Ein mittelständisches Unternehmen integriert ein KI-gestütztes Empfehlungssystem in seinen Onlinevertrieb. Das System empfiehlt fehlerhaft ein technisches Produkt; ein Gewerbetreibender erleidet daraufhin einen Sachschaden. Wer haftet – der Hersteller des KI-Systems, das vertreibende Unternehmen oder der Geschäftsführer persönlich? Die Frage ist dringlicher denn je: Mit Inkrafttreten der EU-KI-Verordnung (KI-VO) tritt seit dem 2. August 2026 schrittweise ein verbindlicher Regulierungsrahmen in Kraft, der bestehende zivilrechtliche Haftungsregeln nach BGB und Produkthaftungsgesetz (ProdHaftG) ergänzt.
Beim Einsatz von KI-Systemen im Unternehmen können je nach Konstellation der Hersteller des Systems, der Betreiber oder beide gemeinsam haftbar sein – auf Grundlage des deutschen Produkthaftungsrechts (ProdHaftG), der deliktischen Generalklausel des § 823 BGB sowie der neuen Vorgaben der EU-KI-Verordnung. Für Geschäftsführer im Mittelstand ist entscheidend: Wer ein Hochrisiko-KI-System betreibt, ohne die gesetzlichen Sorgfaltspflichten zu erfüllen, setzt sich persönlichen Haftungsrisiken aus. Die nachfolgende Rechtsanalyse ordnet die Normenlage ein, zeigt typische Haftungskonstellationen und leitet konkrete Handlungsempfehlungen ab.
Dieser Beitrag beleuchtet zunächst den Rechtsrahmen aus BGB, ProdHaftG und KI-VO, analysiert anschließend die Haftungsverantwortung von Betreibern und Herstellern, behandelt die spezifische Lage für Geschäftsführer und entwickelt schließlich ein Risikomanagement-Konzept für den Mittelstand.
Welcher Rechtsrahmen gilt beim Einsatz von KI-Systemen?
Beim Haftung beim Einsatz von KI-Systemen greifen derzeit mehrere Normschichten ineinander – ein Umstand, der in der Mandatspraxis regelmäßig zu Unsicherheiten führt. Das deutsche Recht kennt keine eigenständige „KI-Haftungsnorm"; stattdessen sind es das allgemeine Deliktsrecht des BGB, das Produkthaftungsgesetz sowie – neu hinzukommend – die EU-KI-Verordnung, die gemeinsam den Haftungsrahmen aufspannen.
Nach § 823 Abs. 1 BGB haftet, wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt. Diese Generalklausel bildet das Fundament: Produziert ein KI-System einen fehlerhaften Output, der unmittelbar zur Verletzung eines geschützten Rechtsguts führt, ist die Anwendbarkeit des § 823 BGB grundsätzlich zu prüfen. Problematisch ist stets der Kausalitätsnachweis – Gerichte werden zunehmend vor die Frage gestellt, ob der Schaden auf den algorithmischen Fehler oder auf eine menschliche Entscheidung im Nachgang zurückzuführen ist.
Das Produkthaftungsgesetz (ProdHaftG), das die EU-Produkthaftungsrichtlinie (85/374/EWG) in deutsches Recht überführt, ergänzt das Deliktsrecht um eine verschuldensunabhängige Gefährdungshaftung. Entscheidend ist dabei der Produktbegriff: Die überarbeitete EU-Produkthaftungsrichtlinie (2024/2853), die bis Ende 2026 in nationales Recht umzusetzen ist, stellt ausdrücklich klar, dass auch Software – einschließlich KI-Software – als „Produkt" gilt und damit dem Haftungsregime unterfällt. Dies schließt explizit KI-Modelle ein, die als eigenständige Softwareprodukte in Verkehr gebracht werden.
Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) schafft darüber hinaus einen risikobasierten Regulierungsrahmen. Hochrisiko-KI-Systeme im Sinne von Anhang III der KI-VO – etwa Systeme in den Bereichen Personalverwaltung, Kreditwürdigkeitsprüfung, Strafverfolgung oder kritische Infrastruktur – unterliegen ab dem 2. August 2026 strengen Conformity-Assessment-Pflichten, Dokumentationsanforderungen und Transparenzvorgaben. Das Nichterfüllen dieser Pflichten indiziert in einem späteren Schadensersatzprozess die Verletzung einer Verkehrssicherungspflicht.
