Die Entwicklung und der Einsatz von künstlicher Intelligenz (KI) wirft zahlreiche rechtliche Fragen auf – insbesondere die nach der Haftung.
Mit diesem Beitrag beleuchten wir die aktuelle Rechtslage zur Haftung für KI und KI-generierte Inhalte, insbesondere nach dem Bürgerlichen Gesetzbuch (BGB) und dem Produkthaftungsgesetz.
Wichtig ist aber auch der Blick in die (gar nicht mehr so ferne) Zukunft, denn das Haftungsrecht wird durch die geplante Novelle der Produkthaftungsrichtlinie (ProdHaftRL) und der KI-Haftungsrichtlinie (KI-HaftRL) angepasst.
KI-Haftung nach aktuell geltendem Recht (Stand November 2024)
Bei der Entwicklung, dem Betrieb, der Nutzung und dem Vertrieb von KI-Systemen ist die Haftung derzeit nach den allgemeinen Haftungsgrundsätzen des aktuellen Rechts zu ermitteln – spezialgesetzliche Regelungen gibt es (noch) nicht.
I. Haftung nach dem BGB
Die Haftung für den Einsatz von KI oder deren Mangelhaftigkeit ist im BGB nicht explizit geregelt – das wäre auch überraschend für ein Gesetz, das 1900 in Kraft getreten ist. Dennoch setzt das Gesetz auch im Zusammenhang mit KI den Haftungsmaßstab fest:
- Für die von KI generierten Inhalte haftet stets der Verwender – im Zweifel also das Unternehmen, das KI-generierte Texte und Bilder im eigenen Namen nutzt bzw. sich die Ergebnisse einer KI zu eigen macht – sei es als Inhalte auf der Website, in Kundenunterlagen oder in Marketingunterlagen.
- „Die KI“ selbst haftet hingegen nicht. Es fehlt ihr bereits an einer eigenen Rechtspersönlichkeit.
- Eine Haftung des Herstellers kommt nach allgemeinen Maßstäben nur dann in Betracht, wenn die KI beispielsweise nicht die vertraglich zugesicherte Beschaffenheit aufweist oder wenn der Hersteller nicht hinreichende Sicherheitsvorkehrungen innerhalb der KI getroffen hat, und es dadurch zu einem Schaden kommt.
Beispiel:
Der Betreiber einer Plattform, auf der über eine Suchfunktion Wirtschaftsinformationen deutscher Unternehmen abrufbar sind. Diese Informationen werden den Veröffentlichungen aus öffentlichen Registern (z.B. dem Bundesanzeiger, Handelsregister und Insolvenzregister) entnommen und mithilfe einer KI-basierten Software vollautomatisiert analysiert, Daten vernetzt und dem Nutzer übersichtlich dargestellt.
Wer haftet nun, wenn die KI falsche Informationen zusammenträgt, Fehler in diesen Informationen nicht erkennt und diese falschen Informationen (automatisiert) veröffentlicht werden? Spoiler: Der Verwender!
Diesen Fall hatte unlängst das Landgericht Kiel (Urt. v. 29.2.2024, Az. 6 O 151/23) zu entscheiden – konkret ging es um die Veröffentlichung der unzutreffenden Information, dass die Löschung eines konkreten Unternehmens wegen Vermögenslosigkeit beabsichtigt sei. Das Gericht entschied nach den allgemeinen Grundsätzen, dass für die Veröffentlichung falscher Informationen der Betreiber der Plattform als Verwender der Software haftet. Er habe sich zur Beantwortung der Suchanfragen auf seiner Website willentlich einer eigenen KI-basierten Software bedient, die Informationen aus den veröffentlichten Pflichtinformationen extrahiert und aufbereitet veröffentlicht. Diese bewusst eingesetzte KI habe nicht erkannt, dass die Information falsch war (konkret lag ein Zuordnungsfehler in der Verarbeitungskette zwischen den involvierten Gerichten und dem Unternehmensregister – also außerhalb der KI-Verarbeitung – vor) und sei für solche Fälle unzulänglich „programmiert“ gewesen. (Anmerkung: Den Begriff „programmiert“ scheint das Gericht hier eher allgemein zu verwenden, gemeint ist wohl das Training bzw. die Gestaltung des Trainingsprozesses). Zum anderen hafte der Betreiber auch für die von Dritten eingestellten falschen Informationen, wenn er sich diese – wie im vorliegenden Fall – aus Sicht der Nutzer „zu eigen mache“ und für die Informationen erkennbar die inhaltliche Verantwortung übernehme.
