Ein mittelständisches Handelsunternehmen setzt eine KI-gestützte Kreditprüfung ein, die eine falsche Bonitätseinschätzung liefert und einen Geschäftspartner zu Unrecht ablehnt. Die Frage, die die Geschäftsführung danach beschäftigt, ist dieselbe, die derzeit Juristen und Unternehmer gleichermaßen bewegt: Wer haftet – der Hersteller des KI-Systems, das Unternehmen als Betreiber oder gar der Geschäftsführer persönlich?
Die Haftung beim Einsatz von KI-Systemen richtet sich in Deutschland derzeit nach dem allgemeinen zivilrechtlichen Rahmen des BGB – insbesondere Delikts- und Produkthaftungsrecht – sowie zunehmend nach den Vorgaben der europäischen KI-Verordnung (KI-VO, in Kraft seit August 2024). Unternehmen, die KI-Systeme einsetzen, nehmen eine Betreiberrolle ein und können unter bestimmten Voraussetzungen unmittelbar in Haftung genommen werden, ohne dass ein eigenes Verschulden nachgewiesen werden muss. Für Geschäftsführer im Mittelstand entstehen hieraus konkrete Organisations- und Überwachungspflichten.
Dieser Beitrag ordnet die geltende Rechtslage ein, beleuchtet die für den Mittelstand relevanten Haftungsgrundlagen und zeigt, welche Maßnahmen Geschäftsführer jetzt ergreifen sollten – bevor der erste Schadensfall eintritt.
Welcher Rechtsrahmen gilt heute für die Haftung bei KI-Systemen?
Die Haftung beim Einsatz von KI-Systemen lässt sich nicht aus einem einzigen Gesetz ableiten. Vielmehr greifen mehrere Regelungsbereiche ineinander, deren Zusammenspiel den haftungsrechtlichen Rahmen für Betreiber und Hersteller bestimmt.
Das BGB bildet die Grundlage: Wer durch eine fehlerhafte KI-Entscheidung einen Schaden verursacht, kann nach den allgemeinen Vorschriften zur unerlaubten Handlung – §§ 823 ff. BGB – in Anspruch genommen werden. Für den Betreiber eines KI-Systems stellt sich dabei die Frage, ob und in welchem Umfang ein eigenes Verschulden vorliegt oder ob er sich auf den Grundsatz berufen kann, dass der Hersteller des Systems verantwortlich ist. Das Produkthaftungsgesetz (ProdHaftG) hält einen verschuldensunabhängigen Anspruchsweg bereit, sofern ein KI-System als „Produkt" einzuordnen ist und ein Produktfehler vorliegt – eine Wertung, die bei trainierten Algorithmen zunehmend bejaht wird, aber noch nicht abschließend durch die höchstrichterliche Rechtsprechung gefestigt ist.
Die europäische KI-Verordnung (KI-VO, Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft und gilt als unmittelbar anwendbares Unionsrecht. Sie schafft keine eigenständige zivilrechtliche Haftungsnorm, legt jedoch verbindliche Anforderungen für Hochrisiko-KI-Systeme fest und definiert Betreiberpflichten – Transparenz, Risikoklassifizierung, technische Dokumentation, menschliche Aufsicht –, deren Verletzung im nationalen Haftungsrecht als Indiz für ein Verschulden gewertet werden kann. Für Betreiber von Hochrisiko-Systemen gilt ein gestuftes Pflichtenprogramm, das bereits seit Anfang 2025 schrittweise verbindlich wird.
Parallel zur KI-VO trat im Oktober 2024 die überarbeitete Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853) in Kraft, die die Mitgliedstaaten bis Ende 2026 umsetzen müssen. Sie bezieht ausdrücklich KI-Software als Produkt ein und erweitert den Fehlersbegriff auf Sicherheitserwartungen an lernfähige Systeme. In der Mandatspraxis sehen wir, dass diese Richtlinie schon heute als Auslegungshilfe herangezogen wird, auch wenn die nationale Umsetzung noch aussteht.
Wann haften Unternehmen als Betreiber – und wann nicht?
Die Betreiberstellung entsteht, sobald ein Unternehmen ein KI-System in eigenem Namen und auf eigene Rechnung im beruflichen oder gewerblichen Kontext einsetzt. Dabei ist unerheblich, ob das System selbst entwickelt oder lizenziert wurde. Entscheidend ist die tatsächliche Kontrolle über den Einsatz.
