EU AI Act: Wer haftet bei Schäden durch KI?

Stellen Sie sich folgendes Szenario vor: Ein autonomer Industrieroboter in einer modernen Fertigungshalle greift plötzlich daneben. Er beschädigt nicht nur teures Material, sondern verletzt dabei leicht einen Mitarbeiter. Die klassische Frage wäre nun: War der Roboter defekt?

‍

Doch bei Künstlicher Intelligenz ist die Antwort selten einfach. War es ein Fehler im Code? Hatte die KI schlechte Trainingsdaten? Oder hat das System in einer "Black Box"-Entscheidung etwas getan, das selbst die Entwickler nicht vorhersehen konnten?

‍

Bisher stießen Geschädigte hier oft auf eine Mauer des Schweigens – oder besser gesagt, der technischen Undurchsichtigkeit. Genau hier greift das neue europäische Regelwerk ein. Die Interaktion zwischen dem neuen EU AI Act und den bewährten Produkthaftungsgesetzen schafft völlig neue Spielregeln für Unternehmen.

‍

Dieser Artikel nimmt Sie mit auf eine Reise durch den Paragrafen-Dschungel und zeigt Ihnen, warum Compliance plötzlich zur besten Versicherung gegen Schadensersatzklagen wird.

‍

Die Grundpfeiler verstehen: Alt vs. Neu

‍

Bevor wir analysieren, wie die Gesetze ineinandergreifen, müssen wir verstehen, wer hier eigentlich gegeneinander antritt (oder zusammenspielt).

‍

Das etablierte Recht: Das Produkthaftungsgesetz

‍

Seit Jahrzehnten gilt in Deutschland und der EU das Prinzip der verschuldensunabhängigen Haftung für fehlerhafte Produkte. Wenn Ihr Toaster explodiert, haftet der Hersteller – egal, ob ihn eine persönliche Schuld trifft. Der Fokus liegt auf dem Fehler im Produkt zum Zeitpunkt des Inverkehrbringens.

‍

Der neue Herausforderer: Der EU AI Act & die KI-Haftungsrichtlinie

‍

Der EU AI Act ist primär ein Produktsicherheitsgesetz. Er definiert Pflichten, damit KI erst gar keinen Schaden anrichtet. Doch flankierend dazu reformiert die EU die Haftungsregeln, um das "Black Box"-Problem zu lösen. Das Kernproblem war bisher: Als Geschädigter mussten Sie beweisen, dass die KI einen Fehler gemacht hat. Bei komplexen Algorithmen ist das für Laien (und selbst Experten) oft unmöglich.

‍

Hier kommt die Schnittstelle ins Spiel: Der AI Act liefert die "Soll-Vorgaben" (z.B. Datenqualität, Dokumentation). Werden diese verletzt, ändert sich die haftungsrechtliche Lage drastisch.

‍

‍

Um zu verstehen, ob Ihr Produkt unter diese strengen Regeln fällt, ist es essenziell zu wissen, welche Risikoklassen der EU AI Act definiert. Denn die Haftungsschärfe korreliert direkt mit dem Risikolevel des Systems.

‍

Die Schnittstellen und Interaktionen: Wo es kritisch wird

‍

Die spannendste Neuerung ist die Interaktion zwischen der technischen Compliance (AI Act) und der juristischen Haftung (Produkthaftung).

‍

Der "Game Changer": Die Beweislastumkehr

‍

Das ist der zentrale Hebel, den der Gesetzgeber umgelegt hat. Bisher musste der Geschädigte den Fehler und den ursächlichen Zusammenhang zum Schaden beweisen.

‍

Unter dem neuen Regime gilt: Wenn ein Unternehmen gegen die Pflichten des AI Acts verstößt (z.B. mangelhafte Dokumentation oder fehlende menschliche Aufsicht) und ein Schaden entsteht, der plausibel durch diesen Fehler verursacht wurde, vermutet das Gericht, dass die KI schuld ist.

‍

Das Unternehmen muss dann beweisen, dass seine KI nicht ursächlich war. Diese Beweislastumkehr ist für Unternehmen ein enormes Risiko, wenn ihre Compliance-Prozesse Lücken aufweisen.

‍

Konflikt oder Ergänzung?

‍

In der Praxis ergänzen sich die Gesetze meist, aber es gibt Konfliktlinien:

1. Software als Produkt: Das aktualisierte Produkthaftungsrecht stellt nun klar, dass auch reine Software (inkl. KI) ein "Produkt" ist. Damit greift die verschuldensunabhängige Haftung auch für reine App-Anbieter, nicht nur für Hardware-Hersteller.
   ‍
2. Der Zeitpunkt des Fehlers: Klassische Produkthaftung schaut auf den Zeitpunkt des Verkaufs. KI-Systeme lernen jedoch oft weiter oder erhalten Updates. Hier erweitert der AI Act die Verantwortung über den gesamten Lebenszyklus (Lifecycle Management). Ein Fehler, der durch ein "Lernen" der KI nach drei Jahren entsteht, fällt nun leichter auf den Anbieter zurück, wenn er keine hinreichenden Monitoring-Systeme etabliert hat.

‍

Besonders wichtig ist hier das Konzept der Human Oversight (Deutsch: menschliche Aufsicht). Wenn ein Hochrisiko-System autonom agiert, ohne dass ein Mensch eingreifen kann, ist dies oft per se ein Compliance-Verstoß, der die Tür für Haftungsklagen weit öffnet.

‍

‍

Szenarien aus der Praxis: Was bedeutet das konkret?

‍

Theorie ist gut, aber wie sieht das im Gerichtsfall aus? Schauen wir uns drei Szenarien an.

