Produkthaftung für KI: Die neue EU-Richtlinie erklärt
Die neue EU-Produkthaftungsrichtlinie erfasst erstmals auch Software und KI. Was ändert sich für Unternehmen bei der Haftung für KI-Produkte?
Produkthaftung für KI: Die neue EU-Richtlinie erklärt
Das Wichtigste in Kürze
- Die neue Produkthaftungsrichtlinie (EU) 2024/2853 stuft Software und KI-Systeme erstmals ausdrücklich als Produkte ein -- damit unterliegen sie der verschuldensunabhängigen Haftung.
- Geschädigte profitieren von einer Beweislasterleichterung: Bei technisch komplexen Produkten wie KI wird die Fehlerhaftigkeit unter bestimmten Voraussetzungen vermutet.
- Auch Software-Updates und das Unterlassen notwendiger Updates können künftig Haftungsansprüche auslösen.
- Die ergänzende KI-Haftungsrichtlinie (COM(2022) 496 final) soll die außervertragliche Haftung für KI-spezifische Schäden regeln -- sie befindet sich noch im Gesetzgebungsverfahren.
- Wer die Anforderungen des AI Act (VO (EU) 2024/1689) einhält, verschafft sich eine bessere Verteidigungsposition im Haftungsfall -- ein Freifahrtschein ist die Konformität aber nicht.
Künstliche Intelligenz durchdringt immer mehr Produkte und Dienstleistungen -- von medizinischen Diagnosesystemen über autonome Fahrzeuge bis hin zu KI-gestützten Finanzberatungen. Doch was geschieht, wenn ein KI-System einen Schaden verursacht? Wer haftet, wenn ein selbstlernendes System eine Fehlentscheidung trifft, die Vermögen zerstört oder Menschen verletzt?
Die bisherige Rechtslage war auf physische Produkte zugeschnitten und ließ Software weitgehend außen vor. Mit der Richtlinie (EU) 2024/2853 -- der neuen europäischen Produkthaftungsrichtlinie -- hat der europäische Gesetzgeber diese Lücke geschlossen. Zusammen mit dem AI Act und dem Entwurf der KI-Haftungsrichtlinie entsteht ein umfassendes Haftungsregime für KI-Systeme.
Dieser Artikel erklärt die wesentlichen Änderungen, zeigt das Zusammenspiel der verschiedenen Regelwerke und gibt konkrete Handlungsempfehlungen für Unternehmen.
Was ändert sich? Altes ProdHaftG vs. neue Richtlinie 2024/2853
Die bisherige Produkthaftung in Deutschland basiert auf dem Produkthaftungsgesetz (ProdHaftG), das die alte Produkthaftungsrichtlinie 85/374/EWG von 1985 umsetzt. Dieses Regelwerk wurde für eine Welt physischer Güter geschaffen -- Autos, Maschinen, Haushaltsgeräte. Die digitale Transformation hat es an seine Grenzen gebracht.
Die neue Richtlinie (EU) 2024/2853, veröffentlicht am 18. November 2024, modernisiert die Produkthaftung grundlegend. Die Mitgliedstaaten müssen sie bis zum 9. Dezember 2026 in nationales Recht umsetzen. Für Deutschland bedeutet das eine umfassende Reform des ProdHaftG.
Software ist jetzt ausdrücklich ein Produkt
Die wohl bedeutendste Änderung: Art. 4 Nr. 1 der Richtlinie 2024/2853 definiert den Produktbegriff neu und erfasst ausdrücklich Software, einschließlich KI-Systemen. Bisher war umstritten, ob reine Software unter das ProdHaftG fällt -- die herrschende Meinung in der deutschen Rechtswissenschaft lehnte dies ab, da das Gesetz einen körperlichen Gegenstand voraussetzte.
Diese Diskussion ist nun beendet. KI-Systeme, Machine-Learning-Modelle, autonome Entscheidungssysteme und jede andere Form von Software fallen eindeutig unter die verschuldensunabhängige Produkthaftung.
