· AI law · Tobias Voßberg

KI und Haftung: Wer haftet, wenn die KI Fehler macht?

Unternehmen setzen KI-Systeme zunehmend in kritischen Bereichen ein – in der Kundenberatung, im Recruiting, in der Vertragsanalyse, in der Diagnostik. Doch was passiert, wenn das KI-System falsche Ergebnisse liefert und daraus ein Schaden entsteht? Die Antwort auf die Frage „Wer haftet?" ist weniger eindeutig, als viele annehmen. Dieser Beitrag ordnet die aktuelle Rechtslage ein – von der vertraglichen Haftung über die Produkthaftung bis zur Organhaftung der Geschäftsleitung.

Das Wichtigste in Kürze

Die Haftungslage für Unternehmen beim Einsatz von KI-Systemen ergibt sich aus mehreren Rechtsgebieten – die wichtigsten Punkte im Überblick:

  • Eine KI haftet nicht selbst. KI-Systeme sind keine Rechtssubjekte. Die Haftung trifft immer den Menschen oder das Unternehmen dahinter.
  • Wer KI-Ergebnisse im Geschäftsverkehr einsetzt oder an Kunden weitergibt, übernimmt die Verantwortung dafür – unabhängig davon, ob ein Mensch oder eine Maschine den Fehler verursacht hat.
  • Die vertragliche Haftung richtet sich nach dem jeweiligen Vertragstypus (Werk-, Dienst- oder Kaufvertrag). Der Einsatz von KI ändert die Haftungsmaßstäbe nicht, sondern die Fehlerquellen.
  • Ab Dezember 2026 gilt die neue EU-Produkthaftungsrichtlinie (EU) 2024/2853. Software und KI-Systeme werden erstmals ausdrücklich als Produkte im Sinne der Produkthaftung erfasst. Die Hersteller haften verschuldensunabhängig und ohne Haftungshöchstbetrag.
  • Die geplante KI-Haftungsrichtlinie wurde von der EU-Kommission im Februar 2025 zurückgezogen. Eine KI-spezifische Haftungsregelung auf EU-Ebene existiert derzeit nicht.
  • Geschäftsführer und Vorstände können persönlich haften, wenn der KI-Einsatz im Unternehmen nicht sachgerecht organisiert und überwacht wird.
  • Im Arbeitsverhältnis haftet im Außenverhältnis der Arbeitgeber. Der Arbeitnehmer haftet intern nur bei grober Fahrlässigkeit oder Vorsatz voll – etwa wenn er offensichtlich fehlerhafte KI-Ergebnisse ungeprüft übernimmt.
  • Unternehmen, die KI-Chatbots einsetzen, sollten wissen: Aussagen des Chatbots – auch KI-Halluzinationen – können dem Unternehmen als verbindlich zugerechnet werden.

Ausgangspunkt: Keine Rechtspersönlichkeit der KI

Die zentrale Prämisse des geltenden Haftungsrechts ist einfach: Nur Rechtssubjekte können haften. KI-Systeme sind keine Rechtssubjekte. Sie haben keine Rechtsfähigkeit, kein Verschulden und keinen eigenen Willen im rechtlichen Sinne. Der Satz „die KI hat den Fehler gemacht" ist technisch vielleicht korrekt, rechtlich aber irrelevant.

Die Haftung knüpft stattdessen an die natürlichen oder juristischen Personen an, die das KI-System entwickeln, bereitstellen, betreiben oder seine Ergebnisse nutzen. Dabei kommen mehrere Haftungsebenen in Betracht, die nebeneinander stehen können: vertragliche Haftung, deliktische Haftung, Produkthaftung und Organhaftung.

Vertragliche Haftung: Der Anwender steht für seine Ergebnisse ein

Wer eine KI-gestützte Leistung erbringt und dabei fehlerhafte Ergebnisse liefert, haftet nach den allgemeinen vertragsrechtlichen Grundsätzen. Der Einsatz von KI ändert die Haftungsmaßstäbe nicht – es kommt weiterhin auf den konkreten Vertragstypus an.

