KI-Chatbots auf Unternehmenswebseiten: Rechtliche Rahmenbedingungen, Risiken und Gestaltungsempfehlungen

 

Executive Summary

Überblick

Der Einsatz von KI-Chatbots auf Unternehmenswebseiten bietet erhebliche Chancen zur Effizienzsteigerung, birgt aber zugleich komplexe rechtliche Risiken. Die Technologie hat sich von einfachen regelbasierten Systemen zu hochentwickelten Large Language Models (LLM) entwickelt, die Dialoge führen und kontextbezogen auf komplexe Anfragen reagieren können. Noch riskanter wird es, wenn KI-Agenten untereinander kommunizieren und autonom Geschäftsprozesse abwickeln.

Zentrale rechtliche Herausforderungen bei KI Chatbots auf Webseiten

• Datenschutzrecht (DSGVO): Jede KI-Chatbot-Interaktion verarbeitet personenbezogene Daten (IP-Adresse, Gesprächsinhalte). Erforderlich sind Rechtsgrundlagen nach Art. 6, 9 DSGVO, umfassende Informationspflichten, Auftragsverarbeitungsverträge (AVV) mit Anbietern sowie ggf. Datenschutz-Folgenabschätzungen (DSFA). Zudem ist Art. 22 DSGVO (menschliche Letztentscheidung) sicherzustellen.
• KI-Verordnung (AI Act): Ab 02.08.2026 gilt eine Transparenzpflicht nach Art. 50 KI-VO: Nutzer müssen vor Interaktionsbeginn darauf hingewiesen werden, dass sie mit einer KI kommunizieren. Die Risikoklassifizierung bestimmt weitere Pflichten: Systeme mit geringem Risiko unterliegen primär Transparenzanforderungen, Hochrisiko-KI erfordert Risikomanagementsysteme, technische Dokumentation, Aufnahme ins KI-Register des Unternehmens und Konformitätsbewertungen.
• Vertragsrecht: KI Chatbot-Erklärungen können unter Umständen dem Unternehmen als Willenserklärungen zugerechnet werden. Ein vom KI Chabot genannter Preis oder eine Lieferzusage kann rechtsverbindlich sein. Dies gilt auch bei Fehlern durch Halluzinationen. Besonders kritisch: Agent-to-Agent-Kommunikation ohne menschliche Kontrollinstanz.
• Haftungsrisiken: Fehlerhafte Auskünfte können zu Schadensersatzansprüchen führen, Verträge mit nachteiligem Inhalt können geschlossen werden, irreführende Aussagen können zu wettbewerbsrechtlichen Abmahnungen nach UWG führen; daneben bestehen Pflichten aus dem Fernabsatz. Auch muss darauf geachtet werden, dass keine unzulässige Beratung z.B. aus den Bereichen Recht, Medizin oder Finanzen stattfindet.

Empfohlene Schutzmaßnahmen beim Einsatz von KI-Chatbots

Technische Maßnahmen:

• Strikte Funktionsbegrenzung: Bot darf keine rechtsverbindlichen Erklärungen abgeben
• Festlegung von Wissensquellen und Zugriffsberechtigungen
• Outputfilter
• Festlegung fit / unfit for purpose
• keine Preisnennung durch den Bot (Verweis auf Webseite/Kundenservice)
• Logging und (stichprobenartiges) Monitoring aller Chatverläufe
• Regelmäßige Tests und Kontrolle

Rechtliche Maßnahmen:

• Haftungsbeschränkungen im Rahmen des AGB-Rechts (§§ 305 ff. BGB)
• Auftragsverarbeitungsvertrag (AVV) mit Verbot der Datenweiterverwertung zu eigenen Zwecken
• Prüfung und ggf. Anpassung des Versicherungsschutzes

 

Fazit: Rechtssicherheit als Schlüssel für den erfolgreichen Einsatz von KI-Chatbots

KI-Chatbots erfordern sorgfältige rechtliche Planung. Eine Kombination aus technischen Guardrails, durchdachter Nutzungsrechts-Gestaltung, transparenter Kommunikation und kontinuierlicher Überwachung ermöglicht rechtssicheren Einsatz. Unternehmen, die diese Aspekte systematisch adressieren, können die Vorteile der Technologie nutzen, ohne sich unkalkulierbaren Haftungsrisiken auszusetzen.
 

