Startup ohne Entwickler?

Es ist spätabends, der Kaffee neben dem Laptop ist längst kalt, doch ich lächle zufrieden: In wenigen Stunden habe ich eine komplette Webanwendung aus dem Boden gestampft, ohne eine einzige Code-Zeile traditionell zu tippen. Kein teures Entwicklerteam, kein monatelanges Programmieren – nur ich, meine Idee und ein KI-Coding-Tool, dem ich in natürlicher Sprache erklärt habe, was ich will. Willkommen in der Welt des VibeCoding. Klingt nach Startup-Märchen? Vielleicht. Aber bevor Sie jetzt ihren gesamten Entwicklerstab auf die Straße setzen: Ganz so einfach ist es dann doch nicht.

In dieser Glosse nehme ich Sie mit auf eine Reise durch das neue Phänomen VibeCoding – das Programmieren per Vibe, also mit KI-Unterstützung statt klassischem Code-Geklopfe. Wir schauen uns an, wie KI-Tools wie Cursor, GitHub Copilot oder No-Code-Plattformen es Gründern ermöglichen, im Eiltempo Software und SaaS-Dienste zu bauen. Wir fragen: Können Startups jetzt wirklich flexibler und schneller durchstarten, ohne Heerscharen von Entwicklern und ohne millionenschwere Budgets? Verändert das die Spielregeln in der Gründerszene? Und – wir sind hier auf einem juristischen Blog – welche rechtlichen Risiken verstecken sich hinter dem verlockenden KI-Turbo? Wer haftet, wenn die zauberhafte KI plötzlich Mist baut? Wem gehört eigentlich der Code, den keine menschliche Hand geschrieben hat? Und worüber muss man als Gründer am Ende seine Nutzer aufklären, wenn im Hintergrund die KI die Fäden zieht?

Machen wir uns also auf den Weg durch Hype und Realität, durch Euphorie und Gesetzestexte. Eine persönliche, pointierte Bestandsaufnahme – voller Begeisterung, aber auch mit kritischem Blick eines IT-Anwalts, der sich jeden Tag fragt: „Was zum Teufel kommt als nächstes?“

Vom Code-Knecht zum KI-Dompteur: Die Revolution des VibeCoding

Beginnen wir mit dem Begriff selbst: VibeCoding. Falls Sie sich fragen, was zum Geier das sein soll – nein, es hat nichts mit Musik oder esoterischen Schwingungen zu tun. VibeCoding beschreibt den aktuellen Trend, Software nicht mehr Zeile für Zeile manuell zu programmieren, sondern nahezu ausschließlich mit Hilfe von KI-Systemen oder No-Code-Plattformen zu entwickeln. Statt mühsam Syntax zu pauken und jedes Komma im Code selber zu setzen, sagt der Gründer oder Entwickler der KI einfach in normalem Deutsch oder Englisch, was die Software tun soll. Die KI – ob das nun ein spezialisierter Code-Assistent wie Cursor ist oder ein Generalist à la ChatGPT – übersetzt diese Wünsche automatisch in lauffähigen Code.

„Ich beschreibe, die Maschine codiert.“ – So könnte man das Motto von VibeCoding zusammenfassen. Visuelle No-Code-Baukästen verfolgen ein ähnliches Prinzip: Man klickt und konfiguriert auf einer Oberfläche, der Code entsteht unsichtbar im Hintergrund. In beiden Fällen wird traditionelle Handarbeit beim Programmieren durch Automatisierung ersetzt. Eine regelrechte Demokratisierung der Softwareentwicklung: Plötzlich können auch Nicht-Informatiker funktionsfähige Anwendungen erstellen, und Tech-Gründer brauchen theoretisch weniger personelle Ressourcen, um ihre Ideen als Produkt zum Laufen zu bringen.

Das ist eine kleine Revolution. Denken wir ein paar Jahre zurück: Wenn ein Startup 2015 eine App oder einen Webservice bauen wollte, brauchte es dafür fast zwangsläufig ein Entwicklerteam – oder zumindest einen technisch versierten Mitgründer, der nächtelang in die Tasten haut. Diese Zeiten ändern sich rasant. Heute reicht ein einziger motivierter Gründer mit einer Vision, ein Laptop und ein KI-Tool, um in ein paar Tagen etwas Vorzeigbares zu bauen. Die Verlockung ist groß: Endlich kann man sich als Ideengeber selbst verwirklichen, ohne von der Gnade rarer (und teurer) Softwareentwickler abhängig zu sein.

Mancher Startup-Gründer berichtet mit glänzenden Augen, er habe innerhalb eines Wochenendes einen ganzen SaaS-Dienst „zusammengeklickt“ – oder besser gesagt „zusammengechattet“. Ein Beispiel: Ein Unternehmer schilderte kürzlich, wie er mithilfe von ChatGPT und einer Handvoll Cloud-Diensten in unter fünf Stunden eine funktionierende Web-App erstellte. Nutzer-Login, Datenbank-Anbindung, schickes User Interface, Integration von Drittanbietern wie Stripe für Zahlungen – alles drin, alles von der KI geschrieben. Ohne selbst zu programmieren! Hätte er vor ein paar Jahren einen Freelancer beauftragt, wären dafür vielleicht 50.000 Euro und viele Wochen Arbeit fällig gewesen. Jetzt erledigt ein KI-Assistent große Teile davon in einem Bruchteil der Zeit, für Kosten im zweistelligen Dollarbereich (ein paar Prompting-Sessions und API-Calls). Da reibt man sich unwillkürlich die Augen.

