Das Wichtigste in Kürze
- Startups haften für KI-generierten Code wie jeder Softwarehersteller; Automatisierung befreit nicht von Verantwortung.
- Haftungsausschlüsse für KI-Fehler sind oft unwirksam, insbesondere in AGB und bei grober Fahrlässigkeit oder Personenschäden.
- KI-generierter Code birgt Risiken von Urheberrechtsverletzung">Urheberrechtsverletzungen, da er auf geschützten Trainingsdaten basieren kann.
- Produkthaftung ist bei reiner Software noch unklar, greift aber bei Integration in körperliche Produkte und ist nicht vertraglich ausschließbar.
- Gründliche Prüfungen (Qualität, Lizenzen) von KI-Outputs sind essenziell, um Haftungsrisiken zu minimieren.
VibeCoding: Juristische Fallstricke bei KI-generiertem Code und No-Code-Plattformen für Startups
VibeCoding beschreibt einen aktuellen Trend, bei dem Software nicht mehr manuell programmiert wird. Stattdessen erfolgt die Entwicklung fast ausschließlich durch den Einsatz von KI-Systemen oder No-Code-Plattformen. Gründer und Entwickler erklären lediglich in natürlicher Sprache, was ihre Software leisten soll, oder konfigurieren sie über visuelle Oberflächen. Moderne KI-Tools wie Codex oder ChatGPT übersetzen diese Anweisungen dann automatisch in ausführbaren Programmcode.
Als erfahrener IT-Anwalt mit besonderer Leidenschaft für KI-Themen beobachte ich diese Entwicklung fasziniert. Zwar ermöglicht VibeCoding eine beachtliche Effizienzsteigerung und beschleunigt die Entwicklung drastisch, zugleich wirft die automatisierte Codeerstellung aber auch ganz neue juristische Fragen auf.
Noch ist beispielsweise völlig offen, wer haftet, wenn der KI-generierte Code Fehler enthält oder Schäden verursacht. Auch die Frage, wem letztlich die Rechte an solchen automatisierten Kreationen gehören, bleibt ungeklärt. In diesem Beitrag beleuchte ich daher insbesondere die zivilrechtliche Haftung von Tech-Startups bei Nutzung von VibeCoding und No-Code-Tools. Ich diskutiere die Verantwortlichkeit der Plattformanbieter und erläutere die damit verbundenen urheberrechtlichen Herausforderungen.
Zudem erkläre ich, wie unsichere Schutzrechtslagen rund um KI-generierten Code zu Schwierigkeiten bei einer Legal Due Diligence führen können und was dies für künftige Investorengespräche bedeutet. Dabei nehme ich auch relevante Normen wie §§ 823, 831 und 307 BGB, das Produkthaftungsgesetz (ProdHaftG) sowie Regelungen des Urhebergesetzes (UrhG) und die neuesten Entwicklungen im EU-Recht (z.B. KI-Verordnung) in den Blick, um für Gründer, Entwickler und Investoren praxisnahe Orientierung zu bieten.
Haftungsrisiken für Startups bei KI-generiertem Code

Startups, die weitgehend KI-generierten Code einsetzen, stehen vor einer großen Herausforderung. Sie müssen für die Qualität und Sicherheit dieses Codes rechtlich einstehen, obwohl er nicht vollständig von Menschen geprüft oder geschrieben wurde. Grundsätzlich gilt: KI-Systeme besitzen keine Rechtsfähigkeit und können daher selbst nicht haften. Die Verantwortung für KI-Ausgaben – sei es Programmcode, Texte oder Bilder – trägt stets derjenige, der die KI einsetzt und die Ergebnisse verwendet.
Ein Unternehmen kann sich also nicht darauf berufen, die KI sei „verantwortlich“. Ein Haftungsausschluss durch bloßen Hinweis auf den KI-Ursprung ist rechtlich unwirksam. Dies hat mehrere Facetten:
Deliktische Haftung
Wenn fehlerhafter KI-Code Schäden verursacht, haftet das Startup nach allgemeinen Deliktsgrundsätzen. § 823 Abs. 1 BGB begründet eine Schadensersatzpflicht, wenn beispielsweise durch fahrlässig unzureichend überprüften Code ein absolut geschütztes Rechtsgut verletzt wird. Dies kann Leben, Gesundheit oder Eigentum betreffen. Ein solcher Fall liegt vor, wenn eine von der KI generierte Software aufgrund eines Programmierfehlers Sachschäden beim Nutzer auslöst, etwa Datenverlust oder Systemausfälle mit Folgeschäden.
Entscheidend ist, ob das Startup seine Verkehrssicherungspflichten verletzt hat, also die im Verkehr erforderliche Sorgfalt außer Acht ließ. Bei fehlender menschlicher Kontrolle über KI-Code könnte man dem Startup Fahrlässigkeit vorwerfen. Dies gilt insbesondere, wenn nach dem Stand der Technik eine Überprüfung oder Tests geboten gewesen wären. Allerdings sind Softwarefehler nie vollständig auszuschließen; die Haftung setzt daher ein Pflichtwidrigkeitsmoment voraus, beispielsweise ein völliges Fehlen von Qualitätssicherungsmaßnahmen.
Neben § 823 BGB kommt die deliktische Produzentenhaftung in Betracht. Wer ein Produkt (hier: Software) in den Verkehr bringt, muss hinreichende Kontrolle zur Vermeidung von Gefahren ausüben. Anderenfalls haftet er bei Schaden im Wege der Produzentenhaftung auf Basis von § 823 Abs. 1 BGB. Es ist zu beachten, dass eine KI selbst kein „Produkt“ im rechtlichen Sinne ist, sondern Teil eines vom Startup angebotenen Softwareprodukts oder -dienstes.
Vertragliche Haftung und Gewährleistung
Gegenüber Kunden haftet das Startup vertraglich für Mängel seiner Software. Insbesondere im B2B-Kontext versuchen Startups oft, ihre Haftung vertraglich zu begrenzen. Solche Haftungsbeschränkungen in AGB oder Verträgen stoßen in Deutschland jedoch auf rechtliche Grenzen. Ein vollständiger Ausschluss für einfache Fahrlässigkeit ist in AGB meist unwirksam, wenn er wesentliche Vertragspflichten umfasst oder den Vertragspartner unangemessen benachteiligt (§ 307 BGB).
Kardinalpflichten, also zentrale Pflichten, deren Verletzung den Vertragszweck gefährdet, dürfen in AGB nicht vollständig ausgeschlossen werden. In individuell ausgehandelten Verträgen unter Unternehmern kann die Haftung zwar weitergehend beschränkt werden, jedoch kann Vorsatz nie ausgeschlossen werden (§ 276 Abs. 3 BGB). Für grobe Fahrlässigkeit und Personenschäden gelten zudem strenge Maßstäbe. Praktisch bedeutet dies: Ein Startup kann seine Haftung für leichte Fahrlässigkeit gegenüber Geschäftskunden in gewissem Umfang begrenzen, nicht jedoch für gravierende Verschulden oder Schäden an Leben, Körper, Gesundheit.
