Beim Einsatz von „Künstlicher Intelligenz“ (KI) stellen sich neue rechtliche Fragen. Dabei fragt sich, ob bzw. inwieweit diese auch bereits mit den bestehenden Gesetzen beantwortet werden können, oder ob für KI neue Vorschriften erforderlich sind. Welche Antworten möglich sind und wo ggf. gesetzliche Lücken und Risiken bestehen, beleuchten wir im nachfolgenden Artikel.
1. Rechtliche Anforderungen beim Einsatz von KI
In den Staaten der EU richten sich die rechtlichen Anforderungen beim Einsatz von KI in erster Linie nach der Verordnung über künstliche Intelligenz, kurz KI-Verordnung oder KI-VO. Die KI-VO ist zum Großteil am 02.02.25 bzw. 02.08.25 in Kraft getreten, weitere Vorschriften gelten ab dem 02.08.26. Bezüglich Hochrisiko-KI-Systemen in bestimmten Produkten sollte die KI-VO am 02.08.27 in Kraft treten. Aufgrund der Maßnahmen der EU-Kommission zum Bürokratieabbau könnte sich der Zeitpunkt aber noch verschieben. Insoweit werden evtl. auch die Anforderungen der KI-VO insbesondere für kleinere und mittlere Unternehmen, v.a. hinsichtlich Dokumentation und Überwachung, gelockert. Auch das deutsche Durchführungsgesetz zur KI-VO, das aber mehr organisatorische Details enthält, wird voraussichtlich erst im Frühjahr 2026 in Kraft treten (das Bundeskabinett hat am 11.02.26 einen Gesetzesentwurf beschlossen, der nunmehr durch den Bundestag beraten wird; eigentlich hätte das Gesetz schon am 02.08.25 vorliegen müssen). Die KI-VO ist ein direkt in der gesamten EU geltendes Gesetz (anders als z.B. die Produkthaftungsrichtlinie, dazu unten 2.).
Die KI-VO folgt einem risikobasierten Ansatz, d.h., die Anforderungen an KI sind je nach Risiko, das von der KI ausgeht, unterschiedlich. Dabei ist „Risiko“ nicht nur in einem technischen, sondern in einem weiten Sinn zu verstehen, so wird z.B. die Prüfung der Kreditwürdigkeit durch ein KI-System als Hochrisiko-KI-System eingestuft. Insgesamt gibt es vier Stufen:
• Verbotene KI-Systeme
Verbotene KI-Systeme sind solche, die für Gesundheit, Sicherheit oder die Grundrechte gemäß der Grundrechtscharta der EU unakzeptabel riskant sind. Verboten ist etwa der Einsatz von KI, um das Verhalten von Menschen unterschwellig so zu manipulieren, dass ein erheblicher Schaden entsteht, aber auch bestimmte Überwachungssysteme sind verboten.
Ein Verstoß gegen das Verbot kann mit bis zu € 35 Mio. Bußgeld bestraft werden, und sogar mit mehr, nämlich mit 7 % des weltweiten (!) Jahresumsatzes des Unternehmens (dazu unten), wenn dieser Betrag die € 35 Mio. übersteigt.
• Hochrisiko-KI-Systeme
Hochrisiko-KI-Systeme sind solche mit hohem Risiko für Gesundheit, Sicherheit oder die Grundrechte gemäß der Grundrechtscharta der EU.
Neben der schon genannten Prüfung der Kreditwürdigkeit gelten z.B. auch Grenzkontrollen oder KI-gesteuerte autonome Fahrzeuge als Hochrisiko-KI. Für solche KI-Systeme gelten eine Vielzahl von Pflichten, insbesondere umfassende Vorschriften zu einem Risikomanagement.
Eine Verletzung dieser Pflichten kann mit bis zu € 15 Mio. Bußgeld bestraft werden, und sogar mit mehr, nämlich mit 3 % des weltweiten (!) Jahresumsatzes des Unternehmens (dazu unten), wenn dieser Betrag die € 15 Mio. übersteigt.
• KI-Systeme mit Transparenzpflichten
KI-Systeme, die für die direkte Interaktion mit Menschen bestimmt sind, die künstliche Medieninhalte (einschl. Text) erzeugen oder manipulieren oder die Emotionen oder biometrische Merkmale erkennen, müssen in der Regel bestimmte Transparenzanforderungen erfüllen.
