AI Act und E-Commerce: Was Online-Shops und Unternehmen mit digitalem Vertrieb ab 2026 beachten müssen

Wer einen Online-Shop betreibt, denkt beim Thema KI-Regulierung zunächst an andere: an Tech-Konzerne, KI-Startups, Entwicklerstudios. Doch die europäische KI Verordnung (AI Act, KI VO) greift erheblich weiter. Chatbots im Kundenservice, algorithmische Produktempfehlungen, automatisch generierte Produkttexte, dynamische Preisgestaltung – das sind nicht mehr die Ausnahmen im E-Commerce, sondern die Regel.

Betreiber im Sinne der KI VO: Warum auch Online-Shops betroffen sind

Der häufigste Einwand lautet: Wir entwickeln keine KI, also geht uns die Verordnung nichts an. Dieser Schluss ist rechtlich falsch. Die KI VO richtet sich ausdrücklich auch an Betreiber, also an Unternehmen, die KI-Systeme im eigenen Betrieb einsetzen, ohne sie selbst entwickelt zu haben. Betreiber im Sinne der Verordnung ist, wer ein KI-System unter eigener Verantwortung nutzt. Das betrifft in der Praxis jedes Unternehmen, das externe KI-Tools in seinen Betriebsablauf integriert hat, wie z.B. ein Chatbot-Anbieter, ein Empfehlungssystem in der Shop-Software, ein KI-Übersetzungsdienst oder eine Textgenerierungs-API. Sobald das System in der eigenen Unternehmenskommunikation oder im Kundenkontakt eingesetzt wird, ist das Unternehmen Betreiber im Sinne des AI Act / KI VO.

Welche KI-Systeme im E-Commerce typischerweise betroffen sind

Die Breite der betroffenen Anwendungsfälle überrascht viele Unternehmen. Die KI VO stellt nicht auf den Produktnamen ab, sondern auf die Funktionalität: Zieht ein System automatisch Schlussfolgerungen, berechnet es Empfehlungen oder generiert es Inhalte, ist es ein KI-System im Sinne der Verordnung.

In der Online-Shop-Praxis sind das vor allem Chatbots und virtuelle Assistenten im Kundenservice, personalisierte Produktempfehlungen auf Basis von Kauf- und Klickhistorie, Systeme zur dynamischen Preisgestaltung sowie KI-generierte Produkt- und Kategorietexte. Auch sprachgestützte Suchfunktionen oder KI-basierte Filtermechanismen können darunter fallen, wenn sie Trefferlisten in Online-Shops nicht mehr rein regelbasiert, sondern auf Basis von Nutzermodellen zusammenstellen.

Besonderer Klärungsbedarf besteht, wenn KI-Funktionen als Standardfeature in Shopsoftware oder Middleware integriert sind. Hier sind viele Händler im E-Commerce betroffen, ohne es zu wissen. Eine strukturierte Bestandsaufnahme, ein sogenanntes KI-Inventar, ist daher der sinnvolle erste Schritt. Hier kann es sinnvoll sein, den Anbieter der Shop-Software explizit anzuschreiben und um Auskunft zu KI-Funktionaltäten zu bitten.

Kennzeichnungspflichten nach Art. 50 KI VO: Was im E-Commerce gilt und was nicht

Die praxisrelevanteste Anforderung der KI VO für die meisten Betreiber von Online-Shops ergibt sich aus Art. 50 KI VO: der Transparenzpflicht bei der Interaktion mit KI-Systemen und bei der Veröffentlichung bestimmter KI-generierter Inhalte. Die Pflicht trifft Betreiber ab dem 2. August 2026, aber nicht pauschal für alle KI-Inhalte.

