Wenn ein Chatbot falsche Rechtsauskünfte gibt oder eine KI-Software fehlerhafte Kreditbewertungen erstellt, können erhebliche Schäden entstehen. Die zentrale Frage lautet daher: Wer haftet für Fehler künstlicher Intelligenz?
Aktuell gibt es kein spezielles KI-Haftungsgesetz. Die KI-Haftung erfolgt über das Bürgerliche Gesetzbuch (BGB), das Produkthaftungsgesetz (ProdHaftG) und seit Dezember 2024 ergänzend über die neue EU-Produkthaftungsrichtlinie (EU 2024/2853), die bis zum 9. Dezember 2026 in deutsches Recht umgesetzt werden muss. Die ursprünglich geplante KI-Haftungsrichtlinie wurde im Februar 2025 zurückgezogen.
Für Unternehmen, Entwickler und Betreiber von KI-Lösungen bedeutet das konkrete Risiken: Was, wenn ein Chatbot fehlerhafte Rechtsberatung gibt, ein KI-Empfehlungssystem finanzielle Schäden durch voreingenommene Vorschläge verursacht oder automatisierte Bonitätsprüfungen zu unrechtmäßigen Ablehnungen führen? Dieser Beitrag bietet einen Überblick über BGB-Haftung, Produkthaftung, neue Beweisregeln, die fehlende KI-Haftungsrichtlinie und Praxisempfehlungen.
Das Wichtigste in Kürze
- Es existiert keine eigenständige KI-Haftung – stattdessen greifen BGB, ProdHaftG und die neue Produkthaftungsrichtlinie
- Software und KI-Systeme gelten künftig ausdrücklich als Produkte im Sinne der Produkthaftung
- Die Beweislast wird für Geschädigte durch Vermutungsregeln erheblich erleichtert
- Die KI-Verordnung (AI Act) schafft Ex-ante-Pflichten, aber keine eigenständigen Schadensersatzansprüche
- Ausschlussfristen verlängern sich auf bis zu 25 Jahre – besonders relevant für lernfähige KI
- Dokumentation und Governance werden zum zentralen Schutzschild für Unternehmen
Wer haftet für KI-Fehler? Geltendes Recht (Stand 2026)
Für Schäden durch künstliche Intelligenz haften in der Regel die verantwortlichen Unternehmen oder Entwickler. Ansprüche können sich aus dem Bürgerlichen Gesetzbuch (BGB), dem Produkthaftungsgesetz sowie aus der neuen EU-Produkthaftungsrichtlinie ergeben. Eine eigenständige KI-Haftung existiert derzeit nicht.
Die drei zentralen Ebenen sind:
- vertragliche Haftung nach BGB bei Verstößen gegen Service Level Agreements oder Lizenzbedingungen
- deliktische Haftung gemäß § 823 BGB bei Eingriffen in geschützte Rechtsgüter wie Leben, Gesundheit oder Eigentum
- erschuldensunabhängige Produkthaftung nach ProdHaftG, die durch die neue Produkthaftungsrichtlinie ergänzt wird
Die KI-Verordnung (KI-VO / AI Act), deren Kernbestimmungen ab August 2026 gelten, regelt primär Ex-ante-Pflichten wie Risikoanalysen, technische Dokumentation und menschliche Aufsicht für Hochrisiko-KI-Systeme. Sie schafft jedoch keine eigenständige Schadensersatzhaftung – Verstöße führen zu Bußgeldern bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes, aber Schadensersatzansprüche bleiben dem BGB und ProdHaftG überlassen.
Typische KI-Schadensszenarien umfassen falsche medizinische Empfehlungen durch diagnostische KI mit Gesundheitsschäden, diskriminierende Kreditentscheidungen unter Verletzung von Antidiskriminierungsnormen oder fehlerhafte automatisierte Rechtsauskünfte mit wirtschaftlichem Schaden.
Haftung nach dem BGB: Vertrag und Delikt im KI-Kontext
Das BGB erwähnt KI nicht ausdrücklich, wird aber analog auf KI-Fälle angewendet.
