Wer haftet, wenn KI halluziniert?

Derzeit und bis auf Weiteres besteht in der Schweiz kein explizites KI-Gesetz. Die rechtliche Beurteilung erfolgt daher nach geltenden «regulären» gesetzlichen Vorschriften. Dabei lohnt sich insbesondere die Unterscheidung zwischen demjenigen, der die KI einsetzt, und demjenigen, der sie anbietet.

Anwender haften für die Verwendung – zivil- und strafrechtlich

Wer KI-Output zur Erfüllung vertraglicher Pflichten verwendet, haftet für allfällige Fehler wie bei eigener Schlechterfüllung (Art. 97 OR). Das gilt etwa für Berater, Rechtsanwältinnen oder Versicherer, die sich auf halluzinierte Inhalte stützen. Eine Haftungsfreistellung ist nur für leichte Fahrlässigkeit möglich; grobe Fahrlässigkeit oder Absicht bleiben haftungsrelevant (Art. 100 OR). Gegenüber Dritten gelten die Grundsätze der ausservertraglichen Verschuldenshaftung (Art. 41  OR). KI-Systeme haben keine Rechtspersönlichkeit. Wer sie einsetzt, gilt als «Herr der Handlung». Voraussetzung für eine Haftung ist ein entsprechendes Verschulden, wobei auf einen Sorgfaltsmassstab abgestellt wird. Die Anforderungen an diese Sorgfalt sind gesetzlich nicht konkretisiert; ihre gerichtliche Auslegung steht noch aus. Besonders heikel ist zudem der Einsatz von KI in der Aussendarstellung. Wer öffentlich Aussagen verbreitet, die sich auf KI-Halluzinationen stützen und die Persönlichkeit Dritter verletzen, kann sich nach Art. 28 ZGB, Art. 3 UWG oder – bei Vorsatz – Art. 173 f. StGB strafbar machen.

Produkthersteller haften unter engen ­Voraussetzungen

Software wird nach überwiegender Ansicht als Produkt im Sinne des Produkthaftpflichtgesetzes betrachtet. Die massgebende Vorschrift definiert Produkte als bewegliche Sachen und stellt klar, dass die Haftung der Herstellerin – einschliesslich Entwicklerinnen und Entwicklern – für Schäden eintritt, die durch ein fehlerhaftes Produkt verursacht werden (Art. 3 Abs. 1 PrHG i.V.m. Art. 1 Abs. 1 PrHG). Dass Software in immaterieller Form vorliegt, ändert nichts daran, dass sie dennoch als Produkt einzustufen ist. Um als fehlerhaft zu gelten, muss eine Software die Sicherheit, die ein berechtigter Erwartungshorizont vorgibt, nicht erfüllen (Art. 4 Abs. 1 PrHG). Ein solcher Fehler kann etwa vorliegen, wenn eine mangelnde Programmierung zu gefährlichen Fehlfunktionen führt. Wird dadurch eine Person verletzt oder eine üblicherweise zum privaten Gebrauch bestimmte Sache beschädigt, kann die herstellende Person grundsätzlich haftpflichtig werden (Art. 1 Abs. 1 PrHG). Jedoch ist zu beachten, dass Schäden am fehlerhaften Produkt selbst – etwa reine Reparaturkosten für eine defekte Software – nicht vom Produkthaftpflichtgesetz gedeckt sind. KI darf und muss ebenfalls als Software qualifiziert werden. Der Nachweis eines Produktfehlers ist anspruchsvoll und erfordert unter anderem eine Verletzung der berechtigten Sicherheitserwartung. Halluzinationen sind aber mittlerweile ein derart bekanntes Phänomen, dass die Argumentation schwierig sein wird, wonach dies nicht zu erwarten war.

Datenschutz: Halluzinierte Personendaten als ­Risiko

Das revidierte Datenschutzgesetz (DSG) verlangt Richtigkeit und Aktualität der bearbeiteten Daten (Art. 6 Abs. 2 lit. d DSG). Halluzinierte Informationen über reale Personen erfüllen diese Anforderung regelmässig nicht. Offen bleibt, wie weit die Verantwortlichen diese Bearbeitungen korrigieren können, wenn die Resultate durch Prompt-Response-Mechanismen jedes Mal genuin aufs Neue erzeugt werden. Dennoch bestehen Pflichten zur Berichtigung, Löschung und Unterlassung. Die praktische Durchsetzbarkeit wird sich zeigen.

Fazit

Die rechtliche Verantwortung für KI-Halluzinationen trifft in erster Linie denjenigen, der die Ergebnisse verwendet. Die Hersteller haften, wenn der Fehler im System selbst liegt, jedoch auch nur bedingt. Bevor der Ruf nach mehr Regulierung erklingt, stelle ich gerne folgende Frage in den Raum: Wer soll vor was geschützt werden?