KI ist kein rechtsfreier Raum: Unternehmenshaftung im Überblick

Ein Klick genügt und schon muss Ihr Unternehmen für eine KI-generierte Falschmeldung haften. Was nach Zukunftsmusik klingt, ist längst Realität.

Beispiel: In der Sendung „ZDF heute journal“ vom 15. Februar 2026 wurde ein KI-generiertes Video über die US-Behörde U.S. Immigration and Customs Enforcement (ICE) gezeigt.

In einem früheren Fall veröffentlichte ein Unternehmen bereits 2024 ungeprüfte KI-Inhalte über ein Familienunternehmen und wurde vom Landgericht Kiel dafür verurteilt. Das Landgericht Kiel (LG Kiel, Az. 2 O 23/24) stellte in dieser Hinsicht klar: Wer KI-generierte Inhalte ohne Prüfung veröffentlicht, haftet für die daraus entstehenden Konsequenzen.

Kurz gesagt: KI entbindet Sie nicht von Verantwortung. Im Gegenteil: Wer KI-generierte Inhalte veröffentlicht, trägt das Risiko.

Was ist KI-Haftung genau?

KI-Haftung bedeutet: Sie haften für Schäden, die durch KI-generierte Inhalte entstehen. Zum Beispiel für eine Rufschädigung oder eine Verleumdung. Etwa wenn ein Familienunternehmen als „gelöscht“ dargestellt wird, obwohl es weiter besteht, oder wenn Misshandlungen behauptet werden, die nie stattgefunden haben.

Mit KI-Haftung ist nicht die Maschine gemeint und auch nicht in erster Linie der Anbieter der KI. Gemeint ist die Verantwortung der Person, die die KI nutzt. Jeder Prompt, den Sie eingeben, wird Ihnen rechtlich zugerechnet. Wenn Sie die Inhalte veröffentlichen, tragen Sie daher auch die Verantwortung.

Was umfasst KI-Haftung konkret?

• Deliktische Haftung: Nach § 823 BGB müssen Sie Schadensersatz leisten, wenn durch KI-Inhalte Rechte verletzt werden, etwa das Persönlichkeitsrecht oder das Unternehmenspersönlichkeitsrecht.
• Produkthaftung: Nach der neuen EU-Richtlinie zur Produkthaftung aus dem Jahr 2025 gilt auch KI-Software als Produkt. Unter bestimmten Voraussetzungen können dadurch zusätzliche Haftungsrisiken entstehen.
• Verkehrspflichten: Vor einer Veröffentlichung müssen Sie Inhalte sorgfältig prüfen. Es besteht eine Pflicht zur redaktionellen Kontrolle. Wer ungeprüft veröffentlicht, handelt pflichtwidrig.
• Zurechnung: Rechtlich werden KI-Ausgaben Ihrem eigenen Handeln zugerechnet. Die KI ist kein eigenständiger Akteur im Haftungssinn.
• Transparenzpflicht: Bestimmte KI-generierte Inhalte werden kennzeichnungspflichtig sein.

Warum die Fälle des Landgericht Kiel und des „heute journal“ auch Sie betreffen

Die Phase der rechtlichen Unsicherheit bei KI ist weitgehend beendet. Gerichte wenden bestehende Vorschriften an. Für Unternehmen bedeutet das: KI-Nutzung ist kein rechtsfreier Raum.

Was bedeutet „KI-generierte Haftung“?

KI-generierte Haftung heißt: Menschen haften für Inhalte, die eine Maschine erstellt hat. Beteiligte Akteure sind typischerweise:

• KI-Tool (z. B. ChatGPT): erzeugt Texte, Bilder oder Videos
• Nutzer formuliert den Prompt und erhält den Output
• Betreiber oder Unternehmen veröffentlicht oder verbreitet den Inhalt
• Betroffener wird durch falsche Angaben geschädigt

Rechtlich wird nicht die Maschine verantwortlich gemacht. Maßgeblich ist, wer den Inhalt nutzt und verbreitet. Werden falsche KI-Inhalte veröffentlicht, kann der Handelnde als „Störer“ im Sinne von § 1004 BGB haften. Die KI ist lediglich ein Werkzeug. Verantwortung trägt die Person, die es einsetzt.