Für die Haftungsfrage im BGB-Rahmen kommt es auf den Nachweis einer Pflichtverletzung an. Das bedeutet: Ein Unternehmen, das ein KI-System ohne ausreichende Qualitätskontrolle, ohne interne Freigabeprozesse oder ohne dokumentierte Risikoprüfung betreibt, setzt sich dem Vorwurf der Organisationsverschuldens aus. Die gefestigte Senatsrechtsprechung zur Produktbeobachtungspflicht – ursprünglich für physische Produkte entwickelt – lässt sich nach Einschätzung von Kommentarliteratur und einer wachsenden Anzahl instanzgerichtlicher Entscheidungen auf KI-Systeme übertragen: Wer ein System einsetzt, das Ausgaben produziert, die Dritte schädigen können, muss dessen Verhalten beobachten und bei erkennbaren Risiken eingreifen.
Eine andere Konstellation ergibt sich bei KI-Systemen, die unter die Hochrisiko-Kategorie der KI-VO fallen. Hier sind Betreiber ausdrücklich verpflichtet, vor dem produktiven Einsatz eine Konformitätsprüfung sicherzustellen, ein Risikomanagementsystem vorzuhalten und eine kontinuierliche Überwachung zu gewährleisten. Verletzt ein Betreiber diese Pflichten und entsteht daraus ein Schaden, dürfte ein deutsches Gericht die Pflichtverletzung regelmäßig als Verschulden im Sinne des § 823 Abs. 2 BGB einordnen – die KI-VO als Schutzgesetz.
Freigestellt bleibt der Betreiber dagegen, wenn er nachweist, dass der Schaden ausschließlich auf einem Fehler des Herstellers – etwa eines fehlerhaften Trainingsdatensatzes – beruht und er selbst alle zumutbaren Sorgfaltspflichten eingehalten hat. Diese Entlastung ist in der Praxis schwer zu führen, weil KI-Systeme typischerweise als Black Box operieren und die Ursächlichkeit von Fehlern schwer zu isolieren ist. Gerade dieser Aspekt macht eine sorgfältige interne Dokumentation so wichtig.
Wie beurteilt die aktuelle Rechtsprechung die Haftungsverteilung?
Eine konsolidierte höchstrichterliche Rechtsprechung zur Haftung beim Einsatz von KI-Systemen liegt in Deutschland noch nicht vor. Gleichwohl zeichnen sich aus den Entscheidungen der Instanzgerichte und aus der europäischen Rechtsprechungspraxis klare Linien ab, die für die anwaltliche Beratung des Mittelstands heute schon prägend sind.
Die gefestigte Rechtsprechung zum allgemeinen Produkthaftungsrecht – insbesondere die Grundsätze zu Konstruktions-, Fabrikations- und Instruktionsfehlern – bildet den Ausgangspunkt. Gerichte haben in mehreren Verfahren signalisiert, dass sie bereit sind, einen fehlerhaften Algorithmus als Instruktionsfehler einzuordnen, wenn der Hersteller keine hinreichenden Nutzungshinweise zu den Grenzen und Risiken des Systems gegeben hat. Für Betreiber bedeutet das: Auch wenn der Hersteller haftet, kann der Betreiber in Regress genommen werden, wenn er Warnhinweise ignoriert hat.
Bedeutsam ist zudem die europäische Rechtsprechungslinie zum Datenschutz, die für KI-gestützte Entscheidungen unmittelbar relevant wird. Trifft ein KI-System automatisierte Entscheidungen mit rechtlicher Wirkung für natürliche Personen, sind nach Art. 22 DSGVO enge Grenzen gesetzt. Die Aufsichtsbehörden – und im Streitfall die Verwaltungsgerichte – haben klargestellt, dass eine vollständig automatisierte Entscheidung ohne Möglichkeit der menschlichen Überprüfung gegen die DSGVO verstößt. Bußgelder nach Art. 83 DSGVO können bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.
In der Mandatspraxis beraten wir regelmäßig Unternehmen, die erst nach einem Bußgeld- oder Schadensersatzverfahren feststellen, dass ihre KI-Anwendungen datenschutzrechtlich nicht konform ausgestaltet waren. Die frühzeitige rechtliche Begleitung der Einführungsphase hätte in jedem dieser Fälle den Schaden abgewendet oder erheblich reduziert.
