Wenn ein KI-System einen falschen Kreditbescheid ausstellt, eine fehlerhafte Diagnose liefert oder einen Schaden verursacht, stellt sich sofort die Frage: Wer zahlt? Die Antwort ist rechtlich klarer als viele Unternehmen vermuten, und gleichzeitig unangenehmer. KI-Systeme besitzen keine Rechtspersönlichkeit. Sie können nicht verklagt werden, sie können keine Strafe zahlen und sie tragen keine Verantwortung im juristischen Sinne. Stattdessen haften die Menschen und Unternehmen, die diese Systeme entwickeln, betreiben und einsetzen. Dieser Leitfaden erklärt die aktuelle Rechtslage, zeigt typische Haftungsszenarien aus der Praxis und gibt konkrete Handlungsempfehlungen, mit denen Sie Ihr Risiko messbar reduzieren.
Wer Haftet Für KI-Fehler: Die Grundprinzipien Des Deutschen Rechts
Das deutsche Haftungsrecht kennt keine spezifische KI-Norm. Dennoch ist KI keineswegs ein rechtsfreier Raum. Gerichte und Gesetzgeber behandeln KI-Systeme als Werkzeuge oder Hilfsmittel, vergleichbar mit Maschinen oder Software. Die Haftung folgt damit denselben Grundsätzen, die seit Jahrzehnten für technische Produkte gelten, und wird über mehrere Vorschriften des BGB sowie das Produkthaftungsgesetz abgebildet.
Der wichtigste Ausgangspunkt ist Paragraph 280 BGB, der die vertragliche Haftung regelt. Verletzt ein Unternehmen eine vertragliche Pflicht durch den Einsatz fehlerhafter KI-Ergebnisse, haftet es für den daraus entstehenden Schaden wie für eigenes Verschulden. Ein Steuerberater, der Mandantendaten durch ein KI-Tool falsch auswerten lässt und dadurch eine fehlerhafte Steuererklärung einreicht, kann sich nicht auf die Maschine berufen. Die Pflicht gegenüber dem Mandanten lag beim Berater.
Paragraph 823 Absatz 1 BGB regelt die deliktische Haftung. Wer fahrlässig oder vorsätzlich Eigentum, Gesundheit oder andere Rechte verletzt, muss den Schaden ersetzen. Für den KI-Einsatz bedeutet das: Fehlende Überwachung von KI-Ergebnissen kann als Fahrlässigkeit gewertet werden. Das Gericht fragt dann, was ein sorgfältiger Betreiber in dieser Situation getan hätte. Wer KI-Outputs ungefiltert in kritische Entscheidungen einfließen lässt, steht hier schnell schlecht da.
Paragraph 831 BGB behandelt die Haftung für Verrichtungsgehilfen. KI ist kein Mensch und damit kein Verrichtungsgehilfe im technischen Sinne. Allerdings überträgt die Rechtspraxis die dahinterliegende Logik analog auf den KI-Einsatz: Wer ein System einrichtet, konfiguriert und betreibt, trägt Auswahl-, Überwachungs- und Kontrollpflichten. Ein falsch kalibriertes oder unzureichend überwachtes KI-System begründet Haftung des Betreibers, nicht anders als ein schlecht eingewiesener Mitarbeiter.
Schließlich greift das Produkthaftungsgesetz (ProdHaftG), Paragraphen 1 ff., immer dann, wenn die KI selbst fehlerhaft ist. Diese Haftung ist verschuldensunabhängig: Der Hersteller haftet für Schäden durch ein defektes Produkt, ohne dass dem Geschädigten ein Verschulden nachgewiesen werden muss. KI-Software gilt als Produkt. Unzureichende Trainingsdaten, fehlerhafte Algorithmen oder mangelhafte Tests können den Hersteller direkt haftbar machen. Die überarbeitete EU-Produkthaftungsrichtlinie, die bis Dezember 2026 in deutsches Recht umzusetzen ist, stärkt die Position Geschädigter gegenüber KI-Herstellern nochmals deutlich.
flowchart LR
A[KI-Fehler tritt auf] --> B{Wer ist betroffen?}
B --> C[Vertragliche Beziehung?]
B --> D[Kein Vertrag?]
C --> E[§ 280 BGB\nVertragliche Haftung\ndes Betreibers]
D --> F[§ 823 BGB\nDeliktische Haftung\nFahrlässigkeit?]
