Das Wichtigste in Kürze
- Nach deutschem Urheberrecht kann nur ein Mensch Schöpfer eines Werkes sein; eine KI kann keine Urheberrechte begründen.
- Nutzungsbedingungen von KI-Coding-Tools garantieren keine originäre Urheberrechtsposition und übertragen nur Rechte, die der Anbieter selbst hat.
- Die größte Gefahr ist die „Open-Source-Kontamination“, bei der KI-generierter Code unter restriktiven Lizenzen die gesamte Codebasis eines Startups „infizieren“ kann.
- In der Tech Due Diligence sind unklare IP-Rechte an KI-generiertem Code eine massive Red Flag für Investoren und können die Unternehmensbewertung mindern oder Deals gefährden.
- Proaktives Handeln durch interne KI-Policies, aktualisierte Verträge und technische Schutzmaßnahmen ist entscheidend, um das geistige Eigentum an KI-generiertem Code abzusichern.
Das Wichtigste in Kürze
- Nach deutschem Urheberrecht kann nur ein Mensch Schöpfer eines Werkes sein. Eine KI selbst kann keine Urheberrechte begründen. Entscheidend ist der Grad der menschlichen Steuerung und kreativen Bearbeitung des KI-Outputs.
- Die Nutzungsbedingungen von KI-Coding-Tools wie GitHub Copilot sind rechtlich komplex. Sie übertragen zwar oft Nutzungsrechte, können aber keine Urheberrechtsposition garantieren, die originär nicht besteht.
- Ein erhebliches Risiko ist die „Open-Source-Kontamination“: KI-Tools können Code ausgeben, der unter restriktiven Lizenzen (z.B. GPL) steht. Dies kann die gesamte Codebasis eines Startups „infizieren“ und entwerten.
- In der Tech Due Diligence bei Finanzierungsrunden oder Exits ist die saubere Zuordnung von IP-Rechten am Code entscheidend. Unklarheiten bezüglich KI-generierter Anteile sind eine massive Red Flag für Investoren und können die Bewertung erheblich mindern oder den Deal gefährden.
Vibe-Coding im Startup: Wem gehört der KI-generierte Code – und was Investoren in der Due Diligence prüfen
In der agilen Welt der Startups ist Geschwindigkeit alles. Das sogenannte „Vibe-Coding“ – ein hoch-intuitiver, schneller und oft experimenteller Programmierstil – wird durch KI-Assistenten wie GitHub Copilot, Cursor oder Amazon CodeWhisperer auf ein neues Level gehoben. Entwickler können in Stunden vollbringen, was früher Tage dauerte. Boilerplate-Code, komplexe Algorithmen oder ganze Funktionsblöcke entstehen auf Basis weniger Prompts.
Dieser Produktivitätsschub ist für Gründer und ihre Teams Segen und Fluch zugleich. Denn während die technische Entwicklung rasant voranschreitet, entstehen im Hintergrund juristische Zeitbomben. Die zentrale, oft verdrängte Frage lautet: Wem gehört dieser Code eigentlich?
Als Anwalt, der täglich Startups in der digitalen Wirtschaft berät, sehe ich, wie diese Frage in Tech-Due-Diligence-Prüfungen immer öfter zum Zünglein an der Waage wird. Sie entscheidet über den Erfolg einer Finanzierungsrunde oder gar die Bewertung eines Unternehmens. In diesem Artikel beleuchte ich die urheberrechtliche Zuordnung von KI-generiertem Code nach deutschem Recht (Stand Sommer 2026), die versteckten Gefahren und was Investoren heute genau prüfen.
Das deutsche Urheberrecht und die KI: Eine Maschine als Schöpfer?
Die Grundlage für den Schutz von Software ist das Urheberrechtsgesetz (UrhG). Ein Computerprogramm ist nach § 69a Abs. 1 UrhG wie ein Sprachwerk gemäß § 2 Abs. 1 Nr. 1 UrhG geschützt, sofern es das Ergebnis einer „persönlichen geistigen Schöpfung“ seines Urhebers ist. Der entscheidende Punkt liegt im Begriff des Schöpfers.