Was die Haftungsverteilung zwischen Hersteller und Betreiber angeht, deutet die geltende Tendenz auf eine Mitverschuldensbetrachtung: Gerichte neigen dazu, die Verantwortungssphären nach der jeweiligen Einflussnahmemöglichkeit aufzuteilen. Wer das System konfiguriert, wer es trainiert, wer es in spezifische Prozesse einbettet – all das sind Parameter, die im konkreten Haftungsfall abgegrenzt werden müssen.
Welche persönliche Haftung droht dem Geschäftsführer?
Die Haftung der Gesellschaft und die persönliche Haftung des Geschäftsführers sind rechtlich getrennte Fragen – aber sie können im Kontext von KI-Systemen zusammentreffen. Für Geschäftsführer im Mittelstand ist das die wohl dringlichste Fragestellung.
Nach § 43 GmbHG hat der Geschäftsführer die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Entscheidet er sich für den Einsatz eines KI-Systems, ohne eine hinreichende rechtliche und technische Risikoprüfung durchzuführen, kann er gegenüber der Gesellschaft persönlich in Haftung genommen werden, wenn der Einsatz des Systems zu einem Schaden führt. Das gilt erst recht, wenn die KI-Anwendung unter die Hochrisiko-Kategorie fällt und Compliance-Pflichten nach der KI-VO verletzt wurden.
Relevant ist auch die strafrechtliche Dimension: Setzt ein Unternehmen ein KI-System im Bereich der Kreditvergabe, der Personalauswahl oder der Gesundheitsversorgung ein und entsteht durch eine fehlerhafte KI-Ausgabe ein Schaden für einen Dritten, kann die persönliche Verantwortung des Geschäftsführers als Garant für betriebliche Organisationspflichten diskutiert werden. Soweit bekannt, haben deutsche Staatsanwaltschaften in diesem Bereich noch keine einschlägigen Verfahren abgeschlossen. Die Rechtslage ist aber bereits in Bewegung.
Was folgt daraus für die Praxis? Der Geschäftsführer muss nachweisen können, dass er eine informierte Entscheidung getroffen hat – dokumentiert, anwaltlich begleitet und auf Basis einer nachvollziehbaren Risikoabwägung. Reicht eine formale Due-Diligence-Checkliste dafür aus? Nach unserer Erfahrung nicht. Es bedarf einer substanziellen rechtlichen Würdigung des konkreten Einsatzszenarios, nicht nur einer generischen Technikfolgenabschätzung.
Mikro-Fall aus der Kanzleipraxis
In einem aktuellen Mandat beriet die Kanzlei ein mittelständisches Logistikunternehmen aus Süddeutschland, das eine KI-gestützte Tourenplanungssoftware eingeführt hatte. Ausgangslage: Ein Subunternehmer machte Schadensersatz geltend, weil das System wiederholt fehlerhafte Routenvorgaben ausgespielt hatte, die zu erheblichen Kraftstoffkosten und Vertragsverzögerungen geführt hatten. Der Softwareanbieter verwies auf die Nutzungsbedingungen, die eine Haftung für algorithmusbasierte Ausgaben ausschlossen. Vorgehen: Die Kanzlei analysierte zunächst, ob die betreffende AGB-Klausel einer Inhaltskontrolle nach §§ 305 ff. BGB standhielt – was nach Prüfung zu verneinen war. Parallel wurde die Betreiberverantwortung des Unternehmens gegenüber dem Subunternehmer abgegrenzt. Ergebnis: Es gelang, die Haftung des Unternehmens gegenüber dem Subunternehmer auf einen deutlich reduzierten Teil zu begrenzen und eine außergerichtliche Einigung herbeizuführen. Konkrete Beträge werden aus Vertraulichkeitsgründen nicht genannt.
Was bedeutet die KI-Verordnung konkret für Betreiber im Mittelstand?
Die KI-VO klassifiziert KI-Systeme nach Risikoklassen. Für den Mittelstand besonders relevant ist die Kategorie der Hochrisiko-Systeme, die in Anhang III der Verordnung definiert sind. Dazu zählen KI-Anwendungen in den Bereichen Kreditvergabe, Personalauswahl, Bildung, kritische Infrastruktur und Strafverfolgung. Wer solche Systeme betreibt, unterliegt einem umfangreichen Pflichtenkatalog.
