Ethik & Verantwortung KI-Grundlagen Recht & Compliance

EU-Produkthaftung für KI: Europa geht konsequent seinen eigenen Weg

MartinTBln 13. September 2025

TL;DR Zusammenfassung

Während die USA unter Trump KI-Regulierung als Innovationshemmnis betrachten, setzt Europa konsequent auf Verbraucherschutz und klare Haftungsregeln. Die neue EU-Produkthaftungsrichtlinie macht Software und KI-Systeme erstmals zu haftungsrelevanten „Produkten“ – ein überfälliger Schritt, da die bisherigen Regeln aus 1985 stammten, als „das Internet noch nicht existierte“. Für europäische KI-Anbieter wird es damit nicht schwieriger als für OpenAI oder Microsoft – denn alle Anbieter, die in der EU tätig sind, müssen dieselben Regeln befolgen. Das schafft fairen Wettbewerb und stärkt das Vertrauen in KI-Technologien. Auch die viel beworbenen „Open Source“-KI-Modelle wie Meta Llama, DeepSeek oder OpenAI’s GPT-OSS fallen praktisch vollständig unter die Haftungsregeln.

Veraltete Gesetze treffen auf moderne Technologien

Die Ausgangslage war unhaltbar: KI-Systeme fielen nicht unter die klassische Produkthaftung, obwohl sie längst unseren Alltag bestimmen. Die EU-Produkthaftungsrichtlinie von 1985 stammte aus einer Zeit, „in der das Internet noch nicht existierte und Produkte fast ausschließlich physischer Natur waren“.

Das führte zu einer absurden Rechtslage: Während ein defekter Toaster den Hersteller in die Haftung nahm, blieben Schäden durch fehlerhafte KI-Software oft ungedeckt. Geschädigte standen vor dem „Black Box“-Problem – sie konnten nicht beweisen, dass ein KI-Fehler für ihren Schaden verantwortlich war.

Deutschland setzt EU-Vorgaben um – nicht mehr, nicht weniger

Manche kritisieren Deutschland für die geplante KI-Haftung. Doch hier ein wichtiger Punkt: Deutschland hatte keine Wahl. Die neue EU-Produkthaftungsrichtlinie (2024/2853) ist bereits am 8. Dezember 2024 in Kraft getreten. Deutschland muss die EU-Vorgaben bis zum 9. Dezember 2026 in nationales Recht umsetzen.

Das BMJV betont explizit: „Der Gesetzentwurf zur Modernisierung des Produkthaftungsrechts setzt die neue vollharmonisierende EU-Produkthaftungsrichtlinie grundsätzlich ‚1:1‘ um“.

Was konkret unter die neue KI-Haftung fällt

Die Reform erfasst alle KI-Systeme im Sinne der EU-KI-Verordnung:

  • Eigenständige KI-Systeme (Stand-alone-Anwendungen)
  • In andere Produkte integrierte KI-Komponenten
  • Verbundene digitale Dienste wie Verkehrsdaten für Navigationssysteme autonomer Fahrzeuge
  • Kontinuierlich lernende Systeme, bei denen Hersteller auch nach Markteinführung für durch Software-Updates oder maschinelles Lernen verursachte Defekte haften

Ausgenommen bleibt nur Open-Source-Software, die außerhalb einer Geschäftstätigkeit entwickelt wird – doch diese Ausnahme ist viel enger gefasst, als es scheint.

Die „Open Source“-Illusion: Warum auch OpenSource-Modelle Meta Llama, DeepSeek und OpenAI unter die Haftungsregel fallen

Die entscheidende Formulierung der EU-Richtlinie

Die Open-Source-Ausnahme ist sehr eng gefasst:

„Freie und quelloffene Software, die außerhalb einer Geschäftstätigkeit entwickelt oder bereitgestellt wird“

Geschäftstätigkeit liegt vor, wenn:

  • Software gegen einen Preis bereitgestellt wird
  • Personenbezogene Daten verwendet werden, die über die ausschließliche Verbesserung der Sicherheit, Kompatibilität oder Interoperabilität hinausgehen

Meta Llama: Definitiv haftungsrelevant

Meta Llama fällt NICHT unter die Open-Source-Ausnahme, weil:

1. Kommerzielle Geschäftstätigkeit: Meta entwickelt und stellt Llama im Rahmen einer kommerziellen Geschäftstätigkeit bereit.

2. Eigene kommerzielle Lizenz: Llama ist technisch gar nicht „Open Source“. Es verwendet die Meta Llama Community License mit kommerziellen Beschränkungen:

  • 700-Millionen-MAU-Grenze: Unternehmen mit über 700 Millionen monatlichen Nutzern brauchen eine separate kommerzielle Lizenz
  • Pflichtattribution: „Built with Llama“ muss prominent angezeigt werden
  • Naming-Pflicht: Derivative Modelle müssen mit „Llama“ beginnen

3. Datensammlung: Meta nutzt personenbezogene Daten für das Training weit über Sicherheitszwecke hinaus. Meta wollte 2024 ungefragt Nutzerdaten von Instagram und Facebook zum Training verwenden.