Nach dem im deutschen Recht fest verankerten Schöpferprinzip (§ 7 UrhG) kann Urheber immer nur eine natürliche Person sein. Eine Maschine, eine KI oder eine juristische Person (wie ein Unternehmen) kann originär keine Urheberrechte erwerben. Doch welche Auswirkungen hat das auf KI-generierten Code?
Die Antwort ist differenziert und hängt vom Grad der menschlichen Interaktion ab. Wenn ein Entwickler einen trivialen Prompt eingibt (z.B. „Schreibe eine Python-Funktion, die zwei Zahlen addiert“) und den generierten Code unverändert übernimmt, fehlt es an der erforderlichen persönlichen geistigen Schöpfung des Entwicklers. Der Output ist in diesem Fall eine rein maschinelle Leistung, die urheberrechtlich nicht geschützt und somit gemeinfrei ist.
Problematisch wird es, wenn dieser gemeinfreie Code das Herzstück eines Produkts darstellt. Denn was nicht geschützt ist, kann auch nicht exklusiv lizenziert oder als wertvolles Asset in die Bilanz eingestellt werden. Ein effektiver Schutz des eigenen geistigen Eigentums ist somit unerlässlich.
Urheberrechtsschutz für den Entwickler (und damit für das Startup, an das die Rechte üblicherweise abgetreten werden) entsteht erst dann, wenn der KI-Output maßgeblich und kreativ bearbeitet, kuratiert oder in einer originellen Weise angeordnet wird. Die bloße Auswahl aus mehreren Vorschlägen der KI dürfte hierfür nach herrschender Meinung, die sich seit Inkrafttreten der KI-Verordnung langsam in der Rechtsprechung verfestigt, nicht ausreichen.
Es bedarf einer substanziellen Weiterentwicklung, eines menschlichen „Stempels“, der dem Code eine individuelle Prägung verleiht. Die Dokumentation dieses Prozesses wird damit zur entscheidenden, aber in der Praxis des „Vibe-Codings“ oft vernachlässigten Aufgabe.
Nutzungsbedingungen der KI-Tools: Ein trügerisches Versprechen
Entwickler und Gründer verweisen oft auf die Nutzungsbedingungen (Terms of Service, ToS) der KI-Anbieter. Dort heißt es häufig, dass der Nutzer die Rechte am generierten Output („Output“) erhält und der Anbieter selbst keine Eigentumsansprüche daran erhebt. Microsoft formuliert dies beispielsweise für GitHub Copilot so, dass der Nutzer für seinen Code verantwortlich ist und das Eigentum daran behält.
Doch diese Klauseln sind mit Vorsicht zu genießen. Sie sind primär eine vertragliche Zuweisung, kein urheberrechtlicher Freifahrtschein. Ein Anbieter wie Microsoft kann nur die Rechte an etwas übertragen, die er selbst hat oder auf die er verzichten kann. Er kann aber nicht per Vertrag ein Urheberrecht für den Nutzer erzeugen, wenn die gesetzlichen Voraussetzungen dafür – die persönliche geistige Schöpfung – nicht vorliegen. Die ToS lösen also das Kernproblem nicht.
Zudem enthalten die Nutzungsbedingungen oft weitreichende Haftungsausschlüsse. Sollte sich herausstellen, dass der von der KI generierte Code die Rechte Dritter verletzt (z.B. weil er auf geschütztem Code aus dem Trainingsdatensatz basiert), wird die Haftung in der Regel auf den Nutzer abgewälzt. Das Startup trägt somit das volle Risiko.
Die Transparenzpflichten aus Art. 52 der KI-Verordnung, die seit 2026 greifen, helfen hier nur bedingt. Sie legen zwar die Nutzung von urheberrechtlich geschütztem Trainingsmaterial offen, prüfen aber nicht jeden einzelnen Output auf seine Herkunft.
Die tickende Zeitbombe: Open-Source-Kontamination
Das vielleicht größte und am meisten unterschätzte Risiko bei der Nutzung von KI-Coding-Assistenten ist die „Kontamination“ der eigenen Codebasis mit Open-Source-Software (OSS). Die KI-Modelle werden mit Abermilliarden Zeilen Code aus öffentlichen Repositories wie GitHub trainiert. Ein erheblicher Teil dieses Codes steht unter verschiedenen OSS-Lizenzen.