KI-Systeme fallen unter die Richtlinie
Art. 4 Nr. 1 der neuen Richtlinie verweist explizit auf die Definition von KI-Systemen im AI Act (Art. 3 Nr. 1 VO (EU) 2024/1689). Damit ist klargestellt: Jedes System, das als KI-System im Sinne des AI Act gilt, ist zugleich ein Produkt im Sinne des Produkthaftungsrechts. Die Verknüpfung beider Regelwerke ist gewollt und schafft Rechtssicherheit.
Beweislasterleichterung für Geschädigte
Ein Kernproblem bei KI-Schäden ist die sogenannte Blackbox-Problematik: Geschädigte können oft nicht nachvollziehen, warum ein KI-System eine bestimmte Entscheidung getroffen hat. Die alte Produkthaftungsrichtlinie verlangte vom Geschädigten den Beweis des Produktfehlers, des Schadens und des Kausalzusammenhangs -- bei KI-Systemen ein nahezu unmögliches Unterfangen.
Die neue Richtlinie führt in Art. 9 eine Vermutungsregelung ein: Kann der Geschädigte nachweisen, dass das Produkt fehlerhaft war und der Schaden typischerweise durch einen solchen Fehler verursacht wird, wird der Kausalzusammenhang vermutet. Zusätzlich kann die Fehlerhaftigkeit selbst vermutet werden, wenn der Hersteller relevante Beweismittel nicht offenlegt (Art. 9 Abs. 4).
Für KI-Unternehmen bedeutet das: Wer seine Systeme nicht transparent dokumentiert, riskiert im Schadensfall die Umkehr der Beweislast.
Haftung für Software-Updates und fehlende Updates
Ein völlig neuer Aspekt: Die Richtlinie 2024/2853 erstreckt die Haftung ausdrücklich auf Software-Updates und -- besonders brisant -- auf das Unterlassen notwendiger Updates (Art. 6 Abs. 2). Ein KI-System, das nach der Markteinführung einen bekannten Fehler aufweist, für den der Hersteller kein Update bereitstellt, kann einen Haftungsanspruch begründen.
Das betrifft insbesondere KI-Systeme, die durch kontinuierliches Lernen ihre Funktionsweise verändern. Hersteller müssen sicherstellen, dass Updates keine neuen Fehler einführen und dass sicherheitsrelevante Korrekturen zeitnah ausgerollt werden.
Vergleichstabelle: Altes ProdHaftG vs. neue Richtlinie 2024/2853
| Aspekt | Altes ProdHaftG (RL 85/374/EWG) | Neue Richtlinie (EU) 2024/2853 |
|---|---|---|
| Produktbegriff | Bewegliche Sachen; Software umstritten | Ausdrücklich auch Software, KI-Systeme, digitale Bauunterlagen |
| KI-Systeme erfasst? | Nicht explizit; Analogie umstritten | Ja -- Verweis auf Art. 3 Nr. 1 AI Act |
| Beweislast Kausalität | Geschädigter muss Fehler, Schaden und Kausalität vollständig beweisen | Vermutung der Kausalität unter erleichterten Voraussetzungen (Art. 9) |
| Offenlegungspflichten | Keine spezifische Regelung | Gericht kann Hersteller zur Offenlegung technischer Dokumentation verpflichten (Art. 8) |
| Software-Updates | Nicht geregelt | Fehlerhafte Updates und unterlassene Updates begründen Haftung (Art. 6 Abs. 2) |
| Haftende Personen | Hersteller, Importeur | Zusätzlich: Bevollmächtigter, Fulfillment-Dienstleister, Online-Plattformen (Art. 12) |
| Selbstbehalt | 500 € Selbstbeteiligung bei Sachschäden | Entfällt -- kein Selbstbehalt mehr |
| Verjährung / Höchstfrist | 10 Jahre ab Inverkehrbringen | 10 Jahre, verlängerbar auf 25 Jahre bei Spätschäden (Art. 14) |
Diese Gegenüberstellung zeigt: Die neue Richtlinie schließt systematisch die Lücken, die das bisherige Produkthaftungsrecht bei digitalen Produkten und KI aufwies. Für Unternehmen bedeutet das eine erhebliche Ausweitung der Haftungsrisiken.
