Haftung für KI: Eine Einordnung der neuen Produkthaftungsrichtlinie zwischen Vertrag und Deliktsrecht

Die im Dezember 2024 in Kraft getretene EU-Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853, “ProdukthaftungsRL“) gestaltet die Haftung für digitale Produkte grundlegend neu. Insbesondere für Entwickler und Anbieter von Künstlicher Intelligenz („KI“) entstehen dadurch neue Haftungsrisiken, die weit über die bisher bekannten Regelungen hinausgehen.

Dieser Beitrag baut auf der allgemeinen Darstellung von Miriam Richter und Daniel Achtelik zur Reform der Produkthaftung auf (Link) – er vertieft die für KI-Akteure wichtigsten Aspekte der neuen Rechtslage und ordnet diese in den Gesamtkontext anderer Haftungsregime ein.

1. Grundlagen der KI-Haftung: Die drei Haftungsregime im Überblick

Die Haftung für Schäden, die durch KI verursacht werden, ist kein monolithischer Block, sondern stützt sich auf verschiedene Säulen. Für Unternehmen, die KI entwickeln oder einsetzen, ist das Verständnis dieser unterschiedlichen Haftungsregime entscheidend für ein erfolgreiches Risikomanagement. Grundsätzlich lassen sich drei zentrale Haftungsformen unterscheiden:

• Die Produkthaftung ist eine spezialgesetzliche, verschuldensunabhängige Gefährdungshaftung, primär zugunsten Verbrauchern. Sie knüpft nicht am Verschulden des Herstellers an, sondern allein an der Tatsache, dass ein von ihm in Verkehr gebrachtes Produkt fehlerhaft war und einen Schaden verursacht hat.
• Die vertragliche Haftung entsteht aus der Verletzung einer spezifischen Vereinbarung, etwa eines SaaS-Vertrags mit einem Kunden oder der API-Nutzungsbedingungen eines Modell-Anbieters. Sie setzt eine direkte Vertragsbeziehung voraus und ihr Umfang kann, in gewissen Grenzen, durch die Parteien gestaltet werden. 
• Die allgemeine Deliktshaftung greift unabhängig von Verträgen. Sie ist in der Regel verschuldensabhängig, was bei der Anwendung auf komplexe und intransparente KI-Systeme erhebliche Beweisschwierigkeiten für den Geschädigten mit sich bringt.

Der Schwerpunkt dieses Beitrags liegt auf der Produkthaftung, zu der auch die neue Produkthaftungsrichtlinie gehört – siehe Ziffer 2. Anschließend geht Ziffer 3 kurz auf das Verhältnis der vertraglichen Haftung zur Produkthaftung ein. Die Herausforderungen der allgemeinen Deliktshaftung im KI-Kontext waren Anlass für den Vorschlag einer eigenen KI-Haftungsrichtlinie, deren Schicksal und Zukunftsaussichten in Ziffer 4 beleuchtet werden.
 

2. Die neue Produkthaftungsrichtlinie

2.1 Kernpunkte der Reform: Produkt, Schaden & Beweislast

Um die spezifischen Haftungsrisiken für KI-Akteure zu verstehen, ist ein Blick auf drei zentrale Neuerungen der ProdukthaftungsRL unerlässlich, die die bisherige Produkthaftung grundlegend modernisieren:

• Erweiterung des Produktbegriffs: Die fundamentalste Änderung ist die explizite Aufnahme von Software in den Produktbegriff (Art. 4 Nr. 1 ProdukthaftungsRL). Der Begriff umfasst nun Standalone-Software, Betriebssysteme und KI-Systeme – unabhängig davon, ob sie lokal installiert oder über Cloud-Infrastrukturen als Service (SaaS) bereitgestellt werden.
• Neue Schadenskategorie "Datenverlust": Die ProdukthaftungsRL erweitert den Katalog der ersatzfähigen Schäden auf die Vernichtung oder unwiederbringliche Beschädigung von Daten (Art. 6 Abs. 1 lit. c ProdukthaftungsRL). Führt ein fehlerhaftes KI-System beispielsweise zur Korruption einer Nutzerdatenbank oder zur Löschung wertvoller digitaler Güter, ist der daraus resultierende wirtschaftliche Schaden nun kompensationsfähig. Voraussetzung ist, dass die betroffenen Daten nicht ausschließlich für berufliche Zwecke genutzt wurden.
• Prozessuale Beweiserleichterungen: Die ProdukthaftungsRL führt Offenlegungspflichten für Hersteller (Art. 9) und widerlegbare Beweisvermutungen zugunsten von Klägern bei technisch komplexen Fällen (Art. 10) ein.

