Vibe Coding in Marketingagenturen – rechtliche Einordnung, Haftung für Bugs und Anforderungen an eine belastbare Vertragsgestaltung

Die rasante Entwicklung generativer KI hat in der Softwareentwicklung eine neue Arbeitsweise hervorgebracht, die in der Praxis häufig als „Vibe Coding“ bezeichnet wird. Gemeint ist eine Entwicklungsform, bei der Programmcode überwiegend durch KI-Systeme erzeugt wird, während der Entwickler primär die gewünschte Funktionalität beschreibt, Codevorschläge auswählt und iterativ anpasst. Die eigentliche Implementierung entsteht damit zu einem erheblichen Teil automatisiert.

Gerade Marketing- und Digitalagenturen nutzen solche Werkzeuge zunehmend in Kundenprojekten. Landingpages, Tracking-Integrationen, WordPress-Plugins, Schnittstellen zu CRM-Systemen oder kleinere Web-Applikationen lassen sich auf diese Weise sehr schnell entwickeln. Die Produktivität steigt erheblich, gleichzeitig verändert sich jedoch die rechtliche Risikostruktur der Projekte.

Die zentrale Frage lautet: Wer haftet, wenn KI-generierter Code Sicherheitslücken enthält oder Funktionen fehlerhaft implementiert sind? Darf eine Agentur Vibe Coding überhaupt einsetzen, ohne dies dem Auftraggeber mitzuteilen? Welche Sorgfaltspflichten gelten bei der Nutzung solcher Systeme, und welche vertraglichen Regelungen sind erforderlich, um Haftungsrisiken zu begrenzen?

Diese Fragen sind für Marketingagenturen von erheblicher praktischer Bedeutung, weil die meisten Projekte rechtlich als Werkverträge einzuordnen sind und damit eine umfassende Erfolgshaftung nach den §§ 631 ff. BGB entsteht. Gleichzeitig steigen die Anforderungen an IT-Sicherheit, Datenschutz und Dokumentation kontinuierlich. Vibe Coding kann daher rechtlich nur dann sinnvoll eingesetzt werden, wenn organisatorische und vertragliche Rahmenbedingungen klar geregelt sind.

Technische Einordnung von Vibe Coding und typische Einsatzfelder in Agenturen

Vibe Coding beschreibt eine Entwicklungsform, bei der der Entwickler nicht mehr jeden Codeabschnitt selbst schreibt, sondern KI-basierte Systeme nutzt, um Funktionen automatisch generieren zu lassen. Die Rolle des Entwicklers verschiebt sich damit von der eigentlichen Programmierung hin zu einer Kombination aus Konzeption, Prompt-Steuerung, Qualitätskontrolle und Integration.

In der Praxis arbeiten viele Entwickler heute bereits in dieser Weise. Tools wie KI-gestützte Code-Assistenten können komplette Funktionen, Datenbankabfragen oder API-Integrationen vorschlagen. Der Entwickler prüft die Ergebnisse, passt sie an und integriert sie in das bestehende Projekt.

Marketingagenturen setzen solche Systeme typischerweise in folgenden Bereichen ein:

• Entwicklung von Landingpages und Web-Applikationen
• Erstellung individueller Plugins für Content-Management-Systeme
• Implementierung von Tracking- oder Analyse-Skripten
• Integration externer SaaS-Dienste
• Automatisierung von Marketing-Workflows

Rechtlich betrachtet ist der Einsatz solcher Werkzeuge zunächst unproblematisch. Das deutsche Vertragsrecht enthält keine Vorgaben dazu, mit welchen technischen Mitteln ein Werk hergestellt werden muss. Maßgeblich ist allein, ob das vereinbarte Ergebnis erreicht wird.

Der Einsatz von Vibe Coding kann allerdings dann rechtlich relevant werden, wenn Auftraggeber berechtigterweise erwarten dürfen, dass Software vollständig individuell entwickelt und umfassend getestet wurde. In solchen Fällen kann die automatisierte Erstellung von Code eine Abweichung von der üblichen Leistungserbringung darstellen, insbesondere wenn sicherheitskritische Funktionen betroffen sind.

Aus diesem Grund empfiehlt es sich, den Einsatz KI-gestützter Entwicklungswerkzeuge bereits im Vertrag transparent zu regeln.

Werkvertragliche Haftung für Bugs und Sicherheitslücken

Die meisten Softwareprojekte von Marketingagenturen werden rechtlich als Werkverträge eingeordnet. Nach § 631 BGB schuldet der Unternehmer die Herstellung eines bestimmten Erfolgs. Im IT-Bereich bedeutet dies regelmäßig ein funktionsfähiges und technisch mangelfreies Softwareprodukt.