Die KI-Haftungsrichtlinie (COM(2022) 496 final)
Neben der allgemeinen Produkthaftungsrichtlinie hat die Europäische Kommission am 28. September 2022 einen Vorschlag für eine spezifische KI-Haftungsrichtlinie vorgelegt -- den Entwurf COM(2022) 496 final. Diese Richtlinie soll die außervertragliche, verschuldensabhängige Haftung für Schäden durch KI-Systeme harmonisieren.
Aktueller Entwurfsstatus
Der Richtlinienentwurf durchläuft derzeit das ordentliche Gesetzgebungsverfahren. Das Europäische Parlament und der Rat verhandeln über den endgültigen Text. Die Verhandlungen gestalten sich komplex, da die Mitgliedstaaten unterschiedliche Vorstellungen über den Umfang der Beweislasterleichterungen haben. Mit einer Verabschiedung wird frühestens im Laufe des Jahres 2026 gerechnet, eine nationale Umsetzung dürfte sich bis 2028 hinziehen.
Wichtig: Auch wenn die KI-Haftungsrichtlinie noch nicht in Kraft ist, sollten Unternehmen sie in ihrer Compliance-Strategie berücksichtigen. Die politische Richtung ist eindeutig -- strengere Haftung für KI-Systeme wird kommen.
Beweislastumkehr bei KI
Das Herzstück des Entwurfs ist die Vermutung des Kausalzusammenhangs (Art. 4 COM(2022) 496). Wenn ein Geschädigter nachweist, dass ein KI-Betreiber eine Sorgfaltspflicht verletzt hat (etwa eine Pflicht aus dem AI Act) und es plausibel ist, dass diese Pflichtverletzung den Schaden verursacht hat, wird der Kausalzusammenhang vermutet. Der Beklagte muss dann beweisen, dass sein Pflichtverstoß nicht ursächlich war.
Diese Vermutung greift insbesondere bei Verstößen gegen:
- Art. 9 VO (EU) 2024/1689 -- Risikomanagementsystem
- Art. 10 VO (EU) 2024/1689 -- Datenqualität und Data Governance
- Art. 13 VO (EU) 2024/1689 -- Transparenz und Informationspflichten
- Art. 14 VO (EU) 2024/1689 -- Menschliche Aufsicht
- Art. 15 VO (EU) 2024/1689 -- Genauigkeit, Robustheit und Cybersicherheit
Für Hochrisiko-KI-Systeme bedeutet das: Wer die AI-Act-Pflichten nicht einhält, wird im Schadensfall kaum noch argumentieren können, dass sein System den Schaden nicht verursacht hat.
Offenlegungspflichten
Art. 3 des Entwurfs räumt Geschädigten ein Recht auf Offenlegung von Beweismitteln ein. Nationale Gerichte können Anbieter und Betreiber von KI-Systemen verpflichten, relevante technische Dokumentation, Logdaten und Informationen über das KI-System herauszugeben.
Kommt der Beklagte dieser Anordnung nicht nach, wird die Fehlerhaftigkeit des KI-Systems vermutet -- eine scharfe Sanktion, die Unternehmen zur Transparenz zwingt. Wer seine KI-Systeme nicht ausreichend dokumentiert, riskiert also nicht nur Bußgelder nach dem AI Act, sondern auch eine nachteilige Beweissituation im Haftungsprozess.
Zusammenspiel mit dem AI Act: Compliance als Haftungsschutz?
Der AI Act (VO (EU) 2024/1689) und die Haftungsrichtlinien sind aufeinander abgestimmt. Das wirft eine entscheidende Frage auf: Schützt die Einhaltung des AI Act vor Produkthaftungsansprüchen?
AI-Act-Konformität als Argument
Die Einhaltung der AI-Act-Anforderungen -- insbesondere der Art. 9 bis 15 für Hochrisiko-KI-Systeme -- stellt zweifellos ein starkes Verteidigungsargument dar. Wer nachweisen kann, dass sein KI-System über ein dokumentiertes Risikomanagementsystem (Art. 9), qualitativ hochwertige Trainingsdaten (Art. 10), umfassende technische Dokumentation (Art. 11), automatische Protokollierung (Art. 12), Transparenz gegenüber Nutzern (Art. 13), wirksame menschliche Aufsichtsmaßnahmen (Art. 14) und angemessene Genauigkeit und Robustheit (Art. 15) verfügt, wird es einem Geschädigten deutlich schwerer fallen, einen Produktfehler nachzuweisen.