Standardklauseln, die jegliche Haftung für KI-Fehler pauschal ausschließen, wären in aller Regel unwirksam. Selbst in einem rein B2B-Verhältnis würde ein vollständiger Haftungsausschluss für vom Startup zu vertretende KI-Fehler einer Inhaltskontrolle nach § 307 BGB oft nicht standhalten. Der Kunde würde dann das volle Risiko tragen. Ferner kann sich ein Startup gegenüber Verbrauchern überhaupt nicht auf solche Klauseln berufen (§ 309 Nr. 7 BGB verbietet Haftungsausschlüsse für Körperschäden und grobes Verschulden in Verbraucherverträgen).
Haftung für Rechtsverletzungen (insbesondere Urheberrecht)
Ein weiteres Risiko besteht darin, dass KI-generierter Code fremde Schutzrechte verletzt. KI-Modelle wie Code-Generatoren (z.B. GitHub Copilot) wurden mit riesigen Code-Datensätzen trainiert. Diese können auch fremden, urheberrechtlich geschützten Quellcode enthalten. Es hat sich gezeigt, dass KI-Outputs teilweise stark dem Trainingsmaterial ähneln.
Dadurch besteht die Gefahr, dass neu generierter Code beispielsweise unter einer Open-Source-Lizenz steht, ohne dass das Startup dies bemerkt. Die KI könnte Code aus einer GPL-lizenzierten Bibliothek reproduzieren. Das Startup würde diesen Code dann in sein proprietäres Produkt integrieren und damit gegen die Lizenzbedingungen und gegebenenfalls Urheberrechte verstoßen. Urheberrechtlich geschützte Code-Segmente dürfen nicht ohne Weiteres übernommen werden. Andernfalls drohen Unterlassungs- und Schadensersatzansprüche durch die Rechteinhaber (§§ 97, 69c UrhG).
Ein Startup haftet hier als Täter oder Störer einer Urheberrechtsverletzung, selbst wenn die Übernahme unbewusst durch die KI geschah. Die Nutzung des Ergebnisses im eigenen Produkt wird zugerechnet. Experten warnen bereits, dass KI-generierter Code die „nächste Abmahnfalle“ für Entwickler sein kann. Ein Beispiel: Wenn die KI-Codeausgabe einem auf GitHub veröffentlichten Code eines Dritten entspricht, kann letzterer Abmahnungen verschicken. Ein findiger „Troll“ könnte sogar gezielt Code unter einer strengen Lizenz ins Netz stellen und darauf spekulieren, dass KI-Systeme diesen Code in verschiedene Projekte einspeisen.
Für das Startup bedeutet dies erhebliche Risiken, von Compliance-Verstößen bei Open-Source-Software bis zu Schadenersatzforderungen wegen Urheberrechtsverletzung. Entsprechend muss ein Startup alle KI-Outputs gründlich prüfen. Dies kann beispielsweise durch Code-Scanning-Tools auf Übereinstimmungen mit bekannten Codes geschehen, um sicherzustellen, dass es Rechte an allen Codebestandteilen hat. Unterlässt es solche Prüfungen, könnte dies als Fahrlässigkeit gewertet werden.
Produkthaftung
Schäden durch fehlerhaften Code können in seltenen Fällen auch unter das Produkthaftungsgesetz (ProdHaftG) fallen. Die Produkthaftung greift jedoch klassisch bei körperlichen Personen- oder Sachschäden, die durch einen Produktfehler verursacht werden. Ob rein digitale Produkte wie Software unter den Produktbegriff fallen, war lange umstritten. Nach aktueller Rechtslage ist Software als solche (ohne körperlichen Datenträger) nicht eindeutig als „Produkt“ im Sinne des § 2 ProdHaftG definiert.
Dies bedeutet, ein reiner Softwarefehler, der beispielsweise zum Datenverlust führt, löst derzeit regelmäßig keine Produkthaftung aus. Hier bleibt es bei den deliktischen und vertraglichen Ansprüchen. Anders liegt der Fall, wenn KI-gesteuerte Software in ein körperliches Produkt integriert ist, etwa eine KI eine Maschine oder ein Fahrzeug steuert und dadurch ein Unfall passiert. Dann kann das gesamte System als fehlerhaftes Produkt gelten, und der Hersteller haftet nach ProdHaftG.
Wichtig ist: Die Produkthaftung ist verschuldensunabhängig. Der Hersteller haftet bereits bei Fehlern im Produkt, ohne dass Fahrlässigkeit bewiesen werden muss. Daher kommt es insbesondere bei Personenschäden darauf an, ob man das KI-basierte System als Produkt qualifizieren kann. In Zweifelsfällen würde der Geschädigte aber ohnehin parallel deliktisch gegen das Startup vorgehen, etwa wegen Verletzung einer Verkehrspflicht.
Vertraglich ausschließen lässt sich die ProdHaftG-Haftung nicht. § 14 ProdHaftG verbietet jede Vorausvereinbarung, die die Herstellerhaftung gegenüber dem Geschädigten ausschließt oder beschränkt. Entsprechende Abreden sind nichtig. Ein Startup kann also durch AGB nicht seine Produkthaftung abbedingen – weder gegenüber Verbrauchern noch gegenüber Geschäftspartnern, soweit es um Ansprüche Geschädigter geht. Lediglich im Innenverhältnis, beispielsweise zwischen Hersteller und Zulieferer, sind Regressvereinbarungen zulässig. Für KI-Startups bedeutet dies: Sollten ihre Produkte unter die Produkthaftung fallen, greifen die strengen Haftungsregeln zwingend – eine vertragliche Freizeichnung ist ausgeschlossen. Angesichts der bisherigen Unsicherheit, ob reine Software erfasst ist, war dies praktisch vielleicht kein Hauptthema; doch neue EU-Regeln (siehe unten) stehen bevor, die Software eindeutig einbeziehen werden.
