KI und DSGVO: Was der AI Act für deine Website bedeutet
Der EU AI Act tritt stufenweise in Kraft. Erfahre, was Chatbots, KI-Tools und LLM-Integrationen für deine Website datenschutzrechtlich bedeuten.
Künstliche Intelligenz verändert das Web. Chatbots beantworten Kundenanfragen, Empfehlungsalgorithmen personalisieren Inhalte und LLMs wie ChatGPT generieren Texte in Echtzeit. Für Website-Betreiber stellt sich die Frage: Welche datenschutzrechtlichen Pflichten entstehen durch den Einsatz von KI? Und was ändert der EU AI Act?
Die Antwort ist komplex, denn es greifen zwei Regelwerke gleichzeitig: die DSGVO für den Schutz personenbezogener Daten und der EU AI Act für die Regulierung von KI-Systemen. Dieser Artikel erklärt beide Regelwerke im Zusammenspiel und zeigt, was du als Website-Betreiber konkret beachten musst.
Der EU AI Act: Überblick
Der AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Er wurde im August 2024 veröffentlicht und tritt stufenweise in Kraft:
- Februar 2025: Verbotene KI-Praktiken gelten
- August 2025: Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) gelten
- August 2026: Pflichten für Hochrisiko-KI-Systeme gelten
- August 2027: Vollständige Anwendung aller Vorschriften
Risikoklassen des AI Act
Der AI Act klassifiziert KI-Systeme in vier Risikoklassen:
| Risikoklasse | Beschreibung | Beispiele | Regulierung |
|---|---|---|---|
| Verboten | Unzulässige KI-Praktiken | Social Scoring, Echtzeit-Gesichtserkennung im öffentlichen Raum, Manipulation vulnerabler Gruppen | Komplett verboten |
| Hoch | KI mit erheblichem Risiko für Grundrechte | Kreditscoring, Bewerbungsscreening, Medizindiagnose, Strafverfolgung | Strenge Pflichten: Risikobewertung, Qualitätsmanagement, Dokumentation, menschliche Aufsicht |
| Begrenzt | KI mit Interaktionsrisiko | Chatbots, Deepfakes, emotionserkennende Systeme | Transparenzpflichten: Nutzer müssen wissen, dass sie mit KI interagieren |
| Minimal | KI mit geringem Risiko | Spam-Filter, Produktempfehlungen, Suchfunktionen | Keine spezifischen Pflichten (freiwillige Verhaltenskodizes empfohlen) |
Was bedeutet das für Websites?
Die meisten KI-Anwendungen auf Websites fallen in die Kategorien begrenzt oder minimal:
- Chatbots (mit oder ohne LLM): Begrenzt — Transparenzpflicht
- Produktempfehlungen: Minimal — keine spezifischen Pflichten
- Dynamische Preisgestaltung: Minimal bis begrenzt, je nach Implementierung
- KI-generierte Inhalte: Begrenzt — Kennzeichnungspflicht bei Deepfakes und synthetischen Medien
- Automatisierte Kundenservice-Antworten: Begrenzt — Transparenzpflicht
KI auf Websites: Typische Einsatzbereiche
Chatbots und Conversational AI
KI-Chatbots (auf Basis von ChatGPT, Claude, Gemini oder eigenen Modellen) werden zunehmend für den Kundensupport auf Websites eingesetzt. Sie verarbeiten dabei:
- Eingaben des Nutzers: Fragen, Beschwerden, persönliche Informationen
- Konversationshistorie: Gespeicherte Chatverläufe
- Kontextdaten: Aktuelle Seite, Warenkorb, Kundenstatus
- Metadaten: IP-Adresse, Browser, Sprache
Jeder dieser Datenpunkte kann personenbezogene Daten enthalten. Die DSGVO greift in vollem Umfang.
Produktempfehlungen und Personalisierung
Recommendation Engines analysieren Nutzerverhalten (Klicks, Kaufhistorie, Verweildauer), um personalisierte Vorschläge zu machen. Je nach Implementierung kann das unter die automatisierte Entscheidungsfindung nach Art. 22 DSGVO fallen.
