legal

7 Tipps zum rechtssicheren Einsatz von Chatbots

Eine Frau kommuniziert am Smartphone mit einem Chatbot.

Chatbots gehören mittlerweile zum festen Bestandteil aktueller Webseiten. Die technologische Entwicklung der letzten Jahre hat dazu geführt, dass Chatbots heute nicht mehr nur regelbasierte Antwort‑Systeme sind, sondern KI-gestützte Assistenten, die Kontexte erkennen, natürliche Sprache verstehen und sogar komplexe Anliegen einordnen können. Diese Intelligenz macht sie zu einem wertvollen Werkzeug im E‑Commerce und bringt jedoch auch rechtliche Herausforderungen mit sich, die viele Unternehmen unterschätzen.

Damit ein Chatbot nicht nur serviceorientiert, sondern auch rechtskonform eingesetzt wird, ist ein klarer Blick auf seine Funktionsweise und seine rechtlichen Risiken unverzichtbar.

Inhaltsverzeichnis

Was sind Chatbots?

Chatbots sind softwarebasierte Systeme, die mittels künstlicher Intelligenz oder regelbasierter Algorithmen automatisierte Dialoge mit Nutzer*innen führen können, um Informationen bereitzustellen, Anfragen zu beantworten oder Transaktionen zu unterstützen.

Chatbots unterstützen beim Navigieren durch den Shop, beantworten häufige Fragen, geben Orientierung im Bestellprozess oder helfen bei Reklamationen und Retouren.

Sie sind rund um die Uhr erreichbar, arbeiten ohne Wartezeiten und entlasten somit KundendienstTeams effektiv. Insbesondere KIgestützte Varianten können Konversationen analysieren, Zusammenhänge erkennen und situative Empfehlungen aussprechen.

Damit sind sie zentraler Bestandteil des digitalen Kundenkontakts.

Risiken beim Einsatz von Chatbots

So hilfreich Chatbots sind, bergen sie rechtlich gesehen mehrere Risiken, die relevant werden, sobald Nutzer*innen den Chat nutzen.

Ein elementarer Risikobereich ist der Datenschutz. Chatbots verarbeiten zwangsläufig personenbezogene Daten, von Namen und Bestellnummern bis hin zu vertraulichen Angaben, die Nutzer*innen teils unbewusst preisgeben. In den Fällen, in denen personenbezogene Daten durch den Chatbot verarbeitet werden, ist immer der Anwendungsbereich der DSGVO eröffnet.

Besonders KI-Modelle analysieren die Eingaben tiefgehend und ein Personenbezug ist schnell gegeben. Mehr dazu auch in unserem Blogbeitrag: 7 datenschutzrechtliche Herausforderungen beim Einsatz von künstlicher Intelligenz (KI)

Hinzu kommt das Risiko falscher Aussagen. KI-basierte Chatbots wirken oft überzeugend, liefern aber nicht immer korrekte Aussagen und können halluzinieren. Wird eine falsche Lieferfrist genannt, eine falsche Preiszusage formuliert oder eine unzulässige Auskunft gegeben, trägt das Unternehmen die Verantwortung und muss sich die Aussagen des Chatbots zurechnen lassen.

Schließlich besteht ein Risiko durch fehlende oder unzureichende Kontrolle. Chatbots verändern durch Updates, neue Sprachmodelle oder Systemoptimierungen ihr Verhalten oft unmerklich. Ohne regelmäßige Prüfungen können plötzlich Aussagen entstehen, die rechtlich oder fachlich nicht zulässig sind. Das ist besonders problematisch, weil viele Unternehmen ihre Chatbots nach der Einführung kaum noch überwachen.

Tipps für den rechtssicheren Einsatz von Chatbots

Für einen zuverlässigen und rechtskonformen Einsatz bieten die folgenden Maßnahmen eine hilfreiche Orientierung. Sie verbinden technische Vorgaben, organisatorische Abläufe und rechtliche Anforderungen und schaffen damit eine solide Grundlage für einen sicheren Chatbot‑Betrieb:

1. Auftragsverarbeitungsvertrag mit Chatbot-Anbieter schließen

Sobald ein externer Dienstleister den Chatbot zur Verfügung stellt und somit an der Datenverarbeitung beteiligt ist, ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO zu schließen. Darin muss eindeutig geregelt sein, wie die personenbezogenen Daten verarbeitet, geschützt und gelöscht werden und ob der Anbieter Daten weiterverwenden darf oder nicht. Bei der Auswahl des Chatbots ist also eine datenschutzfreundliche Technikgestaltung ausschlaggebend.

2. Einsatz von Cookies prüfen

Soweit Cookies bei der Einbindung des Chatbots eingesetzt werden, muss geprüft werden, ob gem. § 25 TDDDG eine Einwilligung eingeholt werden muss. Diese Einwilligung erfolgt in der Regel über den Consent Manager. Beachte also, den Consent Manager entsprechend einzustellen.

3. Rechtsgrundlage für die Verarbeitung personenbezogener Daten definieren

Werden personenbezogenen Daten in ein Freitextfeld eines Chatbots eingegeben und dann verarbeitet, stellt dies eine Datenverarbeitung dar. Für jede Verarbeitung personenbezogener Daten ist eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich.

Dient der KI-Chatbot ausschließlich der Beantwortung allgemeiner Fragen, kann die Rechtsgrundlage das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) des Unternehmens an einem effizienten Kundenservice sein. Vorab muss natürlich eine Interessenabwägung stattgefunden haben.

Daneben kann als Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO in Betracht kommen, wenn der KI-Chatbot personenbezogene Daten zur Begründung oder Durchführung eines Vertragsverhältnisses mit den Nutzer*innen verarbeitet, beispielsweise bei Reise- oder Hotelreservierungen.