Der Fall vor dem Landgericht Kiel

In dem Verfahren vor dem Landgericht Kiel (Az. 2 O 23/24) wurde ein Unternehmen durch eine KI-Auskunft fälschlich als gelöscht dargestellt. Ein Datenportal übernahm diese Information ungeprüft. Tatsächlich bestand das Familienunternehmen fort. Die Folge: Das Unternehmen erschien als vermögenslos. Es kam zu Reputationsschäden und wirtschaftlichen Nachteilen. Das Gericht sah darin eine Verletzung des Unternehmenspersönlichkeitsrechts (§§ 823 Abs. 1, 1004 BGB analog i.V.m. Art. 2 Abs. 1, 19 Abs. 3 GG). Entscheidend war nicht, dass die Information von einer KI stammte, sondern dass sie ungeprüft verbreitet wurde.

Der ZDF-Fall – was ist passiert?

In einem Beitrag des „heute journal“ über das Vorgehen der US-Behörde U.S. Immigration and Customs Enforcement (ICE) wurden Videosequenzen verwendet, die erkennbar KI-generiert waren. Teilweise war ein Wasserzeichen des Videogenerators Sora sichtbar. Die Beiträge wurden später korrigiert bzw. zurückgezogen. Die KI-Inhalte waren nicht gekennzeichnet.

Nach der europäischen KI-Verordnung (KI-VO) besteht künftig eine Kennzeichnungspflicht für bestimmte KI-generierte Inhalte, insbesondere für sogenannte Deep Fakes. Diese Pflicht wird ab dem 2. August 2026 verbindlich. Vor diesem Zeitpunkt besteht insoweit noch keine unmittelbare Sanktionierung auf Grundlage dieser Verordnung. Unabhängig davon können medienrechtliche, wettbewerbsrechtliche oder zivilrechtliche Ansprüche in Betracht kommen, wenn irreführende oder falsche Inhalte verbreitet werden.

Beide Fälle zeigen: Entscheidend ist nicht, wer den Inhalt technisch erzeugt hat, sondern wer ihn verantwortet und verbreitet. Wenn Sie KI in Ihrem Unternehmen einsetzen, tragen Sie die rechtliche Verantwortung für das Ergebnis. KI ersetzt keine Prüfungspflicht.

Wie haftet man für KI-Produkte?

Die aktuellen Fälle zeigen drei grundlegende Prinzipien, die für Unternehmen jeder Größe relevant sind. Die Haftung stützt sich im Kern auf drei Säulen.

Erstens: Deliktische Haftung (§ 823 BGB)

Nach § 823 BGB haftet, wer schuldhaft ein geschütztes Recht verletzt, etwa das allgemeine Persönlichkeitsrecht oder das Unternehmenspersönlichkeitsrecht. Dabei ist unerheblich, ob die Rechtsverletzung unmittelbar durch eine Person oder durch ein technisches Hilfsmittel erfolgt. Der Bundesgerichtshof hat klargestellt, dass auch die Nutzung technischer Werkzeuge dem Handelnden zugerechnet wird (BGH, NJW 2018, 2324 – „Verwendung technischer Hilfsmittel“).

Für KI bedeutet das: Auch wenn der Text oder das Bild von einer Maschine erzeugt wird, ist der Prompt eine menschliche Handlung. Das Ergebnis wird dem Unternehmen zugerechnet, das das KI-System einsetzt und den Inhalt veröffentlicht. Die KI ist rechtlich in der Regel ein Werkzeug und kein eigenständiger Akteur.

Zweitens: Grenzen von Haftungsausschlüssen

Haftung lässt sich vertraglich nur eingeschränkt begrenzen.

Im Verhältnis zu Verbrauchern (B2C) unterliegen Allgemeine Geschäftsbedingungen der strengen Kontrolle nach §§ 305 ff. BGB. Ein Haftungsausschluss für grobe Fahrlässigkeit ist nach § 309 Nr. 7 BGB unwirksam. Zudem kann bei fehlerhaften Produkten eine verschuldensunabhängige Haftung nach dem Produkthaftungsgesetz greifen.