Chatbots und virtuelle Assistenten unterliegen der Kennzeichnungspflicht aus Art. 50 Abs. 1 KI VO. Wer einen KI-Chatbot im Kundenservice einsetzt, muss sicherstellen, dass Nutzer eines Online-Shops spätestens zum Zeitpunkt der ersten Interaktion klar und verständlich darüber informiert werden, dass sie es nicht mit einem menschlichen Ansprechpartner zu tun haben. Dabei ist zu beachten: Die primäre Pflicht, das KI-System entsprechend zu konzipieren, trifft nach Art. 50 Abs. 1 KI VO zunächst den Anbieter des Systems. Wer als Betreiber eine Standardlösung einsetzt, muss prüfen, ob der Anbieter diese Anforderung bereits erfüllt und ggf. eine Erfüllung beim Anbieter durchsetzen. Eine entsprechende Formulierung im Interface, etwa als Eingangstext des Chatfensters, genügt, wenn sie eindeutig ist und nicht übersehen werden kann. Versteckte Hinweise im Kleingedruckten oder alleine in den Datenschutzhinweisen der Webseite reichen nicht aus.

KI-generierte Produkttexte sind hingegen nicht pauschal kennzeichnungspflichtig. Art. 50 Abs. 3 KI VO beschränkt die Textpflicht auf Inhalte, die zum Zweck der Information der Öffentlichkeit über Angelegenheiten von öffentlichem Interesse veröffentlicht werden – also auf gesellschaftlich, politisch, wirtschaftlich oder kulturell relevante Inhalte. Reine Produktbeschreibungen oder Kategorietexte im E-Commerce fallen in der Regel nicht darunter. Hinzu kommt eine praktisch wichtige Ausnahme: Wenn KI-generierte Texte einer menschlichen redaktionellen Kontrolle und ggf. Überarbeitung unterzogen werden und eine natürliche oder juristische Person die redaktionelle Verantwortung für die Veröffentlichung trägt, entfällt die Kennzeichnungspflicht.

KI-generierte Bilder können dagegen als Deepfake im weiten Sinne der KI VO einzustufen sein. Nach Art. 50 Abs. 4 KI VO besteht für Bild-, Ton- oder Videoinhalte, die als real erscheinen sollen, eine Offenlegungspflicht gegenüber den Empfängern. Die Kennzeichnung muss spätestens zum Zeitpunkt der ersten Wahrnehmung des Inhalts eines Online-Shops erfolgen, eindeutig formuliert und barrierefrei gestaltet sein, bei Bildern etwa durch eine sichtbare Markierung oder einen Begleittext.

Hinweis zur aktuellen Entwicklung: Nach dem Entwurf der Digital-Omnibus-Verordnung der EU-Kommission sollen die Kennzeichnungspflichten für synthetische Inhalte nach Art. 50 Abs. 2 KI-VO möglicherweise erst ab Dezember 2027 greifen. Das Verfahren ist noch nicht abgeschlossen; der Stichtag 2. August 2026 bleibt derzeit formell maßgeblich.

Verbotene KI-Praktiken nach Art. 5 KI VO: Was im E-Commerce absolut unzulässig ist

Neben den Pflichten für den Einsatz von KI-Systemen in Online-Shops enthält die KI-VO in Art. 5 einen Katalog von Praktiken, die schlechthin verboten sind. Diese Verbote gelten seit dem 2. Februar 2025 und sind damit bereits jetzt geltendes Recht. Für E-Commerce-Unternehmen sind vor allem zwei Verbotstatbestände unmittelbar relevant.

Der erste Verbotstatbestand betrifft KI-Systeme, die unterschwellige Techniken außerhalb des Bewusstseins einer Person oder absichtlich manipulative oder täuschende Techniken einsetzen, um das Verhalten von Personen wesentlich zu beeinflussen (Art. 5 Abs. 1 lit. a KI VO). Voraussetzung ist, dass dadurch die Fähigkeit zur freien Entscheidung deutlich beeinträchtigt wird und der betroffenen Person oder Dritten erheblicher Schaden entsteht oder entstehen kann. Im E-Commerce-Kontext ist dieser Tatbestand ernst zu nehmen: KI-gestützte Empfehlungssysteme, die gezielt Knappheit vortäuschen, auf unbewusste Kaufreize abzielen oder durch personalisiertes Nudging die rationale Entscheidungsfähigkeit des Nutzers systematisch untergraben, können in den Anwendungsbereich dieser Verbotsnorm fallen. Auch KI-gestützte Chatbots, die durch täuschende Gesprächsführung gezielt Kaufentscheidungen herbeiführen sollen, sind hier zu beachten. Die Abgrenzung zu legitimen Marketingmethoden ist im Einzelfall anspruchsvoll. Es existieren Leitlinien der EU-Kommission zu den verbotenen Praktiken (veröffentlicht im Februar 2025), die zur Orientierung herangezogen werden können.