Auch ich ertappe mich dabei, wie ich überlege, ob ich nicht meine nächste kleine Website nachts mit so einem KI-Code-Editor hochziehe, anstatt einem Webentwickler ein Angebot aus der Rippe zu leiern. Die Verheißung der Effizienz ist einfach zu verlockend: Die KI wird zum „Kollegen“, der nie schläft, keine Widerworte gibt und in Sekunden Code-Vorschläge ausspuckt, für die ein Mensch Stunden bräuchte. Tools wie Cursor – ein KI-gestützter Code-Editor, der praktisch als Paarprogrammierer mitdenkt – oder GitHub Copilot haben genau dieses Ziel: Sie sollen Entwickler mindestens doppelt so produktiv machen, Routinearbeiten automatisieren und sogar kompletten Code auf Zuruf generieren. Man tippt nur noch grob an, was eine Funktion tun soll, und Tab Tab Tab, schon füllt der AI-Coder den Rest aus. Programmieren mit „Autovervollständigung auf Steroiden“, könnte man sagen.

KI-Baukästen und Code-Schreibmaschinen

Der Markt explodiert geradezu vor lauter solchen Tools. Neben Copilot (Microsoft) gibt es Amazon CodeWhisperer, Tabnine, Replit Ghostwriter, Codeium – sie alle versprechen, Code zu Ende zu denken, Bugs zu finden, Dutzende Dateien im Projekt zu durchforsten und passende Änderungen vorzuschlagen. Manche Tools gehen noch weiter: Sie versuchen gleich ganze Anwendungen auf Prompt-Befehl zusammenzustellen. Plattformen wie Bolt.new, v0.dev oder Lovable.dev zum Beispiel: Man beschreibt in einem Fließtext, was die App können soll („Baue mir eine Club-Mitgliederverwaltung mit Login, Admin-Portal, Diagrammen zur Nutzungsstatistik, Stripe-Bezahlmodul und E-Mail-Versand über SendGrid…“) – und die KI zaubert daraus in kurzer Zeit ein Gerüst von Code, UI und Datenbank, das tatsächlich läuft. Klingt nach Science-Fiction, funktioniert aber zunehmend besser. Zwar sind solche generierten Anwendungen oft rudimentär oder etwas ruckelig – die KI baut ja nur, was man ihr gesagt hat, nicht unbedingt was man eigentlich meinte – aber als Prototyp oder MVP taugen sie allemal.

Auch klassische No-Code/Low-Code-Plattformen schlafen nicht: Dienste wie Bubble, Webflow, Adalo oder Wix integrieren immer mehr KI-Assistenten. Bubble etwa testet KI-Features, die dem Nutzer Formeln oder Workflows vorschlagen. Webflow nutzt KI, um Designvorschläge oder Texte zu generieren. Und dann gibt es spezialisierte Angebote wie den Durable AI Website Builder, der verspricht, innerhalb von 30 Sekunden aus einer Handvoll Stichworte eine komplette kleine Firmenwebsite zusammenzuklicken – inklusive passender Texte und Bilder, generiert durch KI. Webseite erstellen per Einzeiler-Eingabe, als würde man einen Kaffee to go bestellen. Für einfache Anwendungen im Web-Bereich ist das schon Realität.

All das führt zu einer spannenden Frage: Braucht das Startup von heute überhaupt noch teure Entwickler? Oder sind Programmierer die neuen Weber im Industriezeitalter, abgelöst von automatisierten Webstühlen der KI? Natürlich ist diese Zuspitzung etwas unfair – gute Entwickler werden keineswegs von heute auf morgen überflüssig. Aber ihr Tätigkeitsprofil wandelt sich. Aus Coderinnen werden Kontrolleurinnen und Architekt*innen. Statt jede Zeile selbst zu tippen, orchestrieren sie die KI, prüfen deren Output, korrigieren hier und da und kümmern sich um die Gesamtstruktur. „Es ist Evolution, keine Ausrottung“, sagte neulich jemand im Hinblick auf KI vs. Mensch. Der Entwickler wird zum AI-Dompteur, der die Löwen springen lässt, aber selbst im Hintergrund die Peitsche hält – und aufpasst, dass niemand im Zirkus gefressen wird.

Schneller, billiger, mehr Konkurrenz?

Für Gründer und kleine Teams sind diese Entwicklungen ein Segen – zumindest auf den ersten Blick. Flexibler? Schneller? Billiger? Ja, ja und ja! Ein Ein-Personen-Startup kann heute Dinge wagen, die vor kurzem noch reines Wunschdenken waren. Die Time-to-Market schrumpft dramatisch: Heute eine Idee, morgen ein klickbarer Prototyp, übermorgen online und erste Nutzerfeedbacks einsammeln – was will man mehr? Änderungen am Konzept? Keine Panik: Wenn große Teile des Codes generiert sind, kann man auch schneller umschwenken. Pivot in einer Woche statt in sechs Monaten, weil die KI den Großteil der Umbauarbeiten erledigt. Das klingt nach Startup-Turbo, nach echter Disruption auch innerhalb der Gründer-Szene.

Man könnte sogar sagen: Die Eintrittsbarrieren fallen. Wer früher wegen fehlender Programmierkenntnisse oder Geld für Entwickler an der Umsetzung seiner Software-Idee scheiterte, hat jetzt eine Chance. Das Spielfeld wird ausgeglichener; nicht nur Ivy-League-Absolventen mit Tech-Co-Founder können erfolgreiche Apps launchen, sondern theoretisch jeder mit einer guten Idee, etwas Geschäftssinn und der Fähigkeit, mit KI-Tools umzugehen. Die Startup-Welt dürfte dadurch bunter und vielfältiger werden.

Doch (und hier kommt der Realist in mir durch): Eine leichtere Zugänglichkeit bedeutet auch, dass die Konkurrenz zunimmt. Wenn ich mit minimalem Budget eine Idee umsetzen kann, dann können andere das kopieren – ebenso schnell und ebenso kostengünstig. Differenzierung wird schwieriger. Hat man früher vielleicht durch überlegene Technik oder aufwändige Entwicklung einen Vorsprung gehabt, zählt heute mehr denn je die eigentliche Idee, das Timing, der Vertrieb, der Zugang zum Kunden. Denn die reine Umsetzung in Code ist kaum noch ein limitierender Faktor. Wenn jeder mit KI-Unterstützung einen passablen Klon meines Produkts erstellen kann, muss ich entweder rasend schnell wachsen, meine Marke etablieren oder etwas bieten, was sich nicht so leicht nachbauen lässt (z.B. besondere Daten, Community, patentierte Innovation – doch dazu später mehr).

