Vibecoding, Haftung und die Verantwortung von Agenturen beim Einsatz künstlicher Intelligenz

Softwareentwicklung verändert sich radikal. Was über Jahrzehnte das präzise Schreiben von Code war, wird zunehmend durch Kommunikation ersetzt. „Vibecoding“ beschreibt diesen Wandel: Der Entwickler beschreibt in natürlicher Sprache, was er erreichen möchte, und eine generative KI erstellt daraus funktionsfähigen Code. Der Mensch wird vom Programmierer zum Anweisenden, vom Autor zum Dirigenten. Die Maschine übernimmt die Umsetzung, die bisher menschliche Kreativität und Fachwissen verlangte.

Dieses Prinzip ist faszinierend, weil es Geschwindigkeit und Produktivität massiv erhöht. Eine Webanwendung, die früher Tage erforderte, kann heute binnen Stunden entstehen. Gleichzeitig verschiebt sich die Verantwortung. Wer Code nicht mehr schreibt, sondern nur noch Prompts formuliert, versteht oft nicht mehr vollständig, was tatsächlich im Hintergrund geschieht. Das führt zu einer Entkopplung zwischen Intention und Ergebnis. Für Entwickler ist das ein technisches, für Juristen ein haftungsrechtliches Problem. Denn mit jedem Prompt, den eine KI interpretiert, entsteht eine unkontrollierbare Variante des Werkes. Das wirft Fragen auf: Wer ist Urheber? Wer haftet für Fehler? Und wer trägt das Risiko, wenn die KI rechtlich oder technisch fehlerhaften Code erzeugt?

Vibecoding ist damit kein Trend, sondern ein Umbruch. Es ersetzt die Handwerksarbeit des Codens durch ein kooperatives System aus Mensch und Maschine. Doch gerade weil die Grenzen zwischen Werkzeug und Akteur verschwimmen, ist die juristische Analyse entscheidend, um Verantwortlichkeiten klar zu definieren.

Der rechtliche Rahmen – Werkvertrag, Sorgfaltspflichten und Transparenz

Sobald eine Agentur Software im Auftrag eines Kunden erstellt, entsteht in aller Regel ein Werkvertrag nach §§ 631 ff. BGB. Geschuldet ist das fertige, mangelfreie Produkt – unabhängig davon, welche Methoden zu seiner Erstellung verwendet wurden. Wer also ein KI-System nutzt, bleibt gleichwohl Werkunternehmer. Das bedeutet: Die Verantwortung für die Fehlerfreiheit, Sicherheit und Funktionsfähigkeit liegt vollständig bei der Agentur.

Der Einsatz künstlicher Intelligenz ändert nichts an dieser Grundregel. Im Gegenteil: Er erhöht die Prüfpflichten. Während klassische Entwickler ihren Code im Detail verstehen und kontrollieren, müssen Agenturen beim Vibecoding sicherstellen, dass die maschinell erzeugten Ergebnisse geprüft, dokumentiert und validiert werden. Ein bloßes Vertrauen in die Fähigkeit der KI, „funktionierenden“ Code zu liefern, wäre fahrlässig.

Vertraglich sollte deshalb klar geregelt werden, ob KI-Systeme eingesetzt werden, in welchem Umfang und wie die Ergebnisse überprüft werden. Transparenz schafft Rechtssicherheit. Der Kunde muss wissen, dass der Code teilweise generativ entstanden ist, um seine eigenen Prüfprozesse und Haftungsstrategien anzupassen. In der Praxis empfiehlt sich eine Offenlegungsklausel im Vertrag, verbunden mit einer Zusicherung, dass alle generierten Bestandteile getestet und auf Sicherheitsrisiken geprüft wurden.

Entscheidend ist auch die Frage der Abnahme. Da KI-generierter Code schwer nachvollziehbar ist, sollten Abnahmekriterien nicht nur funktional (also „läuft oder läuft nicht“) definiert werden, sondern auch qualitative Standards enthalten: Dokumentation, Wartbarkeit, Code-Kommentierung und Sicherheitsarchitektur. Nur so lässt sich sicherstellen, dass die Software langfristig nutzbar bleibt.

Urheberrechtliche Zuordnung und Rechteübertragung bei KI-Code

Urheberrechtlich stellt Vibecoding eine Herausforderung dar. Nach § 2 Abs. 1 Nr. 1 UrhG sind Computerprogramme geschützt, wenn sie das Ergebnis einer persönlichen geistigen Schöpfung sind. Fehlt dieser menschliche Schöpfungsakt, fehlt auch der Schutz. KI-generierter Code entsteht jedoch nicht durch menschliche Kreativität, sondern durch statistische Berechnung und Mustererkennung. Es gibt daher Fälle, in denen der Code überhaupt nicht urheberrechtlich geschützt ist – und damit auch keine Rechte übertragen werden können.

