Am 11. Februar 2025 verschwand ein Gesetz, das es nie gab. Im Arbeitsprogramm der Europäischen Kommission tauchte die KI-Haftungsrichtlinie, jene AI Liability Directive, die seit September 2022 das zivilrechtliche Gegenstück zum AI Act werden sollte, unter der lakonischen Rubrik „Rücknahmen“ auf. Begründung: keine absehbare Einigung. Zwei Tage zuvor hatte US-Vizepräsident JD Vance auf dem Pariser KI-Gipfel die europäische Regulierungsdichte als innovationsfeindlich gegeißelt, und obgleich ein kausaler Zusammenhang spekulativ bleibt, spricht der zeitliche Gleichlauf eine eigene Sprache. Was seitdem fehlt, ist nicht bloß ein legislativer Vorschlag unter vielen. Was fehlt, ist der Versuch einer gesamteuropäischen Antwort auf eine der drängendsten Fragen des digitalen Zeitalters: Wer zahlt, wenn eine Maschine entscheidet und ein Mensch den Schaden hat?
Das Versprechen der AILD
Der Richtlinienentwurf von 2022 war als zweite Säule gedacht. Die erste Säule, der AI Act, sollte mit seinen Risikoklassen, Verboten und Compliance-Pflichten verhindern, dass gefährliche KI-Systeme überhaupt auf den Markt gelangen. Die AILD sollte das Auffangnetz spannen für die Fälle, in denen das Verhindern nicht gelungen ist. Im Kern ging es um zwei prozedurale Instrumente: einen Auskunftsanspruch gegen Anbieter und Betreiber von KI-Systemen sowie eine widerlegliche Kausalitätsvermutung zugunsten Geschädigter. Letztere war die eigentliche Innovation. Sie sollte das chronische Beweisproblem lösen, das jedem Haftungsfall mit KI-Beteiligung innewohnt und das in der Literatur unter dem Schlagwort der „Black Box“ firmiert: Wer nicht nachvollziehen kann, warum ein Algorithmus zu einem bestimmten Ergebnis gelangt ist, kann auch nicht beweisen, dass genau diese algorithmische Entscheidung den Schaden verursacht hat.
Die Kommission hatte sich dabei bewusst gegen eine verschuldensunabhängige Gefährdungshaftung entschieden. Die AILD wollte kein neues Haftungsregime schaffen, sondern das bestehende Verschuldensprinzip der Mitgliedstaaten durch prozedurale Hilfsmittel ergänzen. Dieser zurückhaltende Ansatz war politisch kalkuliert, doch er erwies sich als Achillesferse. Parlament und Rat konnten sich nicht auf den Umfang der Beweiserleichterungen einigen, die Wirtschaft warnte vor einer Klagewelle, und die Mitgliedstaaten fürchteten um die Kohärenz ihrer nationalen Haftungsdogmatik.
Aufgerissene Lücke
Was nach der Rücknahme bleibt, ist ein Regelungsvakuum, dessen Konturen sich erst bei genauerer Betrachtung zeigen. Der AI Act, seit August 2024 schrittweise in Kraft, ist ein Präventionsgesetz. Er ordnet Risikoklassen zu, verlangt Konformitätsbewertungen und verbietet bestimmte Praktiken, aber er sagt nichts darüber, wer einem Geschädigten Schadensersatz schuldet, wenn trotz aller Compliance ein KI-System versagt. Diese Lücke sollte die AILD füllen. Nun muss sie von 27 nationalen Rechtsordnungen gefüllt werden, die sich in ihren Grundstrukturen zum Teil erheblich unterscheiden.
In Deutschland greift bei fehlerhaften Produkten das Produkthaftungsgesetz, das auf der europäischen Produkthaftungsrichtlinie basiert und eine verschuldensunabhängige Haftung des Herstellers vorsieht. Daneben steht das allgemeine Deliktsrecht mit seinem Verschuldenserfordernis. Frankreich kennt eine weiter gefasste verschuldensunabhängige Haftung für die Wirkung von Sachen, die im Fall autonomer Systeme herangezogen werden könnte. Einige osteuropäische Rechtsordnungen operieren mit dem Konzept der „ultrahazardous activities“, das auf hochriskante KI-Systeme anwendbar sein mag. Das Ergebnis ist ein Flickenteppich, dessen Muster sich je nach Grenzübertritt verändert. Ein Unternehmen, das denselben KI-gestützten Dienst in allen 27 Mitgliedstaaten anbietet, muss sich auf 27 verschiedene Haftungsregime einstellen. Ein Geschädigter, der denselben Schaden durch dasselbe System erleidet, hat je nach Wohnsitz unterschiedliche Aussichten auf Entschädigung.