Außerdem: Nur weil es einfacher ist, Software zu produzieren, heißt das nicht automatisch, dass jede dieser neuen Anwendungen auch erfolgreich sein wird. Die Qualität und Nachhaltigkeit der KI-schnellgebauten Produkte steht auf einem anderen Blatt. Wir könnten einen Boom an neuen SaaS-Tools und Apps erleben, aber eben auch einen Boom an halbgaren Lösungen, die genauso schnell wieder verschwinden, wie sie aufgetaucht sind. „Fail fast, fail often“ bekommt eine ganz neue Bedeutung, wenn man Projekte quasi im Vorbeigehen starten (und scheitern) lassen kann.

Hype vs. Realität: Was KI-Tools (noch) nicht ersetzen können

Bevor wir jetzt aber alle in Euphorie verfallen: Ein kleiner Realitätscheck tut not. Ist mit KI wirklich alles so mühelos, wie es klingt? Die Erfahrung zeigt: Jein. Die tollen Geschichten vom Wochenende-MVP und der 5-Stunden-SaaS stimmen zwar, aber sie verschweigen oft die Tücken im Detail. Die KI nimmt einem viel Routinearbeit ab, ja – aber denken, analysieren und vor allem sauber planen muss man immer noch selbst.

Ein befreundeter Entwickler – pardon, inzwischen eher Prompt-Engineer – schilderte mir neulich seinen ersten Ausflug ins Reich des vollautomatischen Codierens. Er hatte ChatGPT (mit GPT-4) ausführlich beschrieben, welche Web-App er bauen will, inklusive Tech-Stack: Node.js im Backend, React/Tailwind im Frontend, Anbindung an AWS für Dateispeicher, Google-Login, das volle Programm. Das Ergebnis war durchaus beeindruckend: Die KI spuckte ihm stückweise Code für Backend und Frontend aus, erklärte ihm sogar, wie er die Entwicklungsumgebung aufsetzen müsse. Er kopierte brav alles zusammen – und siehe da, die Grundfunktionen liefen tatsächlich auf Anhieb. Doch die Freude war nur von kurzer Dauer.

Sobald er das System erweitern oder ändern wollte, merkte er: Die KI vergisst im Chat-Verlauf schnell Details des eigenen Codes. Sie produzierte plötzlich widersprüchliche Änderungen, riss an anderer Stelle wieder ein, was sie kurz zuvor gebaut hatte. Als er versuchte, einen Menüpunkt hinzuzufügen, schrieb der KI-Assistent mal eben das halbe Frontend um – mit anderen Buttons und hässlichen Layouts, weil er wohl nicht mehr genau „wusste“, wie es aussehen sollte. Jedes neue Feature wurde zum Glücksspiel: Manchmal zielgenau, manchmal ein Schuss ins Knie. Dazu kam: ChatGPT hatte natürlich keine Verbindung zur laufenden Entwicklungsumgebung. Wenn irgendwo eine Fehlermeldung im Terminal auftauchte (was oft geschah, z.B. wegen einer falschen Node-Version), musste mein Freund erst umständlich den Fehlertext kopieren und der KI erklären, was passiert ist. Diese „blindes Debugging aus der Ferne“-Nummer kostete Nerven und Zeit.

Kurz: Ganz ohne eigene Coding-Kenntnisse und manuelles Eingreifen ging es dann doch nicht. Am Ende war er erschöpft – „selbst Dark Mode hat meine müden Augen nicht mehr gerettet“, scherzte er – und schaute sich frustriert nach einer Alternative um.

Die Alternative war ein spezialisierter KI-App-Builder (eben jener Bolt.new, den ich erwähnte). Die Anwendung lieferte tatsächlich in Rekordzeit ein Grundgerüst für seine Idee, mit deutlich weniger Hin und Her als der Chatbot-Ansatz. Trotzdem traten auch dort ähnliche Probleme auf: Wenn die KI etwas ändern sollte, schrieb sie gerne mal große Teile der App unnötig um, zerstörte dabei funktionierende Komponenten und verbrannte fleißig teure Compute-Tokens im Hintergrund. Jedes komplexere Feature wurde zur Casino-Session – man zog am Hebel („Bitte KI, füge Feature X hinzu“), und hoffte, dass diesmal die richtigen Code-Symbole aufreihten, ohne etwas anderes kaputtzumachen. Einige $80 später stand zwar eine laufende Applikation da (tatsächlich in unter 5 Stunden fertiggestellt), aber mein Freund zog ein gemischtes Fazit: „Im Prinzip habe ich mir einen neuen Job geschaffen: Ich bin jetzt Baby-Sitter für eine AI. Der hat man das Coden beigebracht, aber ich muss ständig hinterherräumen.“ Treffender kann man es kaum sagen.

Was lernen wir daraus? KI-Tools sind mächtig, aber nicht magisch. Sie sind großartige Beschleuniger, doch sie sind nicht fehlerfrei und schon gar nicht narrensicher. Wer ohne Programmier-Background eine komplexe Anwendung komplett der KI überlässt, der handelt in etwa so wie jemand, der ein Hightech-Autopilot-System ans Steuer lässt und glaubt, er könne sich derweil zum Schlafen auf die Rückbank legen. Das mag 99 mal gut gehen, aber beim 100. Mal landet man im Graben – oder schlimmer. Jemand muss wachsam bleiben, gegensteuern, notfalls eingreifen. In unserem Fall heißt das: Ohne grundlegendes Verständnis von Softwarearchitektur, Logik und Qualitätssicherung wird es brenzlig. Die KI prüft ihren eigenen Code nämlich nicht auf Herz und Nieren. Sie liefert, was wahrscheinlich richtig klingt. Ob es tatsächlich robust, sicher, effizient ist? Tja, dafür fehlt dem „Autopiloten“ das echte Urteilsvermögen.