Zwischenfazit zu Haftungsrisiken
'''| Haftungsart | Rechtsgrundlage | Anwendungsbereich | Ausschließbarkeit (AGB) | Verschuldenserfordernis |
|---|---|---|---|---|
| Deliktische Haftung | § 823 Abs. 1 BGB (u.a.) | Schäden an absolut geschützten Rechtsgütern (Leben, Gesundheit, Eigentum) durch Pflichtverletzung | Nein | Fahrlässigkeit/Vorsatz |
| Vertragliche Haftung | Vertragsrecht (z.B. Kauf-, Werkvertrag) | Mängel der Software oder Schäden aus Vertragsverletzung gegenüber Kunden | Begrenzt (nicht für Vorsatz, grobe Fahrlässigkeit, Personenschäden) | Fahrlässigkeit/Vorsatz |
| Haftung für Rechtsverletzungen (Urheberrecht) | §§ 97, 69c UrhG (u.a.) | Verletzung fremder Urheberrechte durch KI-generierten Code | Nein | Täter/Störerhaftung (auch unbewusst) |
| Produkthaftung | ProdHaftG | Personen- oder Sachschäden durch fehlerhaftes Produkt (bei Software nur bei Integration in körperliches Produkt) | Nein | Verschuldensunabhängig |
Ein Startup, das KI und No-Code beim Programmieren nutzt, haftet grundsätzlich wie jeder Softwarehersteller für Fehler und Schäden, obwohl die Codeerstellung automatisiert ist. Die Herausforderung besteht darin, ausreichende Sorgfaltsmaßnahmen trotz hoher Automatisierung einzuhalten. Dazu gehören Qualitätstests, Code-Reviews und Lizenzprüfungen. Automatisierung befreit nicht von Verantwortung – sie verschiebt nur die Art der Risiken. Fehlende menschliche Endkontrolle über die KI-Ergebnisse kann Haftungsrisiken erhöhen, da Fehler unentdeckt bleiben. Startups sollten daher vertraglich klar regeln, was sie zusichern, ohne unrealistische Garantien zu geben. Sie müssen jedoch wissen, dass sie sich nicht pauschal exkulpieren können. Letztlich trägt derjenige, der KI-Code in den Verkehr bringt, die Haftung für dessen Auswirkungen.
Haftung der Betreiber von No-Code-Plattformen und KI-Coding-Tools
Nicht nur die Startups selbst, sondern auch die Anbieter der No-Code-Plattformen oder KI-Coding-Tools könnten in den Blick geraten. Dies geschieht, wenn über ihre Systeme fehlerhafte oder schädliche Software generiert wird. Hier stellt sich die Frage, inwieweit die Plattformbetreiber für Ergebnisse haften, die ihre Nutzer mit dem Tool erzeugen.
Grundsätzlich ist ein No-Code- oder KI-Code-Generator ein Werkzeug. Der Betreiber stellt die Infrastruktur und vielleicht vordefinierte Bausteine zur Verfügung. Der Nutzer, beispielsweise ein Startup, baut damit die konkrete Anwendung. Daher versucht die Branche, die Haftung vertraglich weitgehend auf die Nutzer abzuwälzen. Typischerweise enthalten die AGB solcher Dienste Klauseln, wonach der Nutzer für die Einhaltung aller Gesetze verantwortlich ist und der Plattformbetreiber keine Haftung für die Richtigkeit oder Tauglichkeit der erstellten Anwendungen übernimmt.
Haftungsfreistellungen in B2B-AGB sind bis zu einem gewissen Grad zulässig. Im Unterschied zum Verbrauchergeschäft greift § 309 BGB (Liste verbotener Klauseln) nicht direkt, doch § 307 BGB (Inhaltskontrolle) gilt auch zwischen Unternehmern. Eine gänzliche Freizeichnung des Anbieters für eigenes Verschulden dürfte auch in B2B-AGB unwirksam sein, sofern sie den Kunden unangemessen benachteiligt. Allerdings muss man unterscheiden: Für Fehler, die allein auf der konkreten Umsetzung des Nutzers beruhen, soll der Plattformanbieter typischerweise nicht haften. Er wäre hier vergleichbar einem Werkzeughersteller, der nicht für jeden Missbrauch seines Werkzeugs einstehen muss.
Anders könnte es aussehen, wenn die Plattform selbst einen Fehler aufweist, der zu Schäden führt. Ein Beispiel wäre ein Software-Bug in der No-Code-Engine, der systematisch falsche Berechnungen in allen damit erstellten Apps verursacht. In so einem Fall rückt der Plattformanbieter in die Rolle eines Herstellers eines fehlerhaften Produkts. Dann kommen Mängelhaftung und ProdHaftG ins Spiel. Gegenüber seinem direkten Kunden (dem Startup) haftet der Anbieter nach Vertragsrecht dafür, dass sein Tool die vereinbarte Beschaffenheit hat und funktionstauglich ist. Gegenüber Dritten, die durch den Fehler der generierten Software geschädigt werden, könnte unter Umständen auch der Plattformbetreiber deliktisch haften, falls ihm ein eigenes Verschulden vorzuwerfen ist, z.B. grobe Fahrlässigkeit in der Programmierung der Plattform.
Vertragliche Haftungsbegrenzungen der Plattform-Betreiber
In der Praxis sichern sich Plattformanbieter in ihren Nutzungsbedingungen ab. Haftungsfreistellungen besagen oft, dass der Anbieter nicht für indirekte Schäden oder entgangenen Gewinn haftet und insgesamt nur bis zu einem bestimmten Betrag. In B2B-Verträgen können solche Limitierungen, etwa eine Deckelung der Haftungshöhe auf das Jahresentgelt, wirksam sein. Dies gilt, sofern keine fundamental wichtigen Pflichten betroffen sind und kein vorsätzliches Verhalten ausgeschlossen wird.
Wichtig ist: Willful misconduct des Anbieters bleibt immer haftungspflichtig. Grobe Fahrlässigkeit kann ein Anbieter in AGB gegenüber einem Unternehmer in gewissem Umfang ausschließen, doch dies ist heikel. Deutsche Gerichte neigen dazu, bei Klauseln, die auch grobe Fahrlässigkeit freistellen, eine unangemessene Benachteiligung anzunehmen. Dies gilt insbesondere, wenn der Anbieter faktisch alleinigen Einfluss auf die Fehlerquelle hat. Ferner darf auch in B2B die Haftung für Personenschäden nicht vertraglich ausgeschlossen werden, da dies gegen grundlegende Rechtsprinzipien verstößt und in Verbraucherkonstellationen ohnehin von § 309 BGB verboten wäre.
Produkthaftung der Tool-Anbieter
Wie oben erwähnt, war unklar, ob rein digitale Produkte unter das ProdHaftG fallen. Die Betreiber von No-Code-Plattformen konnten sich bislang darauf berufen, dass Software kein Produkt sei, wodurch eine Haftung nach dem ProdHaftG nicht zu greifen schien. Doch diese Rechtslage steht vor einem Wandel auf EU-Ebene. Im Oktober 2024 wurde eine Novelle der EU-Produkthaftungsrichtlinie verabschiedet, die explizit Software (einschließlich KI-Systemen) als Produkt einstuft.
Artikel 4 der neuen RL definiert Software klar als Produkt. Nach Umsetzung in nationales Recht müssen künftig in der EU Hersteller von Software auch nach ProdHaftG haften. Für Plattformbetreiber bedeutet dies: Wenn ihr No-Code-Tool selbst fehlerhaft ist und beispielsweise einen Personenschaden verursacht, weil die generierte Anwendung ein Gerät fehlsteuert und jemand verletzt wird, kann der Geschädigte ab Umsetzung der neuen Richtlinie direkt den Tool-Anbieter auf Produkthaftung in Anspruch nehmen. Ein Haftungsausschluss ist dann ausgeschlossen, wie bereits das geltende deutsche Recht (§ 14 ProdHaftG) vorsieht.