Im Verhältnis zwischen Unternehmen (B2B) besteht mehr Gestaltungsspielraum. Dennoch ist auch hier bei Verwendung von Standard-AGB ein pauschaler Ausschluss der Haftung für grobe Fahrlässigkeit regelmäßig unzulässig (§ 309 Nr. 7 BGB entsprechend).

Unabhängig davon bleiben sogenannte Verkehrspflichten bestehen. Wer KI-Inhalte veröffentlicht, muss sie prüfen. Diese Pflicht gilt sowohl im B2B- als auch im B2C-Bereich. Ein Hinweis wie „KI-generiert“ ersetzt keine inhaltliche Kontrolle.

Auch die Berufung auf die Meinungsfreiheit greift regelmäßig nicht. KI-generierte Inhalte sind keine persönliche Stellungnahme eines Menschen. Ob und in welchem Umfang KI-Inhalte unter das Zitatrecht fallen, ist bislang nicht abschließend geklärt (vgl. BVerfG, NJW 1958, 257).

Drittens: Wer haftet konkret?

Die Verantwortlichkeit hängt von der jeweiligen Rolle ab.

Host-Provider speichern fremde Inhalte ohne redaktionelle Kontrolle. Für sie gelten Haftungsprivilegien nach dem Digital Services Act (DSA), die in Deutschland durch das Digitale-Dienste-Gesetz (DDG) flankiert werden. Sie haften grundsätzlich erst ab Kenntnis von einer Rechtsverletzung („Notice-and-Takedown“-Prinzip).

Content-Provider stellen eigene oder redaktionell bearbeitete Inhalte bereit. Für sie besteht keine Privilegierung (§ 7 Abs. 1 DDG). Wer Inhalte inhaltlich verantwortet, haftet grundsätzlich voll.

KI-Anbieter können ebenfalls unter die Haftungsprivilegien fallen, wenn das System automatisiert arbeitet und keine inhaltliche Einflussnahme erfolgt. Greifen Entwickler jedoch aktiv in die Inhaltsgestaltung ein oder liegt ein Produktfehler vor, kann eine Haftung in Betracht kommen. Bei fehlerhaften KI-Systemen ist auch eine Produkthaftung denkbar, etwa bei mangelhaften Trainingsdaten.

Drei typische Fallkonstellationen

1. Automatisiertes Handelsregisterportal

Eine KI stuft ein existierendes Unternehmen als gelöscht ein.

Haftung: Der Portalbetreiber, wenn er die Information redaktionell verantwortet oder ungeprüft verbreitet.

2. KI-gestützter Kundenservice

Ein Chatbot erteilt falsche Rechtsauskünfte.

Haftung: Das Unternehmen, das den Chatbot einsetzt, etwa wegen Pflichtverletzung (§ 280 BGB). Im B2C-Bereich sind Haftungsbeschränkungen zusätzlich eingeschränkt (§ 309 Nr. 8 BGB).

3. Generierte Produktbeschreibung

Die KI erfindet Produkteigenschaften, die tatsächlich nicht bestehen.

Haftung: Der Shop-Betreiber wegen Irreführung nach § 5 UWG.

Technische Blackbox – komplexes System

KI-Systeme, insbesondere auf Basis von Machine Learning, sind komplex und in ihren internen Entscheidungsprozessen nicht immer vollständig nachvollziehbar. Rechtlich ist das jedoch unerheblich.

Es gilt der Grundsatz: Wer sich eines Werkzeugs bedient, trägt das Risiko seines Einsatzes. Die fehlende Transparenz des Systems entlastet nicht.

Auch das sogenannte Prompt Engineering kann rechtlich relevant sein. Unklare oder unsaubere Eingaben erhöhen das Risiko fehlerhafter Ausgaben. Werden dadurch Rechtsverletzungen verursacht, kann dies als fahrlässiges Verhalten gewertet werden.

KI ist kein Haftungsschild. Wer sie einsetzt, muss Organisation, Kontrolle und Qualitätssicherung so ausgestalten, dass Rechtsverletzungen möglichst vermieden werden.

