Stand: Juni 2026 · Wird beobachtet · Nächste Aktualisierung: September 2026
KI-Haftung — wer trägt die Verantwortung?
Die AI Liability Directive ist zurückgezogen. Die neue Produkthaftungsrichtlinie ist in Kraft. Erste Bußgelder liegen vor. Organhaftung bleibt das große Tabu. Ich versuche zu verstehen, was das für Entscheider bedeutet — und wie man sich vorbereitet.
Diese Seite kartiert die Haftungslandschaft: gesetzliche Grundlagen, Organhaftung, D&O-Versicherung, erste Bußgeldverfahren, Shadow AI und Agentic Liability. Sie ist kein Rechtsrat — aber sie zeigt, wo die Fragen liegen und wer sie beantworten muss.
Ausgangslage: Haftung ohne Gesetz
Die wichtigste Nachricht des Jahres 2025 für die KI-Haftung: Die EU hat die AI Liability Directive zurückgezogen. Keine Einigung, Industrie-Lobbying, keine Wiederbelebung in Sicht. Was bedeutet das für Unternehmen?
AI Liability Directive zurückgezogen
11. Februar 2025 — offizielle Streichung durch die EU-Kommission
Die AI Liability Directive sollte die zivilrechtliche Haftung für KI-Schäden europaweit harmonisieren. Sie ist gescheitert — an fehlender Einigung, Industrie-Lobbying und der Komplexität des Themas. Die Konsequenz: Die Haftungsfrage bleibt nationalem Richterrecht überlassen.
Neue Produkthaftungsrichtlinie (PLD) — KI-Software als Produkt, in Kraft seit Dez 2024, Umsetzung bis Dez 2026.
KI als Dienstleistung, Organhaftung, Beweislast bei Black-Box-Entscheidungen, Haftungskette bei Agenten.
Drei Dodge-Muster — und warum sie nicht tragen
„Das macht der AI Act"
Nein, der AI Act regelt keine zivilrechtliche Haftung. Er definiert Pflichten und Bußgelder — aber wer für einen KI-Fehler zahlen muss, entscheiden die Zivilgerichte.
„Erstmal abwarten"
Worauf? Die AI Liability Directive ist zurückgezogen. Es wird kein spezifisches EU-KI-Haftungsrecht geben. Die Haftungsfrage bleibt nationalem Richterrecht überlassen.
„Das ist ein IT-Thema"
Haftung ist Chefsache. Organhaftung kann nicht an die IT-Abteilung delegiert werden. Geschäftsführer haften persönlich für Organisationsverschulden bei KI.
„Die größte Haftungsfrage 2026 ist nicht 'was sagt der AI Act?' — sondern 'wer trägt die Verantwortung, wenn die KI falsch entscheidet, und wie weise ich nach, dass ich sie nicht fahrlässig eingesetzt habe?' Ohne Antwort auf diese Frage ist jedes KI-Projekt ein Haftungsrisiko."
Ralf Kruse, EnableChange — Analyse der AI-Org Knowledge Base (Juni 2026)
Produkthaftung: KI-Software als Produkt
Die neue EU-Produkthaftungsrichtlinie (2024/2853) ist der wichtigste haftungsrechtliche Rahmen für KI — denn sie schließt Software und KI-Systeme explizit als Produkte ein.
Neu
Software = Produkt
KI-Systeme, Software, digitale Fertigungsdateien und KI-Modellgewichte gelten jetzt explizit als Produkte im Sinne der Produkthaftung. Wer ein KI-Modell in sein Produkt einbettet, haftet für dessen Fehler.
Achtung
Dienstleistung ≠ Produkt
Ein KI-Assessment-as-a-Service, ein API-Call zu einem LLM oder ein KI-Chatbot fallen nicht unter die PLD. Die Grenze zwischen Produkt und Dienstleistung ist rechtlich offen — und entscheidet über die Haftungsgrundlage.
Neu
Post-Sale-Defects
Updates und Cybersecurity-Patches sind jetzt Teil der Produktverantwortung. Ein KI-Update das neue Fehler einführt, macht produkt- und haftungsrechtlich verantwortlich.
Risiko
Beweislastumkehr
Bei offensichtlichen Produktmängeln müssen Unternehmen beweisen, dass das KI-System nicht fehlerhaft war. Ohne Audit-Logs, Reasoning-Tracing und Data Provenance wird das schwer.
