Anmelden Abonnieren
Prompting

Prompting ist nicht tot: Es steckt nur in KI‑Workflows verborgen

Wie schützen Sie Ihr Unternehmen vor den versteckten Haftungsfallen proprietärer KI-Workflows, bevor die Black-Box Ihre Compliance gefährdet?

Manuela Frenzel

4 Min. Lesezeit
Teilen
Prompting ist nicht tot: Es steckt nur in KI‑Workflows verborgen
Ein Prompt-Engineer vor seinem PC mit Prompt-Workflows.

Der Aufruhr um „Prompting ist tot“

Der Satz „Prompting ist tot“ geht seit einigen Monaten viral. Er wird von Anbietern genutzt, um fertige KI‑Automation‑Workflows zu verkaufen: zu Preisen von vier- bis fünfstelligen Eurobeträgen.

Die eigentliche Logik bleibt verborgen: proprietäre Prompts, Rollen‑ und Guardrail‑Anweisungen, Chain‑of‑Thought‑ und Tool‑Calling‑Mechanismen.

Für den Käufer klingt das verlockend: ein „Standard‑Workflow“, der Content erstellt, Social‑Media‑Posts plant und Newsletter versendet, ohne dass er selbst tief in die KI‑Technik eintauchen muss.

In der Praxis jedoch birgt dieses Modell ein erhebliches Haftungsrisiko, insbesondere im DACH‑Raum, wo Datenschutz, Produkthaftung und der gerade erst veröffentlichte AI Act klare Transparenz‑ und Dokumentationspflichten vorschreiben.

Was genau wird als „proprietäres IP“ verkauft?

System- & Rollen-Prompts PROPRIETÄR
Funktion

Definieren die Grundhaltung, das Wissen und das Verhalten des KI-Agents.

Status „Geheim-Wissen“

Schutz als „Unternehmens-IP“, um Wettbewerbsvorteile zu sichern.

Guardrail-Prompts PROPRIETÄR
Funktion

Ethische Standards, Diskriminierungsschutz und PII-Leak-Prävention.

Status „Geheim-Wissen“

Deklaration als schützenswert, obwohl es Compliance-Funktionen sind.

Chain-of-Thought / Tool-Calling PROPRIETÄR
Funktion

Steuerung der internen Denkprozesse und Handlungsabläufe.

Status „Geheim-Wissen“

Gehütet als „Geheim-Workflow“, trotz Relevanz für Risikomanagement.

Die Bezeichnung „proprietäres IP“ suggeriert einen technischen Schutz, deckt aber in Wahrheit die kritischen ethischen und rechtlichen Bausteine einer KI‑Lösung ab.

Wer diese Elemente kauft, übernimmt unwissentlich die Verantwortung für alles, was daraus entsteht.

Das haftungsrechtliche Paradoxon

  • Kunde ist haftungsverantwortlich: nach DSGVO, BGB und nationalen Deliktsnormen (z. B. § 823 BGB, Art. 41 OR).
  • Kunde kann die internen Mechanismen nicht prüfen:  keine Einsicht in Prompts, Guardrails oder Logging‑Daten.

Dieses Dilemma kollidiert mit drei zentralen EU‑Regelwerken:

DSGVO
Kernpflichten

Rechenschaftspflicht, Datenschutz-by-Design, Dokumentationspflicht.

Konflikt mit Black-Box

Keine Transparenz über Datenverarbeitung und Entscheidungslogik.

AI Act
(2024)
Kernpflichten

Risikomanagement, Logging, menschliche Aufsicht, Dokumentation.

Konflikt mit Black-Box

Black-Box-Lösungen erfüllen kaum diese Anforderungen.

Produkthaftung
Kernpflichten

Haftung für fehlerhafte Produkte, inkl. Software und KI-Systeme.

Konflikt mit Black-Box

Fehlende Nachvollziehbarkeit erschwert die Zuordnung von Ursachen.

Der zurückgezogene AI‑Liability‑Directive‑Entwurf hätte diese Lücken geschlossen, indem er die Beweislast umdreht und Anbietern die Pflicht zur Bereitstellung technischer Dokumentation auferlegt.

Auch ohne Gesetzgebung bleibt das Prinzip bestehen: Wer eine Black Box betreibt, kann nicht mehr vor Gericht behaupten, er habe nichts zu verbergen.

Warum die Black‑Box‑Strategie für Käufer gefährlich ist

  1. Verletzung der DSGVO‑Rechenschaftspflicht: Fehlende Nachweise über Datenverarbeitung und Schutzmassnahmen können zu Bussgeldern führen.
  2. AI‑Act‑Nicht‑Einhaltung: Fehlendes Risikomanagement und Logging kann bei Hochrisiko‑Einsätzen zu Sanktionen führen.
  3. Produkthaftungsrisiken: Fehlende Dokumentation erschwert die Zuordnung von Ursachen bei Schäden.
  4. Deliktsrechtliche Haftung: Manipulierte Inhalte (z. B. falsche medizinische Angaben, irreführende Finanzzahlen) können nach § 823 BGB oder Art. 41 OR zu Schadenersatz und Unterlassungsansprüchen führen, wenn der Betreiber fahrlässig handelte.

