KI und Haftung: Wer haftet wenn die KI einen Fehler macht?

Q: Brauche ich eine spezielle KI-Versicherung?

Eine gesonderte KI-Versicherung gibt es als eigenständiges Produkt noch kaum. Prüfen Sie stattdessen, ob Ihre bestehenden Versicherungen (Betriebshaftpflicht, Berufshaftpflicht, D&O) KI-bedingte Schäden abdecken. Fragen Sie Ihren Versicherer explizit nach der Deckung bei automatisierten Entscheidungen.

Künstliche Intelligenz trifft in deutschen Unternehmen bereits täglich Entscheidungen: Sie bewertet Bewerbungen, erstellt Angebote, steuert Produktionsprozesse und berät Kunden. Doch was passiert, wenn die KI einen Fehler macht? Wenn ein automatisierter Chatbot falsche Vertragsauskünfte gibt, ein Recruiting-Tool qualifizierte Bewerber aussortiert oder eine fehlerhafte Empfehlung finanziellen Schaden verursacht?

Die Antwort ist für viele Unternehmen ernüchternd: Sie selbst haften. Nicht der KI-Anbieter, nicht der Algorithmus. In den meisten Fällen trifft die Verantwortung das Unternehmen, das die KI einsetzt. Dieser Artikel erklärt die aktuelle Rechtslage, zeigt konkrete Haftungsszenarien und beschreibt fünf Maßnahmen, mit denen Sie das Risiko systematisch reduzieren.

Das Wichtigste in Kürze

KI hat keine Rechtspersönlichkeit. Das Unternehmen, das die KI einsetzt, haftet nach deutschem Recht für deren Fehler.
Ab August 2026 gelten die zentralen Vorschriften des EU AI Act. Verstöße bei Hochrisiko-KI-Systemen können mit bis zu 35 Millionen Euro Bußgeld bestraft werden.
Die neue EU-Produkthaftungsrichtlinie (RL 2024/2853) stuft Software und KI-Systeme erstmals als "Produkte" ein. Sie muss bis Dezember 2026 in deutsches Recht umgesetzt werden.
KI im Recruiting ist besonders riskant: Das AGG verbietet Diskriminierung unabhängig davon, ob ein Mensch oder eine Maschine entscheidet. Bei KI-Bias kann sich die Beweislast umkehren.
Human-in-the-Loop ist die wirksamste Risikominimierung: Keine KI-Entscheidung ohne menschliche Kontrolle in sensiblen Bereichen.

Sie möchten KI sicher im Unternehmen einsetzen? Unser kostenloser KI-Schnupperkurs zeigt in 90 Minuten, wie Sie KI-Risiken erkennen und Compliance-Anforderungen praktisch umsetzen.

Drei Haftungsszenarien aus der Praxis

Szenario 1: Falsche KI-Empfehlung mit finanziellem Schaden

Ein Finanzdienstleister nutzt ein KI-System zur Anlageberatung. Das System empfiehlt einem Kunden eine Investition, die auf fehlerhaften Daten basiert. Der Kunde verliert 50.000 Euro.

Rechtliche Einordnung: Der Finanzdienstleister haftet nach § 280 BGB (Verletzung einer vertraglichen Pflicht) und potenziell nach § 823 Abs. 1 BGB (deliktische Haftung). Dass die fehlerhafte Empfehlung von einem Algorithmus und nicht von einem Mitarbeiter stammt, ändert daran nichts. Wer KI als Werkzeug einsetzt, muss sicherstellen, dass die Ergebnisse korrekt sind.

Szenario 2: Diskriminierendes KI-Recruiting

Ein mittelständisches Unternehmen filtert Bewerbungen mit einer KI-Software vor. Das System wurde mit historischen Einstellungsdaten trainiert, in denen bestimmte Gruppen unterrepräsentiert waren. In der Folge werden Bewerber aufgrund von Geschlecht, Alter oder ethnischer Herkunft systematisch benachteiligt.

Rechtliche Einordnung: Das Allgemeine Gleichbehandlungsgesetz (AGG) verbietet Diskriminierung im Bewerbungsprozess. § 7 AGG gilt unabhängig davon, ob ein Mensch oder ein Algorithmus die Entscheidung trifft. Der bekannte Fall des Amazon-Recruiting-Tools, das Frauen systematisch benachteiligte, zeigt das Risiko: Das System hatte aus historischen Daten gelernt, dass Männer bevorzugt eingestellt wurden, und reproduzierte dieses Muster.

