KI-Haftungsrichtlinie: Beweislastumkehr bei KI-Schäden

Das Wichtigste in Kürze

• Die KI-Haftungsrichtlinie (COM(2022) 496 final) ist ein Richtlinienentwurf der Europäischen Kommission, der die außervertragliche (deliktische) Haftung für Schäden durch KI-Systeme harmonisieren soll.
• Kernstück ist eine widerlegbare Kausalitätsvermutung (Art. 4): Geschädigte müssen nicht mehr beweisen, wie genau ein KI-System den Schaden verursacht hat -- die Kausalität wird unter bestimmten Voraussetzungen vermutet.
• Über Offenlegungspflichten (Art. 3) können Geschädigte und Gerichte Zugang zu Beweismitteln erzwingen, die sonst im Inneren der KI-Systeme verborgen blieben.
• Ein Verstoß gegen den AI Act (VO (EU) 2024/1689) löst eine zusätzliche Vermutung aus: Wer gegen Pflichten des AI Act verstößt, muss damit rechnen, dass ein Gericht die Kausalität zwischen Pflichtverstoß und Schaden vermutet.
• Die Richtlinie ergänzt die neue Produkthaftungsrichtlinie (EU) 2024/2853 -- sie schließt eine Lücke, die das verschuldensbasierte Deliktsrecht bei KI-Schäden bislang offen lässt.

Ein medizinisches Diagnosesystem übersieht einen Tumor. Ein KI-gestütztes Bewerbungsverfahren diskriminiert systematisch bestimmte Bewerbergruppen. Ein autonomes System verursacht einen Sachschaden. In all diesen Fällen stehen Geschädigte vor demselben Problem: Sie können den Schaden benennen, aber den genauen Weg, auf dem die KI zu ihrer Entscheidung kam, können sie in aller Regel nicht nachvollziehen.

Genau diese Beweislücke will die EU mit der geplanten KI-Haftungsrichtlinie schließen. Der Entwurf COM(2022) 496 final wurde am 28. September 2022 von der Europäischen Kommission vorgelegt und befindet sich derzeit im Gesetzgebungsverfahren. In diesem Artikel erklären wir den Inhalt des Entwurfs, ordnen ihn rechtlich ein und zeigen, was er für Unternehmen bedeutet.

Hintergrund: Warum braucht es eine eigene KI-Haftungsrichtlinie?

Das Beweisproblem bei KI -- die Black Box

Im deutschen Deliktsrecht gilt ein klarer Grundsatz: Wer Schadensersatz verlangt, muss beweisen, dass der Anspruchsgegner den Schaden verursacht hat. Das ergibt sich aus § 823 Abs. 1 BGB in Verbindung mit den allgemeinen Beweislastregeln der ZPO.

Bei herkömmlichen Produkten funktioniert dieses System: Ein defektes Bremssystem lässt sich untersuchen, ein fehlerhaft montiertes Bauteil lässt sich identifizieren. Sachverständige können die Kausalitätskette rekonstruieren.

Bei KI-Systemen ist das grundlegend anders. Moderne Machine-Learning-Modelle -- insbesondere tiefe neuronale Netze -- sind für Außenstehende (und häufig selbst für ihre Entwickler) nicht vollständig nachvollziehbar. Die Gründe dafür:

• Opazität: Millionen oder Milliarden von Parametern bestimmen die Ausgabe. Warum ein bestimmtes Ergebnis zustande kam, lässt sich oft nicht auf eine einzelne Ursache zurückführen.
• Kontinuierliches Lernen: Manche KI-Systeme verändern ihr Verhalten nach dem Inverkehrbringen durch fortlaufendes Training. Der Zustand zum Schadenszeitpunkt ist nachträglich schwer rekonstruierbar.
• Datenabhängigkeit: Die Qualität der Trainingsdaten beeinflusst das Ergebnis massiv, doch Geschädigte haben keinen Einblick in die verwendeten Datensätze.
• Interaktion mehrerer Akteure: Anbieter, Betreiber, Datenlieferanten und Nutzer wirken zusammen -- wer welchen Beitrag zum Schaden geleistet hat, ist oft unklar.

In der Praxis bedeutet das: Geschädigte scheitern regelmäßig an der Beweislast, nicht weil kein Fehler vorlag, sondern weil sie den Fehler nicht beweisen können. Der Zugang zur Justiz wird faktisch versperrt.