Produkthaftung bei KI: Wer ist Hersteller, wer ist Betreiber?
Die praktisch relevanteste Haftungsfrage lautet: Ist das Unternehmen im konkreten Fall Hersteller, Betreiber oder beides? Diese Unterscheidung entscheidet über den anwendbaren Haftungsmaßstab.
Als Hersteller gilt nach dem ProdHaftG und der neuen Produkthaftungsrichtlinie, wer das Produkt – also die KI-Software oder das KI-System – entwickelt, verändert oder unter eigenem Namen in Verkehr bringt. Unternehmen, die ein Basismodell eines Drittanbieters (etwa eines Cloud-KI-Anbieters) durch eigenes Fine-Tuning oder durch Integration eigener Daten wesentlich verändern und das so veränderte System unter eigenem Namen einsetzen, riskieren eine Herstellerqualifikation. In der Mandatspraxis sehen wir dieses Szenario häufig in Unternehmen aus dem Bereich Finanzdienstleistungen und im technischen Großhandel, die KI-Schnittstellen anpassen und dabei unbewusst in die Herstellerrolle gleiten.
Als Betreiber (englisch: Deployer im Sinne der KI-VO) gilt, wer ein KI-System in eigener Verantwortung im beruflichen oder gewerblichen Rahmen einsetzt. Der Betreiber schuldet nach der KI-VO insbesondere:
- die Verwendung des Systems gemäß der Betreiberanleitung des Herstellers,
- die Überwachung des Systems während des laufenden Betriebs,
- die Information von Nutzern, wenn diese mit einem KI-System interagieren,
- bei Hochrisiko-KI-Systemen: die Durchführung einer Grundrechte-Folgenabschätzung.
Daraus ergibt sich ein klares Haftungsgefälle: Hält der Betreiber die Betreiberanleitung ein und dokumentiert dies nachvollziehbar, kann er gegenüber dem Hersteller Regress nehmen, wenn ein Systemfehler auf einen Konstruktionsmangel zurückzuführen ist. Fehlt diese Dokumentation, bleibt er auf dem Schaden sitzen. Die Regelverjährung nach § 195 BGB beträgt 3 Jahre ab Kenntnis des Schadens und der Person des Schädigers (Jahresendprinzip nach § 199 BGB); die maximale Haftungsfrist nach dem ProdHaftG beträgt für denselben Schaden 10 Jahre ab Inverkehrbringen des Produkts.
Welche Haftungsrisiken ergeben sich für Geschäftsführer im Mittelstand?
Für Geschäftsführer einer GmbH oder einer UG (haftungsbeschränkt) ist die persönliche Haftungsdimension besonders relevant. Die gesellschaftsrechtliche Haftungsgrundlage des § 43 GmbHG verpflichtet den Geschäftsführer zur Sorgfalt eines ordentlichen Kaufmanns. Setzt der Geschäftsführer ein KI-System ein, ohne die einschlägigen Complianceanforderungen der KI-VO zu prüfen, und entsteht dadurch ein Schaden an der Gesellschaft oder an Dritten, ist eine persönliche Innenhaftung gegenüber der Gesellschaft ernsthaft zu prüfen.
Hinzu tritt die Außenhaftung nach § 823 Abs. 2 BGB in Verbindung mit einem Schutzgesetz: Verletzt der Geschäftsführer durch den KI-Einsatz eine drittschützende Norm – etwa datenschutzrechtliche Pflichten aus der DSGVO – und entsteht dadurch einem Dritten ein messbarer Schaden, ist die persönliche deliktische Haftung nicht ausgeschlossen. Bei DSGVO-Verstößen drohen nach Art. 83 DSGVO Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes – wobei das höhere Maß gilt. Diese Sanktionen treffen primär das Unternehmen als verantwortliche Stelle, können aber bei gravierendem Organisationsverschulden mittelbar auf den Geschäftsführer zurückwirken.
