KI im Kundenservice: Chatbots rechtssicher einsetzen

Das Wichtigste in Kürze

• KI-Chatbots im Kundenservice unterliegen der Kennzeichnungspflicht nach Art. 50 Abs. 1 VO (EU) 2024/1689 (AI Act) -- Kunden müssen wissen, dass sie mit einer KI interagieren.
• Die DSGVO (VO (EU) 2016/679) stellt strenge Anforderungen an Datenspeicherung, Einwilligung und Informationspflichten bei der Chatbot-Nutzung.
• Unternehmen haften für falsche Chatbot-Aussagen -- nach §§280, 311 Abs. 2 BGB kann bereits eine fehlerhafte Auskunft vertragliche und vorvertragliche Schadensersatzansprüche auslösen.
• Verbraucherschutzpflichten (§§312ff BGB) gelten auch für Chatbot-gestützte Kaufprozesse -- insbesondere bei Fernabsatzverträgen.
• Eine strukturierte Compliance-Strategie mit klarer Kennzeichnung, Datenschutzkonzept und menschlicher Eskalation ist der Schlüssel zum rechtssicheren Chatbot-Einsatz.

KI-Chatbots sind aus dem modernen Kundenservice kaum noch wegzudenken. Sie beantworten Standardfragen rund um die Uhr, entlasten Support-Teams und beschleunigen Prozesse. Doch mit dem EU AI Act, der DSGVO und dem deutschen Zivilrecht greifen mehrere Rechtsrahmen gleichzeitig -- und die Anforderungen sind keineswegs trivial. Wer einen Chatbot im Kundenkontakt einsetzt, ohne die rechtlichen Rahmenbedingungen zu kennen, riskiert Bußgelder, Schadensersatzforderungen und Reputationsschäden.

Dieser Artikel erklärt die verschiedenen Chatbot-Typen, ihre jeweiligen Risikoprofile und die konkreten rechtlichen Pflichten, die Unternehmen bei der Implementierung beachten müssen.

---

Arten von KI-Chatbots: Regelbasiert vs. generativ

Nicht jeder Chatbot ist gleich -- und die rechtlichen Implikationen unterscheiden sich erheblich je nach Funktionsweise. Für die Compliance-Bewertung ist die Unterscheidung zwischen regelbasierten und generativen Systemen zentral.

Regelbasierte Chatbots

Regelbasierte Chatbots arbeiten nach vordefinierten Entscheidungsbäumen. Sie erkennen Schlüsselwörter oder Absichten und liefern festgelegte Antworten. Die Inhalte werden von Menschen erstellt und gepflegt -- der Bot wählt lediglich die passende Antwort aus.

Risikoprofil: Gering. Da alle Antworten vorab definiert sind, ist die Wahrscheinlichkeit fehlerhafter oder halluzinierter Aussagen minimal. Die Kennzeichnungspflicht nach Art. 50 Abs. 1 AI Act greift dennoch, sobald das System für die direkte Interaktion mit natürlichen Personen bestimmt ist.

Generative KI-Chatbots (LLM-basiert)

Generative Chatbots nutzen große Sprachmodelle (Large Language Models), um Antworten in Echtzeit zu formulieren. Sie können auf komplexe, unvorhergesehene Fragen reagieren und wirken natürlicher im Dialog. Gleichzeitig besteht das Risiko von Halluzinationen -- also sachlich falschen Antworten, die dennoch überzeugend klingen.

Risikoprofil: Erhöht. Generative Chatbots erfordern strengere Kontrollmechanismen: Retrieval-Augmented Generation (RAG) zur Quellenanbindung, Content-Filter, regelmäßige Qualitätsprüfungen und klare Grenzen für das Antwortspektrum.

Hybride Systeme

In der Praxis setzen viele Unternehmen auf hybride Ansätze: Ein regelbasiertes System bearbeitet Standardanfragen, während ein generatives Modell bei komplexeren Fragen einspringt. Für die rechtliche Bewertung gilt: Das System wird nach seiner risikoreichsten Komponente beurteilt. Enthält es generative Elemente, gelten die strengeren Anforderungen.

---

Art. 50 Abs. 1 AI Act: Kennzeichnungspflicht im Detail

Die zentrale Transparenzvorschrift für Chatbots findet sich in Art. 50 Abs. 1 VO (EU) 2024/1689. Sie verpflichtet Anbieter von KI-Systemen, die für die direkte Interaktion mit natürlichen Personen bestimmt sind, diese Personen darüber zu informieren, dass sie mit einem KI-System interagieren.

