Haftung beim Einsatz von KI nach geltendem Zivilrecht
Die Haftungsfrage beim Einsatz von KI bringt zwar neue Detailfragen mit sich, stellt das deutsche Zivilrecht aber nicht vor grundlegende Herausforderungen. Da durch den Einsatz von KI-Systemen grundsätzlich keine neuen Haftungssubjekte entstehen, werden primär die Anbieter und Betreiber eines KI-Systems gegenüber Endkunden haften. Hier wird man sich voraussichtlich auf Sorgfaltspflichtverstöße bei der Programmierung, Implementierung und Überwachung der Systeme stützen. Offen ist noch, ob Gerichte in sensiblen Bereichen bereits die Implementierung eines nur schwer überprüf- und steuerbaren KI-Systems, dessen Tendenz zum Halluzinieren hinlänglich bekannt ist, als Sorgfaltspflichtverstoß einstufen werden. Dadurch könnte eine richterrechtliche Gefährdungshaftung entstehen, die keinen konkreten Verschuldensnachweis voraussetzt.
Wenn KI-Systeme traditionell menschliche Dienstleistungen übernehmen oder etablierte Formen der Informationsdarstellung ersetzen, werden dadurch ausgelöste Haftungstatbestände kaum umgangen werden können. Die Frage der Haftung wird zunächst insbesondere dort relevant werden, wo Unternehmen bereits heute KI-Anwendungen einsetzen:
1. Haftung für KI-Chatbots?
Unternehmen können etwa haften, wenn ein Chatbot und nicht eine Mitarbeiterin oder eine FAQ-Seite einem Kunden Fehlinformationen mitteilt – wie ein kanadisches Gericht im Frühjahr 2024 festgestellt hat. Das Gericht entschied, dass Unternehmen in vollem Umfang für die auf ihrer Website bereitgestellten Informationen verantwortlich seien. Das gelte unabhängig davon, ob diese auf statischen Seiten abrufbar seien oder durch einen integrierten KI-Chatbot generiert wurden. Die Betreiberin der Website musste daher Schadensersatz leisten. Auch wenn das Urteil auf kanadischem Recht beruht, sind die dahinterstehenden Wertungen wohl ins deutsche Recht übertragbar. Ein deutsches Gericht könnte – je nach Fallgestaltung im Detail – in einem ähnlich gelagerten Fall ebenfalls ein fahrlässiges Verhalten des Unternehmens feststellen und Vertrauensschadensersatz zusprechen, wenn ein Chatbot implementiert wurde ohne sicherzustellen, dass dieser keine falschen Informationen verbreitet.
2. Haftung für falsche Analysen oder Prognosen?
Angesichts der weit verbreiteten Begeisterung für die Fähigkeiten der hinter den zahlreichen KI-Chatbots stehenden Large Language Models ist in der öffentlichen Wahrnehmung ein Feld fast aus dem Blick geraten, in dem KI-Anwendungen schon seit Jahren beeindruckende Ergebnisse erzielen: Analysen oder Prognosen auf Grundlage großer Datenmengen (Stichwort: Big Data). Viele Unternehmen setzen bereits hochspezialisierte KI-Systeme ein, um Entscheidungsprozesse zu verbessern, Vorgänge effizienter zu gestalten und Ressourcen zu schonen. Die Anwendungsbereiche reichen vom Einkaufsmanagement bis zur effizienten Organisation von Instandhaltungsmaßnahmen (sog. predictive maintenance).
Sollte das KI-System aber im Einzelfall Fehler machen, wird zwangsläufig auch eine Diskussion über mögliche Sorgfaltspflichtverletzungen beim Einsatz der KI-Anwendung anstelle menschlicher Entscheidungsträger entstehen. Neben allgemeinen zivilrechtlichen Erwägungen wird man abhängig vom Einsatzbereich eines Chatbots auch auf spezialgesetzliche Rechtsprechung zurückgreifen können. So wird dann zu prüfen sein, ob die etablierte Rechtsprechung zur Anlageberatungshaftung auch auf KI-Anwendungen übertragbar ist, die Bankkunden Investmentvorschläge unterbreiten. Derzeit scheint ein solcher Fall in Deutschland zwar noch schwer vorstellbar. Ein entsprechender Chatbot wurde aber im Herbst 2024 von einer Aufsichtsbehörde in Israel genehmigt.
