KI-Haftung im Unternehmen
Das Wichtigste in Kürze
- KI hat keine Rechtspersoenlichkeit. Hersteller oder Betreiber haften fuer Schaeden.
- EU AI Act: Verbotene KI-Praktiken seit Februar 2025. Hochrisiko-KI ab August 2026.
- Bussgelder bis 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes.
- 41 % der deutschen Unternehmen nutzen KI (Bitkom 2026). 53 % nennen Rechtsunsicherheit als Haupthindernis.
- KI-Haftungsrichtlinie endgueltig gestrichen. Neue Produkthaftungsrichtlinie erfasst Software ab Dez. 2026.
41 Prozent der deutschen Unternehmen setzen 2026 Kuenstliche Intelligenz ein, doppelt so viele wie im Vorjahr (Bitkom). Gleichzeitig nennen 53 Prozent "rechtliche Unsicherheit" als groesstes Hindernis. Das ist kein Zufall: Der EU AI Act (KI-Verordnung) bringt Bussgelder bis 35 Mio. EUR, die neue Produkthaftungsrichtlinie erfasst Software erstmals als Produkt, und bestehende Versicherungen decken KI-Risiken oft nicht mehr ab.
Dieser Ratgeber ordnet die Haftungsfragen ein: Wer zahlt, wenn eine KI Fehler macht? Was muessen Unternehmen bis August 2026 umsetzen? Und welche Versicherungen schuetzen vor den neuen Risiken?
KI-Nutzung in Deutschland 2026: Zahlen
Laut Bitkom-Studie vom Februar 2026 (604 Unternehmen ab 20 Mitarbeitern) hat sich die KI-Nutzung in einem Jahr verdoppelt:
| Kennzahl | Wert |
|---|---|
| Unternehmen mit aktivem KI-Einsatz | 41 % (Vorjahr: 17 %) |
| Planen oder diskutieren KI | 48 % |
| Verbesserte Wettbewerbsposition durch KI | 77 % der KI-Nutzer |
| Wollen KI-Einsatz ausbauen | 66 % |
| Investieren 2026 mehr in KI als im Vorjahr | 36 % |
| Groesstes Hindernis: Rechtsunsicherheit | 53 % |
Die Verdopplung in einem einzigen Jahr zeigt: Unternehmen wollen KI nutzen, bevor die Konkurrenz es tut. Aber mit der Adoption wachsen auch die Haftungsrisiken, vor allem ab August 2026, wenn der EU AI Act vollstaendig greift.
Das Haftungsproblem: Wer zahlt, wenn KI Fehler macht?
Eine KI hat keine Rechtspersoenlichkeit. Sie kann weder verklagt werden noch eine Versicherung abschliessen. Wenn eine KI-Entscheidung Schaden verursacht, kommen vier Haftungssubjekte in Frage:
- Hersteller: Wer die KI entwickelt und in Verkehr bringt (Produkthaftung)
- Betreiber: Wer die KI im eigenen Unternehmen einsetzt (Sorgfaltspflicht)
- Nutzer: Wer die KI direkt bedient und Ergebnisse veroeffentlicht
- Geschaeftsfuehrer: Persoenlich bei Organisationsverschulden (D&O-Haftung)
In der Praxis verteilt sich die Haftung oft auf mehrere Beteiligte. Wer KI-generierte Inhalte veroeffentlicht, haftet fuer den Inhalt, auch wenn die KI "halluziniert" hat. Ein Haftungsausschluss in AGB ("Wir haften nicht fuer KI-Ergebnisse") ist nach deutschem Recht unwirksam.
EU AI Act: Was bis August 2026 gilt
Der EU AI Act (KI-Verordnung) wurde am 12. Juli 2024 im Amtsblatt veroeffentlicht und trat am 1. August 2024 in Kraft. Die Umsetzung erfolgt schrittweise:
Zeitplan
| Datum | Was gilt | Bussgeld bei Verstoss |
|---|---|---|
| Feb. 2025 | Verbotene KI-Praktiken (Art. 5): Social Scoring, Emotionserkennung am Arbeitsplatz | Bis 35 Mio. EUR / 7 % Umsatz |
| Aug. 2025 | Pflichten fuer General-Purpose AI (GPAI), Governance-Anforderungen | Bis 15 Mio. EUR / 3 % Umsatz |
| Aug. 2026 | Vollstaendige Anwendung: Hochrisiko-KI, Transparenzpflichten, Marktaufsicht | Bis 15 Mio. EUR / 3 % Umsatz |
| Aug. 2027 | Hochrisiko-KI in regulierten Produkten (Medizingeraete, Fahrzeuge) | Bis 15 Mio. EUR / 3 % Umsatz |
Bereits seit Februar 2025 Pflicht
Art. 4 AI Act verpflichtet Unternehmen, Mitarbeitern ausreichende KI-Kompetenz zu vermitteln. Diese Pflicht gilt seit dem 2. Februar 2025. Wer sie ignoriert, riskiert persoenliche Haftung der Geschaeftsfuehrung.