Gerade bei sicherheitskritischen oder geschäftskritischen Anwendungen kann dieses blinde Vertrauen fatal sein. Es mag für einen schnellen Prototypen okay sein, Sicherheitslücken oder ineffiziente Abfragen in Kauf zu nehmen – beim Produktivstart mit echten Nutzerdaten hört der Spaß aber auf. Fehler, die eine KI einbaut, sind nicht weniger gefährlich oder teuer, nur weil eine KI sie gebaut hat. Im Gegenteil: Sie können tückischer sein, weil man als Entwickler vielleicht geneigt ist, dem maschinellen Code zu trauen („Wird schon stimmen, hat ja die KI so generiert“), obwohl man ihn nicht 100% versteht. Eine Art Scheinsicherheit, die teuer bezahlt werden kann.

Zusammengefasst: VibeCoding kann unglaublich produktiv machen und kleinen Teams Superkräfte verleihen. Doch Abkürzungen haben ihren Preis. Man spart am Anfang Zeit und Geld, muss aber später möglicherweise doppelt zahlen – sei es durch extra Debugging, durch Architektur-Refactoring, oder im schlimmsten Fall durch Probleme bei Kunden und Investoren. Und damit sind wir beim nächsten, weniger spaßigen Thema angelangt:

Rechtliche Fallstricke: Wer haftet, wem gehört der Code, was muss der Nutzer wissen?

Man verzeiht es mir hoffentlich, dass ich jetzt die juristische Brille aufsetze. Dieser Blog heißt schließlich ITMediaLaw, nicht TechCrunch. Bei aller Faszination für VibeCoding juckt es mir als Anwalt natürlich unter den Nägeln zu fragen: Was sagt das Recht zu diesem wilden Treiben? Die Antwort: Bislang erstaunlich wenig – doch die Risiken sind real und werden oft unterschätzt. Schauen wir uns die wichtigsten Punkte an, damit das coole KI-Experiment nicht zum bösen Erwachen vor Gericht führt.

Haftung: Die KI als Sündenbock taugt nicht

Stellen wir uns vor, Ihr Startup hat mit KI-Hilfe einen Online-Service zusammengebaut, der bei Kunden richtig gut ankommt. Alles super – bis eines Tages durch einen Softwarefehler Nutzerdaten verloren gehen oder etwas Schlimmeres passiert (vielleicht kalkuliert Ihr KI-generierter FinTech-Algorithmus falsche Zinssätze, und ein Kunde erleidet dadurch finanziellen Schaden). Wer steht nun im Feuer? Sie werden es ahnen: Nicht die KI. Die kann man schlecht verklagen oder in Regress nehmen; rechtlich ist sie schlicht ein Werkzeug, nicht mehr. Verantwortlich sind Sie als derjenige, der das Tool benutzt und das fehlerhafte Produkt auf den Markt gebracht hat. Punkt.

Im deutschen Recht gibt es dafür klare Prinzipien: Wenn Ihr Produkt – hier eine Software – einem Dritten einen Schaden zufügt, haften Sie grundsätzlich dafür, sofern Sie nicht die nötige Sorgfalt walten ließen. § 823 BGB zum Beispiel (unerlaubte Handlung) verpflichtet jeden, der fahrlässig das Eigentum, Leben, Gesundheit etc. eines anderen verletzt, zum Schadensersatz. Und glauben Sie nicht, dass Sie da mit „Aber die KI hat das verbockt, nicht ich!“ rauskommen. Eine solche Ausrede zieht nicht, ebenso wenig wie ein Hammer-Hersteller sagen kann „Nicht mein Problem, wenn der Nutzer sich mit meinem Hammer auf den Daumen haut“. Wer ein Produkt einsetzt und damit Gewinne erzielen will, muss auch dafür geradestehen, wenn es schiefgeht.

Jetzt mag man argumentieren: „Na gut, Software hat immer Fehler. Kann ich nicht im Vertrag einfach die Haftung ausschließen, nach dem Motto: Nutzung auf eigene Gefahr?“ Ach, wie schön wäre das – leider macht uns da das AGB-Recht einen Strich durch die Rechnung. In den AGB gegenüber Kunden (insbesondere Endverbrauchern, aber auch B2B) kann man Haftung nur sehr begrenzt einschränken. Deutsches Recht (z.B. § 307 BGB) verbietet den vollständigen Haftungsausschluss für einfache Fahrlässigkeit, wenn es um wesentliche Vertragspflichten geht. Und grobe Fahrlässigkeit oder gar vorsätzliches Handeln kann man nie abbedingen. Mit anderen Worten: Selbst wenn Sie in Ihre Nutzungsbedingungen schreiben würden „Für alle Fehler meiner KI-Software übernehme ich keinerlei Haftung“, wäre das in fast allen Fällen unwirksam. Insbesondere bei Verbrauchern geht sowas gar nicht (und für Personenschäden oder Totalausfälle sowieso verboten).

Heißt übersetzt: Sie haften im Zweifel auch für einfache, blöde Fehler Ihrer Software, wenn diese Fehler für den Vertragspartner gravierende Folgen haben und Sie die Pflicht hatten, die Software hinreichend zu prüfen. Natürlich wird nicht jeder kleine Bug gleich zu Schadensersatz führen – es braucht schon eine Verletzung der Sorgfaltspflicht. Aber wenn z.B. gar keine Qualitätskontrolle stattfand und dadurch ein fataler Fehler unentdeckt blieb, sieht es düster aus. Das Gesetz erwartet, dass Sie auch KI-generierten Code überprüfen, mindestens so gut, wie man es eben vernünftigerweise kann. Eine komplette Absolution, nur weil es „die KI war“, gibt es nicht.