So müssen z.B. Chatbots offenlegen, dass es sich bei ihnen um KI handelt, wenn dies nicht aufgrund der Umstände offensichtlich ist (Ausnahmen gibt es v.a. für Strafverfolgung und -verhütung).
• Alle anderen KI-Systeme
Alle anderen KI-Systeme sind unreguliert.
Wie oben dargestellt, berechnen sich die Geldbußen ggf. anhand von Prozentsätzen des weltweiten Umsatzes des Unternehmens. Voraussichtlich wird dabei auf den gesamten Umsatz von verbundenen Unternehmen abgestellt, wenn das Mutterunternehmen sowohl rechtlich als auch faktisch das Tochterunternehmen kontrolliert. Wenn das Mutterunternehmen mehr als ca. 85 % an dem Tochterunternehmen hält, hat die EU-Kommission in vergleichbaren Fällen widerleglich vermutet, dass auch eine faktische Kontrolle ausgeübt wird.
Beim Kauf von Unternehmen sollte daher genau geprüft werden, ob und wie das zu kaufende Unternehmen mit KI arbeitet, da die Gefahr besteht, hohe Haftungsrisiken einzukaufen, da wie dargestellt der Umsatz des Käufers mit in die Berechnung des Bußgelds einbezogen werden dürfte.
2. Haftungsrechtliche Aspekte bei KI
Ein sehr wichtiger Aspekt des Einsatzes von KI ist die Frage, wer für Schäden haftet, die durch Fehler der KI entstehen, wem also die Handlung bzw. Fehlentscheidung einer KI zugerechnet wird. Diese Frage wird durch die KI-VO nicht geregelt.
Es sind zwei Arten von Haftung zu unterscheiden, die vertragliche Haftung und die sog. gesetzliche Haftung, insbesondere die Produkthaftung/Produzentenhaftung.
Die vertragliche Haftung gilt nur zwischen den Vertragspartnern, z.B. Verkäufer und Käufer. Die gesetzliche Haftung, insbesondere die Produkthaftung/Produzentenhaftung gilt dagegen auch ohne vertragliche Beziehungen. So haftet z.B. der Kfz-Hersteller gegenüber einem Fußgänger, wenn das Kfz wegen eines Produktfehlers (z.B. Ausfall des Bremssystems) den Fußgänger verletzt.
2.1. Vertragliche Haftung für KI
Die vertragliche Haftung gilt zwischen Vertragspartnern. Wenn ein Vertragspartner zur Erfüllung seiner Pflichten KI einsetzt, und die KI Schäden beim anderen Vertragspartner verursacht, kommt es für die Haftung auf die konkrete vertragliche Vereinbarung an.
Ohne vertragliche Vereinbarung zur Haftung wird man zwar oft davon ausgehen können, dass der Vertragspartner für Schäden haftet, die die KI beim anderen Vertragspartner verursacht hat. Anders ist das aber, wenn ausdrücklich oder durch Auslegung Vertragsbestandteil ist, dass die KI Fehler machen darf.
Das wird man derzeit wohl etwa dann annehmen können, wenn z.B. ein Vertrag über die Nutzung eines KI-Chatbots abgeschlossen wird. Würde man das anders sehen, könnte jeder Nutzer jedenfalls von kostenpflichtigen KI-Chatbots, der sich auf deren Antworten verlässt und entsprechend handelt, alle Schäden ersetzt verlangen, die sich aus solchen Handlungen ergeben, wenn die Antwort – wie derzeit häufig – fehlerhaft ist.
Wenn dagegen KI-Systeme zu einem bestimmten Zweck, z.B. zur Steuerung eines Fahrzeugs, verkauft werden, wird man verlangen können, dass die KI insoweit fehlerfrei funktioniert, so dass der Hersteller der KI dann vollumfänglich haftet.
Etwas anders dürfte die Rechtslage aber wieder sein, wenn ein Verkäufer, der nicht der Hersteller ist, eine KI oder einen Gegenstand, der KI enthält, z.B. eine Maschine, verkauft und die KI dann beim Käufer einen Schaden verursacht. In diesem Fall haftet der Verkäufer wohl nur, wenn er trotz der erforderlichen Sorgfalt nicht erkennen konnte, dass die KI fehlerhaft war, wobei die Anforderungen an die Sorgfaltserfordernisse bei KI sehr hoch sein werden.