Risikoklassen im EU AI Act
| Risikostufe | Beispiele | Anforderungen |
|---|---|---|
| Verboten | Social Scoring, biometrische Echtzeitueberwachung, unterschwellige Manipulation | Verboten seit Feb. 2025 |
| Hochrisiko | Kreditentscheidungen, Personalauswahl, medizinische Diagnostik, kritische Infrastruktur | Dokumentation, menschliche Aufsicht, Konformitaetsbewertung, CE-Kennzeichnung |
| Begrenzt | Chatbots, Deepfakes, Empfehlungssysteme | Transparenzpflichten (Kennzeichnung als KI) |
| Minimal | Spam-Filter, Textverarbeitung, Videospiele | Keine besonderen Pflichten |
Neue Produkthaftungsrichtlinie: Software wird zum Produkt
Die Richtlinie EU 2024/2853 trat am 9. Dezember 2024 in Kraft. Deutschland muss sie bis zum 9. Dezember 2026 in nationales Recht umsetzen (Anpassung des Produkthaftungsgesetzes). Das BMJV hat den Referentenentwurf am 11. September 2025 vorgelegt.
Was sich aendert
- Software als Produkt: KI-Systeme und Software fallen erstmals unter die Produkthaftung. Bisher galt Produkthaftung nur fuer koerperliche Gegenstaende.
- Beweislastumkehr: Bei technisch komplexen Schaeden (KI ist fast immer komplex) koennen Gerichte die Defekthaftung und den Kausalzusammenhang vermuten, wenn der Geschaedigte die Wahrscheinlichkeit belegen kann.
- Keine Haftungsobergrenze mehr: Die bisherige Grenze von 85 Mio. EUR entfaellt.
- Keine Selbstbeteiligung mehr: Der bisherige Eigenanteil von 500 EUR entfaellt.
- Erweiterte Haftungssubjekte: Neben Herstellern haften jetzt auch Online-Plattform-Betreiber, Fulfillment-Dienstleister und Softwareanbieter.
Fuer Unternehmen, die KI-Software herstellen oder einsetzen, bedeutet das: Ab Dezember 2026 gelten strengere Haftungsregeln mit potenziell unbegrenzter Schadensersatzpflicht. Eine Berufshaftpflichtversicherung mit Software-Klausel wird zur Pflicht.
KI-Haftungsrichtlinie: Endgueltig vom Tisch
Die EU-Kommission hatte einen Vorschlag fuer eine separate KI-Haftungsrichtlinie vorgelegt, die eine Beweislastumkehr bei KI-Schaeden einfuehren sollte. Am 11. Februar 2025 wurde der Vorschlag aus dem Arbeitsprogramm gestrichen. Im August 2025 bestaetigte die Kommission die endgueltige Streichung.
Die Begruendung: Die neue Produkthaftungsrichtlinie erfasst Software und KI als Produkte, der AI Act regelt Compliance-Pflichten. Eine dritte Regulierungsschicht sei ueberfluessig. Fuer Unternehmen heisst das: Es gibt kein EU-weites KI-Haftungsgesetz. Die 27 Mitgliedstaaten wenden ihr jeweiliges nationales Deliktsrecht an.
Deutsche Umsetzung: KI-MIG und Bundesnetzagentur
Deutschland hat die EU-Frist fuer die Benennung nationaler Aufsichtsbehoerden (August 2025) verpasst, unter anderem wegen des Regierungswechsels. Am 11. Februar 2026 beschloss das Kabinett den Regierungsentwurf zum "Gesetz zur Durchfuehrung der KI-Verordnung" (KI-MIG). Das parlamentarische Verfahren laeuft.
Zustaendigkeiten
- Bundesnetzagentur: Zentrale Marktaufsichtsbehoerde und notifizierende Behoerde. Dort wird auch das KoKIVO (Koordinierungs- und Kompetenzzentrum KI-Verordnung) angesiedelt.
- BSI: Beratende Rolle bei Cybersicherheitsfragen. Das BSI ist nicht die leitende Aufsichtsbehoerde.
Haftungsszenarien in der Praxis
KI im Kundenservice
Ein Chatbot gibt falsche Produktinformationen, ein Kunde erleidet dadurch Schaden.