 

Einleitung

Immer mehr Unternehmen setzen KI-gestützte Chatbots auf ihren Webseiten ein, um Kunden rund um die Uhr zu betreuen, Anfragen zu beantworten oder sogar Geschäftsprozesse zu automatisieren.

Während frühere Chatbots lediglich auf vordefinierte Antwortbäume zurückgriffen, sind moderne Systeme auf Basis großer Sprachmodelle (Large Language Models, LLM) in der Lage, frei formulierte Dialoge zu führen und dabei kontextbezogen auf komplexe Anfragen einzugehen.

Rechtlich komplexer und ungleich riskanter wird es, wenn KI-Agenten nicht mehr nur mit Menschen, sondern auch untereinander kommunizieren: Der Chatbot eines Kunden stimmt automatisch mit dem KI-System eines Lieferanten Bestellungen ab oder handelt Vertragskonditionen und Rabatte aus.

Mit den wachsenden Einsatzmöglichkeiten steigen auch die rechtlichen Anforderungen und Risiken. Unternehmen müssen eine Vielzahl von Regelungen beachten, die vom Datenschutzrecht über das Vertragsrecht, das Wettbewerbsrecht bis hin zur europäischen KI-Verordnung (KI-VO) reichen.

Dieser Beitrag gibt einen Überblick über die wesentlichen Rechtsfragen, die beim Einsatz von KI-Chatbots auf Unternehmenswebseiten zu beachten sind, und zeigt Gestaltungsmöglichkeiten auf, um rechtliche Risiken zu minimieren.

Einsatzszenarien von KI-Chatbots

KI-Chatbots auf Webseiten lassen sich in verschiedenen Konstellationen einsetzen, die jeweils unterschiedliche rechtliche Fragen aufwerfen:

KI Chatbots in Kundenservice und Support

Der KI-Chatbot beantwortet Fragen zu Produkten, Dienstleistungen, Lieferzeiten oder Rückgabebedingungen. Er kann Nutzer durch FAQ-Bereiche führen, Störungsmeldungen entgegennehmen oder an den passenden Ansprechpartner weiterleiten. Denkbar ist aber auch der Einsatz in Bereichen der Stammdatenänderungen (Bankverbindung, Kontaktdaten) oder typische kundenvertragsbezogene Anfragen: Entgegennahme von Kündigungen von Abos, Zählerstandsmeldungen im Energiesektor.

Beratung und Produktempfehlungen durch KI Chatbots

Chatbots können Nutzer bei der Produktauswahl beraten, individuelle Empfehlungen aussprechen oder Konfigurationen vorschlagen. Hier bewegt sich der KI Chatbot bereits in einem Bereich, in dem fehlerhafte oder irreführende Aussagen Haftungsfragen auslösen können, insbesondere wenn die Empfehlung als verbindliche Zusicherung verstanden werden kann. Auch können Beratungen erfolgen, die bestimmten rechtlichen Schranken unterliegen, wie z.B. unzulässige Rechtsberatung, Beratung im Bereich Medizin oder Finanzen.

KI Chatbots bei Vertragsanbahnung und Vertragsschluss

Rechtlich noch kritischer ist die Einbindung des KI-Chatbots in den Bestellprozess. Der Chatbot kann diesbezüglich Preise nennen, Angebote unterbreiten, Bestellungen entgegennehmen oder sogar Verträge abschließen. Unternehmen müssen in diesem Bereich besonders die Frage klären, ob der Chatbot wirklich rechtswirksame Verträge schließen soll und wie sich dies ggf. verhindern lässt oder konform gestaltet werden kann.