Noch gravierender ist das Risiko, dass die KI auf urheberrechtlich geschütztes Material zurückgreift. Viele Modelle wurden mit öffentlich zugänglichem Code trainiert, der unter Open-Source-Lizenzen steht. Diese Lizenzen enthalten oft strikte Pflichten, etwa Namensnennung oder Weitergabe unter denselben Bedingungen („Copyleft“). Wenn eine Agentur generierten Code in ein kommerzielles Produkt einbaut, ohne die Lizenz zu beachten, kann das eine Rechtsverletzung darstellen. Der Auftraggeber riskiert Abmahnungen oder Unterlassungsansprüche, obwohl er selbst die Herkunft des Codes gar nicht kennt.

Aus diesem Grund ist es ratsam, in Verträgen klare Zusicherungen zu treffen. Die Agentur sollte garantieren, dass sie den Code auf Rechte Dritter überprüft hat und dass keine urheberrechtlichen oder lizenzrechtlichen Verletzungen bestehen. Gleichzeitig sollte eine Freistellungsklausel vereinbart werden, nach der die Agentur den Auftraggeber von Ansprüchen Dritter freihält, soweit diese auf den Einsatz generativer Systeme zurückgehen.

Darüber hinaus empfiehlt es sich, die Rechteübertragung umfassend zu regeln: Die Agentur sollte alle ihr zustehenden Nutzungsrechte an den Auftraggeber übertragen – unabhängig davon, ob der Code manuell oder KI-basiert erstellt wurde. Auch wenn KI-generierter Code möglicherweise nicht geschützt ist, schafft die vertragliche Rechteübertragung zumindest wirtschaftliche Klarheit.

Haftungsrisiken und Prüfpflichten der Agenturen

Haftung ist das zentrale Risiko des Vibecoding. Die Agentur schuldet ein funktionierendes Werk, und sie haftet für Schäden, die aus Pflichtverletzungen resultieren. § 280 BGB normiert den allgemeinen Schadensersatzanspruch bei Pflichtverletzung, § 633 BGB die Gewährleistungspflicht für Mängel. Diese Vorschriften gelten uneingeschränkt auch für Software, die mithilfe künstlicher Intelligenz erstellt wurde.

Ein häufiger Irrtum besteht darin, dass die Verantwortung „auf die KI“ abgewälzt werden könne. Das ist rechtlich ausgeschlossen. Die KI ist kein Rechtssubjekt, sie kann keine Verantwortung übernehmen. Derjenige, der sie einsetzt, bleibt verantwortlich. Selbst wenn der Fehler ausschließlich im generativen Prozess liegt, haftet die Agentur, sofern sie den Code ungeprüft übernommen oder unzureichend getestet hat.

Zur Haftungsvermeidung gehört daher ein umfassendes Qualitätssicherungssystem. Der generierte Code muss einem strukturierten Prüfverfahren unterzogen werden – funktional, sicherheitstechnisch und urheberrechtlich. Auch eine Dokumentation der verwendeten Prompts und Versionen kann im Streitfall entscheidend sein, um nachzuweisen, dass die Agentur sorgfältig gehandelt hat.

Ein weiteres Risiko liegt in der mangelnden Wartbarkeit. KI-generierter Code ist oft komplex und wenig dokumentiert. Wenn spätere Fehler auftreten, kann die Nachbesserung aufwendig und teuer werden. Der Kunde hat dann möglicherweise Anspruch auf Ersatz des entstandenen Schadens, etwa für Ausfallzeiten oder Nachbesserungskosten. Um dies zu vermeiden, sollten Agenturen bereits im Vertrag eine klare Wartungsregelung aufnehmen und sicherstellen, dass generierte Programme technisch nachvollziehbar bleiben.

Regulierung, Compliance und der Einfluss des europäischen AI-Rechts

Die Haftungsrisiken verschärfen sich durch neue europäische Regelungen. Der AI Act der Europäischen Union wird voraussichtlich ab 2026 vollständig gelten und schafft erstmals ein verbindliches Rechtsregime für KI-Systeme. Zwar richtet sich die Verordnung in erster Linie an Entwickler und Anbieter eigenständiger KI-Systeme, sie wirkt aber mittelbar auch auf deren Nutzer – also auf Agenturen, die diese Systeme in Kundenprojekten einsetzen.