Zudem verschärft die Richtlinie die Herstellerhaftung. Nach Art. 11 Abs. 2 sollen Hersteller auch haften, wenn Produktfehler durch fehlende Software-Updates entstehen. Dies ist relevant, falls der Plattformanbieter es versäumt, bekannte Sicherheitslücken in seinem System per Update zu beheben und dadurch Schaden verursacht wird.
Geplante EU-KI-Haftungsregeln
Neben der Produkthaftung verfolgt die EU einen umfassenden Ansatz zur Regulierung von KI. Die EU-KI-Verordnung (AI Act) wurde 2024 als erster globaler Rechtsrahmen für KI verabschiedet. Sie tritt größtenteils ab 2026 in Kraft und verpflichtet Anbieter von KI-Systemen zu Risikobewertung, Transparenz und Sicherheitsvorkehrungen. Allerdings enthält die KI-Verordnung keine unmittelbaren Haftungsregelungen. Sie ist ein Marktzulassungs- und Aufsichtsrecht, kein Haftungsrecht. Man findet darin keine neuen Deliktstatbestände; vielmehr sollen die Pflichten bei KI-Bereitstellung technisch-organisatorisch die Risiken vermindern. Ein tieferer Einblick in dieses Thema findet sich auch in unserem Artikel KI-Kompetenz nach dem EU AI Act.
Ergänzend hatte die EU-Kommission 2022 eine KI-Haftungsrichtlinie (AI Liability Directive) vorgeschlagen, um Opfern den Zugang zu Schadensersatz zu erleichtern. Diese sollte unter anderem Beweiserleichterungen und Vermutungen zugunsten Geschädigter einführen. Dazu gehörte ein Auskunftsanspruch, um den Entwickler eines KI-Systems zu identifizieren, und eine Kausalitätsvermutung, wenn eine KI-Pflichtverletzung wahrscheinlich zum Schaden führte. Insbesondere war geplant, bei Verstößen gegen die KI-VO (z.B. Nichteinhaltung vorgeschriebener Sicherheitsmaßnahmen) einen Anspruch nach § 823 Abs. 2 BGB in Verbindung mit der KI-VO als Schutzgesetz zu etablieren. Damit wären KI-Verstöße direkt zivilrechtlich sanktionierbar gewesen. Allerdings hat die neue EU-Kommission Ende 2024 entschieden, diesen Richtlinienentwurf vorerst zurückzuziehen.
Für Betreiber von No-Code-Plattformen ist wichtig: Sie müssen bereits nach KI-VO gegebenenfalls als Anbieter von Hochrisiko-KI-Systemen strenge Pflichten erfüllen. Dies gilt, falls ihr Tool beispielsweise für sicherheitskritische Anwendungen eingesetzt wird. Haftungsrechtlich sollten sie sich aber nicht in falscher Sicherheit wiegen. Auch wenn die spezielle KI-Haftungsrichtlinie gestoppt wurde, bleiben sie nach allgemeinem Recht angreifbar. Disclaimer-Klauseln helfen nur begrenzt: Eine KI kann nicht als „Verantwortliche“ zwischengeschaltet werden, letztlich haftet immer ein menschlicher oder juristischer Akteur.
Die Praxis wird zeigen, ob Geschädigte versuchen, Plattformanbieter verstärkt in die Pflicht zu nehmen. Dies könnte etwa mit dem Argument einer Produktähnlichkeit des angebotenen Tools oder einer Mitverursachung geschehen. Anbieter sollten daher vertraglich klar regeln, was der Nutzer zu tun hat. Dazu gehören Testpflichten und Hinweispflichten bei Fehlfunktionen. Gegebenenfalls sollten Rückgriffsmöglichkeiten vorgesehen werden. Letztlich aber kann ein Plattformbetreiber, der grob pflichtwidrig ein unsicheres KI-Tool bereitstellt, nicht erwarten, sich durch AGB völlig zu exkulpieren. Gesetzliche Leitplanken wie § 307 BGB, das ProdHaftG und zukünftig das EU-Haftungsregime setzen Grenzen, damit die Risiken nicht einseitig auf den Anwender abgewälzt werden. Weitere Informationen zur Vertragsgestaltung in diesem Kontext finden Sie in unserem Beitrag Vertragliche Regelungen bei No-Code-/Low-Code-Softwareentwicklung.
Urheberrechtliche Schutzfähigkeit von KI-generiertem Code (VibeCoding)
Eine Kernfrage für Startups, die KI-Code nutzen, lautet: Ist der KI-generierte Code überhaupt urheberrechtlich geschützt? Nur wenn ein Programm Quellcode als persönliche geistige Schöpfung eines Menschen anzusehen ist, genießt es Schutz nach dem Urheberrechtsgesetz (UrhG). Das deutsche UrhG verlangt in § 2 Abs. 2 ausdrücklich, dass es sich beim Werk um eine „persönliche geistige Schöpfung“ handelt. Computerprogramme werden urheberrechtlich wie Sprachwerke geschützt (§ 2 Abs. 1 Nr. 1 i.V.m. § 69a UrhG), allerdings nur, wenn sie Schöpfungshöhe erreichen. Das heißt, sie müssen ein Mindestmaß an Individualität durch menschliche Gestaltung aufweisen.
Das Schöpferprinzip und KI-generierter Code
Bei vollständig KI-generiertem Code fehlt es gerade an diesem menschlichen Schöpfungsakt. Eine KI „denkt“ nicht kreativ im urheberrechtlichen Sinne, sondern erzeugt Inhalte anhand von Wahrscheinlichkeiten und Trainingsdaten. Nach geltendem Verständnis kann eine KI daher nicht Urheber sein. Der Bundesgerichtshof (BGH) hat in der Patentrechtssache DABUS 2024 klargestellt, dass eine Erfindung keinen nicht-menschlichen Erfinder haben kann. Diese Wertung lässt sich auf das Urheberrecht übertragen: Auch dort gilt das Schöpferprinzip, wonach der Urheber immer der menschliche Schöpfer des Werks ist.
Autonom von KI geschaffene Werke – also Werke, die ohne jeden prägenden menschlichen Einfluss entstehen – sind zweifelsfrei nicht urheberrechtlich geschützt. Denn es fehlt „das menschliche Substrat“ in der Entstehung, wie es juristisch formuliert wurde. Die europäischen Gerichte betonen, dass nur ein menschlicher Urheber Originalität im Rechtssinne schaffen kann. Der Europäische Gerichtshof (EuGH) definiert ein schutzfähiges Werk als Ergebnis der eigenen geistigen Schöpfung des Urhebers, was implizit einen Menschen voraussetzt. Beispielsweise hat der EuGH in Entscheidungen wie Infopaq ausgeführt, dass Individualität und kreative Entscheidungen des Autors wesentlich sind – beides kann eine Maschine nicht aufweisen. Weitere Details zu diesem Thema finden Sie in unserem Beitrag KI-generierte Inhalte: Wem gehören die Rechte?
