Ein Chatbot, der nachts um drei freundlich antwortet, Tickets vorsortiert und Standardfragen in Sekunden klärt — der Reiz von KI im Kundenservice ist offensichtlich. Weniger offensichtlich ist, was passiert, wenn der Bot eine falsche Zusage macht, eine Beschwerde eigenmächtig abwimmelt oder personenbezogene Daten irgendwohin schickt, wo sie nicht hingehören. Genau hier entscheidet sich, ob aus einem Effizienzgewinn ein Haftungsrisiko wird.
Die gute Nachricht vorweg: KI im Kundenservice ist erlaubt. Die unbequeme: Ab dem 2. August 2026 kommen klare Pflichten dazu, und ein aktuelles Urteil zeigt, dass die Haftung beim einsetzenden Unternehmen bleibt — nicht „beim Bot”. Dieser Beitrag ordnet die Rechtslage präzise ein und endet mit einer konkreten Checkliste. (Fachliche Aufbereitung, keine Rechtsberatung im Einzelfall. Stand: Mai 2026.)
Was heißt „KI im Kundenservice rechtssicher einsetzen”?
Rechtssicher bedeutet: Der Chatbot ist als KI gekennzeichnet (Transparenzpflicht nach Art. 50 KI-VO ab 2. August 2026), die Datenverarbeitung hat eine DSGVO-Grundlage, ein Mensch bleibt bei folgenreichen Entscheidungen eingebunden — und das einsetzende Unternehmen übernimmt die volle Verantwortung für das, was der Bot sagt. Drei Rechtsgebiete greifen ineinander: KI-Verordnung, DSGVO und allgemeines Recht (UWG, Vertragsrecht).
Drei rechtliche Ebenen, die zusammenspielen
Wer einen Service-Chatbot rechtssicher betreiben will, muss nicht ein Gesetz beachten, sondern drei Schichten, die sich überlagern:
- KI-Verordnung (EU 2024/1689): Ein Chatbot, der mit Menschen interagiert, ist ein KI-System mit „geringem Risiko” (limited risk). Erlaubt — aber transparenzpflichtig (Art. 50).
- DSGVO: Sobald der Bot personenbezogene Daten verarbeitet (Name, E-Mail, Anliegen, Bestellnummer), gelten Rechtsgrundlage, Informationspflichten, gegebenenfalls Auftragsverarbeitung und die Grenzen automatisierter Entscheidungen.
- Allgemeines Recht: Was der Bot sagt, kann wettbewerbswidrig sein (UWG) oder Ihr Unternehmen vertraglich binden. Diese Ebene wird am häufigsten unterschätzt.
Erst alle drei zusammen ergeben „rechtssicher”. Ein DSGVO-konformer, aber nicht gekennzeichneter Bot ist genauso unvollständig wie ein gekennzeichneter, der falsche Zusagen macht.
Erst alle drei Ebenen zusammen — KI-Verordnung, Datenschutz und Wettbewerbs-/Vertragsrecht — tragen einen rechtssicheren Service-Chatbot. Eine einzelne Pflicht zu erfüllen reicht nicht.
Transparenzpflicht: Der Chatbot muss sich als KI zu erkennen geben (Art. 50 KI-VO)
Die zentrale neue Pflicht ist einfach formuliert und schwer zu umgehen: Wer mit einem KI-System interagiert, muss das wissen — es sei denn, es ist aus dem Kontext für eine verständige Person ohnehin offensichtlich.
Ab wann gilt das?