Die Lücke im bestehenden Recht

Weder das deutsche Deliktsrecht (§ 823 BGB) noch die bisherige Produkthaftung nach dem ProdHaftG bieten eine befriedigende Lösung:

• § 823 Abs. 1 BGB setzt Verschulden voraus. Der Geschädigte muss nachweisen, dass der Betreiber oder Entwickler schuldhaft gehandelt hat -- und dass dieses Verschulden kausal für den Schaden war. Angesichts der Black-Box-Problematik ist das in vielen Fällen praktisch unmöglich.
• § 823 Abs. 2 BGB (Schutzgesetzverletzung) könnte künftig über den AI Act als Schutzgesetz relevant werden -- doch auch hier bleibt die Kausalitätsfrage offen.
• Die Produkthaftung (ProdHaftG bzw. neue Richtlinie (EU) 2024/2853) erfasst zwar KI-Systeme als Produkte und gewährt verschuldensunabhängige Ansprüche, aber sie betrifft nur die Haftung des Herstellers für fehlerhafte Produkte. Der Betreiber, der ein KI-System einsetzt und dabei Fehler macht, fällt nicht unter die Produkthaftung.

Die KI-Haftungsrichtlinie soll genau diese Lücke schließen: Sie setzt bei der außervertraglichen, verschuldensbasierten Haftung an -- also dort, wo das nationale Deliktsrecht gilt -- und passt die Beweisregeln an die Besonderheiten von KI an.

Die Kernelemente des Entwurfs COM(2022) 496

Art. 3: Offenlegung von Beweismitteln

Art. 3 des Richtlinienentwurfs gibt Geschädigten und Gerichten ein Werkzeug an die Hand, um die informationelle Asymmetrie zu überwinden: die Offenlegungspflicht.

Das Konzept im Überblick:

• Geschädigte können bei Gericht beantragen, dass der Anbieter oder Betreiber eines Hochrisiko-KI-Systems bestimmte Beweismittel offenlegen muss.
• Der Antragsteller muss plausible Anhaltspunkte für einen Schadensersatzanspruch darlegen -- keine vollständige Beweisführung, aber mehr als bloße Behauptungen.
• Die Offenlegung muss verhältnismäßig sein: Umfang und Kosten müssen in einem angemessenen Verhältnis zum geltend gemachten Anspruch stehen.
• Geschäftsgeheimnisse werden geschützt: Gerichte können Maßnahmen anordnen, um die Vertraulichkeit zu wahren (z. B. eingeschränkter Zugang, Schwärzungen).

Besonders wichtig: Kommt der Anbieter oder Betreiber der Offenlegungsanordnung nicht nach, greift eine Sanktionsfolge. Das Gericht kann in diesem Fall die Kausalitätsvermutung des Art. 4 auslösen -- ein starker Anreiz zur Kooperation.

Art. 4: Die widerlegbare Kausalitätsvermutung

Art. 4 ist das Herzstück des Entwurfs. Er sieht eine widerlegbare Vermutung der Kausalität vor -- keine vollständige Beweislastumkehr, aber eine erhebliche Erleichterung für Geschädigte.

Die Vermutung greift, wenn der Geschädigte drei Voraussetzungen nachweist:

1. Verschulden des Beklagten: Der Beklagte (typischerweise der Betreiber oder Anbieter) hat eine Sorgfaltspflicht verletzt -- etwa eine Pflicht aus dem AI Act oder sonstige Verkehrssicherungspflichten.
2. Wahrscheinlichkeit der Kausalität: Es ist hinreichend wahrscheinlich, dass das Verschulden die Leistung des KI-Systems beeinflusst hat und dass diese Beeinflussung den Schaden verursacht hat.
3. Schaden: Der Geschädigte hat tatsächlich einen Schaden erlitten.

Sind diese Voraussetzungen erfüllt, vermutet das Gericht, dass das Verschulden den Schaden verursacht hat. Der Beklagte kann diese Vermutung widerlegen -- er muss aber aktiv beweisen, dass sein Verschulden den Schaden nicht verursacht hat.

Besonders hervorzuheben: Ein Verstoß gegen den AI Act (VO (EU) 2024/1689) spielt eine Sonderrolle. Wenn der Beklagte gegen eine Pflicht des AI Act verstoßen hat, die gerade dazu dient, den eingetretenen Schaden zu verhindern, wird die Kausalität vermutet. Das bedeutet: AI-Act-Compliance wird zum zentralen Haftungsschutzschild.

