Auf einen Blick: Die neue EU-Produkthaftungsrichtlinie (EU) 2024/2853 definiert Software und KI ausdrücklich als Produkt. Für Produkte, die nach dem 09.12.2026 in Verkehr kommen, haftet der Hersteller verschuldensunabhängig für Schäden durch fehlerhafte Software, einschließlich Fehlern durch fortlaufendes Lernen einer KI. Eine eigene KI-Haftungsrichtlinie kam nicht: die EU-Kommission zog sie 2025 zurück. Der Rahmen ist damit Produkthaftung plus KI-Verordnung.
Jahrzehntelang war Software haftungsrechtlich ein Sonderfall. Die alte Produkthaftungsrichtlinie 85/374/EWG aus dem Jahr 1985 dachte in körperlichen Gegenständen: Maschinen, Spielzeug, Kaffeevollautomaten. Code passte nicht ins Schema. Das ändert sich. Mit der Richtlinie (EU) 2024/2853 zieht das EU-Produkthaftungsrecht nach. Software ist jetzt ausdrücklich Produkt, KI-Systeme sind ein Unterfall davon. Für Produkte, die nach dem 09.12.2026 auf den Markt kommen, gilt der neue Rahmen.
Was sich ändert: Software ist jetzt ein Produkt
Die Kernaussage der neuen Richtlinie lässt sich in einem Satz fassen. Software fällt unter die Produkthaftung, und zwar unabhängig davon, in welcher Form sie betrieben wird. Ob ein Programm lokal auf einem Gerät gespeichert ist, aus der Cloud abgerufen wird oder als Software-as-a-Service läuft, ist haftungsrechtlich egal. KI-Systeme gelten als Spezialform von Software und sind damit voll erfasst.
Das ist ein Bruch mit der alten Logik. Unter der Richtlinie 85/374/EWG konnte ein Hersteller von fehlerhafter Software oft argumentieren, sein Code sei kein Produkt im Sinne des Gesetzes, sondern eine Dienstleistung oder ein reines Werk. Diese Tür ist zu. Die Richtlinie (EU) 2024/2853 modernisiert das gesamte EU-Produkthaftungsrecht und löst die Vorgängerregelung ab.
Besonders relevant sind zwei Punkte, die es vorher so nicht gab.
Erstens: der Hersteller kann auch für Fehler haften, die erst durch das fortlaufende Lernen eines KI-Systems nach dem Inverkehrbringen entstehen. Eine KI, die sich im Betrieb selbst anpasst und dabei ein gefährliches Verhalten entwickelt, ist nicht automatisch aus der Haftung des Herstellers entlassen, nur weil der Fehler beim Verkauf noch nicht da war.
Zweitens: fehlende oder mangelhafte Sicherheitsupdates können einen Produktfehler begründen. Wer eine Software vertreibt und bekannte Schwachstellen nicht über Updates schließt, kann genau dafür haften. Das verschiebt die Verantwortung deutlich Richtung Hersteller und über den gesamten Lebenszyklus eines Produkts.
Verschuldensunabhängige Haftung und die neue Beweislast
Die Produkthaftung ist eine Gefährdungshaftung. Das heißt, sie ist verschuldensunabhängig. Es kommt nicht darauf an, ob der Hersteller sorgfältig oder nachlässig war. Es kommt auf zwei Dinge an: war das Produkt fehlerhaft, und ist daraus ein Schaden entstanden. Wenn beides zutrifft, haftet der Hersteller, selbst wenn er alles richtig gemacht zu haben glaubte.
Für KI macht das einen großen Unterschied. Bei klassischer Verschuldenshaftung müsste ein Geschädigter beweisen, dass der Hersteller fahrlässig gehandelt hat. Bei einem komplexen KI-Modell ist das praktisch unmöglich, weil niemand von außen in die Trainingsdaten und Gewichtungen hineinsieht. Die Gefährdungshaftung umgeht dieses Problem, indem sie das Verschulden ganz ausklammert.
Die Richtlinie geht noch einen Schritt weiter und baut Beweislasterleichterungen zugunsten der Geschädigten ein. Das ist der Punkt, an dem viele Hersteller bisher gar nicht denken.