Der Verkäufer bzw. Hersteller kann sich ggf. gegen die vertragliche Haftung etwas absichern, wenn er vertraglich eine Haftungsbeschränkung mit seinem Kunden vereinbart. Problematisch ist insoweit, dass zum einen der Kunde das ggf. nicht akzeptieren will, zum anderen sind Haftungsbeschränkungen in AGB nur sehr eingeschränkt möglich. Dies ist aber eine Problematik, die nicht nur bei KI gilt und die in der Regel generell rechtliche Beratung erfordert.
2.2. Gesetzliche Haftung für KI
2.2.1. Haftung aus der KI-VO
Gesetzliche Haftung für KI kann sich zum einen aus der KI-VO ergeben. Die KI-VO gibt aber grundsätzlich selbst keinen Anspruch auf Schadensersatz, sondern regelt nur, welche Geldbußen der Staat verhängen kann (s.o. 1). Dennoch kann ein Verstoß gegen die KI-VO insbesondere im Rahmen der Produkthaftung/Produzentenhaftung eine Rolle spielen.
2.2.2. Produkthaftung/Produzentenhaftung für KI
Die Produkthaftung/Produzentenhaftung ist die Haftung des Herstellers (auch Zulieferers, ggf. auch Importeurs) gegenüber jedermann.
Eine gesonderte gesetzliche Regelung für die Produkthaftung/Produzentenhaftung von KI gibt es derzeit nicht. Eine geplante EU-Richtlinie zur Haftung für KI wurde aufgegeben.
Zwar spricht die neue allgemeine (also nicht nur für KI geltende) EU-Produkthaftungsrichtlinie diese Frage jedenfalls an, da sie auch für Software gilt. Zum einen gilt das aber nur für einen Teil der möglichen Konstellationen und zum anderen handelt es sich bei einer EU-Richtlinie – anders als bei einer Verordnung wie der KI-VO – nur um einen Rahmen, innerhalb dessen die EU-Mitgliedsstaaten dann eigene Regeln erlassen können.
Deutschland hat aber noch keine entsprechenden Regeln erlassen. Das entsprechende Gesetz könnte evtl. Ende 2026 in Kraft treten (am 09.12.26 endet die Umsetzungsfrist, die aber häufig von Deutschland bei EU-Gesetzen nicht eingehalten wird, auch das Durchführungsgesetz zur KI-VO wird ja ca. ein Jahr Verspätung haben, s.o. 1.), aber alle bis dahin in Verkehr gebrachten Produkte unterliegen dem bisherigen Recht.
Gemäß den geltenden allgemeinen Gesetzen zur Produkthaftung haftet der Hersteller grundsätzlich, wenn das Produkt einen Fehler hat. Ein Fehler liegt dann vor, wenn das Produkt nicht die Sicherheit bietet, die unter Berücksichtigung aller Umstände erwartet werden kann. Hier kommen wieder die Regelungen der KI-VO in Spiel, denn mindestens kann erwartet werden, dass eine KI die Anforderungen der KI-VO einhält.
Die Produkt-/Produzentenhaftung gilt aber wie dargestellt nur für Hersteller (einschl. Zulieferern, ggf. auch für Importeure). Oft wird es aber so sein, dass nicht der Hersteller, sondern ein Dritter die KI einsetzt (in der KI-VO wird Hersteller als „Anbieter“ und derjenige, der sie einsetzt, als „Betreiber“ bezeichnet).
2.2.3. Haftung des Betreibers von KI
Der Betreiber von KI haftet (anders als der Hersteller, s.o. 2.2.2) gegenüber Dritten (gegenüber denen man also keine vertragliche Verpflichtung eingegangen ist, s.o. 2.1) in der Regel nur bei Verschulden, also bei Vorsatz und Fahrlässigkeit.
In jedem Fall fahrlässig ist der Einsatz von KI, wenn nicht mindestens die Anforderungen der KI-VO erfüllt werden. Aber auch wenn die Anforderungen der KI-VO erfüllt werden, kann der konkrete Einsatz von KI, abhängig auch von den dabei getroffenen Maßnahmen, je nach Fallgestaltung fahrlässig sein.
