KI-Chatbot und Haftung (1): DSGVO und EU AI Act richtig umsetzen
2. Juli 2026
Unternehmen setzen für ihre Kundenkommunikation zunehmend KI-Chatbots ein. Dabei kann schon die Eingabe einer Kundenanfrage (Prompt) den Datenschutz auslösen, wenn hierdurch personenbezogene Daten verarbeitet werden. Zudem stellt der EU AI Act (KI-Verordnung) zusätzliche Transparenzanforderungen auf. Es müssen also beide Regelwerke eingehalten werden, da ansonsten Bußgelder drohen. Wie lässt sich also ein KI-Chatbot rechtssicher in die Customer Relations einbinden?
Dieser Beitrag ist der erste Teil einer 3-teiligen Serie über die Haftung von KI-Chatbots.
Lesedauer: 4 Minuten (ca. 760 Wörter)
KI-Chatbots auf Basis großer Sprachmodelle, sog. Large Language Models (LLM), werden in Unternehmen zunehmend für die externe Kommunikation eingesetzt: zur Terminvereinbarung, zur Produktberatung oder zur Erstbeantwortung von Kundenanfragen. Anders als klassische, regelbasierte Systeme mit festen Entscheidungsbäumen, reagieren KI-Systeme flexibler auf die Eingaben des Menschen und sind dadurch ansprechender gestaltet. Allerdings sind die generierten Inhalte und die Risiken dadurch im Vorfeld nur eingeschränkt vorhersehbar, weshalb die Handhabung von Chatbots rechtlich komplexer ist.
Unternehmen, die zur Kundenkommunikation auf KI-Chatbots setzen, aber auch Arbeitgeber, die KI-Chatbots zum Transfer von Wissen zwischen den Mitarbeitern (Wissensmanagement, Knowledge Management) verwenden, müssen sich daher mit mehreren Regelwerken gleichzeitig befassen. Im Zentrum stehen die DSGVO, der seit August 2024 schrittweise wirksam werdende EU AI Act (KI-Verordnung, KI-VO) sowie das allgemeine Zivilrecht, etwa bei Persönlichkeitsrechtsverletzungen durch falsche KI-generierte Aussagen. Unternehmen, die einen KI-Chatbot einführen wollen, sollten die unterschiedlichen Regelwerke und deren Folgen daher von Anfang an mitdenken.
DSGVO: Wann ein KI-Chatbot personenbezogene Daten verarbeitet
Dass die DSGVO auf KI-Chatbots anwendbar ist, wenn z. B. dort personenbezogene Daten eingegeben (Input) oder ausgegeben (Output) werden, ist gar nicht so klar. So hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit im Juli 2024 die Frage aufgeworfen, ob die großen Sprachmodelle überhaupt personenbezogene Daten verarbeiten oder aber nur Vektoren mit der Folge, dass die DSGVO keine Anwendung findet. Demgegenüber geht der Bayerische Landesbeauftragte für den Datenschutz davon aus, dass der Datenschutz auf Chatbots Anwendung findet, wenn der Output auch personenbezogene Daten enthält.
Die herrschende Meinung geht ebenfalls davon aus, dass die DSGVO anwendbar ist, sobald ein KI-Chatbot mit echten Kunden- oder Mitarbeiterdaten arbeitet. Unternehmen müssen also vorab prüfen, welche datenschutzrechtlichen Pflichten einzuhalten sind. Zu beachten ist u. a. die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, die durchzuführen ist, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Inhaber der personenbezogenen Daten mit sich bringt. Nach der „Whitelist“ der Datenschutzkonferenz von Oktober 2018 ist beim Kundensupport mittels künstlicher Intelligenz eine Datenschutz-Folgenabschätzung durchzuführen. Zusätzlich greifen Informationspflichten aus Art. 13 DSGVO: Betroffene müssen nachvollziehen können, dass und wie ihre Daten im Chatbot-Kontext verarbeitet werden.
