Grundsätzlich haftet das Unternehmen als Arbeitgeber beziehungsweise Betreiber des KI-Systems. KI ist kein eigenes Rechtssubjekt und kann nicht „selbst“ haften. Entscheidend ist, dass der Unternehmer Organisation, Auswahl und Einsatz der Systeme verantwortet. Dazu gehört insbesondere, dass KI rechtmäßig eingesetzt, überwacht und korrekt in Arbeitsabläufe integriert wird. Der EU-AI-Act verschärft diese Verantwortung: Unternehmen müssen – abhängig vom Risikoniveau der Systeme – Dokumentations-, Transparenz- und Überwachungspflichten erfüllen sowie Mitarbeiter im Umgang mit KI schulen. Fehlerhafte Implementierung oder unzureichende Kontrolle können deshalb nicht nur zu zivilrechtlichen Haftungsansprüchen, sondern auch zu aufsichtsrechtlichen Sanktionen führen.
Regress gegenüber Mitarbeitern
Entsteht einem Dritten Schaden und nimmt dieser das Unternehmen in Anspruch, stellt sich regelmäßig die Frage nach internem Regress. Hier greift jedoch die arbeitsrechtliche Haftungsprivilegierung. Nach § 619a BGB trägt der Arbeitgeber die Darlegungs- und Beweislast dafür, dass Beschäftigte vorsätzlich oder grob fahrlässig gehandelt haben.
Bei leichter Fahrlässigkeit haften Arbeitnehmer grundsätzlich nicht. Bei mittlerer Fahrlässigkeit kommt eine Quotelung in Betracht, während volle Haftung den Ausnahmefall grober Fahrlässigkeit oder Vorsatzes voraussetzt. Dies gilt gleichermaßen für Bedienfehler („Prompting“) wie für Kontrollversäumnisse bei der Prüfung von KI-Ergebnissen. Praktisch bedeutet das: Unternehmer können sich im Regelfall nicht auf eine einfache Durchleitung von Haftungsrisiken an Mitarbeiter verlassen. Das Unternehmerrisiko verbleibt überwiegend beim Arbeitgeber.
Organpflicht der Geschäftsführung
Besondere Bedeutung erhält die Frage auf Leitungsebene. Geschäftsführung und Vorstand müssen ein angemessenes Compliance- und Risikomanagementsystem implementieren, das auch den Einsatz von KI umfasst. Dazu zählen Policies, Zuständigkeiten sowie interne Kontroll- und Freigabeprozesse. Wird dies schuldhaft unterlassen, kann eine persönliche Innenhaftung gegenüber der Gesellschaft drohen.
Handlungsempfehlungen
Unternehmen sollten den KI-Einsatz strukturiert regeln:
• klare Richtlinien für Nutzung, Einsatzbereiche und Freigabeprozesse
• Schulungen der Beschäftigten im Umgang mit KI-Tools
• Dokumentation von Prompts, Entscheidungen und Ergebnissen bei höherem Risiko
• Definition von Verantwortlichkeiten für Prüfung und Freigabe
• Prüfung von Versicherungslösungen (z. B. Cyber- oder Vermögensschadenhaftpflicht)
KI eröffnet Chancen, verändert aber die Haftungslandschaft. Unternehmer bleiben primär verantwortlich für Auswahl, Einsatz und Kontrolle der Systeme. Die arbeitsrechtliche Haftungsprivilegierung schützt Mitarbeiter und begrenzt Regressmöglichkeiten. Wer KI nutzen will, sollte deshalb nicht nur technisch investieren, sondern auch in Governance, Schulung und Compliance-Strukturen.