DeepSeek: Wahrscheinlich haftungsrelevant

DeepSeek R1 steht unter MIT-Lizenz – einer echten Open-Source-Lizenz. Aber: Die EU-Ausnahme hängt nicht nur von der Lizenz ab, sondern vom Kontext der Bereitstellung.

Problematische Aspekte:

  • Kommerzielle Infrastruktur: DeepSeek betreibt eine kommerzielle API und kostenpflichtige Dienste
  • Datensammlung: Das Unternehmen sammelt umfassend Nutzerdaten für verschiedene Geschäftszwecke
  • Geschäftsmodell: DeepSeek ist ein kommerzielles Unternehmen mit Gewinnabsicht

Niedersächsischer Landesdatenschutzbeauftragter warnt bereits:

Nach gegenwärtigem Kenntnisstand ist davon auszugehen, dass insbesondere die Anforderungen der europäischen KI-Verordnung und der Datenschutz-Grundverordnung nicht eingehalten werden.“

OpenAI’s „Open Source“ Modelle: Vollständig haftungsrelevant

OpenAI’s GPT-OSS Modelle (gpt-oss-120B, gpt-oss-20B) stehen unter Apache 2.0-Lizenz – einer echten Open-Source-Lizenz.

Trotzdem keine Ausnahme, weil:

  • OpenAI ist ein kommerzielles Unternehmen mit klarem Gewinnmotiv
  • Strategische Geschäftsentscheidung: Die Freigabe dient kommerziellen Zielen im Wettbewerb mit Meta und chinesischen Anbietern
  • Kommerzielle Infrastruktur: OpenAI betreibt weiterhin kostenpflichtige APIs und Services

OpenAI selbst bestätigt kommerzielle Absichten:

„Available under the flexible Apache 2.0 license, these models outperform similarly sized open models on reasoning tasks“ – die Betonung liegt auf „flexible“ für kommerzielle Nutzung.

Beweiserleichterungen gegen die „Black Box“

Die Reform führt erhebliche Beweiserleichterungen ein, um das „Black Box“-Problem von KI-Systemen zu lösen:

  • Offenlegungspflichten: Unternehmen müssen auf Gerichtsanordnung bestimmte Beweismittel zu ihren KI-Systemen preisgeben
  • Kausalitätsvermutungen: Bei technischer Komplexität wird die Kausalität zwischen Fehler und Schaden unter bestimmten Voraussetzungen vermutet
  • Plausibilitätsprüfung: Geschädigte müssen nur noch die Plausibilität eines Anspruchs darlegen

Besonders relevant: Verstöße gegen die EU-KI-Verordnung können zu einer Fehlerhaftigkeit führen. Das schafft eine direkte Verbindung zwischen regulatorischen Anforderungen und zivilrechtlicher Haftung.

OpenAI und Microsoft: Gleiches Recht für alle

Alle Unternehmen, die KI-Produkte in Deutschland/der EU vertreiben, unterliegen den neuen Haftungsregeln – unabhängig von ihrem Sitz. Das Marktortprinzip gilt auch für KI.

OpenAI steht vor Herausforderungen

OpenAI unterliegt als Anbieter von KI-Systemen in der EU vollständig den neuen Haftungsregeln. Problematisch:

  • Unzureichende EU-Datenschutzkonformität: OpenAI bietet derzeit keine ausreichende Rechtsgrundlage für die datenschutzkonforme Verarbeitung personenbezogener Daten aus der EU
  • Begrenzte vertragliche Absicherung: Nur über Azure OpenAI mit EU-Datenhaltung ist eine rechtskonformere Nutzung möglich

Microsoft ist besser aufgestellt

Microsoft zeigt sich kooperativer und ist compliance-technisch besser positioniert:

  • EU Data Boundary verfügbar für Microsoft 365-Kunden
  • Standardvertragsklauseln (SCCs) standardmäßig im Data Protection Addendum enthalten
  • Auftragsverarbeiter-Status bei Copilot

Interessant: Microsoft gehört zu den Erstunterzeichnern des EU-KI-Pakts, während andere US-Konzerne deutlich kritischer reagieren.

Internationale Reaktionen: Koordinierter US-Widerstand

Die Reaktionen außerhalb Europas zeigen ein klares Muster:

USA: Frontaler Angriff auf EU-Regulierung

US-Vizepräsident JD Vance nutzte seine Europa-Reise für einen direkten Angriff: Er „denunzierte die ‚belastenden internationalen‘ Regeln des Blocks“ und forderte eine KI-Regulierung, die den sich schnell entwickelnden Sektor „nicht erdrosselt“.