F --> G{Überwachung\nvorhanden?}
G --> H[Ja: Haftung\ngemindert]
G --> I[Nein: Volle\nHaftung]
E --> J[Rückgriff auf\nHersteller möglich]
I --> J
J --> K[§§ 1 ff. ProdHaftG\nProduktfehler?]
K --> L[Hersteller haftet\nverschuldensunabhängig]
Haftungskreise: Hersteller, Betreiber Und Händler Im Überblick
In der Praxis sind selten nur eine Partei und ein Paragraf im Spiel. Zwischen Hersteller, Händler und Betreiber können mehrere Haftungskreise entstehen, die sich überschneiden oder ergänzen.
Der Hersteller oder Entwickler haftet primär nach dem Produkthaftungsgesetz und nach Paragraph 823 BGB, wenn das System selbst fehlerhaft konstruiert wurde. Typische Fehlerquellen sind mangelhaft kuratierte Trainingsdaten, die zu systematischen Fehlausgaben führen, oder Programmfehler in der Lernlogik. Kritisch wird es, wenn ein Betreiber das System modifiziert oder anpasst. In diesem Fall kann er selbst in die Herstellerrolle rutschen und damit die verschuldensunabhängige Produkthaftung übernehmen.
Der Betreiber, also das Unternehmen, das die KI einsetzt, trägt in der Praxis die primäre Last gegenüber Geschädigten. Ihm gegenüber bestehen die Verträge, er hat Zugang zu den Outputs und er kann die Überwachung organisieren. Rückgriffsansprüche gegen den Hersteller sind möglich, setzen aber voraus, dass der Produktfehler nachgewiesen und vertraglich nicht ausgeschlossen wurde. Typische Fehler des Betreibers sind Fehlkonfigurationen bei der Einrichtung, fehlende Software-Updates und das Fehlen einer menschlichen Kontrollinstanz für kritische Entscheidungen.
Der Händler oder Vertrieb steht rechtlich zwischen Hersteller und Betreiber. Er haftet nach dem Produkthaftungsgesetz, wenn er kein Hersteller genannt werden kann und diesen auch nicht benennt. In der Praxis spielt der Händler bei KI-Software eine untergeordnete Rolle, kann aber im Schadensfall über Regressansprüche in die Kette einbezogen werden.
Mehrere Parteien können gleichzeitig haften. Wer Einfluss auf das System genommen hat, wer es betrieben hat und wer es hergestellt hat, alle diese Rollen begründen potenzielle Ansprüche. Das macht KI-Haftungsfälle juristisch komplex und dokumentarisch aufwendig.
Aktuelle Rechtsprechung Und Regulatorische Entwicklungen
Das Thema KI-Haftung ist kein akademisches Zukunftsprojekt mehr. Das Landgericht Kiel hat 2024 und das Landgericht Hamburg hat 2025 Betreiber für Schäden haftbar gemacht, die durch fehlerhafte KI-generierte Inhalte entstanden sind. In beiden Fällen war entscheidend, dass sich der Betreiber die Inhalte zu eigen gemacht hatte, ohne sie zu prüfen. Das Gericht wertete das als Verletzung der gebotenen Sorgfaltspflichten.
Der EU AI Act, der ab August 2026 vollständig in Kraft tritt, schafft einen verbindlichen Rahmen für sogenannte Hochrisiko-KI-Systeme. Darunter fallen Systeme, die in Bereichen wie Medizin, Kreditvergabe, kritischer Infrastruktur oder Personalentscheidungen eingesetzt werden. Die Anforderungen umfassen Risikomanagement, Dokumentationspflichten, Transparenz und menschliche Aufsicht. Ein Verstoß gegen diese Pflichten kann nach Paragraph 823 Absatz 2 BGB als Schutzgesetzverletzung gewertet werden und damit Schadensersatzansprüche auslösen. Eine separate EU-Richtlinie zur KI-Haftung, die ursprünglich Beweislasterleichterungen für Geschädigte vorsah, wurde im Februar 2025 zurückgezogen. Der Gesetzgeber setzt stattdessen auf die Kombination aus EU AI Act und reformierter Produkthaftungsrichtlinie.