Kein Freifahrtschein
Allerdings stellt Art. 6 Abs. 1 lit. f der Richtlinie 2024/2853 ausdrücklich klar: Die bloße Einhaltung regulatorischer Anforderungen schließt die Fehlerhaftigkeit eines Produkts nicht automatisch aus. Ein Produkt kann den AI Act vollständig einhalten und dennoch fehlerhaft im Sinne des Produkthaftungsrechts sein -- etwa wenn es hinter den berechtigten Sicherheitserwartungen der Allgemeinheit zurückbleibt.
Das bedeutet in der Praxis: AI-Act-Compliance ist notwendig, aber nicht hinreichend. Unternehmen müssen über die regulatorischen Mindestanforderungen hinaus den Stand der Technik berücksichtigen und die berechtigten Sicherheitserwartungen der Nutzer erfüllen.
Praktische Konsequenz
Das Zusammenspiel von AI Act und Produkthaftungsrecht erzeugt einen doppelten Compliance-Druck: Der AI Act definiert die Mindeststandards für KI-Systeme. Wer sie nicht einhält, riskiert Bußgelder. Im Haftungsfall wirkt die Nichteinhaltung zusätzlich als Indiz für die Fehlerhaftigkeit des Produkts. Die Einhaltung hingegen liefert ein starkes -- aber kein unüberwindbares -- Verteidigungsargument. Unternehmen sollten die AI-Act-Dokumentation daher auch als Haftungsvorsorge betrachten.
Wer haftet? Die erweiterte Haftungskette
Die neue Produkthaftungsrichtlinie erweitert den Kreis der haftenden Personen erheblich. Es geht längst nicht mehr nur um den Hersteller im klassischen Sinne.
Hersteller
Der Hersteller haftet als primär Verantwortlicher für das Inverkehrbringen eines fehlerhaften Produkts. Bei KI-Software ist das der Anbieter, der das KI-System entwickelt und auf dem Markt bereitgestellt hat. Die Haftung ist verschuldensunabhängig -- es spielt keine Rolle, ob der Hersteller den Fehler hätte erkennen können.
Importeur
Wer ein KI-Produkt aus einem Drittland in die EU einführt, haftet als Importeur wie ein Hersteller. Das betrifft insbesondere Unternehmen, die KI-Software aus den USA oder China in Europa vertreiben. Der Importeur übernimmt die volle Produkthaftung, wenn der außereuropäische Hersteller keinen Bevollmächtigten in der EU benannt hat.
Händler und Fulfillment-Dienstleister
Neu in der Richtlinie 2024/2853: Auch Händler und Fulfillment-Dienstleister können haften, wenn der Hersteller oder Importeur nicht identifizierbar oder nicht erreichbar ist (Art. 12). Praktisch bedeutet das: Ein deutsches Unternehmen, das KI-Software eines unbekannten Drittlandanbieters vertreibt, kann selbst als Haftungsschuldner herangezogen werden.
Online-Plattformen als Quasi-Hersteller
Besonders bemerkenswert: Online-Plattformen, die eine KI-Software als eigenes Produkt erscheinen lassen -- etwa durch die Verwendung ihrer eigenen Marke oder durch eine wesentliche Veränderung des Produkts -- können als Hersteller behandelt werden. Wer eine KI-Lösung eines Dritten unter eigenem Namen vertreibt oder wesentlich anpasst, übernimmt damit die Herstellerhaftung.
Diese erweiterte Haftungskette stellt sicher, dass Geschädigte innerhalb der EU immer einen erreichbaren und solventen Haftungsschuldner finden. Für Unternehmen bedeutet das: Jede Rolle in der Lieferkette eines KI-Produkts kann Haftung auslösen.
Praktische Auswirkungen: 5 Szenarien
Die neuen Haftungsregeln werden am greifbarsten, wenn man sie auf konkrete Situationen überträgt. Die folgenden fünf Szenarien illustrieren die Bandbreite der Haftungsrisiken.
