Dein Kundenservice-Chatbot beantwortet seit Monaten hunderte Anfragen täglich. Kein Mensch dahinter. Niemand der Nutzer weiß es. Das ist kein Kavaliersdelikt mehr.
Ob du dafür Tools wie ChatGPT, Cognigy oder Tidio einsetzt — die Offenlegungspflicht gilt unabhängig vom verwendeten System.
Seit der schrittweisen Anwendung des EU AI Acts gelten für viele KI-gestützte Produkte konkrete Offenlegungspflichten. Wer jetzt noch glaubt, das betreffe nur große Konzerne, übersieht, wie breit die Anforderungen gefasst sind.
Was der EU AI Act konkret vorschreibt
Der EU AI Act unterscheidet nach Risikoklassen. Für die meisten KMUs und Produktanbieter relevanter als die Hochrisiko-Kategorien ist Artikel 50 — die allgemeinen Transparenzpflichten.
Die Kernaussage ist klar: Chatbots und andere KI-Systeme, die mit natürlichen Personen interagieren, müssen erkennbar machen, dass es sich um eine KI handelt. Ausnahme: Es ist für normale Nutzer ohnehin offensichtlich.
“Offensichtlich” ist dabei eng definiert. Ein Widget namens “AutoBot” auf einer B2B-Plattform erfüllt das Kriterium nicht automatisch. Im Zweifel musst du aktiv kommunizieren.
Für KI-generierte Inhalte — Texte, Bilder, Audio, Video — gilt Ähnliches: Wenn Inhalte täuschungsrelevant sein könnten, ist eine Kennzeichnung nötig. Das betrifft vor allem synthetische Medien, aber auch automatisch generierte Pressemitteilungen oder Produktbeschreibungen, die als menschlich verfasst erscheinen sollen.
Mehr zur Rechtslage nach dem EU AI Act und was seit August 2026 gilt, erklärt der Beitrag EU AI Act August 2026: Was jetzt gilt.
Automatisierte Entscheidungen: Artikel 22 DSGVO
Neben dem EU AI Act greift bei bestimmten KI-Anwendungen bereits die DSGVO. Artikel 22 regelt automatisierte Entscheidungen, die eine Person erheblich beeinflussen — Kreditvergabe, Versicherungsprämien, Personalauswahl, Preisdifferenzierung.
Hier hast du drei Pflichten:
- Informationspflicht: Betroffene müssen wissen, dass eine automatisierte Entscheidung stattfindet
- Widerspruchsrecht: Betroffene können eine menschliche Überprüfung verlangen
- Erklärungspflicht: Auf Anfrage musst du die Logik der Entscheidung nachvollziehbar erklären
Das klingt nach Bürokratie, ist aber in vielen Fällen einfach umsetzbar. Ein Satz in der E-Mail, der die Entscheidung kommuniziert, plus ein Link zum Einspruchsformular. Was du nicht kannst: so tun, als sei da kein Algorithmus.
Was du Nutzern sagen musst — und wie
Die Anforderung “Transparenz” führt oft zu dem Reflex, den Datenschutzbeauftragten zu beauftragen und dreiseitige Zusatzerklärungen zu produzieren, die niemand liest. Das verfehlt den Zweck.
Gute Transparenz ist kurz, klar und im richtigen Moment. Nicht tief im Impressum. Nicht in einem Anhang zur AGB. Sondern dort, wo die Interaktion stattfindet.
Für Chatbots: Eine kurze Begrüßung reicht. “Hallo, ich bin ein KI-Assistent von [Firma]. Ich helfe dir bei Fragen zu X. Wenn du einen Mitarbeiter brauchst, sag es einfach.” Fertig. Wie ein solches System aufgebaut wird, zeigt der Use Case Chatbot auf der Website.
Für automatisierte Entscheidungen: Ein Hinweis in der Ergebnisbenachrichtigung. “Deine Anfrage wurde automatisch geprüft. Du hast das Recht, eine persönliche Überprüfung anzufordern.” Mit Link. Keine Romane.
Für KI-generierte Inhalte: Je nach Anwendungsfall ein dezenter Hinweis — “Mit KI erstellt” oder ähnlich. Das schreckt weniger Nutzer ab, als die meisten Unternehmen befürchten.
In der Datenschutzerklärung: Ein eigener Abschnitt zu KI-Systemen, der erklärt, welche KI-Tools du einsetzt, zu welchem Zweck, welche Daten verarbeitet werden und auf welcher Rechtsgrundlage.
Musterformulierungen
Für die Praxis hier direkt nutzbare Formulierungsvorschläge:
Chatbot-Begrüßung:
“Ich bin ein KI-Assistent. Ich kann dir bei allgemeinen Fragen helfen, treffe aber keine verbindlichen Entscheidungen. Für wichtige Anliegen vermittle ich dich gerne an unser Team.”
Datenschutzerklärung, Abschnitt KI:
“Wir setzen KI-gestützte Systeme ein, um [Funktion]. Dabei werden folgende Daten verarbeitet: [Auflistung]. Eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO findet [nicht statt / nur in folgenden Fällen statt]. Du hast das Recht, […]”
Hinweis bei automatisierter Entscheidung:
“Diese Entscheidung wurde durch ein automatisiertes System getroffen. Du kannst eine Überprüfung durch einen Mitarbeiter beantragen: [Link]”
Passe die Formulierungen an deinen spezifischen Kontext an. Lass sie kurz. Lass sie verständlich.
Was passiert, wenn du es nicht tust
Bußgelder nach EU AI Act können bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes betragen — je nachdem, was höher ist. Das betrifft die schwerwiegenden Verstöße.
Für Transparenzpflichtverletzungen ist die Sanktionsstufe niedriger, aber nicht null. Die ersten Verfahren laufen. Behörden in Deutschland, Österreich und den Niederlanden haben angekündigt, die Durchsetzung im zweiten Halbjahr 2026 zu intensivieren.
Neben Bußgeldern drohen Reputationsschäden — vor allem, wenn Nutzer sich getäuscht fühlen und das öffentlich machen. Ein Artikel über “Dieser Onlineshop lässt KI heimlich Kundengespräche führen” verbreitet sich schneller als jede Pressemitteilung.
Und: Datenschutzbehörden können die Verarbeitung untersagen. Dann steht dein Chatbot still, bis du nachgebessert hast.
Mehr zu den rechtlichen Grundlagen bietet der Artikel KI und Datenschutz: Was du wissen musst.
Praktisch anfangen
Mach ein Inventar. Welche KI-Systeme interagieren in deinem Unternehmen mit Kunden oder treffen Entscheidungen, die Kunden betreffen? Liste sie auf.
Dann für jedes System: Ist Transparenz hergestellt? Wo? Wie? Falls nicht — eine Formulierung, ein Hinweis, ein Absatz in der Datenschutzerklärung. Kein Großprojekt.
Wenn du das getan hast, hast du den Kern erfüllt. Den Rest — Dokumentation, Prozesse, Verantwortlichkeiten — kannst du schrittweise aufbauen.
Mehr über konkrete KI-Compliance-Themen für dein Unternehmen findest du unter Für Unternehmen.
Bleib auf dem Laufenden, wenn sich Gesetze und Anforderungen weiterentwickeln: Newsletter abonnieren.