Besonders zu beachten: Meldet eine KI-Anwendung eine Datenschutzverletzung – etwa durch unautorisierten Datenzugriff infolge eines Modellfehlers – ist der Verantwortliche nach Art. 33 DSGVO verpflichtet, dies der zuständigen Aufsichtsbehörde binnen 72 Stunden zu melden. Eine verspätete oder unterlassene Meldung kann eigenständig als Bußgeldtatbestand gewertet werden. Nach unserer Erfahrung in der Mandatspraxis unterschätzen inhabergeführte Unternehmen diese Meldefrist systematisch – die interne Eskalationskette ist oft nicht auf eine so kurze Reaktionszeit ausgelegt.
Schließlich droht dem Geschäftsführer eine Haftung aus §§ 280, 241 Abs. 2 BGB gegenüber Vertragspartnern, wenn der KI-Einsatz im Rahmen einer vertraglichen Leistungserbringung zu Pflichtverletzungen führt und der Geschäftsführer insoweit persönlich in die Haftung genommen werden kann. Dies gilt insbesondere in Konstellationen, in denen der Geschäftsführer selbst deliktisch handelt und sich ein Gegner auf § 823 BGB stützen kann.
Wie wirkt die EU-KI-Verordnung auf bestehende Haftungsstrukturen?
Die EU-KI-Verordnung (KI-VO) transformiert die Haftungslandschaft, ohne das bestehende Zivilrecht zu ersetzen. Sie schafft Organisations- und Dokumentationspflichten, deren Verletzung im Schadensfall als Indiz für ein Verschulden gewertet werden kann.
Das risikobasierte System der KI-VO gliedert KI-Systeme in vier Risikoklassen: verbotene Praktiken (Artikel 5 KI-VO), Hochrisiko-KI-Systeme (Artikel 6 in Verbindung mit Anhang III), KI-Systeme mit spezifischen Transparenzpflichten sowie nicht oder nur gering regulierte Systeme. Für den Mittelstand sind die Hochrisikosysteme und die Transparenzpflichten praktisch relevant.
Betreiber von Hochrisiko-KI-Systemen müssen nach der KI-VO unter anderem:
- technische Dokumentation bereitstellen und aktuell halten,
- ein Qualitätsmanagementsystem implementieren,
- eine automatische Protokollierung des Systembetriebs sicherstellen,
- dem Nutzer verständliche Gebrauchsanweisungen zur Verfügung stellen,
- ein Konformitätsbewertungsverfahren durchführen (bei bestimmten Hochrisikosystemen durch Dritte).
Diese Pflichten sind nicht nur aufsichtsrechtlich relevant; sie bilden zugleich den Maßstab für die zivilrechtliche Verkehrssicherungspflicht. Ein Gericht, das zu beurteilen hat, ob ein Betreiber die erforderliche Sorgfalt gewahrt hat, wird zunehmend die Einhaltung der KI-VO-Anforderungen als Indikator heranziehen. In Deutschland fehlt bislang eine spezifische gerichtliche Entscheidungspraxis zur KI-VO – die höchstrichterliche Rechtsprechung ist abzuwarten. Anknüpfungspunkte bieten jedoch die gefestigte Senatsrechtsprechung zur Produzentenhaftung nach § 823 BGB sowie zur Verletzung von Verkehrssicherungspflichten.
Noch nicht abschließend geklärt ist die Frage der Kausalität bei autonom agierenden KI-Systemen. Die KI-VO hilft hier indirekt: Wer sein System dokumentiert und auditiert hat, kann den Kausalverlauf im Schadensfall besser rekonstruieren. Wer dies versäumt hat, steht vor erheblichen Beweisproblemen – denn nach den allgemeinen Grundsätzen des deutschen Deliktsrechts trägt der Geschädigte die Darlegungs- und Beweislast für den haftungsbegründenden Kausalverlauf.
Welche Besonderheiten gelten für KI-Systeme mit DSGVO-Bezug?
Zahlreiche KI-Systeme verarbeiten personenbezogene Daten – sei es im Personalwesen, bei der Bonitätsbewertung von Geschäftspartnern oder im Kundenservice. Hier überlagert sich die KI-VO mit der DSGVO, was für Betreiber eine doppelte Complianceaufgabe schafft.