Werkvertrag

), etwa ein fehlerfreies Gutachten, eine korrekte Übersetzung oder eine funktionierende Softwarelösung, und setzt dafür KI ein, muss das Ergebnis mangelfrei sein. Ist es das nicht, greifen die werkvertraglichen Mängelrechte nach §§ 634 ff. BGB: Nacherfüllung, Minderung, Rücktritt, Schadensersatz. Dass intern eine KI zum Einsatz kam, ist für den Auftraggeber ohne Belang.§ 631 BGBSchuldet ein Unternehmen einen bestimmten Erfolg (

Dienstvertrag

wegen schuldhafter Pflichtverletzung.§ 280 Abs. 1 BGB), liegt die Pflicht in der sorgfältigen Leistungserbringung. Wer sich bei der Dienstleistung auf KI-Ergebnisse verlässt, ohne diese auf Plausibilität zu prüfen, kann seine Sorgfaltspflichten verletzen. Ein Schadensersatzanspruch folgt dann aus § 611 BGBWird eine Tätigkeit geschuldet, nicht ein Erfolg (

Kauf- und Lizenzvertrag

Wird ein KI-System als Software verkauft oder lizenziert, gelten die kaufrechtlichen Gewährleistungsregeln (§§ 434 ff. BGB). Der Anbieter haftet dafür, dass die Software die vereinbarte Beschaffenheit aufweist. Liefert ein KI-System systematisch fehlerhafte Ergebnisse, kann ein Sachmangel vorliegen.

Entscheidend: Die Zurechnung

Der Grundsatz zieht sich durch alle Vertragstypen: Wer KI als Werkzeug einsetzt und das Ergebnis nach außen gibt, übernimmt die Verantwortung dafür. Das Ergebnis wird dem Unternehmen zugerechnet, nicht der KI. Der Hinweis „das hat die KI gemacht" ist keine Enthaftung.

Die KI als Erklärungsbote: Haftung für Chatbot-Aussagen

In der Praxis besonders relevant ist die Frage, ob Aussagen eines KI-Chatbots dem betreibenden Unternehmen als rechtsverbindlich zugerechnet werden können. Die Antwort lautet: ja – und zwar sowohl international als auch nach erster deutscher Rechtsprechung.

Das kanadische Civil Resolution Tribunal hat 2024 im Fall Moffatt v. Air Canada (Entscheidung vom 14. Februar 2024, 2024 BCCRT 149) entschieden, dass ein Unternehmen für falsche Auskünfte seines Chatbots haftet. Air Canada hatte argumentiert, der Chatbot sei eine eigenständige Entität. Das Gericht wies das zurück: Das Unternehmen hafte für die über sein Werkzeug erteilten Auskünfte genauso wie für jede andere Information auf seiner Website.

Im September 2025 hat dann das LG Hamburg als erstes deutsches Gericht einen KI-Betreiber für die Aussagen seines Chatbots in die Pflicht genommen (Az. 324 O 461/25). Der KI-Bot Grok hatte auf der Plattform X eine falsche Tatsachenbehauptung über den Verein Campact e. V. verbreitet. Das Gericht stützte die Haftung von X.AI auf zwei Argumente: Erstens habe X.AI die Aussagen durch Präsentation auf dem eigenen Account zu eigen gemacht. Zweitens positioniere sich Grok selbst als faktenbasiertes System – wer so auftritt, könne sich nicht gleichzeitig darauf berufen, nur ein Sprachmodell zu sein, das gelegentlich Dinge erfindet. Eine ausführliche Einordnung dieser Entscheidung und der weiteren Rechtsprechung zu KI-Chatbots findet sich hier: Wer haftet, wenn ein Chatbot lügt?

. Ein Disclaimer, dass KI-Antworten nicht verbindlich seien, hilft nur begrenzt – insbesondere dann nicht, wenn der Chatbot in einer Weise eingesetzt wird, die den Eindruck einer verlässlichen Beratung erweckt.§ 823 BGB oder über die deliktische Haftung nach § 311 Abs. 2 BGBIm deutschen Recht ist die Zurechnung von Chatbot-Aussagen an das betreibende Unternehmen über mehrere Wege begründbar: als rechtsgeschäftliche Willenserklärung (etwa bei Preiszusagen oder Lieferzusagen), als vorvertragliche Pflichtverletzung nach

Offen ist allerdings, ob eine konkrete Bot-Aussage im Einzelfall tatsächlich als Willenserklärung auszulegen ist. Das ist keineswegs selbstverständlich. Maßgeblich wäre auch hier der objektive Empfängerhorizont: Erscheint die Antwort als rechtsverbindliche Erklärung des Unternehmens oder nur als unverbindliche Auskunft? Gerade bei Chatbots wird man häufig zunächst an Information, nicht an rechtsgeschäftliches Handeln denken. Für automatisierte KI-Antworten gibt es dazu bislang noch keine belastbare höchstrichterliche Entscheidung. Die Frage ist daher offen und wird stark von der konkreten Gestaltung des Systems, dem Kontext der Kommunikation und dem Inhalt der Aussage abhängen.