Im Bereich der vertraglichen Haftung können Anbieter bei mangelhafter Erfüllung von Werkverträgen (§§ 631 ff. BGB), Dienstverträgen (§§ 611 ff. BGB) oder Softwarelizenzen haften. Das betrifft insbesondere SLAs zur Verfügbarkeit oder Genauigkeit von KI-Diensten, etwa wenn ein KI-gestützter Kundensupport systematisch Falschberatung liefert.
Bei der deliktischen Haftung nach § 823 Abs. 1 BGB geht es um die Verletzung absoluter Rechte. Eine KI-gesteuerte Drohne, die Sach- oder Personenschaden verursacht, oder ein Empfehlungssystem, das zu massiver Persönlichkeitsrechtsverletzung führt, sind typische Beispiele.
Das LG Kiel entschied 2024, dass Betreiber von Websites für diffamierende Inhalte einer eingebetteten KI haftbar sind – trotz Haftungsausschlüssen in ihren AGB. Das Gericht bestätigte, dass Betreiber die Verantwortung nicht vollständig an den KI-Anbieter abwälzen können.
Pauschale Haftungsausschlüsse in AGB oder Disclaimern sind bei Verbrauchern gemäß § 309 Nr. 7 BGB regelmäßig unwirksam. Unternehmen, die generative KI einsetzen, sollten dieses Abmahnrisiko ernst nehmen.
Wer haftet praktisch? Rollen in der KI-Wertschöpfungskette
KI selbst besitzt keine Rechtspersönlichkeit, immer haften natürliche oder juristische Personen.
Die zentralen Akteure und ihre typischen Haftungsrisiken sind:
- KI-Hersteller und Entwickler von Basismodellen oder LLMs tragen Risiken für fehlerhafte Trainingsdaten
- Inverkehrbringer und Importeure haften für unsichere Produkte wie KI-gestützte Smart-Home-Geräte
- Integratoren und Betreiber von KI-Plattformen können für Fehler bei der Bereitstellung haften
- Unternehmen, die KI in eigenen Prozessen einsetzen (z. B. HR-Software mit KI), können etwa bei fehlerhaften Entscheidungen durch die KI oder Datenschutzverstößen bei der Verarbeitung personenbezogener Daten haften
- Auch Endnutzer können bei grob fehlerhafter Anwendung in Haftung gezogen werden
Ein praktisches Kaskadenbeispiel: Ein Entwickler liefert eine schlecht trainierte Fraud-Detection-KI, ein Händler bietet diese ohne Sicherheitspatches an, und eine Bank erleidet Verluste durch umgangene Erkennungen – hier kann eine gesamtschuldnerische Haftung mehrerer Beteiligter entstehen.
Produkthaftung für KI: Vom ProdHaftG zur neuen EU-Produkthaftungsrichtlinie
Die Haftung für KI wird zunehmend über das Produkthaftungsrecht gesteuert. Die neue Richtlinie adressiert explizit die Herausforderungen, die KI als nicht-physische Produkte darstellt.
Der bisherige Rahmen basierte auf dem deutschen Produkthaftungsgesetz, das die alte Richtlinie 85/374/EWG umsetzte. Die Einordnung von Software und KI als Produkt war problematisch – eingebettete Software galt oft als Produkt, SaaS hingegen als Dienstleistung.
Die neue Richtlinie (EU) 2024/2853 trat im Dezember 2024 in Kraft. Die Mitgliedstaaten müssen sie bis zum 9. Dezember 2026 umsetzen. Ein neues deutsches Produkthaftungsgesetz wird ab 2027 erwartet.
Software und KI als Produkt im Sinne der neuen Richtlinie
Art. 4 Abs. 1 Nr. 1 der Produkthaftungsrichtlinie definiert Software ausdrücklich als Produkt, inklusive KI-Modelle, KI-Systeme, Updates und Upgrades, unabhängig von ihrer Körperlichkeit.
Damit werden Rechtsunsicherheiten zur Einordnung von KI-basierten Diensten weitgehend beseitigt. Auch nicht-verkörperte digitale Produkte wie reine Software-Services können unter Umständen ebenfalls erfasst sein.
