Der EU AI Act und Online-Shops – neue Transparenz- und Organisationspflichten ab 2026
I. Einleitung
Mit der Verordnung (EU) 2024/… über künstliche Intelligenz („AI Act“) hat die Europäische Union erstmals einen umfassenden, unmittelbar geltenden Rechtsrahmen für den Einsatz von KI-Systemen geschaffen. Ziel der Verordnung ist es, Innovationen im Bereich künstlicher Intelligenz zu ermöglichen, zugleich aber Risiken wie Diskriminierung, Manipulation, Intransparenz oder Kontrollverlust wirksam zu begrenzen.
Der AI Act richtet sich zwar in erster Linie an Anbieter und Entwickler von KI-Systemen. Gleichwohl entfaltet er mittelbare, aber rechtlich relevante Pflichten auch für Betreiber von Online-Shops, sobald diese KI-gestützte Anwendungen einsetzen. Spätestens ab August 2026 müssen sich Shopbetreiber daher mit den neuen Vorgaben befassen.
II. Anwendungsbereich und zeitlicher Geltungsrahmen
Der AI Act ist als EU-Verordnung unmittelbar anwendbares Recht und bedarf keiner nationalen Umsetzung. Die Vorschriften treten gestaffelt in Kraft. Für die Praxis besonders relevant ist, dass wesentliche Transparenz-, Organisations- und Informationspflichten ab dem 2. August 2026 gelten.
Die Verordnung unterscheidet dabei zwischen verschiedenen Rollen:
KI-Anbieter (Entwicklung und Inverkehrbringen),
Deployers / Betreiber (Einsatz von KI-Systemen),
sowie nach Risikoklassen (verbotene, hochriskante, begrenzt riskante KI).
Online-Shopbetreiber sind regelmäßig Deployers, also Nutzer von KI-Systemen, und fallen damit in den Anwendungsbereich, sobald sie KI-Tools in ihren Geschäftsprozessen einsetzen.
III. Wann Online-Shops vom AI Act erfasst sind
Auch ohne eigene KI-Entwicklung entsteht rechtliche Relevanz, sobald KI-gestützte Systeme funktional in den Shopbetrieb eingebunden werden. Typische Anwendungsfälle sind insbesondere:
Chatbots im Kundenservice oder zur Kaufberatung,
automatisierte Produktempfehlungen auf Basis von Nutzerverhalten,
dynamische Preisgestaltung mittels algorithmischer Auswertung,
automatische Übersetzungs-, Text- oder Content-Generierung, etwa für Produktbeschreibungen oder Marketingtexte.
Solche Systeme werden regelmäßig als KI-Systeme mit begrenztem Risiko eingeordnet. Für sie sieht der AI Act vor allem Transparenz- und Organisationspflichten vor, die unmittelbar den Shopbetreiber treffen.
IV. Transparenzpflichten bei KI-gestützter Kundeninteraktion
Ein zentraler Baustein der Verordnung ist die Pflicht zur klaren Kennzeichnung von KI-Interaktionen. Kunden müssen erkennen können, ob sie mit einem Menschen oder einem automatisierten System kommunizieren.
Der Hinweis muss:
klar, verständlich und unmissverständlich sein,
vor Beginn der Interaktion erfolgen,
nicht versteckt oder missverständlich formuliert sein.
Ein praxisgerechter Hinweis kann etwa lauten:
„Sie kommunizieren hier mit einem automatisierten KI-System. Auf Wunsch stehen Ihnen jederzeit persönliche Kontaktmöglichkeiten zur Verfügung.“
Ziel dieser Regelung ist es, Täuschung zu vermeiden und die informierte Entscheidung des Nutzers zu gewährleisten.
V. Pflicht zur KI-Kompetenz im Unternehmen
Der AI Act beschränkt sich nicht auf technische Anforderungen, sondern stellt auch organisatorische Anforderungen an Unternehmen. Betreiber von KI-Systemen müssen sicherstellen, dass die mit Auswahl, Einsatz oder Überwachung betrauten Mitarbeiter über eine angemessene KI-Kompetenz verfügen.
Dies umfasst insbesondere:
Grundverständnis der Funktionsweise eingesetzter KI-Tools,
Kenntnis ihrer Grenzen, Fehleranfälligkeiten und Risiken,
Fähigkeit zur sachgerechten Kontrolle und Intervention.
In der Praxis bedeutet dies: Schulungen, interne Richtlinien und klare Zuständigkeiten werden ab 2026 faktisch unverzichtbar.
VI. Urheberrechtliche Verantwortung für KI-Inhalte
Ein häufig unterschätzter Aspekt betrifft die rechtliche Verantwortung für KI-generierte Inhalte. Auch wenn Texte, Bilder oder Produktbeschreibungen automatisiert erstellt werden, bleibt der Online-Händler rechtlich verantwortlich.
Das betrifft insbesondere:
Urheberrechtsverletzungen (z. B. Übernahmen geschützter Inhalte),
irreführende oder unzutreffende Produktangaben,
wettbewerbsrechtliche Risiken.
Der Einsatz von KI verlagert die Verantwortung nicht auf den Tool-Anbieter. Eine redaktionelle Kontrolle bleibt rechtlich erforderlich.
VII. Datenschutzrechtliche Schnittstellen zur DSGVO
Unabhängig vom AI Act bleibt die DSGVO uneingeschränkt anwendbar, sobald KI-Systeme personenbezogene Daten verarbeiten. Kritisch sind insbesondere:
cloudbasierte KI-Dienste mit Serverstandorten außerhalb der EU,
fehlende oder unzureichende Auftragsverarbeitungsverträge,
unklare Zweckbindung oder Datenweitergabe.
Shopbetreiber müssen daher sicherstellen, dass DSGVO-Konformität und AI-Act-Pflichten zusammengedacht werden. Der AI Act ersetzt den Datenschutz nicht, sondern ergänzt ihn.
VIII. Handlungsempfehlungen für die Praxis
Zur rechtssicheren Vorbereitung auf den AI Act sollten Online-Shopbetreiber bereits jetzt:
eine Bestandsaufnahme aller eingesetzten KI-Tools durchführen,
Transparenz-Hinweise für KI-gestützte Kundeninteraktionen implementieren,
Mitarbeiter schulen und Zuständigkeiten definieren,
Verträge mit KI-Anbietern (Datenschutz, Haftung, Verantwortlichkeiten) rechtlich prüfen lassen.
Diese Maßnahmen reduzieren nicht nur rechtliche Risiken, sondern stärken auch das Vertrauen der Kunden.
IX. Fazit
Der EU AI Act bringt für Online-Shops keine generellen Verbote, wohl aber klare Transparenz-, Organisations- und Verantwortlichkeitspflichten, sobald KI-Systeme im Shopbetrieb eingesetzt werden. Wer frühzeitig Transparenz schafft, Mitarbeiter qualifiziert und rechtliche Rahmenbedingungen prüft, bleibt nicht nur rechtskonform, sondern positioniert sich zugleich als verantwortungsbewusster Marktteilnehmer im digitalen Handel.
Rechtsanwalt Dr. Stephan Schmelzer
Fachanwalt IT-Recht, Fachanwalt Arbeitsrecht
http://www.dr-schmelzer.eu
Ostberg 3, 59229 Ahlen
Tel.: 02382 6646
Alle Beiträge sind nach bestem Wissen zusammengestellt. Eine Haftung für deren Inhalt kann jedoch nicht übernommen werden.
« zurück
