Unternehmen konnten sich lange darauf verlassen, dass die Komplexität von KI-Systemen als Schutzschild diente. Wenn ein Modell eine fragwürdige Entscheidung traf, wurde häufig erklärt, dass es sich um eine Black Box handle und selbst die Entwickler nicht genau wüssten, warum das System zu diesem Ergebnis gekommen sei. Diese Argumentation verliert jedoch spätestens im Jahr 2026 ihre Wirkung. Mit dem EU AI Act und der neuen Produkthaftungsrichtlinie entsteht eine Situation, in der sich die Beweislast faktisch umkehrt. Wenn ein Fehler eines KI-Systems einen Schaden verursacht, spielt die Frage nach der Schuld des Herstellers zunächst keine Rolle. Entscheidend ist vielmehr, ob das Unternehmen nachweisen kann, dass es seine Systeme unter Kontrolle hatte, etwa durch regelmäßige Updates, dokumentierte Prüfprozesse und klare Verantwortlichkeiten.

Damit endet die Phase der Unverbindlichkeit. Ab 2026 wird vielen Firmen bewusstwerden, dass eine Entschuldigung wie „Der Algorithmus war verantwortlich“ vor Gericht keinerlei Bedeutung hat. Dokumentation wird zu einem zentralen Schutzmechanismus, denn sie ist der einzige Weg, um im Ernstfall nachzuweisen, dass technische und organisatorische Maßnahmen eingehalten wurden. Besonders kritisch wird das Jahr 2026, weil mehrere Entwicklungen gleichzeitig wirksam werden. Die Übergangsfristen des AI Acts laufen aus, und Software wird im Haftungsrecht wie ein physisches Produkt behandelt. Ein Fehler führt damit zu einer Haftung, die unabhängig vom Verschulden besteht. Gleichzeitig verschärfen die Aufsichtsbehörden ihre Anforderungen. KI-Sicherheit wird zu einem festen Bestandteil des Produktsicherheitsrechts, und ein KI-bedingter Schaden gilt als gravierendes Versagen der technischen Schutzmaßnahmen. Ergänzend sorgt die Datenschutzgrundverordnung dafür, dass personenbezogene Daten weiterhin besonders geschützt bleiben.

Die Zeit, in der Unternehmen KI-Governance ignorieren konnten, ist vorbei. Ab 2026 müssen Rechtsabteilungen und IT so eng zusammenarbeiten, dass kein System ohne vorherige Prüfung der Compliance in den Betrieb geht. Besonders gefährlich sind drei Denkfehler, die teuer werden können. Der erste Irrtum besteht darin zu glauben, internes Risiko existiere nicht. Ein fehlerhaftes oder voreingenommenes internes KI-Tool kann erhebliche rechtliche Folgen haben, denn die Datenschutzgrundverordnung unterscheidet nicht zwischen interner und externer Datenverarbeitung. Der zweite Irrtum ist die Annahme, nur große Unternehmen würden kontrolliert. Auch kleinere Firmen können in den Fokus geraten, sobald sie KI in sensiblen Bereichen wie Personalwesen oder Finanzprozessen einsetzen oder wenn Beschwerden eingehen. Der dritte Irrtum besteht darin zu glauben, der Softwareentwickler übernehme die Verantwortung. Wenn ein Unternehmen eine Software mit integrierter KI-Funktion vertreibt, haftet es in der Regel selbst als Hersteller.

Besonders kritisch wird es in Bereichen, in denen strukturelle Risiken entstehen. Dazu gehört die algorithmische Diskriminierung. Wenn ein System bei der Kreditprüfung oder im Recruiting bestimmte Gruppen systematisch benachteiligt, handelt es sich nicht um einen Einzelfehler, sondern um eine automatisierte Serie von Rechtsverletzungen. Die Schadenssummen können sich bei vielen Betroffenen schnell vervielfachen. Ein weiteres Risiko entsteht durch den Verlust der Integrität in der Lieferkette. Fast jedes Unternehmen nutzt KI-Tools, die auf anderen Modellen aufbauen. Ab 2026 wird die Haftung für Fehler von Zulieferern zu einem zentralen Thema. Wenn ein Unternehmen die Sicherheit seiner Zulieferer nicht prüft und keinen Rückgriff sicherstellen kann, trägt es die volle Verantwortung. Hinzu kommt die Frage der Datenhoheit. Wer generative KI ohne Schutzmechanismen nutzt, riskiert, dass durch Rückschlüsse aus Eingaben vertrauliche Informationen sichtbar werden. Wenn solche Daten in ein öffentliches Modell gelangen, ist der Schaden am geistigen Eigentum kaum noch rückgängig zu machen.

Um sich abzusichern, benötigen Unternehmen einen strukturierten Ansatz. Dazu gehört ein vollständiges Inventar aller eingesetzten KI-Systeme, einschließlich solcher, die in einzelnen Abteilungen ohne zentrale Freigabe genutzt werden. Verantwortlichkeiten müssen klar definiert werden, damit feststeht, wer Tools freigibt und wer deren Ergebnisse überwacht. Anwendungen sollten nach Risiko sortiert werden, denn Systeme, die Entscheidungen über Menschen oder Finanzen treffen, benötigen besondere Aufmerksamkeit. Eine solide Daten-Governance ist unverzichtbar, um zu kontrollieren, wohin Eingaben fließen und wie Daten geschützt werden. Verträge müssen geprüft werden, insbesondere wenn KI-Funktionen als eigene Produkte vermarktet werden. Schließlich braucht jedes Unternehmen einen Notfallplan, der festlegt, wie bei einem bekannt gewordenen Schaden reagiert wird und wie Systeme schnell offline genommen werden können.

Das Jahr 2026 wird kein Weltuntergang, aber ein deutlicher Weckruf für alle, die bisher auf Lücke gesetzt haben. KI muss künftig so professionell behandelt werden wie die Buchhaltung. Wer heute beginnt, seine Strukturen aufzubauen, kann 2026 deutlich entspannter entgegensehen. Der wichtigste Schritt ist der Überblick über alle eingesetzten Systeme, denn nur mit einem vollständigen Inventar lässt sich das Risiko wirksam kontrollieren.

Den Originaltext lesen sie hier: AI macht Unternehmen haftbar – ein Wendepunkt für Compliance | CIO DE