Haftung bei KI-Fehlern

Künstliche Intelligenz (KI) trifft immer häufiger Entscheidungen mit realen Konsequenzen, ob bei der Einladung zu Bewerbungsgesprächen, bei der Bewertung von Leistungen oder im Bereich des Marketings.

Doch wenn grundsätzlich korrekte (oder schlimmer: fehlerhafte) Daten zu falschen Entscheidungen führen, stellt sich die Frage: „Wenn ein Algorithmus diskriminiert, ein Chatbot Falschinformationen gibt oder ein automatisierte Entscheidung rechtliche Folgen oder gar einen Schaden für die Betroffenen verursacht?“

Die rechtliche Herausforderung liegt nicht allein in der technischen Autonomie der Systeme, sondern im Umgang mit personenbezogenen Daten. Fehlerhafte oder diskriminierende KI-Entscheidungen verletzen häufig Datenschutzrechte Betroffener, insbesondere das Recht auf informationelle Selbstbestimmung nach der DSGVO.


Daten als Haftungsfaktor

KI-Systeme lernen aus Daten. Die Qualität und Rechtmäßigkeit dieser Daten ist entscheidend. Werden fehlerhafte, veraltete oder unzulässig erhobene Daten verwendet, entstehen nicht nur ethische, sondern auch rechtliche Risiken. Typische Haftungsszenarien sind:

  • Fehlerhafte Trainingsdaten führen zu diskriminierenden Ergebnissen, z. B. bei Bewerbungs-KIs.
  • Verstöße gegen die DSGVO beim Sammeln oder Verarbeiten personenbezogener Daten.
  • Unzulässige Profilbildung oder automatisierte Entscheidungsfindung ohne rechtliche Grundlage.

Jedes dieser Szenarien kann zivilrechtliche, datenschutzrechtliche oder aufsichtsrechtliche Konsequenzen auslösen.


Datenschutzrechtliche Haftung nach Art. 82 DSGVO

Die DSGVO sieht in Art. 82 ausdrücklich einen Schadensersatzanspruch für Betroffene vor, wenn ihre Rechte durch eine rechtswidrige Datenverarbeitung verletzt werden. Das bedeutet: Wenn ein KI-System personenbezogene Daten unrechtmäßig verarbeitet oder fehlerhafte Entscheidungen trifft, kann der Verantwortliche haftbar gemacht werden, und zwar unabhängig davon, ob der Fehler technisch oder organisatorisch bedingt war. Die Haftung greift auch dann, wenn der Verantwortliche nicht selbst die KI entwickelt, sondern sie nur einsetzt (siehe auch Begriffsbestimmung zu „Anbieter“ und „Betreiber“ unter EU AI Act (Verordnung zur KI).

Besonders kritisch sind automatisierte Entscheidungen i. S. d. Art. 22 DSGVO: Art. 22 DSGVO schützt Betroffene vor ausschließlich automatisierten Entscheidungen, die rechtliche Wirkung entfalten oder sie erheblich beeinträchtigen. Das betrifft insbesondere:

  • Bonitätsprüfungen
  • Entscheidungen im Arbeitsverhältnis, insbesondere Bewerbungsverfahren
  • Preis- und Rabattberechnungen

Beispiel (vereinfacht): Eine Bank nutzt eine KI, um die Kreditwürdigkeit von Kunden zu berechnen. Aufgrund fehlerhafter Datensätze wird ein Kunde fälschlich als „risikoreich“ eingestuft. Er erleidet einen finanziellen Nachteil. Die Bank haftet, weil die KI eine automatisierte Entscheidung mit Personenbezug getroffen hat.

Solche Systeme sind nur zulässig, wenn:

  • sie vertraglich erforderlich sind,
  • auf Einwilligung beruhen oder
  • gesetzlich erlaubt sind.

Zudem müssen Verantwortliche sicherstellen, dass:

  • eine menschliche Überprüfung möglich ist,
  • Betroffene über Logik, Tragweite und Folgen der Entscheidung informiert werden,
  • und sie ein Recht auf Widerspruch haben.

Diese Pflichten sind nicht bloße Formalitäten. Ihre Missachtung kann Bußgelder und Schadensersatzansprüche nach sich ziehen.


