Am 2. August 2026 tritt der EU AI Act vollständig in Kraft. Für jedes Unternehmen das einen AI-Chatbot betreibt — ob auf der eigenen Website, in WhatsApp oder als internes Tool — gelten ab diesem Tag verbindliche Transparenz- und Dokumentationspflichten.
Die gute Nachricht: Die meisten E-Commerce Chatbots sind kein High-Risk System. Die weniger gute: Die Transparenzpflichten gelten trotzdem. Und die Strafen sind real.
Die Kernzahl
Bis zu €15 Mio. oder 3% des weltweiten Jahresumsatzes — das droht bei Verstoß gegen Artikel 50 des EU AI Acts. Und fast die Hälfte der deutschen Unternehmen ist laut Deloitte noch nicht vorbereitet.
Was der EU AI Act für Chatbots bedeutet
Der EU AI Act klassifiziert AI-Systeme in vier Risikostufen: Unzulässig, High Risk, Limited Risk und Minimal Risk. Für die meisten Customer-Service-Chatbots gilt: Limited Risk mit Transparenzpflichten nach Artikel 50.
Das bedeutet konkret: Ihre Kunden müssen wissen, dass sie mit einer KI sprechen. Nicht irgendwo versteckt in den AGB — sondern klar, unterscheidbar und vor der ersten Interaktion.
„Der Anbieter stellt sicher, dass natürliche Personen darüber informiert werden, dass sie mit einem KI-System interagieren — klar, unterscheidbar und spätestens zu Beginn der ersten Interaktion."
— EU AI Act, Artikel 50, Absatz 1
Wann wird ein Chatbot High Risk?
Ein normaler Support-Bot der Versandfragen beantwortet ist Limited Risk. Aber es gibt Grenzen. Sobald ein Chatbot in einen der Bereiche aus Anhang III des AI Acts fällt, kann er zum High-Risk-System werden:
- Medizinische Triage oder Diagnoseunterstützung
- Kredit- oder Versicherungsentscheidungen
- HR-Screening oder Bewerberbewertung
- Zugang zu öffentlichen Leistungen
Die Branche allein entscheidet nicht — es kommt auf die Funktion an. Ein Chatbot bei einer Versicherung der nur FAQ beantwortet ist Limited Risk. Ein Chatbot der Schadensmeldungen bewertet und Auszahlungen empfiehlt könnte High Risk sein.
Die Compliance-Checkliste
Was muss Ihr Chatbot bis August 2026 haben? Hier ist die praxisnahe Checkliste, unterteilt in Pflicht (rot), empfohlen (gelb) und High-Risk-Erweiterung (grün):
Pflicht für jeden Chatbot
- KI-Transparenz-Hinweis vor der ersten Interaktion
- Dokumentierte Risiko-Klassifizierung (warum nicht High Risk?)
- Datenschutz-Check (DSGVO-konforme Verarbeitung)
Empfohlen für robuste Compliance
- Logging aller Interaktionen (anonymisiert, 6 Monate)
- Human Escalation bei kritischen Themen
- AI-Literacy Schulung für das Team
- Accuracy Monitoring pro Themenkategorie
Pflicht bei High Risk
- Konformitätsbewertung und CE-Kennzeichnung
- Risikomanagement-System (ISO 31000)
- Technische Dokumentation (20-50 Seiten)
- Post-Market-Monitoring mit Incident-Reports
Was die meisten übersehen
Die Transparenzpflicht klingt einfach: „Sag dem Kunden dass er mit einer KI spricht." Aber in der Praxis gibt es Fallstricke.
Erstens: Der Hinweis muss auf jedem Kanal funktionieren. Web-Chat, WhatsApp, Facebook Messenger, App — überall wo der Bot antwortet, muss der Hinweis stehen.
Zweitens: „Offensichtlich" ist nicht gut genug. Artikel 50 macht eine Ausnahme für Fälle wo die AI-Nutzung „aus dem Kontext offensichtlich" ist. Aber wer will das vor einer Behörde argumentieren?
Drittens: Generative Chatbots haben eine Zusatzpflicht. Wenn Ihr Bot synthetische Inhalte erzeugt (nicht nur vordefinierte Antworten liefert), müssen diese als AI-generiert markiert werden — maschinenlesbar.
Die Zeitbombe: Accuracy
Accuracy Monitoring ist im EU AI Act für Limited-Risk-Systeme nicht explizit vorgeschrieben. Aber es ist der beste Schutz den Sie haben.
Warum? Wenn Ihr Chatbot einem Kunden falsche medizinische Informationen gibt, falsche Preise nennt oder eine Rückgabepolicy erfindet — dann haftet Ihr Unternehmen. Nicht der Chatbot-Anbieter. Sie.
Wir haben diese Woche CHECK24 und Otto getestet. Beide Bots haben eine Accuracy von 62%. Das bedeutet: Jede dritte Antwort ist falsch. Bei Medical/Legal-Fragen liegt die Accuracy bei nur 30%.
Die Frage ist nicht ob Ihr Bot Fehler macht. Die Frage ist ob Sie es wissen und dokumentieren können.
Was Sie jetzt tun sollten
Vier Monate sind nicht viel. Aber genug. Hier ist der Fahrplan:
April (jetzt): Readiness Assessment durchführen. Wo steht Ihr Bot? Welche Pflichten gelten? Wie hoch ist die Accuracy?
Mai–Juni: Transparenz-Hinweis implementieren, Risiko-Klassifizierung dokumentieren, Logging aktivieren.
Juli: Team schulen, Human Escalation testen, finalen Compliance-Report erstellen.
2. August: Compliant sein.
Tim von Sachs ist AI-Entwickler und Gründer von Anima, einem Audit- und Monitoring-Tool für AI-Chatbot-Qualität. Er hat diese Woche die Chatbots von CHECK24 und Otto getestet — beide erzielten 62% Accuracy.