Präsident Donald Trump kritisierte EU-Bußgelder gegen amerikanische Unternehmen direkt und nannte sie ‚eine Form der Besteuerung.

Meta’s Senior Policy Director Joel Kaplan machte deutlich, dass Meta den freiwilligen EU-Code nicht unterzeichnen werde, da er „nicht durchsetzbare und technisch unmögliche Anforderungen“ stelle.

Koordinierte Lobbying-Kampagne

Meta führte eine koordinierte Lobbykampagne gegen EU-Regeln an. Im September führte das Unternehmen einen offenen Brief von 50 Gruppen an, darunter Schwedens Ericsson und Spotify, die argumentierten, dass Europas regulatorischer Rahmen Innovation ersticke“.

Corporate Europe Observatory kritisiert, dass die Firmen wie Google, Microsoft, Meta, Amazon und OpenAI privilegierten Zugang zur Gestaltung des freiwilligen Codes erhalten hätten, während „Zivilgesellschaftsgruppen und kleinere Akteure weitgehend an den Rand gedrängt“ wurden.

Deutsche und europäische Reaktionen: Geteilte Meinungen

Deutsche KI-Unternehmen: Verhalten kritisch

Jonas Andrulis, CEO Aleph Alpha, äußerte gemischte Gefühle zur EU-Regulierung:

Aleph Alpha hat sich stets für einen maßvollen Regulierungsansatz für Künstliche Intelligenz ausgesprochen […] Eine im internationalen Vergleich zu harte Regulierung in Europa bleibt als potentieller Wettbewerbsnachteil ein Risiko und ein klarer Standortnachteil.“

Zur Produkthaftung ergänzte Andrulis:

Die sich abzeichnenden Anforderungen an KI-Basistechnologien […] sind anspruchsvoll. […] Dies wird darüber entscheiden, wie sehr der AI Act KI-Innovation aus Europa einschränken und die Entwicklung erfolgreicher Geschäftsmodelle behindern wird.

Digitalverband Bitkom: Scharfe Kritik

Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, positionierte sich klar gegen zusätzliche KI-Haftungsregeln:

Entgegen der Einschätzung der EU-Kommission, dass die Richtlinie zur Einführung und Entwicklung von KI-Technologien im Binnenmarkt beitragen wird, gehen wir davon aus, dass das zusätzliche Haftungsregime die weitere Verbreitung von KI massiv hemmen wird.

Bitkom warnte bereits 2023 vor der widersprüchlichen Open-Source-Regulierung:

„Die Ausnahmen sind nur sehr eng gefasst. Nach dem derzeitigen Entwurf haftet ein Hersteller auch für Mängel, die auf die (kommerzielle) Nutzung von OSS-Komponenten zurückzuführen sind. Diese Verschärfung der Haftung kann aus unserer Sicht zu einer erheblichen Beeinträchtigung der Nutzung und Entwicklung von Open-Source-Software führen.“

BDI lehnt neue Haftungsregeln ab

Der Bundesverband der Deutschen Industrie (BDI) sieht „keinen Bedarf für die Einführung neuer Regulierung“:

Ein überschießender Haftungsrahmen könnte viele KI-Anbieter und -Nutzer zu einer Over-Compliance mit dem AI Act treiben, die sich negativ auf Innovation und KI-Entwicklung in Europa auswirken kann.

Verbraucherschutz unterstützt Reform

Der GKV-Spitzenverband begrüßt hingegen die Initiative:

Durch die Digitalisierung haben sich Produkte und Technologien in den letzten Jahrzehnten rasant weiterentwickelt. Ein modernes Produkthaftungsrecht muss hier Schritt halten, damit keine Haftungslücken entstehen.

Warum Europas Weg konsequent und richtig ist

Fairer Wettbewerb statt Wettbewerbsnachteil

Der entscheidende Punkt: Alle Anbieter, die in der EU tätig sind, müssen dieselben Regeln befolgen. Das schafft keinen Wettbewerbsnachteil für deutsche oder europäische Unternehmen. Im Gegenteil: Es etabliert einen fairen Rahmen, in dem nicht der gewinnt, der am wenigsten reguliert ist, sondern der die besten, sichersten Produkte anbietet.

Vertrauen als Wettbewerbsvorteil

Das BMJV argumentiert zu Recht, dass „klare Haftungsregeln das Vertrauen in digitale Technologien stärken“ und somit „die Akzeptanz von KI-Systemen fördern“. Verbraucher kaufen eher Produkte, bei denen sie im Schadensfall abgesichert sind.