Die KI-Verordnung verschärft das Thema zusätzlich: Ab August 2026 müssen Chatbots nach Art. 50 Abs. 1 KI-VO als KI-Systeme offengelegt werden. Die Transparenzpflicht ersetzt aber keine Haftungsbeschränkung.

Deliktische Haftung: § 823 BGB und Verkehrssicherungspflichten

bestehen. Wer eine Gefahrenquelle schafft oder unterhält – etwa durch den Einsatz eines KI-Systems im Geschäftsverkehr –, muss die zumutbaren Sicherungsmaßnahmen treffen, um Schäden Dritter zu vermeiden.§ 823 Abs. 1 BGBNeben der vertraglichen Haftung kann eine deliktische Haftung nach

Die Verkehrssicherungspflicht

Die Rechtsprechung hat für Gefahrenquellen aller Art sogenannte Verkehrssicherungspflichten entwickelt. Das Prinzip lautet: Wer eine Gefahr schafft, muss diejenigen Vorkehrungen treffen, die ein umsichtiger und verständiger Mensch für notwendig und ausreichend halten würde, um andere vor Schäden zu bewahren.

Auf KI-Systeme übertragen: Wer ein KI-System einsetzt, das Empfehlungen an Kunden ausspricht, Entscheidungen vorbereitet oder in sicherheitskritischen Bereichen arbeitet, muss sicherstellen, dass das System hinreichend getestet ist, die Ergebnisse plausibilitätsgeprüft werden und bei erkennbaren Fehlfunktionen reagiert wird. Wird ein KI-System im Kundenverkehr eingesetzt, obwohl bekannt ist, dass es zu Halluzinationen neigt, und entsteht daraus ein Schaden, kann eine Verletzung der Verkehrssicherungspflicht vorliegen.

Verschulden

). Gerade hier entsteht bei KI-Systemen eine Grauzone: Welche Sorgfalt ist beim Einsatz eines Systems „erforderlich", dessen Fehlerquellen nicht immer vorhersehbar sind? Die Tendenz der Rechtsprechung bei technischen Gefahrenquellen dürfte sein: Je höher das Schadenspotenzial, desto höher die Anforderungen an die Sorgfalt.§ 276 Abs. 2 BGBDie deliktische Haftung nach § 823 Abs. 1 BGB setzt Verschulden (Vorsatz oder Fahrlässigkeit) voraus. Fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt (

Wie kann ich Ihnen helfen?

Ich berate Unternehmen bei der rechtlichen Einordnung von KI-Haftungsrisiken – von der Prüfung vertraglicher Haftungsklauseln über die Gestaltung von Verträgen mit KI-Anbietern bis zur Einrichtung interner KI-Compliance-Strukturen. Wenn in Ihrem Unternehmen Fragen zur Haftung beim KI-Einsatz aufkommen, sprechen Sie mich gerne an.

Termin buchen Per E-Mail kontaktieren

Produkthaftung: Die neue EU-Produkthaftungsrichtlinie erfasst KI

Das bislang bedeutendste haftungsrechtliche Defizit bei KI-Systemen lag in der Produkthaftung. Nach dem bisherigen Produkthaftungsgesetz (ProdHaftG) haftete der Hersteller verschuldensunabhängig für Schäden durch fehlerhafte Produkte. Software galt dabei traditionell nur dann als Produkt, wenn sie auf einem körperlichen Datenträger verkörpert war. Reine Software, SaaS-Lösungen und Cloud-basierte KI-Systeme fielen aus diesem Raster.

Die neue Produkthaftungsrichtlinie (EU) 2024/2853

Die am 18. November 2024 im Amtsblatt veröffentlichte und am 8. Dezember 2024 in Kraft getretene Richtlinie (EU) 2024/2853 ändert das grundlegend. Die Mitgliedstaaten müssen die Richtlinie bis zum 9. Dezember 2026 in nationales Recht umsetzen.