Timeline
9. Dez 2024: PLD (2024/2853) tritt in Kraft
Bis 9. Dez 2026: Mitgliedstaaten müssen PLD in nationales Recht umsetzen
Ab 9. Dez 2026: Alte Richtlinie (85/374/EWG) wird ersetzt — KI-Software als Produkt haftbar
Quelle: Wolf Theiss EU Product Liability Directive Tracker 2026, Gibson Dunn 2025
Organhaftung — das große Tabu
Während die EU über KI-Haftungsrichtlinien diskutiert, ist die eigentlich relevante Frage längst im nationalen Gesellschaftsrecht verankert: Geschäftsführer und Vorstände haften persönlich, wenn KI-Pflichten nicht erfüllt werden.
Business Judgement Rule
§93 Abs. 1 S. 2 AktG schützt Geschäftsleiter vor persönlicher Haftung, wenn sie auf Basis angemessener Information entscheiden. Wer KI-Output ungeprüft übernimmt, verstößt gegen die Sorgfaltspflicht — der Safe Harbor greift nicht.
KI-Kompetenzpflicht
Art. 4 KI-VO verpflichtet Anbieter und Betreiber, für ausreichende KI-Kompetenz zu sorgen. Die Geschäftsleitung muss sicherstellen, dass Mitarbeiter KI verstehen — sonst Organisationsverschulden.
Haftungskaskade
Geschäftsführer (Organisationsverschulden) → Aufsichtsrat (Überwachungspflicht) → Fachbereichsleiter (konkrete KI-Entscheidungen). Die Verantwortung verteilt sich, aber sie verschwindet nicht.
Wie die Business Judgement Rule bei KI funktioniert — ausführlich▾
Die Business Judgement Rule ist der Safe Harbor für Geschäftsleiter. Wer nachweisen kann, dass er:
- eine unternehmerische Entscheidung getroffen hat,
- auf der Grundlage angemessener Information,
- vernünftigerweise zum Wohle der Gesellschaft handeln durfte —
...haftet nicht persönlich, selbst wenn die Entscheidung sich im Nachhinein als falsch erweist.
Bei KI-gestützten Entscheidungen heißt das konkret:
- • Angemessene Information: Der KI-Output muss geprüft werden können. Wer sagt „das hat die KI gesagt" haftet persönlich.
- • Angemessene KI-Kompetenz: Wer nicht versteht, wie die KI zu ihrem Ergebnis kommt, handelt nicht auf Basis angemessener Information.
- • Delegation ≠ Enthaftung: Die Entscheidung kann an KI delegiert werden, aber die Verantwortung bleibt beim Geschäftsleiter.
Hinweis: Die Business Judgement Rule schützt nur bei unternehmerischen Entscheidungen. Bei Pflichtverletzungen (fehlende Compliance, unterlassene Risikoprüfung, Verstoß gegen AI Act) greift sie nicht. Wer KI ohne Inventur und Risikoprüfung einführt, haftet persönlich.
D&O-Versicherung — der blinde Fleck
Die D&O-Versicherung schützt das Privatvermögen von Geschäftsführern und Vorständen. Aber: KI-Risiken sind in den meisten Policen nicht explizit abgedeckt. Das wird zum Problem, sobald die ersten Klagen kommen.
Typische KI-Haftungsfelder für D&O
- •Fehlerhafte Prognosen durch KI (Markt-, Finanz-, Personalprognosen)
- •Diskriminierende KI-Entscheidungen (Hiring, Kredit, Versicherung)
- •Datenschutzverstöße durch KI-Systeme (Drittland-Transfer, Training)
- •Black-Box-Problematik: Nachweis der Sorgfalt nicht möglich
- •Organschaftliche Sorgfaltspflichtverletzung (§43 GmbHG, §93 AktG)
Was jetzt zu prüfen ist
- →Enthält die D&O-Police eine explizite KI-Klausel?
- →Sind KI-Entscheidungen als „unternehmerische Entscheidungen" definiert?
- →Deckt die Police Haftung aus AI-Act-Verstößen ab?
- →Sind externe KI-Dienstleister (API, SaaS) als Risiko eingeschlossen?
- →Gibt es Ausschlüsse für KI-generierte Entscheidungen?
Allianz Commercial warnt vor einer Haftungswelle: Cyberkriminalität, Regulierung und KI erhöhen Klagerisiken für Entscheidungsträger, insbesondere in den USA. Europäische Unternehmen sind nicht immun — die ersten Bußgeldverfahren zeigen die Richtung.
