Update April 2026: Das EU-Parlament hat am 27.03.2026 die Verschiebung der Hochrisiko-KI-Pflichten beschlossen (Digital Omnibus, 569:45 Stimmen). Annex III tritt jetzt am 02.12.2027 in Kraft, Annex I am 02.08.2028. Der zweite Trilog ist für den 28.04.2026 angesetzt. Die AI Literacy Pflicht nach Artikel 4 KI-VO gilt seit dem 2. Februar 2025. Die Bußgeldvorschriften der KI-Verordnung greifen ab August 2026. Schulungsnachweise sind also bereits jetzt Pflicht.
KI-Haftung bei Mitarbeiterfehlern ist eine der praxisrelevantesten Fragen rund um den EU AI Act. Wer haftet, wenn ein Mitarbeiter sich auf eine KI-Empfehlung verlässt und dadurch ein Schaden entsteht? Der Mitarbeiter? Das Unternehmen? Der Anbieter des KI-Systems? Dieser Beitrag erklärt die rechtlichen Grundlagen, ordnet typische Praxisfälle ein und zeigt, wie Sie Ihr Unternehmen mit Schulung, Richtlinie und Versicherung absichern.
Drei Haftungsdimensionen im Überblick
Wenn eine KI einen Schaden verursacht, spielen drei Beziehungen eine Rolle. Die Außenhaftung des Unternehmens gegenüber Dritten kommt ins Spiel, wenn ein Kunde, Lieferant oder eine andere Partei durch eine fehlerhafte KI-gestützte Entscheidung geschädigt wird. Die Innenhaftung des Mitarbeiters gegenüber dem Arbeitgeber greift, wenn ein Mitarbeiter fahrlässig auf eine KI-Empfehlung vertraut und damit dem Arbeitgeber Schaden zufügt. Die Haftung des KI-Anbieters gegenüber dem Unternehmen wird relevant, wenn das eingesetzte KI-System einen Produktmangel hatte oder die zugesagte Funktion sich nicht erfüllt.
Diese drei Ebenen müssen sauber getrennt werden, weil unterschiedliche Rechtsgrundlagen gelten. Der EU AI Act regelt vor allem die Pflichten der Anbieter und Betreiber, das Bürgerliche Gesetzbuch und das Arbeitsrecht regeln die Haftungsverteilung im Schadensfall.
Außenhaftung: Das Unternehmen steht gerade
Wenn ein Schaden bei einem Kunden oder Dritten entsteht, ist in den allermeisten Fällen das Unternehmen der erste Ansprechpartner. Die rechtliche Grundlage dafür ergibt sich aus mehreren Quellen.
Vertragsrechtliche Ansprüche: Wer einen Vertrag mit einem Kunden hat und durch fehlerhafte KI-Entscheidungen Pflichten verletzt, haftet aus § 280 BGB für den entstandenen Schaden. Deliktrechtliche Ansprüche: § 823 BGB regelt die Haftung für unerlaubte Handlungen. Wer fahrlässig einen Dritten schädigt, ist zum Ersatz verpflichtet. Verkehrssicherungspflichten: Wer ein KI-System einsetzt, übernimmt die Pflicht, dieses sorgfältig zu betreiben und Risiken zu kontrollieren. Produktrechtliche Ansprüche: Bei Produkten mit KI-Komponenten greift das Produkthaftungsgesetz, das verschuldensunabhängig wirkt.
Beispiel: Ein Steuerberater nutzt ein KI-Tool zur Mandantenbeantwortung. Das Tool gibt eine falsche Empfehlung zur Vorsteuerabzugsfähigkeit. Der Mandant zieht zu wenig Vorsteuer und erleidet einen Schaden. Der Mandant wendet sich an den Steuerberater, nicht an die KI. Der Steuerberater haftet aus dem Mandatsverhältnis.
Eine Berufung auf die KI als "der Computer hat gesagt" ist rechtlich unwirksam. Die Verantwortung für die Validierung des Outputs liegt beim Mitarbeiter und damit beim Unternehmen.
Innenhaftung: Der Mitarbeiter und die abgestufte Fahrlässigkeit
Im Verhältnis zwischen Arbeitgeber und Arbeitnehmer gilt das innerbetriebliche Haftungsprivileg der Arbeitsgerichte. Es unterscheidet vier Stufen:
| Verschuldensgrad | Haftung Mitarbeiter |
|---|---|
| Leichteste Fahrlässigkeit | Keine Haftung |
| Mittlere Fahrlässigkeit | Anteilige Haftung (oft 30 bis 50 Prozent) |
| Grobe Fahrlässigkeit | Vollumfängliche Haftung, Begrenzung möglich |
| Vorsatz | Volle Haftung |
Ein Mitarbeiter, der sich auf eine plausible KI-Empfehlung verlässt und dabei einen Fehler übersieht, der auch einem aufmerksamen Profi entgangen wäre, handelt typischerweise leicht fahrlässig. Hier haftet er nicht. Wer dagegen offensichtliche Halluzinationen ignoriert oder gar nicht erst prüft, handelt grob fahrlässig oder sogar vorsätzlich. Hier kann die Haftung bis zur vollen Schadenssumme reichen.
