KI in HR: Wer haftet, wenn das KI-System sich irrt?

Künstliche Intelligenz verändert HR-Prozesse grundlegend. KI-Systeme unterstützen heute bei der Vorauswahl von Bewerbungen, der Bewertung von Kandidatenprofilen, der Analyse von Mitarbeiterdaten oder der Automatisierung administrativer Aufgaben. Das spart Zeit, birgt aber Haftungsrisiken, die in der Praxis oft unterschätzt werden. Bekanntlich ist irren menschlich, aber auch KI-Systeme machen Fehler. Sogenannte Halluzinationen – also fachlich plausibel klingende, aber objektiv falsche Ausgaben eines KI-Systems – sind keine Ausnahme, sondern ein systemimmanentes Merkmal aktueller Large Language Models. Die Frage ist nicht, ob sie auftreten, sondern wann. Und spätestens dann stellt sich die Frage: Wer trägt die Verantwortung?

Die folgenden drei Szenarien zeigen anhand eines konkreten Beispiels aus dem Recruiting, wie sich Haftung beim Einsatz von KI in HR verteilen kann und warum entscheidend ist, wie KI eingesetzt wird, nicht nur ob.

Hinweis: Die rechtliche Einordnung dieser Szenarien basiert auf dem aktuellen Stand des deutschen Arbeitsrechts, des Allgemeinen Gleichbehandlungsgesetzes (AGG) sowie des AI Act (KI-Verordnung der EU). Sie ersetzt keine individuelle Rechtsberatung.

Wie ist die Haftungslage: Was HR-Verantwortliche wissen müssen

Die drei Szenarien decken das gesamte Haftungsspektrum ab: von einem Fall, in dem trotz echtem Schaden niemand haftet, über eine Konstellation, in der Regress theoretisch möglich aber faktisch schwerdurchsetzbar ist, bis hin zum klassischen Haftungsfall durch menschliches Fehlverhalten.

Sie bilden damit die drei Grundsituationen ab, mit denen HR-Verantwortliche im Alltag konfrontiert sein können. Gemeinsam zeigen sie: Haftung hängt nicht an der Technologie, sondern am Verhalten der handelnden Personen und Organisationen.

Haftungsszenario 1: Sorgfältiger KI-Einsatz – nicht erkennbare Halluzination

Die Situation

Ein Recruiting Manager nutzt ein KI-System zur Vorauswahl von Bewerbungen. Das System liefert zu einem Kandidaten eine fachlich plausibel formulierte Einschätzung, die sich im Nachhinein als objektiv falschherausstellt. Eine klassische Halluzination. Die Halluzination bliebt unbemerkt und der Bewerber wird auf Basis dieser Empfehlung abgelehnt.

Der Recruiting Manager hat dabei:

• die KI-Ausgabe sorgfältig geprüft
• die Entscheidung dokumentiert
• interne Prozesse eingehalten
• keine Anhaltspunkte gehabt, die Ausgabe in Frage zu stellen

Wer haftet?

Hier kommt es auf das sogenannte Vertretenmüssen an. Eine Haftung setzt voraus, dass die handelnde Person die Pflichtverletzung zu vertreten hat, also vorsätzlich oder fahrlässig gehandelt hat (§ 276 BGB). Da der Recruiting Manager die Halluzination weder erkennen konnte noch erkennen musste, liegt keine Pflichtverletzung vor. Denn: ohne Verschulden keine Haftung.

Auch ein AGG-Verstoß scheidet in diesem Fall aus, wenn die Ablehnung nicht auf einem der in § 1 AGG geschützten Merkmale beruht also etwa nicht wegen Geschlecht, Alter, Herkunft oder anderer Merkmale in der Person des Bewerbers erfolgte, die nach AGG eine Diskriminierung ausmachen können. Der Schaden verbleibt rechtlich im allgemeinen Lebensrisiko des abgelehnten Bewerbers.

Praxistipp: Dieses Szenario funktioniert nur dann als Exkulpation, also als Möglichkeit, sich von der Haftung zu befreien, wenn Prüfung und Dokumentation tatsächlich stattgefunden haben und belegbar sind. Wer sich auf „ich habe drüber geschaut" beruft, ohne es nachweisen zu können, steht rechtlich deutlich schlechter da.

Haftungsszenario 2: Fehler ungeprüft übernommen – Regress beim KI-Anbieter?

