KI-Regulierung

Rechtlicher Rahmen der Haftung für Schäden durch KI-Systeme: Herausforderungen im Zeitalter des AI Act

Künstliche Intelligenz bringt zunehmend reale, messbare Folgen im Alltag mit sich — von medizinischen Diagnosen bis zu Kreditentscheidungen, von Verkehrssystemen […]

Künstliche Intelligenz bringt zunehmend reale, messbare Folgen im Alltag mit sich — von medizinischen Diagnosen bis zu Kreditentscheidungen, von Verkehrssystemen bis zur Personalauswahl. Wenn ein KI-System eine fehlerhafte Entscheidung trifft oder einen Schaden verursacht, stellt sich eine grundlegende Rechtsfrage: Wer haftet, und wie kann die geschädigte Person Ersatz erlangen? Die Antwort auf diese Frage ist nicht einfach, und die EU hat eine Vorreiterrolle übernommen, um einen klaren Rechtsrahmen zu etablieren. Dieser Text hat informatorischen Charakter und ersetzt keine individuelle Rechtsberatung.

Warum klassische Haftungsrahmen nicht ausreichen

Das traditionelle Schadensersatzrecht beruht auf dem Nachweis eines Kausalzusammenhangs zwischen der Handlung (oder Unterlassung) einer bestimmten Person und dem entstandenen Schaden. Im Fall von KI-Systemen steht dieses Modell vor mehrfachen Herausforderungen:

Problem der Intransparenz (Black Box) — viele KI-Systeme, insbesondere solche auf Basis von Deep Learning, funktionieren auf eine Weise, die es sehr schwierig und mitunter praktisch unmöglich macht zu erklären, warum eine bestimmte Entscheidung getroffen wurde. Der Kausalitätsnachweis wird erheblich erschwert, wenn sich die Logik des Systems nicht rekonstruieren lässt.

Verteilte Verantwortung — an der Entwicklung und dem Einsatz eines einzigen KI-Systems ist typischerweise eine ganze Kette von Akteuren beteiligt: Forscher, die den Algorithmus entwickelt haben, das Unternehmen, das das Modell trainiert hat, Integratoren, die das Modell in ein konkretes Produkt eingebaut haben, sowie das Unternehmen oder die Person, die das System tatsächlich nutzt. Wer von diesen Akteuren haftet und in welchem Umfang?

Anpassungsfähigkeit des Systems — KI-Systeme, die während des Betriebs in der Produktionsumgebung lernen und ihr Verhalten ändern, können Schäden durch Verhaltensweisen verursachen, die ihr Entwickler nicht vorhergesehen hat und zum Zeitpunkt des Inverkehrbringens auch nicht vorhersehen konnte.

Informationsasymmetrie — der Nutzer oder das Schadensopfer hat selten Zugang zur technischen Dokumentation, den Trainingsdaten oder der internen Logik des Systems, das ihm Schaden zugefügt hat.

Der EU-Legislativrahmen: Drei Säulen

Die EU nähert sich der KI-Haftung durch drei miteinander verflochtene Instrumente:

1. Der AI Act als präventive Ebene

Der AI Act (KI-Verordnung, Verordnung (EU) 2024/1689), der am 1. August 2024 in Kraft getreten ist und schrittweise Anwendung findet, ist in erster Linie keine unmittelbare Schadensersatzregelung — er legt ex ante (vor dem Schadenseintritt) geltende Pflichten für die Entwicklung und den Einsatz von KI-Systemen fest. Verstöße gegen den AI Act haben jedoch direkte Haftungsimplikationen: Die Nichterfüllung technischer und organisatorischer Anforderungen (Dokumentation, Transparenz, Testing) kann ein entscheidender Beweis in zivilrechtlichen Schadensersatzverfahren sein.

Ein Unternehmen, das keine Risikobewertung für ein Hochrisiko-KI-System durchgeführt hat oder keine menschlichen Aufsichtsmechanismen eingerichtet hat, und das betreffende System anschließend einen Schaden verursacht, wird sich in einem zivil- oder strafrechtlichen Verfahren in einer äußerst schwierigen Verteidigungsposition befinden.

2. Die neue Produkthaftungsrichtlinie

Die Produkthaftungsrichtlinie aus dem Jahr 1985 (85/374/EWG), die die verschuldensunabhängige Haftung (Strict Liability) für fehlerhafte Produkte einführt, wurde überarbeitet: Die neue Richtlinie (EU) 2024/2853 über die Haftung für fehlerhafte Produkte wurde am 18. November 2024 im Amtsblatt der EU veröffentlicht, trat am 9. Dezember 2024 in Kraft, und die Mitgliedstaaten sind verpflichtet, sie bis Dezember 2026 in nationales Recht umzusetzen. Die neue Richtlinie schließt Software und KI-Systeme ausdrücklich in die Kategorie „Produkte” ein, was bedeutet, dass in bestimmten Fällen Schadensersatzklagen ohne Verschuldensnachweis möglich sind. Die Richtlinie sieht darüber hinaus eine Offenlegungspflicht für Beweismittel sowie Fehlerhaftigkeitsvermutungen zugunsten der Geschädigten in bestimmten Situationen vor.