Rechtssicherheit für Unternehmen

Die EU schafft „einheitliche Standards in der EU“ und verhindert einen „Race to the Bottom“ bei Sicherheitsstandards. Deutsche Unternehmen profitieren von „klaren, einheitlichen Regeln“ statt von einem „Flickwerk nationaler Regelungen“.

Die praktische Realität: Wer haftet tatsächlich?

Internationale Durchsetzung schwierig

Obwohl alle großen „Open Source“ KI-Modelle theoretisch der EU-Produkthaftung unterliegen, ist die praktische Durchsetzung bei ausländischen Anbietern schwierig:

  • Meta: Hat EU-Niederlassungen und Vermögen in der EU – direkte Haftung durchsetzbar
  • OpenAI: Begrenzte EU-Präsenz – Vollstreckung komplizierter
  • DeepSeek: Keine EU-Präsenz – praktisch schwer haftbar zu machen

Sekundäre Haftung für EU-Nutzer

Entscheidend wird die sekundäre Haftung:

  • Unternehmen, die Open-Source-KI kommerziell einsetzen, haften für Schäden
  • Online-Plattformen, die solche Modelle hosten oder verbreiten
  • Fulfillment-Dienstleister und Integratoren

USA vs. Europa: Zwei grundverschiedene Philosophien

EU: Risikobasierter Ansatz mit klaren Regeln

Europa verfolgt einen „risikobasierten, zentralisierten Ansatz“ mit bindenden Verpflichtungen:

  • Der EU AI Act klassifiziert KI-Systeme nach Risikokategorien
  • Nationale Behörden können Marktverbote verhängen und Bußgelder bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes verhängen
  • Die Produkthaftungsrichtlinie erweitert die verschuldensunabhängige Haftung explizit auf KI-Systeme

USA: Fragmentierte Selbstregulierung

Die USA setzen auf einen „flexiblen, sektorspezifischen Ansatz“ ohne einheitliche KI-Gesetze:

  • Keine bindende KI-Regulierung: Nur Executive Orders und Leitlinien
  • Section 230-Debatte: Streit darüber, ob KI-generierte Inhalte unter den Schutz des Communications Decency Act fallen
  • State-Level-Flickwerk: Einzelne Bundesstaaten entwickeln eigene, widersprüchliche Regeln

Erste deutsche KI-Haftungsurteile zeigen Handlungsbedarf

Das Landgericht Kiel entschied bereits: Unternehmen haften bei Falschauskünften selbst als Störer, wenn die Auskunft vollautomatisiert durch eine eingesetzte KI generiert wurde. Die KI selbst haftet nicht, da ihr eine eigene Rechtspersönlichkeit fehlt.

Das zeigt: Auch ohne die neue Produkthaftung entstehen bereits Haftungsrisiken. Die Reform schafft Klarheit und Rechtssicherheit für alle Beteiligten.

Fazit: Europa geht seinen Weg – zu Recht

Die neue EU-Produkthaftung ist kein deutscher Alleingang, sondern die pflichtgemäße Umsetzung bindender EU-Vorgaben. Sie schafft faire Wettbewerbsbedingungen für alle KI-Anbieter – egal ob aus Europa, den USA oder China.

Praktisch alle großen „Open Source“ KI-Modelle fallen NICHT unter die EU-Ausnahme. Meta Llama, DeepSeek und OpenAI’s GPT-OSS – sie alle unterliegen der Produkthaftung, weil sie im Rahmen kommerzieller Geschäftstätigkeit entwickelt oder bereitgestellt werden.

Während die USA auf „Innovation first“ setzen und dabei Verbraucherschutz nachrangig behandeln, wählt Europa bewusst einen anderen Weg: Vertrauen, Sicherheit und fairer Wettbewerb als Fundament für nachhaltige KI-Innovation.

EU-Technologiekommissarin Henna Virkkunen brachte es auf den Punkt: „Europa ist vollständig der Durchsetzung der Regeln trotz des Drucks aus den USA verpflichtet“.

Das ist nicht nur konsequent – es ist der richtige Weg für eine KI-Zukunft, die dem Menschen dient und nicht umgekehrt.

Dieser Artikel basiert auf umfangreichen Recherchen zu EU-Dokumenten, Unternehmensstellungnahmen und internationalen Reaktionen. Für tiefergehende Informationen zu KI-Einsatz in Unternehmen bieten wir spezialisierte Workshops, z.B. zur Risikoeinschätzung der eingesetzten KI-Lösung unter Betrachtung des EU AI Act und weiterer Regulierungen sowie zur Frage wie der eigene KI-Service bei den Nutzer wahrgenommen wird (z.B. unter ethischen Gesichtspunkten). Eine Auswahl finden Sie hier oder sprechen Sie uns an KONTAKT