Die wichtigsten Neuerungen für KI:

Software ist ein Produkt. Erwägungsgrund 13 der Richtlinie stellt klar, dass Software – „z. B. Betriebssysteme, Firmware, Computerprogramme, Anwendungen oder KI-Systeme" – ein Produkt im Sinne der Richtlinie ist, unabhängig davon, ob sie auf einem Gerät gespeichert, über eine Cloud abgerufen oder als Software-as-a-Service bereitgestellt wird. Ausgenommen ist lediglich nicht-kommerzielle Open-Source-Software.

KI-Anbieter als Hersteller. Anbieter von KI-Systemen im Sinne der KI-Verordnung gelten zugleich als Hersteller im Sinne der Produkthaftungsrichtlinie. Auch wer ein KI-System eines Dritten wesentlich verändert – etwa durch Feinabstimmung (Fine-Tuning) mit eigenen Trainingsdaten oder durch Modifikation der Entscheidungslogik –, kann zum Hersteller werden und damit der verschuldensunabhängigen Produkthaftung unterliegen.

Kein Haftungshöchstbetrag mehr. Der bisherige Haftungshöchstbetrag von 85 Millionen Euro nach dem deutschen ProdHaftG wird abgeschafft. Die Hersteller haften künftig der Höhe nach unbegrenzt.

Keine Selbstbeteiligung.) entfällt.§ 11 ProdHaftG Die Selbstbeteiligung des Geschädigten in Höhe von 500 Euro (

Beweiserleichterungen. Der Geschädigte muss weiterhin die Fehlerhaftigkeit des Produkts, den Schaden und die Kausalität darlegen und beweisen. Allerdings genügt es künftig, Tatsachen vorzutragen, die die Plausibilität des Anspruchs stützen. In bestimmten Fällen – insbesondere bei besonderer technischer oder wissenschaftlicher Komplexität – kann das Gericht die Fehlerhaftigkeit oder die Kausalität vermuten. Gerade bei KI-Systemen, deren Entscheidungsfindung schwer nachvollziehbar ist (sog. Black-Box-Problem), dürfte diese Beweiserleichterung erhebliche praktische Bedeutung erlangen.

Offenlegungspflichten. Auf Antrag des Geschädigten kann das Gericht den Hersteller verpflichten, einschlägige Beweismittel offenzulegen. Kommt der Hersteller dem nicht nach, wird die Fehlerhaftigkeit des Produkts vermutet.

Was bedeutet das für Unternehmen?

Die neue Produkthaftungsrichtlinie betrifft in erster Linie die Anbieter von KI-Systemen. Betreiber, die KI-Systeme lediglich einsetzen, ohne sie wesentlich zu verändern, unterfallen nicht der Produkthaftung. Aber: Wer ein KI-Modell durch eigenes Training, Fine-Tuning oder substantielle Konfiguration so verändert, dass es funktional ein anderes System wird, kann vom Betreiber zum Hersteller aufsteigen – mit allen haftungsrechtlichen Konsequenzen.

In Deutschland wird die Umsetzung voraussichtlich durch eine Novelle des Produkthaftungsgesetzes erfolgen, flankiert von Änderungen in der Zivilprozessordnung für die neuen Beweis- und Offenlegungspflichten.

Die KI-Haftungsrichtlinie: Zurückgezogen, aber nicht erledigt

Im September 2022 hatte die EU-Kommission einen Vorschlag für eine KI-Haftungsrichtlinie vorgelegt. Ziel war es, die außervertragliche zivilrechtliche Haftung für durch KI-Systeme verursachte Schäden zu harmonisieren und den Geschädigten spezifische Beweiserleichterungen zu gewähren.

Im Februar 2025 hat die Kommission den Vorschlag in ihrem Arbeitsprogramm offiziell zurückgezogen. Begründung: Es sei keine Einigung auf dieser Grundlage zu erwarten. Ob ein neuer Vorschlag kommt, ist offen. Eine Studie des Europäischen Parlaments vom August 2025 kritisiert die Einstellung und warnt vor regulatorischer Fragmentierung.

Für Unternehmen bedeutet das: Eine spezifische KI-Haftungsregelung auf EU-Ebene gibt es derzeit nicht. Die Haftung richtet sich nach den allgemeinen nationalen Regeln – ergänzt durch die neue Produkthaftungsrichtlinie. Die Lücke betrifft vor allem die deliktische Haftung für KI-Schäden, die nicht unter die Produkthaftung fallen.