Nebenbei: Sollte durch Ihren Softwarefehler jemand zu Schaden kommen (Person verletzt, Sache kaputt), käme theoretisch auch Produkthaftung ins Spiel – aber rein digitale Produkte ohne physische Komponente fielen bisher nicht unter das Produkthaftungsgesetz. Allerdings hat die EU vor kurzem beschlossen, Software künftig als „Produkt“ anzusehen. In naher Zukunft (sobald die entsprechende Richtlinie in deutsches Recht umgesetzt ist) könnten also auch Softwarehersteller nach Produkthaftung belangt werden, z.B. wenn ein KI-gesteuertes System in einer Maschine einen Unfall verursacht. Das betrifft Plattformanbieter ebenso wie Startups. Dann wäre es noch schwieriger, sich mit Vertragsklauseln aus der Affäre zu ziehen, denn in der Produkthaftung gibt es keine Haftungsfreizeichnung – dafür zahlt dann im Zweifel die Haftpflichtversicherung, wenn man eine hat.

Das Fazit hier: Haftungsrisiko bleibt Haftungsrisiko, ob mit oder ohne KI. Wer Software betreibt, muss die Verantwortung tragen. VibeCoding entbindet Sie nicht von sorgfältigen Tests, Quality Assurance und vernünftigen Fehlerbehandlungen. Es legt nur nahe, diese vielleicht sogar intensiver zu betreiben, weil der Code ja nicht von einem erfahrenen Senior Developer stammt, sondern von einer probabilistischen Textmaschine. Überspitzt gesagt: Die KI hat keine Haftpflicht, Sie schon. Also handeln Sie auch entsprechend.

Ach, und falls Sie hoffen, den Spieß umzudrehen und den KI-Tool-Anbieter haftbar zu machen, wenn dessen Codegenerator Mist baut: Viel Glück. Die meisten Anbieter haben in ihren Nutzungsbedingungen umfangreiche Haftungsausschlüsse. Sie übernehmen höchstens die Verantwortung, dass ihr Dienst technisch verfügbar ist, aber nicht für indirekte Schäden, entgangenen Gewinn etc., und in Summe oft nur bis zur Höhe der Gebühren, die Sie gezahlt haben. Zudem argumentiert die Rechtslage: Ein Plattformbetreiber ist nicht verantwortlich für jeden Unfug, den ein Nutzer mit seinem Werkzeug anstellt – ähnlich wie ein Autohersteller nicht haftet, wenn Sie mit dem Auto gegen die Wand fahren, weil Sie blindlinks dem Navi gefolgt sind. Nur wenn die Plattform selbst einen Fehler hat (z.B. ein systematischer Bug in der No-Code-Engine, der alle generierten Apps unsicher macht), kann mal eine Haftung des Herstellers greifen. Aber selbst dann versuchen sich die Anbieter mit allen Mitteln zu schützen. Kurzum: Im Zweifelsfall stehen Sie allein im Regen, wenn’s regnet. Kein Papa Microsoft oder Onkel OpenAI wird kommen, um Sie rauszuboxen, sollten Sie wegen eines KI-Codingfehlers vor Gericht oder dem Kunden stehen.

 Urheberrecht & Co.: Der geistige Eigentümer ein Geist?

Noch spannender – und vielen gar nicht bewusst – ist die Frage: Wem gehört eigentlich der Code, den die KI schreibt? Genauer: Genießt dieser Code urheberrechtlichen Schutz, und wenn ja, für wen? Oder anders herum: Kann jemand Ihren KI-Code einfach klauen, ohne rechtliche Konsequenzen?

Die Antwort ist ein kleines bisschen verstörend: Vieles, was eine KI erzeugt, könnte mangels menschlicher Schöpfungshöhe gar nicht urheberrechtlich geschützt sein. Im deutschen Urheberrecht muss ein Werk eine „persönliche geistige Schöpfung“ eines Menschen sein (§ 2 Abs.2 UrhG), um als Werk zu gelten. Code wird vom Gesetz prinzipiell wie Text behandelt – auch Software kann urheberrechtlich geschützt sein, wenn sie originell genug ist. Aber der Haken ist: Bei vollständig KI-generiertem Code fehlt eben die persönliche geistige Leistung eines Menschen. Die KI „schöpft“ nichts im kreativen Sinne, sie kombiniert nur Wahrscheinlichkeiten und bestehende Muster aus ihren Trainingsdaten.

Wenn ich als Gründer also der KI sage „Schreibe mir eine Funktion X“, und sie spuckt mir 100 Zeilen Code aus, habe ich diesen Code nicht eigenhändig kreativ gestaltet. Mein Input (die Beschreibung) mag durchaus von mir stammen, aber in den meisten Fällen dürfte das nicht reichen, um als Mit-Autor des konkreten Codes zu gelten – schließlich habe ich der KI meist nicht Wort für Wort diktiert, was sie schreiben soll, sondern nur das Ziel beschrieben. Die konkrete Umsetzung – die Wahl der Worte, der Algorithmen etc. – stammt algorithmisch aus den Untiefen des Modells.

Konsequenz: Dieser Output könnte als urheberrechtlich „herrenlos“ dastehen, weil es keinen menschlichen Autor gibt. Weder die KI (die kann per Gesetz nicht Urheber sein), noch der Nutzer (dessen Beitrag war zu abstrakt), noch der Betreiber der KI (der hat zwar das Modell gebaut, aber nicht die konkrete Zeile geschrieben) hätten demnach ein klassisches Urheberrecht daran. Das ist juristisches Neuland, aber die Tendenz geht in diese Richtung. Es gibt Parallelen: Der BGH hat etwa im Patentrecht (Fall DABUS, 2024) klargestellt, dass ein Erfinder im Patent immer ein Mensch sein muss; eine Maschine kann nicht als Erfinder gelten. Im Urheberrecht gilt seit jeher das Schöpferprinzip – der Urheber ist derjenige Mensch, der das Werk geschaffen hat. Eine voll-autonome KI-Schöpfung fällt da durch.