Es gibt eine Offenlegungspflicht für Beweismittel. Ein Geschädigter, der einen plausiblen Anspruch geltend macht, kann verlangen, dass der Hersteller relevante technische Unterlagen offenlegt. Wer sich weigert, riskiert, dass das Gericht den Fehler vermutet. Dazu kommen Vermutungsregeln bei technischer Komplexität: wenn ein Produkt so kompliziert ist, dass der Geschädigte den Fehler nicht nachweisen kann, kann das Gericht den Fehler unter bestimmten Bedingungen als gegeben annehmen.
| Aspekt | Alte Lage (85/374/EWG) | Neue Lage (2024/2853) |
|---|---|---|
| Software als Produkt | umstritten, oft verneint | ausdrücklich ja, inkl. Cloud und SaaS |
| KI-Systeme | nicht geregelt | als Unterfall von Software erfasst |
| Fehler durch Updates und Lernen | nicht adressiert | Hersteller kann haften |
| Beweislast | voll beim Geschädigten | Offenlegungspflichten und Vermutungsregeln |
| Anwendung | körperliche Produkte | Produkte ab 09.12.2026 in Verkehr |
Warum die KI-Haftungsrichtlinie nicht kam
An dieser Stelle entsteht oft Verwirrung, weil zwei verschiedene Vorhaben durcheinandergeraten. Die EU-Kommission hatte 2022 zwei Gesetzgebungsprojekte gestartet: die Modernisierung der Produkthaftung (das wurde die Richtlinie 2024/2853) und eine eigene KI-Haftungsrichtlinie, die sogenannte AI Liability Directive. Letztere sollte speziell die zivilrechtliche Haftung für KI-Schäden regeln.
Die KI-Haftungsrichtlinie ist nicht in Kraft. Die EU-Kommission hat den Vorschlag von 2022 im Arbeitsprogramm 2025 zurückgezogen. Stand Mai 2026 gibt es keine KI-spezifische Haftungsrichtlinie auf EU-Ebene. Wer in einem Beitrag oder einer Beratung liest, die KI-Haftungsrichtlinie verpflichte jetzt zu irgendetwas, liegt schlicht falsch.
Was bedeutet das praktisch? Der Haftungsrahmen für KI in Europa besteht aus zwei Bausteinen, nicht aus drei. Die neue Produkthaftungsrichtlinie 2024/2853 regelt, wer für fehlerhafte KI-Produkte einsteht. Die KI-Verordnung (EU) 2024/1689 regelt, welche Pflichten Anbieter und Betreiber im Vorfeld erfüllen müssen, damit das System überhaupt rechtmäßig auf den Markt kommt. Beide greifen ineinander, ersetzen sich aber nicht.
Die Produkthaftung sorgt für die nachgelagerte Verantwortung, wenn doch etwas schiefgeht. Die KI-Verordnung ist die vorgelagerte Compliance, die solche Schäden verhindern soll. Zusammen bilden sie das, was vorher die KI-Haftungsrichtlinie hätte ergänzen sollen.
Was das für KMU-Betreiber bedeutet
Die gute Nachricht für die meisten Mittelständler: die verschuldensunabhängige Produkthaftung trifft primär den Hersteller des KI-Produkts. Wer eine KI-Funktion einkauft und einsetzt, ist Betreiber und nicht Hersteller. Wenn die eingekaufte KI einen Schaden verursacht, weil sie fehlerhaft war, haftet zunächst derjenige, der sie hergestellt und in Verkehr gebracht hat.
Aber das ist nur die halbe Wahrheit. Die Produkthaftung schließt eine eigene zivilrechtliche Haftung des Betreibers nicht aus. Wer eine KI fehlerhaft nutzt, etwa entgegen der Bedienungsanleitung, ohne die nach Art. 26 KI-VO geforderte menschliche Aufsicht oder mit ungeeigneten Eingabedaten, kann nach allgemeinem Schadensersatzrecht selbst in Anspruch genommen werden. Die Produkthaftungsrichtlinie regelt die Hersteller-Seite. Die Betreiber-Seite läuft über das nationale Haftungsrecht weiter.
Wer eine Hochrisiko-KI nach der KI-Verordnung einsetzt, hat ohnehin Betreiberpflichten nach Art. 26 KI-VO: Bedienungsanleitung befolgen, menschliche Aufsicht sicherstellen, Eingabedaten kontrollieren, Logs aufbewahren, Betroffene informieren. Verletzt ein Betreiber diese Pflichten und entsteht dadurch ein Schaden, verlagert sich die Verantwortung in seine Richtung. Die Produkthaftung des Herstellers bleibt davon unberührt, aber sie schützt den Betreiber nicht vor seiner eigenen Sorgfaltspflicht.
In der Praxis sehen wir, dass diese Doppelstruktur unterschätzt wird. Viele Geschäftsführer gehen davon aus, dass mit dem Einkauf einer Software die Haftung beim Verkäufer liegt. Bei sauberer Nutzung stimmt das auch weitgehend. Bei nachlässiger Nutzung nicht.