Szenario 1: KI-Software verursacht Fehlentscheidung im Personalwesen
Ein Unternehmen setzt ein KI-basiertes Bewerbermanagement-System ein. Das System sortiert aufgrund eines Fehlers in den Trainingsdaten systematisch qualifizierte Bewerberinnen aus -- ein Fall algorithmischer Diskriminierung. Eine abgelehnte Bewerberin klagt auf Schadensersatz.
Haftungsanalyse: Das KI-System ist ein Produkt im Sinne der Richtlinie 2024/2853. Die diskriminierende Entscheidung stellt einen Produktfehler dar, da das System nicht die berechtigten Sicherheitserwartungen erfüllt. Der Hersteller haftet verschuldensunabhängig. Der Betreiber (das einsetzende Unternehmen) kann zusätzlich nach der künftigen KI-Haftungsrichtlinie haften, wenn er seine Überwachungspflichten nach Art. 26 AI Act verletzt hat. Zudem liegt ein Verstoß gegen Art. 10 AI Act (Datenqualität) vor, der die Kausalitätsvermutung auslöst.
Szenario 2: Autonomes System beschädigt Eigentum
Ein autonom fahrender Lieferroboter weicht wegen eines Softwarefehlers vom vorgesehenen Pfad ab und beschädigt ein geparktes Fahrzeug. Der Fahrzeugeigentümer verlangt Schadensersatz.
Haftungsanalyse: Der Lieferroboter samt Software ist ein Produkt. Der Softwarefehler ist ein Produktfehler. Der Geschädigte muss nur den Fehler und den Schaden nachweisen -- die Kausalität wird nach Art. 9 der neuen Richtlinie vermutet, da ein Softwarefehler bei einem autonomen Navigationssystem typischerweise genau solche Schäden verursacht. Der Hersteller haftet verschuldensunabhängig. Neu: Der bisherige Selbstbehalt von 500 Euro bei Sachschäden entfällt.
Szenario 3: KI-Chatbot gibt falsche Rechtsauskunft
Ein Anwaltskanzlei-Portal bietet einen KI-Chatbot an, der rechtliche Ersteinschätzungen liefert. Der Bot gibt einem Nutzer eine falsche Auskunft zur Verjährungsfrist, woraufhin der Nutzer eine berechtigte Forderung verfallen lässt.
Haftungsanalyse: Die Software ist ein Produkt. Die falsche Rechtsauskunft kann einen Produktfehler darstellen, wenn die berechtigten Erwartungen der Nutzer enttäuscht werden -- allerdings kommt es auf die Darstellung an. Hat der Anbieter klar kommuniziert, dass es sich nur um eine unverbindliche Ersteinschätzung handelt, mindert das die Erwartungshaltung. Die Kanzlei kann als Anbieter nach der Produkthaftungsrichtlinie und als Betreiber nach der KI-Haftungsrichtlinie haften. Die Offenlegungspflichten der Art. 13 AI Act (Transparenz) werden hier zum entscheidenden Faktor.
Szenario 4: KI-gestütztes Medizinprodukt stellt Fehldiagnose
Ein KI-System zur radiologischen Bildauswertung übersieht einen Tumor auf einem Röntgenbild. Die verspätete Diagnose führt zu einem schlechteren Behandlungsergebnis für den Patienten.
Haftungsanalyse: Als KI-System in der medizinischen Diagnostik handelt es sich um ein Hochrisiko-KI-System nach Anhang III AI Act. Die Anforderungen der Art. 9-15 AI Act gelten in vollem Umfang. Der Hersteller haftet nach der Produkthaftungsrichtlinie. Konnte er die Einhaltung aller AI-Act-Anforderungen lückenlos dokumentieren, stärkt das seine Verteidigungsposition -- schließt die Haftung aber nicht aus, wenn das System hinter dem Stand der Technik zurückblieb. Der Patient profitiert von der Beweislasterleichterung: Er muss nur die Fehldiagnose und den Gesundheitsschaden nachweisen, der Kausalzusammenhang wird vermutet.