Reformierte Produkthaftung als Teilantwort
In der Diskussion um die Rücknahme der AILD fiel regelmäßig der Verweis auf die reformierte Produkthaftungsrichtlinie (EU) 2024/2853, die im Dezember 2024 in Kraft trat und bis zum 9. Dezember 2026 in nationales Recht umzusetzen ist. Die Richtlinie erweitert den Produktbegriff ausdrücklich auf Software und damit auch auf KI-Systeme; Anbieter von KI-Systemen gelten künftig als Hersteller im Sinne des Produkthaftungsrechts, unabhängig davon, ob die KI lokal, cloudbasiert oder als Software-as-a-Service bereitgestellt wird. Neue Beweiserleichterungen erlauben es Geschädigten, bei „übermäßiger Komplexität“ des Produkts eine gerichtliche Vermutung der Fehlerhaftigkeit zu erwirken, und Offenlegungspflichten sollen den Zugang zu technischen Informationen erleichtern.
Der Handelsverband Deutschland begrüßte die Rücknahme der AILD deshalb als Zeichen regulatorischer Vernunft: Die reformierte Produkthaftung reiche aus, zusätzliche Haftungsregeln seien ein Innovationshemmnis, und Regelungslücken seien in der Praxis bislang nicht aufgetreten.
Doch diese Sichtweise blendet strukturelle Schwächen aus, auf die eine im Juli 2025 vom Europäischen Parlament in Auftrag gegebene Studie eindringlich hinweist. Die Produkthaftungsrichtlinie behält die sogenannte Entwicklungsrisikoverteidigung bei, die es Herstellern erlaubt, der Haftung zu entgehen, wenn ein Produktfehler nach dem Stand von Wissenschaft und Technik zum Zeitpunkt des Inverkehrbringens nicht erkennbar war. Bei selbstlernenden KI-Systemen, deren Verhalten sich nach dem Inverkehrbringen durch Interaktion mit Nutzerdaten weiterentwickelt, untergräbt diese Verteidigung das Haftungsversprechen von Grund auf: Ein System, das beim Inverkehrbringen fehlerfrei war, kann durch seinen Lernprozess Monate später Schäden verursachen, für die niemand einstehen muss.
Hinzu kommt, dass die Produkthaftungsrichtlinie nur den Schutz abdeckt, den man „vernünftigerweise erwarten“ darf. Reine Leistungsmängel, etwa eine medizinische Diagnosesoftware, die eine Fehldiagnose liefert, oder ein Chatbot, der im Kundenservice falsche Rechtsauskünfte erteilt, fallen nicht unter diesen Fehlerbegriff, solange das System die physische Sicherheit nicht gefährdet. Und schließlich schließt die Richtlinie Schäden am fehlerhaften Produkt selbst aus, was ausgerechnet bei den teuersten und komplexesten KI-Anwendungen wie autonomen Fahrzeugen den Anreiz zur Klage erheblich reduziert, denn dort entsteht der größte Schaden typischerweise am Fahrzeug selbst.
Die stille Macht des Effektivitätsgrundsatzes
Ist die Haftung für KI-Schäden außerhalb der Produkthaftungsrichtlinie damit reine Sache der Mitgliedstaaten? Eine Analyse der Juristin Deimante Rimkute vom Max-Planck-Institut für ausländisches und internationales Privatrecht, veröffentlicht auf dem Oxford Business Law Blog, kommt zu einem überraschenden Ergebnis: Auch ohne die AILD bleibt das Unionsrecht relevant, und zwar über den Grundsatz der effektiven Durchsetzung.
Das Argument verläuft wie folgt: Der AI Act definiert Sorgfaltspflichten für Anbieter und Betreiber von KI-Systemen. Wenn ein Geschädigter vor einem nationalen Gericht geltend macht, dass die Verletzung einer solchen Sorgfaltspflicht seinen Schaden verursacht hat, handelt es sich nicht um einen rein nationalen Haftungsfall, sondern um einen Fall des EU-Deliktsrechts. Der EuGH hat in den Rechtssachen Crehan und Manfredi klargestellt, dass Geschädigte einen Anspruch auf Schadensersatz haben müssen, wenn der Schaden aus einer Verletzung von Unionsrecht resultiert, und dass nationale Verfahrensregeln diesen Anspruch nicht praktisch unmöglich machen dürfen.