Haftung: Betreiber haftet fuer fehlerhafte Beratung, Hersteller moeglicherweise ueber Produkthaftung. Wer den Chatbot ohne hinreichende Pruefung einsetzt, handelt fahrlaessig.
KI-gestuetzte Kreditentscheidung
Ein Algorithmus lehnt Kreditantraege diskriminierend ab, etwa nach Wohnort oder Geschlecht.
Haftung: Bank haftet fuer Diskriminierung. Geschaeftsfuehrung persoenlich bei Organisationsverschulden (D&O). Hochrisiko-KI nach EU AI Act, strenge Dokumentationspflicht.
KI-generierte Fehlinformationen
KI halluziniert falsche Fakten in einem Kundenbericht oder Marketingtext, die veroeffentlicht werden und Reputationsschaden verursachen.
Haftung: Wer die Inhalte veroeffentlicht, haftet, auch wenn die KI sie erzeugt hat. Ein KI-Disclaimer schuetzt nicht vor Haftung.
KI-Fehlentscheidung in der Personalauswahl
Ein KI-Tool sortiert Bewerber aus und diskriminiert dabei systematisch nach Alter oder Herkunft.
Haftung: Arbeitgeber haftet nach AGG (Allgemeines Gleichbehandlungsgesetz). Ab August 2026 zusaetzlich EU-AI-Act-Pflichten fuer Hochrisiko-KI in der Personalauswahl.
Versicherungsschutz fuer KI-Risiken
Bestehende Versicherungen decken KI-Risiken oft nicht mehr vollstaendig ab. Rund 42 Prozent der Cyberversicherungen enthalten mittlerweile KI-bezogene Ausschluesse. Versicherer begruenden das mit unzureichenden Schadendaten zur Risikobepreisung.
Relevante Versicherungsarten
| Versicherung | KI-Relevanz | Worauf pruefen? |
|---|---|---|
| Berufshaftpflicht | Fehler durch KI-gestuetzte Beratung | Software-Klausel vorhanden? KI-Tools als Hilfsmittel gedeckt? |
| Produkthaftpflicht | KI als Bestandteil eines Produkts | Software-Definition im Vertrag? Ab Dez. 2026 neue ProdHaftG-Anforderungen |
| Cyberversicherung | KI-bezogene Datenschutzverletzungen | KI-Ausschlussklausel pruefen! 42 % der Policen haben KI-Ausschluesse |
| D&O-Versicherung | Persoenliche Haftung bei KI-Compliance-Versaeumnissen | KI-Strategieversaeumnis als Pflichtverletzung? Art. 4 AI Act Kompetenzpflicht? |
D&O und persoenliche Haftung bei KI
Laut einer Analyse des D&O-Spezialisten VOV haften Geschaeftsfuehrer persoenlich, wenn sie eine KI-Strategie vernachlaessigen, obwohl KI fuer die Wettbewerbsfaehigkeit oder das Risikomanagement des Unternehmens relevant ist. Seit Februar 2025 besteht zudem die Pflicht, Mitarbeitern KI-Kompetenz zu vermitteln (Art. 4 AI Act). Die Business Judgment Rule schuetzt nur bei dokumentierten, informierten Entscheidungen. Mehr zur persoenlichen Haftung im Ratgeber Geschaeftsfuehrer-Haftung.
Munich Re: Erste KI-Haftpflichtversicherung fuer KMU
Am 18. Maerz 2026 lancierte Munich Re ueber ihre Tochter HSB eine KI-Haftpflichtversicherung speziell fuer kleine und mittlere Unternehmen. Die Police deckt Rechtsstreitigkeiten, Personenschaeden und Werbeschaeden durch KI-generierte Inhalte ab. Bisher ist das Produkt auf den US-Markt beschraenkt, eine europaeische Einfuehrung wird geprueft.
Risikomanagement: Was Unternehmen jetzt tun sollten
KI-Inventar und Risikoklassifizierung
- Alle eingesetzten KI-Systeme erfassen und dokumentieren
- Jedes System einer Risikoklasse des EU AI Act zuordnen
- Hochrisiko-Systeme identifizieren und Compliance-Massnahmen einleiten
- Verbotene Praktiken sofort einstellen (gilt seit Februar 2025)
Dokumentation und Aufsicht
- Entscheidungsprozesse, Trainingsdaten und Tests dokumentieren
- Bei kritischen Entscheidungen menschliche Aufsicht sicherstellen
- KI-Entscheidungen regelmaessig auf Bias und Diskriminierung testen
- KI-Kompetenz der Mitarbeiter sicherstellen (Art. 4 AI Act, Pflicht seit Feb. 2025)
Versicherungsschutz und Vertraege
- Bestehende Policen auf KI-Ausschluesse pruefen (Cyberversicherung, Berufshaftpflicht, D&O)
- Bei KI-Dienstleistern Haftung vertraglich regeln: Wer haftet bei Fehlern?