3. Haftung bei Schäden aufgrund von autonom agierenden Maschinen?
Daneben wird es zwangsläufig auch beim Einsatz von KI-Systemen „im echten Leben“, also in Form von (teil-)autonom agierenden Maschinen, Haftungsfragen geben. Todesfälle im Straßenverkehr unter Beteiligung von hoch- oder vollautonomisierten Fahrzeugen sind in Deutschland zwar bisher nicht bekannt geworden. Es wird sich aber – selbst wenn die KI-Systeme in den meisten Situationen tatsächlich besser agieren als Menschen – nicht verhindern lassen, dass Menschen oder Sachen durch autonome Maschinen wie Fahrzeuge, Flugzeuge, Roboter oder andere KI-gesteuerte Produkte zu Schaden kommen. Auch in diesen Fällen wird es maßgeblich darauf ankommen, auf welcher Entscheidungsgrundlage der Einsatz der konkreten KI-Anwendung erfolgte, wie die Entwicklung gestaltet wurde, wie die Maschine überwacht wurde und welche Maßstäbe in der jeweiligen Industrie anzulegen sind.
4. Managementhaftung beim (Nicht-)Einsatz von KI-Systemen?
In den genannten Bereichen stellt sich auch die Frage, inwiefern das Management eines Unternehmens gegenüber dem Unternehmen haftet, wenn es zu Fehlern beim Einsatz oder der Entwicklung von KI-Systemen kommt. Der Geschäftsleitung ist zwar im Rahmen der Business Judgment Rule ein weiter Gestaltungsspielraum bezüglich der Auswahl und des Einsatzes von KI-Systemen zuzugestehen. Erleidet das Unternehmen aber im Zusammenhang mit dem Einsatz eines KI-Systems Schäden, stellt sich die Frage, ob die Geschäftsleitung die richtige KI-Anwendung ausgewählt und die Überwachung sichergestellt hat. Auch der umgekehrte Fall ist aber denkbar: Entscheidet sich die Geschäftsleitung gegen den Einsatz eines KI-Systems, könnte der Vorwurf erhoben werden, nachteilige Folgen für das Unternehmen hätten bei Berücksichtigung von KI-Expertise verhindert oder jedenfalls minimiert werden können.
Nach bestehendem deutschen Recht lassen sich also die meisten Sachverhalte bereits gut erfassen. Die Bewertung im Einzelfall wird vor allem davon abhängen, ob Unternehmen, die KI-Systeme einsetzen, ein Sorgfaltspflichtverstoß vorzuwerfen ist. Zur Konkretisierung der Sorgfaltspflichten ist künftig vor allem der europäischen Regulierungsrahmen zu beachten.
Mögliche Ausweitung der Haftung durch EU-KI-Gesetzgebung
Die EU ist derzeit im Bereich der KI-Regulierung sehr aktiv. Neben der intensiv diskutierten KI-Verordnung („AI Act“) hat sie zudem KI-Systeme in den Anwendungsbereich der neuen Produkthaftungsrichtlinie aufgenommen und plant eine KI-Haftungsrichtlinie. Das Regelwerk führt je nach KI-System zu teils umfangreichen Handlungspflichten und dürfte für verschiedene Haftungsfälle relevant werden:
Am 1. August 2024 ist der AI Act in Kraft getreten, der umfassende Vorschriften für Betreiber von KI-Systemen und für die Nutzung der von KI-Systemen erzeugten Ergebnisse enthält. Durch den AI Act wurden zwar keine neuen zivilrechtlichen Haftungstatbestände geschaffen. Für Haftungsstreitigkeiten dürfte er dennoch zentrale Bedeutung erlangen: Gerichte werden die neuen Pflichten in Haftungsfällen berücksichtigen müssen, um Art und Maß der anzuwendenden Sorgfalt zu konkretisieren. Außerdem könnten einzelne Normen des AI Act zugunsten der Nutzer drittschützend sein. Dies würde Geschädigten die Tür öffnen, neben vertraglichen Ansprüchen auch deliktische Schadensersatzansprüche nach § 823 Abs. 2 BGB aufgrund einer Schutzgesetzverletzung geltend zu machen.