Für VibeCoding-Code bedeutet dies: Sofern der Code ohne schöpferischen Beitrag eines Menschen generiert wurde, genießt er keinen Urheberrechtsschutz. Er wäre quasi gemeinfrei und von niemandem als eigenes Werk monopolisierbar. Jeder Dritte könnte solchen Code kopieren und nutzen, ohne das UrhG zu verletzen. Das hat gravierende Folgen für ein Startup: Der KI-Code könnte nicht exklusiv verwertet werden; Konkurrenten dürften ihn legal übernehmen, was die Wettbewerbsposition schwächt.
Menschlicher Beitrag und Schöpfungshöhe
Allerdings ist die Realität oft komplexer. Selten entsteht Software völlig ohne menschliches Zutun. Meist gibt es einen Entwickler, der die KI promptet, lenkt, das Ergebnis auswählt, vielleicht Teile kombiniert oder nachbearbeitet. Die juristische Frage ist, ob dieser menschliche Beitrag ausreicht, um von einer Miturheberschaft oder Werkherrschaft des Menschen zu sprechen. Hier differenziert die Rechtsprechung und Literatur nach dem Grad der menschlichen Prägung:
- Autonome KI-Erzeugnisse: Wenn die KI wirklich eigenständig schafft und der Mensch nur einen allgemeinen Auftrag gibt („Schreibe mir ein Programm, das X tut“), dann liegt keine persönliche Schöpfung des Menschen vor. Ein einfaches Prompting („Entwickle Code für Funktion Y“) ohne konkrete inhaltliche Vorgaben wird dem Nutzer nicht die Urheberschaft verschaffen. Das Werk stammt dann geistig von der KI, weshalb mangels menschlichem Schöpfer kein Schutz entsteht.
- Computerimplementierte Werke mit KI-Unterstützung: Hier liefert der Mensch wesentliche Vorgaben, die KI dient nur als Werkzeug zur Umsetzung. Der BGH deutete im DABUS-Patentfall an, dass ein erheblicher menschlicher Einfluss eine Zurechnung ermöglichen kann. Im Urheberrecht entspricht dies dem Fall, dass der Nutzer der KI bereits eine ausformulierte Idee oder Struktur vorgibt. Dazu gehört beispielsweise ein eigener Quellcode-Entwurf oder detaillierte Anweisungen, die die KI nur verfeinert. Hier könnte man argumentieren, der Mensch habe die „geistige Schöpfung“ geliefert, die KI fungierte als verlängerter Arm (vergleichbar vielleicht einem Autocomplete, das der Mensch aber steuert). Der urheberrechtliche Schutz würde dann dem Menschen zukommen, sofern dessen Beitrag Schöpfungshöhe erreicht. Ein Beispiel: Ein Entwickler entwirft die Softwarearchitektur und Kernalgorithmen konzeptionell selbst (schöpferische Leistung) und nutzt dann KI, um Routinen auszuprogrammieren oder Code zu optimieren. In diesem Fall liegt im Ergebnis eine persönliche Prägung des Entwicklers vor, die sich im Code manifestiert – der Code wäre als Computerprogramm geschützt, und der Entwickler bzw. sein Unternehmen wäre Urheber bzw. Inhaber der ausschließlichen Rechte.
- Grenzfälle: Schwierig sind Konstellationen, in denen die KI und der Mensch eng verzahnt arbeiten. Hat der Mensch nur grobe Ideen skizziert und die KI generiert doch eigenständig den kreativen Codefluss? Oder hat der Mensch viele kleine Vorschläge der KI ausgewählt und zusammengesetzt (Kuratorrolle)? Hier stellt sich die Frage nach der Schöpfungshöhe des menschlichen Beitrags. Die derzeit herrschende Meinung sagt: Die bloße Auswahl oder Auftragserteilung („Mach mal Code für X“) reicht nicht für Urheberschaft. Es müsste ein qualitativ-schöpferischer Einfluss vorliegen. Wenn die KI den Großteil eigenständig erzeugt hat und der Mensch nur minimal korrigiert, wird man eher keinen Schutz annehmen. Im Zweifel bliebe der Code gemeinfrei, da keine ausreichende menschliche Gestaltung erkennbar ist.
Deutlich wird: Urheberrechtlicher Schutz von KI-Code ist möglich, aber nur wenn die KI wirklich als untergeordnetes Hilfsmittel agiert und der kreative Wertgehalt letztlich vom Menschen stammt. In vielen VibeCoding-Szenarien, wo Entwickler 95% des Codes von der KI generieren lassen, ist diese Schwelle wohl nicht erreicht. Das Gros der kreativen Programmierleistung erbringt die Maschine, nicht der Mensch. Entsprechend werden die resultierenden Codebestandteile schutzlos sein.
Diese Einschätzung spiegelt sich auch in Expertenempfehlungen wider: Unternehmen wird geraten, vertraglich und organisatorisch zu klären, wie mit KI-Output umgegangen wird, da „KI-Output in der Regel nicht geschützt“ ist. Man kann daran „keine Rechte geltend machen“, was für die kommerzielle Verwertung entscheidend ist. Startups sollten sich dessen bewusst sein: Code, den ein KI-System erzeugt hat, bietet unter Umständen keinen urheberrechtlichen Abwehrschirm gegen Nachahmer. Es verbleiben allenfalls alternative Schutzmechanismen wie Geschäftsgeheimnisschutz (wenn der Code geheim gehalten wird) oder Patente für zugrundeliegende technische Lösungen (wobei KI-erzeugte Erfindungen wieder das Dilemma mit dem Erfinder haben – analog DABUS muss dann ein menschlicher Erfinder benannt werden, der den KI-Einsatz wesentlich gesteuert hat).
Zusammenfassend: Ohne menschliche Kreativität kein Urheberrechtsschutz. KI-generierter Code fällt damit oft in eine Schutzlücke. Ein Startup muss daher genau prüfen, welchen Anteil menschliche Entwickler an einem KI-erstellten Code haben und diese Anteile dokumentieren, um im Streitfall überhaupt einen Schutz argumentieren zu können. Andernfalls riskiert es, dass sein zentrales Softwareprodukt rechtlich als „frei verfügbar“ angesehen wird. Dies beeinträchtigt die Investitions- und Innovationsschutzstrategien erheblich.
