Wissen · Recht & Compliance

Haftung bei KI-Fehlern: Wer haftet, wenn die KI entscheidet?

Die wichtigste Faustregel zur KI-Haftung lautet: Wer KI im Unternehmen einsetzt, trägt die Verantwortung für den Output. Ob Chatbot, Scoring-Modell, interne Assistenz oder automatisierte Auskunft – nach außen haftet in der Praxis regelmäßig der Betreiber. Dieser Leitfaden zeigt die Rechtslage 2026, zwei prägende Urteile, die Rolle von Human-in-the-Loop und die fünf wichtigsten Absicherungsmassnahmen.

Viele Unternehmen glauben noch immer, ein KI-Anbieter sei im Zweifel zuständig, wenn das System einen Fehler macht. Das ist gefährlich. Im Alltag zählt nicht, wer das Modell entwickelt hat, sondern wer es in seinen Prozess einbettet, gegenüber Kunden oder Dritten ausspielt und geschäftlich nutzt. Genau dort entsteht die Haftungskette.

Stand: Mai 2026. Dieser Text stellt keine Rechtsberatung dar und ersetzt keine anwaltliche Prüfung.

Wer haftet, wenn eine KI einen Fehler macht?

Die Kurzantwort ist unbequem, aber klar: der Betreiber haftet. Also das Unternehmen, das die KI einsetzt, in seine Prozesse integriert und mit ihrem Ergebnis nach außen auftritt. Das gilt für falsche Auskünfte genauso wie für fehlerhafte Bewertungen, unzutreffende Klassifizierungen oder automatisierte Entscheidungen mit wirtschaftlichen Folgen.

Der Hintergrund ist einfach: Rechtlich handelt die KI nicht als eigenständige Person. Sie ist ein Werkzeug. Wenn das Werkzeug in Ihrem Namen arbeitet, ist das Ergebnis Ihrem Verantwortungsbereich zuzuordnen. Ein Hinweis in den Nutzungsbedingungen des KI-Anbieters verschiebt diese Außenhaftung in der Regel nicht.

Im Innenverhältnis kann es sehr wohl Regressmöglichkeiten geben – etwa gegenüber Dienstleistern, Integratoren oder in seltenen Fällen auch gegenüber Mitarbeitern, wenn Sorgfaltspflichten klar verletzt wurden. Für die betroffene Gegenseite ist das aber zunächst irrelevant: Sie richtet ihre Ansprüche typischerweise gegen das Unternehmen, das die KI eingesetzt hat.

Die Rechtsgrundlagen im Überblick

Je nach Fall greifen unterschiedliche Anspruchsgrundlagen. Für die praktische Einordnung hilft diese Übersicht:

Rechtsgrundlage Typische Anwendung bei KI Verschulden erforderlich?
§§ 280, 311 BGB Vertragliche Haftung, wenn KI-Output Teil einer geschuldeten Leistung ist, etwa bei Beratung, Auskunft oder Vertragsbearbeitung Ja, Vorsatz oder Fahrlässigkeit
§ 823 Abs. 1 BGB Deliktische Haftung bei Verletzung von Rechtsgütern, etwa Rufschädigung, Eingriff in das Unternehmenspersönlichkeitsrecht oder wirtschaftliche Schäden Ja, Fahrlässigkeit genügt
§ 1004 BGB analog Unterlassung und Beseitigung bei falschen Tatsachenbehauptungen, Halluzinationen oder fortgesetzten Rechtsverletzungen Nein, in der Praxis stark haftungsverschärfend
Produkthaftungsgesetz Ab Dezember 2026 voraussichtlich deutlich relevanter für KI-Software als Produkt und für fehlerhafte digitale Komponenten Nein, verschuldensunabhängig
EU AI Act Kein klassisches Haftungsrecht, aber ein wichtiger Sorgfaltsmaßstab für Compliance, Dokumentation und Aufsicht Compliance-Massstab

Wichtig ist die Unterscheidung: Der AI Act regelt nicht direkt Schadenersatz, beeinflusst aber die Bewertung von Sorgfalt, Governance und Organisationspflichten. Wer seine KI-Einsätze sauber dokumentiert, risikobasiert steuert und Aufsicht organisiert, steht im Streitfall deutlich besser da.

Zwei Urteile, die die Rechtslage geprägt haben

LG Kiel, 29.02.2024 – falsche Registerauskunft durch KI

Ein Wirtschaftsinformationsdienst setzte KI zur automatisierten Auswertung öffentlicher Register ein. Das System erfand eine Handelsregisterlöschung – obwohl das betroffene Unternehmen weiter bestand. Der Betreiber verwies darauf, in seinen Bedingungen auf mögliche Fehler hingewiesen zu haben. Das Gericht ließ das nicht gelten und verurteilte ihn zur Unterlassung und zu Schadensersatz.

Kernaussage: Wer KI bewusst als eigenes Werkzeug einsetzt, übernimmt die inhaltliche Verantwortung – unabhängig davon, was in den Nutzungsbedingungen steht.