Was bedeutet das praktisch für ein Startup? Zunächst scheinbar Erleichterung: Wenn Ihr KI-Code nicht geschützt ist, dann können Sie ihn frei nutzen, ohne jemand um Erlaubnis zu fragen – denn Sie verletzen ja kein fremdes Urheberrecht (es gibt keins). Das ist aber nur die halbe Wahrheit und birgt eine böse Kehrseite: Wenn Ihr Code ungeschützt ist, kann ihn aber auch jeder andere übernehmen. Sie haben dann kein Monopol wie sonst ein Urheber, der sagen kann „das habe ich geschrieben, kopier das nicht!“. Sollte ein Konkurrent an Ihren Source Code gelangen (ob legal oder illegal), könnte er diesen nachbauen, verändern, kommerziell nutzen – und Sie könnten nicht wegen Urheberrechtsverletzung dagegen vorgehen, weil es gar kein Urheberrecht gibt, das verletzt werden könnte. Ihre Software stünde quasi im öffentlichen Raum.

Man stelle sich die verdutzten Gesichter vor in einem Investoren-Meeting, wenn auf die klassische Due-Diligence-Frage „Welche IP besitzen Sie?“ die Antwort kommt: „Ähm, eigentlich keine – unser Code ist größtenteils Public Domain, weil von einer KI generiert.“ Ich übertreibe ein wenig zur Verdeutlichung, aber genau solche Konstellationen diskutieren Venture-Capital-Anwälte derzeit. Die IP-Bewertung eines Startups ändert sich erheblich, wenn keine originären Urheberrechte an der Software geltend gemacht werden können. Das „Produkt“ besteht dann eher aus einer Sammlung von Ideen, Geschäftsprozessen, vielleicht Markenrechten – aber der Code selbst, normalerweise ein wertvoller Vermögenswert, ist rechtlich schwer zu schützen. Man wird in solchen Fällen auf Trade Secrets (Geschäftsgeheimnisse) ausweichen: Also den Source Code unter Verschluss halten, damit niemand ihn bekommt. Geheimhaltung statt Urheberrechtsschutz, sozusagen. Dafür muss aber organisatorisch gesorgt sein (Zugriffsbeschränkungen, NDAs etc.), sonst gilt es nicht als Geheimnis im Sinne des GeschGehG.

Es gibt noch ein paar kreative Ansätze, das IP-Problem zu lösen: Zum Beispiel könnten Gründer gezielt kritische Teile selbst programmieren, um wenigstens dafür Urheberrechte zu haben – quasi ein „menschlicher Anstrich“ an der KI-Fassade. Oder sie melden (wo möglich) Patente an, sofern eine technische Erfindung vorliegt – hier muss aber ein menschlicher Erfinder benannt werden, was knifflig sein kann, wenn die Idee eigentlich aus KI-Vorschlägen entstand. Man kann auch versuchen, exklusive Datensätze oder KI-Modelle aufzubauen, die anderen nicht zur Verfügung stehen, um einen Wettbewerbsvorteil zu sichern, der über reinen Code hinausgeht. Die Investoren werden jedenfalls sehr genau hinschauen: Jede nicht geklärte Urheberrechts- oder Lizenzfrage im Code ist ein potenzieller Dealbreaker oder zumindest Wertminderer bei der Bewertung. Der schöne Geschwindigkeitsvorteil von VibeCoding kann dann später teuer erkauft sein, wenn der Investor sagt: „Tolle Software, aber rechtlich eine Wackelpartie – da zahlen wir lieber 20% weniger und verlangen von euch, dass ihr vor Vertragsschluss noch einen IP-Scan und ein paar Nachprogrammierungen macht.“

Apropos Lizenzfragen: Ein weiterer Urheberrechts-Aspekt ist sogar noch brisanter: Es geht um die Trainingsdaten der KI. KI-Coding-Modelle (wie GitHub Copilot oder auch die generischen Modelle dahinter) haben Unmengen existierenden Code aus dem Internet „gelernt“. Darunter mit hoher Wahrscheinlichkeit auch Codefragmente, die urheberrechtlich geschützt und/oder unter Open-Source-Lizenzen stehen. Es ist bereits vorgekommen, dass Copilot Nutzern Code ausspuckte, der fast 1:1 mit einem öffentlich verfügbaren Code-Snippet übereinstimmte – inklusive spezifischer Kommentare. Mit etwas Pech stammt so ein Snippet aus einer GPL-lizenzierten Bibliothek. Wenn man diese Zeilen nun in sein proprietäres Projekt übernimmt, verstößt man gegen die Lizenz, wenn man nicht die Bedingungen (etwa Quellcode-Öffentlichmachung bei GPL) einhält. Und schwupps steht man mit einem Bein in der Urheberrechtsverletzung. Man kann sich nicht damit herausreden, man habe es ja „nicht gewusst“ oder die KI habe es einem so gegeben – juristisch ist das irrelevant. Sie haben fremden Code verwendet, fertig. Wenn der Rechteinhaber das merkt (oder ein fleißiger Abmahnanwalt), drohen Unterlassungs- und Schadensersatzforderungen.

Sicherheitshalber malt man in Fachkreisen schon Teufel an die Wand, etwa in Form eines möglichen „Copilot-Trolls“: Jemand könnte bewusst eigenen Code unter eine strenge Lizenz stellen, darauf hoffen, dass KI-Systeme diesen beim Training erwischen und später ausgeben, und dann systematisch Verletzer abmahnen, die diesen KI-Auswurf ungeprüft übernommen haben. Ob das so tatsächlich passiert, sei dahingestellt – aber die Möglichkeit besteht.

