Etailment-Expertenrat
von Kathrin Schürmann am 09. April 2025
Chatbots erleichtern den Kundenservice durch schnelle Antworten auf einem konsistenten Serviceniveau und senken gleichzeitig die Betriebskosten, indem sie Routineaufgaben automatisieren. Doch neben diesen Vorteilen gibt es Hürden wie Datenschutz, KI-Recht und Haftungsfragen. In ihrem Gastbeitrag zeigt Rechtsanwältin Kathrin Schürmann aus dem Etailment.de-Expertenrat, welche Vorschriften gelten und worauf bei der Implementierung zu achten ist.
Chatbots unterscheiden sich technisch erheblich, was sich auf ihre rechtliche Einordnung auswirkt.
- Nicht KI-gestützte (regelbasierte) Chatbots: Meist einfache Menü- oder Button-basierte Systeme, die Entscheidungsbaumstrukturen oder Schlüsselwortlogik („Wenn-Dann“) nutzen. Der berühmt-berüchtigtste „Chatbot“ dieser Art ist „Karl Klammer“ (Clippy) – die animierte Büroklammer von Microsoft. Im E-Commerce eignen sich diese Systeme für FAQs, Bestellstatusabfragen oder Rückgabeprozesse.
- KI-gestützte Chatbots: Mithilfe von Künstlicher Intelligenz und Natural Language Processing (NLP) verstehen sie Kontexte, führen komplexe Interaktionen aus und entwickeln sich weiter. Bekannte Vertreter sind Siri, Alexa und ChatGPT. Für den E-Commerce-Bereich ergibt sich dadurch ein weites Feld an Einsatzmöglichkeiten.
- Hybride Chatbots kombinieren regelbasierte und KI-Elemente, was besonders im mehrstufigen Kundenservice nützlich ist. So können einfache Anfragen strikt regelbasiert und anspruchsvolle durch KI beantwortet werden. Dies reduziert die Zahl der API-Aufrufe und damit den kostenabhängigen Tokenverbrauch. In regulierten Branchen gewährleistet der regelbasierte Ansatz rechtssichere Auskünfte. Vordefinierte, iterative Antworten verhindern Halluzinationen und stellen eine konsistente und überprüfbare Kommunikation sicher.
EU AI Act: Diese Regeln gelten für Ihren KI-Chatbot
Damit der EU AI Act anwendbar ist, muss es sich bei dem Chatbot um ein KI-System im Sinne von Art. 3 Nr. 1 AI Act handeln – denn nicht überall, wo KI draufsteht, ist auch KI drin. Entscheidend sind unter anderem Merkmale wie der autonome Betrieb, die Anpassungsfähigkeit und die Fähigkeit, eigenständig Ableitungen vorzunehmen.
Der EU AI Act verfolgt einen risikobasierten und anwendungsfallbezogenen Ansatz. KI-Chatbots gelten als „Systeme mit begrenztem Risiko“, sofern sie weder einem „Stand-alone“-Hochrisikobereich nach Anhang III noch einer produktbezogenen, sektorspezifischen Regulierung nach Anhang I unterliegen.
Über die Autorin
In diesem Fall unterliegt ihr Einsatz lediglich Transparenzpflichten. Gemäß Art. 50 Abs. 1 AI Act müssen Anbieter ihre Kundinnen und Kunden klar und eindeutig darauf hinweisen, dass sie mit einer KI interagieren. Die Pflicht entfällt nur, wenn der Einsatz von KI offensichtlich ist. Dies ist bei Chatbots in der Regel nicht der Fall, da Durchschnittsadressaten typischerweise nicht erkennen, ob sie mit einem Menschen oder einer Maschine kommunizieren. Die Information muss spätestens bei der ersten Interaktion klar sichtbar und barrierefrei erfolgen (z. B. in der Kopfzeile des Chatfensters oder als Begrüßung durch den Chatbot).
Verstöße können vom 2. August 2025 an mit Bußgeldern von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes geahndet werden. Für KMU und Start-ups gilt dabei der niedrigere Betrag – für alle anderen der höhere.
DSGVO: Diese Datenschutzfallen sollten Sie vermeiden
Sowohl KI-gestützte als auch regelbasierte Chatbots verarbeiten regelmäßig personenbezogene Daten wie IP-Adressen, Browserdaten oder Gesprächsverläufe und unterliegen daher der DSGVO.
Die richtige Rechtsgrundlage:
- Chatbot für allgemeine Auskünfte: Die Verarbeitung kann auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden, wenn eine Interessenabwägung ergibt, dass die Vorteile für das Unternehmen die Rechte der betroffenen Person überwiegen. Dabei ist zu berücksichtigen, dass dem Unternehmen im Rahmen seiner verfassungsrechtlich garantierten Unternehmerfreiheit ein Entscheidungsspielraum hinsichtlich der Organisation betrieblicher Abläufe zusteht. Praxis-Tipp: Bei reinen FAQ-Chatbots ohne Profiling- oder Tracking-Funktionen kann die Verarbeitung personenbezogener Daten häufig auf das berechtigte Interesse gestützt werden.