Die Pflichten umfassen im Kern: ein dokumentiertes Risikomanagementsystem, die Verwendung hochwertiger Trainingsdaten, technische Robustheit und Genauigkeit, transparente Informationen für Nutzer sowie ein System zur menschlichen Aufsicht. Für Betreiber – die KI-VO verwendet den Begriff „Deployer" – gilt zusätzlich: Sie müssen sicherstellen, dass das System nur für den vorgesehenen Zweck eingesetzt wird, und müssen erhebliche Risiken, die sich im Betrieb zeigen, an den Hersteller melden.
Was bedeutet das in der Praxis? Ein mittelständisches Pharmaunternehmen, das eine KI-gestützte Anwendung zur Vorselektion von Bewerbern einsetzt, fällt in den Hochrisikobereich. Es muss vor dem Einsatz eine Konformitätsbewertung sicherstellen – und zwar nicht nur formal, sondern mit substanziellem Inhalt. Ein Verstoß gegen die Betreiberpflichten der KI-VO kann im nationalen Haftungsrecht als Verschulden gewertet werden und die zivilrechtliche Verantwortung des Unternehmens begründen oder verstärken.
Für KI-Systeme mit allgemeinem Verwendungszweck – sogenannte GPAI-Modelle wie große Sprachmodelle – gelten eigene Transparenzpflichten. Unternehmen, die solche Modelle in eigene Produkte oder Prozesse integrieren, werden im Sinne der KI-VO ebenfalls als Betreiber behandelt und tragen eine eigenständige Verantwortung für die Einbettung in ihre Betriebsumgebung.
Welche Handlungsschritte empfiehlt sich für Geschäftsführer jetzt?
Die vorstehende Analyse zeigt: Der Rechtsrahmen für die Haftung beim Einsatz von KI-Systemen ist in Deutschland und auf europäischer Ebene in einer Phase dynamischer Entwicklung. Das ist keine Entschuldigung für Abwarten – im Gegenteil. Wer die Einführung von KI-Systemen jetzt strukturiert angeht, schafft eine Haftungsschutzarchitektur, die auch künftige Rechtsentwicklungen trägt.
Der erste Schritt ist eine Bestandsaufnahme aller bereits eingesetzten oder geplanten KI-Anwendungen und deren Einordnung in die Risikoklassen der KI-VO. Fällt ein System in die Hochrisiko-Kategorie, ist unmittelbarer Handlungsbedarf gegeben. Fällt es in die Kategorie der allgemeinen KI-Systeme oder unter die Ausnahmen, gelten abgestufte Pflichten – aber keine vollständige Freistellung.
Der zweite Schritt ist die Überprüfung der vertraglichen Grundlagen: Lieferantenverträge, Lizenzvereinbarungen und SLAs müssen klarstellen, wer für welche Fehlerklassen verantwortlich ist und wie Regressansprüche im Schadensfall geltend gemacht werden können. Haftungsausschlüsse in AGB des Softwareanbieters sind regelmäßig einer Inhaltskontrolle nach §§ 305 ff. BGB zu unterziehen und häufig nicht in dem Umfang wirksam, wie der Anbieter behauptet.
Der dritte Schritt ist der Aufbau eines internen Governance-Systems: Dokumentation der Entscheidungsprozesse, Schulung der verantwortlichen Mitarbeiter, Einrichtung eines Eskalationspfads für KI-Ausgaben, die eine menschliche Überprüfung erfordern. Gerade dieser Schritt ist es, den Gerichte im Streitfall als Maßstab für die Sorgfaltspflicht des Geschäftsführers anlegen.
Die vorstehende Darstellung betrifft die Regelfälle der Haftung beim Einsatz von KI-Systemen. Ihr konkretes Einsatzszenario erfordert die Prüfung der eingesetzten Systeme, der vertraglichen Grundlagen und der einschlägigen Pflichten der KI-VO im Einzelfall. Für eine fachliche Einschätzung Ihrer Situation schreiben Sie an info@brandtfalk.com.
Verwandte Leistungen
Häufige Fragen zur Haftung beim Einsatz von KI-Systemen
Wer haftet, wenn ein KI-System einen Schaden verursacht – Hersteller oder Betreiber?
