KI-Haftung: Wer zahlt, wenn die kuenstliche Intelligenz einen Fehler macht?

KI Haftung bei fehlerhaften Ergebnissen ist eine der draengendsten Rechtsfragen für Unternehmen, die kuenstliche Intelligenz einsetzen. Wenn ein KI-System eine falsche medizinische Empfehlung gibt, einen fehlerhaften Vertrag erstellt oder eine diskriminierende Personalentscheidung trifft, steht sofort die Frage im Raum, wer dafür geradesteht. Der Anbieter der KI? Das Unternehmen, das sie einsetzt? Der Mitarbeiter, der das Ergebnis nicht geprüft hat? Die Antwort ist komplexer als ein reines "es kommt darauf an", laesst sich aber auf klare Grundsaetze herunterbrechen.

Die drei Haftungsebenen

Die Haftung für KI-Fehler verteilt sich auf drei Ebenen, die je nach Sachverhalt einzeln oder kumulativ greifen können.

Ebene 1: Vertragliche Haftung (Unternehmen gegenüber Kunden)

Wenn ein Unternehmen gegenüber seinen Kunden eine Leistung erbringt und dabei KI einsetzt, haftet es für das Ergebnis wie für jede andere Leistung auch. Der Einsatz von KI ändert daran grundsaetzlich nichts.

Ein Beispiel. Ein Steuerberatungsbüro nutzt KI zur Erstellung von Steuererklärungen. Die KI berechnet einen falschen Betrag. Der Mandant erhaelt einen Steuerbescheid mit Nachzahlung. Das Steuerberatungsbüro haftet dem Mandanten gegenüber aus dem Beratungsvertrag, unabhängig davon, ob der Fehler von der KI oder von einem Mitarbeiter verursacht wurde.

Rechtsgrundlage: Schlechtleistung nach den allgemeinen Regeln des BGB (Schadensersatz statt oder neben der Leistung, §§ 280 ff. BGB).

Wer KI einsetzt, muss das Ergebnis prüfen. Die blosse Nutzung eines KI-Tools entbindet nicht von der vertraglichen Sorgfaltspflicht.

Ebene 2: Deliktische Haftung (Unternehmen gegenüber Dritten)

Wenn ein KI-Fehler nicht einen Vertragspartner, sondern einen unbeteiligten Dritten schaedigt, greift die deliktische Haftung.

Beispiel: Ein autonomes Lieferfahrzeug (gesteuert durch KI) verursacht einen Unfall. Der Geschaedigte hat keinen Vertrag mit dem Betreiber, kann aber Schadensersatz nach § 823 BGB verlangen.

Hier wird es für Unternehmen kritisch. Die deliktische Haftung setzt grundsaetzlich ein Verschulden voraus. Wenn ein Unternehmen KI einsetzt, ohne angemessene Kontrollmaßnahmen zu treffen (zum Beispiel ohne menschliche Überprüfung bei risikobehafteten Entscheidungen), kann bereits das als Fahrlaessigkeit gewertet werden. Wer eine Gefahrenquelle schafft oder unterhaelt, muss angemessene Maßnahmen treffen, um Dritte zu schuetzen. KI-Systeme, die eigenstaendig Entscheidungen treffen, können als Gefahrenquelle eingestuft werden.

Ebene 3: Produkthaftung (Hersteller gegenüber Geschaedigten)

Die dritte Ebene betrifft den Hersteller des KI-Systems selbst. Hier hat sich die Rechtslage 2024/2025 grundlegend geändert.

Das bisherige Produkthaftungsgesetz (ProdHaftG) wurde für physische Produkte geschrieben. Ob Software ein "Produkt" im Sinne des Gesetzes ist, war jahrelang umstritten. Die neue EU-Produkthaftungsrichtlinie (EU 2024/2853), in Kraft seit dem 9. Dezember 2024, stellt unmissverstaendlich klar: Software, einschließlich KI-Systeme, KI-Modelle und deren Updates, ist ein Produkt. Die Richtlinie muss bis zum 9. Dezember 2026 in deutsches Recht umgesetzt werden. Das Bundesjustizministerium hat im September 2025 einen Gesetzentwurf zur Modernisierung des Produkthaftungsrechts vorgelegt.