Organhaftung: Wenn die Geschäftsleitung den KI-Einsatz falsch organisiert

persönlich gegenüber der Gesellschaft, wenn sie ihre Sorgfaltspflichten verletzen.§ 93 Abs. 2 AktG, Vorstände einer AG nach § 43 Abs. 2 GmbHGEin in der Praxis häufig übersehenes Haftungsrisiko betrifft die Geschäftsleitung selbst. Geschäftsführer einer GmbH haften nach

Sorgfaltspflicht der Geschäftsleitung beim KI-Einsatz

Der Maßstab ist die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters. Das umfasst die Pflicht, den KI-Einsatz im Unternehmen sachgerecht zu organisieren und zu überwachen. Konkret:

Die Geschäftsleitung muss sich einen Überblick verschaffen, welche KI-Systeme im Unternehmen eingesetzt werden und welche Risiken damit verbunden sind. Sie muss sicherstellen, dass für den KI-Einsatz klare Zuständigkeiten, Richtlinien und Kontrollmechanismen bestehen. Entscheidungen, die auf KI-Ergebnissen beruhen, dürfen nicht blind übernommen werden. Die vom Bundesgerichtshof entwickelten Maßstäbe zur Nutzung externer Informationsquellen sind auf KI-Systeme übertragbar: Das System muss für die jeweilige Fragestellung geeignet sein, und seine Ergebnisse müssen auf Plausibilität geprüft werden. Ein ausschließlich KI-gestütztes Vorgehen ohne menschliche Kontrolle wird die Anforderungen an die Sorgfalt eines ordentlichen Geschäftsleiters regelmäßig nicht erfüllen.

KI-Compliance als Organisationspflicht

Hinzu kommt die Pflicht zur Einhaltung der KI-Verordnung. Die KI-VO stellt eigene Anforderungen an die KI-Kompetenz der Mitarbeitenden, an die Überwachung von Hochrisiko-Systemen und an die Dokumentation des KI-Einsatzes. Verstöße gegen diese Pflichten können zu erheblichen Bußgeldern führen. Wenn die Geschäftsleitung die KI-Compliance im Unternehmen nicht oder unzureichend organisiert und der Gesellschaft dadurch ein Schaden entsteht – etwa durch ein Bußgeld –, steht eine persönliche Haftung nach § 43 Abs. 2 GmbHG bzw. § 93 Abs. 2 AktG im Raum.

Der Disclaimer-Irrtum: Warum „KI-generiert" nicht enthaftet

In der Praxis begegnet immer wieder die Vorstellung, ein Hinweis wie „Diese Antwort wurde mit Unterstützung von KI erstellt" oder „KI-generierte Inhalte, keine Gewähr" befreie von der Haftung. Das ist in dieser Pauschalität unzutreffend.

Im vertraglichen Bereich muss ein Haftungsausschluss den Anforderungen des AGB-Rechts standhalten. Pauschale Haftungsausschlüsse für vorsätzlich oder grob fahrlässig verursachte Schäden oder für Verletzungen von Leben, Körper und Gesundheit sind nach §§ 307, 309 Nr. 7 BGB unwirksam. Das gilt unabhängig davon, ob der Fehler von einem Menschen oder einer KI verursacht wurde.

Im deliktischen Bereich kann die Haftung nach § 823 BGB ohnehin nicht durch einseitige Erklärungen ausgeschlossen werden. Die Verkehrssicherungspflicht besteht unabhängig von Disclaimern.

(bzw. die neue Produkthaftungsrichtlinie) Haftungsbeschränkungen zulasten des Geschädigten im Voraus vollständig aus.§ 14 ProdHaftGIm Rahmen der Produkthaftung schließt

Der Hinweis auf KI-Nutzung kann im Rahmen der Transparenzpflichten nach Art. 50 KI-VO sogar verpflichtend sein. Er ist aber kein Haftungsinstrument – wer ihn als solches behandelt, unterschätzt das Risiko.

KI am Arbeitsplatz: Wer haftet – Arbeitgeber oder Arbeitnehmer?

Eine der am häufigsten gestellten Fragen betrifft die Haftungsverteilung im Arbeitsverhältnis: Wenn ein Mitarbeiter KI-Ergebnisse ungeprüft übernimmt und daraus ein Schaden entsteht – haftet der Arbeitgeber oder der Arbeitnehmer?