In der Praxis ist die Gewichtung der Fahrlässigkeit ein Streitpunkt. Eine klare KI-Richtlinie und eine dokumentierte Schulung helfen dem Arbeitgeber, gegen den Mitarbeiter Rückgriff zu nehmen, wenn dieser sich nicht an die Regeln gehalten hat.
Das ist in der Praxis oft ein größeres Thema, als es auf dem Papier wirkt. Wir sehen bei Unternehmen regelmäßig, dass die Richtlinie zwar auf dem Papier existiert, aber nicht nachweisbar geschult wurde. Vor Gericht ist das dann ein Dokument ohne Wirkung. Wer die Richtlinie ernst meint, schult jeden Mitarbeiter vor der ersten Nutzung und lässt die Teilnahme unterschreiben. Sonst verliert der Arbeitgeber im Streitfall die beste Verteidigungslinie.
Anbieterhaftung: Was kann das Unternehmen vom KI-Hersteller verlangen
Die dritte Ebene betrifft den Rückgriff des Unternehmens gegenüber dem KI-Anbieter. Hier ist die Lage 2026 noch unübersichtlich. Standard-Geschäftsbedingungen großer Anbieter wie OpenAI, Anthropic oder Microsoft schränken die Haftung typischerweise stark ein. Garantien für die Richtigkeit der Outputs gibt es in der Regel nicht.
Was das Unternehmen aber verlangen kann: Erfüllung der zugesagten Funktionen (kein Totalausfall), Einhaltung der vereinbarten Servicelevel, Dokumentation der Modell-Eigenschaften (für Hochrisiko-Systeme nach AI Act Pflicht), Information über bekannte Risiken und Limitationen.
Eine Klage gegen den KI-Anbieter wegen einer fehlerhaften Entscheidung ist möglich, in der Praxis aber juristisch und tatsächlich aufwändig. Die EU plant mit der KI-Haftungsrichtlinie Beweiserleichterungen für Geschädigte, die Verabschiedung war zum Stand April 2026 noch im Verfahren. Prüfen Sie aktuelle Werte bei der zuständigen Stelle.
Praxisfälle aus dem Geschäftsalltag
| Fall | Wer haftet primär? | Begründung |
|---|---|---|
| Recruiting-KI sortiert Bewerber diskriminierend aus | Unternehmen | Verantwortung für Hochrisiko-System, AGG-Verstoß |
| Übersetzungs-KI liefert falsche Vertragsklausel | Unternehmen ggü. Kunde, Anbieter ggü. Unternehmen | Validierungspflicht beim Anwender |
| Mitarbeiter kopiert Kundendaten in ChatGPT Free | Mitarbeiter, ggf. mittlere Fahrlässigkeit | DSGVO-Verstoß, ggf. Verstoß gegen KI-Richtlinie |
| KI im Online-Banking blockiert Konto fälschlich | Bank | Verantwortung für eingesetztes Hochrisiko-System |
| KI-gestützte Befundung in der Radiologie übersieht Tumor | Klinik / Arzt | Validierungspflicht, KI ist Hilfsmittel |
| KI erstellt fehlerhafte Steuerbescheid-Vorlage | Steuerberater | Mandatsvertrag, Validierungspflicht |
| Rechnungs-KI bucht doppelt und Lieferant zahlt zurück | Unternehmen | Eigene Validierungspflicht |
In allen Fällen gilt: Der Mensch oder das Unternehmen haftet. Die KI ist ein Werkzeug, keine Entscheidungsinstanz im rechtlichen Sinn.
Wie Sie Ihre Haftung minimieren
Eine schriftliche KI-Richtlinie legt klare Regeln fest, welche Tools für welche Zwecke erlaubt sind. Sie schließt zwar nicht jedes Risiko aus, zeigt aber, dass das Unternehmen seine Sorgfaltspflichten ernst nimmt. Eine dokumentierte Schulung nach Art. 4 EU AI Act sorgt dafür, dass Mitarbeiter seltener fahrlässige Entscheidungen treffen. Im Schadensfall ist der Arbeitgeber besser gestellt, wenn er die Schulung dokumentieren kann.
Die Validierungspflicht sollte ausdrücklich in der Richtlinie verankert sein: Jeder KI-Output wird durch einen Menschen geprüft, bevor er in Entscheidungen einfließt oder das Unternehmen verlässt.