Insoweit kommt es auf den Einzelfall an, Voraussetzung für eine Haftung ist aber immer ein mindestens fahrlässiges Handeln des Betreibers.
Anders ist dies aber etwa bei dem Betrieb von Kraftfahrzeugen, dort haftet man auch ohne Verschulden, wenn etwa ein Pkw einen Dritten schädigt, hier gilt eine sog. Gefährdungshaftung, vgl. § 7 StVG (Ähnliches gilt bei der Tierhalterhaftung).
Diese Gefährdungshaftung wurde wegen der Gefährlichkeit von Kfz (bzw. Tieren) eingeführt, d.h., weil der Haftende etwas potenziell Gefährliches „auf die Allgemeinheit losgelassen“ hat, z.B. ein Auto für den Straßenverkehr zulässt (oder Tiere hält).
Wenn eine KI ein Kfz steuert, gilt diese Haftung bereits jetzt (aber eben auch für „normale“ (nicht-autonome) Kfz ohne KI); aber eben nur in Bezug auf Kfz. Gleiches gilt in anderen Bereichen, in denen es eine spezielle Gefährdungshaftung gibt (z.B. Luftverkehr).
Denkbar wäre, dass der Gesetzgeber eine entsprechende Gefährdungshaftung (ggf. wie bei Kfz mit entsprechender Pflicht-Haftpflichtversicherungen) für alle Produkte einführt, die KI enthalten, derzeit ist dies aber nicht der Fall.
Eine andere Frage ist, ob der Betreiber von KI, wenn er wegen der Gefährdungshaftung einem Geschädigten Schadensersatz leisten muss, Regress beim Verkäufer oder Hersteller nehmen kann (z.B. aus vertraglicher Haftung, vgl. 2.1, Regressansprüche können aber auch aus anderen Gründen gegeben sein).
Auch in anderen Konstellationen, z.B. der sog. Störerhaftung, kann der Einsatz von KI, die einen Schaden verursacht, auch ohne Verschulden zu Haftung gegenüber Dritten führen.
So hat ein (unterinstanzliches) Gericht entschieden, dass ein Auskunftsdienst, der eine KI einsetzt, die Folgen einer falschen Auskunft der KI (nämlich, dass ein Unternehmen insolvent sei) beseitigen muss (also gegenüber dem Unternehmen haftet), da der Auskunftsdienst die KI bewusst eingesetzt habe.
Im Grundsatz ist dies wohl richtig: Ebenso wie bei anderen Werkzeugen muss derjenige, der das Werkzeug einsetzt, dafür haften, wenn das Werkzeug nicht funktioniert. Eine andere Frage ist, ob dies generell und immer gelten kann. Weitere Rechtsprechung zur Haftung von Betreibern von KI gibt es bisher kaum.
3. Vertragsabschlüsse durch KI
Eine weitere Frage im Umfeld von KI ist, ob eine KI Willenserklärungen abgeben kann, um Verträge zu schließen.
KI hat kein Bewusstsein, (Rechts-)Geschäfte einzugehen. Der BGH (Bundesgerichtshof) hat zu Willenserklärungen von Software entschieden, dass die Willenserklärung letztlich von der natürlichen Person abgegeben wird, die ein Computersystem als Kommunikationsmittel nutzt.
In Bezug auf KI stellt sich das Problem, dass die KI weitgehend autonom entscheidet und die Willenserklärung der KI an eine zeitlich weit vorhergehende Eingabe angeknüpft wird (z.B. „Bestelle, wenn der Vorrat bald zur Neige geht in einer Menge anhand des voraussichtlichen Auftragsvolumens“), deren Auswirkungen dem Anwender im Einzelnen nicht im Detail bekannt sind.
Folgen hat das bei fehlerhaften Erklärungen, denn solche können zwar angefochten werden, Voraussetzung dafür ist aber, dass Gewolltes und Erklärtes auseinanderfallen (Versprecher, Schreibfehler). Das gilt auch für falsche Übermittlung durch Boten oder aufgrund technischer Fehler. Daher sind Anfechtungen grundsätzlich auch bei Erklärungen durch KI möglich.