- EU-AI-Act-Konformitaet des Anbieters vertraglich zusichern lassen
- Leistungsgarantien und Versicherungsnachweise einfordern
Due Diligence bei KI-Beschaffung
- Ist der KI-Anbieter EU-AI-Act-konform?
- Welche Haftung uebernimmt der Anbieter vertraglich?
- Gibt es unabhaengige Audits oder Zertifizierungen?
- Wie transparent ist die KI-Entscheidungsfindung (Erklaerbarkeit)?
Fazit: Handeln, bevor der August 2026 kommt
Die KI-Haftung hat sich 2025/2026 grundlegend veraendert. Verbotene KI-Praktiken sind seit Februar 2025 strafbar, die Produkthaftung fuer Software gilt ab Dezember 2026, und im August 2026 greifen die vollen Hochrisiko-KI-Pflichten. Gleichzeitig enthalten immer mehr Versicherungspolicen KI-Ausschluesse.
Drei Schritte sind jetzt dringend: Erstens ein KI-Inventar erstellen und Risikoklassen zuordnen. Zweitens bestehende Versicherungen auf KI-Deckung pruefen, besonders Cyberversicherung und D&O. Drittens KI-Kompetenz im Team sicherstellen, das ist seit Februar 2025 Pflicht.
Da KI keine Rechtspersoenlichkeit besitzt, haftet der Betreiber oder Hersteller. Nach der neuen EU-Produkthaftungsrichtlinie (ab Dezember 2026) gilt Software einschliesslich KI als Produkt, was die Herstellerhaftung staerkt. Betreiber haften fuer Fehler im Einsatz und Verletzung von Sorgfaltspflichten.
Der EU AI Act klassifiziert KI-Systeme nach vier Risikostufen: verboten, hochrisiko, begrenzt und minimal. Verbotene Praktiken gelten seit Februar 2025, Hochrisiko-KI-Pflichten ab August 2026. Verstoesse koennen Bussgelder bis 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes nach sich ziehen.
Nicht automatisch. Rund 42 % der Cyberversicherungen enthalten mittlerweile KI-bezogene Ausschluesse. Pruefen Sie Berufshaftpflicht, Produkthaftpflicht, Cyberversicherung und D&O-Versicherung auf KI-Klauseln. Erste spezialisierte KI-Haftpflichtpolicen sind seit Maerz 2026 verfuegbar.
Das ist dringend zu empfehlen. Geschaeftsfuehrer haften persoenlich, wenn sie KI-bezogene Compliance-Pflichten vernachlaessigen. Seit Februar 2025 besteht die Pflicht, Mitarbeitern KI-Kompetenz zu vermitteln (Art. 4 AI Act). Versaeumnisse koennen als Pflichtverletzung gewertet werden.
Die EU-Kommission hat den Vorschlag im Februar 2025 offiziell zurueckgezogen und im August 2025 endgueltig gestrichen. Begruendung: Die neue Produkthaftungsrichtlinie (Software als Produkt) zusammen mit dem AI Act machen eine separate Richtlinie ueberfluessig.
Die Richtlinie EU 2024/2853 stuft Software und KI erstmals als Produkte ein. Ab 9. Dezember 2026 gilt: erleichterte Beweislast fuer Geschaedigte bei technisch komplexen Faellen, keine Haftungsobergrenze mehr (vorher 85 Mio. EUR), keine Selbstbeteiligung mehr (vorher 500 EUR).
Ja. Munich Re Tochter HSB hat am 18. Maerz 2026 eine KI-Haftpflichtversicherung fuer KMU lanciert. Sie deckt Rechtsstreitigkeiten, Personenschaeden und Werbeschaeden durch KI-generierte Inhalte ab. Weitere Anbieter wie Swiss Re und Armilla arbeiten an vergleichbaren Produkten.
Laut dem Regierungsentwurf vom Februar 2026 (KI-MIG) wird die Bundesnetzagentur die zentrale Marktaufsichtsbehoerde. Dort wird auch das KoKIVO (Koordinierungs- und Kompetenzzentrum KI-Verordnung) angesiedelt. Das BSI uebernimmt eine beratende Rolle bei Cybersicherheitsfragen.
Fazit
Wer KI in Geschaeftsprozessen einsetzt, traegt Verantwortung fuer deren Ergebnisse. Die EU-KI-Verordnung verschaerft die Anforderungen. Dokumentieren Sie den KI-Einsatz, pruefen Sie Ergebnisse und sichern Sie sich mit einer D&O-Versicherung gegen persoenliche Haftung ab.