Persönlich, keine Chatbots, klare Kommunikation: Bei uns kümmert sich ein persönlich erreichbarer Mensch

Vom Mietvertrag zur Wegwerfware: Wie KI das IT-Vertragsrecht neu ordnet

KI-Agenten erschüttern die Softwarebranche und lassen Milliarden an Börsenwert verschwinden, während sich der Boden des IT-Vertragsrechts unter den Füßen der Branche verändert. Wo bislang Cloud-Abos und Dienstverträge dominierten, rücken nun Werkvertrag, Urheberrechtsfragen und Produkthaftung in den Vordergrund, denn KI-generierter Code ist oft gemeinfrei und fehleranfällig zugleich.

KI-generierte „Wegwerfsoftware“ verschiebt den Schwerpunkt des IT-Vertragsrechts weg von Dauerschuldverhältnissen wie Cloud-Abonnements hin zu Werkverträgen und Haftungsfragen, wobei Urheberrecht und Produkthaftung zu den zentralen Streitfeldern werden. Der folgende Beitrag ordnet diese Verschiebung ein und erweitert die bisherige Analyse um die urheberrechtliche Schutzfähigkeit von KI-Code und die konkreten Haftungsrisiken fehlerhafter KI-Ausgaben.

Erschütterung der Börse

Als Anthropic Ende Januar 2026 mit „Claude Cowork“ ein System vorstellte, das komplette Arbeitsabläufe eigenständig durchläuft, reagierten die Märkte binnen zwei Handelstagen mit einem Einbruch des Software-Subindex um mehr als 24 Prozent, wobei etablierte SaaS-Titel wie ServiceNow, Workday und Salesforce besonders stark an Marktkapitalisierung verloren. Allein an der Wall Street büßte der Sektor an einem einzigen Handelstag fast 300 Milliarden Dollar an Börsenwert ein, während Analysten befürchten, dass Claude Cowork klassischen Wissensarbeitern in Kanzleien und Unternehmen die Grundlage entzieht. Investoren, die im Crash bereits nach Kaufgelegenheiten suchen, verweisen darauf, dass historisch niedrige Bewertungen bei gleichzeitig extrem negativer Marktstimmung antizyklische Chancen eröffnen könnten.

Gartner untermauert den strukturellen Charakter dieser Verschiebung mit der Prognose, dass bis zum Jahr 2030 rund 234 Milliarden Dollar an Ausgaben für Unternehmensanwendungen durch sogenannte agentische Arbitrage gefährdet seien, weil KI-Agenten zunehmend direkt mit Unternehmenssystemen interagieren und den klassischen Nutzer an der Bildschirmoberfläche umgehen.

Von der Miete zum Wegwerfprodukt

Das dahinterliegende Geschäftsmodell, das jahrzehntelang das IT-Vertragsrecht geprägt hat, war die Softwaremiete in Form von SaaS-Abonnements, bei denen Nutzungsrechte gegen laufende Vergütung eingeräumt wurden und Mängelgewährleistung sowie Verfügbarkeitspflichten des Anbieters im Zentrum standen. Wenn KI-Agenten jedoch maßgeschneiderte Anwendungen per Prompt erzeugen können, die exakt auf den jeweiligen Bedarf zugeschnitten sind und nach Erledigung ihrer Aufgabe wieder verworfen werden, entsteht eine Kategorie, die man treffend als Wegwerfsoftware bezeichnet, da sie nicht auf Dauer angelegt ist, sondern für einen einzigen Zweck erzeugt und danach entsorgt wird.

In iX wird dieser Wandel zutreffend als Beginn eines Zeitalters beschrieben, in dem maßgeschneiderte Lösungen so günstig werden, dass der Markt für Standardsoftware dauerhaft unter Druck gerät, was insbesondere horizontale SaaS-Segmente wie CRM, ERP und HR-Tools betrifft, die durch generative KI substituierbar werden. Gartner beziffert diesen Effekt konkret: Autonome Agenten, die Aufgaben über mehrere Systeme hinweg erledigen, lösen die traditionelle Kopplung zwischen Nutzerwachstum und Umsatzwachstum vieler Softwareanbieter auf, da nicht mehr primär für Menschen, sondern für Agenten eingekauft wird.