Grundsatz: Der Arbeitgeber trägt das Organisationsrisiko

Im Außenverhältnis haftet gegenüber dem geschädigten Dritten zunächst das Unternehmen. Der Arbeitgeber ist als Betreiber für die Organisation seines Betriebs und die eingesetzten Arbeitsmittel verantwortlich. Stellt er Mitarbeitenden KI-Tools zur Verfügung, muss er Schulungen anbieten, Einsatzgrenzen definieren und Kontrollprozesse einrichten. Die KI-Verordnung fordert in Art. 4 explizit, dass Betreiber die KI-Kompetenz ihrer Mitarbeitenden sicherstellen.

Innerbetrieblicher Schadensausgleich

Im Innenverhältnis – also der Frage, ob das Unternehmen den Arbeitnehmer in Regress nehmen kann – gelten die Grundsätze des innerbetrieblichen Schadensausgleichs. Bei leichtester Fahrlässigkeit haftet der Arbeitnehmer nicht. Bei mittlerer Fahrlässigkeit wird der Schaden anteilig geteilt. Nur bei grober Fahrlässigkeit oder Vorsatz haftet der Arbeitnehmer in der Regel voll.

In der Praxis heißt das: Wer eine offensichtlich falsche KI-Ausgabe ungeprüft übernimmt, obwohl der Fehler bei zumutbarer Prüfung erkennbar gewesen wäre, handelt unter Umständen grob fahrlässig. Wer hingegen einer plausibel wirkenden KI-Antwort vertraut, die sich erst bei vertiefter Prüfung als falsch herausstellt, dürfte im Bereich der einfachen Fahrlässigkeit liegen.

Das Sonderproblem „Schatten-KI"

Besonders haftungsrelevant wird die Lage, wenn Mitarbeitende ohne Wissen und Genehmigung des Arbeitgebers KI-Tools nutzen – sogenannte Schatten-KI. Gibt ein Mitarbeiter vertrauliche Kundendaten, Geschäftsgeheimnisse oder personenbezogene Daten in ein öffentliches KI-Tool ein, können neben der arbeitsrechtlichen Pflichtverletzung auch DSGVO-Verstöße und Verletzungen des Geschäftsgeheimnisgesetzes im Raum stehen. In schweren Fällen kann die eigenmächtige Nutzung sogar eine Abmahnung oder Kündigung rechtfertigen. Für den Arbeitgeber unterstreicht das die Notwendigkeit klarer interner KI-Nutzungsrichtlinien.

Was sollten Unternehmen tun?

  • KI-Inventarisierung und Risikobewertung: Welche KI-Systeme werden eingesetzt? In welchen Geschäftsprozessen? Welche Entscheidungen beruhen auf KI-Ergebnissen? Wo ist das Schadensrisiko am höchsten? Diese Bestandsaufnahme bildet die Grundlage für alle weiteren Maßnahmen – und ist zugleich eine Anforderung der KI-Verordnung.
  • Prüf- und Kontrollprozesse: KI-Ergebnisse, die in den Geschäftsverkehr gelangen – Kundenberatung, Vertragsgestaltung, Diagnostik, Werbung –, sollten einer menschlichen Plausibilitätsprüfung unterzogen werden. Der Umfang der Prüfung hängt vom Schadensrisiko ab.
  • Vertragsgestaltung gegenüber KI-Anbietern: Verträge mit KI-Anbietern sollten klare Regelungen zu Funktionalität, Verfügbarkeit, Haftung und Haftungsfreistellung enthalten. Wer sich auf SaaS-Standard-AGB verlässt, übernimmt typischerweise ein asymmetrisches Risiko.
  • Vertragsgestaltung gegenüber Kunden: Wenn KI-gestützte Leistungen an Kunden erbracht werden, sollte der Leistungsumfang klar beschrieben und der KI-Einsatz gegebenenfalls transparent gemacht werden. Pauschale Haftungsausschlüsse sind AGB-rechtlich riskant.
  • Chatbot-Compliance: Wer KI-Chatbots im Kundenkontakt einsetzt, sollte sicherstellen, dass der Chatbot keine rechtsverbindlichen Zusagen macht, die das Unternehmen nicht einhalten kann oder will. Das LG Hamburg hat gezeigt, dass die Selbstdarstellung des Bots als verlässliche Quelle zum Haftungsanknüpfungspunkt werden kann. Zudem gelten ab August 2026 Transparenzpflichten nach Art. 50 KI-VO. Eine ausführliche Einordnung der Chatbot-Haftung findet sich hier: Wer haftet, wenn ein Chatbot lügt?
  • Urheberrecht und KI-Ergebnisse: Wer KI-Ergebnisse kommerziell nutzt, sollte prüfen, ob sie bestehende Werke, Marken oder Persönlichkeitsrechte verletzen. Urheberrecht und KI: Training, Upload, Bearbeitung und Nutzung der Ergebnisse
  • KI-Richtlinie im Unternehmen: Eine interne KI-Nutzungsrichtlinie sollte festlegen, welche Mitarbeitenden welche Tools für welche Zwecke einsetzen dürfen, welche Daten eingegeben werden dürfen und wie Ergebnisse zu prüfen sind. Das reduziert Haftungsrisiken und dient zugleich der KI-Compliance.
  • Produkthaftung monitoren: Unternehmen, die KI-Systeme entwickeln, wesentlich modifizieren oder als eigene Produkte anbieten, sollten die Umsetzung der neuen Produkthaftungsrichtlinie in deutsches Recht verfolgen und ihre Haftungsvorsorge anpassen.

