Haftung beim Einsatz von Künstlicher Intelligenz: Was Unternehmen jetzt wissen müssen

Im deutschen Recht gilt grundsätzlich das Prinzip, dass nur natürliche oder juristische Personen Träger von Rechten und Pflichten sein können. KI ist bislang kein Rechtssubjekt. Die zunehmende Integration von Künstlicher Intelligenz (KI) in digitale Produkte, Plattformen und Dienstleistungen wirft zentrale rechtliche Fragen auf, insbesondere zur Haftung.

Wer haftet, wenn KI einen Schaden verursacht? Die Rechtslage ist komplex und im Wandel.

Haftung nach BGB und Produkthaftungsgesetz

Im Bürgerlichen Gesetzbuch (BGB) existieren derzeit keine speziellen Regelungen zur Haftung für KI, es gelten die allgemeinen zivilrechtlichen Haftungsgrundsätze (§§ 280 ff. BGB, Deliktsrecht). Der Verwender der KI, etwa ein Unternehmen oder Plattformanbieter haftet daher für Fehler oder Schäden, die durch den Einsatz der KI entstehen. Gleiches gilt für vertragliche Pflichtverletzungen, wenn z. B. ein KI-generiertes Ergebnis mangelhaft ist oder vertraglich zugesicherte Funktionen fehlen.

Haftungsausschlüsse per Disclaimer wie „Wir haften nicht für durch KI verursachte Fehler“ sind unwirksam, wenn sie grundlegende gesetzliche Haftungspflichten einschränken wollen.

Strenge Regeln für "fehlerhafte" digitale Produkte

Das Produkthaftungsgesetz (ProdHaftG) gewährt dem Verbraucher verschuldensunabhängigen Schadensersatz bei fehlerhaften Produkten. Anders als im BGB muss der Geschädigte hier kein Verschulden des Herstellers nachweisen.

Voraussetzungen für eine Produkthaftung:

• Das Produkt ist fehlerhaft. Das heißt es bietet nicht die Sicherheit, die man berechtigterweise erwarten kann.

• Es entsteht ein Personenschaden (Sachschäden an gewerblich genutzten Gegenständen sind ausgeschlossen).

• Kausalzusammenhang zwischen Produktfehler und Schaden.

  
  

Ob reine Software oder KI-Anwendungen derzeit als „Produkt“ i.S.d. § 2 ProdHaftG gelten, war bis vor kurzem nicht abschließend geklärt. Eine analoge Anwendung wird von der Rechtsprechung bisher zurückhaltend beurteilt. Dies ändert sich jetzt mit der neuen Produkthaftungsrechtlinie 2024/2853.

Neues EU-Recht: Produkthaftungsrichtlinie 2024/2853 gilt seit Dezember 2024

Am 8. Dezember 2024 ist die neue EU-Produkthaftungsrichtlinie (2024/2853) in Kraft getreten. Sie ersetzt die Richtlinie aus 1985 und muss bis Dezember 2026 in nationales Recht umgesetzt werden. Sie bringt eine erhebliche Erweiterung des Haftungsrahmens für digitale Produkte mit sich.

Wesentliche Neuerungen im Überblick:

• Die Definition „Produkt“ wird ausdrücklich auf Software, KI-Systeme, digitale Dienste sowie Software-Updates erweitert.

• Auch “vernetzte” Produkte wie Smart-Home-Systeme, Drohnen oder Roboter fallen unter die Richtlinie.

• Erweiterter Kreis der Verantwortlichen: Nicht nur Hersteller, sondern auch deren Bevollmächtigte, Softwareentwickler, Fulfillment-Dienstleister und unter engen Voraussetzungen sogar Online-Händler können haftbar gemacht werden.

• Unternehmen, die ein Produkt wesentlich verändern (z. B. durch das Integrieren eigener KI), gelten künftig als Hersteller mit entsprechender Haftung.

• Die Durchsetzung von Schadensersatzansprüchen für Verbraucher wird deutlich erleichtert.

• Zeitpunkt für das Vorliegen eines Produktfehlers:

  • Es ist nicht mehr nur das Inverkehrbringen entscheidend, ob das Produkt fehlerhaft ist. Der Zeitpunkt der Inbetriebnahme, ab dem das Produkt nicht mehr unter Kontrolle des Herstellers steht oder sicherheitsbezogene Maßnahmen, sind relevant.