Praxis: die Steuerkanzlei Weidemann und ihr KI-Belegmodul
Ein konkretes Beispiel. Die Steuerkanzlei Weidemann und Partner in Erfurt, 28 Mitarbeiter, will 2026 ein KI-gestütztes Belegerkennungs-Modul einführen. Die Software liest eingescannte Rechnungen aus, ordnet sie Buchungskonten zu und schlägt die Verbuchung vor. Eingekauft wird das Modul als Cloud-Lösung von einem mittelständischen Software-Haus aus Leipzig.
Der Kanzleichef stolpert über eine einfache Frage: wenn die KI einen Beleg falsch zuordnet und dadurch beim Mandanten ein Steuerschaden entsteht, wer zahlt? Vor der neuen Richtlinie hätte er sich auf den Standpunkt stellen können, das sei reine Software, also Dienstleistung, und die Haftung sei vertraglich geregelt. Mit der Richtlinie 2024/2853 ist klar: das Belegmodul ist ein Produkt, und der Hersteller in Leipzig haftet verschuldensunabhängig für Produktfehler ab dem 09.12.2026.
Trotzdem ist Weidemann nicht aus dem Schneider. Eine Steuerkanzlei hat eine eigene berufsrechtliche Sorgfaltspflicht. Wenn die KI einen Vorschlag macht und ein Mitarbeiter ihn ungeprüft übernimmt, obwohl der Fehler erkennbar war, liegt darin ein eigenes Verschulden der Kanzlei. Die Produkthaftung des Software-Hauses ändert daran nichts. Genau deshalb formuliert Weidemann eine interne Regel: jeder KI-Vorschlag oberhalb eines bestimmten Betrags wird von einem Mitarbeiter gegengeprüft, und diese Prüfung wird dokumentiert.
Zusätzlich nimmt die Kanzlei den Vertrag mit dem Software-Haus genauer unter die Lupe. Drei Dinge will sie schriftlich: eine klare Gewährleistung für die Erkennungsgenauigkeit, eine Zusage über Sicherheits- und Modell-Updates über die gesamte Laufzeit, und einen Nachweis, dass der Anbieter die Pflichten der KI-Verordnung erfüllt. Das Software-Haus liefert. Damit hat Weidemann sowohl die Hersteller-Haftung abgesichert als auch die eigene Sorgfaltspflicht erfüllt.
Praktische Konsequenz: der Vertrag wird zum Hebel
Hier liegt die eigentliche Verschiebung, und sie ist größer, als die meisten Betriebe ahnen. Solange Software haftungsrechtlich im Niemandsland lag, war der Vertrag mit dem Anbieter oft eine Formsache. Man unterschrieb die AGB und hoffte, dass nichts passiert. Das funktioniert nicht mehr.
Wenn der Hersteller jetzt verschuldensunabhängig haftet und der Betreiber seine eigene Sorgfaltspflicht hat, wird der Beschaffungsvertrag zum zentralen Steuerungsinstrument. Wir halten das für die wichtigste praktische Lehre aus der neuen Richtlinie. Wer eine KI-Software einkauft, sollte vier Punkte vertraglich klären, bevor er unterschreibt.
Erstens die Gewährleistung: was sagt der Anbieter über Funktion, Genauigkeit und Grenzen seines Systems verbindlich zu? Allgemeine Marketing-Aussagen reichen nicht.
Zweitens die Haftungsklauseln: wie ist die Haftung zwischen Anbieter und Betreiber verteilt, und welche Haftungsbeschränkungen versucht der Anbieter durchzusetzen? Manche Klauseln sind nach der neuen Rechtslage gegenüber der gesetzlichen Produkthaftung gar nicht wirksam, aber im B2B-Verhältnis gibt es Spielraum, den man kennen muss.
Drittens die Update-Zusagen: über welchen Zeitraum verpflichtet sich der Anbieter zu Sicherheits- und Modell-Updates? Da fehlende Updates jetzt einen Produktfehler begründen können, ist diese Zusage haftungsrechtlich Gold wert.
Viertens die Anbieter-Compliance: kann der Anbieter belegen, dass er die Anforderungen der KI-Verordnung erfüllt? Bei Hochrisiko-KI gehört das technische Dossier ins Lastenheft. Diese vorgelagerte Compliance steht in direktem Zusammenhang mit der KI-Kompetenzpflicht nach Art. 4 KI-VO, die seit dem 02.02.2025 in Kraft ist und von Anbietern wie Betreibern ausreichende KI-Kenntnisse verlangt. Ein Anbieter, der seine eigenen Compliance-Pflichten nicht im Griff hat, liefert ein Warnsignal für die Produktqualität insgesamt.