Besonders praxisrelevant ist das Verbot vollautomatisierter Einzelentscheidungen nach Art. 22 DSGVO. Trifft ein KI-System eine Entscheidung, die die betroffene Person rechtlich erheblich beeinträchtigt – etwa die Ablehnung einer Kreditanfrage oder die Beendigung eines Vertrags –, ohne dass ein Mensch die Entscheidung überprüft hat, liegt ein DSGVO-Verstoß nahe. Dieser Verstoß kann sowohl zu einem Bußgeld nach Art. 83 DSGVO als auch zu einem Schadensersatzanspruch des Betroffenen nach Art. 82 DSGVO führen.
Art. 82 DSGVO gewährt Betroffenen einen eigenständigen materiellen und immateriellen Schadensersatzanspruch gegen den Verantwortlichen. Der Europäische Gerichtshof hat in gefestigter Rechtsprechung klargestellt, dass bereits der Kontrollverlust über eigene Daten einen immateriellen Schaden begründen kann, ohne dass ein weiterer nachweisbarer Nachteil erforderlich ist. Für den Betreiber eines KI-Systems bedeutet dies: Jeder Datenschutzverstoß im Zusammenhang mit dem KI-Einsatz kann eine Schadensersatzkaskade auslösen, die auch bei geringem Einzelschaden durch Sammelklagen oder Verbandsklagen erhebliches Schadenspotenzial entfaltet.
Nach unserer Erfahrung in der Beratung von mittelständischen Unternehmen wird der Auskunftsanspruch nach Art. 15 DSGVO im KI-Kontext besonders häufig geltend gemacht. Die Frist zur Beantwortung beträgt grundsätzlich 1 Monat nach Art. 12 Abs. 3 DSGVO. Unternehmen, deren KI-Systeme datenverarbeitende Entscheidungen treffen, müssen sicherstellen, dass sie auskunftsfähig sind – das heißt, dass sie auf Anfrage erklären können, welche Daten verarbeitet wurden und welche Logik der Entscheidung zugrunde lag.
Mikro-Fall aus der Mandatspraxis
In einem aktuellen Mandat beriet die Kanzlei ein mittelständisches Logistikunternehmen, das ein KI-basiertes Dispositionssystem eingesetzt hatte. Das System hatte in einem Fehlerfall automatisch einen Lieferauftrag storniert und dabei personenbezogene Daten eines Subunternehmers ohne hinreichende Rechtsgrundlage verarbeitet. Ausgangslage: Der Subunternehmer forderte Auskunft nach Art. 15 DSGVO und machte zugleich immateriellen Schadensersatz nach Art. 82 DSGVO geltend; die Aufsichtsbehörde leitete ein Prüfverfahren ein. Vorgehen: Die Kanzlei analysierte die Datenverarbeitungsprozesse, erstellte eine Übersicht der betroffenen Verarbeitungstätigkeiten und begleitete die Kommunikation mit der Aufsichtsbehörde. Gleichzeitig wurde die DSGVO-konforme Auskunft fristgerecht erteilt. Ergebnis: Das Prüfverfahren der Aufsichtsbehörde konnte durch Vorlage vollständiger Dokumentation und nachgewiesener Korrekturmaßnahmen ohne förmliche Bußgeldentscheidung abgeschlossen werden. Der Schadensersatzanspruch des Subunternehmers wurde auf Basis des nachgewiesenen immateriellen Schadens im Verhandlungsweg in einem überschaubaren Rahmen bereinigt – konkrete Beträge werden aus Mandantenschutzgründen nicht genannt.
Haftungsausschluss und Risikosteuerung: Vertragsgestaltung im KI-Kontext
Neben der gesetzlichen Haftungsebene eröffnet die vertragliche Gestaltung dem Mittelstand erheblichen Spielraum zur Risikosteuerung. Wer KI-Systeme von Drittanbietern einsetzt, muss die Lieferantenverträge sorgfältig prüfen.