Oft wird als Rechtsgrundlage auch die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) der betroffenen Personen in Betracht kommen. Die Einwilligung kann direkt über den Chat erfolgen oder mittels Checkbox und den dazugehörigen Informationen vor dem Chat platziert werden.

Wichtig ist zu beachten, dass es an der Freiwilligkeit der Einwilligung fehlt, wenn neben der Nutzung des Chatbots keine weitere Möglichkeit zur Kontaktaufnahme besteht. In dem Fall ist die Einwilligung unwirksam. Darüber hinaus ist die Einwilligung zu dokumentieren (Art. 7 Abs. 1 DSGVO).

Außerdem solltest du im Rahmen der Datenschutzerklärung oder eines Disclaimers die Betroffenen darauf aufmerksam machen, auf die Eingabe nicht erforderlicher sensibler Daten zu verzichten.

4. Datenschutzhinweise bereitstellen

Des Weiteren sind die entsprechenden Datenschutzhinweise jederzeit erreichbar vorzuhalten, beispielsweise über einen eindeutig bezeichneten Link.

In der Datenschutzerklärung ist vor allem darüber zu informieren,

  • welche Daten verarbeitet werden,
  • zu welchem Zweck,
  • wie lange sie gespeichert werden,
  • an wen sie weitergegeben werden,
  • welche Rechte Nutzer*innen haben (z.B. Löschung, Berichtigung, Auskunft).

5. Themenbereich des Chatbots eingrenzen

Ein Chatbot sollte nur zu Themen antworten, für die er vorgesehen ist. Fragen zu sensiblen oder fachfremden Bereichen sollte er höflich ablehnen oder an menschliche Mitarbeitende weitergeben. Das verhindert ungewollte, unzulässige oder riskante Beratung, welche Haftungsrisiken birgt.

6. Transparenz schaffen

Die Anbieter*innen von KI-basierten Chatbots müssen gemäß Art. 50 Abs. 1 der KI-VO sicherstellen, dass diese so konzipiert und entwickelt werden, dass die betreffenden natürlichen Personen informiert werden, dass sie mit einem KI‑System interagieren, außer das ist aus Sicht einer angemessen informierten, aufmerksamen und verständigen natürlichen Person aufgrund der Umstände und des Kontexts der Nutzung offensichtlich.

In den meisten Fällen, sind Betreiber*innen von Webseiten allerdings keine Anbieter*innen im Sinne der KI-VO.

Ein guter erster Schritt besteht aber auch für Betreiber*innen von KI-basierten Chatbots darin, gleich zu Beginn des Chats offen zu kommunizieren, dass man mit einer KI interagiert und welche Art von Daten nicht eingegeben werden sollte. Ein solcher Hinweis schafft Orientierung, setzt klare Erwartungen und stärkt das Vertrauen in den gesamten Serviceprozess.

7. KI-Kompetenz im Unternehmen sicherstellen

Kommen KI-Systeme, wie ein KI-basierter Chatbot, zum Einsatz, muss zusätzlich die KI-Kompetenz der Mitarbeitenden und des die Webseite betreibenden Unternehmens sichergestellt werden (Art. 4 KI-VO), beispielsweise durch eine entsprechende KI-Kompetenzschulung oder andere Maßnahmen im Unternehmen.

Melde deine Mitarbeiter*innen im Rahmen deiner Mitgliedschaft bei uns zur KI-Kompetenzschulung an, um die KI-Kompetenz in deinem Unternehmen aufzubauen und nachzuweisen.

Unser Tipp

Wage dich an den Einsatz von KI-basierten Chatbots, um einen wettbewerbsfähigen und effizienten Kundensupport zu gewährleiten und lass dich bei Fragen gerne von uns im Rahmen der Legal Pakete beraten.

26.03.26
Sabrina Brosch

Sabrina Brosch

Sabrina Brosch, LL.M., ist als Teamlead der Legal Consultants Privacy bei Trusted Shops tätig. Sie betreut die Trusted Shops Legal Produkte im Bereich Datenschutz.

Weitere relevante Artikel

Ein Lastwagen auf einer Karte symbolisiert Dropshipping.

Rechtliche Stolperfallen beim Dropshipping

 Grafik: 2026 mit einer Gerichtswaage und Feuerwerk

Diese Gesetzesänderungen erwarten dich 2026!

 Ein Einkaufswagen mit Paketen auf einer chinesischen Flagge

Online-Handel: Konkurrenz aus China ignoriert deutsche Regeln

Weitere interessante Blog-Artikel

Online-Handel in Legal

7 Tipps zum rechtssicheren Einsatz von Chatbots

Damit ein Chatbot nicht nur serviceorientiert, sondern auch rechtskonform eingesetzt wird, ist ein Blick auf Funktionsweise und rechtliche Risiken nötig.

Jetzt lesen
4min. Lesezeit  |  26.03.26
Online-Handel in Legal

Rechtliche Stolperfallen beim Dropshipping

Dropshipping ist besonders bei neuen Online-Shops beliebt – doch die rechtlichen Anforderungen sind strikt: Wenn was schiefgeht, bist du Vertragspartner.

Jetzt lesen
13min. Lesezeit  |  13.03.26
Rechtssicher Werben in Legal

So wirbst du rechtssicher auf Instagram

Wann handelt es sich bei einem Instagram-Post um Werbung? Wie sieht eine korrekte Kennzeichnung aus? Wer Fehler macht, riskiert Abmahnungen und Bußgelder.

Jetzt lesen
5min. Lesezeit  |  12.03.26
Land auswählen:

© 2026 Trusted Shops SE Impressum Datenschutz Cookies