Dynamische Preisgestaltung
KI-basierte Preisalgorithmen passen Preise in Echtzeit an — basierend auf Nachfrage, Nutzerverhalten oder Standort. Das wirft Fragen der Transparenz und Nichtdiskriminierung auf.
ChatGPT und LLM-Integrationen: DSGVO-Anforderungen
Die Integration von Large Language Models (ChatGPT, Claude, Gemini) auf Websites ist der aktuell häufigste KI-Anwendungsfall. Hier gelten besondere DSGVO-Anforderungen:
Datenverarbeitung durch den LLM-Anbieter
Wenn du ChatGPT (über die OpenAI API) auf deiner Website integrierst, werden die Eingaben deiner Nutzer an OpenAI-Server übermittelt. Dabei ist zu beachten:
| Aspekt | Details |
|---|---|
| Datenfluss | Nutzereingabe -> dein Server -> OpenAI API -> Antwort zurück |
| Verarbeitungsort | OpenAI-Server in den USA |
| Drittlandtransfer | Ja — USA, abgesichert über DPF (Data Privacy Framework) |
| Rechtsgrundlage | Einwilligung (Art. 6 Abs. 1 lit. a) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
| AVV erforderlich | Ja — Data Processing Addendum mit OpenAI |
| Datenspeicherung | OpenAI speichert API-Anfragen standardmäßig 30 Tage (seit März 2023 kein Training mehr mit API-Daten) |
AVV mit OpenAI, Anthropic und Co.
Für die API-Nutzung von LLM-Anbietern brauchst du einen Auftragsverarbeitungsvertrag:
- OpenAI: Data Processing Addendum (DPA) im API-Account verfügbar
- Anthropic (Claude): DPA auf Anfrage oder im Account-Bereich
- Google (Gemini): Data Processing Terms im Google Cloud-Account
- Mistral AI: DPA im Unternehmensbereich
Wichtig: Die kostenlosen Chat-Interfaces (chatgpt.com, claude.ai) sind für den Unternehmenseinsatz nicht geeignet, da dort kein AVV möglich ist und die Daten für Training verwendet werden können. Nutze immer die API mit explizitem DPA.
Datensparsamkeit bei LLM-Integrationen
Sende nur die Daten an den LLM-Anbieter, die für die Anfrage notwendig sind:
Schlecht:
"Der Kunde Max Mustermann (max@example.com, Kundennr. 12345)
fragt nach dem Status seiner Bestellung #67890."
Besser:
"Ein Kunde fragt nach dem Bestellstatus.
Bestellung: #67890, Status: In Zustellung."
Durch Anonymisierung oder Pseudonymisierung vor dem API-Aufruf minimierst du das Datenschutzrisiko erheblich.
Transparenzpflicht: KI muss erkennbar sein
Der AI Act verlangt in Art. 50 Abs. 1: Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren. Das gilt insbesondere für Chatbots.
Umsetzung auf der Website
Du musst klar kennzeichnen, dass ein Chatbot KI-basiert ist. Beispiele für korrekte Kennzeichnung:
Korrekt:
"Sie chatten mit unserem KI-Assistenten.
Ein Mitarbeiter kann das Gespraech jederzeit uebernehmen."
"Dieser Text wurde mit Unterstuetzung von KI erstellt."
"Die Produktempfehlungen werden mithilfe kuenstlicher
Intelligenz personalisiert."
Nicht ausreichend:
"Hallo, wie kann ich Ihnen helfen?"
(Ohne Hinweis, dass es sich um KI handelt)
Wann greift die Transparenzpflicht?
| Anwendung | Transparenzpflicht nach AI Act | Transparenzpflicht nach DSGVO |
|---|---|---|
| Chatbot (KI-basiert) | Ja (Art. 50 Abs. 1) | Ja (Art. 13 — Datenschutzerklärung) |
| Produktempfehlungen (KI) | Nein (minimales Risiko) | Ja (Art. 13 — Datenschutzerklärung) |
| Dynamische Preise (KI) | Nein | Ja (Art. 13 + ggf. Art. 22) |
| KI-generierte Inhalte | Ja, bei Deepfakes/synthetischen Medien (Art. 50 Abs. 2) | Nein |
| Spam-Filter | Nein | Nein |
| Suchfunktion mit KI | Nein | Nein (wenn keine personenbezogenen Daten verarbeitet werden) |
Automatisierte Entscheidungsfindung (Art. 22 DSGVO)
Art. 22 DSGVO gibt betroffenen Personen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Wann greift Art. 22?
