehler haften? Grundsaetzlich haftet der Arbeitgeber fuer Fehler seiner Mitarbeiter im Rahmen der Arbeitstaetigkeit (§ 831 BGB). Der Mitarbeiter haftet intern nur bei Vorsatz oder grober Fahrlaessigkeit. Wenn ein Mitarbeiter jedoch ein KI-Ergebnis ohne jede Pruefung weitergibt, obwohl eine Pruefpflicht bestand, kann dies als grobe Fahrlaessigkeit gewertet werden.

Was aendert sich konkret am 9. Dezember 2026? An diesem Stichtag muss die neue EU-Produkthaftungsrichtlinie in deutsches Recht umgesetzt sein. Ab dann haftet der Hersteller verschuldensunabhaengig fuer fehlerhafte Software und KI-Systeme. Geschaedigte profitieren von Beweiserleichterungen, und die bisherige Haftungsobergrenze von 85 Millionen Euro entfaellt.

Gibt es eine Versicherung gegen KI-Haftungsrisiken? Ja, der Markt fuer KI-Haftpflichtversicherungen waechst. Spezielle Policen decken Vermoegensschaeden durch fehlerhafte KI-Ergebnisse ab. Die Praemien haengen vom Einsatzbereich, der Risikoklasse und den implementierten Kontrollmassnahmen ab. Sprechen Sie Ihren Versicherungsmakler gezielt auf KI-Risiken an.

Welche Bussgelder drohen bei Verstoessen gegen den AI Act? Bei Verstoessen gegen die Pflichten fuer Hochrisiko-KI-Systeme: bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes. Bei Verstoessen gegen verbotene KI-Praktiken: bis zu 35 Millionen Euro oder 7 Prozent des Umsatzes. Fuer KMU und Startups gelten reduzierte Bussgeldrahmen.