Ab dem 2. August 2026. Dieses Datum ist fest. Die KI-Verordnung greift dabei nicht auf einen Schlag, sondern gestaffelt: Die Verbote bestimmter Praktiken (Art. 5) gelten bereits seit dem 2. Februar 2025, die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) seit dem 2. August 2025 (AI Act Implementation Timeline). Die Transparenzpflicht des Art. 50 ist also der nächste Schritt eines bereits laufenden Fahrplans, nicht ein ferner Termin. Anders als die Hochrisiko-Fristen, die durch das EU-Gesetzespaket „Digital Omnibus” voraussichtlich verschoben werden, bleibt die Transparenzpflicht des Art. 50 grundsätzlich in Kraft (TÜV Rheinland Consulting). Wichtig für die Praxis: Der „Digital Omnibus”-Entwurf sieht für bereits vor dem 2. August 2026 in Verkehr gebrachte Systeme eine Übergangsfrist (voraussichtlich bis zum 2. Dezember 2026) vor — das kann also auch einen bestehenden, laufenden Chatbot betreffen, nicht nur die maschinenlesbare Kennzeichnung synthetischer Inhalte nach Art. 50 Abs. 2 (Morrison Foerster). Der Entwurf ist noch nicht final; wer einen Bot neu einführt, sollte den August-Termin als verbindlich behandeln. Was über die Transparenzpflicht hinaus auf Unternehmen zukommt, ordne ich im Beitrag „AI Act: Was Unternehmen jetzt tun müssen” ein.
Wie muss die Kennzeichnung aussehen?
Sichtbar, verständlich und früh. Der Hinweis gehört an den Einstieg in die Konversation oder als dauerhafte Markierung in die Benutzeroberfläche — nicht versteckt in den AGB oder der Datenschutzerklärung. Ein kurzer Satz reicht: „Sie chatten mit einem KI-Assistenten.” Entscheidend ist, dass die Information vor oder bei der ersten Interaktion ankommt und für eine durchschnittlich aufmerksame Person erkennbar ist.
Anbieter oder Betreiber — wen trifft die Pflicht?
Die KI-Verordnung unterscheidet zwei Rollen. Wer ein fremdes Modell (etwa eine Chatbot-Plattform) im eigenen Namen einsetzt, ist in aller Regel Betreiber — und trägt die Verantwortung für Integration, Kennzeichnung und Output auf der eigenen Website.
| Frage | Anbieter | Betreiber (Sie als Unternehmen) |
|---|---|---|
| Wer ist das? | Entwickelt/vermarktet das KI-System | Setzt das System unter eigener Verantwortung ein |
| Typische Rolle im Kundenservice | Die Chatbot-Plattform / das KI-Modell | Das Unternehmen mit dem Bot auf seiner Website |
| Transparenz-Pflicht | Technische Kennzeichenbarkeit ermöglichen | Sichtbare KI-Kennzeichnung im Dialog umsetzen |
| Verantwortung für den Output | — | Voll (Inhalt, Richtigkeit, Folgen) |
In der Praxis sind Sie als KMU also fast immer Betreiber — und genau diese Rolle löst die sichtbare Kennzeichnungspflicht im Kundendialog aus.
Wer haftet, wenn der KI-Chatbot falsch antwortet?
Kurz und unmissverständlich: das einsetzende Unternehmen. Der Chatbot ist kein eigenständiger Dritter, dessen Verhalten man von sich wegschieben könnte, sondern ein Werkzeug des Unternehmens — seine Aussagen werden dem Betreiber unmittelbar zugerechnet.
Der Fall OLG Hamm (Urt. v. 12.05.2026, Az. I-4 UKl 3/25)
Die Aesthetify GmbH betrieb auf ihrer Website einen KI-gestützten Terminbuchungs-Bot. Auf Nachfrage erfand dieser Facharzt-Qualifikationen für zwei Ärzte („Dr. Rick” und „Dr. Nick”) — darunter eine Facharztbezeichnung, die es so gar nicht gibt. Die Verbraucherzentrale NRW klagte. Das Oberlandesgericht Hamm wertete die Bot-Aussagen als irreführende geschäftliche Handlung nach §§ 5 Abs. 1, Abs. 2 Nr. 3 UWG (anwalt.de, LTO).
Der Kern: Der Chatbot ist kein „Dritter”, dessen Fehlverhalten der Betreiber nicht zu vertreten hätte. Er ist ein Teil der geschäftlichen Organisation — seine Äußerungen werden dem Unternehmen direkt zugerechnet, unabhängig davon, ob die KI „halluziniert” oder korrekte Eingaben falsch verarbeitet hat (paloubis.com).