Drei Voraussetzungen müssen gleichzeitig erfüllt sein:
- Die Entscheidung basiert ausschließlich auf automatisierter Verarbeitung (kein Mensch beteiligt)
- Die Entscheidung hat rechtliche Wirkung (z.B. Vertragsablehnung) oder erhebliche Beeinträchtigung (z.B. Kreditverweigerung)
- Die Verarbeitung umfasst Profiling (Bewertung persönlicher Aspekte)
Beispiele für Websites
| Anwendung | Art. 22 einschlägig? | Begründung |
|---|---|---|
| KI lehnt Kreditantrag automatisch ab | Ja | Ausschließlich automatisiert, rechtliche Wirkung |
| KI-Chatbot beantwortet Fragen | Nein | Keine Entscheidung mit rechtlicher Wirkung |
| KI blockiert Nutzerkonto automatisch | Möglicherweise | Erhebliche Beeinträchtigung möglich |
| KI personalisiert Produktempfehlungen | Nein | Keine erhebliche Beeinträchtigung |
| KI setzt automatisch unterschiedliche Preise | Möglicherweise | Abhängig von der Preisdifferenz und den Kriterien |
Pflichten bei Art. 22
Wenn Art. 22 greift, hast du folgende Pflichten:
- Ausdrückliche Einwilligung einholen oder andere Ausnahme nach Art. 22 Abs. 2 erfüllen
- In der Datenschutzerklärung über die automatisierte Entscheidungsfindung informieren
- Aussagekräftige Informationen über die involvierte Logik bereitstellen
- Das Recht auf menschliche Überprüfung der Entscheidung gewährleisten
Cookie- und Tracking-Aspekte bei KI-Tools
KI-Tools auf Websites setzen häufig eigene Cookies oder übertragen Daten an externe Server:
Typische Datenverarbeitungen
- Chat-Widgets: Setzen Session-Cookies, speichern Chatverläufe, übertragen IP-Adressen
- Personalisierungs-Engines: Setzen Tracking-Cookies für Nutzerprofile
- A/B-Testing mit KI: Setzt Cookies zur Nutzerzuordnung
- Analytics mit KI-Features: Erweiterte Analyse-Cookies
Consent-Pflicht für KI-Tools
Für das Setzen von nicht-notwendigen Cookies durch KI-Tools brauchst du — wie bei jedem anderen Tracking-Tool — eine Einwilligung nach TDDDG und DSGVO. Das KI-Tool muss in deinem Cookie-Banner als eigene Kategorie oder unter “Funktional” / “Marketing” aufgeführt sein.
Cookie-Banner-Konfiguration fuer KI-Chatbot:
Kategorie: Funktional (oder separate "KI"-Kategorie)
Name: KI-Kundenassistent
Anbieter: [Name des Anbieters]
Cookies: chatbot_session, chatbot_history
Zweck: KI-basierter Kundenservice
Speicherdauer: Session / 30 Tage
Drittlandtransfer: USA (OpenAI API)
Wichtig: Wenn der Chatbot für den Betrieb der Website nicht notwendig ist (was in den meisten Fällen zutrifft), darf er erst nach Consent geladen werden. Ein KI-Chatbot, der sofort beim Seitenaufruf erscheint und Daten an US-Server sendet, ist ohne Einwilligung nicht DSGVO-konform.