Wer ist verpflichtet?

Die Pflicht trifft in erster Linie den Anbieter -- also den Entwickler oder Hersteller des Chatbot-Systems. Aber auch Betreiber (deployer) -- also Unternehmen, die den Chatbot auf ihrer Website oder in ihren Prozessen einsetzen -- sind mitverantwortlich. Sie müssen sicherstellen, dass die vom Anbieter vorgesehenen Transparenzhinweise tatsächlich angezeigt und nicht etwa durch die Integration verdeckt werden.

Wie muss gekennzeichnet werden?

Die Information muss rechtzeitig, klar und verständlich erfolgen. Konkret bedeutet das:

• Rechtzeitig: Vor oder spätestens zu Beginn der Interaktion -- nicht erst nach dem Gespräch.
• Klar: In einfacher, allgemein verständlicher Sprache -- kein Juristendeutsch.
• Verständlich: Für die jeweilige Zielgruppe angemessen formuliert.

Ein praktisches Beispiel: Bevor der Chat startet, erscheint ein Hinweis wie „Sie kommunizieren mit einem KI-Assistenten. Für eine Beratung durch einen Mitarbeiter klicken Sie hier." Das erfüllt die Anforderungen und bietet gleichzeitig eine menschliche Alternative.

Ausnahme: Offensichtlichkeit

Art. 50 Abs. 1 enthält eine Ausnahme: Die Kennzeichnungspflicht entfällt, wenn sich die KI-Natur des Systems „offensichtlich aus den Umständen und dem Kontext der Nutzung" ergibt. In der Praxis sollten Unternehmen diese Ausnahme nicht vorschnell für sich beanspruchen. Was für einen technikaffinen Nutzer offensichtlich ist, kann für andere Nutzergruppen unklar bleiben. Die sichere Variante ist immer die explizite Kennzeichnung.

Sanktionen bei Verstößen

Art. 99 Abs. 4 VO (EU) 2024/1689 sieht für Verstöße gegen die Transparenzpflichten Bußgelder von bis zu 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes vor. Die Pflichten gelten ab dem 2. August 2026.

---

DSGVO-Anforderungen an KI-Chatbots

Sobald ein Chatbot personenbezogene Daten verarbeitet -- und das geschieht nahezu immer, wenn ein Kunde seinen Namen, seine E-Mail-Adresse oder auch nur eine IP-Adresse übermittelt -- greift die DSGVO (VO (EU) 2016/679) in vollem Umfang.

Rechtsgrundlage der Verarbeitung

Für jeden Verarbeitungsschritt benötigen Unternehmen eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO:

• Art. 6 Abs. 1 lit. b: Verarbeitung zur Vertragserfüllung -- etwa wenn der Chatbot eine Bestellung bearbeitet.
• Art. 6 Abs. 1 lit. f: Berechtigtes Interesse -- etwa für die grundlegende Funktionalität des Kundenservice. Hier ist eine Interessenabwägung erforderlich.
• Art. 6 Abs. 1 lit. a: Einwilligung -- insbesondere bei der Verarbeitung besonderer Datenkategorien oder bei Chatbot-Analysen zu Marketingzwecken.

Informationspflichten nach Art. 13 DSGVO

Unternehmen müssen Nutzern vor der Datenerhebung mitteilen:

• Wer für die Verarbeitung verantwortlich ist (Verantwortlicher nach Art. 4 Nr. 7 DSGVO)
• Welche Daten zu welchem Zweck verarbeitet werden
• Wie lange die Daten gespeichert werden (Speicherfrist)
• Ob Daten an Dritte oder in Drittländer übermittelt werden -- gerade bei Cloud-basierten LLMs ist dies kritisch
• Welche Rechte der Betroffene hat (Auskunft, Löschung, Widerspruch etc.)

Diese Informationen sollten idealerweise direkt im Chat-Interface verlinkt sein -- nicht nur in einer allgemeinen Datenschutzerklärung versteckt.

Cookies und Tracking

Viele Chatbot-Lösungen setzen Cookies oder nutzen Local Storage, um Chatverläufe zu speichern und Nutzer wiederzuerkennen. Hier greift das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, vormals TTDSG): Für nicht-essentielle Cookies und Tracking-Technologien ist eine ausdrückliche Einwilligung nach § 25 TDDDG erforderlich -- unabhängig davon, ob personenbezogene Daten betroffen sind.