Das zweite für den E-Commerce relevante Verbot betrifft die gezielte Ausnutzung von Schwachstellen bestimmter Personengruppen aufgrund von Alter, Behinderung oder einer besonderen sozialen oder wirtschaftlichen Situation (Art. 5 Abs. 1 lit. b KI-VO). Verboten ist der Einsatz von KI-Systemen, die diese Verletzlichkeit gezielt nutzen, um das Verhalten dieser Personen zu beeinflussen und ihnen dabei Schaden zuzufügen. Wer KI-basiertes Targeting einsetzt, das etwa auf wirtschaftlich vulnerable Nutzer oder ältere Verbraucher zugeschnitten ist und deren eingeschränkte Urteilsfähigkeit zur Steigerung von Konversionsraten ausnutzt, riskiert nicht nur einen Verstoß gegen Art. 5 KI-VO, sondern bewegt sich auch im Spannungsfeld von UWG und DSGVO.

Verstöße gegen die Verbote des Art. 5 KI VO sind die schwerste Sanktionskategorie der gesamten Verordnung: Es drohen Bußgelder von bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes, was sogar über dem Bußgeldrahmen der DSGVO liegt. Unternehmen, die KI-gestützte Marketing- und Empfehlungssysteme einsetzen, sollten daher bereits jetzt prüfen, ob deren Funktionsweise und Steuerungslogik mit diesen Verboten vereinbar ist.

Dynamische Preise und Produktempfehlungen: unterschätzte Risikobereiche im E-Commerce

Zwei Einsatzbereiche von KI im E-Commerce werden regulatorisch häufig unterschätzt: dynamische Preisgestaltung und personalisierte Produktempfehlungen.

Systeme zur automatischen Preisanpassung auf Basis von Nachfrage, Wettbewerbspreisen oder Nutzerverhalten sind in der Regel als KI-System im Sinne der KI VO einzustufen. Darüber hinaus stellt sich die wettbewerbsrechtliche Frage, ob algorithmische Preisabsprachen vorliegen, wenn mehrere Anbieter ähnliche Systeme einsetzen. Und aus verbraucherschutzrechtlicher Sicht kann Preisdiskriminierung auf Basis von Nutzerprofilen in bestimmten Konstellationen unzulässig sein. Die rechtliche Einordnung ist daher nicht auf die KI VO zu beschränken.

Personalisierte Produktempfehlungssysteme können je nach Einsatzkontext in die Hochrisikokategorie des AI Act fallen – dies ist jedoch im typischen E-Commerce eher die Ausnahme als die Regel. Relevant wird es insbesondere dann, wenn das Empfehlungssystem in einem Bereich eingesetzt wird, der in Anhang III der KI-VO aufgeführt ist, etwa im Bereich Kreditvergabe oder im Versicherungswesen. Davon unabhängig kann sich bei automatisierten Empfehlungen die Frage stellen, ob Art. 22 DSGVO einschlägig ist. Das setzt jedoch voraus, dass eine ausschließlich automatisierte Entscheidung mit erheblicher rechtlicher oder ähnlich bedeutsamer Wirkung auf die betroffene Person vorliegt. Diese Schwelle wird in der Regel bei Produktempfehlungen nicht erreicht werden, sollte aber im Auge behalten werden.