Rechtlich unerheblich ist allerdings der sog. Motivirrtum, z.B. der Irrtum über den eigenen Bedarf.
Daher stellt sich die Frage, ob der „Irrtum“ der KI als technischer Fehler, also als falsche Übermittlung einzustufen ist, oder ob man sagen kann, dass die KI ein „Motiv“ für ihr Handeln hatte, da sie (fehlerhaft) davon ausging, dass ein erhebliches Auftragsvolumen zu erwarten war, obwohl z.B. die aus dem bestellten Produkt hergestellte Sache nicht mehr vertrieben wird.
Wenn die KI fehlerhaft annimmt, eine Bestellung sei notwendig, liegt dies letztlich daran, dass die Programmierung der KI in Bezug auf bestellauslösende Faktoren fehlerhaft war. Dies ist aber dann kein technischer Fehler im eigentlichen Sinn, sondern ein Fehler mit Bezug zum Motiv.
Das, was die Ausgabe (der „Wille“) der KI war, nämlich eine Bestellung auszulösen, wurde korrekt umgesetzt. Daher ist in derartigen Fällen eine Anfechtung wohl nicht möglich.
4. Urheberrechtliche und patentrechtliche Aspekte von KI
Urheberrechtlich sind zwei Aspekte von KI zu unterscheiden. Zum einen stellt sich die Frage, ob mit bzw. durch KI erstellte Ergebnisse urheberrechtlich geschützt sind, zum anderen wird diskutiert, ob das (für das Funktionieren der KI erforderliche) Training mit urheberrechtlich geschützten Daten eine Urheberrechtsverletzung darstellt.
4.1. Urheberrechtlicher Schutz von durch KI erstellten Ergebnissen
Nicht jedes Arbeitsergebnis eines Menschen ist urheberrechtlich geschützt. In Deutschland und ähnlich auch in der gesamten EU sind Arbeitsergebnisse nur dann urheberrechtlich geschützt, wenn sie grob gesagt die individuelle schöpferische Leistung des Urhebers zum Ausdruck bringen.
Wenn der (menschliche) Urheber aber der KI nur die Anregung zur Schöpfung gegeben hat (z.B. „Male ein Bild im Stil von van Gogh“), stellt sich die Frage, ob das Ergebnis urheberrechtlich geschützt ist.
Höchstrichterliche Rechtsprechung zu dieser Frage gibt es, soweit ersichtlich, noch nicht. Die unteren Instanzen und wohl auch die Literatur gehen davon aus, dass die Aufgabenstellung („Prompt“) an die KI so detailliert und dominant sein muss, dass das Ergebnis letztlich dem Urheber zugerechnet werden kann.
Auch Software ist durch Urheberrecht geschützt, allerdings durch bestimmte Sonderregelungen, die aber nach dem Gesetz ausdrücklich auch eine individuelle schöpferische Leistung voraussetzen.
Zwar ist jede Software geschützt, die nicht ganz trivial ist. Dennoch besteht auch bei Software die Anforderung einer eigenen geistigen, also menschlichen, Schöpfung, so dass wohl im Ergebnis das Gleiche wie im „klassischen“ Urheberrecht gilt, s.o.
Ähnlich hat auch der EuGH (Europäische Gerichtshof) für Datenbanken, die ebenfalls durch bestimmte Sonderregelungen geschützt sind, entschieden, dass die Anforderungen an die individuelle Schöpfung die gleichen sind wie im „klassischen“ Urheberrecht.
4.2. Patentrechtlicher Schutz von durch KI erstellten Ergebnissen
Arbeitsergebnisse eines Menschen können auch durch Patentrecht geschützt sein. Anders als das Urheberrecht muss das Patent aber angemeldet werden, um einen Schutz zu erhalten.
Grob gesagt erhalten nur Erfindungen Patentschutz, die auf Naturkräfte einwirken und über den Stand der Technik hinausgehen.
Auch insoweit stellt sich die Frage, ob Erfindungen einer KI Patentschutz erhalten können. Das BPatG (Bundespatentgericht) ist wohl der Auffassung, dass dies möglich sei.
Allerdings kann die KI nicht als Erfinder in der Anmeldung genannt werden, sondern es muss derjenige genannt werden, der der KI die entsprechende Aufgabe gestellt hat.