Wer ein generatives Modell für Softwareentwicklung verwendet, muss künftig Transparenz- und Dokumentationspflichten erfüllen. Es wird verlangt, nachvollziehbar darzulegen, welche Modelle verwendet wurden, welche Trainingsdaten zugrunde liegen und wie die Qualität der Ergebnisse sichergestellt wurde. Für Agenturen bedeutet das, dass sie interne Prozesse zur Nachvollziehbarkeit und Risikobewertung einführen müssen.

Hinzu kommt der Cyber Resilience Act, der verbindliche Sicherheitsstandards für digitale Produkte vorsieht. Software, die Schwachstellen aufweist, kann künftig nicht nur Gewährleistungs-, sondern auch regulatorische Haftung auslösen. Das betrifft insbesondere Anwendungen, die personenbezogene Daten verarbeiten oder sicherheitskritische Funktionen übernehmen.

Schließlich bleibt auch der Datenschutz ein relevanter Aspekt. Wenn eine KI personenbezogene Daten verarbeitet, sind die Vorschriften der DSGVO uneingeschränkt anwendbar. Das betrifft insbesondere Fälle, in denen der generative Code Zugriff auf Kundendaten ermöglicht oder Log-Dateien personenbezogene Informationen enthalten. Agenturen sollten daher prüfen, ob eine Auftragsverarbeitungsvereinbarung erforderlich ist und welche technischen und organisatorischen Maßnahmen sie zur Datensicherheit nachweisen können.

Die Regulierung folgt damit einem klaren Grundsatz: Wer KI nutzt, muss Transparenz schaffen. Für Agenturen ist das nicht nur eine rechtliche Pflicht, sondern auch ein Mittel zur Risikominimierung. Dokumentation, Nachvollziehbarkeit und Offenlegung sind künftig die entscheidenden Verteidigungslinien gegen Haftungsansprüche.

Fazit – Chancen nutzen, Risiken vertraglich und organisatorisch beherrschen

Vibecoding wird die Softwareentwicklung dauerhaft prägen. Für Agenturen eröffnet es enorme Effizienzgewinne, schnellere Projektumsetzung und neue Geschäftsmodelle. Doch diese Vorteile sind nur realisierbar, wenn rechtliche und organisatorische Strukturen mithalten. Der Einsatz von KI entbindet nicht von Verantwortung – er verlangt im Gegenteil ein höheres Maß an Kontrolle, Transparenz und Dokumentation.

Juristisch bleibt festzuhalten: Die Grundprinzipien des Vertragsrechts gelten fort. Wer ein Werk schuldet, haftet für dessen Fehlerfreiheit. Der Einsatz einer KI ist rechtlich kein Exkulpationsgrund, sondern ein internes Produktionsmittel. Wer es nutzt, muss es beherrschen. Urheberrechtlich sind Rechteklärung und Lizenzkontrolle unverzichtbar, haftungsrechtlich sind Prüf- und Qualitätssicherungsprozesse Pflicht.

Praktisch empfiehlt sich ein dreistufiges Vorgehen: Zunächst müssen Agenturen intern definieren, wann und in welchem Umfang Vibecoding eingesetzt wird. Danach sind Vertragsmuster anzupassen, um Offenlegung, Haftung und Rechteübertragung zu regeln. Schließlich sollten technische Prüfverfahren institutionalisiert werden – von Code-Review über statische Analyse bis hin zu Sicherheits-Audits.

Für Auftraggeber gilt spiegelbildlich, dass sie nicht blind auf die Effizienzversprechen von KI vertrauen dürfen. Sie sollten in ihren Ausschreibungen und Verträgen ausdrücklich regeln, ob und in welchem Umfang künstliche Intelligenz eingesetzt werden darf, und sich Nachweise über Test- und Dokumentationsverfahren vorlegen lassen.

Letztlich ist Vibecoding eine Einladung, die Zusammenarbeit von Mensch und Maschine neu zu denken. Juristisch bleibt der Mensch der Verantwortliche – aber er kann sich durch kluge Vertragsgestaltung und transparente Prozesse absichern. Wer diese Verantwortung ernst nimmt, kann die Chancen der KI nutzen, ohne in die Haftungsfalle zu geraten. Die Zukunft der Softwareentwicklung wird promptbasiert sein – die Zukunft des Rechts bleibt menschlich.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.