Besonders kritisch: Bei einem begründeten Verdacht auf Diskriminierung kehrt sich die Beweislast um (§ 22 AGG). Dann muss das Unternehmen beweisen, dass keine Benachteiligung stattgefunden hat. Bei intransparenten KI-Systemen kann das praktisch unmöglich sein.

Szenario 3: Fehlerhafte Prozessautomatisierung

Ein E-Commerce-Unternehmen setzt einen KI-gesteuerten Chatbot im Kundenservice ein. Der Chatbot gibt einem Kunden verbindliche Zusagen zu Rückgabebedingungen, die von den tatsächlichen AGB abweichen. Der Kunde beruft sich auf die Zusage.

Rechtliche Einordnung: Die Willenserklärung des Chatbots wird dem Unternehmen zugerechnet. Nach der herrschenden juristischen Einordnung handelt es sich bei automatisierten Erklärungen um sogenannte Computererklärungen, die dem Betreiber als eigene Willenserklärung zugerechnet werden. Das Unternehmen ist an die Zusage gebunden, auch wenn sie fehlerhaft war.

Geltendes Recht: So ist die Haftung aktuell geregelt

BGB: Die Grundlage

Das deutsche Bürgerliche Gesetzbuch kennt keine speziellen KI-Haftungsregeln. Es gelten die allgemeinen Vorschriften:

§ 823 Abs. 1 BGB (Deliktische Haftung): Wer vorsätzlich oder fahrlässig das Eigentum, die Gesundheit oder ein sonstiges Recht eines anderen verletzt, ist zum Schadensersatz verpflichtet. Beim Einsatz von KI bedeutet das: Das Unternehmen muss die KI-Ergebnisse kontrollieren.
§ 280 BGB (Vertragliche Haftung): Wer seine vertraglichen Pflichten verletzt, haftet für den daraus entstehenden Schaden. Wenn ein Unternehmen KI einsetzt, um vertragliche Leistungen zu erbringen, und die KI fehlerhaft arbeitet, haftet das Unternehmen wie bei eigenem Verschulden.
§ 831 BGB (Haftung für Verrichtungsgehilfen): Obwohl eine KI kein "Verrichtungsgehilfe" im klassischen Sinne ist, ziehen Juristen zunehmend Parallelen. Wer ein KI-System einsetzt, hat vergleichbare Auswahl-, Überwachungs- und Kontrollpflichten wie gegenüber einem Mitarbeiter.

Die neue EU-Produkthaftungsrichtlinie (RL 2024/2853)

Am 8. Dezember 2024 ist die neue EU-Produkthaftungsrichtlinie in Kraft getreten. Sie ersetzt die fast 40 Jahre alte Vorgängerrichtlinie und bringt eine entscheidende Neuerung: Software, einschließlich KI-Systeme, gilt erstmals als "Produkt" im Sinne des Produkthaftungsrechts.

Das bedeutet: Hersteller von KI-Software haften verschuldensunabhängig für Schäden, die durch fehlerhafte KI verursacht werden. Die Richtlinie muss bis zum 9. Dezember 2026 in deutsches Recht umgesetzt werden. Für Unternehmen, die KI einsetzen, hat das zwei Konsequenzen:

Rückgriffsansprüche gegen KI-Hersteller werden einfacher durchsetzbar.
Unternehmen, die KI-Systeme modifizieren oder in eigene Produkte integrieren, können selbst als "Hersteller" eingestuft werden und verschuldensunabhängig haften.

EU AI Act: Neue Pflichten ab August 2026

Am 2. August 2026 treten die zentralen Vorschriften des EU AI Act in Kraft. Der AI Act teilt KI-Systeme in Risikoklassen ein:

Risikostufe	Beispiele	Pflichten
Unannehmbares Risiko	Social Scoring, manipulative KI	Verboten
Hohes Risiko	KI im Recruiting, Kreditwürdigkeit, medizinische Diagnostik	Risikomanagementsystem, Datenverwaltung, Transparenzpflichten, menschliche Aufsicht
Begrenztes Risiko	Chatbots, Deepfake-Generierung	Transparenzpflichten (Kennzeichnung als KI)
Minimales Risiko	Spam-Filter, KI-Textverarbeitung	Keine besonderen Pflichten

Bußgelder: Verstöße gegen die Vorschriften für Hochrisiko-KI-Systeme können mit bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bestraft werden.

