De EU AI Act (AI-verordening) is de eerste uitgebreide AI-wet ter wereld. Vanaf 2025 moeten Europese bedrijven voldoen aan regels over transparantie, risicobeheer en verantwoord gebruik van AI-systemen.

Geldt de AI Act voor mijn webshop?

Als u AI-tools gebruikt zoals chatbots, productaanbevelingen of AI-gegenereerde content, dan gelden er transparantieverplichtingen. Zelfs een simpele chatbot valt onder Artikel 50 van de AI Act.

Wat zijn de deadlines?

De AI-literacy verplichting (Artikel 4) geldt al sinds 2 februari 2025. Transparantieverplichtingen voor chatbots en AI-content gelden vanaf 2 augustus 2026.

Wat kan ik zelf doen?

Belangrijkste stap: zorg dat gebruikers weten wanneer ze met AI communiceren. Voeg disclaimers toe bij chatbots, label AI-gegenereerde content, en vermeld AI-gebruik in uw privacybeleid.

Is deze scan juridisch advies?

Nee, onze scan is informatief en geeft een indicatie van uw compliance-status. Voor juridisch advies raden wij aan een gespecialiseerd adviseur te raadplegen.

Die KI in deinem Webshop, von der du nichts wusstest

# Die KI in deinem Webshop, von der du nichts wusstest

Fragst du die meisten Webshop-Besitzer, welche KI-Systeme ihr Shop nutzt, erhältst du eine kurze Antwort: "Einen Chatbot, vielleicht ein Empfehlungs-Widget." Fragst du jedoch, was tatsächlich im Hintergrund läuft – über Theme, Apps, Plugins, Tracking-Skripte und Marketing-Tools –, verdreifacht sich die Liste meist.

Dieser Unterschied ist entscheidend. Laut dem EU-KI-Gesetz (Verordnung 2024/1689) gelten Compliance-Pflichten für KI-Systeme, unabhängig davon, ob du sie selbst entwickelt oder als Drittanbieter-App installiert hast. Wenn sie auf deiner Website laufen, ist es dein Problem. Und das Gesetz ist bereits in Kraft, mit gestaffelten Fristen bis 2027.

Hier ist das, was Webshop-Besitzer wirklich wissen müssen – ohne juristischen Fachjargon.

---

Das versteckte KI-Problem

Ein typischer Shopify- oder WooCommerce-Shop nutzt leise KI an Stellen, an die die meisten Besitzer nie denken:

Personalisierungs- und Empfehlungs-Apps (Klaviyo, Rebuy, LimeSpot)
KI-generierte Produktbeschreibungen und Zusammenfassungen von Bewertungen
Chatbots und Support-Widgets (Tidio, Gorgias AI, Intercom Fin)
Dynamische Preisgestaltung und Rabatt-Engines
Betrugserkennung (Shopifys eigene Tools, Signifyd, Riskified)
Werbe- und Zielgruppen-Tools (Meta-, Google- und TikTok-Pixel mit KI-gestützter Optimierung)
Suchfunktionen, die Ergebnisse basierend auf Nutzerverhalten neu sortieren

Du hast keinen dieser Codes geschrieben. Doch wenn ein Kunde mit deinem Shop interagiert, bist du unter dem Gesetz der Nutzer – und Nutzer haben ebenfalls Pflichten.

Die meisten dieser Tools fallen in die Kategorie begrenztes Risiko, was bedeutet, dass du vor allem Transparenz gegenüber den Nutzern schuldest. Einige können jedoch in die Kategorie hohes Risiko umschlagen, abhängig von der Nutzung. In jedem Fall kannst du nicht mit etwas konform gehen, das du nicht kennst.

Die vier Risikokategorien – kurz erklärt

Das Gesetz unterteilt KI in vier Kategorien:

Inakzeptables Risiko (Art. 5) – strikt verboten. Dazu gehören manipulative Techniken, die Schwächen ausnutzen oder das Verhalten auf schädliche Weise beeinflussen. Aggressive KI-„Dark Patterns“, die zu Impulskäufen drängen, könnten hier landen.

Hohes Risiko (Anhang III) – strenge Pflichten. Für Webshops ist dies enger gefasst, als viele annehmen. Generische Betrugserkennung bei Bestellungen fällt meist nicht darunter; die Bonitätsprüfung bei „Kauf auf Rechnung“ oder internen Finanzierungsoptionen schon. Falls du unsicher bist, gehe davon aus, dass du prüfen musst.

Begrenztes Risiko (Art. 50) – Transparenz erforderlich. Chatbots müssen offenlegen, dass sie KI sind. KI-generierte Inhalte (Produkttexte, synthetische Bewertungen, Deepfake-ähnliche Bilder) müssen als solche gekennzeichnet werden.