In der Praxis enthalten Allgemeine Geschäftsbedingungen von KI-Anbietern regelmäßig weitreichende Haftungsbeschränkungen und Freistellungsklauseln. Diese Klauseln sind im B2B-Kontext nach §§ 305 ff. BGB grundsätzlich zulässig, sofern sie nicht überraschend oder inhaltlich unangemessen sind. Unternehmen, die KI-Lösungen als Bestandteil ihrer eigenen Serviceleistung weitergeben, sollten jedoch sicherstellen, dass die an sie übertragene Haftungsbeschränkung mit der Haftung übereinstimmt, die sie gegenüber ihren eigenen Kunden übernommen haben. Eine Asymmetrie in dieser Kette – vollständige Haftungsbeschränkung gegenüber dem KI-Anbieter, volle Haftung gegenüber dem Endkunden – ist ein klassisches Risikoprofil in der Mandatspraxis.
Welche Vertragsklauseln sind besonders kritisch? Drei Konstellationen treten in der Beratungspraxis regelmäßig auf: Erstens Klauseln, die jede Haftung für „unerwartetes Systemverhalten" ausschließen – sie können unzulässig sein, wenn sie auch den Ausschluss für grob fahrlässige Entwicklungsfehler umfassen. Zweitens Klauseln, die den Betreiber verpflichten, alle regulatorischen Pflichten aus der KI-VO eigenverantwortlich zu erfüllen, obwohl der Hersteller die nötige technische Dokumentation nicht bereitstellt. Drittens Klauseln, die das anwendbare Recht auf eine Jurisdiktion außerhalb der EU legen – im Verhältnis zu Verbrauchern regelmäßig unwirksam, im B2B-Verhältnis grundsätzlich möglich, aber mit Blick auf Durchsetzbarkeit problematisch.
Zur Risikosteuerung empfiehlt sich zudem eine KI-spezifische Versicherungslösung. Klassische Betriebshaftpflichtversicherungen decken Schäden durch KI-Systeme oft nur lückenhaft ab; spezifische Cyberversicherungen mit KI-Erweiterung sind marktüblich, aber in ihrer Deckungstiefe sehr unterschiedlich ausgestaltet. Lassen Sie die Versicherungsbedingungen im Lichte des konkreten KI-Einsatzes anwaltlich prüfen.
Entscheidungsmatrix: Haftungsverantwortung nach Konstellation
Die Frage, welches Haftungsregime greift, lässt sich systematisch nach Konstellation strukturieren. Eine Orientierungsmatrix für den Mittelstand:
Konstellation A – Standardsoftware ohne Anpassung: Ein Unternehmen setzt ein KI-System eines Drittanbieters unverändert ein. Haftungsverantwortlicher für Produktfehler ist primär der Hersteller nach ProdHaftG. Der Betreiber haftet nach § 823 BGB für eigene Verkehrssicherungspflichtverletzungen, insbesondere wenn er das System entgegen der Betreiberanleitung einsetzt oder offensichtliche Mängel ignoriert. Frist für Produkthaftungsansprüche: 3 Jahre Regelverjährung, maximal 10 Jahre Haftungszeitraum.
Konstellation B – KI-Modell mit eigenem Fine-Tuning: Das Unternehmen modifiziert ein Basismodell durch eigene Trainingsdaten. Risikoerhöhung: Das Unternehmen kann in die Herstellerqualifikation nach dem neuen Produkthaftungsrecht gleiten. Empfehlung: vertragliche Klarstellung der Haftungsaufteilung mit dem Anbieter des Basismodells; eigenständige Dokumentation des Fine-Tuning-Prozesses.
Konstellation C – Hochrisiko-KI-System nach KI-VO: Das Unternehmen betreibt ein KI-System, das in Anhang III der KI-VO aufgeführt ist (z. B. automatisierte Personalentscheidung). Pflicht: Konformitätsbewertung, technische Dokumentation, Protokollierung, Grundrechte-Folgenabschätzung. Verstoß: indiziert Verletzung der Verkehrssicherungspflicht im Schadensfall; zudem Bußgelder auf Ebene der KI-VO.
Konstellation D – KI-System mit DSGVO-relevantem Dateneinsatz: Das KI-System verarbeitet personenbezogene Daten für automatisierte Entscheidungen. Parallelregime: KI-VO und DSGVO. Besondere Pflichten: Art. 22 DSGVO (Verbot vollautomatisierter Entscheidungen ohne Mensch-in-the-Loop), Art. 33 DSGVO (Meldefrist 72 Stunden bei Datenschutzverletzung), Art. 82 DSGVO (Schadensersatz). Empfehlung: KI-Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zwingend durchführen.