Für Startups heißt das: Sie müssen höllisch aufpassen, was die KI da liefert. Eine gründliche Code-Review ist nicht nur aus Qualitäts-, sondern auch aus Compliance-Sicht Pflicht. Es gibt Tools, die den Quellcode gegen bekannte Open-Source-Repositorien abgleichen (Stichwort Code Similarity Scan), um verdächtige Übereinstimmungen zu finden. Solche sollten Sie nutzen, vor allem bei größeren Codeblöcken, die Ihnen nicht völlig generisch vorkommen. Man erkennt es manchmal auch an stilistischen Dingen: Plötzlich taucht ein komplett anderes Kommentarschema im Code auf, oder sehr spezifische Variable-Namen, die nicht zur restlichen Struktur passen – das könnten Hinweise sein, dass hier „abgeschrieben“ wurde (wenn auch durch die KI als Ghostwriter). Kurz: Vertrauen ist gut, Kontrolle ist besser, sonst kann der fremde Code zur Zeitbombe werden.

3. Was müssen Nutzer wissen? – Transparenz und Datenschutz

Ein letzter Punkt in Sachen Recht: Müssen Sie eigentlich Ihre Nutzer darüber informieren, dass im Hintergrund KI für Ihre Website/Ihr SaaS werkelt oder gar den Code geschrieben hat? Braucht es einen Warnhinweis à la „Diese Software wurde vollautomatisch erstellt, Nutzung auf eigene Gefahr“? Eher nein – zumindest nicht pauschal. Es gibt keine allgemeine Pflicht, die Entstehungsweise der Software offenzulegen. Den Endnutzer interessiert (und betrifft) vor allem, wie die Software funktioniert, nicht wer oder was sie gebaut hat. Sie müssen dem Nutzer auch nicht mitteilen, welche Programmiersprache Sie verwendet haben oder ob Ihre Entwickler Kaffee oder Mate trinken – genauso wenig, ob die KI mitgeholfen hat.

Allerdings gibt es Szenarien, in denen Transparenz sehr wohl rechtlich geboten ist: Nämlich immer dann, wenn der Nutzer selbst in Interaktion mit einer KI-Funktion tritt oder seine Daten durch eine KI verarbeitet werden und dadurch Folgen für ihn entstehen. Beispiel: Ihr SaaS nutzt intern eine KI, um User-Eingaben zu analysieren oder automatisierte Entscheidungen zu treffen (etwa eine KI bewertet Bonität, filtert Inhalte oder gibt personalisierte Empfehlungen). Hier greifen künftig voraussichtlich Regulierung wie die EU-AI-Verordnung und bestehende Datenschutzregeln. Dann müssen Sie je nach Kontext offenlegen, dass KI im Spiel ist. Schon heute schreibt die DSGVO vor, dass bei automatisierten Einzelfallentscheidungen mit rechtlicher Wirkung (Art. 22 DSGVO) bestimmte Informationsrechte bestehen – der Nutzer kann einen menschlichen Überprüfer verlangen etc. Auch wenn Ihr Dienst keinen so krassen Automatismus hat, erwarten viele Nutzer mittlerweile aus moralischer Sicht eine gewisse Ehrlichkeit: Wenn sie mit einem Chatbot reden, der in Wahrheit GPT-4 im Hintergrund hat, sollten Sie es zumindest nicht heimlich als Mensch ausgeben. Viele Unternehmen setzen daher freiwillig Labels wie „KI-gestützt“ oder lassen die KI sich selbst als solche vorstellen, um Vertrauen nicht zu verspielen.

Datenschutz ist ein weiterer Aspekt: Nutzen Sie externe KI-APIs (z.B. schicken Sie Text oder Code an OpenAI, um etwas generieren zu lassen), dann fließen möglicherweise personenbezogene Daten der Nutzer an Drittanbieter. Das muss in der Datenschutzerklärung stehen. Und Sie brauchen eine Rechtsgrundlage dafür, klar – meist wird es Vertragsdurchführung sein, aber achten Sie drauf, dass Ihre Verträge mit dem KI-Dienst Datenschutz-konform sind (Stichwort Auftragsverarbeitung, Drittlandtransfer in die USA, etc.). Hier könnte es Aufklärungspflichten geben: etwa wenn Sie analytische KI einsetzen, könnten Sie in der Privacy Policy erklären, dass zur Verbesserung des Angebots ein KI-System Nutzerverhalten auswertet, bla bla. Also, solche Transparenzthemen bitte nicht vergessen im Eifer des Gefechts.

Zu guter Letzt: Wenn Ihre Website Inhalte anzeigt, die von KI generiert wurden (z.B. Blogposts, Produktbeschreibungen, Newsartikel), müssen Sie das nicht ausdrücklich kennzeichnen, solange dadurch niemand getäuscht wird oder rechtliche Vorgaben (wie Urhebervermerke) verletzt werden. Dennoch entscheiden sich viele dafür, zumindest intern Qualitätskontrollen zu haben und ggf. kenntlich zu machen, dass Content AI-generiert ist, um Vertrauen zu schaffen. Es wäre ein eigenes Thema, aber denken Sie dran: KI halluziniert gerne Fakten. Wenn Ihre Marketingseite von einer KI getextet ist, lassen Sie es gegenlesen – nicht, dass Sie versehentlich mit falschen Versprechen werben oder Lizenzrechte an generierten Bildern verletzen. Auch das fällt letztlich auf Sie zurück.

Fazit: VibeCoding – Turbo für Gründer, aber kein Freifahrtschein

VibeCoding ist geil. Da lege ich mich fest. Als Tech-begeisterter Mensch finde ich es absolut faszinierend, was heute möglich ist. Die Geschwindigkeit, mit der aus einer Idee ein Produkt werden kann, hat eine neue Dimension erreicht. Für die Startup-Welt bricht damit ein neues Kapitel an: mehr Experimente, mehr Innovation, möglicherweise auch mehr Wettbewerb – insgesamt aber eine aufregende Dynamik. Wer es geschickt anstellt, kann ohne riesiges Budget mit den Großen mitmischen, zumindest was die Entwicklungsphase angeht. Die oft zitierte „Lücke“ zwischen denen mit Geld/Entwicklern und denen mit nur Ideen schließt sich etwas. Das ist gut für die Chancengleichheit und bringt frischen Wind.