Der BGH (Bundesgerichtshof) hat die Frage, ob Erfindungen durch KI Patentschutz erhalten können, ausdrücklich offen gelassen, aber darauf hingewiesen, dass für die Patentierbarkeit entscheidend ist, ob die Erfindung über den Stand der Technik hinausgeht und nicht, welche Überlegungen der Erfinder konkret angestellt hat.
Vor dem Hintergrund, dass Erfinder sich meist technischer Hilfsmittel für eine Erfindung bedienen und die richtige Fragestellung häufig schon das Wesentliche einer Erfindung ausmachen, ist wohl naheliegend, dass – anders als im Urheberrecht, in dem die Persönlichkeit des Schöpfers, die in dem Werk zum Ausdruck kommt, geschützt werden soll – eine durch eine KI gemachte Erfindung patentierbar ist und der Mensch, der die KI entsprechend bedient hat, als Erfinder gilt.
5. Training einer KI mit urheberrechtlich geschützten Daten
Ein derzeit stark diskutiertes Thema ist, ob das Training einer KI mit urheberrechtlich geschützten Daten eine Urheberrechtsverletzung darstellt. Die Frage ist interessant, dürfte aber für die meisten Unternehmen in der täglichen Praxis eine weniger wichtige Rolle spielen.
Grundsätzlich ist es so, dass nach deutschem Urheberrecht „Data-Mining“ erlaubt ist, es sei denn, die entsprechende Website enthält ein maschinenlesbares Verbot des automatischen Auslesens (bei nur offline zugänglichen Daten muss der Vorbehalt nicht maschinenlesbar sein).
Ob KI-Training noch unter den Begriff „Data-Mining“ fällt, ist nicht abschließend geklärt, das wird aber von der unterinstanzlichen Rechtsprechung wohl so gesehen.
Das „Data-Mining“ ist aber nur erlaubt, wenn die ausgelesenen Daten, die für das „Data Mining“ nicht mehr notwendig sind, gelöscht werden.
Da in einem Fall eine KI z.T. aber größere Ausschnitte aus Daten (konkret Liedtexten) wiedergeben konnte, also die Daten im konkreten Fall durch die KI wohl „memorisiert“ wurden, wurde in diesem Fall bereits von einem deutschen Gericht entschieden, dass eine Löschung nicht stattgefunden habe, so dass im konkreten Fall die Nutzung unzulässig war (etwas anders hat das ein britisches Gericht bei Bildern gesehen).
Eine weitere Vorschrift im deutschen Urheberrecht erlaubt für die Forschung Data Mining auch, wenn die Daten ausdrücklich ein Verbot des automatischen Auslesens enthalten.
Insoweit wurde entschieden, dass ein Unternehmen, das die KI kommerziell nutzen will, sich nicht auf dieses Forschungsprivileg berufen kann.
Soweit Software für das Training von KI genutzt wird, damit die KI Softwareerstellung „lernt“, wird das in der Regel nur mit Open Source Software möglich sein, da nur bei dieser der Quellcode offen liegt.
Da Open Source Software gemäß den Lizenzbedingungen meist unbeschränkt vervielfältigt werden darf, ist insoweit das Training, selbst wenn es eine Vervielfältigung darstellt, wohl erlaubt.
Es stellt sich aber die Frage, ob bei sog. Copyleft-Open-Source-Software dann die von der KI ausgegebene Software auch unter eine entsprechende Copyleft Lizenz gestellt werden muss, da die Copyleft Lizenzen verlangen, dass Umarbeitungen ebenfalls unter die Copyleft Lizenz gestellt werden.
Insoweit wird es darauf ankommen, ob die KI tatsächlich die Software vervielfältigt, und aber auch auf den genauen Wortlaut der Copyleft-Lizenz.
Die meisten Rechtsfragen in Bezug auf KI lassen sich mit den derzeit geltenden Gesetzen hinreichend sicher beantworten. Im Hinblick auf die Haftung des Betreibers von KI wäre es wohl sinnvoll, wenn der Gesetzgeber eine Gefährdungshaftung einführt, wie sie u.a. im Straßenverkehr bereits besteht.
RA Dr. Wolf Günther / RA Dr. Meinhard Erben
KANZLEI DR. ERBEN RECHTSANWÄLTE
Version: 2026-04-29