KI- und Produkthaftung seit 2025

Seit 2025 ist die Nutzung von Künstlicher Intelligenz in der Europäischen Union umfassend reguliert. Maßgeblich sind zwei Rechtsakte: die neue EU-Produkthaftungsrichtlinie 2024/2853 und die Verordnung (EU) 2024/1689 (EU-KI-Verordnung).

1. Produkthaftung: Software ist jetzt ausdrücklich „Produkt“

Die Richtlinie 2024/2853 stellt klar: Auch Software, einschließlich KI-Systeme, gilt als Produkt. Damit gelten für KI dieselben Grundprinzipien wie für fehlerhafte Maschinen oder Geräte.

Zentrale Punkte:

• Art. 6: Verschuldensunabhängige Haftung: Bei einem Produktfehler haftet der Hersteller auch ohne Verschulden. Es genügt, dass das Produkt fehlerhaft ist und ein Schaden entsteht.
• Art. 17: Beweiserleichterung bei KI-Schäden: Unter bestimmten Voraussetzungen kommt es zu einer Beweislastumkehr oder Beweiserleichterung. Voraussetzung ist, dass ein Systemfehler plausibel dargelegt wird.
• Art. 21: Hohe Haftungsgrenzen: Die Haftung kann bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes betragen.

Wichtig: Eine CE-Kennzeichnung ist für reine Software nicht automatisch erforderlich. Sie betrifft in der Regel physische Produkte oder regulierte Produktkategorien.

2. EU-KI-Verordnung: Pflichten für Hochrisiko-KI

Die EU-KI-Verordnung arbeitet mit einem risikobasierten Ansatz. Für sogenannte Hochrisiko-KI-Systeme (Anhang III der Verordnung) gelten besondere Anforderungen.

• Art. 13: Dokumentationspflichten: Anbieter müssen technische Unterlagen und Nachweise zur Funktionsweise und Risikobewertung führen.
• Art. 14: Menschliche Aufsicht („Human Oversight“): Bei kritischen Anwendungen muss eine wirksame menschliche Kontrolle sichergestellt sein.
• Art. 15: Genauigkeit, Robustheit, Cybersicherheit: KI-Systeme müssen angemessene Qualitäts- und Sicherheitsstandards erfüllen.

3. Hersteller- und Entwicklerhaftung im Detail: Nach dem Produkthaftungsrecht haftet der Hersteller eines KI-Systems, wenn:

• ein fehlerhaftes Produkt vorliegt (z. B. systematische Fehlentscheidungen),
• ein Schaden entsteht (etwa ein Vermögensschaden),
• ein ursächlicher Zusammenhang besteht.

Ein Haftungsausschluss ist nur eingeschränkt möglich, etwa wenn der Hersteller nachweist, dass der Fehler nach dem Stand von Wissenschaft und Technik zum Zeitpunkt des Inverkehrbringens nicht erkennbar war.

Praxisbeispiel: Ein KI-gestützter Bewerbungsalgorithmus benachteiligt systematisch Frauen. Betroffene könnten Schadensersatz nach dem Produkthaftungsrecht verlangen, wenn ein Systemfehler vorliegt.

4. Kennzeichnungspflicht für Deepfakes ab 2. August 2026

Ab dem 2. August 2026 müssen bestimmte KI-generierte Inhalte gekennzeichnet werden. Dazu gehören insbesondere realitätsnahe Bild-, Ton- oder Video-Inhalte (Deepfakes), wenn sie geeignet sind, über echte Ereignisse oder Personen zu täuschen. Auch bestimmte Texte, die die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse informieren (z. B. redaktionelle Beiträge), können kennzeichnungspflichtig sein. Nicht betroffen sind in der Regel rein werbliche Produktbeschreibungen oder offensichtlich fiktive Inhalte.

Praxisbeispiel: E-Commerce mit KI-Produktbeschreibungen

Problem: Ein Onlineshop nutzt KI zur Erstellung von Produkttexten.

Risiko: Die KI erfindet Produkteigenschaften. Kunden machen Gewährleistungs- oder Schadensersatzansprüche geltend.

Mögliche Lösung: Drei-Stufen-Prüfverfahren:

1. KI-Generierung mit gezieltem Fact-Check-Prompt

2. Automatisierte Plausibilitätsprüfung

3. Menschliche Endkontrolle bei wesentlichen Produkteigenschaften