Das hängt vom konkreten Sachverhalt ab. Grundsätzlich kann sowohl der Hersteller nach dem Produkthaftungsgesetz als auch der Betreiber nach den allgemeinen Vorschriften des BGB in Anspruch genommen werden. Entscheidend ist, ob der Fehler in der Entwicklung des Systems lag oder im konkreten Einsatz durch den Betreiber. In der Praxis ist oft eine Mitverantwortung beider Parteien festzustellen, die im Einzelfall nach dem jeweiligen Einflussbereich abgegrenzt werden muss.
Was ist ein Hochrisiko-KI-System nach der KI-Verordnung?
Die europäische KI-Verordnung (KI-VO) definiert Hochrisiko-KI-Systeme in Anhang III. Dazu zählen unter anderem KI-Anwendungen in der Personalauswahl, der Kreditvergabe, der Bildung und der kritischen Infrastruktur. Betreiber solcher Systeme unterliegen einem strengen Pflichtenkatalog – von der Risikoprüfung bis zur menschlichen Aufsicht. Eine Verletzung dieser Pflichten kann im nationalen Recht als Verschulden gewertet werden und die Haftung des Betreibers begründen.
Kann ein Geschäftsführer persönlich für KI-Schäden haften?
Ja, unter bestimmten Voraussetzungen. Nach § 43 GmbHG ist der Geschäftsführer zur Sorgfalt eines ordentlichen Geschäftsmannes verpflichtet. Entscheidet er sich für den Einsatz eines KI-Systems ohne hinreichende rechtliche Prüfung und entsteht daraus ein Schaden für die Gesellschaft, kann er ihr gegenüber persönlich in Regress genommen werden. Eine dokumentierte, anwaltlich begleitete Entscheidungsfindung ist daher keine Formalität, sondern eine echte Schutzmaßnahme.
Gilt die DSGVO auch für KI-gestützte Entscheidungen?
Ja. Trifft ein KI-System automatisierte Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung für natürliche Personen, greift Art. 22 DSGVO. Eine vollständig automatisierte Entscheidung ohne Möglichkeit menschlicher Überprüfung ist danach grundsätzlich unzulässig, sofern keine Ausnahme vorliegt. Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes geahndet werden.
Was sollte ein Unternehmen tun, bevor es ein KI-System einführt?
Vor der Einführung empfiehlt sich eine Bestandsaufnahme der geplanten KI-Anwendung und ihre Einordnung in die Risikoklassen der KI-VO. Fällt das System in die Hochrisiko-Kategorie, sind umfangreiche Compliance-Maßnahmen erforderlich. Darüber hinaus sollten die vertraglichen Grundlagen mit dem Softwareanbieter – insbesondere Haftungsklauseln in AGB – anwaltlich überprüft werden. Ein internes Governance-System mit klaren Dokumentationspflichten ist in jedem Fall anzuraten.
Sind Haftungsausschlüsse in KI-Softwareverträgen wirksam?
Nicht zwingend. Haftungsausschlüsse in Allgemeinen Geschäftsbedingungen unterliegen nach §§ 305 ff. BGB einer Inhaltskontrolle. Klauseln, die die Haftung für grobe Fahrlässigkeit oder vorsätzliches Handeln ausschließen, sind nach deutschem Recht unwirksam. Auch der pauschale Ausschluss der Haftung für algorithmusbasierte Ausgaben kann einer gerichtlichen Überprüfung nicht standhalten, wenn er wesentliche Vertragspflichten aushöhlt. Die genaue Wirksamkeit ist im Einzelfall zu prüfen.
Die vorstehende Darstellung betrifft die Regelfälle der Haftung beim Einsatz von KI-Systemen. Ihr konkreter Fall erfordert die Prüfung Ihrer Verträge, der eingesetzten Systeme und der einschlägigen Pflichten nach KI-VO und BGB. Zur Klärung, wie die geltende Haftungsordnung auf Ihr Unternehmen wirkt, wenden Sie sich an info@brandtfalk.com.
Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Er ersetzt nicht die anwaltliche Prüfung Ihres konkreten Sachverhalts. Für eine auf Ihre Situation zugeschnittene Beratung wenden Sie sich an info@brandtfalk.com.
Dieser Beitrag ist eine allgemeine Information und stellt keine Rechtsberatung dar. Für eine Prüfung Ihres Falls kontaktieren Sie info@brandtfalk.com.