Weitere Einsatzgebiete von KI Chatbots

Darüber hinaus sind zahlreiche weitere Einsatzgebiete für Chatbots denkbar und auch in der Praxis bereits im Einsatz, wie z.B. im Beschwerdemanagement, bei der Terminvereinbarung, im internen Wissensmanagement mit Kundenschnittstelle oder bei der Lead-Generierung im Vertrieb. Jedes Szenario bringt spezifische rechtliche Herausforderungen mit sich.

Datenschutzrechtliche Anforderungen beim Einsatz von KI Chatbots auf Webseiten

Beim Einsatz eines KI-Chatbots auf einer Webseite werden immer personenbezogene Daten verarbeitet, was den Anwendungsbereich der DSGVO eröffnet. Bereits die IP-Adresse des Nutzers, seine Eingaben im Chat und die daraus generierten Gesprächsverläufe stellen personenbezogene Daten im Sinne der DSGVO dar. Unternehmen müssen daher eine Reihe von datenschutzrechtlichen Anforderungen erfüllen:

Rechtsgrundlage der Datenverarbeitung

Für jede Verarbeitung personenbezogener Daten ist eine Rechtsgrundlage nach DSGVO erforderlich. Welche Rechtsgrundlage einschlägig ist, hängt vom konkreten Einsatzszenario und dem Zweck der Datenverarbeitung ab. Dient der KI Chatbot ausschließlich der Beantwortung allgemeiner Fragen, kann Rechtsgrundlage das berechtigte Interesse des Unternehmens an einem effizienten Kundenservice sein. Auch kommt in Angelegenheiten des Kundenservices regelmäßig die Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO in Betracht, wenn der KI Chatbot Daten zur Begründung oder Durchführung eines Vertragsverhältnisses mit dem Nutzer verarbeitet. Es wird aber auch Verarbeitungen personenbezogener Daten geben, die nur mit ausdrücklicher vorheriger Einwilligung des Nutzers zulässig sind.

Informationspflichten nach DSGVO

Gemäß Art. 12, 13 und 14 DSGVO sind Nutzer umfassend über die Datenverarbeitung zu informieren. Die Datenschutzerklärung der Webseite muss daher um Angaben zur Datenverarbeitung bei Nutzung des KI-Chatbots ergänzt werden.

Auftragsverarbeitung mit Anbietern von KI-Chatbots

Wird der KI-Chatbot über einen externen Dienstleister betrieben, etwa über eine Cloud-basierte KI-Plattform, liegt in der Regel eine Auftragsverarbeitung nach Art. 28 DSGVO vor. In diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO (AVV) mit dem Anbieter abzuschließen. Neben den üblichen rechtlichen Themen, die in einer AVV geregelt werden, muss ausdrücklich geregelt sein, dass der Auftragsverarbeiter (Anbieter) die über den KI Chatbot verarbeiteten Daten nicht zu eigenen Zwecken nutzen darf, insbesondere nicht zum Training der eigenen KI-Modelle. Auch beim Thema Datenlöschung bestehen KI-spezifische Herausforderungen.

Zudem stellen sich diesbezüglich oft Fragen der Datenverarbeitung in unsicheren Drittstaaten, die gelöst werden müssen.

Datenschutz-Folgenabschätzung beim Einsatz von KI-Chatbots

Abhängig vom Umfang der Datenverarbeitung und den eingesetzten Technologien kann eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich sein. Dies gilt insbesondere dann, wenn der Chatbot umfangreiche Nutzerprofile erstellt, besondere Kategorien personenbezogener Daten verarbeitet oder automatisierte Einzelentscheidungen im Sinne des Art. 22 DSGVO trifft.