Auswirkungen auf Legal Due Diligence bei Venture-Investments
Für Investoren und deren juristische Berater in einer Legal Due Diligence (LDD) ist der Umgang eines Startups mit KI-generiertem Code ein wachsendes Augenmerk. In Finanzierungsrunden oder bei Tech-M&A prüft man sorgfältig die IP-Position und Haftungsrisiken des Zielunternehmens. Wenn ein Startup stark auf automatisierte Codegenerierung (VibeCoding) setzt, ergeben sich hierbei besondere Erschwernisse:
Fehlende IP-Schutzrechte und Wertminderung
Wie oben dargelegt, kann KI-generierter Code oft nicht als geistiges Eigentum geschützt werden. Für Investoren, die in ein Software-Startup investieren, ist jedoch die Einzigartigkeit und Rechtssicherheit des Codes ein wichtiger Wertfaktor. Hat das Startup keine patentierbaren Erfindungen und noch dazu keinen urheberrechtlich geschützten Code, weil viel von der KI stammt, fehlen ihm wesentliche Schutzmechanismen gegen Wettbewerber.
Jeder Konkurrent könnte den offenbarten Code nachnutzen, ohne Lizenz zu zahlen. In einer Due Diligence wird dies als Schwäche identifiziert – das IP-Portfolio wirkt dünn. Typischerweise fragen Investoren gezielt: „Welche urheberrechtlich geschützten Software-Komponenten oder Patente besitzt das Startup? Sind alle Rechte an der Software geklärt?“ Wenn die Antwort lautet, die Software sei größtenteils KI-generiert und daher quasi gemeinfrei, schrillen Alarmglocken. Das Startup besitzt dann vor allem Know-how, Marke oder Kundenzugang, aber keinen exklusiven Code.
Aus Investorensicht kann dies die Bewertung drücken, da zukünftige Wettbewerbsvorteile unsicher sind. Zudem wird man im Beteiligungsvertrag auf umfangreiche Garantien dringen, dass kein Dritter Rechte am Code geltend machen kann. Dies ist schwer zu versichern, wenn es eigentlich gar keine eigenen Rechte gibt. Eine umfassende juristische Vorbereitung auf die erste Investmentrunde ist essenziell, wie wir in unserem Artikel Juristische Vorbereitung auf die erste Investmentrunde beleuchten.
Unklare Urheber- und Lizenzketten
Ein Due-Diligence-Team wird genau prüfen, wer als Urheber der Software gilt und ob alle Rechte wirksam übertragen wurden. Bei klassischen Startups gibt es in der Regel Entwickler (Angestellte oder Freelancer), die per Vertrag ihre Urheberrechte an den Auftraggeber abtreten (§ 69b UrhG bei Programmen). Bei KI-generiertem Code stellt sich die Frage: Wem sollen Rechte übertragen werden, wenn die KI keinen Urheberstatus hat? Hierzu haben wir auch einen eigenen Beitrag verfasst: Freelancer paid, but still not getting rights?
Oftmals erklären die Anbieter von KI-Coding-Tools in ihren Nutzungsbedingungen, dass der Nutzer die Rechte am Output erhält. Doch solche Klauseln haben rechtlich eher deklaratorische Wirkung – sie können kein Urheberrecht schaffen, wo keines ist. Bestenfalls wirken sie als vertragliche Zusage, dass der Tool-Anbieter keine eigenen Ansprüche erhebt und dem Nutzer die Nutzung gestattet. In der Due Diligence müsste man diese Nutzungsbedingungen sichten, um sicherzustellen, dass kein verdeckter Haken verborgen ist. Beispielsweise, dass der Plattformbetreiber doch gewisse Nutzungsrechte behält.
Außerdem prüfen Investoren, ob alle menschlichen Mitwirkenden (z.B. Prompt Engineers oder Mitarbeiter, die KI-Ergebnisse kuratiert haben) Arbeits- oder Dienstverträge mit IP-Klauseln haben. Dies stellt sicher, dass das Unternehmen jedenfalls alle etwaigen entstehenden Rechte innehat. Ein Risiko wäre beispielsweise, wenn ein freier Berater Prompts erstellt hat, die KI daraus Code generierte und dieser Berater später Ansprüche auf Miturheberschaft erhebt, weil sein Beitrag schöpferisch war. Aufgrund der Unsicherheit werden Investoren verlangen, dass das Startup alle Beteiligten rechtlich gebunden hat, mittels IP-Assignment und Vertraulichkeitsvereinbarungen.
Risiken durch Open-Source- und Drittcode
Ein besonders heikler Punkt in der Due Diligence sind Open-Source-Compliance und mögliche Verletzungen fremder Rechte. Bei traditionell entwickelter Software untersucht man, welche Open-Source-Komponenten verwendet wurden und ob Lizenzen (GPL, MIT, etc.) eingehalten wurden. Bei KI-generiertem Code ist das schwieriger, da das Startup möglicherweise gar nicht weiß, ob und welche fremden Code-Snippets eingeflossen sind. Wie Chan-jo Jun (IT-Anwalt) hervorhebt, hat KI-Code oft erhebliche Ähnlichkeit mit dem Trainingsmaterial. Je nach Lizenz des Ursprungsmaterials kann das bedeuten, dass der neue Code ebenfalls lizenzpflichtig ist.
In der Due Diligence werden versierte Prüfer daher fragen: „Setzt Ihr KI für Code ein? Wenn ja, welche Maßnahmen habt ihr getroffen, um lizenzrechtliche Risiken auszuschließen?“ Sie könnten verlangen, dass der Code einer Audit-Prüfung unterzogen wurde. Dies kann beispielsweise durch Tools geschehen, die Quellcode mit bekannten Repositories abgleichen (Black Duck, Fossology etc.). Chan-jo Jun empfiehlt Käufern ausdrücklich, KI-generierten Code zeilenweise auf Übereinstimmungen mit vorhandener Software zu prüfen.
Finden sich dabei identische oder sehr ähnliche Abschnitte, muss geklärt werden, ob diese unbedenklich sind, etwa triviale Codezeilen, die keinen Schutz genießen, oder ob eine Lizenzverletzung droht. Das Ergebnis einer solchen Prüfung kann ein Dealbreaker sein: Wenn herauskommt, dass zentrale Teile des Codes eigentlich unter GPL stehen müssten oder proprietären Dritten gehören, verlangt der Investor entweder Bereinigung (Re-Implementierung der betreffenden Teile ohne KI) oder bewertet das rechtliche Risiko als zu hoch, um zu investieren. Bereits in der frühen Phase kann ein VC im Term Sheet zusichern lassen, dass kein wesentlicher Teil der Technologie auf problematischen KI-Outputs beruht – andernfalls drohen Schadensersatzansprüche gegen die Gründer nach Vertrag.