Vom Dienst zum Werk

Rechtlich bedeutet diese Verschiebung, dass der Schwerpunkt vertraglicher Regelung sich von der Dauerbereitstellung (Dienst- und Mietrecht) auf die einmalige Herstellung eines funktionierenden Ergebnisses (Werkvertragsrecht nach § 631 BGB) verlagert, denn wer eine KI beauftragt, ein Programm für einen konkreten Zweck zu erzeugen, schuldet sich selbst oder seinem Auftraggeber einen Erfolg und nicht eine fortlaufende Betriebsbereitschaft.

In der Fachliteratur zum Softwarerecht wird etwa darauf hingewiesen, dass der Werkunternehmer bei der Wahl seiner Arbeitsmittel grundsätzlich frei ist, sodass KI-gestütztes Coding mangels ausdrücklicher vertraglicher Einschränkung ohne Weiteres zulässig ist, während § 613 BGB (Höchstpersönlichkeit) in der Praxis kaum Grenzen setzt – weil diese Auslegungsregel bei IT-Projektverträgen regelmäßig durch die Umstände widerlegt wird. Das verschiebt die Verhandlungslast faktisch auf jene Partei, die den Einsatz von KI beschränken möchte, was in Vertragsentwürfen inzwischen zu einem eigenen Klauseltypus geführt hat.

Wem gehört der Code

Die urheberrechtliche Einordnung KI-generierten Codes ist das Fundament, auf dem alle vertraglichen Folgefragen aufbauen, denn das deutsche Recht ist strikt am Menschen konzipiert: Nach § 7 UrhG kann Urheber nur eine natürliche Person sein, sodass reiner KI-Output grundsätzlich gemeinfrei bleibt, sofern die KI nicht bloß als Werkzeug unter menschlicher Kontrolle eingesetzt wurde.

Howe, Gülker und Wagenpfeil (CR 2026, 215ff und 285ff) ordnen den praktischen KI-Einsatz dabei als Kontinuum mit fünf Stufen ein, das von der klassischen Programmierung ohne KI-Unterstützung über den Einsatz KI-gestützter Werkzeuge wie GitHub Copilot, KI-gestütztes Bugfixing und Refactoring sowie die Erzeugung klar abgrenzbarer KI-Artefakte (Testfälle, Boilerplate-Code) bis zum vollständig autonomen Vibe-Coding reicht. Für die ersten vier Stufen setzt sich in der Literatur die sogenannte Werkzeugtheorie durch, wonach die Schöpfungsleistung dem Menschen zurechenbar bleibt, solange Entwurf, Auswahl und Integration in seiner Hand liegen; das Gegenargument, die sogenannte Kontingenzthese, wonach KI-Ausgaben selbst bei identischem Prompt nicht hinreichend vorhersehbar und steuerbar seien und die Zurechnung daher ausscheide, überzeugt in dem Konzept nur für die letzte Stufe, das Vibe-Coding.

Beim Vibe-Coding, bei dem der Nutzer lediglich eine Zielbeschreibung in natürlicher Sprache vorgibt und die KI Architektur, Programmiersprache und Implementierung eigenständig bestimmt, entfällt der urheberrechtliche Schutz vollständig, und zwar dauerhaft: Diese Gemeinfreiheit lässt sich nach den Autoren auch durch nachträgliche menschliche Überarbeitung nicht mehr beseitigen, es sei denn, die Bearbeitung erreicht selbst die für Computerprogramme erforderliche Schöpfungshöhe nach § 69a Abs. 3 UrhG. Das lässt Lizenzklauseln in Softwareüberlassungsverträgen, die traditionell auf einer bestehenden Schutzfähigkeit aufbauen, praktisch ins Leere laufen.

Der BGH hat in der Entscheidung „Delcantos Hits“ zwar entschieden, dass die Schutzunfähigkeit des Lizenzgegenstandes weder die Wirksamkeit des Lizenzvertrages noch die Pflicht zur Zahlung der Lizenzgebühr berührt, sofern der Lizenzgeber dem Lizenznehmer eine wirtschaftliche Vorzugsstellung verschafft; die dortigen Prämissen (Ungewissheit über die Schutzrechtslage, Achtung des Schutzrechts durch Dritte) lassen sich auf vollständig KI-generierte Software jedoch nur eingeschränkt übertragen, da bei bekanntermaßen durch Vibe-Coding entstandenem Code gerade keine solche Ungewissheit besteht.