KI Chatbots und KI-Verordnung (KI-VO, AI Act))

Ist Webseitenbetreiber Anbieter oder Betreiber eines KI-Systems im Sinne der KI VO

An die Stellung als Anbieter oder Betreiber eines KI-Systems werden in der KI VO unterschiedliche und teilweise für Anbieter sehr weitreichende Verpflichtungen geknüpft.
Webseitenbetreiber müssen somit in einem ersten Schritt klären, welche Stellung sie bei Einsatz des KI Chatbots auf der eigenen Webseite innehaben.
Dies ist eine umfangreiche rechtliche Bewertung, die den Einsatzzweck, das Maß an Modifikation und weitere Merkmale mit einbezieht. Die Grenzen zwischen Anbieter und Betreiber sind in diesem Bereich schnell überschritten, weswegen eine sichere rechtliche Beurteilung unumgänglich ist.

Wird der KI-Chatbot im KI-Modell mit eigenen Daten trainiert und/oder für den Webseitenbetreiber direkt entwickelt und als z.B. „DerWebseitenbetreiberBot“ mit eigenem Namen des Unternehmens betrieben, kann der Webseitenbetreiber zum Anbieter werden.

Bei einem KI-Chatbot, der auf einem Template eines anderen Anbieters aufsetzt, keinen eigenen „Webseitenbetreibernamen“ erhält und nur auf die Websuche, feste interne Datenquellen oder RAG-Systeme zurückgreift, ist der Webseitenbetreiber in der Regel nur Betreiber.

Transparenzpflicht nach Art. 50 KI-VO bei KI Chatbots

Art. 50 Abs. 1 KI-VO verpflichtet den Anbieter eines KI-Systems, das zur direkten Interaktion mit natürlichen Personen bestimmt ist, sicherzustellen, dass die betroffenen Personen darüber informiert werden, dass sie mit einem KI-System interagieren. Für KI Chatbots auf Webseiten bedeutet dies, dass der Nutzer klar und unmissverständlich darauf hingewiesen werden muss, dass er mit einer Künstlichen Intelligenz kommuniziert und nicht mit einem Menschen. Dieser Hinweis muss rechtzeitig, also vor Beginn der Interaktion, erfolgen.

Die Transparenzpflicht gilt ab dem 02.08.2026. Verstöße sind bußgeldbewehrt.

Risikoklassifizierung

Die KI-VO verfolgt einen risikobasierten Ansatz. somit muss jeder Einsatz eines KI-Chatbots nach Risikostufen klassifiziert werden.
KI Chatbots, die ausschließlich im Kundenservice eingesetzt werden, dürften in der Regel als KI-Systeme mit geringem Risiko einzustufen sein, für die primär die Transparenzpflichten gelten. Wird der Chatbot jedoch in Bereichen eingesetzt, die unter die Hochrisiko-KI nach Art. 6 KI VO fallen, etwa im Bereich der Kreditwürdigkeitsprüfung, der Personalauswahl oder der Zugangsentscheidung zu wesentlichen Dienstleistungen, greifen zusätzlich die umfangreichen Anforderungen der Art. 8 ff. KI-VO. Dazu gehören unter anderem ein Risikomanagementsystem, Anforderungen an die Datenqualität, eine technische Dokumentation, menschliche Aufsicht und Konformitätsbewertungen.

Die Einstufung ist somit ein wichtiger Schritt der Unternehmens-Compliance, um sämtliche Pflichten in Zusammenhang mit dem Einsatz eines KI-Chatbots identifizieren und umsetzen zu können.

Rechtliche Risiken beim Einsatz von KI Chatbots auf Webseiten

Neben oben genannten Verpflichtungen kommen rechtliche Risiken beim Einsatz von KI-Chatbots ins Spiel, wenn der KI Chatbot z.B. eigenständig Erklärungen abgeben kann, die als rechtsverbindliche Willenserklärungen des Unternehmens qualifiziert werden.

Vertragsschluss: Zurechnung von KI Chatbot-Erklärungen

Erklärungen, die von automatisierten Systemen im Geschäftsverkehr abgegeben werden, werden dem Betreiber des Systems als dessen Willenserklärungen zugerechnet. Dies gilt unabhängig davon, ob der Betreiber die konkrete Erklärung kannte oder wollte. Wer ein automatisiertes System im Rechtsverkehr einsetzt, muss sich die von diesem System generierten Erklärungen grundsätzlich zurechnen lassen, so wie er sich auch die Erklärungen eines Erfüllungsgehilfen zurechnen lassen muss.