Achtung: Ein Disclaimer à la „Wir haften nicht für die Ergebnisse der KI“ befreit Unternehmen nicht von ihrer nach allgemeinen Grundsätzen bestehenden Haftung und stellt im Zweifel einen unzulässigen (und damit abmahnfähigen) Haftungsausschluss dar. Neben dem richtigen Training kann man allenfalls bei der Frage des Leistungsumfangs ansetzen – dies bedarf aber einer sorgfältigen Prüfung des konkreten Angebots.
II. Haftung nach dem Produkthaftungsgesetz
Besonders spannend und unter Juristen leidenschaftlich diskutiert wird die Frage der Haftung nach dem Produkthaftungsgesetz. Maßgeblich ist dabei die Frage, ob ein KI-System oder ein KI-Modell als ein Produkt im Sinne des § 2 ProdHaftG eingestuft werden kann.
Für die Annahme, dass KI Systeme oder Modelle als Produkte im Sinne des ProdHaftG angesehen werden, spricht ihre Vergleichbarkeit mit sonstiger Software. Der Umstand, dass sie auf physischen Datenträgern gespeichert und vertrieben werden kann, was eine Verkörperung darstellt, erfüllt die Voraussetzung des § 2 ProdHaftG, der von „beweglichen Sachen“. Zudem wird Software häufig als Sache im Sinne des § 90 BGB qualifiziert, was ihre Einordnung als Produkt unterstützt. Bei installierter Software, die direkt auf dem System des Nutzers läuft, ist diese Verkörperung eindeutig gegeben. Weiterhin kann argumentiert werden, dass die Verwendung von Standardsoftware eine vergleichbare Produkteigenschaft aufweist wie physische Güter.
Dagegen spricht jedoch der Wortlaut des Gesetzes, wonach neben „bewegliche Sachen“ auch „Elektrizität“ als nicht-verkörperte Einheit explizit angeführt wird. Der Gesetzgeber hat hier offenkundig erkannt, dass auch diese Art von nicht-körperlichen Produkten grundsätzlich unter der Produkthaftung fallen soll. Eine explizite Ausdehnung auf Software ist hingegen nicht erfolgt. Gegen eine Produkteigenschaft spricht auch, dass im Rahmen der Novellierung der Produkthaftungsrichtlinie nunmehr Software ausdrücklich auch als Produkt definiert wird (dazu unten mehr).
Im Ergebnis wird man daher in der Regel davon ausgehen können, dass für KI – zumindest derzeit noch – keine Haftung nach dem ProdHaftG besteht. Das wird sich jedoch bald ändern.
KI Haftung aus der Zukunft
I. Das kommt sicher: Die Novelle der Produkthaftungsrichtlinie
Seit dem 24. Januar 2024 liegt der Entwurf der Produkthaftungsrichtlinie (ProdHaftRL) beim Europäischen Rat. In seiner Sitzung am 10. Oktober 2024 hat der Rat der Europäischen Union die Produkthaftungsrichtlinie formell verabschiedet. Die Mitgliedstaaten haben ab der Veröffentlichung im Amtsblatt 24 Monate Zeit, um sie in nationales Recht (ProdHaftG) umzusetzen. Das neue Recht bringt tiefgreifende Änderungen mit sich, die unter Anderem auch die Haftung für Software und somit für KI betreffen. Doch was genau ändert sich dann?
In a nutshell:
- Hersteller, Importeure und Lieferanten haften für Software, KI-Modelle und KI-Systeme;
- Beweislastumkehr: in vielen Fällen wird zugunsten Geschädigter die Fehlerhaftigkeit oder die Kausalität zwischen Mangel und Schaden vermutet. Hersteller, Importeure und Lieferanten müssen diese gesetzlichen Vermutungen widerlegen, um einer Haftung zu entgehen;
- Anbieter oder Betreiber von KI-Systemen können bei Vornahme von substanziellen Modifikationen nicht von der Haftung ausgeschlossen werden;
- Verlängerung der Ausschlussfristen.