Häufige Fragen zu KI und Haftung

Wer haftet, wenn eine KI einen Fehler macht?

Die KI selbst haftet nie. Haftungsadressaten sind der Anbieter des KI-Systems (vertragliche Haftung, Produkthaftung), der Betreiber, der das System einsetzt und seine Ergebnisse im Geschäftsverkehr verwendet (vertragliche und deliktische Haftung), und gegebenenfalls die Geschäftsleitung persönlich (Organhaftung). Welche Anspruchsgrundlage greift, hängt vom konkreten Sachverhalt ab.

Haftet mein Unternehmen für Aussagen eines KI-Chatbots?

Ja. Setzt ein Unternehmen einen KI-Chatbot im Kundenkontakt ein, werden die Aussagen des Chatbots dem Unternehmen zugerechnet. Das gilt für Preisangaben, Lieferzusagen und andere geschäftsrelevante Auskünfte. International hat das 2024 der Fall Air Canada bestätigt (2024 BCCRT 149). In Deutschland hat das LG Hamburg im September 2025 erstmals einen KI-Betreiber für die Aussagen seines Bots haftbar gemacht (Az. 324 O 461/25). Mehr dazu: Wer haftet, wenn ein Chatbot lügt?

Schützt ein Disclaimer wie „KI-generiert, keine Gewähr" vor Haftung?

Nur sehr eingeschränkt. Im AGB-Recht sind pauschale Haftungsausschlüsse für grobe Fahrlässigkeit und Vorsatz sowie für Personen- und Gesundheitsschäden unwirksam (§§ 307, 309 Nr. 7 BGB). Im Deliktsrecht kann die Haftung nach § 823 BGB nicht durch einseitige Erklärungen ausgeschlossen werden. Die Produkthaftung schließt Haftungsbeschränkungen zulasten des Geschädigten vollständig aus.

Was ändert die neue EU-Produkthaftungsrichtlinie für KI?

Die Richtlinie (EU) 2024/2853 erfasst erstmals Software und KI-Systeme ausdrücklich als Produkte. Die Hersteller haften verschuldensunabhängig. Der bisherige Haftungshöchstbetrag von 85 Millionen Euro wird abgeschafft. Geschädigte profitieren von Beweiserleichterungen und Offenlegungspflichten des Herstellers. Die Umsetzung in deutsches Recht muss bis zum 9. Dezember 2026 erfolgen.

Was ist aus der geplanten KI-Haftungsrichtlinie geworden?

Die EU-Kommission hat den 2022 vorgelegten Vorschlag für eine KI-Haftungsrichtlinie im Februar 2025 zurückgezogen. Ob ein neuer Vorschlag kommt, ist offen. Eine spezifische KI-Haftungsregelung auf EU-Ebene existiert derzeit nicht. Die Haftung richtet sich nach den allgemeinen nationalen Regeln und der neuen Produkthaftungsrichtlinie.

Kann die Geschäftsleitung persönlich haften, wenn KI-Systeme Schäden verursachen?

) haften der Gesellschaft gegenüber, wenn sie den KI-Einsatz nicht sachgerecht organisieren und überwachen. Das umfasst die Pflicht, KI-Systeme zu inventarisieren, Kontrollmechanismen einzurichten und die KI-Compliance nach der KI-Verordnung sicherzustellen. Entsteht der Gesellschaft durch mangelnde Organisation ein Schaden – etwa ein Bußgeld nach § 93 AktG) und Vorstände (§ 43 GmbHGJa. Geschäftsführer (Art. 99 KI-VO –, kommt eine persönliche Haftung in Betracht.