Quelle: VOV 'KI und Managerhaftung', Kanzlei Format 'D&O-Versicherung bei KI', BB IN-HOUSE (CB 2026, 117)
Erste Bußgeldverfahren März 2026
Der AI Act zeigt Zähne. Im März 2026 verhängte das EU AI Office die ersten substanziellen Strafen. Drei Fälle, drei branchenrelevante Lehren.
KI-Rekrutierungssystem
Hochrisiko, keine Konformitätsbewertung, intransparente Entscheidungslogik
Biometrische Überwachung
Nicht registriert, keine Rechtsgrundlage für die Verarbeitung biometrischer Daten
KI-Kredit-Scoring
Kein Recht auf Erklärung für Betroffene, intransparente Score-Berechnung
Verbotene Praktiken (Art. 5)
35 Mio € oder 7%
Social Scoring, Manipulation, Emotionserkennung am Arbeitsplatz
Hochrisiko-Pflichten
15 Mio € oder 3%
Fehlende Konformität, keine Transparenz, kein Human Oversight
Allgemeine Pflichten
7,5 Mio € oder 1%
Falsche oder irreführende Kennzeichnung von KI-Inhalten
Was diese Fälle bedeuten
Die erste Bußgeldwelle zeigt: Das EU AI Office zielt auf Transparenz, Nachweis und Kontrolle. Wer seine KI-Systeme nicht dokumentieren, klassifizieren und auditen kann, wird zum Ziel. Die Bußgelder richten sich gegen Anbieter (nicht Einsatzende), aber die Botschaft ist klar: Die Durchsetzung hat begonnen — und ab August 2026 kommen die Hochrisiko-Pflichten.
Quelle: Informed Clearly 'EU AI Act Erste Strafen 2026', Tagesblick 'Erste Bußgelder erwartet'
Shadow AI — das Haftungsrisiko der unkontrollierten Nutzung
Shadow AI ist kein Trainings-, Policy- oder Technologie-Problem. Es ist ein Accountability-Problem. Unternehmen mit voller Business-Unit-Autonomie deployen im Schnitt 14,2 verschiedene AI-Vendorsinnerhalb von 24 Monaten — ohne zentrale Kontrolle.
Das strukturelle Problem
- →Verbot von KI-Tools erzeugt Shadow-KI — genau wie Shadow-IT
- →Mitarbeiter nutzen private KI-Tools mit Unternehmensdaten
- →Datenverlust, Compliance-Verstöße, Haftungsrisiken sind nicht versichert
- →Durchschnittliches Haftungsrisiko: $3,2M/Jahr pro Fortune-500-Unternehmen
Die Governance-Antwort
- →Accountability Charts statt Org Charts: Wer owned die KI-Entscheidungen?
- →Citizen Development als kontrollierte Alternative zu Shadow AI
- →KI-Register als Transparenz-Instrument für Betriebsrat & Geschäftsführung
- →Default 'Ja' mit festen Leitplanken statt Verbotskultur
Shadow AI = Haftungsrisiko für die Geschäftsführung. Wenn Mitarbeiter unkontrolliert KI-Tools nutzen und dabei Daten verloren gehen oder Compliance-Verstöße passieren, haftet die Geschäftsleitung für Organisationsverschulden — unabhängig davon, ob sie von der Nutzung wusste.
Quelle: Shadow AI: Ownership Fragmentation (KB, 644 conn), IBM Cost of Data Breach Report 2025
Agentic Liability — das Zukunftsthema
KI-Agenten handeln autonom: sie kaufen ein, schreiben Code, interagieren mit anderen Systemen. Wer haftet wenn ein Agent einen Vertrag unterschreibt, der dem Unternehmen schadet? Oder wenn ein Agent diskriminiert? Diese Fragen sind rechtlich ungeklärt.
Autorisierungslücke
Agentic AI wird Commerce ausführen: Versicherungen abschließen, Leasingverträge unterschreiben, Kredite beantragen. Es gibt keinen etablierten Standard für Agent-to-Institution-Authorization.
Quelle: Agentic Commerce: The Trust and Authorization Gap
Haftungskette
Wer haftet wenn ein Agent autonom kauft? Der Entwickler, der Betreiber, der Nutzer? Ohne klare Rechtslage bleibt es Einzelfallentscheidung der Gerichte.
Quelle: Treat Agents Like Employees — Governance Mental Model
Beweislast
Wenn der Agent entscheidet, muss der Betreiber beweisen können, warum die Entscheidung richtig war. Ohne Reasoning-Logging und Audit-Trails ist das nicht möglich.