1. Software als Produkt
Eine der zentralen Neuerungen ist die explizite Einordnung von Software als Produkt gemäß Art. 4 Abs. 1 Nr. 1 S. 2 ProdHaftRL. Damit wird klargestellt, dass auch KI-Modelle und KI-Systeme als Software grundsätzlich unter die Produkthaftung fallen. Die damit einhergehenden Diskussionen nach geltendem Recht (s.o.) wären hiermit erledigt. Hersteller von KI-Systemen haften dann auch nach dem ProdHaftG.
2. Beweislastumkehr
Die Produkthaftungsrichtlinie sieht eine effektive Beweislastumkehr vor, die in Art. 9 ProdHaftRL geregelt ist. Üblicherweise muss der Kläger beweisen, dass ein Produkt fehlerhaft ist, dass er einen Schaden erlitten hat und dass dieser Schaden durch den Produktfehler verursacht wurde. Mit der neuen Richtlinie ist vorgesehen, dass das Produkt als fehlerhaft gilt, wenn der Hersteller wichtige Informationen nicht offenlegt, wenn das Produkt nicht den vorgeschriebenen Sicherheitsstandards entspricht oder wenn es offensichtlich während des normalen Gebrauchs versagt.
Zudem wird der Zusammenhang zwischen Produktfehler und Schaden nun vermutet, wenn das Produkt eindeutig defekt ist und der Schaden typisch für diesen Defekt ist. In besonders komplizierten Fällen, in denen der Nachweis für den Kläger sehr schwierig ist, wird ebenfalls vermutet, dass das Produkt fehlerhaft ist und der Schaden dadurch verursacht wurde, solange der Kläger glaubhaft machen kann, dass dies wahrscheinlich ist. Hersteller, Importeure und Lieferanten müssen diese gesetzlichen Vermutungen widerlegen, um einer Haftung zu entgehen.
3. Keine Haftungsausschlüsse bei substantiellen Modifikationen
Die neue Produkthaftungsrichtlinie sieht vor, dass Hersteller oder Betreiber von KI-Systemen nicht von der Haftung ausgeschlossen werden können, wenn sie substanzielle Modifikationen an einem Produkt vornehmen. Dies beinhaltet auch Änderungen durch Software-Updates oder das kontinuierliche Lernen eines KI-Systems.
Eine substanzielle Modifikation, definiert in Art. 4 Nr. 17b ProdHaftRL, liegt vor, wenn diese die ursprüngliche Leistung, den Zweck oder die Art des Produkts verändert und dabei neue Gefahren schafft oder das Risikoniveau erhöht, die nicht in der ursprünglichen Risikobewertung des Herstellers vorhergesehen wurden.
Art. 10 Abs. 2 ProdHaftRL stellt klar, dass Hersteller auch dann haftbar bleiben, wenn die Defektivität eines Produkts durch solche substanziellen Modifikationen (in lit. d) oder durch fehlende notwendige Updates (lit. c) entstanden ist. Voraussetzung hierfür ist, dass der Hersteller die Kontrolle über diese Aspekte haben muss.
Für Unternehmen bedeutet dies, dass sie besonders darauf achten müssen, wie sie KI-Systeme und Software aktualisieren und anpassen. Jede wesentliche Änderung kann die Haftung beeinflussen, und eine strikte Dokumentation dieser Änderungen ist entscheidend, um rechtliche Risiken zu minimieren. Dabei ist zu beachten, dass auch Änderungen wie das Hinzufügen von Filtern, die Anpassung von Metaprompts und das Finetuning von Modellen als substanzielle Modifikationen angesehen werden können.
4. Verlängerung der Ausschlussfrist
Die Novelle sieht auch eine effektive Verlängerung der Ausschlussfrist von 10 auf bis zu 25 Jahren vor. Besonders relevant für KI ist der Umstand, dass nun nicht nur die Produkte selbst, sondern auch substanziell modifizierte Produkte explizit erwähnt werden und deren Inverkehrbringen für den Beginn der Ausschlussfrist ausschlaggebend ist, Art. 14 Abs. 1 lit. b ProdHaftRL vor. Bei kontinuierlich selbstlernenden Maschinen bedeutet dies, dass eine strikte Dokumentation erforderlich ist. Ohne eine lückenlose Dokumentation könnte es passieren, dass die Ausschlussfrist effektiv niemals greift, was die Haftungsrisiken erheblich erhöht.