Die Situation

Der Recruiting Manager übernimmt eine fehlerhafte KI-Empfehlung, ohne sie zu prüfen. Ein Bewerber wird dadurch diskriminiert etwa, weil das KI-System systematisch bestimmte Merkmale benachteiligt. Der Bewerberklagt erfolgreich nach AGG.

Das Unternehmen trägt den Schaden und prüft anschließend Regressansprüche gegen den KI-Anbieter. Der Anbieter kann jedoch nachweisen, dass das System den vertraglichen Anforderungen entspricht und die Vorgaben des EU AI Act eingehalten wurden.

Wer haftet?

Klar ist: Das Unternehmen haftet gegenüber dem Bewerber. Die spannende Frage ist, ob es den Schaden auf den KI-Anbieter abwälzen kann? Eine zivilrechtliche Exkulpation des Anbieters ist sehr wahrscheinlich möglich wenn Entwicklung, Training und Überwachung des KI-Systems rechtskonform erfolgten und das System den vertraglichen Spezifikationen entspricht.Verbleibende Fehlleistungen können als systemimmanentes Risiko rechtmäßig eingesetzter KI eingeordnet werden, solange sie sich im Rahmen der vereinbarten Leistungsparameter bewegen.

‍Was bedeutet „systemimmanentes Risiko"?

Gemeint ist, dass KI-Systeme, auch wenn sie korrekt entwickelt und eingesetzt werden, gelegentlich fehlerhafte Ausgaben produzieren können. Dieses Restrisiko lässt sich technisch nicht vollständig eliminieren. Wer KI-Systeme einsetzt, muss dieses Risiko kennen und durch geeignete Maßnahmen beherrschbar machen.

In der Konsequenz, bleibt das Unternehmen auf dem Schaden sitzen. Regressansprüche gegen den Anbieter laufen ins Leere, wenn dieser seine Pflichten aus dem AI Act und dem Vertrag erfüllt hat. Juristisch ausgedrückt: Der Anbieter hat den Schaden nicht zu vertreten.

Hinweis für HR-Tech-Entscheider: Die Vertragsgestaltung mit dem KI-Anbieter ist entscheidend. AGB, Service Level Agreements und Haftungsausschlüsse bestimmen, welche Risiken das Unternehmen trägt. Eine Prüfung durch einen Juristen und den Datenschutzbeauftragten vor Vertragsschluss ist dringend empfehlenswert.

Haftungsszenario 3: Fehlgebrauch des KI-Systems

Die Situation

Der Recruiting Manager setzt ein KI-Tool ein, das ausdrücklich nicht für Auswahlentscheidungen vorgesehen ist. Warnhinweise des Anbieters werden ignoriert, eine Plausibilitätsprüfung findet nicht statt. Die KI-Ausgabe wird zur alleinigen Entscheidungsgrundlage. Die Folge: Ein Bewerber wird diskriminiert.

Wer haftet?

Hier liegt der Fehler eindeutig beim Menschen, nicht (nur) beim System. Der Einsatz außerhalb des vorgesehenen Zwecks stellt eine Pflichtverletzung dar. Nach außen haftet das Unternehmen gegenüber dem geschädigten Bewerber. Etwa nach AGG auf Entschädigung, verschuldensunabhängig (§ 15 Abs. 2 AGG).

Im Innenverhältnis kann das Unternehmen den Recruiting Manager in Regress nehmen. Die Grundlage dafür sind die Grundsätze des innerbetrieblichen Schadensausgleichs, die die Arbeitsgerichte aus der Rechtsprechung entwickelt haben:

Das Ignorieren von Warnhinweisen und das vollständige Unterlassen einer Prüfung dürfte im Bereich grober Fahrlässigkeit liegen. Das bedeutet: Der Recruiting Manager trägt den Schaden im Innenverhältnis in der Regel selbst.

Eine Einschränkung: Wenn die Schadenshöhe in einem krassen Missverhältnis zum Gehalt des Mitarbeiters steht, können die Arbeitsgerichte eine Quotelung vornehmen. Die endgültige Einordnung ist immer eine Frage des Einzelfalls.

Zur Beweislast: Gemäß § 619a BGB trägt der Arbeitgeber die Darlegungs- und Beweislast dafür, dass der Arbeitnehmer die Pflichtverletzung zu vertreten hat.