Konkrete Beispiele umfassen:
- generative KI-Modelle, die als API bereitgestellt werden
- KI-Steuerungseinheiten für Industrieroboter
- lernfähige Software in Medizinprodukten.
Erweiterter Fehlerbegriff und Beweislastumkehr bei KI
Nach Art. 7 der Produkthaftungsrichtlinie ist ein Produkt fehlerhaft, wenn es nicht die Sicherheit bietet, die berechtigterweise erwartet werden kann.
KI-spezifische Faktoren bei der Fehlerbewertung umfassen:
- Trainingsdatenqualität
- erklärbares Verhalten
- Cybersicherheit und Updates
- Umgang mit bekannten Bias-Risiken
Die Beweislastumkehr zugunsten des Geschädigten nach Art. 9 ist zentral: Bei Verstoß gegen Sicherheitsstandards oder Informationspflichten wird ein Produktfehler vermutet. Ist der eingetretene Schaden typisch für den behaupteten Defekt, wird auch der Ursachenzusammenhang vermutet.
Ein KI-gestütztes Bremsassistenzsystem in einem Fahrzeug versagt wegen fehlender Sicherheitsupdates. Die mangelhafte Herstellerinformation löst die Vermutung aus – der Hersteller muss nun die Kausalität widerlegen. Gerichte können zudem die Offenlegung von Blackbox-Daten wie Trainingslogs anordnen.
Substantielle Modifikationen, Updates und lange Ausschlussfristen
Der Begriff der substantiellen Modifikation nach Art. 4 Nr. 17b umfasst Änderungen an Zweck, Leistung oder Art des Produkts, etwa größere Software-Updates, Retraining eines KI-Modells oder Änderung von Sicherheitsparametern.
Wer solche Modifikationen vornimmt, wird zum Hersteller im Sinne der Richtlinie. Die Haftung bleibt auch dann bestehen, wenn der Produktfehler erst durch Modifikationen entsteht oder notwendige Updates unterlassen werden (Art. 10 Abs. 2).
Die Ausschlussfrist verlängert sich von bisher 10 Jahren auf bis zu 25 Jahre ab Inverkehrbringen (Art. 14 Abs. 1 lit. b). Das ist besonders relevant für langlebige, kontinuierlich lernende KI-Systeme in Industrieanlagen oder Medizintechnik.
Praxis-Hinweise: Unternehmen benötigen lückenlose Update- und Änderungs-Logs sowie Governance-Strukturen für Versionsmanagement und Dokumentation.
Die (vorerst) gescheiterte KI-Haftungsrichtlinie und verbleibende Lücken
Die EU-Kommission legte 2022 einen Vorschlag für eine KI-Haftungsrichtlinie vor, die die verschuldensabhängige Haftung EU-weit harmonisieren sollte.
Im Februar 2025 wurde dieser Vorschlag im Rahmen des Arbeitsprogramms der Kommission zurückgezogen. Begründungen waren drohende Überregulierung und politische Uneinigkeit.
Viele prozessuale Elemente wie Offenlegungspflichten und Beweisvermutungen flossen jedoch in die neue Produkthaftungsrichtlinie ein.
Verbleibende Regelungslücken bestehen: Es existiert weiterhin kein spezifischer EU-weiter deliktischer Haftungsrahmen für den Betrieb fehlerfreier, aber falsch angewendeter KI. Außerdem gilt weiterhin nationales Deliktsrecht (in Deutschland § 823 BGB). Studien des Europäischen Parlaments von 2025 fordern eine Rückkehr zu einer spezialisierten KI-Haftungsregelung.
Haftung & KI: Strategische Handlungsempfehlungen für Unternehmen und Entwickler
Die Übergangsphase bis zur vollständigen nationalen Umsetzung der Produkthaftungsrichtlinie bietet die Chance zur Vorbereitung.
