Kostenlos beraten
KI-Compliance im deutschen Einzelhandel und E-Commerce
ai-act

KI-Compliance im deutschen Einzelhandel: DSGVO und AI Act für den Handel

Einzelhändler in Deutschland, die KI-Chatbots, Personalisierungstools oder automatisierten Kundendienst einsetzen, müssen gleichzeitig zwei Rechtsrahmen einhalten: die Datenschutz-Grundverordnung (DSGVO) und den EU AI Act. Die DSGVO verlangt eine gültige Rechtsgrundlage, eine transparente Datenschutzerklärung, einen Auftragsverarbeitungsvertrag (AVV) mit jedem KI-Anbieter sowie konsequente Datensparsamkeit. Der AI Act ergänzt ab dem 2. August 2026 eine Transparenzpflicht für alle kundenseitigen KI-Systeme — und stuft bestimmte KI-Anwendungen, etwa im Personalbereich oder beim Scoring, als hochriskant ein.

Datenschutzbedenken beim KI-Einsatz im Einzelhandel

Der deutsche Einzelhandel gehört zu den datenintensivsten Branchen: KI-Systeme verarbeiten Kundendaten in großem Umfang — Namen, Kaufhistorie, Surfverhalten, Standortdaten und Zahlungsinformationen. Jede Interaktion zwischen Kund:innen und einem KI-System ist eine personenbezogene Datenverarbeitung im Sinne der DSGVO.

Dabei gelten nicht nur die europäischen Vorgaben. Das Bundesdatenschutzgesetz (BDSG) enthält ergänzende Regelungen für die Verarbeitung von Beschäftigtendaten und besonderen Datenkategorien. Der Hauptverband des Deutschen Einzelhandels (HDE) empfiehlt, KI-gestützte Kundenkommunikationstools vor dem Einsatz einer DSGVO-Prüfung zu unterziehen und eine vollständige AVV-Dokumentation sicherzustellen — sowohl im stationären Handel als auch im Online-Handel.

DSGVO-Anforderungen für KI-Tools im Einzelhandel

Rechtsgrundlage für KI-gestützte Kundeninteraktionen (Art. 6 DSGVO)

Jede KI-Interaktion mit Kund:innen, bei der personenbezogene Daten verarbeitet werden, setzt eine gültige Rechtsgrundlage nach Artikel 6 DSGVO voraus. Im Einzelhandel kommen insbesondere folgende Grundlagen in Betracht:

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: gilt für KI-Chatbots, die eine Bestellung bearbeiten, eine Rücksendung einleiten oder Garantieanfragen beantworten. Die Datenverarbeitung ist zur Erfüllung des Kaufvertrags erforderlich.
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen: häufig genutzt für KI-Kundendienst, Personalisierung und Empfehlungssysteme. Erfordert eine dokumentierte Interessenabwägung, bei der das Unternehmensinteresse gegenüber dem Datenschutzinteresse der Kund:innen überwiegen muss.
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: erforderlich für verhaltensbasiertes Marketing-Targeting und KI-gestützte Profilerstellung zu Werbezwecken.

Die Nutzung des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) ist für KI im Einzelhandel möglich, aber nicht selbstverständlich. Die Datenschutzkonferenz (DSK) und deutsche Gerichte legen einen strengen Abwägungsmaßstab an. Dokumentieren Sie die Interessenabwägung im Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO.

Transparenzpflichten — Erkennbarkeit von KI-Chatbots

Kund:innen haben das Recht zu wissen, dass sie nicht mit einem Menschen kommunizieren. Diese Pflicht ergibt sich aus zwei Rechtsrahmen gleichzeitig:

  1. DSGVO Art. 13/14 — Informationspflicht: Ihre Datenschutzerklärung muss beschreiben, wie der Chatbot personenbezogene Daten verarbeitet — einschließlich Rechtsgrundlage, Speicherdauer und Empfänger (d. h. Ihrem KI-Anbieter als Auftragsverarbeiter).
  2. EU AI Act Art. 50 — ab 2. August 2026: KI-Systeme, die mit natürlichen Personen interagieren, müssen offenlegen, dass die Person mit einem KI-System kommuniziert — es sei denn, dies ist aus dem Kontext offensichtlich.

