Wer haftet, wenn die KI Fehler macht? Worauf Unternehmen achten sollten

Künstliche Intelligenz (KI) ist in aller Munde. Gerade im Alltag von Unternehmen und ihren Mitarbeiterinnen und Mitarbeitern gibt es immer mehr Anwendungen. Während sich einige Firmen bemühen, aufgrund der andernfalls gegebenen Datenschutzrisiken ihre Large Language Models oder andere Anwendungen vom Internet abzuschirmen, nehmen andere in Kauf, nicht zu wissen, was mit den Daten geschieht, die von Programmen wie ChatGPT zu Lernzwecken verarbeitet und gespeichert werden.
Allen Nutzungen von KI ist allerdings gemeinsam, dass Fehler passieren können. Diese können sich sowohl intern als auch extern auswirken und im schlimmsten Fall zu Verlusten bis zu Schadenersatzforderungen führen – insbesondere, wenn Rechte verletzt werden.
Die Fragestellung, was in einem solchen Fall passiert, besteht im Kern aus drei Teilen: künstliche Intelligenz, Schadenfälle und Haftung.
KI: Keine autonomen Entscheidungen
KI kann komplexe Aufgaben sehr schnell und mit höchster Zuverlässigkeit meistern. Aber KI kann keine Entscheidungen treffen, sie führt nur aus. Die autonomen Entscheidungen liegen immer bei dem Menschen, der sie einsetzen, aber auch stoppen kann, sowie bei den Programmierern und den Personen, die Daten für die Verknüpfung und weitere Bearbeitung bereitstellen.
Wenn Fehler passieren, kann also je nach Nutzung praktisch jeder Einzelne in einer Firma beteiligt sein. Unternehmen, die für ihre Tätigkeit KI benutzen und andere schädigen, haften demnach genauso, als hätten sie KI nicht eingesetzt. Eine „Enthaftung“ kommt hier (noch?) nicht in Betracht.
Schadenfälle durch KI: Vermögens-, Personen- und Sachschäden
Das zweite Element ist der Fehler, der zu einem Schaden führt. Dies können reine Vermögensschäden sein – etwa in Fällen, in denen Anwälte Schriftsätze von KI erstellen lassen und es nicht auffällt, dass diese zu „kreativ“ war und auch die vermeintlichen Fundstellen und Urteile zu Unterstützung des eigenen Standpunkts erfunden hat –, oder aber Personen- und Sachschäden.
Wird ein fremdes Recht beeinträchtigt, ordnet das Zivilrecht im Regelfall die Zahlung von Schadenersatz an; strafrechtlich droht unter Umständen eine Geld- oder Freiheitsstrafe. Sowohl bei den zivil- als auch den strafrechtlichen Sanktionen geht es um die Frage, wer für den Fehler verantwortlich gemacht werden kann.
Wenn ein Fehler zu einem Schaden führt, etwa, weil das Einparksystem ein Hindernis nicht erkennt, und der Fahrer selbst gegen das Hindernis fährt, fragt man schnell, wer für den Schaden einzustehen hat. Theoretisch könnten der Autohersteller, der Hersteller der Software oder die KI, die Hindernisse analysiert, infrage kommen. Doch nach wie vor gilt die – sehr unpopuläre – Regel: Im Zweifel muss derjenige einstehen, dem etwas passiert.
Wer eine Schramme in sein Auto gefahren hat, hat demnach selbst sein Vermögen vermindert. Wenn jemand ohne Fremdeinwirkung stürzt, hat sich sein allgemeines Lebensrisiko verwirklicht. Es ist grundsätzlich niemand Drittes dafür verantwortlich. Es sei denn – und das ist die entscheidende Ausnahme –, es gibt eine Rechtsnorm, die das Risiko abweichend verteilt. Auch dies zeigt, dass es bei den bisherigen Verantwortlichkeiten für Fehler bleibt, gleich ob KI im Spiel war oder nicht.
Haftungsfälle durch KI: Für einen fremden Schaden einstehen
Das bringt uns zum dritten Teil: Haftung bedeutet, dass jemand für einen fremden Schaden einstehen muss. Dafür gibt es im Kern drei Rechtfertigungen: ein vertragliches Versprechen (Versicherung), ein Fehlverhalten (Verschuldenshaftung) oder die Nutzung einer gefährlichen Sache, bei der man nicht nur die Vorteile ernten kann, sondern auch die Nachteile in Kauf nehmen muss (Gefährdungshaftung). Aus diesen drei Teilen ergibt sich folgende Antwort:
- KI hat keinen eigenen Willen. Sie ist kein Rechtssubjekt und haftet daher nicht selbst – das wäre auch sinnlos, weil eine KI kein Vermögen hat und keinen Ersatz leisten könnte. Strafrechtliche Verantwortung kann es in Deutschland nach dem Schuldprinzip ohnehin nur für Menschen geben.
