Künst­liche Intel­ligenz (KI) hat sich in den letzten Jahren als zentrale Zukunfts­tech­no­logie etabliert. Sie verändert Geschäfts­pro­zesse, ermög­licht völlig neue Produkte und hilft dabei, Entschei­dungen daten­ba­siert und effizient zu treffen. Doch mit zuneh­mender Verbreitung wächst auch die recht­liche Komple­xität. Viele Unter­nehmen fragen sich: Wer haftet, wenn eine KI versagt? Wie lassen sich recht­liche Risiken frühzeitig beherrschen?

Die Europäische Union hat auf diese Heraus­for­de­rungen mit einem weitrei­chenden Geset­zes­paket reagiert, das aus zwei zentralen Kompo­nenten besteht: der KI-Verordnung (AI Act) und einer umfas­senden Reform des europäi­schen Haftungs­rechts. Für Unter­nehmen bedeutet dies: Die recht­lichen Spiel­regeln für den Einsatz von KI ändern sich grund­legend. Es ist daher entscheidend, die neuen Anfor­de­rungen zu verstehen und recht­zeitig umzusetzen.

Zwei Säulen – ein Rechtsrahmen

Der neue europäische Rechts­rahmen für Künst­liche Intel­ligenz beruht auf zwei gesetz­ge­be­ri­schen Säulen, die eng mitein­ander verknüpft sind und sich gegen­seitig ergänzen.

Die erste Säule bildet die KI-Verordnung (AI Act). Sie regelt präventiv den Einsatz, die Entwicklung und das Inver­kehr­bringen von KI-Systemen in der Europäi­schen Union. Ziel ist es, Risiken frühzeitig zu erkennen und durch geeignete Maßnahmen zu begrenzen.

Die zweite Säule besteht aus der Reform der Haftungs­richt­linien, insbe­sondere der neuen Produkt­haf­tungs­richt­linie und einer spezi­fi­schen KI-Haftungs­richt­linie. Diese Vorschriften regeln, wer bei Schäden durch KI-Systeme verant­wortlich ist und welche Beweis­an­for­de­rungen gelten.

Beide Regelungs­kom­plexe – also präventive Regulierung und nachge­la­gerte Haftungs­ver­ant­wortung – greifen inein­ander. Unter­nehmen müssen künftig nicht nur ihre techni­schen Prozesse anpassen, sondern auch ihre vertrag­liche und haftungs­recht­liche Absicherung neu bewerten.

Teil 1: Die KI-Verordnung – Ihre neue Compliance-Grundlage

Risiko­ba­sierte Einstufung von KI-Systemen

Kernstück der KI-Verordnung ist ein risiko­ba­sierter Regulie­rungs­ansatz. Dabei werden KI-Systeme in vier Risikoklassen einge­teilt. Je nach Einstufung ergeben sich unter­schied­liche recht­liche Verpflich­tungen für Anbieter, Betreiber und Nutzer.

KI-Systeme mit einem unannehm­baren Risiko – etwa solche, die auf Social Scoring oder bewusster Manipu­lation beruhen – sind künftig grund­sätzlich verboten. Bei sogenannten Hochrisiko-KI-Systemen, die in sensiblen Bereichen wie der medizi­ni­schen Diagnostik, dem Perso­nal­wesen oder der Kredit­vergabe einge­setzt werden, gelten besonders strenge Vorgaben. Diese betreffen unter anderem das Risiko­ma­nagement, die Daten­qua­lität, die mensch­liche Aufsicht, die Cyber­si­cherheit sowie die technische und recht­liche Dokumen­tation. Verstöße können mit Geldbußen von bis zu 35 Millionen Euro oder bis zu 7 % des weltweiten Jahres­um­satzes geahndet werden.

KI-Systeme mit begrenztem Risiko – etwa Chatbots oder Deepfakes – unter­liegen in erster Linie Trans­pa­renz­pflichten. Nutzer müssen erkennen können, dass sie es mit einer KI zu tun haben. Anwen­dungen mit minimalem Risiko, beispiels­weise Spamfilter oder Empfeh­lungs­systeme, sind von regula­to­ri­schen Pflichten weitgehend ausgenommen.

Neuer Meilen­stein: GPAI-Regeln ab August 2025

Ein besonders bedeut­samer Abschnitt der Verordnung tritt am 2. August 2025 in Kraft. Ab diesem Zeitpunkt gelten spezielle Regelungen für sogenannte General Purpose AI-Modelle (GPAI) – also für große, leistungs­fähige Basis­mo­delle wie GPT‑4, Google Gemini oder Claude. Diese Modelle sind nicht auf einen bestimmten Zweck zugeschnitten, sondern können für eine Vielzahl von Anwen­dungen weiter­ent­wi­ckelt und genutzt werden.