Reputations- und Haftungsrisiken
Investoren betrachten auch das Haftungsrisiko und die damit verbundene finanzielle Exponierung. Falls ein Startup Software vertreibt, die mit KI-Unterstützung entwickelt wurde, wird in der Due Diligence auch geprüft, ob es bereits Haftungsfälle gab oder drohen. Beispielsweise: Gab es Kundenbeschwerden oder Schadensfälle im Zusammenhang mit einem Softwarefehler? Gibt es vertragliche Haftungsbegrenzungen und sind diese wirksam? Ein Startup, das fahrlässig unsicheren KI-Code ausgeliefert hat, könnte latent mit Haftungsprozessen konfrontiert werden – das schreckt Investoren ab.
Sie werden wissen wollen, ob das Startup Versicherungen (z.B. Produkthaftpflicht, Tech E&O) abgeschlossen hat, um solche Risiken zu decken. Zudem spielt die künftige Regulierungslandschaft eine Rolle: Ein Investor, der ein Startup 2025 finanziert, muss antizipieren, welche Compliance-Pflichten und Haftungsregeln in den nächsten Jahren greifen. Die EU-KI-Verordnung etwa wird ab 2026 einzuhalten sein, was für ein auf KI-Code spezialisiertes Unternehmen gegebenenfalls Registrierungs- und Dokumentationspflichten bedeutet. Wenn das Startup hier ignorant wäre, wäre das ein rotes Tuch in der Due Diligence. Ebenso die kommende Produkthaftungsreform: Die Investoren werden einpreisen, dass ab Geltung der neuen Regeln Schadensfälle teurer werden könnten, weil dann auch Softwarehersteller ohne Verschulden haften.
Empfehlungen und Maßnahmen in der Due Diligence
Aus der Investorensicht werden typischerweise folgende Feststellungen und Auflagen in einer Due Diligence gemacht, wenn stark automatisierte Softwareentwicklung vorliegt:
- Transparenz über KI-Einsatz: Das Startup sollte offenlegen, in welchem Umfang und für welche Komponenten KI eingesetzt wurde. DD-Berater fordern oft eine Liste aller KI-Tools und eine Einschätzung, welcher Code-Anteil davon stammt. Nur so kann man den Umfang des potenziell ungeschützten Codes abschätzen.
- IP-Policy und Kontrollen: Hat das Startup interne Richtlinien, wie mit KI-Outputs umzugehen ist? Eine Vorgabe könnte sein: „Kein ungeprüfter KI-Code direkt in Produktivsystem übernehmen.“ Ein verantwortungsbewusstes Startup implementiert Qualitätskontrollen, um die Risiken zu mindern. Dazu zählen Code-Reviews auch für KI-generierten Code, Einsatz von Plagiatsscannern und Dokumentation aller KI-Einsätze zur Nachvollziehbarkeit. In der LDD werden solche Policies positiv vermerkt, da sie zeigen, dass das Management das Thema erkannt hat.
- Rechtsmeinung zur Urheberrechtssituation: Gegebenenfalls lässt sich das Startup von einem Juristen bestätigen, wie es die Schutzrechtslage sieht. Zwar bleibt die Unsicherheit, aber ein Investor hört lieber, dass zumindest geprüft wurde, ob ein ausreichender menschlicher Beitrag an kritischem Code vorhanden ist. Falls nicht, muss ein Alternativschutz her: Viele Startups setzen dann verstärkt auf Geheimhaltung (Trade Secrets). Der Due-Diligence-Prozess schaut dann, ob z.B. der Quellcode nicht publik ist, ob Maßnahmen nach GeschGehG (Gesetz zum Schutz von Geschäftsgeheimnissen) getroffen wurden. Wenn kein Urheberrecht greift, kann ein Geschäftsgeheimnis-Schutz wenigstens verhindern, dass Dritte unautorisiert an den Code gelangen – vorausgesetzt, das Startup schützt ihn entsprechend (Zugriffskontrollen, NDA mit Partnern etc.).
- Versicherungen und Freistellungen: Investoren werden fordern, dass das Startup für den Fall von IP-Streitigkeiten oder Produkthaftungsfällen Versicherungsschutz hat. Oder sie verlangen, dass die Gründer bis zu einem gewissen Grad persönlich haften, falls sie Risiken verschwiegen haben. In Beteiligungsverträgen sind Gewährleistungen üblich, z.B. dass der gesamte eigene Code frei von Ansprüchen Dritter ist. Wenn Gründer wissen, dass sie KI-Code genutzt haben, müssen sie diese Gewährleistung sehr vorsichtig formulieren – schlimmstenfalls müssen sie Ausnahmen (Disclosure Schedules) angeben, was wiederum dem Investor das Problem offenlegt.
- Zukünftige IP-Strategie: Ein Startup, das bislang auf KI-Code setzte, sollte bei Due Diligence erläutern können, wie es künftig sein IP stärken will. Das könnte sein: gezielte Eigenentwicklungen besonders kritischer Komponenten, Patentstrategien für KI-entwickelte Erfindungen (mit Nennung menschlicher Erfinder, um Patentfähigkeit sicherzustellen), oder exklusive Trainingsdaten, die andere nicht haben. Investoren wollen sehen, dass das Startup einen Plan hat, um trotz Automatisierung einzigartige Assets zu schaffen.
Spezifische Erschwernisse bei stark KI-lastigen Startups
Wenn ein Startup in kurzer Zeit mit wenig Personal eine komplexe Software erstellt hat, die auf KI-Generierung beruht, mag das betriebswirtschaftlich beeindruckend sein. In der juristischen Due Diligence hingegen macht es skeptisch. Typische Risiken sind:
- Codequalität und Wartbarkeit: Zwar kein primär juristischer Punkt, aber Tech-Due-Diligence und Legal DD verzahnen sich hier. KI-generierter Code könnte schwer wartbar oder verständlich sein, gerade wenn kein Entwickler ihn ganz durchdringt. Das kann zu Verzögerungen beim Beheben von Mängeln führen. Dies wiederum wird juristisch relevant, wenn beispielsweise vertragliche Service-Level oder Gewährleistungsfristen nicht eingehalten werden können.
- Abhängigkeit von Drittanbietern: Setzt das Startup fremde KI-APIs (z.B. von OpenAI, Google) ein, dann besteht eine vertragliche Abhängigkeit. Die Due Diligence prüft: Hat das Startup stabile Lizenzbedingungen mit diesen Anbietern? Was, wenn der Dienst eingestellt wird oder die Konditionen ändern (Preise, Nutzungsrechte am Output)? Diese Fragen gehen über klassisches IP hinaus, betreffen aber operationelle Risiken, die im Investment berücksichtigt werden. Zum Beispiel könnten auch eigene selbst gehostete LLMs neue rechtliche Aspekte mit sich bringen.