Szenario 5: Fehlendes Software-Update verursacht Schaden
Ein Hersteller eines KI-gestützten Sicherheitssystems für Industrieanlagen erkennt eine Schwachstelle in seinem Algorithmus, die zu Fehlalarmen und damit zu gefährlichen Produktionsstopps führen kann. Er verzögert das Update um sechs Monate. In dieser Zeit erleidet ein Betreiber erheblichen Sachschaden durch einen Fehlalarm.
Haftungsanalyse: Nach Art. 6 Abs. 2 der Richtlinie 2024/2853 kann das Unterlassen eines notwendigen Updates die Fehlerhaftigkeit des Produkts begründen. Der Hersteller kann sich nicht darauf berufen, dass das Produkt zum Zeitpunkt des Inverkehrbringens fehlerfrei war. Die bewusste Verzögerung des Updates verschärft die Haftung erheblich. Hier zeigt sich die praktische Bedeutung der neuen Update-Pflicht.
Schutzmaßnahmen für Unternehmen
Angesichts der erweiterten Haftungsrisiken müssen Unternehmen proaktiv handeln. Die folgenden Maßnahmen bilden das Fundament einer wirksamen Haftungsvorsorge.
1. Lückenlose Dokumentation
Die technische Dokumentation ist die wichtigste Verteidigungslinie im Haftungsfall. Unternehmen sollten für jedes KI-System dokumentieren:
- Zweckbestimmung und Einsatzgrenzen des Systems
- Trainingsdaten: Herkunft, Qualitätssicherung, Bias-Prüfung
- Modellarchitektur und Entscheidungslogik -- soweit nachvollziehbar
- Validierungsergebnisse und Testprotokolle
- Risikobewertung nach Art. 9 AI Act mit konkreten Mitigationsmaßnahmen
- Änderungshistorie aller Updates und Modifikationen
Diese Dokumentation muss jederzeit vorgelegt werden können -- sowohl gegenüber Aufsichtsbehörden (AI Act) als auch gegenüber Gerichten (Produkthaftung). Ein fehlendes Dokument kann zur Beweislastumkehr führen.
2. Systematisches Testing
KI-Systeme müssen vor der Markteinführung und nach jedem wesentlichen Update systematisch getestet werden:
- Funktionale Tests unter realistischen Einsatzbedingungen
- Robustheitstests gegen Adversarial Attacks und Edge Cases
- Fairness-Tests zur Erkennung diskriminierender Muster
- Stress-Tests unter Extrembedingungen
- Regressionstests nach Updates, um neue Fehler auszuschließen
Die Testergebnisse sind Teil der technischen Dokumentation und dienen im Haftungsfall als Nachweis der Sorgfalt.
3. Kontinuierliches Monitoring
Die Haftung endet nicht mit dem Inverkehrbringen. Unternehmen müssen ihre KI-Systeme im laufenden Betrieb überwachen:
- Performance-Monitoring zur Erkennung von Modell-Drift
- Incident-Tracking für Fehlentscheidungen und Anomalien
- Nutzer-Feedback systematisch erfassen und auswerten
- Automatisierte Alerts bei Abweichungen von definierten Schwellenwerten
- Regelmäßige Audits der Systemleistung gegen die dokumentierten Anforderungen
Art. 72 AI Act verpflichtet Anbieter von Hochrisiko-KI-Systemen bereits zu einem Post-Market-Monitoring-System. Diese Pflicht wird durch die Produkthaftungsrichtlinie faktisch auf alle KI-Systeme erweitert, die Schäden verursachen können.
4. Versicherungsschutz
Angesichts der verschuldensunabhängigen Haftung ist ein adäquater Versicherungsschutz unverzichtbar:
- Produkthaftpflichtversicherung prüfen und an Software/KI anpassen -- viele klassische Policen schließen reine Software-Schäden aus
- Cyber-Versicherung als Ergänzung für KI-spezifische Risiken
- D&O-Versicherung für die persönliche Haftung der Geschäftsleitung
- Deckungssummen regelmäßig an das wachsende Haftungsrisiko anpassen
Unternehmen sollten ihre bestehenden Policen dringend daraufhin prüfen, ob KI-Systeme und Software-Schäden abgedeckt sind. Viele Altverträge enthalten Ausschlüsse, die unter der neuen Rechtslage existenzbedrohend werden können.