2.2 Die Zurechnung der Haftung: Wer gilt als Hersteller?

Die arbeitsteilige Natur von KI-Diensten, die oft aus Komponenten wie Basismodellen (LLMs) und Anwendungsschichten bestehen, stellt die klassische Herstellerrolle in Frage. Die ProdukthaftungsRL trägt dieser Komplexität Rechnung, indem sie verschiedene Akteure der KI-Wertschöpfungskette in die Verantwortung nimmt:

• Haftung des Entwicklers von KI-Basismodellen: Angenommen ein Basismodell (in der Regel ein LLM) bildet eine Komponente eines fertigen Produkts – dann sind die Entwickler der Basismodelle Hersteller einer Produktkomponente im Sinne der ProdukthaftungsRL. Gemäß Art. 8 Abs. 1 lit. b ProdukthaftungsRL haftet der Hersteller einer fehlerhaften Komponente eigenständig für den Schaden, der durch diese Komponente verursacht wird. Ein solcher Fehler kann beispielsweise in einer systemischen, schwerwiegenden Verzerrung (Bias) liegen, die bereits im vortrainierten Modell angelegt ist.
• Haftung des Anbieters KI-gestützter Dienste: Ein Unternehmen, das ein KI-Modell (z.B. über eine API) in einen eigenen Dienst integriert und diesen unter eigenem Namen am Markt anbietet, gilt als Hersteller des Endprodukts. Aus Sicht des geschädigten Endnutzers ist dieses Unternehmen Anspruchsgegner nach dem Grundsatz des Art. 8 Abs. 1 lit. a ProdukthaftungsRL. Es kann sich nicht allein mit dem Verweis auf einen Fehler im zugrundeliegenden KI-Modell eines Drittanbieters exkulpieren. Es kommen lediglich Regressansprüche gegen den Komponentenhersteller nach Art. 8 Abs. 1 lit. b ProdukthaftungsRL in Betracht.
• Haftungsbegründung durch "wesentliche Änderung": Besondere Aufmerksamkeit erfordert die Haftung für eine "wesentliche Änderung" gemäß Art. 8 Abs. 2 ProdukthaftungsRL. Im KI-Kontext kann diese Schwelle schnell erreicht sein, etwa durch intensives Fine-Tuning eines Modells mit eigenen Daten. Wer ein Produkt wesentlich verändert, wird selbst zum voll haftenden Hersteller. Die entscheidende Konsequenz im Unterscheid zum vorherigen Beispiel liegt im Innenverhältnis: Der Regressanspruch gegen den ursprünglichen Entwickler der KI-Komponente, der bei bloßer Integration noch besteht, wird durch die wesentliche Änderung in der Regel abgeschnitten. Das Haftungsrisiko konzentriert sich damit vollständig auf das modifizierende Unternehmen.

2.3 Der erweiterte Fehlerbegriff: Wann ist eine KI fehlerhaft?

Nach Art. 7 Abs. 1 ProdukthaftungsRL ist ein Produkt fehlerhaft, wenn es nicht die erwartete oder vorgeschriebene Sicherheit bietet. Da ein KI-Fehler komplexer sein kann als ein klassischer Software-Bug, listet Art. 7 Abs. 2 für die Beurteilung relevante Umstände auf:

• Fehlerhafte Trainingsdaten und algorithmische Diskriminierung (Bias): Die Zusammensetzung und die technischen Merkmale eines Produkts (Art. 7 Abs. 2 lit. a ProdukthaftungsRL) umfassen bei einer KI auch deren Trainingsdaten und Architektur. Weisen diese systematische Verzerrungen auf kann dies einen Fehler darstellen – insbesondere wenn die spezifischen Bedürfnisse der Nutzergruppe (lit. h) nicht erfüllt werden.
• Schädliches unvorhersehbares Verhalten: Die ProdukthaftungsRL stellt explizit klar, dass die Fähigkeit eines Produkts, nach dem Inverkehrbringen weiterzulernen, bei der Fehlerbeurteilung zu berücksichtigen ist (Art. 7 Abs. 2 lit. c ProdukthaftungsRL). Überschreitet das "emergente" Verhalten einer KI die Grenze des vernünftigerweise Vorhersehbaren und wird schädlich, begründet dies einen Produktfehler.
• Verstoß gegen Sicherheitsanforderungen: Ein Produkt gilt als fehlerhaft, wenn es die einschlägigen Anforderungen an die Produktsicherheit nicht erfüllt (Art. 7 Abs. 2 lit. f ProdukthaftungsRL). Dies schafft eine direkte Verbindung zur KI-Verordnung. Ein Verstoß gegen die dortigen Anforderungen an ein Hochrisiko-KI-System kann zur Annahme eines Fehlers im Sinne der Produkthaftung führen.

2.4 Prozessuale Konsequenzen: Offenlegungspflichten & Beweisvermutungen

Die Beweisführung, dass einer dieser Fehler vorliegt, wird durch die oft mangelnde Transparenz von KI-Entscheidungen (das "Black-Box"-Problem) erschwert. Die ProdukthaftungsRL adressiert diese Herausforderung durch klar verortete prozessuale Instrumente: 

• Die Möglichkeit für Gerichte, eine Offenlegung von Informationen etwa über Trainingsdaten, Modellarchitektur und Testverfahren anzuordnen (Art. 9 ProdukthaftungsRL), durchbricht die informationelle Asymmetrie zwischen Hersteller und Kläger.
• Noch entscheidender ist die Regelung zur Beweislast in Art. 10 ProdukthaftungsRL. Diese sieht eine widerlegbare gesetzliche Vermutung der Fehlerhaftigkeit und/oder der Kausalität vor, insbesondere wenn der Kläger auf "technische oder wissenschaftliche Komplexität" stößt. Die Intransparenz eines KI-Modells wird damit von einem technischen Merkmal zu einem erheblichen prozessualen Risiko für den Hersteller.

2.5 Zeitplan & Bedeutung der nationalen Umsetzung 

Nach ihrem Inkrafttreten auf EU-Ebene im Dezember 2024 müssen die Mitgliedstaaten die Vorgaben der ProdukthaftungsRL nun in ihre nationalen Rechtsordnungen überführen – dafür gilt eine Frist bis zum 9. Dezember 2026. Das neue deutsche Produkthaftungsgesetz wird dann für alle Produkte gelten, die nach diesem Datum in Verkehr gebracht werden. Der nächste maßgebliche Schritt im nationalen Verfahren ist die Veröffentlichung eines Referentenentwurfs durch das Bundesministerium der Justiz. Dieser wird die Grundlage für die Konsultationen mit Fachkreisen und Verbänden bilden und erste Einblicke in die konkrete deutsche Umsetzung geben.

2.6 Strategische Handlungsperspektiven 

Wenngleich spezifische Handlungspflichten erst mit Geltung des neuen nationalen Rechts entstehen, sollten Unternehmen die Übergangsphase für eine strategische Orientierung nutzen:

• Analyse der eigenen Betroffenheit: Der erste und wichtigste Schritt ist eine fundierte Analyse, um zu klären, ob und in welcher Rolle Unternehmen unter das neue Regime fallen. Kernfragen sind: Gelten unsere digitalen Dienste oder KI-Modelle als Produkte im Sinne der ProdukthaftungsRL? In welcher Rolle könnten wir haftbar gemacht werden – als Hersteller einer Komponente, als Anbieter des Endprodukts oder als Akteur, der eine "wesentliche Änderung" vornimmt?
• Beobachtung der rechtlichen Entwicklungen: Das Haftungsrecht für KI ist, wie dargelegt, ein dynamisches Feld. Es ist daher ratsam, nicht nur das deutsche Gesetzgebungsverfahren aufmerksam zu verfolgen, sondern auch die weiteren Diskussionen auf EU-Ebene im Blick zu behalten, insbesondere im Hinblick auf eine mögliche Wiederaufnahme der KI-HaftungsRL.
• Vorausschauende Risikobewertung: Unternehmen sollten beginnen, ihre KI-Haftungsrisiken zu bewerten. Dies betrifft insbesondere die Vertragsgestaltung mit Zulieferern von KI-Komponenten (z.B. API-Nutzungsbedingungen), aber auch mit den eigenen Kunden. Zudem gewinnt die ohnehin nach der KI-Verordnung für manche Systeme erforderliche technische Dokumentation eine neue prozessuale Dimension: Sie ist nicht mehr nur ein Instrument zur Erfüllung regulatorischer Pflichten, sondern ein zentrales Element zur Verteidigung in potenziellen Haftungsfällen.

3. Das Verhältnis zur vertraglichen Haftung

Die verschuldensunabhängige Haftung nach der ProdukthaftungsRL tritt neben die allgemeinen vertraglichen Gewährleistungs- und Schadensersatzansprüche und ersetzt diese nicht. Der entscheidende Unterschied liegt in der Anspruchsgrundlage und im Schutzumfang:

• Die Produkthaftung ist eine gesetzlich normierte, verschuldensunabhängige Deliktshaftung. Sie schützt jedermann, der durch ein fehlerhaftes Produkt einen Schaden erleidet – nicht nur den direkten Vertragspartner. Gegenüber dem Geschädigten ist diese Haftung zwingend und kann vertraglich nicht ausgeschlossen oder beschränkt werden.
• Die vertragliche Haftung entsteht aus der Verletzung einer Pflicht aus einem konkreten Vertragsverhältnis (z.B. dem SaaS-Vertrag mit dem Kunden oder dem API-Nutzungsvertrag mit dem Modell-Anbieter). Sie ist in der Regel verschuldensabhängig und kann – innerhalb der gesetzlichen Grenzen – vertraglich gestaltet werden.

Für Unternehmen greifen beide Ebenen in der Wertschöpfungskette ineinander: Im Außenverhältnis zum geschädigten Endnutzer können sie sich zwar nicht mit Hilfe von AGB vor zwingender Produkthaftung verstecken. Im Innenverhältnis zu ihren Zulieferern und Partnern ist der Vertrag jedoch das zentrale und entscheidende Instrument, um Risiken zu allokieren und Regressansprüche für den Fall einer Inanspruchnahme nach der ProdukthaftungsRL abzusichern. 

4. Die gestoppte KI-Haftungsrichtlinie

4.1 Motivation des Gesetzgebungsvorhabens & vorläufiges Ende 

Die Reform der ProdukthaftungsRL war Teil eines ursprünglich zweigleisigen Ansatzes der Europäischen Kommission, die Haftungsfragen im Zusammenhang mit KI umfassend neu zu regeln. Die ProdukthaftungsRL sollte die verschuldensunabhängige Haftung des Herstellers für Schäden regeln, die durch ein fehlerhaftes KI-Produkt verursacht werden. Eine neue, separate KI-Haftungsrichtlinie („KI-HaftungsRL“) sollte eine verschuldensabhängige Haftung für den Anwender eines KI-Systems etablieren, indem sie national fragmentierte deliktsrechtliche Anspruchsgrundlagen harmonisiert und klägerfreundlicher gestaltet hätte. 

Im Zuge des Gesetzgebungsverfahrens wurde der Vorschlag für die KI-HaftungsRL jedoch offiziell zurückgezogen. Die Europäische Kommission hat die KI-HaftungsRL in ihrem Arbeitsprogramm für 2025, das im Februar 2025 veröffentlicht wurde, aus der Liste der Legislativvorhaben gestrichen. Als offizielle Begründung wurde angeführt, dass keine absehbare Einigung unter den Mitgliedstaaten zu erwarten sei und man eine Überregulierung im Digitalbereich vermeiden wolle.

