KI-Chatbots und EU AI Act: Alle Anforderungen im Überblick

Fast alle Chatbots, die auf LLMs (Large Language Models) basieren, fallen unter den EU AI Act. Die entscheidende Frage ist die Risikoklasse: Minimales Risiko: reine Informationschatbots ohne sensible Kontexte. Begrenztes Risiko: Chatbots, die mit Menschen interagieren – hier greift Art. 50 (Transparenzpflicht). Hochrisiko: Chatbots in Bereichen wie Bildung, Beschäftigung, öffentliche Dienstleistungen, wenn sie wesentliche Einflüsse auf Entscheidungen haben. Generative KI-Chatbots (GPT-basiert): fallen zusätzlich unter GPAI-Regeln.

Art. 50 EU AI Act verpflichtet Betreiber von Chatbots, die menschliche Interaktion simulieren, zur Offenlegung: Nutzer müssen wissen, dass sie mit einer KI kommunizieren. Diese Pflicht gilt ab dem 2. August 2026, de facto aber schon früher als Best Practice. Ausnahmen: wenn es offensichtlich ist (z.B. klar als Chatbot gekennzeichnete Systeme) oder im Rahmen von Kreativitäts- oder Unterhaltungsanwendungen. In der Praxis bedeutet dies: Chatbots müssen sich zu Beginn als KI vorstellen und diese Info jederzeit auf Nachfrage wiederholen.

Für Compliance-konforme Chatbots sind folgende technische Maßnahmen notwendig: Automatische Einleitungsnachricht mit KI-Kennzeichnung, Möglichkeit zur Übergabe an menschlichen Agenten, Content-Filter für unzulässige Ausgaben (besonders bei LLMs), Protokollierung von Konversationen (soweit datenschutzrechtlich zulässig), Qualitätssicherung und regelmäßige Evaluation der Ausgaben. Für Hochrisiko-Chatbots zusätzlich: vollständige technische Dokumentation und EU-Datenbankregistrierung.

Chatbots erheben per Definition personenbezogene Daten. DSGVO-Anforderungen: Rechtsgrundlage für die Datenverarbeitung (i.d.R. Art. 6 Abs. 1 lit. b oder f DSGVO), Datenschutzerklärung mit spezifischen Chatbot-Informationen, Speicherbegrenzung für Konversationsdaten, Verbot der unautorisierten Nutzung für Profiling, Auftragsverarbeitungsvertrag mit dem LLM-Anbieter (OpenAI, Anthropic, etc.). In der Schweiz gelten die entsprechenden DSG-Anforderungen.

Ein Unternehmen betreibt einen LLM-basierten Kundenservice-Chatbot. Compliance-Check: Risikoklasse begrenztes Risiko (Art. 50 greift). Maßnahmen: KI-Kennzeichnung in erster Nachricht, Option auf menschlichen Support, Datenschutzerklärung aktualisiert, AV-Vertrag mit LLM-Anbieter, Content-Filter für sensitive Themen, keine Speicherung von Konversationen über 30 Tage. Ergebnis: Compliant mit vertretbarem Aufwand. Fazit: Die meisten Unternehmens-Chatbots fallen nicht in die Hochrisiko-Kategorie und können mit überschaubarem Aufwand compliant gemacht werden.