Stand: August 2025
Künstliche Intelligenz (KI) ist längst Teil des digitalen Geschäftsalltags – auch für kleine und mittlere Unternehmen (KMU). Ob beim Kundenservice, im Marketing oder bei der Erstellung von Texten und Bildern: KI kann Arbeit abnehmen und Prozesse beschleunigen.
Mit dem neuen EU-KI-Gesetz (AI-Act oder Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz) gelten jedoch verbindliche Regeln für die Nutzung solcher Systeme. Dieses Whitepaper gibt Ihnen einen praxisnahen Überblick.
Was regelt das KI-Gesetz?
Das EU-KI-Gesetz ist seit dem 1. August 2024 in Kraft. Ziel ist es, Risiken zu begrenzen und Verbraucher zu schützen. Das Gesetz unterscheidet zwischen vier Risikokategorien:
– verbotene KI-Systeme (z. B. Social Scoring)
– Hochrisiko-KI (z. B. KI-Software für die Bewerberauswahl oder Leistungsbewertung von Mitarbeitern),
– KI mit mittlerem Risiko (z. B. Chatbots, Content-Generatoren, Kundensupport)
– Geringfügiges oder kein Risiko (z. B. Spamfilter).
Für die meisten KI-Anwendungen in Online-Shops gelten lediglich Kennzeichnungs- und Informationspflichten, da in der Regel keine Hochrisiko-KI verwendet wird. Bei KI mit mittlerem Risiko gelten gewisse Kennzeichnungs- und Informationspflichten. Bei KI mit geringfügigem oder keinem Risiko bestehen keine besonderen Pflichten.
5 Schritte für den rechtssicheren KI-Einsatz im Online-Shop
Als Betreiber eines Online-Shops, der KI-Software im eigenen Webshop einsetzt, gelten Sie als „Betreiber“ eines KI-Systems im Sinne des KI-Gesetzes und unterliegen den gesetzlichen Pflichten eines Betreibers.
1. Bestandsaufnahme: Welche KI nutzen Sie bereits? Welche Risikogruppe liegt vor?
Beispiele:
• Chatbots oder Voicebots im Kundenservice
• Automatisierte Produktbeschreibungen
• KI-gestützte Preisvorschläge
• Analyse von Kundenverhalten oder Kundenfeedback
• KI-gesteuertes Rechnungs-, Mahn- und Inkassowesen
• Warenwirtschaft
Ermitteln Sie, ob diese Tools ein Risiko für Kundendaten, Rechte oder Sicherheit darstellen. In den meisten Fällen handelt es sich um risikoarme Anwendungen.
2. Transparenzpflichten beachten
Ab dem 2. August 2026 gilt:
Wenn Inhalte mithilfe von KI erstellt oder verändert wurden (Texte, Bilder, Videos), müssen Sie diese deutlich als KI-generierte Inhalte kennzeichnen.
Ausnahme: Wenn die Inhalte redaktionell geprüft wurden, kann auf die Kennzeichnung verzichtet werden.
3. Mitarbeiter schulen
Bereits seit Februar 2025 verlangt das Gesetz:
Alle Mitarbeiter, die mit KI-Systemen arbeiten, müssen über grundlegende Kenntnisse zu Chancen und Risiken verfügen.
Praktisch bedeutet das: Es reichen schon Kurzschulungen, interne Richtlinien oder Trainings aus. Gegebenenfalls sollte auch ein KI-Verantwortlicher im Team benannt werden.
4. Datenschutz nicht vergessen!
Auch beim Einsatz von KI gilt die DSGVO.
Sobald personenbezogene Daten verarbeitet werden (z. B. Name, E-Mail-Adresse, Verhalten), muss weiterhin eine transparente Datenschutzerklärung vorliegen, eine rechtmäßige Datenerhebung und -nutzung (Rechtsgrundlage, Zweckbindung, Information) muss erfolgen und ggf. muss die Einwilligung der Betroffenen eingeholt werden.
5. Rechtliche Entwicklungen im Blick behalten
Das KI-Gesetz tritt schrittweise bis 2027 voll in Kraft, sodass jederzeit neue Auslegungen, Urteile und Behördenvorgaben hinzukommen können.
Was droht bei Verstößen?
Für typische Online-Shops mit Standard-KI-Tools (z. B. Chatbots, Textgeneratoren) sind hohe Bußgelder zwar eher unwahrscheinlich, sofern die grundlegenden Informationspflichten erfüllt werden, doch nicht ausgeschlossen. Immerhin sind bei fehlerhafter Bereitstellung von Pflichtinformationen schon bis zu 7,5 Millionen Euro oder ein Prozent des weltweiten Jahresumsatzes eines Unternehmens möglich. Bei weiteren Verstößen gelten sogar höhere Bußgelder.
Auch Abmahnungen sind möglich. Es ist noch nicht geklärt, jedoch denkbar, dass die Vorgaben aus dem KI-Gesetz als Marktverhaltensregeln angesehen werden und somit wettbewerbsrechtliche Abmahnungen ermöglichen.
Außerdem sind behördliche Maßnahmen möglich.
Es lohnt sich daher, die Entwicklung auch weiterhin im Auge zu behalten.
Fazit:
Aktuell sind die Pflichten bei Einsatz von risikoarmer KI noch überschaubar, hauptsächlich gilt es die Mitarbeiter zu schulen und den Datenschutz zu beachten.
Ab dem 2. August 2026 muss jedoch darauf geachtet werden KI generierte Inhalte zu kennzeichnen, so für diese keine redaktionelle Prüfung stattfindet.
Selbstverständlich halten wir hier die rechtlichen Neuigkeiten für Sie weiter im Blick.