- Supportanfragen: Die Verarbeitung kann auf die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) gestützt werden, wenn ein Chatbot zur unmittelbaren Erfüllung vertraglicher Pflichten oder vorvertraglicher Maßnahmen (z. B. zur Buchungsabwicklung) eingesetzt wird.
- Chatbot für personalisierte Empfehlungen: Wird der Chatbot zur individuellen Kundenansprache oder für gezielte Marketingmaßnahmen eingesetzt, ist eine ausdrückliche Einwilligung der Nutzerinnen und Nutzer nach Art. 6 Abs. 1 lit. a DSGVO erforderlich. Die Einwilligung muss freiwillig, informiert und widerrufbar erfolgen.
- Training eines KI-gestützten Chatbots: Das KI-Training kann eine Zweckänderung der Datenverarbeitung darstellen, sofern es nicht zweckidentisch mit den ursprünglichen Verarbeitungszwecken ist. In diesem Fall ist gem. Art. 6 Abs. 4 DSGVO eine Kompatibilitätsprüfung erforderlich, um die Vereinbarkeit mit dem ursprünglichen Erhebungszweck zu prüfen. Fehlt diese, bedarf es einer neuen Rechtsgrundlage.
Was ist mit Cookies und Tracking? Es ist zu prüfen, ob ein Chatbot Cookies oder ähnliche Tracking-Technologien nutzt, die nicht nur rein technisch notwendig sind. Werden diese vor der Aktivierung des Chatbots gesetzt, ist regelmäßig eine Cookie-Einwilligung erforderlich. Diese Einwilligung kann über ein entsprechendes Banner oder eine Checkbox eingeholt werden.
Datenschutzfolgenabschätzung (DSFA): Gem. Art. 35 DSGVO ist eine DSFA durchzuführen, wenn eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Datenschutzaufsichtsbehörden gehen derzeit davon aus, dass der Einsatz von KI regelmäßig eine DSFA erfordert.
Automatisierte Einzelfallentscheidung: Art. 22 Abs. 1 DSGVO verbietet es, eine betroffene Person einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung zu unterwerfen, sofern diese rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies ist beim Einsatz eines Chatbots zur Bearbeitung von Supportanfragen denkbar. Damit das Verarbeitungsverbot nicht greift, muss sichergestellt sein, dass in jedem Einzelfall eine natürliche Person, die über ausreichende Kenntnisse der Funktionsweise der KI verfügt, die Entscheidung überprüft und gegebenenfalls korrigieren kann.
Drittlanddatentransfer: Viele KI-Anbieter haben ihren Sitz in den USA oder anderen Nicht-EU-Staaten. Hier gelten die Anforderungen der Art. 44 ff. DSGVO. Ohne Angemessenheitsbeschluss (beispielsweise EU-U.S. Data Privacy Framework) oder Standarddatenschutzklauseln (SCCs) kann der Transfer unzulässig sein, wodurch hohe Bußgelder drohen.
Handlungsempfehlungen für Websitebetreiber
- Transparenz gewährleisten: Weisen Sie deutlich darauf hin, dass Nutzer mit einer KI kommunizieren. Kennzeichnen Sie den Chatbot klar und barrierefrei.
- Datenschutz sicherstellen: Prüfen Sie sorgfältig, ob Einwilligung, berechtigtes Interesse oder Vertragserfüllung in Frage kommen. Bei Einbindung eines Drittanbieters muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO vorliegen. Übermittlungen in Drittländer erfordern zusätzliche Garantien. Stellen Sie sicher, dass bei potenziell weitreichenden Entscheidungen (etwa einer Kreditvergabe) eine menschliche Letztentscheidungskompetenz im Sinne von Art. 22 DSGVO besteht. Prüfen Sie, ob Sie für technisch nicht notwendige Cookies Ihres Chatbots eine Einwilligung benötigen.
- Haftungsrisiken minimieren: Chatbots sollten bei Anfragen, die potenzielle Haftungsrisiken in sich bergen, keine verbindlichen Zusagen machen oder Fehlinformationen verbreiten. Regelmäßige Qualitätskontrollen und Updates sind empfehlenswert.
Mit diesen Schritten können Sie die Vorteile von KI-Chatbots nutzen und gleichzeitig rechtliche Risiken minimieren. Nutzen Sie Checklisten, um alle Anforderungen der DSGVO und des EU AI Act systematisch abzuarbeiten, und informieren Sie sich regelmäßig über neue Entwicklungen.