Aus diesem Effektivitätsgrundsatz folgt für die Praxis ein erstaunliches Ergebnis: Nationale Gerichte werden bei KI-Haftungsfällen mit Bezug zum AI Act auf Beweiserleichterungen zurückgreifen müssen, die in ihrem Ergebnis dem entsprechen, was die zurückgezogene AILD kodifizieren wollte. Die Doktrin des res ipsa loquitur, die Beweislastumkehr bei Produktfehlern im deutschen Recht und die französische Methode des Beweises durch Ausschluss liefern dafür die dogmatischen Anknüpfungspunkte. Die AILD hätte also keine revolutionäre Neuerung geschaffen, sondern vorhandene Grundsätze des nationalen Rechts in einen kohärenten europäischen Rahmen gegossen. Dass dies nicht gelungen ist, bedeutet keineswegs, dass die Grundsätze selbst verschwinden. Es bedeutet nur, dass ihre Anwendung uneinheitlich, unvorhersehbar und von der Rechtstradition des jeweiligen Mitgliedstaates abhängig bleibt.
Die Maschinenverordnung und das Zusammenspiel der Regelwerke
Wer die Haftungsfrage isoliert betrachtet, übersieht einen weiteren Aspekt: die zunehmende regulatorische Verdichtung im Produktsicherheitsrecht, die mittelbar auf die Haftung zurückwirkt. Die ab dem 20. Januar 2027 geltende EU-Maschinenverordnung verpflichtet Hersteller erstmals, bei der Risikobeurteilung auch Gefährdungen zu berücksichtigen, die sich aus selbstentwickelndem Verhalten oder einer selbstentwickelnden Logik im Rahmen eines autonomen Betriebs ergeben. Maschinen mit sicherheitsrelevanten KI-Systemen unterliegen einem Konformitätsbewertungsverfahren unter Einbeziehung notifizierter Stellen, und sie gelten kraft Gesetzes als Hochrisiko-KI-Systeme im Sinne des AI Act. Der Cyber Resilience Act, ab Dezember 2027 anwendbar, ergänzt Anforderungen an die Cybersicherheit vernetzter Produkte und statuiert eine Pflicht zu kostenlosen Sicherheitsupdates über mindestens fünf Jahre.
Dieses Zusammenspiel hat haftungsrechtliche Sprengkraft: Die reformierte Produkthaftungsrichtlinie bestimmt, dass ein Produkt als fehlerhaft gilt, wenn es nicht die Sicherheit bietet, die nach Unionsrecht vorgeschrieben ist, was ausdrücklich sicherheitsrelevante Cybersicherheitsanforderungen umfasst. Wenn also ein Maschinenhersteller die Cybersicherheitsvorgaben des Cyber Resilience Act oder die KI-spezifischen Anforderungen der Maschinenverordnung nicht einhält, begründet dies nicht nur einen öffentlich-rechtlichen Verstoß, sondern unmittelbar einen Produktfehler im Sinne der zivilrechtlichen Haftung. Der Hersteller, der ein Sicherheitsupdate unterlässt, liefert nicht nur der Marktüberwachungsbehörde einen Anlass zum Einschreiten, sondern jedem Geschädigten einen Anspruchsgrund.
Das Paradox der Deregulierung
Die Rücknahme der AILD wird gern als Akt der Regulierungszurückhaltung dargestellt, als Befreiungsschlag gegen eine europäische Regelungswut, die Innovation ersticke. Tatsächlich ist das Gegenteil der Fall. Die Kommission hat nicht weniger Regulierung geschaffen, sondern weniger Klarheit. Die Haftungsfrage verschwindet nicht dadurch, dass man sie nicht regelt. Sie verlagert sich lediglich: von der Legislative auf die Judikative, von Brüssel in 27 nationale Hauptstädte, von der politischen Gestaltung in die richterliche Rechtsfortbildung.
Für Unternehmen bedeutet das nicht weniger Regulierung, sondern mehr Unsicherheit. Wer ein KI-System in mehreren Mitgliedstaaten vertreibt, muss ohne harmonisierte Haftungsregeln die nationalen Haftungsrisiken jedes einzelnen Marktes bewerten und managen. Für Geschädigte bedeutet es nicht weniger Schutz per Gesetz, sondern höhere Prozesskosten und ungewisse Erfolgsaussichten, abhängig davon, ob der zuständige Richter die Black-Box-Problematik versteht und bereit ist, Beweiserleichterungen zu gewähren, die kein Gesetzgeber kodifiziert hat.
Die Studie des Europäischen Parlaments zieht daraus eine klare Schlussfolgerung: Was Europa braucht, ist eine risikobasierte Gefährdungshaftung für Hochrisiko-KI-Systeme, die den Geschädigten von der oft unmöglichen Aufgabe befreit, Verschulden und Kausalität im Inneren einer Black Box nachzuweisen. Diese Empfehlung geht bewusst über den Ansatz der AILD hinaus, die sich auf prozedurale Hilfsmittel beschränken wollte. Die Studienautoren argumentieren, dass nur eine materiell-rechtliche Haftungsnorm die Fragmentierung überwinden kann, die aus der bloßen Harmonisierung von Beweisregeln nicht beseitigt werden kann, weil die zugrunde liegenden nationalen Verschuldenskonzepte zu unterschiedlich sind.