Quelle: Reasoning-Logging für Audit-Trails
Das Governance-Mental Model
Der einfachste Ansatz: Treat Agents Like Employees. Dieselben Fragen die man für einen neuen Mitarbeiter beantworten muss — welcher Zugriff, welche Aktionen, wer reviewed, welcher Audit Trail — gelten auch für KI-Agenten. Dieses Modell macht Governance-Entscheidungen intuitiv für nicht-technische Führungskräfte.
Quelle: Treat Agents Like Employees (KB, 373 conn), Agentic Commerce: Trust and Authorization Gap (KB, 620 conn)
Was Unternehmen jetzt tun können
Keine Panik — aber Handlungsdruck. Die folgenden Schritte helfen, Haftungsrisiken zu verstehen und zu minimieren. Kein Rechtsrat, aber ein Fahrplan für das Gespräch mit dem Rechtsbeistand.
KI-Inventur
Welche KI-Systeme laufen wo? Wer hat sie eingeführt? Sind sie Hochrisiko? Ohne Inventur keine Haftungsminimierung.
Klassifikation prüfen
Jedes KI-System gegen Art. 6 + Anhang III AI Act prüfen. Hochrisiko-Systeme brauchen Konformitätsbewertung, Logging und Human Oversight.
Haftungsmatrix definieren
Wer trägt die Verantwortung pro System? Wer gibt frei? Wer prüft? Die Verantwortung muss dokumentiert sein — sonst haften alle.
D&O-Check
KI-Risiken explizit in der D&O-Police prüfen. Deckung für KI-Entscheidungen einfordern. Black-Box-Ausschlüsse vermeiden.
Compliance-Stack aufbauen
Nachweis der Kontrolle statt nachträglicher Dokumentation: Policy-as-Code, Reasoning-Logging, Audit-Trails, automatisierte Compliance-Prüfung.
Offene Fragen
Hier hat die KB noch Lücken — Themen die beobachtet werden müssen:
- ?D&O-Versicherung und KI: Explizite Deckungsklauseln — noch kein Marktstandard
- ?Betriebsvereinbarungen zu KI-Haftung: Muster oder Vorlagen? Wenig publiziert
- ?Haftung bei Open-Weight-Modellen: Wer haftet wenn ein Open-Source-Modell Schaden verursacht?
- ?Agent-to-Agent-Haftung: Wer haftet wenn zwei KI-Agenten interagieren und ein Fehler entsteht?
Weiterführende Themen
Haftung ist kein isoliertes Thema — es hängt direkt mit der Regulierungslandschaft, dem Compliance-Stack und den Governance-Fragen zusammen.
Regulierungs-Landkarte
AI Act, DSGVO, Data Act, NIS2 — wer reguliert was und wann?
→AI Governance
Der übergreifende Rahmen für KI-Compliance und Risikomanagement.
→Hochrisiko-Systeme
Welche KI-Systeme als Hochrisiko gelten — und was das bedeutet.
→Data Governance & KI
Daten im KI-Kontext — Qualität, Provenienz, Haftungsgrundlage.
→KI-Richtlinie
Warum Verbote Shadow AI erzeugen — und was stattdessen funktioniert.
→Open Source KI
Haftung bei Open-Weight-Modellen — eine offene Frage.
→
Haftung ist Chefsache — und bleibt unangenehm
Diese Seite kartiert die Haftungslandschaft, so gut ich sie heute überblicke. Die Lücken sind offen benannt. Organhaftung, D&O-Deckung, Agentic Liability — das sind keine Randthemen, sondern existenzielle Fragen für jedes Unternehmen das KI einsetzt. Ich beobachte weiter, sammle Quellen und ergänze die KB.
Datenbasis: AI-Org Knowledge Base mit 3.269 Nodes, Stand Juni 2026. Neue Haftungs-Konzepte: Organhaftung, D&O-Versicherung, AI Liability Directive-Rückzug, PLD, erste Bußgeldverfahren — 5 neue Konzepte aus 7 Quellen.
Update-Rhythmus: Quartalsweise. Nächste Aktualisierung: September 2026.
Fehlt ein Haftungsthema? Eine Branchenperspektive? Schreib mir.
Haftungsausschluss: Alle Angaben ohne Gewähr. Rechtliche Einschätzungen ersetzen keine anwaltliche Beratung. Diese Seite ist eine Navigationshilfe, keine Rechtsauskunft.