Ab dem genannten Datum unter­liegen die Anbieter dieser GPAI-Modelle umfang­reichen Trans­pa­renz­pflichten. Sie müssen offen­legen, wie das Modell funktio­niert, auf welchen Daten­sätzen es trainiert wurde und welche Schutz­maß­nahmen gegen Diskri­mi­nierung und Urheber­rechts­ver­let­zungen bestehen. Die technische Dokumen­tation, eine Zusam­men­fassung der Trainings­daten sowie eine urheber­rechts­kon­forme Beschaf­fungs­richt­linie werden verbindlich vorgeschrieben.

Auch wenn Ihr Unter­nehmen kein eigenes Basis­modell entwi­ckelt, sondern lediglich fertige KI-Dienste nutzt, sind diese Offen­le­gungs­pflichten für Sie von großem Nutzen. Sie ermög­lichen eine fundierte Bewertung der einge­setzten Techno­logien und helfen dabei, Ihre eigenen Compliance-Pflichten zu erfüllen. So gewinnen Sie Sicherheit hinsichtlich der Zuver­läs­sigkeit und Recht­mä­ßigkeit der KI-Systeme, die Sie in Ihre Geschäfts­pro­zesse integrieren.

Wichtig ist, die Übergangs­fristen zu beachten: Die neuen Pflichten gelten für neu entwi­ckelte GPAI-Modelle ab August 2026 und für bereits bestehende Modelle ab August 2027.

Teil 2: Die neue Haftungs­ar­chi­tektur – Wer haftet bei KI-Schäden?

Produkt­haftung wird auf KI ausgeweitet

Mit der Reform der Produkt­haf­tungs­richt­linie wird erstmals ausdrücklich klarge­stellt, dass auch Software und KI-Systeme als „Produkte“ im haftungs­recht­lichen Sinne gelten. Unter­nehmen, die solche Systeme entwi­ckeln oder vertreiben, werden dadurch als Hersteller im Sinne des Produkt­haf­tungs­rechts eingestuft.

Besonders hervor­zu­heben ist die Einführung einer Beweis­last­umkehr bei komplexen KI-Systemen. Künftig muss im Schadensfall nicht mehr der Geschä­digte nachweisen, dass das KI-System fehlerhaft war. Vielmehr trifft den Anbieter oder Hersteller die Pflicht, die Fehler­freiheit seines Systems nachzu­weisen. Dies stellt eine erheb­liche Verschärfung des Haftungs­re­gimes dar.

Die spezielle KI-Haftungsrichtlinie

Ergänzend zur Produkt­haftung führt die KI-spezi­fische Haftungs­richt­linie eine wider­legbare Vermutung der Kausa­lität ein. Dies bedeutet, dass Gerichte im Einzelfall davon ausgehen können, dass ein Schaden durch das KI-System verur­sacht wurde, wenn der Anbieter gericht­liche Anord­nungen zur Offen­legung der relevanten techni­schen Infor­ma­tionen nicht befolgt.

Ein solches Verhalten kann nicht nur haftungs­recht­liche Konse­quenzen nach sich ziehen, sondern auch regula­to­risch geahndet werden. Mangelnde Dokumen­tation oder die Weigerung zur Offen­legung können somit zu einer Art „umgekehrtem Schuld­ein­ge­ständnis“ werden.

Was Unter­nehmen jetzt tun müssen – Praxisempfehlungen

Die Zeit des Abwartens ist vorbei. Unter­nehmen sollten frühzeitig aktiv werden und ihre KI-Anwen­dungen syste­ma­tisch prüfen und steuern. Ein struk­tu­riertes Vorgehen empfiehlt sich dabei in vier Schritten:

1. Zunächst sollten sämtliche im Unter­nehmen einge­setzten KI-Systeme erfasst werden. Im Anschluss ist für jede Anwendung zu prüfen, in welche Risiko­ka­te­gorie sie gemäß der KI-Verordnung fällt. Besondere Aufmerk­samkeit gilt Systemen, die poten­ziell als Hochrisiko-KI einge­stuft werden könnten.
2. Auf Grundlage der Klassi­fi­zierung sollte eine detail­lierte Analyse der bestehenden Prozesse, techni­schen Dokumen­ta­tionen und Vertrags­struk­turen erfolgen. Ziel ist es, bestehende Defizite gegenüber den Anfor­de­rungen der KI-Verordnung zu identi­fi­zieren und einen konkreten Maßnah­menplan zur Behebung dieser Lücken zu erarbeiten.
3. In einem nächsten Schritt sollten Unter­nehmen klare Verant­wort­lich­keiten definieren – etwa durch die Bestellung eines KI-Compliance-Officers. Interne Prozesse zur Risiko­über­wa­chung, Daten­va­li­dierung, techni­schen Dokumen­tation und Cyber­si­cherheit sind einzu­führen oder anzupassen. Ebenso sollten bestehende Verträge mit Geschäfts­partnern überprüft und – falls erfor­derlich – an die neuen Haftungs­ri­siken angepasst werden.
4. Nicht zuletzt sollte der bestehende Versi­che­rungs­schutz im Hinblick auf KI-spezi­fische Risiken überprüft und gegebe­nen­falls erweitert werden. Darüber hinaus ist es unerlässlich, die Mitar­beiter im Umgang mit KI und den recht­lichen Vorgaben zu schulen. Nur so lassen sich organi­sa­to­rische Risiken wirksam kontrollieren.

Kritik und rechts­po­li­tische Kontroverse

Die neue KI-Gesetz­gebung ist nicht unumstritten. Dabei lassen sich die kriti­schen Stimmen grob in zwei Lager einteilen: einer­seits die wirtschaftsnahe Perspektive, die vor Überre­gu­lierung warnt, und anderer­seits zivil­ge­sell­schaft­liche Gruppen, die den Schutz von Grund­rechten für unzurei­chend halten.

Kritik aus Sicht der Wirtschaft und Industrie

Viele Unter­nehmen – insbe­sondere Start-ups und mittel­stän­dische Anbieter – befürchten, dass die neuen Vorgaben ein innova­ti­ons­hem­mendes Klima erzeugen könnten. Die Umsetzung der umfang­reichen Compliance-Vorgaben für Hochrisiko-Systeme ist für viele KMU kaum finanzier- oder organi­sierbar. Die Kosten für Risiko­ma­nagement, Dokumen­tation, Zerti­fi­zierung und externe Prüfung könnten dazu führen, dass innovative Entwick­lungen frühzeitig aufge­geben oder ins Ausland verlagert werden.

Ein weiterer zentraler Kritik­punkt betrifft die unklare Begriff­lichkeit. Wirtschafts­ver­bände monieren, dass zentrale Defini­tionen wie „KI-System“, „erheb­licher Schaden“ oder „Verwen­dungs­zweck“ zu weit und zu unbestimmt gefasst sind. Dadurch entsteht Rechts­un­si­cherheit – Unter­nehmen wissen oft nicht, ob sie regula­to­risch betroffen sind oder nicht. Inves­ti­ti­ons­ent­schei­dungen werden damit erschwert.

Die neue Regulierung wird zudem als bürokra­tisch und schwer­fällig empfunden. Der Aufwand für Proto­kol­lierung, Trans­parenz und Auditier­barkeit bindet Ressourcen, die aus Sicht der Industrie effek­tiver in Forschung und Entwicklung inves­tiert wären.

Besonders umstritten ist die Haftung für General Purpose AI-Modelle. Kritiker warnen, dass Anbieter dieser Basis­mo­delle für poten­ziell unzählige Weiter­ver­wen­dungen durch Dritte verant­wortlich gemacht werden könnten. Dies wäre nicht nur haftungs­rechtlich proble­ma­tisch, sondern könnte auch zur Zurück­haltung bei der Entwicklung solcher Modelle führen.

Auch die neuen Haftungs­regeln selbst werden kritisch gesehen. Die Beweis­last­umkehr und die Kausa­li­täts­ver­mutung gelten als zu kläger­freundlich. Unter­nehmen fürchten eine Welle von Klagen mit schwer kalku­lier­barem Prozess­risiko – insbe­sondere bei hochkom­plexen Systemen. Die Folge könnten steigende Versi­che­rungs­prämien oder eine Zurück­haltung bei risiko­be­haf­teten Anwen­dungen sein.

Kritik von Bürger­rechts­or­ga­ni­sa­tionen und Verbraucherschutz

Demge­genüber kriti­sieren zivil­ge­sell­schaft­liche Akteure, dass die Verordnung an entschei­denden Stellen zu viele Ausnahmen zugunsten von Behörden und Unter­nehmen vorsieht – und dadurch Grund­rechte nicht ausrei­chend schützt.