Datenspeicherung und Löschfristen

Chatverläufe enthalten regelmäßig personenbezogene Daten. Unternehmen müssen:

• Speicherfristen definieren und dokumentieren (Art. 5 Abs. 1 lit. e DSGVO -- Speicherbegrenzung)
• Löschkonzepte implementieren -- etwa automatische Löschung nach 30 Tagen bei Service-Chats
• Sicherstellen, dass Chatverläufe nicht für das Training externer KI-Modelle verwendet werden, sofern keine Einwilligung vorliegt

Auftragsverarbeitung

Wird der Chatbot über einen externen Anbieter betrieben (SaaS-Lösung), ist in der Regel ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Bei US-amerikanischen Anbietern ist zusätzlich die Drittlandübermittlung nach Art. 44ff DSGVO zu prüfen -- das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023) kann hier als Grundlage dienen, sofern der Anbieter zertifiziert ist.

---

Haftung für falsche Chatbot-Aussagen

Einer der unterschätzten Risikobereiche: Was passiert, wenn ein Chatbot eine falsche Auskunft erteilt und der Kunde darauf vertraut?

Vertragliche Haftung (§280 BGB)

Besteht bereits ein Vertragsverhältnis, haftet das Unternehmen nach §280 Abs. 1 BGB für Pflichtverletzungen. Eine fehlerhafte Chatbot-Auskunft -- etwa eine falsche Garantieaussage oder eine irreführende Produktinformation -- kann eine solche Pflichtverletzung darstellen. Entscheidend: Der Chatbot handelt nicht eigenständig als Rechtssubjekt. Seine Aussagen werden dem Unternehmen als Betreiber zugerechnet.

Vorvertragliche Haftung (§311 Abs. 2 BGB)

Auch vor Vertragsschluss können Schadensersatzansprüche entstehen. Nach §311 Abs. 2 BGB entsteht ein vorvertragliches Schuldverhältnis (culpa in contrahendo) bereits durch die Aufnahme von Vertragsverhandlungen oder die Anbahnung eines Vertrags. Wenn ein potenzieller Kunde auf eine fehlerhafte Chatbot-Aussage vertraut und dadurch einen Schaden erleidet -- etwa weil er auf Basis einer falschen Preisauskunft eine andere Entscheidung getroffen hat -- kann das Unternehmen haftbar sein.

Verschuldensvermutung

§280 Abs. 1 Satz 2 BGB enthält eine Verschuldensvermutung: Das Unternehmen muss beweisen, dass es die Pflichtverletzung nicht zu vertreten hat. In der Praxis bedeutet das: Unternehmen müssen nachweisen können, dass sie angemessene Maßnahmen ergriffen haben, um fehlerhafte Chatbot-Aussagen zu vermeiden -- etwa durch regelmäßige Qualitätsprüfungen, Content-Filter und klare Haftungsausschlüsse.

Praktische Risikominimierung

• Chatbot-Antworten zu sensiblen Themen (Preise, Garantien, Rechtsauskünfte) durch Disclaimer ergänzen: „Diese Information dient der Orientierung und ist nicht rechtsverbindlich."
• Für verbindliche Aussagen stets an einen menschlichen Mitarbeiter verweisen.
• Chatbot-Interaktionen protokollieren, um im Streitfall Nachweise vorlegen zu können.

---

Verbraucherschutzpflichten bei Chatbot-gestützten Kaufprozessen

Wenn Chatbots in den Kaufprozess eingebunden werden -- etwa zur Produktberatung oder gar zum Vertragsabschluss -- greifen die verbraucherschutzrechtlichen Vorschriften der §§312ff BGB.

Fernabsatzverträge (§312c BGB)

Ein über den Chatbot geschlossener Vertrag ist ein Fernabsatzvertrag im Sinne des §312c BGB. Damit gelten:

• Vorvertragliche Informationspflichten nach Art. 246a EGBGB -- einschließlich wesentlicher Eigenschaften der Ware, Gesamtpreis, Widerrufsrecht und Identität des Unternehmens
• Das 14-tägige Widerrufsrecht nach §355 BGB
• Die Pflicht zur Widerrufsbelehrung in Textform

Button-Lösung (§312j Abs. 3 BGB)

Wird der Vertrag über eine elektronische Bestellfunktion geschlossen, muss der Bestell-Button die Aufschrift „zahlungspflichtig bestellen" oder eine gleichwertige, eindeutige Formulierung tragen. Diese Anforderung gilt auch dann, wenn der Chatbot den Kaufabschluss vermittelt -- der Prozess muss für den Verbraucher transparent und unmissverständlich gestaltet sein.