- Bei der Nutzung von KI können Fehler auftreten. Entsteht dadurch ein Schaden, so trägt ihn grundsätzlich derjenige, dessen Rechtsgut beeinträchtigt wurde – außer die Rechtsordnung weist das Risiko jemand anderem zu. Faktisch ist es aber so, dass man sich durch die Nutzung von KI nicht von einer Schuld befreien kann. Im Gegenteil: Ein Unternehmen, das KI nutzt und dem in Zusammenhang mit der genutzten KI ein Fehler gegenüber Dritten unterläuft, muss auch für die Fehler der KI einstehen.
- Als Grund für eine Haftung kommt neben der fehlerhaften Nutzung auch in Betracht, dass die KI bereits fehlerhaft programmiert wurde. Aber auch der Hersteller haftet grundsätzlich nur für eigenes Verschulden und nur für Schäden, die überhaupt vorstellbar sind.
Das klingt kompliziert. Dass diese Grundregel aber gut vertraut ist, zeigt sich, wenn wir die KI durch einen Hund ersetzen: Wenn ein Hund ein Kind in die Hand beißt, ist es selbstverständlich, dass der Halter (und nicht der Hund) haftet. Warum eigentlich? Er haftet natürlich, wenn er seinem Hund keinen Maulkorb angelegt hat, obwohl er dazu verpflichtet war (Verschuldenshaftung). Das gilt auch, wenn sein zahmer Dackel aus heiterem Himmel zugebissen hat – nicht, weil er etwas falsch gemacht hat, sondern weil er Hundehalter ist (Gefährdungshaftung).
Dahinter steckt folgende Überlegung: Niemand muss einen Hund halten. Wer es dennoch tut, muss das Risiko tragen, dass der Hund einen Schaden anrichtet. Der Hund ist zivilrechtlich eine Gefahr, für die der Halter einzustehen hat. Einen relevanten Unterschied zwischen Hund und KI gibt es allerdings: Während man für sein Verschulden immer haftet, gibt es eine Gefährdungshaftung nur dort, wo ein Gesetz sie explizit anordnet, beispielsweise für den Kfz- oder Hundehalter. Aktuell gibt es noch keine Gefährdungshaftung für KI – das könnte sich aber natürlich schnell ändern.
Handlungsempfehlungen für Unternehmen
Was können Unternehmen also tun, um ihr aus KI folgendes Haftungsrisiko zu vermindern? Hierbei muss wiederum unterschieden werden nach eigenen – unternehmensinternen – Risiken und Risiken gegenüber Dritten.
Bereits vor Nutzung oder Einführung von KI müssen Unternehmen wissen, ob sich aus der Nutzung Gefahren ergeben können. Beispiel: Unternehmensgeheimnisse können beeinträchtigt werden, wenn die KI nicht als geschlossenes System betrieben wird, sondern aus dem Internet Informationen für die Antworten nutzt, sowie die jeweilige Arbeit als Referenz für weitere Antworten auch dort „hochlädt“. Unternehmen müssen zudem auch ausreichende Informationen über den Anbieter der KI-Tools besitzen – Stichwort etwa unsichere Drittstaaten.
In jedem Fall müssen Menschen die Ergebnisse von KI überprüfen. Dies ist analog zum allgemein anerkannten Vier-Augen-Prinzip auszugestalten. Wichtig ist, dass eine Überprüfung auf Plausibilität nicht ausreicht – aufgrund des Risikos, dass KI plausibel erscheinende Angaben „erfindet“, muss hier eine detaillierte Kontrolle stattfinden. Dazu gehört auch die Prüfung, ob es Referenzen oder Fundstellen wirklich gibt.
Sinnvoll ist es, vertragliche Vereinbarungen einschließlich Allgemeiner Geschäftsbedingungen aufzusetzen, die die Nutzung der KI ausweisen und – im Rahmen der gesetzlichen Möglichkeiten – die Haftung beschränken.
Zu guter Letzt sollten Unternehmen prüfen, ob die Haftung von einer Versicherung übernommen werden kann. Hierbei kommen sowohl Eigenschadendeckungen als auch die klassische Betriebshaftpflicht sowie Cyber- und IT-Versicherungen in Betracht.