Die neue EU-Produkthaftungsrichtlinie, die bis Dezember 2026 umzusetzen ist, adressiert gezielt das sogenannte Black-Box-Problem: Wenn Geschädigte keinen Einblick in die inneren Prozesse eines KI-Systems haben, können sie Fehler kaum beweisen. Die reformierte Richtlinie sieht Offenlegungspflichten für KI-Entwickler vor und erleichtert den Nachweis von Produktfehlern. Unternehmen, die KI modifizieren oder anpassen, haften künftig wie Hersteller.
Für die strategische Planung des KI-Einsatzes bedeuten diese Entwicklungen: Wer heute KI-Systeme einführt, muss bereits die regulatorischen Anforderungen von 2026 mitdenken, nicht erst dann, wenn die Fristen ablaufen.
Praxisszenarien: Wo Haftungsrisiken Konkret Entstehen
Die abstrakten Paragraphen gewinnen Bedeutung, wenn man sie auf reale Einsatzszenarien anwendet. In der Beratungspraxis sehen wir häufig, dass Unternehmen die Risiken dort unterschätzen, wo KI-Outputs direkt in kundenbezogene oder sicherheitsrelevante Entscheidungen einfließen.
Im Bereich Finanzberatung ist das Risiko besonders greifbar. Empfiehlt ein KI-System eine Kapitalanlage, die sich als ungeeignet erweist, und fehlt die menschliche Plausibilitätsprüfung, haftet der Berater nach Paragraph 280 BGB für die Pflichtverletzung gegenüber dem Kunden. Die Delegation der Empfehlung an ein Algorithmus ändert daran nichts. Erschwerend kommt hinzu: Ohne Dokumentation, wer welche KI-Ausgabe wie überprüft hat, ist der Beweis eigener Sorgfalt kaum zu führen.
Im Bauwesen zeigen sich ähnliche Muster. Wenn ein Architekt KI-gestützte Berechnungssoftware für statische Analysen einsetzt und das Ergebnis ungefiltert übernimmt, bleibt die Verantwortung für die Werkleistung beim Architekten. Der häufigste Fallstrick ist das blinde Vertrauen in Black-Box-Ergebnisse, ohne Validierung durch eigene Fachkompetenz. Führt das zu einem Bauschaden, haftet der Architekt, nicht die Software.
Autonome Fahrzeuge und Mobilitätslösungen zeigen ein weiteres Muster: veraltete Software. Ein Unfall durch fehlerhafte Navigation, verursacht durch ein nicht eingespieltes Update, begründet die Haftung des Betreibers. Die Pflicht zur regelmäßigen Aktualisierung von KI-Systemen ist nicht nur eine technische Selbstverständlichkeit, sondern eine rechtlich relevante Sorgfaltspflicht.
Im Gesundheitswesen ist das Risiko besonders hoch. Eine Diagnose-KI, die einen Tumor übersieht, führt zu einer Klinik-Haftung nach Paragraph 823 BGB. Ab August 2026 kommen für medizinische KI-Systeme zusätzlich die Anforderungen des EU AI Acts hinzu, mit umfangreichen Dokumentations- und Überwachungspflichten. Kliniken, die diese Anforderungen nicht erfüllen, setzen sich einer doppelten Haftung aus: zivilrechtlich gegenüber dem Patienten und regulatorisch gegenüber der Aufsichtsbehörde.
Ein typisches Muster bei KMUs ist folgendes: Ein mittelständisches Unternehmen führt ein KI-Tool für die Kundenkommunikation ein, dokumentiert keine Tests, verzichtet auf eine Schulung der Mitarbeitenden und prüft keine Outputs auf Richtigkeit. Wenn das Tool falsche oder irreführende Informationen an Kunden sendet und daraus ein Schaden entsteht, ist die Haftungsfrage schnell beantwortet. Und die Antwort geht zulasten des Unternehmens.
Mehr zu den konkreten Automatisierungsrisiken und wie man Prozesse sicher gestaltet, finden Sie im Beitrag zur Prozessautomatisierung im Mittelstand.
flowchart TD
A[KI-System im Einsatz] --> B{Einsatzbereich}
B --> C[Finanzberatung]
B --> D[Medizin]
B --> E[Bauwesen]
B --> F[Mobilität]
C --> G[§ 280 BGB\nPflicht zur Prüfung\nder KI-Empfehlung]
D --> H[§ 823 BGB\nAb 2026 + EU AI Act\nHochrisiko-Pflichten]
E --> I[Werkvertragshaftung\nValidierung Pflicht]
F --> J[Betreiberhaftung\nUpdate-Pflicht]
G --> K[Dokumentation\nder Prüfschritte]
H --> K
I --> K
J --> K
K --> L[Haftungsrisiko\ngemindert]
Fünf Konkrete Massnahmen Zur Risikominimierung
Haftungsrisiken aus KI-Systemen lassen sich nicht vollständig eliminieren, aber mit systematischen Maßnahmen erheblich reduzieren. Die folgenden fünf Schritte sind keine theoretischen Empfehlungen, sondern Maßnahmen, die in der Beratungspraxis wirksam sind.