Die Haftung richtet sich daher primär nach den Vorschriften über Sachmängel. Nach § 633 Abs. 1 BGB ist ein Werk frei von Mängeln, wenn es die vereinbarte Beschaffenheit aufweist. Fehlt eine solche Vereinbarung, kommt es darauf an, ob sich das Werk für die gewöhnliche Verwendung eignet und eine Beschaffenheit besitzt, die bei vergleichbaren Leistungen üblich ist.

Bugs oder Sicherheitslücken stellen regelmäßig einen Sachmangel dar, wenn sie die Funktionsfähigkeit oder Sicherheit der Software beeinträchtigen. Dies gilt unabhängig davon, ob der Code manuell erstellt oder durch eine KI generiert wurde. Der Einsatz automatisierter Systeme führt nicht zu einer Haftungsprivilegierung.

Besonders problematisch sind Fehler, die auf typische Schwächen generativer KI zurückzuführen sind. Dazu gehören etwa fehlerhafte Bibliotheksverweise, unsichere Implementierungen von Authentifizierungsmechanismen oder logische Fehler in komplexen Funktionen. Werden solche Probleme nicht erkannt, kann dies zu erheblichen Schäden führen.

In solchen Fällen haftet die Agentur grundsätzlich für Nachbesserung nach § 635 BGB sowie gegebenenfalls für Schadensersatz nach § 634 Nr. 4 in Verbindung mit §§ 280 ff. BGB. Der Auftraggeber kann zudem unter bestimmten Voraussetzungen den Rücktritt erklären oder die Vergütung mindern.

Der Umstand, dass ein Teil des Codes durch ein KI-System erzeugt wurde, spielt für diese Haftung grundsätzlich keine Rolle. Entscheidend ist allein, ob das geschuldete Werk mangelfrei ist.

Sorgfaltspflichten beim Einsatz von Vibe Coding

Der Einsatz KI-gestützter Entwicklungssysteme führt nicht zu einer Reduzierung der Sorgfaltspflichten, sondern erhöht diese in vielen Fällen sogar. Agenturen müssen sicherstellen, dass automatisch generierter Code denselben Qualitätsstandards entspricht wie manuell entwickelte Software.

Die Rechtsprechung orientiert sich bei der Beurteilung solcher Fragen regelmäßig am sogenannten Stand der Technik. Dieser Begriff wird in zahlreichen Rechtsgebieten verwendet und beschreibt das technische Sicherheitsniveau, das von einem professionellen Anbieter erwartet werden kann.

Im IT-Bereich wird der Stand der Technik häufig anhand etablierter Sicherheitsrichtlinien beurteilt, etwa den OWASP-Standards für Webanwendungen. Werden grundlegende Sicherheitsanforderungen missachtet, kann dies eine Pflichtverletzung darstellen.

Für Agenturen bedeutet dies, dass KI-generierter Code nicht ungeprüft übernommen werden darf. Vielmehr sind strukturierte Prüfprozesse erforderlich. Dazu gehören insbesondere Code-Reviews, automatisierte Tests und Sicherheitsanalysen.

Auch organisatorische Maßnahmen können erforderlich sein. Dazu zählen etwa interne Richtlinien zum Einsatz von KI-Tools oder verbindliche Entwicklungsstandards. Gerade bei größeren Agenturen kann es sinnvoll sein, KI-generierten Code grundsätzlich einer zusätzlichen Qualitätsprüfung zu unterziehen.

Ein weiterer wichtiger Aspekt betrifft den Datenschutz. Wenn Entwickler Codegeneratoren nutzen, können Projektdaten oder Teile der Software an externe Anbieter übermittelt werden. Dies kann datenschutzrechtliche Konsequenzen haben, insbesondere wenn personenbezogene Daten betroffen sind.

Agenturen müssen daher prüfen, ob entsprechende Datenübermittlungen zulässig sind und ob gegebenenfalls Auftragsverarbeitungsverträge abgeschlossen werden müssen.

Vertragsgestaltung bei Projekten mit Vibe Coding

Eine der wichtigsten Maßnahmen zur Risikominimierung liegt in einer klaren vertraglichen Struktur. Viele Agenturverträge enthalten bislang keine Regelungen zum Einsatz KI-gestützter Entwicklungswerkzeuge. Angesichts der zunehmenden Verbreitung solcher Technologien ist dies problematisch.