Haftet ein Arbeitnehmer, wenn er KI-Ergebnisse ungeprüft übernimmt?

Es kommt auf den Grad des Verschuldens an. Übernimmt ein Mitarbeiter eine offensichtlich fehlerhafte KI-Ausgabe, ohne sie zu prüfen, kann das grob fahrlässig sein – mit voller Haftung im Innenverhältnis. Bei nicht offensichtlichen Fehlern und einfacher Fahrlässigkeit greift die Haftungsprivilegierung des innerbetrieblichen Schadensausgleichs. Im Außenverhältnis haftet zunächst der Arbeitgeber.

Was ist „Schatten-KI" und welche Risiken entstehen daraus?

Schatten-KI bezeichnet die Nutzung von KI-Tools durch Mitarbeitende ohne Wissen oder Genehmigung des Arbeitgebers. Das Risiko: Vertrauliche Daten, Geschäftsgeheimnisse oder personenbezogene Daten können unkontrolliert an Dritte abfließen. Neben DSGVO-Verstößen und dem Verlust des Geheimnisschutzes nach dem GeschGehG können auch arbeitsrechtliche Konsequenzen bis zur Kündigung drohen. Eine interne KI-Nutzungsrichtlinie ist der wichtigste Gegenmechanismus.

Wer haftet, wenn ein feines Tuning eines KI-Modells zu Fehlern führt?

Wer ein KI-Modell durch eigenes Fine-Tuning, eigene Trainingsdaten oder Modifikation der Entscheidungslogik wesentlich verändert, kann nach der neuen Produkthaftungsrichtlinie als Hersteller eingestuft werden – und haftet dann verschuldensunabhängig nach dem Produkthaftungsrecht. Auch ohne Herstellereigenschaft kann eine deliktische Haftung bestehen, wenn die Modifikation sorgfaltswidrig durchgeführt wurde.

Gilt die Produkthaftung auch für Cloud-basierte KI-Dienste?

Ja. Die neue Produkthaftungsrichtlinie erfasst Software ausdrücklich unabhängig von ihrer Bereitstellungsform. Das schließt Cloud-Dienste, SaaS-Lösungen und API-basierte KI-Services ein.

Reicht es, wenn ich die KI-Ergebnisse nicht selbst veröffentliche, sondern nur intern nutze?

Für die deliktische Haftung und die Produkthaftung kommt es auf die Schadensverursachung an, nicht auf die Veröffentlichung. Auch bei rein interner Nutzung können Schäden entstehen – etwa wenn eine KI-gestützte Personalentscheidung diskriminierend ist oder ein KI-generierter Bericht zu einer Fehlentscheidung führt. Im vertraglichen Bereich ist die interne Nutzung allerdings weniger exponiert, weil typischerweise kein Dritter geschädigt wird.

Was ist der wichtigste Schritt, den Unternehmen jetzt unternehmen sollten?

Eine systematische KI-Inventarisierung. Ohne einen Überblick über die eingesetzten KI-Systeme, ihre Einsatzbereiche und die damit verbundenen Risiken lassen sich weder vertragliche noch regulatorische noch organisatorische Haftungsrisiken sinnvoll steuern. Diese Bestandsaufnahme ist zugleich eine Kernforderung der KI-Verordnung.

Fazit

Die Haftung für KI-Fehler ist kein Sonderthema, sondern eine Anwendung bestehender Grundsätze auf eine neue Technologie. Vertragsrecht, Deliktsrecht, Produkthaftung und Organhaftung greifen ineinander. Der Einsatz von KI ändert nicht die Haftungsregeln, sondern die Fehlerquellen und die Komplexität der Zurechnung.

Mit der neuen EU-Produkthaftungsrichtlinie wird der Rahmen ab Ende 2026 nochmals verschärft. Unternehmen, die KI-Systeme entwickeln oder wesentlich verändern, stehen vor einer verschuldensunabhängigen Haftung ohne Höchstbetrag. Und Unternehmen, die KI einsetzen, ohne den Einsatz zu steuern, zu dokumentieren und zu überwachen, riskieren neben regulatorischen Sanktionen auch eine persönliche Haftung der Geschäftsleitung.

Wer die Haftungsrisiken ernst nimmt und die nötigen Strukturen aufbaut, wird mit der neuen Rechtslage gut umgehen können.