Zusammenspiel: AI-Act-Verstoß und Kausalitätsvermutung

Dieser Mechanismus verdient besondere Aufmerksamkeit, denn er verbindet die regulatorische Ebene (AI Act) mit der zivilrechtlichen Haftung:

• Der AI Act verpflichtet Anbieter und Betreiber von Hochrisiko-KI-Systemen zu bestimmten Maßnahmen: Risikomanagement (Art. 9), Daten-Governance (Art. 10), technische Dokumentation (Art. 11), Transparenz (Art. 13), menschliche Aufsicht (Art. 14), Genauigkeit und Robustheit (Art. 15).
• Verletzt ein Anbieter oder Betreiber eine dieser Pflichten und tritt ein Schaden ein, den die verletzte Pflicht gerade verhindern sollte, wird die Kausalität vermutet.
• Der Beklagte kann die Vermutung widerlegen, trägt aber die Beweislast dafür, dass sein Pflichtverstoß den Schaden nicht verursacht hat.

In der Praxis bedeutet das: Wer gegen AI-Act-Pflichten verstößt, steht im Haftungsfall mit dem Rücken zur Wand. Wer dagegen AI-Act-konform handelt, kann sich besser verteidigen -- ein starker ökonomischer Anreiz zur Compliance.

Unterschied zur Produkthaftungsrichtlinie (EU) 2024/2853

Die KI-Haftungsrichtlinie und die neue Produkthaftungsrichtlinie verfolgen unterschiedliche Ansätze und ergänzen sich gegenseitig. Die folgende Tabelle zeigt die wesentlichen Unterschiede:

Warum beide Regelwerke? Die Produkthaftungsrichtlinie haftet den Hersteller für ein fehlerhaftes Produkt. Die KI-Haftungsrichtlinie erfasst zusätzlich den Betreiber, der ein (möglicherweise fehlerfreies) KI-System schuldhaft falsch einsetzt. Beispiel: Ein Krankenhaus setzt ein KI-Diagnosesystem ein, ignoriert aber die vorgeschriebene menschliche Aufsicht (Art. 14 AI Act). Das Diagnosesystem selbst ist nicht fehlerhaft, aber der Betreiber hat seine Pflichten verletzt. Hier greift nicht die Produkthaftung, sondern das Deliktsrecht -- erleichtert durch die KI-Haftungsrichtlinie.

Aktueller Stand des Gesetzgebungsverfahrens

Der Entwurf COM(2022) 496 final wurde am 28. September 2022 zusammen mit dem Entwurf der neuen Produkthaftungsrichtlinie vorgelegt. Seitdem hat sich der Weg unterschiedlich entwickelt:

• Die Produkthaftungsrichtlinie wurde am 10. Oktober 2024 als Richtlinie (EU) 2024/2853 verabschiedet und muss bis zum 9. Dezember 2026 umgesetzt werden.
• Die KI-Haftungsrichtlinie wurde dagegen vom Europäischen Parlament und vom Rat noch nicht verabschiedet. Nach einer ersten Lesung im Parlament und intensiven Ratsverhandlungen wurde das Verfahren zunächst verlangsamt -- unter anderem, um die endgültige Fassung des AI Act abzuwarten, auf den die Richtlinie in zentralen Punkten Bezug nimmt.

Die Europäische Kommission hat die KI-Haftungsrichtlinie im Februar 2025 im Rahmen des sogenannten Omnibus-Pakets zur Vereinfachung von EU-Vorschriften auf den Prüfstand gestellt. Ob der Entwurf in seiner ursprünglichen Form weiterverfolgt, überarbeitet oder zurückgezogen wird, ist derzeit offen. Unternehmen sollten dennoch die Kernprinzipien des Entwurfs kennen, da sie die Richtung der europäischen KI-Haftungspolitik vorgeben.

§823 BGB und die Grenzen des deutschen Deliktsrechts

Für das Verständnis der KI-Haftungsrichtlinie ist ein Blick auf das deutsche Recht unerlässlich. § 823 Abs. 1 BGB ist die zentrale Norm der deliktischen Haftung:

Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.