Praktische Handlungsempfehlungen für den Geschäftsführer
Was folgt aus der vorstehenden Analyse konkret für die unternehmerische Praxis? Nach unserer Erfahrung in der Beratung mittelständischer Unternehmen lassen sich die Handlungsbedarfe auf fünf Kernbereiche verdichten.
Erstens: KI-Inventar erstellen. Erfassen Sie alle im Unternehmen eingesetzten KI-Systeme systematisch. Klären Sie für jedes System: Handelt es sich um ein Hochrisiko-KI-System nach Anhang III der KI-VO? Verarbeitet das System personenbezogene Daten? Wurde das System angepasst? Ohne dieses Inventar ist eine belastbare Haftungsanalyse nicht möglich.
Zweitens: Vertragswerk überprüfen. Lassen Sie die Lieferantenverträge mit KI-Anbietern im Hinblick auf Haftungsverteilung, Dokumentationspflichten und Regulierungspflichten nach der KI-VO analysieren. Prüfen Sie insbesondere, ob der Anbieter die nach der KI-VO erforderliche technische Dokumentation vertraglich schuldet.
Drittens: Interne Governance einrichten. Implementieren Sie eine interne Zuständigkeitsstruktur für KI-Systeme: Wer ist verantwortlich für die laufende Überwachung? Wer eskaliert bei Systemfehlern? Welche Dokumentationsanforderungen gelten intern? Eine schriftliche KI-Richtlinie ist für Unternehmen, die Hochrisiko-KI-Systeme einsetzen, keine Kür, sondern rechtliche Notwendigkeit.
Viertens: Datenschutzfolgenabschätzung durchführen. Für KI-Systeme, die personenbezogene Daten verarbeiten und ein hohes Risiko für betroffene Personen begründen, ist nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) zwingend. Fehlt diese, liegt ein eigenständiger DSGVO-Verstoß vor.
Fünftens: Krisenplan etablieren. Stellen Sie sicher, dass Ihr Unternehmen im Schadensfall handlungsfähig ist: Meldeprozesskette für Datenschutzverletzungen innerhalb von 72 Stunden, interne Eskalationsstruktur, Vorbereitete Kommunikation mit Aufsichtsbehörden. Im Ernstfall entscheidet die Reaktionsgeschwindigkeit über den Ausgang eines Prüfverfahrens.
Worin besteht der entscheidende Unterschied zwischen Unternehmen, die aus KI-Haftungsfällen unbeschadet hervorgehen, und jenen, die empfindliche Sanktionen tragen? In der Dokumentation. Wer seinen KI-Einsatz systematisch dokumentiert, die Betreiberanleitung einhält und die regulatorischen Pflichten der KI-VO erfüllt, hat im Schadensfall eine substanziell bessere Ausgangsposition – vor Behörden und vor Gericht.
Die vorstehende Analyse betrifft die typischen Konstellationen beim Einsatz von KI-Systemen im Mittelstand. Ihr konkreter Fall erfordert die Prüfung Ihrer spezifischen Systemlandschaft, Ihrer Verträge, Ihrer Datenverarbeitungsprozesse und der einschlägigen Rechtsprechung. Für eine erste Durchsicht Ihrer Unterlagen erreichen Sie uns unter info@brandtfalk.com.
Verwandte Leistungen
Häufige Fragen zur Haftung beim Einsatz von KI-Systemen
Wer haftet, wenn ein KI-System einen Schaden verursacht?
Die Haftungsverantwortung richtet sich danach, ob das Unternehmen als Hersteller oder als Betreiber des KI-Systems einzustufen ist. Hersteller haften verschuldensunabhängig nach dem Produkthaftungsgesetz für fehlerhafte Produkte; Betreiber haften nach § 823 BGB für die Verletzung von Verkehrssicherungspflichten, insbesondere wenn sie das System entgegen der Betreiberanleitung eingesetzt oder offensichtliche Sicherheitsmängel ignoriert haben. Beide Haftungsebenen können kumulativ eingreifen.