3. Die KI-Haftungsrichtlinie (zurückgezogener Vorschlag)

Die Europäische Kommission legte 2022 einen Vorschlag für eine Richtlinie über KI-Haftung (AI Liability Directive) vor. Dieses Instrument war auf die Anpassung der Beweislastregeln in Zivilverfahren ausgerichtet, nicht auf die Einführung eines eigenständigen Haftungsregimes.

Die wesentlichen Bestimmungen des Vorschlags umfassten:

Recht auf Erklärung — Personen, die einen Schaden erlitten haben, hätten das Recht gehabt, von den Betreibern und Anbietern von KI-Systemen Dokumentation und Informationen über die Funktionsweise des Systems zu verlangen, die für den entstandenen Schaden relevant sind.

Kausalitätsvermutung — wenn der Kläger nachweist, dass der Beklagte gegen einschlägige Vorschriften (einschließlich des AI Act) verstoßen hat und ein Zusammenhang zwischen diesem Verstoß und dem entstandenen Schaden besteht, wäre der Kausalzusammenhang vermutet worden, und die Beweislast hätte sich auf den Beklagten verlagert.

Diese Bestimmungen reagierten unmittelbar auf das Problem der Informationsasymmetrie, das Geschädigte vor Gericht in eine ungünstige Position bringt. Die Europäische Kommission zog diesen Vorschlag jedoch im Laufe des Jahres 2025 aus dem Gesetzgebungsverfahren zurück, und bis zum Datum der Veröffentlichung dieses Textes wurde kein neues Instrument mit gleicher Zielsetzung vorgeschlagen. Ein Teil der vom Vorschlag adressierten Probleme wird durch die neue Produkthaftungsrichtlinie abgedeckt, während der Rest vorerst den allgemeinen nationalen Beweislastregeln überlassen bleibt.

Verteilung der Verantwortung in der KI-Wertschöpfungskette

In der Praxis erfordert die Identifikation der verantwortlichen Person eine Analyse der konkreten Rolle jedes Akteurs:

Entwickler (Developer/Provider): Verantwortlich für Konstruktionsfehler, Fehler in den Trainingsdaten, unzureichende Tests und Dokumentation des Systems. Die Pflichten aus dem AI Act sind für diese Rolle am umfangreichsten.

Integrator (Deployer): Verantwortlich für die Eignung der Wahl des KI-Systems für die jeweilige Anwendung, die Konformität mit dem AI Act als Deployer, die Transparenz gegenüber Endnutzern und die Überwachung des Systems im Betrieb.

Endnutzer/Betreiber: Verantwortlich für die ordnungsgemäße Nutzung des Systems gemäß den Anweisungen und dem vorgesehenen Verwendungszweck. Er kann sich nicht auf einen Fehler des KI-Systems berufen, wenn er das System auf eine Weise verwendet hat, die nicht den Nutzungsanweisungen entspricht.

Wenn mehrere Akteure zum Entstehen eines Schadens beitragen, können sie gesamtschuldnerisch haften, wobei jedem das Recht auf einen Regressanspruch gegen die anderen zusteht.

Branchenspezifika: Medizin, Recht, Finanzen

Die Haftung für KI-Schäden ist in regulierten Sektoren besonders sensibel:

Medizinische Anwendung — KI-Diagnosewerkzeuge sind als Medizinprodukte eingestuft und unterliegen einem doppelten Regulierungsrahmen — der MDR (Medical Device Regulation, Verordnung (EU) 2017/745) und dem AI Act. Ein Arzt, der ein KI-Tool verwendet, behält die berufliche Verantwortung für die endgültige diagnostische oder therapeutische Entscheidung; er kann sich nicht durch den Verweis darauf entlasten, dass „die KI es empfohlen hat”. Dies ist eine entscheidende Frage für die medizinische Praxis.

Rechts- und Finanzdienstleistungen — KI-Systeme, die Rechtsauskünfte oder Finanzempfehlungen erteilen, betreten das Terrain strenger Berufsregulierung. Rechtsanwälte und Finanzberater, die ihre fachliche Beurteilung an KI-Systeme delegieren, bleiben gegenüber ihren Mandanten und Kunden für die Ergebnisse dieser Empfehlungen haftbar.