Ein besonders sensibler Punkt ist die biome­trische Überwa­chung im öffent­lichen Raum. Zwar verbietet die KI-Verordnung viele Überwa­chungs­formen, lässt jedoch Ausnahmen für Straf­ver­fol­gungs- und Sicher­heits­be­hörden zu. Die Möglichkeit, etwa Gesichts- oder Emoti­ons­er­kennung unter bestimmten Voraus­set­zungen einzu­setzen, wird von vielen als Schritt in Richtung eines Überwa­chungs­staates gesehen.

Auch der Diskri­mi­nie­rungs­schutz wird als unzurei­chend angesehen. Zwar erkennt die Verordnung das Risiko diskri­mi­nie­render KI-Entschei­dungen – etwa bei der Kredit­vergabe oder im Perso­nal­be­reich – grund­sätzlich an, es fehlen jedoch zwingende Mecha­nismen zur Kontrolle. Besonders proble­ma­tisch: Betroffene erfahren in vielen Fällen nicht einmal, dass eine KI über sie entschieden hat.

Ein weiterer Kritik­punkt betrifft die Herstel­ler­ver­ant­wortung: Die Erstbe­wertung und Einstufung von Hochrisiko-KI erfolgt in vielen Fällen durch die Anbieter selbst – ohne unabhängige externe Prüfung. Dies öffnet der Gefahr von Gefäl­lig­keits­be­wer­tungen Tür und Tor.

Schließlich gibt es Bedenken im Bereich der Migra­ti­ons­kon­trolle. Die Verordnung erlaubt den Einsatz von Hochrisiko-KI an den EU-Außen­grenzen – etwa zur Lügen­er­kennung oder Risiko­be­wertung von Geflüch­teten. Menschen­rechts­or­ga­ni­sa­tionen sehen darin eine massive Gefahr für die Rechte schutz­be­dürf­tiger Personen.

Auch die Haftungs­regeln werden aus dieser Perspektive kriti­siert – jedoch aus einem anderen Grund. Zwar wird begrüßt, dass es nun eine Kausa­li­täts­ver­mutung gibt, aller­dings ist diese an hohe Voraus­set­zungen geknüpft: Erst wenn der Anbieter gericht­lichen Offen­le­gungs­an­ord­nungen nicht nachkommt, greift sie. Kritiker argumen­tieren, dass viele Geschä­digte in der Praxis gar nicht die Mittel oder den Zugang zu solchen Beweis­an­ord­nungen haben.

Fazit der Kritik

Zusam­men­fassend lässt sich sagen, dass das EU-Regelwerk einen politi­schen Kompromiss darstellt, der extrem unter­schied­liche Inter­essen auszu­ba­lan­cieren versucht.

Aus Sicht der Wirtschaft entsteht ein Regelwerk, das poten­ziell innova­ti­ons­feindlich, bürokra­tisch und durch unklare Rechts­be­griffe schwer handhabbar ist. Aus Sicht der Zivil­ge­sell­schaft wiederum bietet es zu viele Schlupf­löcher für staat­liche Überwa­chung und Unter­neh­mens­in­ter­essen – und schützt die Grund­rechte nicht ausreichend.

Einigkeit herrscht in einem zentralen Punkt: Die mangelnde Präzision der Begriffe und die daraus resul­tie­rende Rechts­un­si­cherheit gelten als eines der größten prakti­schen Probleme der kommenden Umsetzungsphase.

Fazit: Pflicht, Risiko – und Chance zugleich

Die neue europäische KI-Regulierung markiert einen Paradig­men­wechsel. Sie schafft dringend benötigte Rechts­si­cherheit, erhöht jedoch gleich­zeitig die Anfor­de­rungen an Unter­nehmen erheblich. Insbe­sondere die Dokumen­ta­tions- und Rechen­schafts­pflichten stellen eine neue Dimension der Compliance dar.

Wer frühzeitig handelt und seine Systeme trans­parent, verant­wor­tungsvoll und struk­tu­riert aufsetzt, kann von der Regulierung profi­tieren. Die Einhaltung der neuen Vorgaben ist nicht nur eine recht­liche Pflicht, sondern wird zunehmend zu einem Wettbe­werbs­vorteil.

Gerne unter­stützen wir Sie bei der rechts­si­cheren Umsetzung, bei der vertrag­lichen Gestaltung oder beim Aufbau Ihrer internen KI-Gover­nance. Schreiben Sie uns an schiller@b2.legal.