Hinweis: Mitarbeitende müssen eine KI-Kompetenz aufweisen, wenn sie mit KI-Systemen arbeiten. Die Schulungspflicht nach Art. 4AI Act besteht bereits seit Februar 2025. Unabhängig von der rechtlichen Pflicht zeigen Fälle wie der oben beschriebene, welche Konsequenzen eintreten können, wenn diese KI-Kompetenz fehlt.

Ausblick: Was bedeutet die neue Produkthaftung für KI ab Dezember 2026?

Die drei Szenarien zeigen die mögliche Rechtslage nachaktuellem Stand. Ab dem 9. Dezember 2026 verändert sich das Bild grundlegend.

Die neue EU-Produkthaftungsrichtlinie (RL 2024/2853) gilt dann auch für Software und KI-Systeme. Sie bringt drei wesentliche Änderungen mit sich:

1. KI-Systeme gelten als Produkte: Fehlerhafte KI-Ausgaben können damit produkthaftungsrechtliche Ansprüche auslösen unabhängig vom Verschulden des Anbieters.
2. Beweiserleichterungen für Geschädigte: Gerichte können Unternehmen zur Offenlegung technischer Dokumentation verpflichten. Der Kausalzusammenhang zwischen KI-Fehler und Schaden wird in typischen Fällen vermutet.
3. Haftung wandert in die Lieferkette: Anbieter, Importeure und ggf. auch Betreiber können direkt in Anspruch genommen werden, auch wenn der Hersteller außerhalb der EU sitzt.

Die neue Rechtslage verschiebt Risiken, löst sie aber nicht auf. Wer den AI Act sauber umsetzt, schafft Exkulpationsmöglichkeiten, aber keine Haftungsfreiheit.

DSGVO, AI Act und Datenschutzerklärung: So bereitet sich HR auf die neue Produkthaftung für KI vor

Die neue Produkthaftungsrichtlinie ist kein abstraktes Thema für die Rechtsabteilung, sie hat konkrete Auswirkungen auf den Alltag von HR-Verantwortlichen.

Wie müssen Datenschutzerklärung und interne Richtlinien angepasst werden?

Die Datenschutzerklärung muss den Einsatz von KI-Systemen in HR-Prozessen vollständig abbilden, inklusive der verarbeiteten Datenkategorien, der eingesetzten Systeme und der Rechte der Betroffenen. Gleiches gilt für interne Richtlinien: Wer KI-Systeme in HR einsetzt, braucht klare Regelungen dazu, welche Systeme für welche Zwecke zugelassen sind, wer Entscheidungen auf Basis von KI-Ausgaben treffen darf und wie diese Entscheidungen dokumentiert werden. Fehlen solche Richtlinien, entsteht genau die Grauzone, die Szenario 3 beschreibt: Ein Mitarbeiter setzt ein KI-Tool zweckwidrig ein, weil niemand festgelegt hat, was erlaubt ist und was nicht.

Warum sollten Datenschutzbeauftragte frühzeitig eingebunden werden?

Der Datenschutzbeauftragte sollte nicht erst dann einbezogen werden, wenn ein KI-System bereits im Einsatz ist. Die relevanten Fragenstellen sich bereits bei der Beschaffung:

• Welche Daten verarbeitet das System – und auf welcher Rechtsgrundlage nach DSGVO?
• Fällt das System unter die Hochrisiko-Kategorie des AI Act?
• Was sagen AGB und Vertrag des Anbieters zur Haftung?
• Ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich?

Diese Fragen im Nachhinein zu klären ist möglich, aber deutlich aufwändiger und risikobehafteter als eine strukturierte Prüfung vor dem Go-live.

Wieso wirkt Dokumentation als Schutzinstrument?

Ein Aspekt, der in der Praxis oft unterschätzt wird: Dokumentation ist kein bürokratischer Aufwand, sondern aktiver Haftungsschutz. Die neuen Beweiserleichterungen der Produkthaftungsrichtlinie wirken in beide Richtungen: Sie helfen Geschädigten, aber sie schützen auch Unternehmen, die nachweisen können, dass sie sorgfältig gehandelt haben. Wer den Einsatz von KI-Systemen, die durchgeführten Prüfungen und die getroffenen Entscheidungenlückenlos dokumentiert, ist im Streitfall deutlich besser aufgestellt.

‍

‍