Das Urteil ist deshalb so wichtig, weil es die typische Verteidigung „das System hat es eben falsch gemacht“ sehr deutlich zurückweist. Entscheidend ist, dass das Unternehmen die KI zur Leistungserbringung nutzt. Damit wird der Output dem Unternehmen zugerechnet.

LG Hamburg, 23.09.2025 – Halluzinationen im öffentlichen Raum

Im zweiten Fall behauptete ein KI-Chatbot auf einer Plattform, eine NGO erhalte Bundesmittel. Das war frei erfunden. Das Gericht erließ eine einstweilige Verfügung gegen den Betreiber. Für den Fall der Zuwiderhandlung wurden erhebliche Ordnungsgelder in Aussicht gestellt.

Die praktische Lehre daraus ist eindeutig: Wer einen Chatbot oder ein Antwortsystem öffentlich zugänglich macht, haftet auch für erfundene Fakten, wenn diese dem Unternehmen zugerechnet werden können. Gerade bei Medien, Plattformen, Verbänden und Dienstleistern ist das Risiko hoch, weil Aussagen schnell verbreitet werden und unmittelbar reputationsschädigend wirken.

Zusammen zeigen beide Entscheidungen: Unternehmen können sich nicht darauf verlassen, dass KI-Fehler als bloße technische Pannen behandelt werden. Sobald die KI nach außen spricht, entscheidet oder bewertet, wird die rechtliche Verantwortung sehr konkret.

Human-in-the-Loop: entlastet das den Betreiber?

Human-in-the-Loop ist ein sinnvolles Sicherheitskonzept, aber kein Freibrief. Dass ein Mensch am Ende noch einmal prüft, kann das Risiko reduzieren. Es beseitigt die Haftung aber nicht automatisch. Entscheidend ist, wie die menschliche Kontrolle organisiert ist.

  • Wirksam: Der Mensch hat echten Prüfungs-, Korrektur- und Abbruchspielraum
  • Wirksam: Kritische Ausgaben werden vor Veröffentlichung fachlich validiert
  • Wirksam: Es gibt Eskalationsregeln für Ausnahmen, Unsicherheiten und Grenzfälle
  • Nicht ausreichend: Ein bloßes Abnicken ohne Zeit, Fachwissen oder Vollständigkeit
  • Nicht ausreichend: Eine formale Rolle im Prozess ohne reale Einflussmöglichkeit
  • Nicht ausreichend: Der Verweis auf den Anbieter, obwohl das Unternehmen den Output übernimmt

Die Frage lautet daher nicht, ob ein Mensch irgendwo im Prozess sitzt, sondern ob die Organisation so gestaltet ist, dass Fehlentscheidungen rechtzeitig erkannt und gestoppt werden können. Je kritischer der Use Case, desto höher die Anforderungen an Qualitätssicherung, Review und Dokumentation.

Die fünf wichtigsten Absicherungsmassnahmen

Wer KI im Unternehmen einsetzt, sollte nicht erst beim ersten Schaden an Haftung denken. Diese fünf Massnahmen gehören in jede praxistaugliche KI-Governance:

  • 1. KI-Inventar aufbauen: Erfassen Sie alle KI-Tools, Anwendungsfälle, Datenquellen, Verantwortlichen und Anbieter zentral in einer Liste.
  • 2. Verantwortlichkeiten klären: Legen Sie fest, wer fachlich freigibt, wer technisch betreut und wer im Zweifel eskaliert.
  • 3. Review-Prozesse definieren: Führen Sie verbindliche Prüfungen für kundennahe, rechtlich relevante und reputationskritische Ausgaben ein.
  • 4. Dokumentation und Logging sichern: Halten Sie Prompts, Inputs, Freigaben, Versionen und Ausgaben nachvollziehbar fest.
  • 5. Versicherung und Regress prüfen: Klären Sie mit Rechts- und Versicherungsberatung, welche Deckungen bestehen und welche Vertragspassagen nachgebessert werden müssen.

Gerade der letzte Punkt wird oft unterschätzt. Eine normale Betriebshaftpflicht deckt KI-spezifische Risiken nicht automatisch ab. Je nach Geschäftsmodell können Cyber-, Vermögensschaden- oder D&O-Bausteine relevant sein. Entscheidend ist, dass der Versicherungsschutz zu Ihrem konkreten KI-Einsatz passt.

Was ändert sich mit der Produkthaftungsreform ab Dezember 2026?

Die Produkthaftung für digitale Produkte und Software wird ab Dezember 2026 voraussichtlich deutlich schärfer. Für Unternehmen ist das ein Wendepunkt: KI-Software wird stärker wie ein Produkt behandelt, sodass verschuldensunabhängige Haftung eine grössere Rolle spielen kann. Das betrifft insbesondere Lösungen, die in Produkte eingebettet sind oder als wesentlicher Bestandteil einer Dienstleistung funktionieren.