Die Perspektive aus Berlin
In Deutschland wird die Haftungslücke zunächst durch das ab Dezember 2026 geltende neue Produkthaftungsgesetz gemildert, das die EU-Produkthaftungsrichtlinie umsetzt und KI-Systeme explizit als Produkte erfasst. Für den Bereich des autonomen Fahrens existiert mit der verschuldensunabhängigen Halterhaftung nach Paragraph 7 StVG bereits ein bewährtes Instrument, das auch bei Level-5-Automatisierung greift. Doch für die weite Welt der nicht-verkehrsbezogenen KI-Anwendungen, vom medizinischen Diagnosesystem über den algorithmischen Kreditscoring-Dienst bis zum industriellen Cobot, bleibt es beim allgemeinen Deliktsrecht mit seinem Verschuldenserfordernis und seinen Beweislasten, die gerade bei KI-Systemen prohibitiv wirken können.
Das deutsche Haftungsrecht gilt zwar als theoretisch lückenlos, ein Grundsatz, den die Rechtsprechung über Jahrhunderte herausgearbeitet hat. Doch diese theoretische Lückenlosigkeit stößt bei selbstlernenden, autonom agierenden Systemen an praktische Grenzen, die nicht geringer werden, sondern mit zunehmender Verbreitung und Komplexität von KI wachsen. Die Herstellerhaftung nach Paragraph 823 Absatz 1 BGB setzt voraus, dass der Geschädigte ein konkretes Verschulden nachweist, und die Produzentenhaftung mit ihrer Beweislastumkehr für das Verschulden hilft nur bedingt, wenn der Fehler nicht in der Konstruktion liegt, sondern im Lernprozess nach dem Inverkehrbringen entstanden ist.
Regulatorisches Fragezeichen
Die Rücknahme der KI-Haftungsrichtlinie markiert keinen Schlussstrich unter die Debatte. Sie markiert den Beginn einer Übergangsphase, in der die Haftung für KI-Schäden von Fall zu Fall, von Gericht zu Gericht und von Mitgliedstaat zu Mitgliedstaat unterschiedlich beurteilt werden wird. Die Kommission hat sich die Möglichkeit vorbehalten, einen neuen Vorschlag vorzulegen oder einen anderen Ansatz zu wählen. Ob sie davon Gebrauch macht, ist offen.
Gewiss ist nur, dass die technische Entwicklung nicht auf den Gesetzgeber wartet. Während Europa seine Haftungsfrage vertagt, werden KI-Systeme in der medizinischen Diagnostik, in der industriellen Fertigung, im Finanzsektor und im Straßenverkehr in einem Tempo ausgerollt, das die Wahrscheinlichkeit schadensträchiger Fehler nicht sinken lässt. Jeder einzelne dieser Fälle wird vor einem Gericht landen, das ohne harmonisierte Regeln entscheiden muss. Die Frage, ob es dem Geschädigten gelingt, in der Black Box seines algorithmischen Gegenübers den Beweis für Verschulden und Kausalität zu finden, wird dann zur Lotterie, deren Ausgang weniger von der Stärke des Anspruchs abhängt als vom Zufall der Zuständigkeit.
Die AILD wäre kein perfektes Gesetz gewesen. Ihre Kritiker hatten recht, dass prozedurale Hilfsmittel allein die strukturellen Defizite heterogener nationaler Haftungsregime nicht heilen können. Doch die Antwort auf ein unvollkommenes Gesetz kann nicht sein, gar keines zu haben. Europa hat mit dem AI Act gezeigt, dass es den regulatorischen Willen aufbringt, KI-Systeme vor ihrem Markteintritt zu regulieren. Dass es denselben Willen bei der Frage aufbringt, was nach einem Schadenseintritt geschieht, steht noch aus.
Er beschäftigt sich intensiv im technologischen Bereich mit Fragen der Softwareentwicklung, KI und Robotik - nicht nur als Jurist, sondern eben auch selbst als Entwickler. In diesem Blog werden Inhalte vor allem rund um Robotik bzw. Roboterrecht und ergänzend zum Thema K geteiltI. Es werden Unternehmen im gesamten IT-Recht beraten und vertreten, dies vor allem strategisch und nicht juristisch nach "Schema F".
- KI-Haftungsrichtlinie 2026: Wie geht es in der KI-Haftung nun weiter? - März 4, 2026
- Physical AI - Februar 27, 2026
- EU-Maschinenverordnung (Verordnung über sichere Maschinenprodukte 2027) - Januar 1, 2026