Haftung und Vertragsgestaltung mit KI-Anbietern im Bereich E-Commerce

Eine Dimension, die im operativen Alltag häufig übersehen wird, ist die Vertragsgestaltung mit KI-Anbietern. Wer als Betreiber haftet, wenn ein eingesetzter Chatbot fehlerhafte Aussagen macht, ein Empfehlungsalgorithmus diskriminierende Ergebnisse liefert oder KI-generierte Produkttexte urheberrechtlich geschütztes Material reproduzieren, hängt entscheidend davon ab, was vertraglich geregelt ist.
Die KI VO macht Betreibern keine direkten Vorgaben zur Vertragsgestaltung, aber sie schafft Verantwortlichkeiten, die sich vertraglich nur dann sinnvoll absichern lassen, wenn der Vertrag entsprechend gestaltet ist. In Verträgen mit KI-Dienstleistern sollte daher geregelt sein, wer die Anforderungen der KI VO für das System sicherstellt und wie bei Verstößen oder Systemfehlern mit Haftung und Schadenersatz umgegangen wird.
Auch Allgemeine Geschäftsbedingungen können von den neuen Pflichten betroffen sein. Wer KI-gestützte Entscheidungen über Vertragsabschluss, Preisgestaltung oder Lieferbedingungen trifft, muss prüfen, ob die AGB den Anforderungen an Transparenz und Informationspflicht entsprechen. Auch bezüglich des Vertragsschlusses unter Einbeziehung von KI-Agenten besteht in den AGB Regelungsbedarf.

KI-Kompetenzpflicht nach Art. 4 KI-VO: bereits geltendes Recht

Art. 4 KI-VO verpflichtet sowohl Anbieter als auch Betreiber von KI-Systemen, sicherzustellen, dass die damit befassten Mitarbeiter über ausreichende KI-Kompetenz verfügen. Diese Pflicht gilt seit dem 2. Februar 2025 – sie ist damit kein Thema für die Zukunft, sondern bereits geltendes Recht.

Für Betreiber von Online-Shops bedeutet das: Wer KI-Tools auswählt, implementiert oder überwacht, wie z.B. in der IT-Abteilung, im Marketing oder im Kundenservice, muss in der Lage sein, die Funktionsweise dieser Systeme in Grundzügen zu verstehen, typische Fehler und Risiken zu erkennen und bei Auffälligkeiten handlungsfähig zu sein. Eine Schulungsdokumentation, aus der hervorgeht, wer wann welche Kenntnisse aufgebaut hat, ist sinnvoller Bestandteil eines KI-Governance-Konzepts, nicht zuletzt als Nachweis gegenüber Aufsichtsbehörden.

 

Was jetzt im E-Commerce beim Einsatz von KI-Systemen zu tun ist

Der Handlungsbedarf ist überschaubar, wenn er frühzeitig angegangen wird. Als ersten Schritt empfiehlt sich eine strukturierte Bestandsaufnahme: Welche KI-Systeme werden eingesetzt? Wer ist rechtlich Anbieter/Betreiber? Dabei sollte auch Standardsoftware auf KI-Funktionen geprüft werden, denn viele Online-Händler sind betroffen, ohne es zu wissen.

Auf dieser Grundlage lassen sich die Kennzeichnungspflichten differenziert bewerten: Chatbots sind zu kennzeichnen; für Produkttexte kommt es auf den Kontext und eine etwaige redaktionelle Kontrolle an; bei KI-generierten Bildern ist die Deepfake-Relevanz zu klären. Parallel dazu sollten Verträge mit KI-Dienstleistern auf die Verteilung der Compliance-Verantwortung geprüft und AGB an die neuen Transparenzanforderungen angepasst werden. Und wer noch keine Schulungen zur KI-Kompetenz durchgeführt hat, sollte das nachholen – Art. 4 KI-VO gilt bereits.

RDP Röhl Dehm & Partner begleitet Online-Händler und Unternehmen mit digitalem Vertrieb bei der rechtssicheren Umsetzung der Anforderungen des AI Act – von der Vertragsgestaltung mit KI-Lieferanten über die Anpassung von AGB und Kennzeichnungslösungen bis zur Dokumentation und Ai Governance. Nehmen Sie jetzt Kontakt auf.