Für den Mittelstand bedeutet das vor allem: Verträge, technische Dokumentation, Anbieterprüfung und Freistellungen müssen noch sorgfältiger aufgesetzt werden. Wer heute sauber arbeitet, verkleinert morgen das Haftungsrisiko.

Wichtig ist dabei auch die Lieferkette. Wenn Sie KI-Komponenten einkaufen, integrieren oder an Kunden weitergeben, sollten Sie Ihre Rolle präzise kennen: Betreiber, Hersteller, Einführer, Integrator oder bloßer Nutzer. Von dieser Einordnung hängen Pflichten und Haftungsrisiken maßgeblich ab.

Welche Risiken sind für den Mittelstand besonders relevant?

Für mittelständische Unternehmen ist KI-Haftung selten ein abstraktes Juristenthema. Typische Risiken entstehen dort, wo KI nahe an Kunden, Personalentscheidungen, Außendarstellung oder Vertragsprozessen eingesetzt wird.

  • Falsche Kundenkommunikation: Der Chatbot verspricht Leistungen, die es so nicht gibt, oder gibt verbindlich wirkende Falschauskünfte.
  • Fehlerhafte Beratung: Ein Assistenzsystem erstellt Empfehlungen, die ohne ausreichende Prüfung übernommen werden.
  • Unzutreffende Bewertungen: Scoring, Priorisierung oder Klassifizierung benachteiligen Kunden oder Bewerber.
  • Rufschädigung: Die KI verbreitet erfundene Fakten über Dritte oder das eigene Unternehmen.
  • Prozessfehler: Automatisierte Entscheidungen führen zu Fristversäumnissen, Vertragsproblemen oder falschen Freigaben.
  • Unklare Zuständigkeiten: Niemand fühlt sich für den KI-Output verantwortlich, bis der Schaden bereits entstanden ist.

Gerade im Mittelstand ist die Versuchung gross, KI schnell produktiv zu setzen, ohne Governance mitzudenken. Das ist verständlich, aber riskant. Je geringer die formalen Kontrollstrukturen sind, desto wichtiger werden klare Prozesse, Freigaben und eine dokumentierte Risikoeinschätzung.

Passende Vertiefungen im Themencluster

Haftungsfragen lassen sich nur sauber einordnen, wenn Sie Betreiberpflichten, Schulung, Datenschutz und Governance zusammen betrachten. Diese Beiträge ergänzen den Artikel sinnvoll:

KI-Haftung systematisch absichern

Wer KI einsetzt, braucht mehr als gute Absichten. Saubere Rollen, dokumentierte Entscheidungen, klare Review-Prozesse und ein belastbarer Governance-Rahmen sind die beste Absicherung gegen Haftungsfälle. Der nächste Schritt ist deshalb der Blick auf das Gesamtbild der KI-Steuerung im Unternehmen.

Zum KI-Governance-Überblick

Häufige Fragen zur Haftung bei KI-Fehlern

Haftet der KI-Anbieter nicht automatisch mit?

Doch, unter Umständen kann auch der Anbieter in Anspruch genommen werden – etwa bei Produktfehlern, Vertragsverletzungen oder irreführenden Angaben. Für den Geschädigten ist aber meist der Betreiber der naheliegende und direkt erreichbare Anspruchsgegner. Deshalb bleibt der Betreiber in der Praxis die erste Haftungsadresse.

Reicht ein Haftungsausschluss in den AGB oder Nutzungsbedingungen?

In der Regel nein. Ein Disclaimer kann Hinweise geben, ersetzt aber keine saubere Organisations- und Prüfstruktur. Wer KI bewusst einsetzt, muss mit Fehlerrisiken umgehen. Ein pauschaler Hinweis auf mögliche Halluzinationen macht die eigene Verantwortung nicht unsichtbar.

Hilft eine menschliche Kontrolle immer?

Nur dann, wenn sie tatsächlich wirksam ist. Ein rein formales Abnicken reicht nicht. Je stärker eine Entscheidung rechtliche oder wirtschaftliche Folgen hat, desto höher müssen Qualifikation, Prüfintensität und Dokumentation sein.

Was ist die wichtigste Sofortmassnahme für Unternehmen?

Erstellen Sie ein vollständiges KI-Inventar und legen Sie die Verantwortlichkeiten fest. Das ist die Grundlage für alle weiteren Massnahmen: Risikoanalyse, Schulung, Freigabeprozesse, Versicherung und Vertragsprüfung. Ohne Inventar bleibt jede Haftungsprävention Stückwerk.

Müssen wir alle KI-Tools im Unternehmen regulieren?

Ja, zumindest müssen Sie sie kennen und nach Risiko priorisieren. Nicht jedes Tool ist gleich kritisch. Aber sobald KI nach außen wirkt, personenbezogene Daten verarbeitet oder Entscheidungen beeinflusst, brauchen Sie klare Regeln.

Rechtlicher Hinweis: Dieser Text stellt keine Rechtsberatung dar und ersetzt keine anwaltliche Prüfung. Für eine verbindliche rechtliche Einordnung konsultieren Sie bitte einen Rechtsanwalt.

Stand: Mai 2026