Der Geschädigte muss also nachweisen:

1. Eine Rechtsgutsverletzung (z. B. Körperverletzung, Sachbeschädigung)
2. Ein zurechenbares Verhalten des Schädigers
3. Kausalität zwischen Verhalten und Schaden
4. Rechtswidrigkeit
5. Verschulden (Vorsatz oder Fahrlässigkeit)

Bei KI-Schäden scheitert der Geschädigte typischerweise an den Punkten 2 und 3: Er kann weder das konkrete schädigende Verhalten identifizieren noch die Kausalitätskette beweisen. Die KI-Haftungsrichtlinie setzt genau hier an, indem sie die Kausalität unter bestimmten Voraussetzungen vermutet und dem Geschädigten Offenlegungsansprüche gibt.

Wichtig: Die Richtlinie ersetzt §823 BGB nicht. Sie modifiziert die Beweislastverteilung innerhalb des bestehenden nationalen Haftungsrechts. Die Mitgliedstaaten müssen ihre nationalen Regelungen anpassen, nicht ein neues Haftungsregime schaffen.

Praxis: Was ändert sich für Unternehmen?

1. AI-Act-Compliance wird zum Haftungsschutzschild

Der wichtigste praktische Effekt: Die Einhaltung des AI Act wird nicht nur regulatorisch, sondern auch zivilrechtlich belohnt. Wer alle Pflichten des AI Act erfüllt, macht es dem Geschädigten schwerer, die Kausalitätsvermutung auszulösen. Wer dagegen gegen AI-Act-Pflichten verstößt, liefert dem Kläger den Hebel für die Vermutung.

Handlungsempfehlung: Investieren Sie jetzt in AI-Act-Compliance -- nicht nur, um Bußgelder zu vermeiden, sondern um Ihre Haftungsposition zu stärken.

2. Dokumentation wird zum Beweismittel

Die Offenlegungspflichten nach Art. 3 bedeuten: Was Sie dokumentieren, kann gegen Sie verwendet werden -- aber was Sie nicht dokumentieren, schadet Ihnen noch mehr. Denn die Weigerung oder Unfähigkeit, Beweismittel offenzulegen, kann die Kausalitätsvermutung auslösen.

Handlungsempfehlung: Führen Sie eine lückenlose technische Dokumentation Ihrer KI-Systeme. Protokollieren Sie Entscheidungen, Eingaben, Ausgaben und Konfigurationsänderungen.

3. Betreiber stehen stärker im Fokus

Anders als die Produkthaftung trifft die KI-Haftungsrichtlinie auch Betreiber -- also Unternehmen, die KI-Systeme einsetzen, ohne sie selbst entwickelt zu haben. Das betrifft die große Mehrheit der Unternehmen.

Handlungsempfehlung: Auch wenn Sie KI-Systeme nur einsetzen und nicht entwickeln, müssen Sie Ihre Betreiberpflichten kennen und einhalten. Dazu gehören insbesondere: menschliche Aufsicht sicherstellen, Eingabedaten prüfen, System überwachen und Vorfälle melden.

4. Verträge mit KI-Anbietern anpassen

Im Haftungsfall wird die Frage relevant, ob der Anbieter oder der Betreiber den Schaden verursacht hat. Klare vertragliche Regelungen über Verantwortlichkeiten, Mitwirkungspflichten und Haftungsfreistellungen werden essenziell.

Handlungsempfehlung: Überprüfen Sie bestehende Verträge mit KI-Anbietern. Achten Sie auf Klauseln zu Haftungsverteilung, Dokumentationspflichten und Unterstützung bei Offenlegungsanordnungen.

5. Versicherungsschutz prüfen

Die erweiterten Haftungsrisiken durch die Kausalitätsvermutung erfordern eine Überprüfung des bestehenden Versicherungsschutzes. Klassische Betriebshaftpflichtversicherungen decken KI-spezifische Risiken häufig nicht oder nur unzureichend ab.

Handlungsempfehlung: Sprechen Sie mit Ihrem Versicherer über spezifische KI-Haftpflichtversicherungen oder Erweiterungsklauseln.

Häufige Fragen (FAQ)

Gilt die KI-Haftungsrichtlinie schon?