Preisangabenverordnung (PAngV)

Chatbot-Aussagen zu Preisen müssen die Anforderungen der PAngV erfüllen: Angabe des Gesamtpreises inklusive Umsatzsteuer und sonstiger Preisbestandteile. Ein Chatbot, der einen Nettopreis nennt, ohne auf die Umsatzsteuer hinzuweisen, verstößt gegen geltendes Recht.

---

Barrierefreiheit: Ein oft vergessener Pflichtbereich

Ab dem 28. Juni 2025 greift das Barrierefreiheitsstärkungsgesetz (BFSG), das die EU-Richtlinie (EU) 2019/882 (European Accessibility Act) in deutsches Recht umsetzt. Es verpflichtet Wirtschaftsakteure, bestimmte Produkte und Dienstleistungen barrierefrei zu gestalten -- darunter auch elektronische Dienstleistungen im E-Commerce.

Was bedeutet das für Chatbots?

• Screenreader-Kompatibilität: Das Chat-Interface muss mit assistiven Technologien nutzbar sein (WCAG 2.1 Level AA).
• Tastaturnavigation: Alle Chatbot-Funktionen müssen ohne Maus bedienbar sein.
• Ausreichender Kontrast: Texte im Chatfenster müssen die Mindestkontrastverhältnisse einhalten.
• Alternative Kontaktwege: Wenn der Chatbot nicht barrierefrei nutzbar ist, muss eine gleichwertige Alternative angeboten werden -- etwa ein Telefonkontakt oder ein E-Mail-Formular.

Unternehmen, die Chatbots als primären Kundenservice-Kanal einsetzen, sollten die Barrierefreiheit von Beginn an in die Entwicklung integrieren. Nachträgliche Anpassungen sind erfahrungsgemäß deutlich aufwendiger und kostspieliger.

---

8-Punkte-Checkliste: KI-Chatbot rechtssicher einsetzen

Die folgende Checkliste fasst die wichtigsten Maßnahmen für einen rechtskonformen Chatbot-Einsatz zusammen:

1. KI-Kennzeichnung implementieren

Stellen Sie sicher, dass Nutzer vor oder zu Beginn der Interaktion darüber informiert werden, dass sie mit einem KI-System kommunizieren (Art. 50 Abs. 1 AI Act). Verwenden Sie eine klare, verständliche Formulierung.

2. Datenschutzkonzept erstellen

Dokumentieren Sie die Rechtsgrundlage der Datenverarbeitung, Speicherfristen, Löschkonzepte und etwaige Drittlandübermittlungen. Aktualisieren Sie Ihre Datenschutzerklärung um chatbot-spezifische Angaben nach Art. 13 DSGVO.

3. Cookie-Einwilligung prüfen

Stellen Sie sicher, dass Chatbot-Cookies und Tracking-Technologien von Ihrem Consent-Management-System erfasst werden (§ 25 TDDDG). Technisch nicht notwendige Cookies dürfen erst nach Einwilligung gesetzt werden.

4. Auftragsverarbeitungsvertrag abschließen

Bei externen Chatbot-Anbietern: Schließen Sie einen AVV nach Art. 28 DSGVO ab. Prüfen Sie die Drittlandübermittlung und dokumentieren Sie die eingesetzten Garantien.

5. Haftungsrisiken minimieren

Integrieren Sie Disclaimer bei sensiblen Auskünften. Implementieren Sie eine automatische Eskalation an menschliche Mitarbeiter bei komplexen oder rechtsrelevanten Anfragen. Protokollieren Sie Chatverläufe für die Nachweisführung.

6. Verbraucherschutzpflichten umsetzen

Wenn der Chatbot in den Kaufprozess eingebunden ist: Stellen Sie sicher, dass alle vorvertraglichen Informationspflichten erfüllt werden, die Button-Lösung korrekt implementiert ist und Preisangaben der PAngV entsprechen.

7. Barrierefreiheit sicherstellen

Prüfen Sie Ihr Chat-Interface auf WCAG 2.1 Level AA-Konformität. Bieten Sie alternative Kontaktwege für Nutzer an, die den Chatbot nicht verwenden können.