Zudem hat der Rat Anfang Oktober 2024 auch eine neue Produkthaftungsrichtlinie verabschiedet, die eine verschuldensunabhängige Haftung für fehlerhafte Software und damit auch KI-Systeme vorsieht. Die Richtlinie erfasst Körper- und Sachschäden sowie die Beschädigung von Daten. Neben den oben bereits erwähnten autonom agierenden Maschinen sind dabei insbesondere auch Fälle denkbar, in denen KI-Anwendungen z. B. im Rahmen medizinischer Beratung, bei Behandlungen oder Produkten aller Art eingesetzt wird und durch Fehlinformationen oder -funktionen Gesundheits- oder Sachschäden verursacht werden. Die Produkthaftungsrichtlinie enthält widerlegbare Vermutungen und Herausgabe- bzw. Auskunftsansprüche, die den an sich beweisbelasteten Geschädigten bei der Durchsetzung ihrer Ansprüche helfen sollen.
Ähnliche Regelungen werden auch für die angedachte KI-Haftungsrichtlinie diskutiert: Darin sollen einheitliche Regelungen für die zivilrechtliche Haftung bei durch KI verursachte Schäden festlegen werden. Das würde außerhalb des bereits bestehenden Produkthaftungsrechts zu einer deutlichen Verschärfung des Haftungsregimes in Deutschland führen. Da das Gesetzgebungsverfahren gerade nicht aktiv vorangetrieben wird, bleibt allerdings abzuwarten, ob, wann und wie eine KI-Haftungsrichtlinie tatsächlich erlassen wird.
Handlungsbedarf
Angesichts der regulatorischen Entwicklung einschließlich empfindlichen Bußgeldern, der neuen Rechtsfragen und vor allem der rasanten technischen Fortschritte und unternehmerischen Möglichkeiten ist zu erwarten, dass es auch im Bereich der KI-Systeme in absehbarer Zeit zu Haftungs- und Schadensersatzklagen kommen wird. Aufgrund der Skalierbarkeit von KI-Systemen und der darum entstehenden Geschäftsmodelle, sind in Deutschland sowohl im B2B-Bereich als auch im B2C-Bereich in diesem Zusammenhang sowohl Einzelklagen als auch Massenklagen denkbar. Es muss aber auch an Regressansprüche z. B. gegen Zulieferer oder das Management von Unternehmen gedacht werden. Neben dem regulatorischen Druck u. a. durch den AI Act sollten Unternehmen deshalb bereits jetzt handeln, um auch zivilrechtliche Haftungsrisiken künftig zu minimieren:
- Compliance: Die regulatorischen Vorgaben und neue Gerichtsentscheidungen sollten verfolgt und eingehalten werden. Wenn sich Unternehmen compliant mit konkreten Vorgaben zum Einsatz von KI-Systemen verhalten, wird man ihnen insofern kaum einen überzeugenden Fahrlässigkeitsvorwurf machen können.
- Einrichtung und Überwachung: Der Anwendungsbereich eines KI-Systems sollte klar definiert und systemisch begrenzt werden. Testläufe vor dem Roll-out und eine fortlaufende Überwachung der Systeme, aber insbesondere auch der Vorlieferanten und der gesamten KI-Supply-Chain sind unerlässlich.
- Fundierte Entscheidungsprozesse und sorgfältige Dokumentation: Angesichts der grundlegenden Bedeutung von KI-Systemen und der aufgezeigten (Management-)Haftungsrisiken sollten Geschäftsleitung und Rechtsabteilung in alle wesentlichen Entscheidungen und Prüfungen eingebunden werden. Sowohl mit Blick auf die bestehende Verschuldensvermutung einer (vor )vertraglichen Schadensersatzhaftung als auch eine Kausalitätsvermutung de lege ferenda müssen Unternehmen in der Lage sein, sorgfältiges Vorgehen nachzuweisen. Die umfangreichen Dokumentationspflichten im AI Act können dafür eine gute Grundlage liefern. Zudem sollte erwogen werden, inwiefern der Zugriff auf entsprechende Dokumentation bei Zulieferern sichergestellt werden kann.
Haftungsfragen für Schäden durch KI-Systeme werden künftig sowohl in Deutschland als auch international immer relevanter werden. Das deutsche Zivilrecht und der AI Act bieten zwar bereits solide Grundsätze, aber vor allem die richterliche Rechtsfortbildung wird Klarheit schaffen. Angesichts des dynamischen Rechtsrahmens, möglicher Haftungsverschärfungen und der zunehmenden Relevanz von KI ist eine sorgfältige Compliance unerlässlich, um Haftungsrisiken zu minimieren. Wichtig ist in diesem Zusammenhang außerdem, die bestehenden Möglichkeiten zur Haftungsbegrenzung (durch ausdrückliche Sicherheitshinweise oder in AGBs) zu nutzen und den eigenen Versicherungsschutz zu prüfen und ggfs. anzupassen.