Der erste Schritt ist eine Risikobewertung. Klassifizieren Sie jedes KI-System, das Sie einsetzen oder einsetzen wollen, nach den Kriterien des EU AI Acts. Ist das System im Hochrisikobereich einzuordnen, also etwa in Kreditvergabe, Personalentscheidungen, medizinischer Diagnostik oder kritischer Infrastruktur, gelten ab August 2026 strenge Anforderungen. Diese Klassifizierung sollte schriftlich dokumentiert und regelmäßig aktualisiert werden. Bereits heute ist die Dokumentation des Risikoprofils ein zentrales Argument im Schadensfall.
Der zweite Schritt ist die Integration menschlicher Kontrolle. Kein KI-Output in einem sensiblen Bereich darf ohne menschliche Prüfung in eine bindende Entscheidung einfließen. Das gilt für Kreditempfehlungen genauso wie für medizinische Diagnosen oder statische Berechnungen. Die Kontrolle muss dokumentiert sein: Wer hat was geprüft, wann, und mit welchem Ergebnis? Ohne diese Dokumentation ist die Sorgfaltspflicht im Streitfall kaum zu belegen.
Der dritte Schritt betrifft die Vertragsgestaltung mit KI-Anbietern. Viele Standard-SaaS-Verträge schließen Haftung weitgehend aus. Unternehmen sollten prüfen, ob Regressklauseln vorhanden sind, ob der Anbieter im Sinne des Produkthaftungsgesetzes als Hersteller gilt und welche Haftungsbeschränkungen dem EU-Recht standhalten. Ab 2026 sind Vertragsklauseln, die gegen den EU AI Act verstoßen, möglicherweise unwirksam. Klären Sie außerdem, welche Partei für Updates und Sicherheitspatches verantwortlich ist.
Der vierte Schritt umfasst die Implementierung technisch-organisatorischer Maßnahmen, kurz TOMs. Dazu gehören regelmäßige Audits der KI-Systeme, lückenlose Protokollierung aller Outputs in kritischen Bereichen, automatisierte Update-Prozesse und Schulungen der Mitarbeitenden. Wer KI ohne Schulung einsetzt, dokumentiert damit gleichzeitig die Fahrlässigkeit im eigenen Betrieb. Schulungen müssen nicht aufwendig sein, aber sie müssen nachweisbar stattgefunden haben.
Der fünfte Schritt ist die Versicherung. Prüfen Sie, ob Ihre bestehende Haftpflichtversicherung KI-bedingte Schäden abdeckt. In den meisten Fällen tut sie das nicht, oder nur unter engen Voraussetzungen. Cyber-Versicherungen und Produkthaftpflichtversicherungen können erweitert werden, um KI-spezifische Risiken einzuschließen. Simulieren Sie konkrete Schadensszenarien, bevor Sie mit dem Versicherer verhandeln. Ein hypothetischer Schadensfall hilft dabei, Deckungslücken zu identifizieren.
Zur Umsetzung dieser Maßnahmen im regulatorischen Kontext empfiehlt sich auch ein Blick auf den EU AI Act und was Unternehmen jetzt konkret umsetzen müssen.
Checkliste Für Den KI-Einsatz Aus Haftungsrechtlicher Sicht
In der Beratungspraxis hat sich eine einfache Prüfsequenz bewährt, die Unternehmen vor der produktiven Nutzung eines KI-Systems durchlaufen sollten.