8. Regelmäßige Qualitätskontrolle etablieren

Führen Sie systematische Tests der Chatbot-Antworten durch. Dokumentieren Sie Fehlerfälle und Korrekturmaßnahmen. Überprüfen Sie mindestens quartalsweise, ob der Chatbot aktuelle und korrekte Informationen liefert -- insbesondere bei Preisen, Produktdetails und rechtlichen Angaben.

---

Häufige Fragen (FAQ)

Muss jeder Chatbot als KI gekennzeichnet werden?

Die Kennzeichnungspflicht nach Art. 50 Abs. 1 AI Act gilt für KI-Systeme, die für die direkte Interaktion mit natürlichen Personen bestimmt sind. Einfache regelbasierte Chatbots ohne KI-Elemente -- etwa reine Entscheidungsbäume mit festen Antworten -- fallen möglicherweise nicht unter den KI-System-Begriff des Art. 3 Nr. 1 AI Act. Im Zweifel empfiehlt sich dennoch eine Kennzeichnung: Sie schafft Transparenz, kostet wenig und vermeidet rechtliche Risiken.

Dürfen Chatbot-Gespräche gespeichert werden?

Ja, aber nur unter Einhaltung der DSGVO. Unternehmen benötigen eine Rechtsgrundlage (z.B. berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO oder Einwilligung), müssen die Speicherfrist begrenzen und Betroffene über die Speicherung informieren. Chatverläufe dürfen nicht ohne gesonderte Einwilligung für das Training von KI-Modellen verwendet werden.

Wer haftet, wenn der Chatbot eine falsche Rechtsauskunft erteilt?

Das Unternehmen als Betreiber haftet. Der Chatbot ist kein eigenständiges Rechtssubjekt -- seine Aussagen werden dem Unternehmen zugerechnet. Nach §280 Abs. 1 BGB besteht eine Verschuldensvermutung: Das Unternehmen muss nachweisen, dass es angemessene Vorkehrungen gegen fehlerhafte Aussagen getroffen hat. Generell sollten Chatbots keine Rechtsauskünfte erteilen, sondern bei rechtlichen Fragen an qualifiziertes Personal verweisen.

Gelten für KI-Chatbots aus den USA besondere Regeln?

Wenn ein US-amerikanischer Chatbot-Anbieter personenbezogene Daten europäischer Nutzer verarbeitet, gelten die Vorschriften der Art. 44ff DSGVO zur Drittlandübermittlung. Der Angemessenheitsbeschluss der EU-Kommission für die USA (EU-US Data Privacy Framework) kann als Grundlage dienen, sofern der Anbieter unter dem Framework zertifiziert ist. Zusätzlich ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Die Kennzeichnungspflicht des AI Act gilt unabhängig vom Sitz des Anbieters, wenn das System auf dem EU-Markt eingesetzt wird (Art. 2 Abs. 1 AI Act).

Ab wann gelten die Chatbot-Pflichten des AI Act?

Die Transparenzpflichten des Art. 50 AI Act gelten ab dem 2. August 2026 (Art. 113 Abs. 2 lit. b VO (EU) 2024/1689). Die DSGVO-Pflichten und zivilrechtlichen Haftungsregeln gelten hingegen bereits heute. Unternehmen sollten die verbleibende Zeit nutzen, um ihre Chatbot-Systeme rechtzeitig compliant zu gestalten.

---

Fazit: Rechtssicherheit als Wettbewerbsvorteil

KI-Chatbots im Kundenservice bieten enormes Potenzial -- aber nur, wenn sie rechtskonform eingesetzt werden. Die Anforderungen aus AI Act, DSGVO und deutschem Zivilrecht sind vielschichtig, aber beherrschbar. Unternehmen, die frühzeitig in Compliance investieren, vermeiden nicht nur Bußgelder und Haftungsrisiken, sondern schaffen auch Vertrauen bei ihren Kunden. Transparenz über den KI-Einsatz, sorgfältiger Datenschutz und klare Eskalationswege sind keine bürokratische Last -- sie sind ein Qualitätsmerkmal für professionellen Kundenservice.

Sie möchten Ihr Team auf den rechtskonformen Umgang mit KI-Chatbots vorbereiten? KI Comply bietet praxisnahe Schulungen, die Ihre Mitarbeiter für die rechtlichen Anforderungen sensibilisieren -- von Kennzeichnungspflicht über Datenschutz bis zur Haftungsvermeidung. Jetzt kostenlos testen und Ihr Unternehmen auf die KI-Regulierung vorbereiten.