EU AI Act: Transparenzpflichten beim KI-Chatbot
Neben dem Datenschutz verlangt Art. 50 Abs. 1 EU AI Act, dass Nutzende eines KI-Systems, das für die direkte Interaktion mit natürlichen Personen bestimmt ist, darauf hingewiesen werden, dass sie mit einer Maschine kommunizieren. Diese Kennzeichnungspflicht betrifft praktisch jeden eingesetzten KI-Chatbot und soll Nutzern eine informierte Entscheidung ermöglichen, ob sie das Gespräch fortsetzen oder abbrechen wollen. Ein kurzer Hinweis im Chatfenster kann genügen, sollte aber nicht versteckt und auch nicht erst nach mehreren Nachrichten sichtbar werden.
Die Transparenzpflicht unterliegt jedoch einer wichtigen Ausnahme: Wo für eine „angemessen informierte, aufmerksame und verständige natürliche Person aufgrund der Umstände und des Kontexts der Nutzung offensichtlich“ ist, dass es sich um einen KI-Chatbot handelt, bedarf es keines entsprechenden Hinweises auf den digitalen Gesprächspartner. Die Ausnahme sollte aber nicht zu vorschnell angenommen werden. Verstöße gegen die Transparenzpflichten können – je nach Pflichtverletzung – gem. Art. 99 EU AI Act empfindliche Bußgelder nach sich ziehen.
Praxisempfehlungen für den rechtssicheren Einsatz von KI-Chatbots
In der Praxis empfiehlt sich vor der Einführung eines KI-Chatbots zunächst die datenschutzrechtliche Prüfung und eine Complianceprüfung mit dem EU AI Act. So ist insbesondere fraglich, ob für jeglichen Einsatz eines Chatbots eine – zum Teil aufwendige – Datenschutz-Folgenabschätzung durchgeführt werden muss und ob die pauschalisierende Ansicht der Datenschutzkonferenz, die überdies von 2018 stammt, noch aktuell ist. Schließlich geht von den meisten KI-Chatbots kein wirklich hohes Risiko für die Nutzenden aus.
Daneben ist datenschutzrechtlich zu prüfen, ob ggf. der Einsatz eines sog. RAG-Systems umsetzbar ist. „RAG“ steht für „Retrieval Augmented Generation“ und bezeichnet ein KI-System, das in die Lage versetzt wird, (nur) auf externe Quellen wie Dokumentensammlungen, Datenbanken oder ein Knowledge Graph zurückzugreifen, um Antworten zu generieren. Da das einsetzende Unternehmen anhand der Auswahl der externen Quellen bestimmen kann, ob personenbezogene Daten verarbeitet werden oder nicht, kann sich durch den Einsatz eines RAG-Systems auch die Weiterleitung von sensiblen Daten reduzieren. Daher empfiehlt der Bayerische Landesbeauftragte für den Datenschutz den Einsatz von RAG-Systemen.
Ergänzend gehört eine sichtbare Kennzeichnung als KI-System sowie eine saubere und ordentliche Dokumentation der DSGVO-Vorgaben zur rechtssicheren Grundausstattung.
Sie planen die Einführung eines KI-Chatbots in Ihrem Unternehmen in Kiel oder Schleswig-Holstein und möchten DSGVO und EU AI Act/KI-VO von Anfang an richtig umsetzen? Auch wenn Sie außerhalb der Region ansässig sind, unterstütze ich Sie bundesweit bei der rechtssicheren Gestaltung Ihres KI-Einsatzes. Schreiben Sie mir gerne an info@anwalt-daum.de
Dr. Oliver Daum Rechtsanwalt | Fachanwalt für IT-Recht | Zertifizierter Datenschutzbeauftragter (IHK Kiel) | IT-Sicherheitsbeauftragter (IHK)
Auch interessant: KI-Kompetenz – Was für Unternehmen nach der KI-Verordnung wichtig ist