Nein. Der Entwurf COM(2022) 496 final befindet sich noch im EU-Gesetzgebungsverfahren. Die Kommission hat ihn 2022 vorgelegt; nach Verabschiedung des AI Act und im Zuge des Omnibus-Vereinfachungspakets wird derzeit geprüft, ob und in welcher Form er weiterverfolgt wird. Mit einer Verabschiedung ist frühestens 2026/2027 zu rechnen, die Umsetzung in nationales Recht würde dann weitere zwei Jahre dauern.

Was ist der Unterschied zwischen Beweislastumkehr und Kausalitätsvermutung?

Eine echte Beweislastumkehr würde bedeuten, dass der Beklagte generell beweisen muss, dass er den Schaden nicht verursacht hat. Die KI-Haftungsrichtlinie sieht etwas Milderes vor: eine widerlegbare Kausalitätsvermutung. Der Geschädigte muss zunächst bestimmte Voraussetzungen nachweisen (Verschulden, Wahrscheinlichkeit der Kausalität, Schaden). Erst dann wird die Kausalität vermutet, und der Beklagte kann diese Vermutung widerlegen. Es handelt sich also um eine Beweiserleichterung, nicht um eine vollständige Umkehr.

Betrifft die Richtlinie nur Hochrisiko-KI-Systeme?

Nein. Die Kausalitätsvermutung nach Art. 4 gilt für alle KI-Systeme im Sinne des AI Act. Die Offenlegungspflichten nach Art. 3 sind allerdings auf Hochrisiko-KI-Systeme beschränkt. Bei Nicht-Hochrisiko-Systemen steht dem Geschädigten die Kausalitätsvermutung zwar zur Verfügung, aber er hat keinen Anspruch auf gerichtlich angeordnete Offenlegung -- was den Nachweis der Voraussetzungen in der Praxis erschwert.

Wie hängen AI Act und KI-Haftungsrichtlinie zusammen?

Der AI Act (VO (EU) 2024/1689) ist ein Regulierungsrahmen: Er legt Pflichten für Anbieter und Betreiber von KI-Systemen fest und sieht Bußgelder bei Verstößen vor. Die KI-Haftungsrichtlinie ist ein Haftungsrahmen: Sie regelt, wie Geschädigte zivilrechtliche Schadensersatzansprüche durchsetzen können. Die Verbindung: Ein Verstoß gegen AI-Act-Pflichten erleichtert dem Geschädigten den Haftungsnachweis über die Kausalitätsvermutung. Beide Regelwerke wirken zusammen -- der AI Act als präventives Instrument, die Haftungsrichtlinie als kompensatorisches.

Was sollten Unternehmen jetzt schon tun?

Auch wenn die Richtlinie noch nicht verabschiedet ist, sollten Unternehmen die Kernprinzipien ernst nehmen: (1) AI-Act-Compliance priorisieren, da sie zum Haftungsschutzschild wird; (2) technische Dokumentation und Logging für KI-Systeme aufbauen; (3) Verträge mit KI-Anbietern auf Haftungsklauseln prüfen; (4) Mitarbeiter in der korrekten Nutzung von KI schulen, um Betreiberpflichtverletzungen zu vermeiden; (5) Versicherungsschutz überprüfen. Diese Maßnahmen sind unabhängig vom Fortgang des Gesetzgebungsverfahrens sinnvoll, da sie die allgemeine Haftungsposition verbessern.

Fazit

Die KI-Haftungsrichtlinie ist noch kein geltendes Recht -- aber sie zeigt unmissverständlich, wohin die Reise geht. Die EU will sicherstellen, dass Geschädigte nicht an der Black-Box-Natur von KI-Systemen scheitern, wenn sie berechtigte Schadensersatzansprüche durchsetzen wollen.

Für Unternehmen bedeutet das: KI-Compliance ist nicht nur eine regulatorische Pflicht, sondern wird zum zentralen Baustein der Haftungsprävention. Wer den AI Act einhält, seine KI-Systeme dokumentiert und seine Betreiberpflichten ernst nimmt, wird auch unter der künftigen Haftungsrichtlinie gut aufgestellt sein. Wer diese Vorbereitung versäumt, riskiert nicht nur Bußgelder, sondern auch eine deutlich geschwächte Position im Haftungsfall.

---

Sie wollen Ihr Team auf die neuen Haftungsrisiken vorbereiten? KI Comply bietet praxisnahe Schulungen zur KI-Compliance -- von den Grundlagen des AI Act bis zur Haftungsprävention. Jetzt unverbindlich informieren und Ihr Unternehmen absichern.