EU AI Act: Haftung bei KI-Fehlern und Kaskadenhaftung

Stellen Sie sich vor, Sie kaufen eine Software für Ihr Unternehmen. Sie installieren sie, schulen Ihr Team und gehen live. Drei Monate später verursacht diese Software – gesteuert durch Künstliche Intelligenz – einen diskriminierenden Vorfall bei der Bewerberauswahl oder ein Sicherheitsleck in der Produktion. Die Aufsichtsbehörde klopft an Ihre Tür.

Ihre erste Reaktion ist wahrscheinlich: „Moment mal, wir haben das doch nur gekauft. Der Hersteller ist schuld!“

‍

Doch im Zeitalter des EU AI Act ist diese Annahme gefährlich. Willkommen in der komplexen Welt der Kaskadenhaftung und der Mehrfachtäterschaft. Anders als bei klassischer Software betrachtet der europäische Gesetzgeber KI nicht als isoliertes Produkt, sondern als eine Kette von Verantwortlichkeiten. Wer hier das schwächste Glied ist oder wer den Staffelstab der Verantwortung fallen lässt, kann zur Kasse gebeten werden – oft mit Summen, die wir bisher nur aus der DSGVO kannten.

‍

In diesem Beitrag dröseln wir das juristische Geflecht auf und zeigen Ihnen, warum Sie auch als „nur Nutzer“ einer KI plötzlich im Rampenlicht der Regulatoren stehen können.

‍

Die KI-Wertschöpfungskette: Wer sitzt mit im Boot?

‍

Um zu verstehen, wer Bußgelder zahlt, müssen wir zuerst verstehen, wer überhaupt am Tisch sitzt. Der EU AI Act kennt nicht nur „Hersteller“ und „Kunden“. Er definiert klare Rollen entlang der Wertschöpfungskette.

‍

Wenn wir über den aktuellen EU AI Act Status sprechen, müssen wir diese vier Hauptakteure unterscheiden:

1. Anbieter (Provider): Diejenigen, die das KI-System entwickeln oder unter ihrem Namen in den Verkehr bringen.
2. Einführer (Importer): Unternehmen, die KI-Systeme aus Drittländern (z.B. USA) in die EU holen.
3. Händler (Distributor): Jene, die das System in der Lieferkette weiterreichen.
4. Betreiber (Deployer): Das sind oft Sie. Unternehmen, die KI-Systeme unter ihrer eigenen Verantwortung nutzen (außer für rein persönliche, familiäre Zwecke).

‍

Das Risiko ist hierbei nicht statisch. Es fließt.

‍

‍

Das Prinzip der Kaskadenhaftung

‍

Der Begriff „Kaskadenhaftung“ klingt abstrakt, beschreibt aber ein sehr reales Szenario: Die Verantwortung – und damit das Bußgeldrisiko – kann von oben nach unten „durchgereicht“ werden oder auf einer Stufe hängenbleiben, die man nicht erwartet hat.

‍

Wenn der Händler zum Hersteller wird

‍

Ein klassischer Fallstrick im EU AI Act ist die Umwidmung der Rolle. Ein Händler oder Importeur (und sogar ein Betreiber) kann rechtlich plötzlich als Anbieter behandelt werden.

‍

Wann passiert das?

• Wenn Sie ein KI-System unter Ihrem eigenen Namen in den Verkehr bringen.
• Wenn Sie eine wesentliche Änderung am KI-System vornehmen (z.B. durch Fine-Tuning oder Integration in eine neue Architektur).
• Wenn Sie den Verwendungszweck des Systems ändern (z.B. eine KI für Textanalyse plötzlich zur medizinischen Diagnose einsetzen).

‍

In diesem Moment greift die Kaskade: Die ursprünglichen Pflichten des Herstellers gehen vollumfänglich auf Sie über. Sie haften dann nicht mehr „nur“ für die falsche Anwendung, sondern für die Konformität des gesamten Systems.

‍

Mehrfachtäter: Wenn alle zahlen müssen

‍

Noch spannender wird es bei der Frage, was passiert, wenn mehrere Akteure Fehler machen. Der EU AI Act sieht vor, dass Bußgelder effektiv, verhältnismäßig und abschreckend sein müssen.

‍

Wenn sowohl der Anbieter eine fehlerhafte Dokumentation liefert als auch der Betreiber (das anwendende Unternehmen) die menschliche Aufsicht vernachlässigt, haben wir es mit Mehrfachtätern zu tun.

‍

Hier greifen Mechanismen, die der gesamtschuldnerischen Haftung ähneln:

1. Kumulative Bußgelder: Die Behörde kann gegen jeden Akteur ein separates Verfahren eröffnen.
   ‍
2. Regressansprüche: Wenn Sie als Betreiber ein Bußgeld zahlen müssen, weil der Anbieter gepfuscht hat, können Sie versuchen, sich das Geld zivilrechtlich zurückzuholen. Das schützt Sie aber nicht vor der direkten Zahlung an die Behörde.