Was das konkret bedeutet:

• Verschuldensunabhängige Haftung: Der Hersteller haftet für Schaeden durch ein fehlerhaftes KI-Produkt, auch wenn ihn kein Verschulden trifft.
• Software-Updates als eigenstaendige Produkte: Ein fehlerhaftes KI-Update, das neue Fehler einführt, begründet eine eigenstaendige Haftung.
• Beweiserleichterungen: Bei "übermaessiger Komplexitaet" des Produkts (typisch für KI-Blackbox-Modelle) kann das Gericht den Produktfehler vermuten. Der Hersteller muss dann beweisen, dass sein Produkt fehlerfrei war.
• Keine Haftungsobergrenze mehr: Die bisherige Obergrenze von 85 Millionen Euro für Personenschaeden entfaellt.

Die Rolle des EU AI Act

Der EU AI Act (Verordnung (EU) 2024/1689) ist seit dem 1. August 2024 in Kraft. Die zentralen Pflichten für Hochrisiko-KI-Systeme gelten ab dem 2. August 2026. Der AI Act schafft keine eigene Haftungsgrundlage, er regelt also nicht direkt, wer bei einem KI-Schaden zahlt. Er definiert Pflichten, deren Verletzung die Haftung erheblich verschaerft.

Pflichten für Anbieter von Hochrisiko-KI

Hochrisiko-KI-Systeme (zum Beispiel in den Bereichen Personalauswahl, Kreditwuerdigkeit, Bildung, kritische Infrastruktur) müssen:

• Ein Risikomanagementsystem implementieren
• Mit hochwertigen, repraesentativen Daten trainiert werden
• Menschliche Aufsicht ermöglichen
• Transparent und nachvollziehbar dokumentiert sein
• Genauigkeit, Robustheit und Cybersicherheit gewaehrleisten

Pflichten für Betreiber

Auch Unternehmen, die Hochrisiko-KI-Systeme einsetzen (nicht nur entwickeln), haben Pflichten:

• Bestimmungsgemaesse Nutzung sicherstellen
• Menschliche Aufsicht durch qualifiziertes Personal gewaehrleisten
• Eingabedaten überwachen und auf Anomalien prüfen
• Schwerwiegende Vorfälle dem Anbieter und den Behörden melden

Die Verbindung zur Haftung

Wenn ein Unternehmen gegen diese Pflichten verstoesst und ein Schaden eintritt, der plausibel mit dem Verstoss zusammenhaengt, wird die Ursaechlichkeit vermutet. Das ist eine erhebliche Beweiserleichterung für Geschaedigte und eine ebenso erhebliche Verschaerfung der Haftungsposition für Unternehmen.

Bussgelder: Verstoesse gegen die Hochrisiko-Pflichten können mit Bussgeldern von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden. Bei Verstoessen gegen die verbotenen KI-Praktiken (Art. 5 AI Act) steigt dies auf 35 Millionen Euro oder 7 Prozent des Umsatzes.

Was mit der KI-Haftungsrichtlinie passiert ist

Die Europaeische Kommission hatte im September 2022 einen Vorschlag für eine eigene KI-Haftungsrichtlinie (AI Liability Directive, AILD) vorgelegt. Diese sollte eine EU-weit einheitliche Regelung für die aussevertragliche Haftung bei KI-Schaeden schaffen, mit einer besonderen Beweislastumkehr zugunsten der Geschaedigten.

Im Februar 2025 zog die Kommission den Vorschlag im Rahmen ihres Arbeitsprogramms 2025 zurück. Die offizielle Begründung: Eine Einigung zwischen Europaeischem Parlament und Rat war nicht absehbar. Hintergrund war auch die politische Diskussion über eine mögliche Überregulierung von KI in Europa.

Es gibt keine EU-weit harmonisierte Haftungsregelung speziell für KI. Stattdessen greifen die bestehenden nationalen Haftungsregeln (in Deutschland: BGB, ProdHaftG) und die neue Produkthaftungsrichtlinie. Für Unternehmen, die in mehreren EU-Ländern tätig sind, bedeutet das unterschiedliche Haftungsstandards je nach Land. In der Praxis sehen wir, dass viele Mittelstaendler dieses Thema deutlich unterschaetzen und erst nach dem ersten Vorfall beim Anwalt landen.

Geschäftsführerhaftung: Das persönliche Risiko

Geschäftsführer tragen eine persönliche Verantwortung für die ordnungsgemaesse Organisation ihres Unternehmens (Organisationsverschulden, § 43 GmbHG, § 93 AktG). Das umfasst auch den Einsatz von KI-Systemen.