- Regulatorisches Umfeld: Bei sehr innovativen KI-Startups schauen Investoren auch nach zukünftigen Regulierungskosten. Zum Beispiel: Fällt das Produkt in den Anwendungsbereich der KI-VO (eventuell als generative AI, möglicherweise mit Pflichten zur Anmeldung oder Konformitätsbewertung)? Kommen Zertifizierungspflichten auf das Unternehmen zu? In der Due Diligence kann z.B. festgestellt werden: „Das Unternehmen muss innerhalb von 2 Jahren ein KI-Compliance-System implementieren, Kosten ca. XYZ.“ Solche Aspekte werden dann in der Bewertung berücksichtigt oder als Bedingungen (Conditions Subsequent) im Investmentvertrag festgehalten.
Fazit zu Due Diligence
Für Gründer bedeutet dies, dass ein starker KI-Einsatz in der Softwareentwicklung zwar die Entwicklung beschleunigt, aber später beim Investmentprozess Mehraufwand und Unsicherheit schafft. Viele der Vorteile, wie schnell viel Code zu erzeugen, müssen dann gegen die Nachteile, wie eine weniger klare IP-Lage und potenzielle Rechtsrisiken, abgewogen werden. Aus Investorensicht ist ein Startup am attraktivsten, wenn es einerseits die Effizienz von KI nutzt, andererseits aber proaktiv die juristischen Hausaufgaben gemacht hat. Dies bedeutet, Compliance-Richtlinien eingeführt, IP-Rechtsfragen durchdacht, Vertragswerke (AGB, Lizenzverträge) entsprechend angepasst und Risikovorsorge betrieben hat. Ein solches Unternehmen kann im DD-Prozess überzeugen, dass es trotz VibeCoding „investierbar“ ist. Im Gegensatz dazu dürfte ein Startup, das naiv davon ausging „der KI-Code gehört schon uns und wird schon passen“, erhebliche Schwierigkeiten bei der Prüfung bekommen. Im schlimmsten Fall führen ungeklärte IP-Verhältnisse oder schwebende Haftungsrisiken dazu, dass ein Investor abspringt oder nur zu deutlich schlechteren Konditionen einsteigt.
Fazit
Die Verwendung von KI und No-Code-Plattformen in Tech-Startups entwickelt sich derzeit schneller als der Rechtsrahmen. Haftungsfragen sind nach wie vor anhand allgemeiner Prinzipien zu beantworten – wer KI-Tools einsetzt, haftet für deren Output wie für eigenes Handeln. Weder Startups noch Plattformbetreiber können sich hinter der „Verantwortung“ einer Maschine verstecken. Zivilrechtlich greifen die bewährten Normen (§ 823 BGB, Produkthaftung, Vertragspflichten), die jedoch flexibel genug sind, um auf KI-Konstellationen angewandt zu werden. Die kommenden EU-Regeln – allen voran die KI-Verordnung 2024/1689/EU und die novellierte Produkthaftungsrichtlinie (voraussichtlich 2024/2853/EU) – werden den Rahmen weiter konkretisieren, ohne ihn auf den Kopf zu stellen. KI-Systeme werden reguliert und Softwareprodukte ausdrücklich in die Herstellerhaftung einbezogen, was Verantwortlichkeiten eher verschärft als mindert. Die ausdrücklich geplante, dann aber zurückgezogene KI-Haftungsrichtlinie zeigt, dass der Gesetzgeber um Erleichterungen für Geschädigte rang, diese aber vorerst der Entwicklung überlässt.
Urheberrechtlich offenbart VibeCoding eine Schutzzone: Solange kein menschlicher schöpferischer Beitrag vorliegt, bleibt KI-Code schutzlos. Für Startups bedeutet das, dass ihr „USP“ schwerer rechtlich zu sichern ist. Innovative Lösungen könnten künftig in Erwägung gezogen werden – etwa neue Schutzrechtskategorien oder Anpassungen im Urheberrecht, was jedoch kontrovers wäre. Derzeit hält man bewusst daran fest, den Schutz an die menschliche Kreativität zu knüpfen. International gibt es unterschiedliche Ansätze. Beispielsweise erkennt das britische Copyright Law sogenannte computer-generated works mit kurzer Schutzdauer an, wohingegen das US Copyright Office KI-Werke ablehnt. In Deutschland und der EU dürfte vorerst die Linie bleiben: kein Schutz ohne menschlichen Autor. Weitere Informationen dazu finden sich auch im Artikel Generative AI in der Entwicklung von Computerspiele?
Für die Legal Due Diligence bei Investitionen in KI-lastige Startups heißt dies, dass Sorgfalt und Transparenz essenziell sind. Startups sollten idealerweise schon vor einer Finanzierungsrunde ihre rechtlichen Risiken auditieren und bereinigen. Dazu gehört, KI-generierte Codebestandteile zu identifizieren, zu überprüfen und – wo nötig – zu ersetzen oder abzusichern. Auch sollten sie ihre Verträge (mit Kunden, Lieferanten, Plattformen) so gestalten, dass KI-Einsatz geregelt ist, zum Beispiel durch Disclaimer, soweit zulässig, und Informationspflichten gegenüber Kunden, falls KI genutzt wurde. Im Umgang mit No-Code-Plattformen empfiehlt es sich, auf vertragliche Zusicherungen der Anbieter zu achten (etwa, dass deren Tool keine Rechte Dritter verletzt und dem Stand der Technik entspricht). Manche KI-Plattformen bieten inzwischen Haftungsübernahmen oder Garantien an, um vertrauenswürdiger zu wirken – diese sollten genutzt werden, wo möglich, um eigene Risiken zu reduzieren.
Insgesamt zeigt sich: Haftung und IP beim VibeCoding sind komplex, aber beherrschbar, wenn man die traditionellen Rechtsgrundsätze sorgfältig auf die neue Technologie anwendet. Für Gründer und Entwickler lautet die Botschaft, proaktiv juristische Expertise einzubeziehen, statt erst im Streitfall reagieren zu müssen. Investoren wiederum müssen neue Bewertungskriterien entwickeln, um den Wert eines Unternehmens zu ermessen, dessen Produkte zwar technisch innovativ sind, aber vielleicht kein klassisches IP-Portfolio haben. Möglicherweise verschiebt sich der Wert von statischem IP hin zu dynamischer Fähigkeit, schnell mit KI zu entwickeln – doch solange Rechtssysteme Wettbewerbsvorteile stark an rechtliche Ausschließlichkeit knüpfen, bleibt fehlender IP-Schutz ein harter Faktor.
Zum Schluss sei betont, dass die technologische Entwicklung rasant ist. Ebenso schnell sollten Startups ihre Compliance und Vertragswerke weiterentwickeln. Die geplanten EU-Regelungen werden voraussichtlich 2026ff. wirksam. Kluge Unternehmer nutzen die Übergangszeit, um ihre KI-gestützten Prozesse so aufzusetzen, dass sie dann konform und abgesichert sind. Dann steht dem vollen Potenzial von VibeCoding nichts im Wege – ohne böse juristische Überraschungen.