Für den Einsatz von KI-Chatbots bedeutet dies: Wenn der Bot einem Kunden einen bestimmten Preis nennt, eine Lieferzusage macht oder ein Sonderangebot unterbreitet, kann diese Erklärung grundsätzlich als verbindliches Angebot oder als Annahme eines Vertragsangebots gewertet werden. Das Unternehmen wäre dann an diese Erklärung gebunden, auch wenn der Chatbot aufgrund einer Halluzination oder Fehlkonfiguration fehlerhaft arbeitet.

Auch müssen fernabsatzrechtliche Regelungen beachtet / erfüllt sein.

Besondere Risiken bei der Kommunikation von KI-Agenten untereinander

Eine besondere Risikolage entsteht, wenn nicht ein Mensch mit einem KI Chatbot interagiert, sondern zwei KI-Systeme verschiedener Unternehmen autonom miteinander kommunizieren. Anwendungsbereiche sind automatisierte Beschaffungsprozesse, bei denen der KI-Agent eines Kunden eigenständig mit dem KI-System eines Lieferanten Verfügbarkeiten prüft, Preise verhandelt und Bestellungen auslöst, auch Flug- oder Reisebuchungen. In der agent-to-agent Situation fehlt die menschliche Kontrollinstanz auf beiden Seiten, was die Gefahr potenziert, dass rechtsverbindliche Verträge zu Konditionen geschlossen werden, die keines der beteiligten Unternehmen so gewollt hat. Unternehmen, die ihre KI-Agenten für die automatisierte Kommunikation mit externen Systemen einsetzen, sollten daher besonders strenge Wertgrenzen, Freigabemechanismen und automatische Plausibilitätsprüfungen implementieren und vertraglich mit ihren Geschäftspartnern klare Regelungen für den Fall fehlerhafter Agent-zu-Agent-Kommunikation treffen.

In diesen Situationen kommen auch diesbezügliche Regelungen in Unternehmens-AGB eine wichtige Rolle zu. Oftmals wird hier schon streitig sein, wessen AGB überhaupt einbezogen worden sind.

Haftung für fehlerhafte Auskünfte von KI Chatbots

Selbst wenn kein Vertrag zustande kommt, kann das Unternehmen für fehlerhafte Auskünfte des Chatbots haften. Denkbar sind Ansprüche, wenn der Nutzer im Vertrauen auf eine falsche Auskunft des KI Chatbots eine nachteilige Entscheidung trifft oder Handlung vornimmt.

Wettbewerbsrechtliche Haftung bei Aussagen von KI Chatbots

Auch wettbewerbsrechtliche Ansprüche nach dem UWG kommen in Betracht, wenn der KI Chatbot irreführende Angaben über Produkte, Preise oder Eigenschaften macht oder Regelungen wie die Preisangabenverordnung (PAngV) missachtet. Diese können dann Gegenstand von kostspieligen wettbewerbsrechtlichen Abmahnungen z.B. durch Mitbewerber sein.

Schutzmaßnahmen und Gestaltungsempfehlungen beim Einsatz von KI Chatbots

Um die dargestellten Risiken zu minimieren, sollten Unternehmen beim Einsatz von KI-Chatbots auf ihren Webseiten eine Reihe von technischen und rechtlichen Schutzmaßnahmen ergreifen:

Technische Maßnahmen  

• Thematische Begrenzung: Der KI-Chatbot sollte so konfiguriert werden, dass er ausschließlich zu den definierten Themengebieten Auskunft gibt und fachfremde Anfragen höflich ablehnt oder an einen menschlichen Ansprechpartner weiterleitet.
• System-Prompts und Guardrails: Über gezielte Systemanweisungen (System-Prompts) kann das Verhalten des KI-Chatbots gesteuert werden, beispielsweise durch die Anweisung, keine rechtsverbindlichen Zusagen zu machen, keine medizinischen oder rechtlichen Ratschläge zu erteilen oder stets auf die Notwendigkeit einer individuellen Beratung hinzuweisen.
• Ausgabe-Filter: Technische Filter können verhindern, dass der KI-Chatbot unangemessene, diskriminierende oder schädliche Inhalte ausgibt.
• Menschliche Eskalation: Für komplexe oder sensible Anfragen sollte ein Eskalationspfad zu menschlichen Mitarbeitern vorgesehen werden.
• Logging und Monitoring: Sämtliche Chatverläufe sollten protokolliert und stichprobenartig kontrolliert werden, um Fehlfunktionen frühzeitig zu erkennen und die Qualität der Antworten kontinuierlich zu verbessern. Selbstverständlich müssen die Nutzer auch hierüber informiert werden.
• Regelmäßige Tests: Der Chatbot sollte vor dem Einsatz und fortlaufend im Betrieb systematisch getestet werden, einschließlich Tests, bei denen gezielt versucht wird, den Bot zu fehlerhaften Aussagen zu verleiten.

   

Rechtliche Maßnahmen

• Disclaimer und Haftungshinweise: Im Chat-Interface sollte ein deutlich sichtbarer Hinweis darauf erfolgen, dass es sich um einen KI-gestützten Assistenten handelt und die Antworten keine rechtsverbindlichen Auskünfte darstellen.
• AGB-Gestaltung: Die Allgemeinen Geschäftsbedingungen sollten klarstellen, dass Äußerungen des Chatbots keine verbindlichen Angebote darstellen und Verträge nur über den regulären Bestellprozess zustande kommen.
• Haftungsbeschränkung: Im Rahmen des rechtlich Zulässigen sollten Haftungsbeschränkungen für fehlerhafte Auskünfte des Chatbots aufgenommen werden. Dabei sind die Grenzen des AGB-Rechts (§§ 305 ff. BGB) zu beachten, insbesondere kann die Haftung für Vorsatz und grobe Fahrlässigkeit nicht ausgeschlossen werden.
• Vertragliche Absicherung mit dem Anbieter: Im Vertrag mit dem Chatbot-Anbieter sollten klare Regelungen zu Service Level Agreements, Haftungsverteilung, Datenschutz und dem Verbot der Datenweiterverwertung getroffen werden.
• Versicherungsschutz: Unternehmen sollten prüfen, ob ihre bestehende Betriebs- und Vermögensschadenhaftpflichtversicherung auch Schäden durch fehlerhafte KI-Systeme abdeckt, und den Versicherungsschutz gegebenenfalls anpassen.

 

Fazit: Compliance und Kontrolle sichern den nachhaltigen Chatbot-Einsatz

Der Einsatz von KI-Chatbots auf Unternehmenswebseiten bietet erhebliches Potenzial zur Effizienzsteigerung und Verbesserung der Kundenkommunikation. Die rechtlichen Rahmenbedingungen sind jedoch vielschichtig und erfordern eine sorgfältige Planung. Unternehmen müssen datenschutzrechtliche Vorgaben einhalten, die Anforderungen der KI-Verordnung beachten und insbesondere das Risiko ungewollter Vertragsbindungen oder andere Rechtsfolgen durch fehlerhafte KI-Chatbot-Erklärungen aktiv steuern.
Eine Kombination aus technischen Guardrails, durchdachter AGB-Gestaltung, klarer Kommunikation gegenüber den Nutzern und regelmäßiger Überwachung des Chatbot-Verhaltens ist der Schlüssel zu einem rechtssicheren Einsatz. Unternehmen, die diese Aspekte frühzeitig und systematisch adressieren, können die Vorteile der Technologie nutzen, ohne sich unkalkulierbaren Haftungsrisiken auszusetzen.

 

Als Rechtsanwälte und Fachanwälte für IT-Recht können wir für den von Ihnen geplanten KI-Chatbot diese rechtlichen Fragen beantworten und sichere Lösungen für Sie finden. Wir freuen uns auf Ihr Projekt!