Ein Geschäftsführer kann persönlich haften, wenn:

• Keine Richtlinien für den KI-Einsatz im Unternehmen existieren
• Keine angemessene Risikoüberwachung eingerichtet wurde
• Mitarbeiter nicht geschult wurden (insbesondere bei Hochrisiko-KI)
• Bekannte Risiken eines KI-Systems ignoriert wurden
• Keine menschliche Kontrollinstanz für kritische KI-Entscheidungen vorgesehen ist

Die Pflicht zur KI-Kompetenz ist durch den EU AI Act (Art. 4) seit dem 2. Februar 2025 ausdrücklich normiert: Anbieter und Betreiber müssen sicherstellen, dass ihr Personal über ein ausreichendes Mass an KI-Kompetenz verfuegt.

Praxisempfehlungen: So minimieren Sie die Haftungsrisiken

KI-Governance einrichten

Definieren Sie klare Richtlinien, welche KI-Tools für welche Zwecke eingesetzt werden dürfen. Differenzieren Sie nach Risikoklassen: Ein Chatbot für FAQ ist anders zu behandeln als ein KI-System, das Kreditentscheidungen trifft.

Menschliche Kontrolle sicherstellen

Bei allen Entscheidungen, die rechtliche, finanzielle oder gesundheitliche Auswirkungen haben, muss ein Mensch das KI-Ergebnis prüfen, bevor es umgesetzt wird. Dokumentieren Sie diesen Prozess.

Mitarbeiter schulen

Schulen Sie Ihre Mitarbeiter im Umgang mit KI-Tools. Nicht nur in der Bedienung, sondern im Erkennen von Fehlern und Grenzen der KI. Die Weiterbildung zum Digitalisierungsmanager vermittelt genau diese Kompetenzen.

Dokumentation und Nachvollziehbarkeit

Halten Sie fest, welche KI-Systeme eingesetzt werden, welche Entscheidungen sie treffen und wie die Ergebnisse geprüft werden. Im Schadensfall ist diese Dokumentation entscheidend für die Entlastung.

Versicherungsschutz prüfen

Prüfen Sie, ob Ihre bestehende Betriebs- und Berufshaftpflichtversicherung KI-bezogene Schaeden abdeckt. Viele Policen schließen "algorithmische Entscheidungen" oder "automatisierte Prozesse" noch nicht explizit ein.

Verträge mit KI-Anbietern prüfen

Welche Haftung übernimmt der KI-Anbieter? Gibt es Haftungsbeschraenkungen, die Sie im Schadensfall allein dastehen lassen? Achten Sie auf Klauseln zu Gewaehrleistung, Haftungsbegrenzung und Freistellung.

Häufige Fragen

Haftet der KI-Anbieter oder das Unternehmen, das die KI einsetzt? In den meisten Fällen haftet primaer das einsetzende Unternehmen gegenüber seinen Kunden und Dritten (vertragliche und deliktische Haftung). Der KI-Anbieter haftet über die Produkthaftung, wenn das KI-System selbst fehlerhaft ist. In der Praxis können beide gleichzeitig haften.

Kann ein Mitarbeiter persönlich für einen KI-Fehler haften? Grundsaetzlich haftet der Arbeitgeber für Fehler seiner Mitarbeiter im Rahmen der Arbeitstätigkeit (§ 831 BGB). Der Mitarbeiter haftet intern nur bei Vorsatz oder grober Fahrlaessigkeit. Wenn ein Mitarbeiter jedoch ein KI-Ergebnis ohne jede Prüfung weitergibt, obwohl eine Prüfpflicht bestand, kann dies als grobe Fahrlaessigkeit gewertet werden.

Was ändert sich konkret am 9. Dezember 2026? An diesem Stichtag muss die neue EU-Produkthaftungsrichtlinie in deutsches Recht umgesetzt sein. Ab dann haftet der Hersteller verschuldensunabhängig für fehlerhafte Software und KI-Systeme. Geschaedigte profitieren von Beweiserleichterungen, und die bisherige Haftungsobergrenze von 85 Millionen Euro entfaellt.

Gibt es eine Versicherung gegen KI-Haftungsrisiken? Ja, der Markt für KI-Haftpflichtversicherungen waechst. Spezielle Policen decken Vermögensschaeden durch fehlerhafte KI-Ergebnisse ab. Die Praemien haengen vom Einsatzbereich, der Risikoklasse und den implementierten Kontrollmaßnahmen ab. Sprechen Sie Ihren Versicherungsmakler gezielt auf KI-Risiken an.

Welche Bussgelder drohen bei Verstoessen gegen den AI Act? Bei Verstoessen gegen die Pflichten für Hochrisiko-KI-Systeme: bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes. Bei Verstoessen gegen verbotene KI-Praktiken: bis zu 35 Millionen Euro oder 7 Prozent des Umsatzes. Für KMU und Startups gelten reduzierte Bussgeldrahmen.