Wichtige Einordnung: Das Urteil ist noch nicht rechtskräftig. Wegen der grundsätzlichen Bedeutung der Haftung für KI-Halluzinationen hat das OLG die Revision zum BGH zugelassen. Die Linie ist also stark, aber noch nicht höchstrichterlich bestätigt (Stand: Mai 2026).
Kann der Bot mein Unternehmen vertraglich binden?
Vorsicht ist geboten — und der Mechanismus dahinter ist die Stellvertretung (§§ 164 ff. BGB). Der Bot ist kein Rechtssubjekt, sondern ein Werkzeug; seine Erklärungen werden dem Unternehmen zugerechnet, das ihn einsetzt. Nennt der Bot etwa einen konkreten, verbindlich klingenden Preis für eine bestimmte Leistung, kann das ein Angebot im Sinne des § 145 BGB sein, das der Kunde durch schlichtes „Ja” annimmt — der Vertrag wäre dann geschlossen, bevor ein Mensch eingreift. Selbst wo das Unternehmen den Bot nie dazu „bevollmächtigt” hat, drohen die Grundsätze der Anscheins- und Duldungsvollmacht: Wer den Bot erkennbar Angebote aussprechen lässt und das duldet, muss sich an dem festhalten lassen, was beim Kunden den Anschein einer Vollmacht erweckt. Daneben können vorvertragliche Pflichten und Schadenersatz greifen. Wer dem Bot freie Hand bei Aussagen über Preise und Leistungen lässt, öffnet damit eine echte Risikoflanke — die saubere Lösung ist, verbindliche Zusagen technisch auszuschließen und sie dem menschlichen Vertragsschluss vorzubehalten.
Reicht ein Disclaimer „Antworten ohne Gewähr”?
Nein. Ein Haftungsausschluss ersetzt die inhaltliche Sorgfalt nicht. Er kann das Bewusstsein des Nutzers schärfen, aber er macht eine irreführende oder falsche Aussage nicht rechtmäßig. Die OLG-Hamm-Logik lässt sich nicht per Fußnote abbedingen. Disclaimer sind sinnvoll als ergänzender Baustein — nicht als Schutzschild.
DSGVO — was der Datenschutz verlangt
Sobald der Bot personenbezogene Daten verarbeitet, gilt die DSGVO in voller Breite. Vier Punkte sind im Kundenservice entscheidend.
Rechtsgrundlage und Informationspflicht (Art. 6, Art. 13)
Jede Verarbeitung braucht eine Rechtsgrundlage nach Art. 6 DSGVO — meist Vertragserfüllung (lit. b, etwa bei Bestellanfragen), berechtigtes Interesse (lit. f) oder Einwilligung (lit. a). Daneben gilt die Informationspflicht: Nutzer müssen wissen, welche Daten zu welchem Zweck verarbeitet werden. Ob es eine gesonderte Einwilligung braucht, hängt von der Verarbeitung ab — sie wird relevant, wenn Daten dauerhaft gespeichert oder zweckfremd (z. B. zum Training) genutzt werden.
Auftragsverarbeitung und Drittlandtransfer
Setzen Sie eine externe Chatbot-Plattform ein, ist in der Regel ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) Pflicht — kein KI-Tool ohne AVV. Fließen die Daten an Server außerhalb der EU, greift zusätzlich das Drittland-Kapitel der DSGVO. Der sauberste Hebel ist EU-Hosting: Ein in der EU betriebenes Modell entschärft die Transfer-Frage von vornherein. Wo die Unterschiede zwischen EU-gehosteten und US-Modellen im Detail liegen, vergleiche ich in „EU-gehostete vs. US-LLMs: Datensouveränität”.