Als Ausweg rückt der Schutz nach dem Geschäftsgeheimnisgesetz in den Fokus, weil dieses Regime kein Schöpferprinzip kennt: § 2 Nr. 1 GeschGehG stellt nur objektive Anforderungen an die Information selbst und nicht an ihren Entstehungsprozess, sodass auch rein maschinell generierte Artefakte geschützt sein können, sofern sie weder allgemein bekannt noch leicht zugänglich sind.

Bei KI-as-a-Service-Konstellationen entsteht dabei jedoch ein eigenes Zurechnungsproblem: Da Inhaber eines Geschäftsgeheimnisses nach § 2 Nr. 2 GeschGehG nur ist, wer die rechtmäßige Kontrolle über die Information hat, muss vertraglich zwingend geklärt werden, ob diese Kontrolle beim Nutzer oder beim Cloud-Anbieter liegt, und ob der Anbieter sich Rechte am Input oder Output vorbehält, was sonst zur Mitinhaberschaft des Anbieters an fremden Geschäftsgeheimnissen führen kann. Das heißt für Vertragsgestalter, dass Klauseln zur ausschließlichen Zuweisung der Output-Inhaberschaft und zum Ausschluss der Trainingsnutzung von Prompts und Ergebnissen unverzichtbar werden, denn ohne solche Regelung droht der wirtschaftliche Wert des Codes zwischen zwei Schutzregimen zu verschwinden, die beide an ihre eigenen Grenzen stoßen.

Haftung statt Verfügbarkeit

Während beim klassischen SaaS-Vertrag die Haftung sich vorwiegend um Ausfallzeiten, Datenverlust und Service-Level-Agreements drehte, rückt bei KI-generierter Software die Frage in den Vordergrund, wer für fehlerhaften, unsicheren oder halluzinierten Code haftet. Nach einer Analyse von CodeRabbit verursacht KI-generierter Code das 1,7-fache an Problemen im Vergleich zu menschlich geschriebenem Code, und rund 45 Prozent des scheinbar produktionsreifen KI-Codes enthalten laut VeraCode tatsächlich Sicherheitslücken, was unter anderem zu einem dokumentierten Systemausfall bei einem großen Cloud-Anbieter geführt haben soll.

Diese technische Fehleranfälligkeit trifft nun auf ein grundlegend neu geordnetes Haftungsregime: Die neue Produkthaftungs-Richtlinie (RL 2024/2853), die bis zum 9. Dezember 2026 in nationales Recht umgesetzt werden muss, unterstellt Software und KI-Systeme erstmals ausdrücklich dem Produktbegriff, einschließlich Software-as-a-Service-Modellen. Der Referentenentwurf des Bundesjustizministeriums zur Umsetzung sieht vor, dass auch Schäden durch fehlerhafte Software, Updates und KI-Systeme generell in die Produkthaftung einbezogen werden, wobei lediglich unentgeltlich außerhalb einer Geschäftstätigkeit bereitgestellte Open-Source-Software ausgenommen bleibt.

Besonders praxisrelevant ist dabei die Frage der Halluzinationshaftung: Falsche KI-Antworten können als fehlerhafte Produkte eingestuft werden, wenn sie als Entscheidungsgrundlage in Unternehmen genutzt werden, etwa bei KI-gestützten Rechtsberatungstools, medizinischer Diagnose-KI oder KI-generierten Compliance-Analysen. Die österreichische Analyse zur neuen Richtlinie präzisiert diesen Ansatz dahingehend, dass eine inhaltlich fehlerhafte Information nicht bloß falsch sein darf, sondern durch einen Konstruktions- oder Instruktionsfehler der Software verursacht worden sein muss, wobei Produkthaftungsansprüche letztlich nur bei KI-Systemen mit spezifischem Verwendungszweck in Betracht kommen, während bei Allzweck-Chatbots wie ChatGPT oder Gemini mangels vorhersehbaren Gebrauchs regelmäßig kein Produktfehler vorliegt. Für die Praxis bedeutsam ist zudem die Beweislasterleichterung: Bei unzumutbar schwieriger Beweisführung wird Kausalität beziehungsweise Fehlerhaftigkeit vermutet, und selbst nachträgliche Post-Deployment-Updates lernender Systeme können neue Fehlerhaftigkeit begründen, wobei Anbieter, Importeur und Händler gesamtschuldnerisch haften können. Unternehmen, die KI-Outputs ohne ausreichende menschliche Überprüfung in Geschäftsentscheidungen einfließen lassen, setzen sich damit einem doppelten Risiko aus: einer Haftung nach der Produkthaftungs-Richtlinie als Nutzer eines fehlerhaften KI-Produkts und parallel einer Haftung nach dem EU AI Act als Betreiber von Hochrisiko-KI, wofür Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Vorjahresumsatzes drohen.