Klären Sie zunächst, ob das System ab August 2026 als Hochrisiko-KI gilt. Wenn ja, welche Zertifizierungs- und Dokumentationspflichten bestehen dann? Definieren Sie anschließend, wer im Unternehmen für die Überwachung der KI-Outputs verantwortlich ist. Diese Rolle muss namentlich benannt, geschult und mit klaren Befugnissen ausgestattet sein. Stellen Sie sicher, dass Fehlerprotokolle automatisch erzeugt und aufbewahrt werden. Im Schadensfall ist die Beweislast entscheidend, und ohne Logs gewinnt sie immer die Gegenseite. Prüfen Sie den Vertrag mit Ihrem KI-Anbieter auf Regressmöglichkeiten und Haftungsbeschränkungen. Und klären Sie abschließend mit Ihrer Versicherung, ob und unter welchen Bedingungen KI-bedingte Schäden gedeckt sind.
Diese Checkliste ist kein Ersatz für eine rechtliche Prüfung im Einzelfall. Sie ist aber ein praktikabler Startpunkt, um blinde Flecken systematisch zu schließen.
WAS SICH BIS 2026 NOCH ÄNDERT UND WARUM SIE JETZT HANDELN SOLLTEN
Die regulatorische Lage ist in Bewegung. Mit dem EU AI Act, der vollständig ab August 2026 gilt, und der reformierten Produkthaftungsrichtlinie, die bis Dezember 2026 umzusetzen ist, verdichtet sich der rechtliche Rahmen erheblich. Unternehmen, die heute mit der Vorbereitung beginnen, haben einen strukturellen Vorteil gegenüber solchen, die bis zum Stichtag warten.
Besonders relevant ist das Black-Box-Problem, das der neue regulatorische Rahmen gezielt adressiert. Wenn ein KI-System eine Entscheidung trifft, die zu einem Schaden führt, und weder Betreiber noch Geschädigter die innere Logik des Systems nachvollziehen kann, entsteht ein Beweisproblem. Die neue Produkthaftungsrichtlinie reagiert darauf mit Offenlegungspflichten: Hersteller können verpflichtet werden, Informationen über das System bereitzustellen, die den Nachweis eines Produktfehlers ermöglichen. Für Unternehmen bedeutet das, dass sie von ihren KI-Anbietern entsprechende Transparenz einfordern können und sollten.
Ein weiterer relevanter Trend ist die zunehmende Beweislasterleichterung für Geschädigte. Auch wenn die EU AI Liability Directive zurückgezogen wurde, entwickeln nationale Gerichte und die neue Produkthaftungsrichtlinie ähnliche Instrumente. Der Beweisstandard für Geschädigte sinkt, der Dokumentationsaufwand für Unternehmen steigt. Wer heute keine sauberen Prozesse etabliert, wird das 2027 teuer bezahlen.
In der Beratungspraxis sehen wir häufig, dass KMUs das Thema KI-Haftung als rein juristisches Randproblem behandeln. Das ist ein Irrtum. KI-Haftung ist ein unternehmerisches Risikothema, das Prozesse, Verträge, Versicherungen und Schulungen gleichzeitig betrifft. Wer die Möglichkeiten der KI-Automatisierung nutzen möchte, muss die Haftungsseite von Anfang an mitdenken, nicht als Nachgedanken.
Fazit
KI-Systeme haften nicht. Menschen und Unternehmen haften. Das ist der zentrale Ausgangspunkt, den kein Unternehmen ignorieren sollte, das KI produktiv einsetzt. Die Rechtslage ist mit BGB und Produkthaftungsgesetz bereits heute klar geregelt, und der regulatorische Druck durch EU AI Act und Produkthaftungsreform wird bis Ende 2026 erheblich zunehmen. Wer jetzt handelt, eine Risikobewertung durchführt, menschliche Kontrolle einbaut, Verträge prüft und Dokumentation etabliert, minimiert sein Haftungsrisiko strukturell. Der erste konkrete Schritt ist eine Bestandsaufnahme der KI-Systeme, die Sie heute bereits nutzen, mit einer ehrlichen Einschätzung, wo die Überwachung fehlt. Vereinbaren Sie ein kostenloses Erstgespräch mit uns, wenn Sie diese Analyse nicht allein durchführen möchten.
Sven Kasek berät als KI-Berater in Berlin mittelständische Unternehmen beim sicheren und rechtlich belastbaren Einsatz von KI-Systemen.
Bereit für den nächsten Schritt?
Vereinbaren Sie ein kostenloses Erstgespräch. Wir analysieren Ihre Prozesse und zeigen Ihnen konkrete Optimierungspotenziale.
Erstgespräch vereinbaren