Zeitachse und was jetzt zu tun ist
Die Umsetzungsfrist ist klar. Die Mitgliedstaaten müssen die Richtlinie (EU) 2024/2853 bis zum 09.12.2026 in nationales Recht umsetzen. Sie gilt für Produkte, die nach diesem Datum in Verkehr gebracht oder in Betrieb genommen werden. Für Software, die bereits vorher im Einsatz ist, greift die alte Rechtslage weiter, aber spätestens beim nächsten Versions- oder Anbieterwechsel landet man im neuen Regime.
Das Datum klingt weit weg, ist es aber nicht. Verträge, die heute über mehrere Jahre laufen, werden in den neuen Zeitraum hineinreichen. Wer 2026 eine KI-Software für drei Jahre lizenziert, sollte die Haftungs- und Update-Fragen jetzt verhandeln und nicht erst, wenn der Schaden da ist.
Für den Betrieb heißt das konkret zweierlei. Bei laufenden KI-Anwendungen sollte man prüfen, wie die Verträge die Haftung regeln und ob Update-Zusagen drinstehen. Bei neuen Beschaffungen gehören die vier Vertragspunkte ins Standardverfahren. Beides ist kein Großprojekt, sondern eine Frage der Disziplin im Einkauf. Wer es einmal sauber aufsetzt, hat es für alle künftigen KI-Käufe.
Häufige Fragen
Hafte ich als Anwender, wenn meine eingekaufte KI einen Schaden verursacht?
Primär haftet der Hersteller des KI-Produkts verschuldensunabhängig nach der neuen Produkthaftungsrichtlinie 2024/2853, sofern der Schaden auf einen Produktfehler zurückgeht. Deine eigene Haftung als Anwender bleibt aber nach allgemeinem Zivilrecht möglich, wenn Du die KI fehlerhaft nutzt, etwa entgegen der Bedienungsanleitung oder ohne die bei Hochrisiko-KI nach Art. 26 KI-VO geforderte menschliche Aufsicht. Saubere, dokumentierte Nutzung schützt vor dieser eigenen Haftung.
Gilt die Produkthaftung auch für Open-Source-KI?
Das ist differenziert. Die Richtlinie nimmt kostenlose und nicht-kommerzielle Open-Source-Software grundsätzlich aus der Produkthaftung aus, solange sie außerhalb einer Geschäftstätigkeit bereitgestellt wird. Sobald Open-Source-Komponenten aber in ein kommerzielles Produkt integriert und gegen Entgelt vertrieben werden, haftet derjenige, der das fertige Produkt in Verkehr bringt. Wer ein Open-Source-Modell in seine verkaufte Software einbaut, kann also sehr wohl in die Herstellerhaftung rutschen.
Ab wann gilt die neue Produkthaftung für Software konkret?
Die Mitgliedstaaten müssen die Richtlinie bis zum 09.12.2026 in nationales Recht umsetzen. Sie gilt für Produkte, die nach dem 09.12.2026 in Verkehr gebracht oder in Betrieb genommen werden. Für vorher im Einsatz befindliche Software bleibt die alte Rechtslage maßgeblich, bis ein neuer Anbieter, eine neue Version oder ein neuer Vertrag den Wechsel auslöst.
Brauche ich jetzt neue Verträge mit meinen KI-Anbietern?
Komplett neue Verträge nicht zwingend, aber eine Überprüfung lohnt sich. Da der Hersteller verschuldensunabhängig haftet und fehlende Updates einen Produktfehler begründen können, sind klare Gewährleistung, Haftungsverteilung, Update-Zusagen und ein Compliance-Nachweis des Anbieters jetzt deutlich wichtiger. Bei Neubeschaffungen sollten diese vier Punkte zum Standard im Lastenheft gehören. Bei laufenden Verträgen reicht oft eine Ergänzungsvereinbarung.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
30 Minuten Klarheit kosten nichts. Wenn Du KI im Betrieb einsetzt oder überlegst einzusetzen, kommt es nicht auf das Tool an. Es kommt auf die Frage: wo entstehen Risiken, wo Hebel? In 30 Minuten gehen wir Deine konkrete Lage durch und Du weißt, wo Du anfangen solltest. Termin reservieren oder kostenlosen KI-Schnupperkurs starten.
Zuletzt geprüft am 28. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.