Datenschutzerklärung für KI-Nutzung
Deine Datenschutzerklärung muss einen eigenen Abschnitt für KI-Dienste enthalten. Folgende Informationen sind Pflicht:
Pflichtangaben nach Art. 13 DSGVO
- Name des KI-Dienstes und des Anbieters
- Zweck der Verarbeitung (z.B. automatisierter Kundenservice)
- Welche Daten werden verarbeitet (Eingaben, Chatverläufe, Metadaten)
- Rechtsgrundlage (Einwilligung oder berechtigtes Interesse)
- Empfänger der Daten (LLM-Anbieter als Auftragsverarbeiter)
- Drittlandtransfer und Garantien (DPF, SCCs)
- Speicherdauer der Chatverläufe und verarbeiteten Daten
- Hinweis auf den Einsatz von KI (Transparenzpflicht AI Act)
- Hinweis auf automatisierte Entscheidungsfindung (falls Art. 22 greift)
- Recht auf menschliche Überprüfung (falls Art. 22 greift)
Formulierungsbeispiel
KI-gestuetzter Kundenservice
Auf unserer Website setzen wir einen KI-basierten Chatbot ein,
der auf der Technologie von [Anbieter] basiert. Wenn Sie den
Chatbot nutzen, werden Ihre Eingaben an die Server von [Anbieter]
(Sitz: [Land]) uebermittelt und dort verarbeitet.
Verarbeitete Daten: Ihre Chat-Eingaben, Zeitstempel, Session-ID
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Drittlandtransfer: [Land], abgesichert durch [DPF/SCCs]
Speicherdauer: Chatverlaeufe werden nach [X] Tagen geloescht.
Der Chatbot trifft keine automatisierten Entscheidungen im Sinne
von Art. 22 DSGVO. Die Antworten des Chatbots stellen keine
rechtsverbindlichen Auskuenfte dar.
KI-generierte Inhalte auf Websites
Immer mehr Websites nutzen KI, um Texte, Bilder oder Produktbeschreibungen zu generieren. Datenschutzrechtlich ist das weniger problematisch, solange dabei keine personenbezogenen Daten in das KI-Modell eingespeist werden. Die Transparenzfrage ist hier eher eine des Wettbewerbs- und Medienrechts.
Empfehlung: Kennzeichne KI-generierte Inhalte — nicht weil die DSGVO es zwingend verlangt, sondern weil der AI Act bei bestimmten synthetischen Inhalten (Deepfakes, manipulierte Bilder) eine Kennzeichnung vorschreibt und Transparenz Vertrauen schafft.
Praxis-Checkliste: KI DSGVO-konform auf der Website einsetzen
- KI-Anwendungen auf der Website identifizieren (Chatbot, Empfehlungen, Personalisierung)
- Risikoklasse nach AI Act bestimmen (verboten, hoch, begrenzt, minimal)
- Transparenzpflicht umsetzen: KI-Interaktion klar kennzeichnen
- AVV mit dem KI-/LLM-Anbieter abschließen (DPA bei OpenAI, Anthropic etc.)
- Drittlandtransfer prüfen und absichern (DPF, SCCs)
- Datensparsamkeit: Nur notwendige Daten an den KI-Anbieter senden
- Personenbezogene Daten vor API-Aufrufen anonymisieren/pseudonymisieren
- Cookie-Consent für KI-Tools einholen (wenn nicht essentiell)
- KI-Tool im Cookie-Banner als eigene Kategorie aufführen
- Datenschutzerklärung um KI-Abschnitt ergänzen
- Art. 22 DSGVO prüfen: Trifft die KI automatisierte Entscheidungen?
- Falls ja: Recht auf menschliche Überprüfung sicherstellen
- Regelmäßig prüfen: Neue KI-Features, geänderte Datenverarbeitung
KI-Compliance mit Compliso
Der Einsatz von KI auf Websites bringt neue datenschutzrechtliche Anforderungen mit sich. Der Compliso Scanner erkennt automatisch KI-basierte Third-Party-Scripts und Chatbot-Widgets auf deiner Website und prüft, ob sie vor dem Consent geladen werden.
Der Compliso Content-Generator aktualisiert deine Datenschutzerklärung mit den notwendigen Abschnitten für KI-Dienste — inklusive Transparenzhinweisen, Drittlandtransfer-Informationen und Hinweisen auf automatisierte Entscheidungsfindung.
Jetzt deine Website scannen und herausfinden, welche KI-Tools auf deiner Seite aktiv sind. Oder direkt registrieren und deine Datenschutzerklärung für den KI-Einsatz aktualisieren.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.