Beschäftigung und HR — KI-Systeme, die bei der Bewerberauswahl oder der Bewertung der Arbeitsleistung eingesetzt werden, können diskriminierende Schäden verursachen. Arbeitgeber, die sich auf solche Systeme stützen, können sich nicht durch Verweis auf die autonome Entscheidung der KI von der Diskriminierungshaftung befreien.

Häufige Fragen (Q&A)

Wenn ein KI-System einen Fehler gemacht hat, der mir einen Schaden zugefügt hat — wen klage ich? Die Antwort hängt von den konkreten Umständen ab. In der Regel gibt es zwei potenzielle Beklagte: das Unternehmen, das das System entwickelt hat (für Konstruktions- oder Trainingsfehler), und das Unternehmen oder die Person, die das System auf Sie angewendet hat (für unsachgemäße Nutzung oder unzureichende Aufsicht). In der Praxis wird die Klage häufig gegen beide Akteure erhoben, und das Gericht stellt die Verteilung der Haftung fest.

Kann KI eine Rechtsperson sein, die selbstständig für Schäden haftet? Nach dem geltenden Recht der EU und Serbiens — nein. KI ist keine Rechtsperson und kann nicht verklagt werden. Die Haftung liegt stets bei einer natürlichen oder juristischen Person in der KI-Wertschöpfungskette. Debatten über eine etwaige Rechtspersönlichkeit von KI werden in akademischen Kreisen geführt, eine gesetzgeberische Umsetzung ist jedoch nicht in Sicht.

Wie weist man nach, dass gerade das KI-System (und nicht etwas anderes) den Schaden verursacht hat? Dies ist einer der schwierigsten Beweise, insbesondere bei intransparenten Systemen. Die neue Produkthaftungsrichtlinie (EU) 2024/2853 erleichtert die Position der Geschädigten durch die Offenlegungspflicht für Beweismittel sowie Fehlerhaftigkeitsvermutungen in bestimmten Situationen, während der Vorschlag der AI Liability Directive — der eine Kausalitätsvermutung bei Verstößen gegen den AI Act vorsah — aus dem Verfahren zurückgezogen wurde. Sachverständigengutachten im Bereich IT und KI werden in solchen Verfahren von zentraler Bedeutung sein.

Kann eine Versicherung KI-bedingte Schäden abdecken? Der Markt für KI-Risikoversicherungen befindet sich in der Entwicklung. Bestimmte Formen der Berufshaftpflicht- und Produkthaftpflichtversicherung können bereits einige KI-bedingte Schäden abdecken, je nach konkreter Police und ihrem Deckungsumfang. Ob eine bestehende Police KI-Risiken abdeckt, wird durch Auslegung der Versicherungsbedingungen im jeweiligen Einzelfall bestimmt.

Fazit

Die Frage der Haftung für KI-Schäden ist kein akademisches Dilemma — es ist eine Frage, die bereits heute vor Gerichten und in Verhandlungen über Schadensersatz auftaucht. Der EU-Legislativrahmen ist heute kohärenter denn je — der AI Act und die neue Produkthaftungsrichtlinie sind verabschiedet —, doch bestimmte Elemente, wie besondere Beweislastregeln für KI-Schäden, bleiben nach dem Rückzug des Vorschlags für die AI Liability Directive offen. Unternehmen, die KI-Systeme entwickeln oder einsetzen, müssen ihre Position in der Haftungskette proaktiv prüfen und Dokumentation, Aufsichtsverfahren und Versicherungsschutz an die bevorstehenden Anforderungen anpassen.

Wenn Sie Fragen zur Haftung für KI-Systeme haben, die Ihr Unternehmen entwickelt oder nutzt, oder wenn Sie durch ein KI-System einen Schaden erlitten haben, vereinbaren Sie eine Beratung mit unserem auf digitales Recht und KI-Regulierung spezialisierten Team.

Quellen: – https://eur-lex.europa.eu/eli/reg/2024/1689/oj (AI Act, Verordnung (EU) 2024/1689) – https://eur-lex.europa.eu/eli/dir/2024/2853/oj (Richtlinie (EU) 2024/2853 über die Haftung für fehlerhafte Produkte) – https://digital-strategy.ec.europa.eu/en/policies/liability-artificial-intelligence – https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-liability-for-ai – https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4573801

Die Inhalte dieser Website dienen ausschließlich Informationszwecken und stellen keine Rechtsberatung dar. Für konkrete rechtliche Beratung wenden Sie sich bitte direkt an einen Rechtsanwalt. Die Kanzlei handelt im Einklang mit dem Gesetz über die Rechtsanwaltschaft und dem Kodex der Berufsethik der Rechtsanwälte.

Scroll to Top