Wichtig: Die geplante EU-KI-Haftungsrichtlinie (AI Liability Directive), die eine Beweislasterleichterung für Geschädigte bei KI-Schäden vorsah, wurde von der EU-Kommission im Februar 2025 zurückgezogen. Eine Einigung war nicht absehbar. Das bedeutet: Geschädigte müssen bei außervertraglichen Ansprüchen weiterhin nach den allgemeinen Regeln beweisen, dass die KI den Schaden verursacht hat.

Urheberrecht bei KI-generierten Inhalten

Wenn Ihr Unternehmen KI nutzt, um Texte, Bilder oder andere Inhalte zu erstellen, stellen sich zwei urheberrechtliche Fragen:

1. Sind KI-generierte Inhalte urheberrechtlich geschützt?
Nach deutschem Recht grundsätzlich nicht. Das Urheberrechtsgesetz (UrhG) schützt nur "persönliche geistige Schöpfungen" eines Menschen (§ 2 UrhG). Rein KI-generierte Inhalte ohne wesentliche menschliche kreative Leistung sind nicht schutzfähig. Das bedeutet: Ihre Wettbewerber dürfen KI-generierte Texte Ihres Unternehmens grundsätzlich kopieren, ohne gegen das Urheberrecht zu verstoßen.

2. Können KI-generierte Inhalte fremdes Urheberrecht verletzen?
Ja. Das LG München I hat am 11. November 2025 (Az. 42 O 14139/24) in einem richtungsweisenden Urteil entschieden, dass KI-Betreiber für Urheberrechtsverletzungen haften können, wenn ihre Systeme geschützte Werke reproduzieren. In diesem Fall hatte die GEMA geklagt, weil GPT-4 Liedtexte nahezu originalgetreu wiedergab.

Für Unternehmen heißt das: Prüfen Sie KI-generierte Inhalte vor der Veröffentlichung auf Ähnlichkeit mit bestehenden Werken. Dies gilt besonders für Marketing-Texte, Produktbeschreibungen und Grafiken.

5 Maßnahmen zur Risikominimierung

1. Human-in-the-Loop als Standard etablieren

Die wirksamste Maßnahme gegen KI-Haftungsrisiken: Keine automatisierte KI-Entscheidung in sensiblen Bereichen ohne menschliche Kontrolle. Das betrifft insbesondere:

Personalentscheidungen (Einstellung, Kündigung, Beförderung)
Finanzielle Zusagen an Kunden
Vertragliche Erklärungen
Medizinische oder sicherheitsrelevante Empfehlungen

Definieren Sie klar, welche KI-Prozesse vollautomatisch laufen dürfen und welche eine menschliche Freigabe erfordern. Dokumentieren Sie diese Entscheidung schriftlich.

2. KI-Richtlinie für Ihr Unternehmen erstellen

Eine interne KI-Richtlinie ist nicht nur Best Practice, sondern unter dem EU AI Act für Hochrisiko-KI-Systeme sogar Pflicht. Die Richtlinie sollte mindestens regeln:

Welche KI-Systeme im Unternehmen eingesetzt werden
Wer für die Überwachung jedes Systems verantwortlich ist
Welche Daten in KI-Systeme eingegeben werden dürfen
Wie KI-Ergebnisse vor der Verwendung geprüft werden
Wie Fehler dokumentiert und eskaliert werden

3. Bias-Audits für KI im Personalbereich durchführen

Wenn Ihr Unternehmen KI im Recruiting oder in der Personalentwicklung einsetzt, sind regelmäßige Bias-Audits unerlässlich. Prüfen Sie:

Werden bestimmte Altersgruppen, Geschlechter oder Herkunftsgruppen systematisch anders bewertet?
Korrelieren scheinbar neutrale Kriterien (Wohnort, Studiengang, Lücken im Lebenslauf) mit geschützten Merkmalen?
Wie verändert sich die Entscheidungsverteilung über die Zeit?

Der EU AI Act stuft KI-Systeme im Bereich Beschäftigung und Personalmanagement als Hochrisiko-KI ein. Das bedeutet: Ab August 2026 gelten verschärfte Anforderungen an Dokumentation, Transparenz und menschliche Aufsicht.