Praktische To-dos umfassen:
- Aufbau eines KI-spezifischen Risikomanagements mit Identifikation, Bewertung und Monitoring von KI-Risiken
- Implementierung eines robusten Dokumentations- und Logging-Konzepts für Trainingsdaten, Modellversionen, Parameter und Releases
- Anpassung von Verträgen, AGB und SLAs an neue Haftungsrisiken mit Haftungsobergrenzen, Freistellungsklauseln und klarer Verantwortlichkeitsverteilung
- Schulung von Mitarbeitenden zu KI-Rechtsfragen und internen Richtlinien
- Abklärung und Erweiterung des Versicherungsschutzes (Produkthaftpflicht, Cyberversicherung, D&O)
Bis Ende 2026 sollten Unternehmen das nationale Umsetzungsverfahren monitoren, ab 2027 die internen Prozesse an das neue deutsche Produkthaftungsrecht für digitale Produkte und KI anpassen.
In Verträgen entlang der Lieferkette sollte klar geregelt werden:
- wer als Hersteller im Sinne der Produktregeln auftritt,
- welche Partei für Updates, Patches und Monitoring zuständig ist,
- wie Regress- und Freistellungsmechanismen funktionieren.
Beispielkonstellationen: Der SaaS-Anbieter eines KI-Systems versus der Implementierungspartner beim Kunden, oder der OEM-Hersteller eines KI-Chips versus der Endgeräteproduzent – hier müssen Verantwortlichkeiten präzise abgegrenzt werden.
Die verschuldensunabhängige Produkthaftung gegenüber Endnutzern kann nicht per AGB ausgeschlossen werden. Vertragliche Regelungen wirken primär im Innenverhältnis zwischen den Akteuren der Wertschöpfungskette.
Häufig gestellte Fragen (FAQ)
Wer haftet zuerst bei einem KI-Schaden?
Häufig der unmittelbare Anbieter oder Betreiber. Bei Produktfehlern greift jedoch die gesamte Lieferkette vom Entwickler bis zum Inverkehrbringer.
Schafft der AI Act eine eigenständige Haftung?
Nein. Die KI-Verordnung regelt Pflichten und Verbote, aber keine Schadensersatzansprüche. Diese ergeben sich weiterhin aus BGB und ProdHaftG.
Haften Unternehmen auch für KI-Updates?
Ja. Bei substantiellen Modifikationen wie Retraining oder großen Updates wird der Modifizierende zum Hersteller. Auch unterlassene notwendige Updates können zur Haftung führen.
Wie lange können Ansprüche geltend gemacht werden?
Die Ausschlussfrist verlängert sich auf bis zu 25 Jahre ab Inverkehrbringen – besonders relevant für langlebige, lernende Systeme.
Deckt meine Versicherung KI-Haftungsrisiken ab?
Das hängt vom Vertrag ab. Produkthaftpflicht-, Cyber- und D&O-Versicherungen sollten auf KI-spezifische Erweiterungen geprüft werden.
Zusammenfassung und Ausblick zur KI-Haftung
Die aktuelle Rechtslage kennt keine eigenständige KI-Haftung. Ansprüche erfolgen über das Zusammenspiel von BGB, ProdHaftG und der neuen Produkthaftungsrichtlinie. Die KI-Verordnung ergänzt dies durch Compliance-Pflichten, schafft aber keinen eigenständigen Schadensersatzanspruch.
Wesentlich ist: Software und KI gelten künftig ausdrücklich als Produkt. Die Beweislast wird für Geschädigte durch Vermutungsregeln erleichtert. Dokumentation, Governance und Compliance werden zum zentralen Schutzschild für Unternehmen.
Politische Debatten um eine erneute KI-Haftungsinitiative auf EU-Ebene laufen weiter. Sollte keine EU-weite Einigung erzielt werden, sind nationale Sonderwege möglich.
Unternehmen müssen ihre KI-Strategie immer gemeinsam mit ihrer Haftungs- und Compliance-Strategie denken. Die Entwicklung der Technologien schreitet schneller voran als die Rechtsprechung – wer heute vorsorgt, vermeidet morgen kostspielige Prozesse. Frühzeitige rechtliche Beratung ist daher keine Option, sondern Notwendigkeit.
Sie möchten sich in Bezug auf KI & Haftung umfassend beraten lassen? Kontaktieren Sie mich gerne für ein unverbindliches Erstgespräch.
Weitere interessante Beiträge zum Thema Künstliche Intelligenz:
