← Alle Insights

Haftung bei KI-Fehlern in Deutschland.

Die Frage stellt sich früher oder später in jedem Unternehmen, das KI einsetzt: Was passiert eigentlich, wenn die KI einen Fehler macht? Der Chatbot verspricht einem Kunden einen Rabatt, den es nie gab. Das Prüfsystem im Wareneingang lässt eine fehlerhafte Charge durch. Die KI-gestützte Personalauswahl filtert qualifizierte Bewerber systematisch heraus. Solche Fälle sind keine Hypothese — sie passieren bereits, und die Schäden reichen vom Imageverlust bis zu sechsstelligen Klagen. Die deutsche Rechtslage zu KI-Haftung ist im Jahr 2026 in vielen Punkten noch unscharf. Eine spezifische KI-Haftungsrichtlinie ist seit 2025 in Vorbereitung, aber bisher gelten überwiegend die bekannten Rechtsgrundsätze aus BGB, ProdHaftG und Vertragsrecht. Dieser Artikel ordnet die wichtigsten Konstellationen ein und benennt, wo das Unternehmen das Risiko zwingend selbst trägt — und wo es sich begrenzen lässt. Er ersetzt keine Rechtsberatung, gibt aber Geschäftsführern eine Grundlage für das Gespräch mit dem Hausanwalt.

Drei typische Haftungsfälle aus der Praxis.

Bevor sich die Rechtsfragen sortieren lassen, lohnt ein Blick auf die Fälle, in denen Haftung tatsächlich relevant wird. Drei Konstellationen tauchen in Beratungsprojekten besonders häufig auf.

Falschauskunft gegenüber Kunden. Ein Chatbot auf der Website nennt einem Interessenten eine Lieferzeit oder einen Preis, die nicht stimmen. Der Kunde bestellt, das Unternehmen kann nicht liefern oder nur zu schlechteren Konditionen. Hier wird das Unternehmen vertraglich gebunden, denn der Chatbot tritt als Empfangsbote des Unternehmens auf. Eine Berufung auf „die KI hat sich geirrt“ trägt nicht.

Fehlerhafte Entscheidung mit Drittwirkung. Ein KI-gestütztes System lehnt eine Bewerbung ab, gewährt einen Kredit nicht, sortiert eine Lieferung als Ausschuss. Wenn diese Entscheidung diskriminierend, intransparent oder objektiv falsch ist, drohen Klagen — von AGG-Verfahren über Schadensersatzforderungen bis zu Bußgeldern nach DSGVO.

Interne Fehlentscheidung auf KI-Basis. Die KI gibt eine Empfehlung — etwa zur Preisfestsetzung, zur Lieferantenwahl, zur Investition. Die Geschäftsführung folgt ihr ohne eigene Prüfung. Es entsteht ein Schaden. Im Innenverhältnis zur Gesellschaft kann sich daraus ein Vorwurf gegen die Geschäftsführung selbst ergeben — Stichwort Sorgfaltspflicht nach Paragraph 43 GmbHG oder Paragraph 93 AktG. Die KI ist kein Schutzschild für Leitungsentscheidungen.

Wer haftet, wenn die KI etwas falsch sagt.

Im Außenverhältnis zu Kunden, Bewerbern oder Geschäftspartnern haftet grundsätzlich das Unternehmen, das die KI einsetzt. Das ist juristisch unromantisch, aber konsequent: Wer ein Werkzeug nutzt, übernimmt Verantwortung für das, was dieses Werkzeug produziert. Die KI selbst ist keine Rechtsperson, kann also nicht haften.

Der KI-Anbieter haftet in der Regel nur eingeschränkt — und meist nur, wenn ein Fehler im Produkt selbst nachgewiesen werden kann. Die meisten kommerziellen KI-Verträge schließen Haftung für Folgeschäden weitgehend aus oder begrenzen sie auf die Jahreslizenzgebühr. Das ist legal und marktüblich. Ein Mittelständler, der erwartet, dass OpenAI oder Microsoft für einen Geschäftsschaden aus einer KI-Falschauskunft aufkommt, wird enttäuscht werden.

Praxisbeispiel: Ein deutscher Online-Händler ließ einen Chatbot Rückerstattungen versprechen, die das Unternehmen nicht honorieren wollte. In einem viel diskutierten kanadischen Fall entschied ein Gericht 2024, dass die Auskunft eines Chatbots als Angebot des Unternehmens gilt; das Unternehmen musste zahlen. Für die deutsche Rechtslage ist eine vergleichbare Bindung des Unternehmens an Chatbot-Aussagen naheliegend, höchstrichterlich aber noch nicht geklärt. Die juristische Linie ist klar: Der Chatbot spricht für das Unternehmen, nicht für sich selbst.

Daraus folgt eine schlichte Regel: Wer KI an der Schnittstelle zum Kunden einsetzt, muss damit rechnen, an deren Aussagen gebunden zu werden. Die Frage ist nicht ob, sondern wann der erste Fall kommt — und wie das Unternehmen darauf vorbereitet ist.

Was die KI-Haftungsrichtlinie ändern soll.

Die EU arbeitet seit mehreren Jahren an einer eigenständigen KI-Haftungsrichtlinie, die das Beweisproblem in KI-Schadensfällen lösen soll. Der Kern: Wenn ein Geschädigter heute Schadensersatz fordert, muss er nachweisen, dass der Fehler in der KI lag und kausal für den Schaden war. Bei intransparenten KI-Systemen ist dieser Nachweis praktisch unmöglich.

Die geplante Richtlinie führt eine widerlegbare Vermutung ein: Wenn ein Hochrisiko-KI-System nachweislich gegen Pflichten aus dem AI Act verstoßen hat und ein typischer Schaden eintritt, wird die Kausalität zwischen Fehler und Schaden vermutet. Das Unternehmen muss dann zeigen, dass der Schaden nicht durch die KI verursacht wurde.

Was bedeutet das praktisch? Erstens: Unternehmen, die Hochrisiko-KI einsetzen, kommen unter einen deutlich höheren Dokumentations- und Prüfdruck. Wer nicht zeigen kann, dass das System sauber getestet, freigegeben und überwacht wurde, steht im Schadensfall schlechter da. Zweitens: Die Versicherbarkeit von KI-Risiken wird sich dadurch verbessern, sobald die Versicherer das Restrisiko besser kalkulieren können. Drittens: Die Rechtsunsicherheit bleibt vorläufig — die Richtlinie ist im Sommer 2026 noch nicht in nationales Recht umgesetzt. Bis dahin gelten die allgemeinen Haftungsregeln, mit allen bekannten Beweisproblemen.

Die Innenhaftung der Geschäftsführung.

Eine Dimension, die in der KI-Diskussion oft untergeht: die Haftung der Geschäftsführung gegenüber der eigenen Gesellschaft. Paragraph 43 Absatz 2 GmbHG verpflichtet Geschäftsführer zur Sorgfalt eines ordentlichen Geschäftsmanns. Bei Aktiengesellschaften gilt Paragraph 93 AktG analog. Wer KI einsetzt, ohne ihre Funktionsweise zu verstehen, ohne sie zu prüfen und ohne Kontrollen einzuziehen, riskiert im Schadensfall einen Vorwurf der Pflichtverletzung.

Das ist kein theoretisches Risiko. In Familienunternehmen oder Beteiligungsstrukturen tauchen solche Fragen regelmäßig auf, sobald ein größerer Schaden entsteht. Die Frage lautet dann: Hätte ein ordentlicher Geschäftsführer dieses System unter dieser Aufsicht eingesetzt? Wenn die Antwort Nein lautet, droht eine persönliche Haftung — die in der Regel weder von einer D&O-Versicherung noch von einer normalen Vermögensschadenversicherung gedeckt ist, wenn vorsätzliche oder grob fahrlässige Pflichtverletzung vorliegt.

Daraus folgt: Wer als Geschäftsführer KI einsetzt, sollte dokumentieren, dass er die Entscheidung mit Sachverstand getroffen, das System geprüft und Kontrollen etabliert hat. Eine schriftliche Risikobewertung, ein dokumentierter Auswahlprozess und regelmäßige Reviews schützen nicht vor jedem Schaden — wohl aber vor dem Vorwurf, leichtfertig gehandelt zu haben. Das ist juristisch dieselbe Logik wie bei jeder anderen unternehmerischen Entscheidung. KI verändert die Anwendungsfelder, aber nicht das Grundprinzip.

Was sich vertraglich begrenzen lässt — und was nicht.

Im Verhältnis zum KI-Anbieter lässt sich viel vertraglich regeln. Drei Punkte sollten in jedem Unternehmens-Vertrag mit einem KI-Anbieter geprüft werden.

Service Level und Performance. Welche Verfügbarkeit ist zugesichert, welche Genauigkeit, welche Antwortzeiten? Ein KI-System ohne SLA ist ein Fass ohne Boden — der Anbieter kann sich jederzeit auf „experimentellen Charakter“ berufen.

Verantwortung für Trainingsdaten und IP-Schutz. Wer haftet, wenn ein Modell urheberrechtlich geschütztes Material wiedergibt? Wer schützt das Unternehmen vor Klagen durch Dritte? Gute Anbieter geben Indemnification-Zusagen, die genau diesen Punkt abdecken — wenn man danach fragt.

Datenschutz und Vertraulichkeit. Welche Daten dürfen wie verarbeitet werden, was geschieht mit Eingaben der Mitarbeitenden, sind Trainings auf Kundendaten ausgeschlossen? Hier reicht ein Standard-AVV oft nicht aus. Eine vertragliche Klärung schützt vor späteren DSGVO-Streitigkeiten — Details dazu finden sich in Artikeln zur KI-Auftragsverarbeitung.

Was sich gegenüber Dritten nicht begrenzen lässt: die Haftung gegenüber Kunden, Bewerbern oder Mitarbeitenden, die durch die KI geschädigt werden. AGB-Klauseln, die jede Haftung pauschal ausschließen, sind in Deutschland regelmäßig unwirksam. Hier hilft nur ein vernünftiges Risikomanagement im eigenen Haus.

Versicherung — was geht, was nicht.