Automatisierte Entscheidungen und menschliche Aufsicht (Art. 22)
Hier liegt eine oft übersehene Grenze. Art. 22 DSGVO verbietet ausschließlich automatisierte Entscheidungen mit erheblicher rechtlicher oder ähnlicher Wirkung — ohne menschliche Beteiligung. Lehnt der Bot also eine Reklamation, eine Erstattung oder einen Antrag eigenständig und endgültig ab, kann das problematisch sein (dejure.org, Art. 22 DSGVO). Die Lösung heißt human-in-the-loop: Bei folgenreichen Entscheidungen muss ein Mensch prüfen und freigeben können. Reines Informieren und Vorsortieren ist unproblematisch — das endgültige Nein gehört in Menschenhand. Wie sich eine solche Kontrollschicht technisch gegen Halluzinationen absichern lässt, zeige ich in „Halluzinationen absichern: Kontrollschicht-Design”.
Wann ist eine DSFA nötig?
Eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) wird fällig, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Betroffenen birgt — etwa bei umfangreicher Verarbeitung, systematischer Auswertung oder sensiblen Datenkategorien. Bei einem schlanken FAQ-Bot eher nicht, bei einem Bot, der tief in Kundendaten greift und Entscheidungen vorbereitet, eher schon. Wie eine solche Abschätzung für KI-Systeme konkret abläuft, beschreibe ich in „Die DSFA für KI-Systeme”.
Checkliste: Kundenservice-KI rechtssicher aufsetzen
| Pflicht | Norm / Grundlage | Konkrete Umsetzung |
|---|---|---|
| KI-Kennzeichnung | Art. 50 KI-VO | Sichtbarer Hinweis „Sie chatten mit einem KI-Assistenten” beim Einstieg |
| Rechtsgrundlage klären | Art. 6 DSGVO | Vor dem Go-live schriftlich festlegen (Vertrag, berechtigtes Interesse oder Einwilligung) |
| Informationspflicht erfüllen | Art. 13 DSGVO | Datenschutzhinweis verlinkt, Zwecke transparent |
| Auftragsverarbeitung | Art. 28 DSGVO | AVV mit der Chatbot-Plattform abschließen |
| Drittlandtransfer absichern | Kap. V DSGVO | EU-Hosting bevorzugen oder Transfer rechtlich absichern |
| Mensch bei Entscheidungen | Art. 22 DSGVO | Human-in-the-loop bei Ablehnungen/folgenreichen Entscheiden |
| Output-Grenzen setzen | UWG, Vertragsrecht | Keine ungeprüften Preis-/Leistungszusagen; Themen eingrenzen |
| Dokumentieren & loggen | Rechenschaftspflicht | Konfiguration, Datenflüsse, Entscheidungen nachvollziehbar festhalten |
Wer diese acht Punkte sauber abarbeitet, hat die größten Risiken entschärft — und kann den Bot mit ruhigem Gewissen produktiv schalten.
Welche Bußgelder drohen?
Hier lohnt sich Präzision statt Panik. Ein Verstoß gegen die Transparenzpflicht des Art. 50 fällt unter die Bußgeldstufe von bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes (bei KMU und Start-ups gilt jeweils der niedrigere der beiden Beträge) — nicht unter die höchste Stufe (35 Mio. € / 7 %), die für verbotene Praktiken reserviert ist (TÜV Rheinland Consulting). Eine feste prozentuale Ermäßigung für kleine Unternehmen gibt es nicht; die Behörden müssen die Bußgelder gegenüber KMU und Start-ups aber verhältnismäßig ansetzen (Art. 99 Abs. 6 KI-VO) (ai-act-law.eu, Art. 99). Daneben drohen DSGVO-Bußgelder und wettbewerbsrechtliche Folgen wie Abmahnungen oder Unterlassungsklagen — Letztere zeigt der Fall OLG Hamm.
Häufige Fragen (FAQ)
Darf ich überhaupt einen Chatbot im Kundenservice einsetzen?
Ja. Ein Service-Chatbot ist ein KI-System mit geringem Risiko und unter Auflagen zulässig. Sie müssen ihn kennzeichnen, die DSGVO einhalten und für seine Aussagen einstehen — verboten ist er nicht.
Muss ich kennzeichnen, dass ein Chatbot eine KI ist?