4.2 Parallelen & verbleibende Regelungslücken

Obwohl der Entwurf einer KI-HaftungsRL letztlich zurückgezogen wurde, sind manche Kerngedanken nicht gänzlich verloren gegangen. Die zentralen prozessualen Erleichterungen für Geschädigte, die ursprünglich für die KI-HaftungsRL konzipiert wurden, um das "Black-Box"-Problem zu adressieren, wurden in der finalen Fassung der neuen ProdukthaftungsRL berücksichtigt. Die nun in Art. 9 und Art. 10 der ProdukthaftungsRL verankerten Regeln zur Offenlegung und zur Kausalitätsvermutung bei technischer Komplexität sind maßgeblich vom ursprünglichen Entwurf der KI-HaftungsRL inspiriert.

Dennoch: Mit dem Wegfall der KI-HaftungsRL fehlt nun ein spezifischer, EU-weit harmonisierter deliktischer Haftungsrahmen für Schäden, die durch den Betrieb einer KI verursacht werden. Entsteht ein Schaden durch eine fehlerhafte Anwendung einer an sich nicht fehlerhaften KI, müssen Geschädigte auf die unterschiedlichen nationalen Deliktsrechte (in Deutschland z.B. § 823 BGB) zurückgreifen.

Ein praktisches Beispiel: Ein Hotel setzt einen KI-gesteuerten Reinigungsroboter ein. Der Roboter selbst ist fehlerfrei, wird vom Hotelpersonal jedoch nachlässig kalibriert und beschädigt deshalb die Uhr eines Gastes. Hier würde die Produkthaftung gegen den Hersteller des Roboters nicht greifen. Dem Gast bliebe nur ein verschuldensabhängiger, deliktischer Anspruch gegen das Hotel als Betreiber – dessen Erfolg von den Hürden des jeweiligen nationalen Rechts abhängt.

4.3 Ausblick: Kehrt die KI-Haftungsrichtlinie zurück?

Jüngste Entwicklungen deuten jedoch darauf hin, dass die Debatte um eine spezifische KI-Haftung keineswegs beendet ist. Eine im August 2025 veröffentlichte Studie des Europäischen Parlaments kritisiert die Einstellung der KI-HaftungsRL und warnt vor einer drohenden regulatorischen Fragmentierung, sollten die Mitgliedstaaten beginnen, eigene, voneinander abweichende Haftungsregeln für KI zu entwickeln. 

Interessanterweise plädiert die Studie nicht für eine Wiederaufnahme des alten Entwurfs, sondern für eine Neuausrichtung. Gefordert wird die Einführung einer verschuldensunabhängigen Haftung speziell für den Betrieb von Hochrisiko-KI-Systemen. Als zentrales Argument wird angeführt, es sei widersprüchlich, mit der KI-Verordnung detaillierte ex-ante-Pflichten für KI-Systeme festzulegen, aber auf adäquate ex-post-Haftungsregeln zu verzichten. 

5. Zusammenfassung & Fazit

Die neue ProdukthaftungsRL erweitert das traditionelle Produkthaftungsrecht maßgeblich auf die Digitalwirtschaft. Durch die Einstufung von Software als Produkt, die Ausdehnung der Herstellerhaftung und die Anpassung von Fehlerbegriff sowie klägerfreundliche prozessuale Erleichterungen entsteht ein neues, zwingendes Haftungsrisiko, das neben die vertragliche Haftung tritt.

Die Rechtslage für KI bleibt dabei dynamisch. Während die ProdukthaftungsRL die unmittelbare Realität darstellt, zeigt die fortwährende Debatte um eine spezifische KI-HaftungsRL, dass der europäische Gesetzgeber das Thema noch nicht als abgeschlossen betrachtet. Ein adäquates Risikomanagement erfordert daher eine doppelte Strategie: das Management der neuen Produkthaftung im Außenverhältnis und die bewusste Gestaltung der vertraglichen Haftung im Innenverhältnis zur Risikoallokation – stets gepaart mit einer aufmerksamen Beobachtung zukünftiger regulatorischer Entwicklungen.