Besonders problematisch sind hier die sogenannten „Copyleft“-Lizenzen wie die GNU General Public License (GPL) oder die Affero General Public License (AGPL). Diese Lizenzen haben einen „viralen“ Effekt: Wenn ein Werk (Ihre Software) Code enthält, der unter einer GPL-Lizenz steht, muss das gesamte daraus abgeleitete Werk ebenfalls unter die GPL gestellt und der Quellcode offengelegt werden.
Stellt eine KI nun eine Funktion bereit, die direkt oder in abgewandelter Form aus einem GPL-lizenzierten Projekt stammt, und Ihr Entwickler integriert diesen Code in Ihr proprietäres Produkt, kann dies weitreichende Folgen haben. Es kann zur Folge haben, dass Sie gezwungen sind, Ihr gesamtes Geschäftsgeheimnis – den Source Code – zu veröffentlichen. Für ein Software-Startup ist das der wirtschaftliche GAU.
Die Gefahr ist real, da die KI-Tools in der Regel keine Auskunft über die Lizenz des Codeschnipsels geben, den sie vorschlagen. Selbst moderne Software Composition Analysis (SCA) Tools, die eine Codebasis auf OSS-Komponenten scannen, sind oft überfordert. Sie basieren meist auf exakten Übereinstimmungen und erkennen von der KI leicht modifizierte Codeblöcke nicht immer. Eine tiefgehende Analyse ist unerlässlich, wie wir auch in unserem Beitrag über Open Source in der Softwareentwicklung erläutern.
Die Perspektive des Investors: So wird in der Tech Due Diligence geprüft
Spätestens wenn eine Finanzierungsrunde ansteht oder ein Exit (M&A) verhandelt wird, kommt der Moment der Wahrheit: die Tech Due Diligence. Die Anwälte und technischen Experten des Investors oder Käufers durchleuchten die IP-Assets des Startups. Ihr Ziel ist es, sicherzustellen, dass das Unternehmen die uneingeschränkten und exklusiven Rechte an seiner Kerntechnologie besitzt. Eine „saubere“ IP-Historie (Chain of Title) ist eine Grundvoraussetzung für eine positive Bewertung.
- Interne KI-Nutzungsrichtlinie: Gibt es im Unternehmen eine klare, schriftliche Policy, die regelt, welche KI-Tools wie und wofür verwendet werden dürfen? Werden Entwickler geschult, die Risiken zu verstehen?
- Dokumentationsprozesse: Wird protokolliert, wann und wo KI-Tools eingesetzt wurden? Gibt es einen Review-Prozess, um sicherzustellen, dass der KI-Output nicht nur kopiert, sondern kreativ bearbeitet wird?
- Vertragliche Absicherung: Enthalten die Arbeits- und Freelancer-Verträge Klauseln, die explizit regeln, dass alle mit Hilfe von KI-Tools erstellten Arbeitsergebnisse vollumfänglich auf das Unternehmen übergehen? Garantieren die Entwickler, dass der von ihnen eingebrachte Code frei von Rechten Dritter ist?
- Code-Scans: Wurde die Codebasis mit aktuellen Tools auf versteckte Open-Source-Lizenzen gescannt? Wie geht das Unternehmen mit den Ergebnissen um?
- Interne KI-Nutzungsrichtlinie: Gibt es im Unternehmen eine klare, schriftliche Policy, die regelt, welche KI-Tools wie und wofür verwendet werden dürfen? Werden Entwickler geschult, die Risiken zu verstehen?
- Dokumentationsprozesse: Wird protokolliert, wann und wo KI-Tools eingesetzt wurden? Gibt es einen Review-Prozess, um sicherzustellen, dass der KI-Output nicht nur kopiert, sondern kreativ bearbeitet wird?
- Vertragliche Absicherung: Enthalten die Arbeits- und Freelancer-Verträge Klauseln, die explizit regeln, dass alle mit Hilfe von KI-Tools erstellten Arbeitsergebnisse vollumfänglich auf das Unternehmen übergehen? Garantieren die Entwickler, dass der von ihnen eingebrachte Code frei von Rechten Dritter ist?