Ja, ab dem 2. August 2026 nach Art. 50 KI-VO. Die Kennzeichnung muss sichtbar und früh erfolgen — beim Einstieg in den Dialog, nicht versteckt in den AGB.
Brauche ich eine Einwilligung für den Chatbot?
Das hängt von der Verarbeitung ab. Reicht die Rechtsgrundlage Vertragserfüllung oder berechtigtes Interesse, ist keine separate Einwilligung nötig. Werden personenbezogene Daten gespeichert oder zweckfremd genutzt, ist eine aktive Zustimmung in der Regel erforderlich.
Was gilt bei automatisierten Entscheidungen wie einer Reklamation?
Art. 22 DSGVO verbietet ausschließlich automatisierte Entscheidungen mit erheblicher Wirkung. Ablehnungen oder folgenreiche Entscheide brauchen daher eine menschliche Beteiligung (human-in-the-loop).
Reicht ein Disclaimer „ohne Gewähr”?
Nein. Ein Disclaimer ersetzt inhaltliche Korrektheit und Sorgfalt nicht. Nach der OLG-Hamm-Linie haftet das Unternehmen für irreführende Bot-Aussagen — unabhängig vom Haftungsausschluss.
Rechtssicher von Anfang an — vom Juristen, der den Chatbot baut
Die meisten Beiträge zu diesem Thema kommen entweder aus der Rechtsecke (erklären die Pflichten, bauen aber nichts) oder aus der Tech-Ecke (liefern das Tool, behandeln Recht als Nebensatz). Die eigentliche Schwierigkeit liegt in der Mitte: einen Chatbot so zu konzipieren und zu bauen, dass Kennzeichnung, Rechtsgrundlage, AVV, EU-Hosting und die menschliche Kontrolle von Anfang an eingebaut sind — statt sie nachträglich aufzusetzen.
Genau diese Schnittstelle ist meine Arbeit: Als Wirtschaftsjurist und Entwickler in einer Person plane und entwickle ich Kundenservice-KI, die die Pflicht aus Art. 50 KI-VO und der DSGVO nicht als Hindernis, sondern als Bauplan begreift. Wenn Sie überlegen, einen Service-Chatbot einzuführen oder einen bestehenden rechtssicher zu machen: Lassen Sie uns in einem unverbindlichen Erstgespräch klären, wo Ihr Risiko liegt und wie sich der Bot sauber aufsetzen lässt.
Stand: Mai 2026. Dieser Beitrag ist eine fachliche Aufbereitung und ersetzt keine Rechtsberatung im Einzelfall. Das Urteil des OLG Hamm (12.05.2026, I-4 UKl 3/25) ist nicht rechtskräftig; die Revision zum BGH wurde zugelassen. Geltungsdatum und Bußgeldstufen des Art. 50 KI-VO können sich durch laufende EU-Gesetzgebung ändern — vor verbindlichen Entscheidungen aktuellen Stand prüfen.
Quellen — Stand 30.05.2026
- TÜV Rheinland Consulting — Transparenzpflichten EU AI Act Art. 50
- anwalt.de — KI-Chatbot lügt, Betreiber haftet: OLG Hamm, Urt. v. 12.05.2026, Az. 4 UKl 3/25
- paloubis.com / Internetrecht München — Wer haftet, wenn der KI-Chatbot lügt? OLG Hamm zieht klare Linie
- LTO — OLG zur Haftung für irreführende KI-Chatbot-Aussagen
- anwalt.de — Die vier Säulen der Transparenzpflichten nach Art. 50 KI-VO
- caralegal.eu — Transparenzpflichten für Anbieter und Betreiber (Art. 50 AI Act)
- dejure.org — Art. 22 DSGVO (Volltext)
- Morrison Foerster — EU Digital Omnibus on AI: What Is in It and What Is Not
- AI Act Implementation Timeline — Anwendungsdaten der KI-Verordnung
Leon Lotz
Leon Lotz ist Wirtschaftsjurist und Gründer von MusketierSoftware. Er verbindet juristische Tiefe mit echtem Software-Handwerk.