5. Vertragliche Absicherung in der Lieferkette
Da die Richtlinie 2024/2853 die Haftungskette erweitert, müssen Unternehmen ihre vertraglichen Beziehungen absichern:
- Freistellungsvereinbarungen mit Zulieferern und Vorleistern
- Klare Regelung der Update-Verantwortung in Softwarelizenzverträgen
- Durchgriffsrechte auf technische Dokumentation des Herstellers
- Regressklauseln für den Fall, dass ein Zuliefererprodukt den Schaden verursacht
Besonders Importeure und Händler sollten sicherstellen, dass sie im Haftungsfall auf den Hersteller zurückgreifen können.
Häufig gestellte Fragen (FAQ)
Gilt die neue Produkthaftungsrichtlinie auch für Open-Source-Software?
Grundsätzlich ja -- allerdings mit einer wichtigen Einschränkung. Art. 4 Nr. 2 der Richtlinie 2024/2853 nimmt freie und quelloffene Software vom Produktbegriff aus, sofern sie außerhalb einer Geschäftstätigkeit entwickelt und bereitgestellt wird. Sobald Open-Source-Software jedoch im Rahmen einer Geschäftstätigkeit eingesetzt oder kommerziell vertrieben wird, fällt sie unter die Richtlinie. In der Praxis bedeutet das: Die meisten kommerziellen Nutzungen von Open-Source-KI-Modellen werden von der Produkthaftung erfasst.
Ab wann gelten die neuen Regeln in Deutschland?
Die Richtlinie (EU) 2024/2853 trat am 8. Dezember 2024 in Kraft. Die Mitgliedstaaten haben bis zum 9. Dezember 2026 Zeit für die Umsetzung in nationales Recht. In Deutschland wird das ProdHaftG entsprechend novelliert werden. Die neuen Regeln gelten nur für Produkte, die nach dem Umsetzungsstichtag auf den Markt gebracht werden. Unternehmen sollten sich aber bereits jetzt vorbereiten, da die Umstellungsphase erfahrungsgemäß Vorlaufzeit erfordert.
Können KI-Betreiber (nicht nur Hersteller) nach der Produkthaftungsrichtlinie haften?
Die Produkthaftungsrichtlinie richtet sich primär gegen Hersteller, Importeure und Händler -- also die Lieferseite. Reine Betreiber (Deployer im Sinne des AI Act) haften nach dieser Richtlinie grundsätzlich nicht. Ihre Haftung ergibt sich aus der geplanten KI-Haftungsrichtlinie (COM(2022) 496) sowie aus dem allgemeinen Deliktsrecht (§ 823 BGB). Allerdings kann ein Betreiber zum Quasi-Hersteller werden, wenn er das KI-System wesentlich verändert -- etwa durch eigenes Fine-Tuning.
Wie hoch ist die maximale Entschädigung nach der neuen Richtlinie?
Die alte Produkthaftungsrichtlinie sah eine Obergrenze von 70 Millionen Euro für Personenschäden durch gleichartige Produkte vor. Die neue Richtlinie 2024/2853 beseitigt diese Obergrenze -- die Entschädigung ist nun grundsätzlich unbegrenzt. Zudem entfällt der bisherige Selbstbehalt von 500 Euro bei Sachschäden. Für Unternehmen erhöht das die potenzielle Haftungssumme erheblich und macht eine angemessene Versicherung umso wichtiger.
Schützt ein CE-Kennzeichen oder eine AI-Act-Konformitätsbewertung vor Produkthaftungsansprüchen?
Nein -- nicht automatisch. Art. 6 Abs. 1 lit. f der Richtlinie 2024/2853 stellt klar, dass die Einhaltung gesetzlicher Sicherheitsanforderungen die Fehlerhaftigkeit nicht ausschließt. Ein KI-System kann alle regulatorischen Anforderungen erfüllen und dennoch fehlerhaft sein, wenn es hinter den berechtigten Sicherheitserwartungen zurückbleibt. Die AI-Act-Konformität ist jedoch ein starkes Indiz für die Sorgfalt des Herstellers und erleichtert die Verteidigung im Haftungsprozess erheblich.