Zusätzlich sollten Sie Ihre Berufshaftpflicht prüfen. Viele Standardverträge schließen "wissentliche Pflichtverletzungen" aus. Wenn Sie KI ohne Validierung einsetzen und das in der Versicherungsanmeldung verschwiegen haben, kann der Versicherer den Schaden ablehnen. Sprechen Sie mit Ihrem Versicherungsmakler über eine ausdrückliche Klausel zur KI-Nutzung.
Die geplante EU-Richtlinie zur KI-Haftung
Parallel zum AI Act diskutiert die EU eine eigene Richtlinie zur außervertraglichen Haftung für KI-Systeme (KI-Haftungsrichtlinie). Ziel ist es, Geschädigten den Nachweis zu erleichtern, dass ein Schaden durch ein KI-System verursacht wurde. Drei Kernpunkte sind in der Diskussion.
Die Beweiserleichterung: Wer durch ein KI-System geschädigt wurde, soll Zugang zu technischen Informationen über das System bekommen, ohne diese vor Gericht erst aufwendig erstreiten zu müssen. Vermutungsregeln: Wenn ein Anbieter oder Betreiber gegen Pflichten aus dem AI Act verstößt, kann das eine widerlegbare Vermutung des Verschuldens auslösen. Das verschiebt die Beweislast deutlich zulasten des Unternehmens. Die Dokumentationspflicht: Hochrisiko-Systeme müssen so dokumentiert sein, dass eine Schadenursache nachvollziehbar ist. Wer keine Dokumentation hat, kann sich nicht entlasten.
Ob und wann die Richtlinie verabschiedet wird, war zum Stand April 2026 noch offen. Die Diskussion zeigt aber die politische Richtung: KI-Haftung wird eher strenger als laxer. Wer heute schon dokumentiert, schult und Validierungspflichten ernst nimmt, ist auch für die kommenden Jahre gut aufgestellt. Wer heute schludert, sammelt Versäumnisse, die später teuer werden können.
Häufige Fragen
Kann ich als Geschäftsführer persönlich haften, wenn ein Mitarbeiter mit KI einen Fehler macht?
Bei kleinen Schäden in der Regel nicht. Bei groben Pflichtverletzungen, etwa wenn keine Schulung stattgefunden hat oder gegen den AI Act verstoßen wurde, können Geschäftsführer nach den allgemeinen Organhaftungsregeln (§ 43 GmbHG) persönlich in Anspruch genommen werden. Die D&O-Versicherung greift in vielen Fällen, prüfen Sie aber konkret, ob KI-bezogene Schäden mitversichert sind.
Was sagt die EU-Produkthaftungsrichtlinie zur KI?
Die neue EU-Produkthaftungsrichtlinie wurde 2024 modernisiert und schließt KI-Produkte ausdrücklich ein. Das bedeutet: Hersteller von Produkten mit KI-Komponenten haften verschuldensunabhängig für Schäden, wenn das Produkt einen Fehler aufweist. Das betrifft physische Produkte mit KI ebenso wie reine Software-Produkte. Die Umsetzung in nationales Recht läuft.
Wer haftet, wenn ChatGPT eine erfundene Quelle in einer wissenschaftlichen Arbeit zitiert?
Der Verfasser. Die Validierung der Quellen gehört zur wissenschaftlichen Sorgfaltspflicht. Ein Verweis auf "ChatGPT hat das so geschrieben" wird weder vor Gerichten noch vor Hochschulen akzeptiert. Gleiches gilt für alle Berufsgruppen, in denen Output-Validierung Standard ist: Anwälte, Steuerberater, Ärzte, Ingenieure.
Reicht ein Hinweis "KI-generiert" zur Enthaftung?
Nein. Ein Transparenzhinweis erfüllt die Pflicht aus dem EU AI Act, befreit aber nicht von der inhaltlichen Verantwortung für den Output. Wer einen Vertrag von einer KI generieren lässt und ihn ungeprüft an einen Kunden weitergibt, haftet für den Inhalt, auch wenn die Quelle benannt ist.
Was passiert, wenn ein Mitarbeiter trotz Schulung gegen die KI-Richtlinie verstößt?
Das ist arbeitsrechtlich relevant. Bei einem ersten Verstoß ist eine Abmahnung üblich, bei wiederholten oder groben Verstößen sind weitere arbeitsrechtliche Konsequenzen möglich. Die Schulung und die Richtlinie müssen tatsächlich stattgefunden haben und nachweisbar sein. Sonst lässt sich der Verstoß nicht belegen.
Gibt es spezielle KI-Versicherungen für Unternehmen?
Der Markt wächst. Einige Industrieversicherer bieten 2026 KI-spezifische Bausteine an, die Vermögensschäden durch fehlerhafte KI-Entscheidungen abdecken. Die Bedingungen variieren stark, prüfen Sie konkret, was eingeschlossen ist und welche Ausschlüsse gelten. Eine generische Cyber-Versicherung deckt KI-Risiken in der Regel nicht vollständig ab.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.