- Code-Scans: Wurde die Codebasis mit aktuellen Tools auf versteckte Open-Source-Lizenzen gescannt? Wie geht das Unternehmen mit den Ergebnissen um?
Finden die Prüfer hier Lücken, führt dies unweigerlich zu Problemen. Im besten Fall fordern sie Nachbesserungen und eine vertragliche Freistellung durch die Gründer. Im schlechteren Fall führt es zu einer signifikanten Reduzierung der Unternehmensbewertung, da das IP-Risiko eingepreist wird. Im schlimmsten Fall platzt der Deal, weil das Kern-Asset des Startups – seine proprietäre Software – rechtlich auf tönernen Füßen steht. Eine umfassende Beratung zu Arten von Investmentverträgen kann solche Szenarien von vornherein vermeiden.
Handlungsempfehlungen: So sichern Sie Ihr KI-generiertes IP ab
„Vibe-Coding“ und KI-Tools werden nicht verschwinden; sie sind die Zukunft der Softwareentwicklung. Der Schlüssel liegt nicht im Verbot, sondern im bewussten und rechtlich abgesicherten Umgang. Als Gründer oder CTO sollten Sie jetzt handeln:
- 1. Führen Sie eine verbindliche KI-Policy ein: Legen Sie fest, welche Tools erlaubt sind und definieren Sie einen klaren Prozess für die Nutzung und Dokumentation. Schaffen Sie Bewusstsein im Team für die Risiken, insbesondere für die Open-Source-Kontamination. Erfahren Sie mehr über die private KI-Nutzung im Unternehmen.
- 2. Aktualisieren Sie Ihre Verträge: Sorgen Sie dafür, dass Ihre Arbeits- und Dienstleistungsverträge eine explizite Regelung zur Übertragung aller Rechte an KI-unterstützt erstelltem Code enthalten. Lassen Sie sich die Freiheit von Rechten Dritter garantieren. Hilfestellung bietet hier die Vertragsgestaltung für SaaS-Unternehmen.
- 3. Implementieren Sie technische Schutzmaßnahmen: Nutzen Sie moderne SCA-Tools und etablieren Sie regelmäßige Code-Audits als festen Bestandteil Ihres Entwicklungsprozesses. Fördern Sie eine Kultur, in der KI als Werkzeug zur Unterstützung und nicht als Ersatz für kreative Eigenleistung verstanden wird.
Fazit
Die Komplexität an der Schnittstelle von KI, Urheberrecht und Venture Capital ist hoch, und die Rechtslage entwickelt sich dynamisch. Proaktives Handeln und eine saubere juristische Struktur sind kein Kostenfaktor, sondern eine direkte Investition in die Bewertung und Zukunftsfähigkeit Ihres Unternehmens. Wenn Sie unsicher sind, wie Sie diese Themen für Ihr Startup optimal aufstellen, lassen Sie uns sprechen. Vereinbaren Sie einen Termin für ein Erstgespräch.
Schritt-für-Schritt-Anleitung
- Verbindliche KI-Policy einführen
Legen Sie fest, welche KI-Tools im Unternehmen erlaubt sind und definieren Sie einen klaren Prozess für deren Nutzung und Dokumentation. Schaffen Sie Bewusstsein im Team für die Risiken, insbesondere für die Open-Source-Kontamination.
- Verträge aktualisieren
Sorgen Sie dafür, dass Ihre Arbeits- und Dienstleistungsverträge eine explizite Regelung zur Übertragung aller Rechte an KI-unterstützt erstelltem Code enthalten. Lassen Sie sich die Freiheit von Rechten Dritter garantieren.
- Technische Schutzmaßnahmen implementieren
Nutzen Sie moderne Software Composition Analysis (SCA) Tools und etablieren Sie regelmäßige Code-Audits als festen Bestandteil Ihres Entwicklungsprozesses. Fördern Sie eine Kultur, in der KI als Werkzeug zur Unterstützung und nicht als Ersatz für kreative Eigenleistung verstanden wird.