Fazit: Handeln Sie jetzt
Die neue Produkthaftungsrichtlinie (EU) 2024/2853 markiert einen Paradigmenwechsel für KI-Unternehmen. Software und KI-Systeme sind erstmals ausdrücklich als Produkte anerkannt, Geschädigte profitieren von erheblichen Beweiserleichterungen, und die Haftungskette erstreckt sich auf die gesamte Wertschöpfungskette.
Zusammen mit dem AI Act und der geplanten KI-Haftungsrichtlinie entsteht ein dichtes Regelungsnetz, das KI-Hersteller, Importeure, Händler und Betreiber gleichermaßen betrifft. Wer die Anforderungen ignoriert, riskiert nicht nur Bußgelder, sondern auch ruinöse Schadensersatzansprüche ohne Haftungsobergrenze.
Die gute Nachricht: Unternehmen, die ihre AI-Act-Compliance ernst nehmen, legen gleichzeitig das Fundament für eine wirksame Haftungsvorsorge. Dokumentation, Testing und Monitoring sind die Schlüssel -- sowohl für die regulatorische Konformität als auch für die Verteidigung im Haftungsfall.
Die Umsetzungsfrist läuft bis Dezember 2026. Beginnen Sie jetzt mit der Vorbereitung.
Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die Bewertung Ihrer konkreten Situation wenden Sie sich an einen spezialisierten Rechtsanwalt. KI Comply unterstützt Sie bei der Umsetzung der regulatorischen Anforderungen -- kontaktieren Sie uns für eine unverbindliche Erstberatung.
Rechtsquellen
- Neue Produkthaftungsrichtlinie – Richtlinie (EU) 2024/2853
- KI-Haftungsrichtlinie (Entwurf) – COM(2022) 496 final
- AI Act Anforderungen – VO (EU) 2024/1689 (Quelle)
- Deutsches ProdHaftG – Produkthaftungsgesetz (ProdHaftG)
Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine rechtliche Bewertung Ihres konkreten Falls wenden Sie sich bitte an einen spezialisierten Rechtsanwalt.
Artikel teilen:
Weiterlesen
Geschäftsführerhaftung bei KI: Persönliche Risiken nach dem AI Act
Geschäftsführer und Vorstände haften persönlich für KI-Compliance-Verstöße. Welche Risiken bestehen und wie Sie sich schützen.
AI Act Strafen und Bußgelder: Was Unternehmen bei Verstößen droht
Bei Verstößen gegen den AI Act drohen Bußgelder von bis zu 35 Millionen Euro. Erfahren Sie, welche Strafen für welche Verstöße gelten und wie Sie Risiken minimieren.
Hochrisiko-KI-Systeme nach dem AI Act: Definition, Beispiele und Pflichten
Hochrisiko-KI-Systeme unterliegen den strengsten Regeln des AI Act. Wir erklären, was als Hochrisiko gilt, welche Beispiele es gibt und welche Pflichten Sie treffen.
AI Act vs. DSGVO: Wie die beiden Regulierungen zusammenspielen
AI Act und DSGVO — zwei EU-Verordnungen, ein Ziel: verantwortungsvolle KI. Wir erklären die Unterschiede, Überschneidungen und was Unternehmen beachten müssen.
Ist KI-Output urheberrechtlich geschützt? Aktuelle Rechtslage
Warum rein maschinell erzeugte Inhalte in Deutschland keinen Werkschutz genießen, wo die Grenze zur schützfähigen KI-Assistenz verläuft und wie Unternehmen ihre Rechte an KI-gestütztem Content sichern.
KI für Textgenerierung: Urheberrecht und Haftung im Überblick
Wer mit ChatGPT oder Claude Texte generiert, stößt auf komplexe Urheberrechtsfragen. Dieser Leitfaden klärt die Rechtslage nach §§2, 7, 44b UrhG und zeigt, wie Unternehmen KI-Texte rechtskonform nutzen.
Machen Sie Ihr Team KI-fit
Mit unserer Online-Schulung erfüllen Sie die Anforderungen der KI-Verordnung - einfach und effizient.
Preise ansehen