‍

Szenario 1: Die medizinische Fehldiagnose (Hochrisiko-KI)

‍

Eine KI-Software zur Krebsfrüherkennung übersieht einen Tumor. Der Patient erleidet gesundheitliche Schäden.

• Alte Welt: Der Patient müsste beweisen, dass der Algorithmus fehlerhaft programmiert war – fast unmöglich ohne Einsicht in den Quellcode.
  ‍
• Neue Welt (AI Act Interaktion): Das Gericht prüft, ob der Anbieter die Pflichten des AI Acts erfüllt hat (z.B. Training mit repräsentativen Daten). Fehlt der Nachweis über die Datenqualität, greift die Beweislastumkehr. Der Anbieter haftet, es sei denn, er kann beweisen, dass die KI trotz Einhaltung aller Regeln korrekt gearbeitet hat.
  ‍
• Lösung: Hier hilft spezialisierte EU AI Act Compliance Software, um die lückenlose Dokumentation der Datenqualität sicherzustellen.

‍

Szenario 2: Der diskriminierende Recruiting-Algorithmus

‍

Ein HR-Tool sortiert systematisch Frauen aus. Eine Bewerberin klagt auf Schadensersatz wegen Entgangs einer Chance.

• Haftungsfrage: Hier überschneiden sich Produkthaftung (Fehler im Produkt) und Grundrechte. Der AI Act fordert explizit Maßnahmen gegen Bias. Ein Verstoß gegen diese Vorgaben macht es der Klägerin sehr leicht, Schadensersatz zu fordern, da die Nichteinhaltung der AI Act-Standards als Indiz für die Fehlerhaftigkeit des Produkts gewertet wird.

‍

Szenario 3: Open Source Entwicklung

‍

Ein Entwickler stellt ein KI-Modell kostenlos auf GitHub. Ein Unternehmen nutzt es und verursacht einen Schaden.

• Nuance: Hier zieht der AI Act Grenzen. Reine AI Open Source Modelle, die nicht kommerziell monetarisiert werden, sind oft von strengen Pflichten ausgenommen. Sobald das Modell jedoch in ein Hochrisiko-System integriert wird ("Put into Service"), wandert die Haftung oft zum Betreiber (Deployer), der das System nutzt.

‍

Zusammenfassung & Handlungsbedarf

‍

Die Botschaft ist klar: Die Einhaltung technischer Standards ist keine reine Bürokratie mehr – sie ist Ihre juristische Lebensversicherung. Dokumentation schützt vor der Beweislastumkehr.

‍

‍

3 Schritte zur Haftungsminimierung

‍

1. Risikoklassifizierung prüfen: Wissen Sie genau, in welche Kategorie Ihre KI fällt? Je höher das Risiko, desto schneller greift die Beweislastumkehr.
   ‍
2. Dokumentation automatisieren: Manuelle Excel-Listen reichen bei komplexen KI-Systemen nicht mehr aus. Nutzen Sie Systeme, die Compliance-Nachweise (Logs, Trainingsdaten-Infos) automatisch sammeln.
   ‍
3. Human-in-the-Loop: Stellen Sie sicher, dass bei kritischen Entscheidungen der Faktor Mensch (Human Oversight) nicht nur auf dem Papier existiert, sondern technisch und organisatorisch verankert ist.

‍

Fazit: Vorsprung durch Wissen

‍

Die Interaktion von AI Act und Produkthaftung wirkt auf den ersten Blick einschüchternd. Doch sie bietet auch eine Chance: Unternehmen, die ihre Compliance-Prozesse jetzt sauber aufsetzen, bauen nicht nur rechtliche Hürden ab, sondern signalisieren ihren Kunden Vertrauen und Sicherheit.

‍

In einer Welt, in der KI-Entscheidungen immer komplexer werden, ist Transparenz das wertvollste Gut. Wenn Sie tiefer in die technischen Anforderungen eintauchen möchten, um Haftungsfallen zu vermeiden, lohnt sich ein Blick auf die AI Act Anforderungen (KRITIS) und wie diese Standards die Basis für Ihre Rechtssicherheit bilden.

‍

Häufige Fragen (FAQ)

‍

Gilt das Produkthaftungsgesetz auch für kostenlose KI-Apps?

‍

‍Ja, wenn die KI als "Produkt" klassifiziert wird, kann auch bei kostenlosen Angeboten eine Haftung entstehen, insbesondere wenn personenbezogene Daten als "Gegenleistung" genutzt werden oder Schäden an Gesundheit/Eigentum entstehen.

‍

Wer haftet: Der Entwickler der KI oder das Unternehmen, das sie einsetzt?

‍

‍Das hängt von der Rolle ab. Der Provider (Hersteller) haftet für die Konformität des Systems. Der Deployer (Nutzer/Unternehmen) kann haften, wenn er die KI falsch einsetzt oder Anweisungen (z.B. zur menschlichen Aufsicht) ignoriert.

‍

Schützt mich eine Zertifizierung vor Haftung?

‍

‍Eine Zertifizierung (z.B. CE-Kennzeichnung nach AI Act) ist ein starkes Indiz dafür, dass Sie sorgfältig gehandelt haben. Sie verhindert die Beweislastumkehr oft effektiv, schließt aber eine Haftung nicht zu 100% aus, wenn trotz Zertifikat ein offensichtlicher Fehler vorlag.

‍

Was ist mit "General Purpose AI" (z.B. ChatGPT Wrapper)?

‍

‍Wer eine allgemeine KI (GPAI) in ein spezifisches Produkt integriert und unter eigenem Namen anbietet, wird oft selbst zum "Provider" und übernimmt damit die vollen Haftungsrisiken für das Endprodukt.

‍