Handlungsbedarf für Anbieter von KI-Systemen
Achtung: Anbieter von KI-Systemen im Sinne des AI Acts sind als Hersteller im Sinne der Produkthaftungsrichtlinie einzuordnen. Somit kann nach derzeitigem Stand des Entwurfs der ProdHaftRL davon ausgegangen werden, dass Anbieter jeglicher KI-Systeme unabhängig von ihrer Risikoeinstufung von der Richtlinie betroffen sind.
Insgesamt besteht somit durch die Novelle erheblicher Handlungsbedarf für Anbieter von KI-Systemen. Unternehmen müssen ihre Entwicklungs- und Dokumentationsprozesse überprüfen und gegebenenfalls anpassen, um den neuen Anforderungen gerecht zu werden und Haftungsrisiken zu minimieren und die sie im Einzelfall ggf. treffende Beweislast erfüllen zu können.
II. Das kommt vielleicht: Die KI-Haftungsrichtlinie
Seit geraumer Zeit befindet sich die KI-Haftungsrichtlinie (KI-HaftRL) in der Planungs- und Konzeptionsphase, ein Entwurf der Europäischen Kommission liegt bereits seit dem 28.09.2022 vor. Diese Richtlinie, die noch nicht verabschiedet ist, soll als Ergänzung zur Produkthaftungsrichtlinie (ProdHaftRL) spezifische Vorschriften für Hochrisiko-KI-Systeme einführen und in Zukunft die Durchsetzung von Schadensersatzansprüchen erleichtern. Während die ProdHaftRL allgemeine Haftungsregelungen für alle Produkte, einschließlich KI-Systemen, festlegt, adressiert die KI-HaftRL die spezifischen Herausforderungen und Risiken, die mit Hochrisiko-KI-Systemen nach dem AI Act verbunden sind. Es ist jedoch noch unsicher, ob und wann die KI-HaftRL in ihrer aktuellen Form verabschiedet wird.
Fazit
Während Hersteller, Importeure und Lieferanten von KI nach aktueller Rechtslage noch von den allgemeinen Haftungsgrundsätzen, z.B. der beim Geschädigten liegende Beweislast, profitieren, müssen sie sich zeitnah mit den verschärften Haftungsregeln insbesondere der Produkthaftungsrichtlinie auseinandersetzen und in Bezug auf Hochrisiko-KI-Systeme ggf. mit den Anforderungen der KI-Haftungsrichtlinie (KI-HaftRL). Insbesondere mit Blick auf die Beweislastumkehr sind saubere Prozesse und Dokumentation erforderlich, um die eigene Haftung so überschaubar wie möglich zu halten.
To-Do’s für KI-Anbieter:
- Sicherstellen, dass alle Modifikationen und Updates von KI-Systemen lückenlos dokumentiert werden;
- Prozesse implementieren, die den neuen Anforderungen der ProdHaftRL (und soweit schon absehbar der KI-HaftRL) gerecht werden;
- regelmäßige Risikoanalysen durchführen, um potenzielle Haftungsrisiken frühzeitig zu erkennen und durch geeignete Maßnahmen zu minimieren;
- sicherstellen, dass Beschäftigte zur neuen Rechtslage und den damit verbundenen Pflichten und Verantwortlichkeiten geschult werden.
Wir begleiten Sie gerne durch diese komplexe und sich entwickelnde Rechtslandschaft. Mit unserer umfassenden Expertise im Bereich IT-Recht und KI und unserem praxisnahen Ansatz bieten wir Ihnen maßgeschneiderte Lösungen, um Ihre rechtlichen Risiken zu minimieren und Ihre Compliance sicherzustellen. Kontaktieren Sie uns, um sicherzustellen, dass Ihre KI-Produkte nicht nur innovativ, sondern auch rechtlich abgesichert sind.