Beispiel: Ein Kunde nutzt ein KI‑Workflow, das automatisch Newsletter‑Texte erzeugt. Das System verfasst versehentlich eine falsche Angabe über die Wirksamkeit eines Medikaments. Der Kunde wird als Verantwortlicher im Impressum genannt, obwohl er die KI‑Lösung nur importiert hat.

Was verantwortungsvolle Unternehmen bereits tun

Massnahme

Transparenz-Forderungen

Ziel: Recht auf Einsicht in Prompts, Guardrails und Logging-Daten.
Praxisbeispiel: Vertragsklauseln zur Bereitstellung technischer Dokumentation in auditierbarer Form.
Massnahme

Haftungsverteilung

Ziel: Verantwortlichkeiten zwischen KI-Experten und End-Nutzern definieren.
Praxisbeispiel: Separate SLA- und Regressvereinbarungen zur Haftungsregelung.
Massnahme

Prompt-Know-How

Ziel: Abhängigkeit von externen Black-Box-Anbietern reduzieren.
Praxisbeispiel: Interne Schulungen zu Prompt-Design und Policy-Gestaltung.

Prompting ist nicht tot: Die Haftung wird nur transparenter

Der Satz „Prompting ist tot“ ist ein Marketing‑Slogan, der den eigentlichen Konflikt verschleiert: Proprietäre Prompts und Guardrails werden als geschützte „Intellectual Property“ vermarktet, während der Käufer die volle Verantwortung für Datenschutz, Produkthaftung und regulatorische Compliance trägt.

Für Unternehmen im DACH‑Raum bedeutet das:

  1. Keine Black‑Box‑Käufe ohne Prüfung: Fordern Sie vom Anbieter Dokumentation und Audit‑Zugang.
  2. Vertragliche Regelungen schaffen: Klärung, wer welche Pflichten (DSGVO, AI Act, Produkthaftung) übernimmt.
  3. Eigenes Know‑How aufbauen: Prompt‑Design, Policy‑Gestaltung und Guardrails sind keine „externe“ Aufgabe, sondern ein internes Compliance‑Element.
  4. Rechtliche Trends im Blick behalten: Auch wenn die EU‑AI‑Liability‑Directive zurückgezogen wurde, bleibt das Prinzip von Transparenz, Risikomanagement und Kausalitätsvermutungen bestehen.

Wer heute in intransparente KI‑Workflows investiert, setzt sich selbst dem Risiko aus, morgen nicht mehr hinter der technischen Inanspruchnahme verschwinden zu können.

Wer hingegen Transparenz einfordert und Kontrolle behält, handelt im Einklang mit den sich abzeichnenden regulatorischen Anforderungen; und nicht gegen den Markt, sondern im Sinne derjenigen Regulierung, die bereits zwischen den Zeilen geschrieben steht.

Rechtsquellen (Auswahl)
– Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO)
– Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 über künstliche Intelligenz (Artificial Intelligence Act, „AI Act“)
– Richtlinie (EU) 2024/2853 des Europäischen Parlaments und des Rates vom 13. November 2024 über die Haftung für fehlerhafte Produkte (Produkthaftungsrichtlinie). Die Richtlinie trat am 8. Dezember 2024 in Kraft. Die EU-Mitgliedstaaten haben nun bis zum 9. Dezember 2026 Zeit, die Bestimmungen in nationales Recht umzusetzen. Die neuen Regeln gelten für Produkte, die nach diesem Datum in Verkehr gebracht oder in Betrieb genommen werden. 
– Vorschlag für eine Richtlinie über KI-Haftung, COM(2022)496 final, 28.9.2022 (AI Liability Directive, zurückgezogen)
– Nationale Haftungsvorschriften, z.B. Art. 41 OR (CH), § 823 BGB (DE), §§ 1295 ff ABGB (AT)

Hintergrund & Analyse (Auswahl)
– Berichte zur Rücknahme der AI Liability Directive (u.a. IAPP, Euronews, Reuters)
– Oxford Business Law Blog, AI Liability after the AILD withdrawal: why EU law still matters (2025)
– Latham & Watkins, Neue EU-Produkthaftungsrichtlinie tritt in Kraft (2024)
– AKEuropa, AI Liability Directive – Evaluation of the Proposal (2023)

Manuela Frenzel ist unabhängige Beraterin zur KI-Einordnung & lokale KI-Anwendungen.

🤖
Hallo! Klick mich an.