Fehlerhafte KI-Entscheidungen als Datenschutzverletzung

Ein KI-Fehler ist nicht nur ein technisches Problem, sondern kann eine Datenschutzverletzung i. S. d. Art. 4 Nr. 12 darstellen, insbesondere wenn falsche oder unzulässige Datenverarbeitungen stattfinden. Beispiele:

  • Ein KI-System speichert unberechtigt personenbezogene Daten.
  • Ein Algorithmus verarbeitet Daten außerhalb des ursprünglich festgelegten Zwecks.
  • Eine falsche automatisierte Entscheidung führt zu einem „Verlust der Kontrolle über eigene Daten“.

In solchen Fällen besteht eine Meldepflicht an die Aufsichtsbehörde (Art. 33 DSGVO) sowie ggf. eine Benachrichtigungspflicht gegenüber Betroffenen (Art. 34 DSGVO).


Verantwortlichkeit und Zurechnung

Die zentrale juristische Frage lautet also: „Wer ist ‚Verantwortlicher‘ i. S. d. DSGVO, wenn eine KI-Entscheidung fehlerhaft ist?“

Die Antwort hängt von der Einbindung der KI in den Geschäftsprozess ab:

Rolle Haftungsrisiko Beispiel
Entwickler /
Anbieter		 haftet für fehlerhafte Software oder unzulässige Datenverarbeitung im Training Trainingsdaten enthalten unrechtmäßig erhobene personenbezogene Daten.
Betreiber / Anwender haftet für unzulässige Nutzung oder mangelnde Kontrolle Unternehmen verwendet eine diskriminierende KI im Bewerbungsverfahren.
Auftragsverarbeiter haftet bei Verstoß gegen Weisungen oder mangelnde Datensicherheit IT-Dienstleister speichert personenbezogene Daten unverschlüsselt.


Handlungsempfehlungen für Unternehmen

Übergreifend: Datenschutz und Haftungsprävention

  1. Rechtsgrundlagen prüfen: Jede Datenverarbeitung braucht eine klare Grundlage nach Art. 6 DSGVO.
  2. Datenqualität sichern: Falsche oder diskriminierende Trainingsdaten sind zu vermeiden.
  3. Datenschutz-Folgenabschätzung durchführen: Risiken und Gegenmaßnahmen sind regelmäßig zu überprüfen.
  4. Transparenz schaffen: Betroffene müssen über den KI-Einsatz und die Entscheidungslogik informiert werden.
  5. Dokumentation und Nachweisführung: Alle Verarbeitungsschritte sind nachvollziehbar zu dokumentieren.
  6. Gesetzgebung: Aktuelle Rechtslage und Gesetzesänderungen sind im Auge zu behalten.

Organisatorische Maßnahmen (Auszug)

  • Einrichtung eines KI-Verantwortlichen oder interdisziplinären Compliance-Teams
  • Bestandsaufnahme der derzeitig eingesetzten Systeme und Anwendungen, ggf. bereits Audits und Modellüberprüfungen
  • Integration von Datenschutz und Haftung in bestehende IT-Governance-Strukturen

Die Haftung für KI-Fehler wird in Zukunft zunehmend vom Datenschutzrecht geprägt sein. Nicht der Algorithmus steht im Mittelpunkt, sondern die Verantwortung für die zugrunde liegenden Daten und Entscheidungsprozesse. Unternehmen, die den Datenschutz ernst nehmen, schaffen Rechtssicherheit und sichern sich einen entscheidenden Wettbewerbsvorteil im Zeitalter der Künstlichen Intelligenz. Wer KI verantwortungsvoll einsetzt, senkt nicht nur das Haftungsrisiko, sondern stärkt auch das Vertrauen von Kunden, Partnern und Behörden.


Unsere Leistungen im Bereich KI-Haftung und Datenschutz

  1. Rechtliche Beratung
    • Haftungsanalyse bei KI-Systemen
    • Datenschutz-Compliance nach DSGVO und AI Act
    • Gestaltung von Auftragsverarbeitungs- und Lizenzverträgen
  2. Technische und organisatorische Begleitung
    • Durchführung von Datenschutz-Folgenabschätzungen (DSFA)
    • Einrichtung interner Governance- und Kontrollsysteme
    • Entwicklung von Richtlinien für automatisierte Entscheidungen
  3. Vertretung und Compliance
    • Begleitung bei Prüfungen durch Aufsichtsbehörden
    • Verteidigung bei Schadensersatz- oder Bußgeldverfahren
    • Strategische Beratung bei der Einführung neuer KI-Technologien

+49 911 7903034

kontakt@it-rechtsberater.de


LinkedIn
Instagram

© 2025 IT-Rechtsberater – Kanzlei für IT-Recht und Datenschutz – Datenschutzbeauftragter. All rights reserved. Impressum I Datenschutzerklärung