Was versteht die KI-Verordnung unter einem Hochrisiko-KI-System?
Hochrisiko-KI-Systeme sind in Anhang III der EU-KI-Verordnung abschließend aufgezählt. Dazu gehören unter anderem KI-Systeme im Bereich Personalverwaltung und Personalauswahl, Kreditwürdigkeitsbewertung, Strafverfolgung sowie kritische Infrastrukturen. Betreiber solcher Systeme müssen ab dem 2. August 2026 strenge Dokumentations-, Überwachungs- und Transparenzpflichten erfüllen; Verstöße können im Schadensfall als Verletzung der Verkehrssicherungspflicht gewertet werden.
Haftet der Geschäftsführer persönlich für Schäden durch KI-Systeme?
Eine persönliche Haftung des Geschäftsführers ist grundsätzlich möglich. Nach § 43 GmbHG schuldet der Geschäftsführer die Sorgfalt eines ordentlichen Kaufmanns; unterlässt er die gebotene Complianceprüfung vor dem KI-Einsatz und entsteht der Gesellschaft dadurch ein Schaden, greift die Innenhaftung. Darüber hinaus kann eine Außenhaftung nach § 823 BGB in Betracht kommen, wenn der Geschäftsführer durch den KI-Einsatz drittschützende Normen – etwa DSGVO-Pflichten – verletzt.
Welche DSGVO-Pflichten sind beim KI-Einsatz besonders relevant?
Drei DSGVO-Pflichten sind im KI-Kontext besonders praxisrelevant: das Verbot vollautomatisierter Einzelentscheidungen nach Art. 22 DSGVO, die Meldepflicht bei Datenschutzverletzungen binnen 72 Stunden nach Art. 33 DSGVO sowie der Auskunftsanspruch betroffener Personen nach Art. 15 DSGVO, der grundsätzlich binnen 1 Monat zu beantworten ist. Für risikohafte KI-Verarbeitungen ist zudem eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zwingend durchzuführen.
Wie kann ein Mittelstandsunternehmen sein KI-Haftungsrisiko reduzieren?
Das Haftungsrisiko lässt sich durch vier Maßnahmen substanziell reduzieren: sorgfältige Vertragsgestaltung mit KI-Anbietern mit klarer Haftungsaufteilung, vollständige und aktuelle technische Dokumentation des KI-Systems, Implementierung einer internen KI-Governance-Struktur sowie – für datenschutzrelevante Systeme – Durchführung einer Datenschutz-Folgenabschätzung. Wer diese Elemente nachweisen kann, ist im Schadensfall gegenüber Behörden und Gerichten erheblich besser aufgestellt.
Gilt das Produkthaftungsgesetz auch für KI-Software?
Ja. Die überarbeitete EU-Produkthaftungsrichtlinie (2024/2853), die bis Ende 2026 in deutsches Recht umzusetzen ist, stellt ausdrücklich klar, dass Software – einschließlich KI-Software – als Produkt gilt und der Gefährdungshaftung des ProdHaftG unterliegt. Für Unternehmen, die KI-Modelle durch eigenes Fine-Tuning oder eigene Datenanreicherung wesentlich verändern, kann damit die Herstellerqualifikation im Sinne des Produkthaftungsrechts eingreifen.
Die vorstehende Darstellung betrifft die Regelfälle der KI-Haftung. Ihr konkreter Fall erfordert die Prüfung Ihrer Systemlandschaft, Ihrer Vertragsunterlagen und der einschlägigen Rechtsprechung. Zur Klärung, wie die Haftungsregelungen der KI-VO und des deutschen Deliktsrechts auf Ihr Unternehmen wirken, wenden Sie sich an info@brandtfalk.com.
Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Er ersetzt nicht die anwaltliche Prüfung Ihres konkreten Sachverhalts. Für eine auf Ihre Situation zugeschnittene Beratung wenden Sie sich an info@brandtfalk.com.
Dieser Beitrag ist eine allgemeine Information und stellt keine Rechtsberatung dar. Für eine Prüfung Ihres Falls kontaktieren Sie info@brandtfalk.com.