Minimales Risiko – keine Pflichten. Spamfilter, Bestandsprognosen, die meisten Personalisierungen. Gute Praxis gilt trotzdem.

Was du konkret tun musst

Für die begrenzt riskanten Tools, die den Großteil der KI in Webshops ausmachen, besteht die Hauptpflicht in ehrlicher Offenlegung (Art. 50):

Nutzer müssen wissen, wenn sie mit einem KI-System interagieren (Chatbots, Sprachassistenten)
KI-generierte Inhalte müssen dort gekennzeichnet werden, wo ein vernünftiger Nutzer sie für menschengemacht halten könnte
Die Kennzeichnung muss klar und am Interaktionspunkt erfolgen – nicht versteckt in einer Datenschutzerklärung

Für alles, was in den hohen Risiko-Bereich fällt, sind die Anforderungen deutlich höher: Risikomanagement (Art. 9), Datenverwaltung (Art. 10), menschliche Aufsicht (Art. 14), Genauigkeit und Robustheit (Art. 15), Dokumentation (Art. 12, 10 Jahre Aufbewahrungspflicht laut Art. 18) und Registrierung in der EU-Datenbank (Art. 49) vor der Inbetriebnahme. Wenn du ein hohes Risiko-System als Nutzer einsetzt und nicht als Anbieter, sind deine Pflichten geringer, aber dennoch real – vor allem Überwachung, Protokollierung und Information betroffener Personen.

Die Fristen

Das Gesetz wird über etwa drei Jahre schrittweise eingeführt (Art. 113):

Februar 2025 – Verbot von KI mit inakzeptablem Risiko tritt in Kraft
August 2025 – Regeln für KI-Modelle mit allgemeiner Zweckbestimmung gelten
August 2026 – Die meisten Pflichten für Hochrisiko-Systeme nach Anhang III treten in Kraft
August 2027 – Volle Anwendung, einschließlich Hochrisiko-Systeme, die in regulierte Produkte eingebettet sind

Wir haben die ersten beiden Meilensteine bereits hinter uns. August 2026 ist der Termin, auf den sich die meisten Webshops jetzt vorbereiten sollten.

Beginne mit einem Inventar

Du kannst nicht klassifizieren, was du nicht aufgelistet hast. Bevor du dir über Dokumentationsvorlagen oder Policy-Updates Gedanken machst, erstelle ein einfaches Inventar:

1. Liste alle Apps, Plugins, Skripte und Integrationen auf deinem Shop-Frontend und Backend auf 2. Markiere diejenigen, die KI nutzen – nicht immer offensichtlich; Begriffe wie „smart“, „personalisiert“, „intelligent“ und „automatisiert“ sind Hinweise 3. Klassifiziere nach Risiko anhand der Kriterien des Gesetzes, beginnend mit der Frage, ob etwas mit Nutzern interagiert oder Entscheidungen über sie trifft 4. Dokumentiere bestehende Kennzeichnungen und notiere Lücken

Hier scheitern die meisten Webshop-Besitzer – nicht weil das Gesetz unendlich komplex ist, sondern weil niemand einen klaren Überblick über den eigenen Tech-Stack hat. Genau diese Lücke schließt AI Act Scanner (auf Deutsch verfügbar): Er scannt deine Live-Website, identifiziert KI-gestützte Tools und Skripte und markiert, wo du wahrscheinlich Transparenz- oder Compliance-Lücken hast – in Minuten, ohne einen Berater.

Compliance als Vertrauenssignal

Die Strafen machen Schlagzeilen – bis zu 35 Millionen Euro oder 7 % des globalen Umsatzes bei schweren Verstößen (Art. 99). Doch für die meisten Webshops ist das größere Risiko nicht der Brief eines Regulators. Es ist, dass Kunden stillschweigend das Vertrauen verlieren, wenn sie merken, dass der „Support-Mitarbeiter“ ein Bot war, die begeisterte Bewertung KI-generiert war oder ihre Bestellung von einem undurchsichtigen Algorithmus ohne Einspruchsmöglichkeit abgelehnt wurde.

Transparente, gut dokumentierte KI-Nutzung wird zu einem Wettbewerbsvorteil. Die Shops, die hier vorne liegen, vermeiden nicht nur Strafen – sie stechen hervor.

---

Dieser Artikel ist allgemeine Information, keine Rechtsberatung. Für konkrete Empfehlungen konsultiere einen qualifizierten Anwalt.

Bereit zu sehen, welche KI tatsächlich auf deinem Webshop läuft? Scanne deine Website auf aiactscanner.com und erhalte in Minuten einen Compliance-Lückenbericht.