• Schadensbegriff: Verlust und Beschädigung privater Daten, die nicht ausschließlich für berufliche Zwecke verwendet werden, sind jetzt inbegriffen.

• Verjährungsfristen sind in bestimmten Fällen anders

• Offenlegungspflicht: Wenn eine Person nachweisen kann, dass ihr Schadensersatzanspruch plausibel ist, können Gerichte anordnen, dass die gegnerische Seite wichtige Beweise herausgeben muss.

  
  

Ergebnis: Die neue Richtlinie stellt sicher, dass KI-Produkte nicht länger rechtlich in einem Graubereich befinden. Unternehmen müssen sich auf eine breitere Haftung und verschärfte Anforderungen an die Produktsicherheit einstellen.

Und was ist mit einer speziellen KI-Haftungsregelung?

Eine ursprünglich geplante EU-Richtlinie über die außervertragliche Haftung für KI-Systeme sollte klare Regeln für Schadensersatzansprüche schaffen, insbesondere bei schwer nachweisbarem Verschulden. Diese sollte das bestehende Deliktsrecht um beweisbezogene Maßnahmen zugunsten etwaiger von Künstlicher Intelligenz Geschädigter ergänzen. Der Entwurf sah vor, dass Opfer von KI-Schäden unabhängig davon, ob sie Verbraucher, Unternehmen oder Behörden sind, erleichtert Ansprüche geltend machen können.

Allerdings hat die neue EU-Kommission diese Richtlinie im aktuellen Arbeitsprogramm zurückgezogen. Damit bleibt eine zentrale Regelungslücke bestehen. Die Frage, wie sich fehlerhafte KI in der außervertraglichen Haftung rechtssicher einordnen lässt, bleibt vorerst offen.

Fazit: Unternehmen haften - KI ist nicht selbst verantwortlich.

Unternehmen, die KI-Systeme einsetzen, sei es für die Texte, Bilder, Entscheidungen oder automatisierte Dienstleistungen, haften zivilrechtlich für die Nutzung von KI. Das umfasst auch die Verantwortung für KI-generierte Inhalte, etwa im Rahmen von Marketing, Kundenservice oder Diagnosesystemen.

Hersteller wiederum haften im Rahmen der allgemeinen Mängelgewährleistung für die Einhaltung der vertraglich vereinbarten Eigenschaften sowie für die Sicherheit der KI. Sobald das neue Produkthaftungsrecht umgesetzt ist, wird diese Haftung deutlich verschärft und auf neue Akteure ausgeweitet.

Dabei ist es rechtlich durchaus gerechtfertigt, Menschen oder Unternehmen für Entscheidungen haftbar zu machen, auch wenn sie die genaue Funktionsweise der KI nicht vollständig verstehen. Das Recht verlangt kein technisches Detailwissen, sondern ein verantwortungsvolles Risikomanagement: Die Auswahl geeigneter Systeme, ausreichende Tests, laufende Kontrolle sowie Maßnahmen zur Fehlervermeidung. Wer wirtschaftlichen Nutzen aus KI zieht, muss auch für deren Risiken einstehen.

Meine persönliche Einschätzung: Unternehmen sollten zeitnah ihre Vertragsgestaltung, IT-Sicherheitsstandards und interne Risikomanagementprozesse frühzeitig auf die kommende Rechtslage anpassen und gegebenenfalls juristische Unterstützung anfordern. Es ist weiterhin wichtig den Überblick über möglichen neuen Gesetzen Ausschau zu halten.

Die Inhalte dieses Beitrags dienen ausschließlich allgemeinen Informationszwecken und stellen keine Rechtsberatung dar. 

Recht logisch: KI trifft Gesetz ist eine Reihe von PANTA, in der Sara Farahmand-Nejad, KI Fellow bei PANTA und angehende Juristin, die Rechtsfragen rund um Künstliche Intelligenz verständlich einordnet. Es geht um Haftung und Verantwortung, Datenschutz und Urheberrecht, um verschobene Normen, neue Grauzonen und anstehende Regulierung. Klar, kompakt, praxisnah: Was gilt, was kommt und was das für Unternehmen, Verwaltung und Alltag bedeutet.