‍

Dabei ist entscheidend, in welche Kategorie das System fällt. Die EU AI Act Risikoklassen diktieren die Strenge der Prüfung. Bei Hochrisiko-KI sind die Pflichten für Betreiber fast so streng wie für Anbieter – und damit auch das Haftungsrisiko.

‍

‍

‍

Die Rolle der "Compliance Automation" bei der Risikominderung

‍

Die Komplexität dieser Haftungsverteilung zeigt eines deutlich: Manuelle Excel-Listen reichen nicht mehr aus. Um in einer Kette von Anbietern, Importeuren und Händlern den Überblick zu behalten, setzen immer mehr Unternehmen auf Compliance Automationen.

‍

Warum? Weil Sie im Ernstfall beweisen müssen („Rechenschaftspflicht“), dass Sie Ihren Teil der Kaskade sauber erfüllt haben. Haben Sie die Gebrauchsanweisung des Anbieters befolgt? Haben Sie die Eingabedaten überwacht? Ohne automatisierte Dokumentation ist dieser Nachweis bei komplexen KI-Systemen kaum zu führen.

‍

Ähnlich wie bei den ISO 27001 Sicherheitsrichtlinien, die einen klaren Lebenszyklus für Policies fordern, benötigt auch der Einsatz von KI definierte Prozesse. Wer dokumentiert, wann welche KI-Entscheidung von einem Menschen überprüft wurde? Diese „Audit Trails“ sind Ihre Versicherung gegen die volle Härte der Kaskadenhaftung.

‍

Zusammenfassung: Die wichtigsten Begriffe für Ihre Sicherheit

‍

Es ist leicht, sich im Paragraphendschungel zu verlieren. Hier sind die Kernkonzepte, die Sie im Gedächtnis behalten sollten, um Ihr Unternehmen zu schützen.

‍

‍

Nächste Schritte: Vom Risiko zur Resilienz

‍

Die Kaskadenhaftung im EU AI Act klingt bedrohlich, ist aber im Grunde ein Aufruf zu sauberer Governance. Unternehmen, die verstehen, wo genau sie in der Wertschöpfungskette stehen, können Maßnahmen ergreifen, bevor das Kind in den Brunnen fällt.

‍

Warten Sie nicht, bis der erste Vorfall passiert. Prüfen Sie jetzt:

1. Welche Rolle nehmen wir bei jedem unserer KI-Tools ein?
2. Haben wir Prozesse, die eine „wesentliche Änderung“ der KI erkennen und flaggen?
3. Ist unsere Dokumentation so lückenlos, dass wir im Fall einer Mehrfachtäter-Untersuchung unseren Kopf aus der Schlinge ziehen können?

‍

Compliance ist kein reines Rechtsthema – es ist ein Wettbewerbsvorteil für alle, die KI sicher und langfristig nutzen wollen.

‍

Häufig gestellte Fragen (FAQ)

‍

Ich nutze nur ChatGPT im Unternehmen. Bin ich haftbar?

‍

‍Wenn Sie ein General Purpose AI System wie ChatGPT nutzen, sind Sie in der Regel „Betreiber“. Nutzen Sie es für interne Zwecke, ist das Risiko geringer. Integrieren Sie es jedoch in ein Produkt für Ihre Kunden oder nutzen es für Entscheidungen über Personal, können Sie schnell in den Hochrisiko-Bereich rutschen. Dann treffen Sie spezifische Überwachungspflichten.

‍

Was passiert bei Open-Source-KI?

‍

‍Dies ist ein Sonderfall. Grundsätzlich gibt es Ausnahmen für KI-Software, die unter freien Lizenzen steht. Sobald diese jedoch monetarisiert oder in ein Hochrisiko-System integriert wird, greifen die Haftungsregeln der Verordnung wieder vollumfänglich.

‍

Kann ich die Haftung vertraglich auf den Anbieter abwälzen?

‍

‍Jein. Zivilrechtlich können Sie Regressansprüche (Schadenersatz) vertraglich regeln. Öffentlich-rechtliche Bußgelder der EU können Sie jedoch nicht per Vertrag „wegdefinieren“. Wenn die Behörde feststellt, dass Sie als Betreiber Ihre Aufsichtspflicht verletzt haben, müssen Sie das Bußgeld zahlen.

‍

Wie hoch sind die Strafen wirklich?

‍

‍Die Bußgelder sind gestaffelt und können bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Dies gilt insbesondere für Verstöße gegen verbotene KI-Praktiken.

‍