Doch (und jetzt kommt das große Doch, Sie haben es erwartet): Ein Startup besteht nicht nur aus Code. Und Erfolg bemisst sich nicht nur daran, wie schnell man etwas auf den Markt wirft, sondern wie nachhaltig es funktioniert, wie sehr Kunden Vertrauen haben und wie gut man Risiken im Griff hat. In all diesen Aspekten bringt KI zwar Tempo, aber eben auch Unsicherheit. Der Wildwuchs an Features in kürzester Zeit darf nicht darüber hinwegtäuschen, dass Qualitätssicherung, rechtliche Hygiene und strategische Differenzierung weiterhin harte Arbeit erfordern. Vielleicht sogar härter als zuvor, weil die Latte höher liegt: Wenn jeder schnell launchen kann, zählt es umso mehr, fehlerfrei und rechtssicher zu sein, um aus der Masse hervorzustechen.

Für Entwickler bedeutet VibeCoding nicht das Ende, sondern einen Wandel. Viele Entwickler werden produktiver arbeiten können und sich auf interessantere Probleme konzentrieren, während die KI den eintönigen Teil erledigt. Aber es werden womöglich auch weniger Entwickler für die gleiche Aufgabe gebraucht. Ein einzelner talentierter Engineer mit KI-Unterstützung könnte die Arbeit von drei durchschnittlichen Kodierern erledigen. Das kann zu einer Marktbereinigung führen: Mittelmäßige Coder müssen sich stärker anstrengen oder spezialisieren, echte Experten werden dafür umso wertvoller als Mentoren der KI und Architekten komplexer Systeme. Und neue Rollen entstehen: Prompt-Designer, KI-Qualitätsmanager, Daten-Kurator – Berufe, von denen wir vor kurzem noch nicht mal wussten, dass wir sie brauchen.

Aus Investorensicht wird man genauer hinschauen: „Haben die ihre KI im Griff?“ wird eine Standardfrage. Startups, die KI zum Coden einsetzen, müssen Hausaufgaben machen: saubere Dokumentation, Lizenzprüfungen, Backup-Pläne. Wer da blauäugig ist, erlebt ein böses Erwachen, wenn in der Due Diligence plötzlich Fragen kommen wie „Könnt ihr nachweisen, dass kein geschützter Drittcode im Produkt steckt?“ oder „Wie stellt ihr sicher, dass eure Software überhaupt geschützt und einzigartig ist, wenn die KI sie generiert hat?“. Bisher einzigartig: Man muss dem Investor eventuell erklären, dass der Code gerade nicht urheberrechtlich schützbar ist – und trotzdem überzeugen, dass das Geschäftsmodell trägt. Eine Herausforderung, aber mit guter Vorbereitung machbar. Transparenz und proaktive Maßnahmen sind hier der Schlüssel.

Und was ist mit den Endanwendern unserer vibecodierten Wunderwerke? Die sollen idealerweise nichts von alldem spüren, außer dass sie ein funktionierendes Produkt bekommen. Die besten KI-unterstützten Apps erkennt man daran, dass sie einfach gut sind – nicht daran, dass irgendwo der KI-Stempel prangt. Dennoch tragen wir als Hersteller die Verantwortung, auch ethisch sauber mit der neuen Power umzugehen. Wenn KI entscheidet, sollte kein Nutzer diskriminiert werden. Wenn KI Inhalte generiert, sollten wir bei der Wahrheit bleiben und nicht leichtfertig Fake News verbreiten. Hier wird zwar in Zukunft Regulierung genauer hingucken, aber wir können auch schon aus eigenem Antrieb vernünftig handeln.

Schlussgedanke: Startups können heute schneller fliegen, müssen aber aufpassen, nicht ungebremst in den Abgrund zu rasen. VibeCoding ist wie ein Düsenantrieb an Ihrem Roller: Sie kommen damit voran wie nie – aber ohne Helm und gute Bremsen ist es ein Himmelfahrtskommando. Die Flexibilität und Schnelligkeit sind fantastisch, ja, vermutlich wird es die gesamte Branche umkrempeln. In ein paar Jahren schauen wir vielleicht belustigt auf Zeiten zurück, in denen Gründer monatelang einen Prototyp coden mussten. Aber einige Dinge ändern sich nicht: Wer nachhaltig ein Unternehmen aufbauen will, der braucht immer noch einen Plan, Verantwortung und den Blick fürs große Ganze. KI kann viel, aber sie nimmt uns nicht die Verantwortung ab – weder technisch noch juristisch noch moralisch.

Also, liebe Gründerinnen und Gründer: Nutzt die neuen Möglichkeiten! Seid mutig, probiert VibeCoding, automatisiert was das Zeug hält und lasst eure Ideen fliegen. Aber bleibt wachsam. Testet euren KI-Code, kümmert euch um die rechtlichen Hausaufgaben, klärt eure Nutzer fair auf, wo es nötig ist. Dann ist KI nicht euer Feind, sondern euer Verbündeter.

Und an meine Kollegen in der Rechtsbranche: Macht euch bereit, wir werden gebraucht. Während die Entwickler vielleicht etwas Freizeit gewinnen, könnten unsere To-Do-Listen länger werden – mit neuen Verträgen, neuen Haftungsfragen, neuen Beratungsprojekten rund um KI-Development. Langweilig wird es bestimmt nicht.

VibeCoding – der Vibe ist real, der Code schreibt sich (fast) von allein, aber am Ende gilt doch: Vertrauen ist gut, Kontrolle ist besser. In diesem Sinne, frohes Prompten und bleibt auf der sicheren Seite!

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.