Die Versicherungslandschaft für KI-Risiken ist 2026 noch in Bewegung. Einige Versicherer bieten spezifische Cyber- und Tech-E&O-Policen an, die KI-Risiken einschließen. Andere schließen sie explizit aus. Bevor ein Unternehmen sich darauf verlässt, lohnt der genaue Blick in die Policen.

Drei Versicherungsarten sind relevant. Die Betriebshaftpflicht deckt in der Regel Personen- und Sachschäden — bei reinen Vermögensschäden durch KI-Fehler ist sie meist außen vor. Die Vermögensschadenhaftpflicht (Cyber- oder Tech-E&O-Police) deckt Vermögensschäden Dritter — hier wird KI zunehmend explizit erfasst, oft mit Sublimits. Die D&O-Versicherung schützt Geschäftsführer im Innenverhältnis — aber nur bei einfacher Fahrlässigkeit, nicht bei grob fahrlässigen Pflichtverletzungen.

Praxisempfehlung: Wer relevante KI im operativen Geschäft einsetzt, sollte mit dem eigenen Versicherungsmakler einen KI-spezifischen Deckungs-Check machen. Drei Fragen reichen für den Anfang: Ist KI-Einsatz explizit gedeckt oder ausgeschlossen? Welche Schadenarten sind erfasst (Sach-, Personen-, Vermögensschäden)? Welche Pflichten muss das Unternehmen erfüllen, damit der Versicherungsschutz greift? Die Antworten sind oft ernüchternd — und ein wichtiger Hebel, um den Versicherungsschutz nachzubessern, bevor der Schaden eintritt.

Grenzen dieses Artikels — und der Weg zur Rechtsberatung.

Dieser Artikel ordnet die wichtigsten Linien ein, ersetzt aber keine konkrete Rechtsberatung. Die Haftungsfragen rund um KI sind in Deutschland und der EU in einem Umbau, der noch zwei bis drei Jahre dauern wird. Was heute gilt, kann morgen anders aussehen. Wer eine konkrete Konstellation prüfen muss — etwa vor der Einführung eines Chatbots, eines Bewerber-Screening-Systems oder einer KI-gestützten Entscheidungsstrecke —, sollte einen auf IT-Recht spezialisierten Anwalt einbinden.

Drei Punkte sind für dieses Gespräch besonders wichtig. Erstens: Eine ehrliche Beschreibung des Einsatzgebiets. Wer entscheidet was auf welcher Grundlage? Welche Daten fließen ein? Welche Folgen hat ein Fehler? Zweitens: Eine offene Diskussion der internen Kontrollen. Welche menschliche Prüfung ist vorgesehen, welche Eskalation, welche Dokumentation? Drittens: Eine Klärung der vertraglichen Konstellation mit dem KI-Anbieter und mit den eigenen Kunden — und die Anpassung der AGB, wo nötig.

Diese Vorarbeit lässt sich intern leisten, bevor der Anwalt das Mandat bekommt. Sie spart Zeit, Geld und vermeidet, dass die Rechtsberatung in juristischen Allgemeinplätzen endet. Eine Haftungsfrage zu KI lässt sich gut adressieren, wenn der Sachverhalt sauber aufbereitet ist — und kaum, wenn er es nicht ist.

Was Sie jetzt anstoßen können.

Drei pragmatische Schritte führen aus der diffusen Haftungs-Sorge in eine handhabbare Risikolage:

  1. KI-Bestandsaufnahme. Wo wird in Ihrem Unternehmen KI bereits eingesetzt — auch in Form von ChatGPT-Lizenzen, Office-Copiloten, Vertriebs-Tools? Listen Sie die Anwendungen und ordnen Sie nach Risikoklasse (interne Nutzung, Kundenkontakt, Personalentscheidung, gesetzlich reguliert).
  2. Risikobewertung pro Anwendung. Welcher Schaden ist im schlimmsten Fall denkbar — finanziell, rechtlich, reputativ? Welche Kontrollen sind heute eingezogen? Welche fehlen? Diese Bewertung muss kein dickes Papier sein, eine strukturierte Tabelle reicht.
  3. Anwalts- und Versicherungs-Check. Eine Stunde mit dem Hausanwalt, eine Stunde mit dem Versicherungsmakler — mit der Bestandsaufnahme als Grundlage. Das sind investierte Stunden, die im Schadensfall ein Vielfaches sparen.

Was Sie nicht tun sollten: warten, bis der erste Fall kommt, und dann reaktiv aufräumen. Die Haftungslogik bei KI ist nicht spektakulär anders als bei jeder anderen unternehmerischen Tätigkeit — sie verlangt aber denselben sorgfältigen Umgang. Wer das ernst nimmt, kann KI mit ruhigem Gewissen einsetzen. Wer es ignoriert, wird die Antwort früher oder später vor Gericht oder im Innenverhältnis nachholen.

Sie wollen die Haftungssituation rund um Ihre KI-Anwendungen einmal sauber durchgehen? Unverbindlich anfragen — wir schauen gemeinsam auf Einsatzfelder, Risikoklassen, Kontrollen und die offenen Punkte für Ihren Anwalt.