Zunächst sollte geregelt werden, dass die Agentur berechtigt ist, automatisierte Systeme zur Unterstützung der Entwicklung einzusetzen. Dadurch wird klargestellt, dass der Einsatz solcher Technologien Bestandteil der vereinbarten Leistungserbringung ist.

Gleichzeitig sollte der Vertrag definieren, welche Qualitätsanforderungen gelten und welche Sicherheitsstandards einzuhalten sind. Je genauer diese Anforderungen beschrieben werden, desto geringer ist das Risiko späterer Streitigkeiten über Mängel.

Ein weiterer wichtiger Punkt betrifft Haftungsbegrenzungen. Im unternehmerischen Geschäftsverkehr können Haftungsbeschränkungen grundsätzlich vereinbart werden, sofern sie nicht gegen § 307 BGB verstoßen. Häufig wird die Haftung auf typische und vorhersehbare Schäden begrenzt oder auf einen bestimmten Höchstbetrag gedeckelt.

Auch Gewährleistungsfristen können angepasst werden. Während das Gesetz grundsätzlich eine zweijährige Verjährungsfrist vorsieht, kann diese in B2B-Verträgen verkürzt werden.

Schließlich empfiehlt es sich, den Umfang der Qualitätssicherung ausdrücklich zu definieren. Wird etwa vereinbart, dass bestimmte Tests durchgeführt werden, kann später nicht ohne Weiteres behauptet werden, dass darüber hinausgehende Prüfungen geschuldet gewesen wären.

Praktische Empfehlungen für Marketing- und Digitalagenturen

Der Einsatz von Vibe Coding bietet erhebliche wirtschaftliche Vorteile. Entwicklungszeiten verkürzen sich deutlich, und viele Standardfunktionen lassen sich in kurzer Zeit implementieren. Gleichzeitig entstehen neue rechtliche Risiken, insbesondere im Bereich der Softwarequalität und IT-Sicherheit.

Agenturen sollten daher mehrere organisatorische Maßnahmen ergreifen. Zunächst empfiehlt sich die Einführung interner Richtlinien zum Umgang mit KI-gestützter Softwareentwicklung. Diese können festlegen, in welchen Projekten solche Systeme eingesetzt werden dürfen und welche Prüfprozesse einzuhalten sind.

Ein weiterer wichtiger Punkt betrifft die Dokumentation. Gerade bei komplexen Projekten sollte nachvollziehbar bleiben, welche Teile des Codes automatisiert generiert wurden und welche manuell erstellt wurden. Diese Transparenz kann im Streitfall entscheidend sein.

Auch automatisierte Sicherheitsprüfungen sollten fester Bestandteil des Entwicklungsprozesses sein. Moderne Tools ermöglichen eine statische Codeanalyse sowie die Erkennung bekannter Sicherheitslücken in verwendeten Bibliotheken.

Schließlich spielt auch die Kommunikation mit Auftraggebern eine wichtige Rolle. Wer offen darlegt, welche Technologien eingesetzt werden und welche Sicherheitsmaßnahmen vorgesehen sind, reduziert das Risiko späterer Konflikte erheblich.

Fazit

Vibe Coding verändert die Softwareentwicklung in Marketing- und Digitalagenturen grundlegend. Der Einsatz generativer KI kann Entwicklungsprozesse erheblich beschleunigen und die Effizienz steigern. Rechtlich bleibt jedoch entscheidend, dass die geschuldete Leistung den vertraglichen Anforderungen entspricht und den üblichen Qualitätsstandards genügt.

Agenturen können sich nicht darauf berufen, dass Programmcode von einer KI generiert wurde. Die Verantwortung für Funktionsfähigkeit, Sicherheit und Wartbarkeit der Software bleibt beim Auftragnehmer. Fehlerhafte Implementierungen können daher weiterhin Gewährleistungs- und Schadensersatzansprüche auslösen.

Um rechtliche Risiken zu reduzieren, sind zwei Maßnahmen besonders wichtig. Zum einen müssen interne Qualitäts- und Prüfprozesse etabliert werden, die sicherstellen, dass KI-generierter Code sorgfältig überprüft wird. Zum anderen sollten Verträge klar regeln, unter welchen Voraussetzungen solche Technologien eingesetzt werden dürfen und welche Sicherheitsstandards gelten.

Wer diese Punkte beachtet, kann die Vorteile moderner Entwicklungswerkzeuge nutzen, ohne erhebliche Haftungsrisiken einzugehen. Gerade für Marketingagenturen, die regelmäßig digitale Produkte oder Softwarelösungen entwickeln, wird eine solche rechtliche und organisatorische Struktur zunehmend zu einem entscheidenden Wettbewerbsfaktor.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.