Die praktische Anforderung: Implementieren Sie am Anfang jeder Chatbot-Interaktion einen klaren Hinweis, z. B.: „Sie kommunizieren mit einem KI-Assistenten.” Dieser Hinweis erfüllt sowohl die DSGVO-Transparenzanforderungen nach Art. 13/14 als auch die AI-Act-Anforderungen nach Art. 50.

Datensparsamkeit und Aufbewahrungsfristen für Chat-Protokolle

Artikel 5 Abs. 1 lit. c DSGVO verlangt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt” sind. Für KI-Chatbots im Einzelhandel bedeutet das:

  • Erfassen Sie nur die Kundendaten, die der Chatbot zur Bearbeitung der konkreten Anfrage benötigt
  • Speisen Sie nicht vollständige Kundenprofile in Chatbot-Sitzungen ein, wenn dies nicht erforderlich ist
  • Konfigurieren Sie Aufbewahrungsfristen für Gesprächsprotokolle: typischerweise 30–90 Tage für Kundendienst-Zwecke; längere Aufbewahrung erfordert eine gesonderte Rechtfertigung
  • Anonymisieren oder löschen Sie Gesprächsprotokolle nach Ablauf der Frist

Viele Standard-KI-Kundendiensttools (Intercom, Zendesk, Freshchat) speichern Gesprächsdaten standardmäßig auf unbestimmte Zeit. Einzelhändler in Deutschland müssen Aufbewahrungsfristen aktiv im Anbieter-Dashboard konfigurieren. Weitere Informationen finden Sie in unseren Anleitungen für Intercom DSGVO im Einzelhandel und Zendesk DSGVO Retail.

Art. 22 DSGVO — Automatisierte Entscheidungen im KI-Kundendienst

Artikel 22 DSGVO untersagt Entscheidungen, die „ausschließlich auf einer automatisierten Verarbeitung beruhen” und „rechtliche Wirkung gegenüber der betroffenen Person entfalten” oder sie „in ähnlicher Weise erheblich beeinträchtigen” — es sei denn, die Entscheidung ist zur Vertragserfüllung notwendig, gesetzlich erlaubt oder auf explizite Einwilligung gestützt.

Im Einzelhandel ist Art. 22 DSGVO relevant, wenn:

  • Ein KI-System automatisch eine Rückerstattung oder Garantieanfrage ablehnt, ohne menschliche Überprüfung
  • KI-gestützte Betrugserkennung automatisch eine Transaktion blockiert oder ein Konto sperrt
  • Eine BNPL-Integration (Buy Now, Pay Later) KI-gestützt automatisch über Kreditwürdigkeit und Kreditvergabe entscheidet

Standard-Chatbot-Interaktionen — Beantwortung von FAQs, Bestellstatus, Einleitung einer Retoure — fallen in der Regel nicht unter Art. 22 DSGVO. KI-Systeme, die bindende Entscheidungen mit Auswirkungen auf Kundenrechte treffen, erfordern jedoch eine Option zur menschlichen Überprüfung, und Kund:innen müssen über die automatisierte Entscheidung informiert werden.

Auswirkungen des EU AI Act auf den deutschen Einzelhandel

Welche KI-Systeme im Einzelhandel erfasst sind

Der EU AI Act gilt für alle KI-Systeme, die auf dem EU-Markt eingesetzt werden — einschließlich sämtlicher KI-Tools, die von deutschen Einzelhändlern genutzt werden, unabhängig vom Sitz des Anbieters. Unsere allgemeine Branchenübersicht für den Einzelhandel und E-Commerce bietet den sektorweiten Überblick. Dieser Leitfaden konzentriert sich auf die DSGVO-Schnittstellen und die spezifischen Compliance-Pflichten für kundenseitige KI.