Zivilrechtlich innerhalb des Vertragsverhältnisses bleibt daneben die Frage offen, ob die fehlende urheberrechtliche Schutzfähigkeit KI-generierten Codes selbst einen Sachmangel begründen kann, wenn Verträge dazu keine ausdrückliche Beschaffenheitsvereinbarung enthalten. Darin dürfte ein praktisch relevantes Streitpotenzial bestehen, gerade bei der Einschaltung von Subunternehmern oder der Entwicklung von Individualsoftware, wo die Werkqualität für den Auftraggeber eine hohe Bedeutung haben kann. Vertragsparteien ist deshalb dringend zu ausdrücklichen Regelungen statt zur bloßen Hoffnung auf eine für sie günstige gerichtliche Auslegung zu raten.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und herausragender Fachanwalt für IT-Recht - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht im Raum Aachen, Heinsberg und Düren - spezialisiert auf Cybercrime, Cybersecurity, digitale beweismittel, Wirtschaftsstrafrecht & Softwarerecht

Neue Vertragsklauseln entstehen

Die Praxis reagiert bereits mit einem vierstufigen Modell der Vertragsgestaltung, das von der bloßen Offenlegungspflicht (Stufe 1) über die selektive Gestattung bestimmter KI-Einsatzszenarien wie erlaubtes Bugfixing bei gleichzeitigem Vibe-Coding-Verbot (Stufe 2) und eine Werkqualitäts-Garantie mit Dokumentationspflicht (Stufe 3) bis zum vollständigen Verbot des KI-Einsatzes (Stufe 4) reicht. Ergänzend etablieren sich Klauseln zur Freistellung von Drittrechtsverletzungen bei KI-Output, zur Geheimhaltung bei Nutzung von KI-as-a-Service (insbesondere die vertragliche Zuweisung der Inhaberschaft am erzeugten Output) sowie zur transparenten Vergütungsstruktur, weil Effizienzgewinne durch KI häufig nicht zu geringeren Kosten führen, sondern den Aufwand von der Codeerzeugung zur Qualitätskontrolle verschieben.


Gartner formuliert die praktische Konsequenz für Unternehmen inzwischen ähnlich pointiert wie deutsche IT-Rechtler: Vertragsklauseln zu Agentenrechten sollten schon heute verhandelt werden, weil bestehende Verträge auch dann fortgelten, wenn Unternehmens-KI-Agenten zum Standard werden, und die wichtigste Klausel der nächsten Vertragsgeneration die Frage regelt, wem gehört, was das System aus den eingegebenen Daten lernt. In einem Vergleich könnte man sich das so vorstellen:

VertragsdimensionKlassisches SaaS/Cloud-ModellKI-generierte Wegwerfsoftware
Vertragstyp im SchwerpunktMiet-/Dienstvertrag (Dauerschuldverhältnis)Werkvertrag (punktueller Erfolg)
Zentrales RisikoVerfügbarkeit, SLA, DatenverlustCodequalität, Sicherheitslücken, Haftung
RechteinhaberschaftLizenzierte Nutzungsrechte an StandardsoftwareHäufig gemeinfrei (Vibe-Coding) oder Geschäftsgeheimnis
HaftungsregimeVertragliche Gewährleistung, AGB-KontrolleProdukthaftungs-RL 2024/2853, Beweislasterleichterung
Geschäftsmodell-TrendWiederkehrende AbonnementerlöseEinmalige, KI-Agenten-vermittelte Erstellung

Unternehmen, die Softwareprojekte beauftragen oder selbst als IT-Dienstleister auftreten, haben also eine klare Handlungsempfehlung: Verträge sollten nicht mehr allein die Verfügbarkeit einer Cloud-Instanz absichern, sondern explizit regeln,

  • in welchem Umfang generative KI eingesetzt werden darf,
  • wer für fehlerhafte Ergebnisse haftet und
  • wem die Rechte am Ergebnis zustehen, da das dispositive Recht diese Fragen nur unzureichend beantwortet und im Streitfall regelmäßig zulasten derjenigen Partei ausgeht, die keine ausdrückliche Regelung getroffen hat.
Rechtsanwalt Jens Ferner
, ,