4. Vertragliche Absicherung mit KI-Anbietern

Prüfen Sie die Verträge mit Ihren KI-Anbietern auf folgende Punkte:

Haftungsklauseln: Viele KI-Anbieter schließen die Haftung für fehlerhafte Ergebnisse in ihren AGB aus. Verhandeln Sie angemessene Haftungsregelungen.
Datenschutz: Stellen Sie sicher, dass ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen ist.
Transparenz: Fordern Sie Informationen über die Funktionsweise des KI-Systems, die verwendeten Trainingsdaten und bekannte Limitierungen.
Updates und Wartung: Klären Sie, wer für die Aktualisierung des KI-Systems verantwortlich ist und wie bekannte Fehler behoben werden.

5. Dokumentation und Risikoanalyse aufbauen

Dokumentieren Sie den Einsatz von KI-Systemen systematisch. Das schützt Sie nicht nur im Haftungsfall, sondern ist unter dem EU AI Act für Hochrisiko-Systeme verpflichtend. Ihre Dokumentation sollte umfassen:

Welche KI-Systeme werden eingesetzt (Name, Version, Anbieter)?
Für welche Aufgaben werden sie verwendet?
Welche Risiken wurden identifiziert und wie werden sie behandelt?
Wer ist intern verantwortlich?
Welche Vorfälle gab es und wie wurden sie gelöst?

Praxis-Tipp: Beginnen Sie mit einer einfachen Tabelle, in der Sie alle KI-Systeme im Unternehmen erfassen. Bewerten Sie jedes System nach Risikoklasse (EU AI Act) und definieren Sie für jedes System einen Verantwortlichen und einen Prüfprozess.

Häufige Fragen

Haftet der KI-Anbieter oder das Unternehmen, das die KI einsetzt?

In der Regel haftet das Unternehmen, das die KI einsetzt, gegenüber dem Geschädigten. Rückgriffsansprüche gegen den KI-Anbieter sind möglich, hängen aber von der Vertragsgestaltung ab. Ab Dezember 2026 wird die neue Produkthaftungsrichtlinie die Position von Geschädigten gegenüber KI-Herstellern stärken.

Brauche ich eine spezielle KI-Versicherung?

Eine gesonderte "KI-Versicherung" gibt es als eigenständiges Produkt noch kaum. Prüfen Sie stattdessen, ob Ihre bestehenden Versicherungen (Betriebshaftpflicht, Berufshaftpflicht, D&O) KI-bedingte Schäden abdecken. Fragen Sie Ihren Versicherer explizit nach der Deckung bei automatisierten Entscheidungen.

Was bedeutet der EU AI Act konkret für mein KMU?

Wenn Sie KI nur für Routineaufgaben einsetzen (Textverarbeitung, E-Mail-Assistenz, Terminplanung), fällt das in die Kategorie "minimales Risiko" und es gelten keine besonderen Pflichten. Sobald Sie KI im Personalbereich, bei Kreditentscheidungen oder in sicherheitsrelevanten Bereichen einsetzen, gelten die Anforderungen für Hochrisiko-KI.

Können KI-Halluzinationen zu Haftungsansprüchen führen?

Ja. Wenn ein KI-System falsche Informationen generiert und ein Dritter dadurch einen Schaden erleidet, kann das Unternehmen haften, das die KI eingesetzt hat. Das gilt besonders, wenn die KI-Ausgabe ohne menschliche Prüfung an den Kunden weitergegeben wurde.

Fazit: KI-Haftung ist kein Zukunftsthema

Die Rechtslage ist klar: Unternehmen haften für die Fehler ihrer KI-Systeme. Mit dem EU AI Act, der neuen Produkthaftungsrichtlinie und dem bestehenden deutschen Recht verdichtet sich der regulatorische Rahmen. Wer KI einsetzt, braucht klare Prozesse, dokumentierte Verantwortlichkeiten und menschliche Kontrolle in sensiblen Bereichen.

Die gute Nachricht: Die meisten Risiken lassen sich mit überschaubarem Aufwand beherrschen. Eine interne KI-Richtlinie, Human-in-the-Loop-Prozesse und regelmäßige Prüfungen sind keine Raketenwissenschaft. Sie sind solides Handwerk.

KI sicher einsetzen lernen?

In unserem kostenlosen KI-Schnupperkurs lernen Sie in 90 Minuten die wichtigsten Grundlagen: von Haftungsrisiken über den EU AI Act bis zu praktischen Compliance-Maßnahmen.

Kostenlos teilnehmen WhatsApp