Häufig eingesetzte KI-Systeme im deutschen Einzel- und Online-Handel und ihre AI-Act-Einstufung:

KI-SystemEU AI Act Einstufung
Kunden-Chatbot (KI-Kundendienst)Begrenztes Risiko — Art. 50 Transparenzpflicht
ProduktempfehlungsmaschineMinimales Risiko — Basisdokumentation
Personalisierte dynamische PreissetzungMinimales Risiko — Nicht-Diskriminierungsmonitoring empfohlen
Betrugserkennung (Transaktionssperrung)Begrenztes Risiko / ggf. Hochrisiko bei Kreditbezug
KI-gestützte Personalplanung / SchichtplanungHochrisiko — Anhang III, Kategorie 4
RetourenautomatisierungMinimales Risiko
Echtzeit-Biometrieerkennung in öffentlichen RäumenVerboten

Hochrisiko-KI im Einzelhandel: Beschäftigungs-KI

Unter Anhang III des EU AI Act gelten KI-Systeme, die im Bereich Beschäftigung, Personalmanagement und Zugang zu Selbstständigkeit eingesetzt werden, als hochriskant. Im Einzelhandel betrifft das:

  • KI-gestützte Schichtplanung, die Arbeitsstunden auf Basis von Leistungsscores vergibt
  • Automatisierte Bewerberauswahl und KI-Recruiting-Tools
  • KI-Leistungsüberwachung in Lagern und Filialen

Für Hochrisiko-KI-Systeme sind unter anderem erforderlich: eine Konformitätsbewertung, technische Dokumentation, eine Möglichkeit zur menschlichen Aufsicht, eine Eintragung in die EU-AI-Act-Datenbank sowie eine Protokollierung des Systembetriebs. Einzelhändler, die KI-Personaltools einsetzen — darunter SAP SuccessFactors AI-Funktionen oder vergleichbare Plattformen — müssen sich bis 2. August 2026 auf diese Anforderungen vorbereiten.

Verbotene KI-Praktiken im deutschen Einzelhandel

Der EU AI Act verbietet bestimmte KI-Praktiken ausnahmslos:

  • Echtzeit-Biometrische Identifikation im öffentlichen Raum: CCTV-Gesichtserkennung in Filialen zur Kundenidentifikation ist verboten. Biometrische Daten sind zudem besondere Datenkategorien nach Art. 9 DSGVO und unterliegen einem grundsätzlichen Verarbeitungsverbot ohne Ausnahmetatbestand.
  • Unterschwellige Manipulation: KI-Systeme, die psychologische Schwachstellen ausnutzen oder unterschwellige Techniken einsetzen, um Kaufentscheidungen zu beeinflussen, sind verboten.
  • Social Scoring: KI-Systeme, die Kund:innen bewerten und ihren Zugang zu Angeboten auf Basis sozialer Verhaltensweisen einschränken, sind verboten.

Transparenzpflichten nach Art. 50 EU AI Act (2. August 2026)

Artikel 50 EU AI Act ist die unmittelbar relevanteste Bestimmung für den Einzelhandel. Ab dem 2. August 2026 müssen Betreiber von KI-Systemen, die mit natürlichen Personen interagieren, sicherstellen, dass die Personen darüber informiert werden, dass sie mit einem KI-System interagieren. Dies gilt für:

  • Kunden-Chatbots auf Websites oder in Apps
  • KI-gestützte Sprachassistenten im telefonischen KI-Kundendienst
  • Virtuelle Shopping-Assistenten
  • KI-Produktberater im Online- und stationären Handel

Die Offenlegung muss zu Beginn der Interaktion, rechtzeitig und in einer „klaren und eindeutigen” Weise erfolgen. Einzelhändler, die Chatbots betreiben und diesen Hinweis nach dem 2. August 2026 nicht implementiert haben, riskieren Bußgelder nach dem EU AI Act — zusätzlich zu möglichen DSGVO-Sanktionen durch die zuständigen Landesdatenschutzbehörden.

Einen umfassenderen Überblick über die Compliance-Anforderungen für KI im Kundendienst bietet unser Leitfaden zur KI-Kundendienst-Compliance. Zum Vergleich mit einem anderen regulierten Sektor empfehlen wir unsere Seite zur KI-Compliance im Finanzdienstleistungsbereich.

AVV-Checkliste für KI-Anbieter im Einzelhandel

Jedes KI-Tool, das personenbezogene Daten in Ihrem Auftrag verarbeitet, erfordert einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Dies gilt für:

  • Chatbot-Plattformen (Intercom, Zendesk, Tidio, Freshchat)
  • Empfehlungs- und Personalisierungssysteme
  • KI-Analyse-Tools
  • KI-Kundendienst-Plattformen

Was Ihr AVV gemäß Art. 28 Abs. 3 DSGVO enthalten muss:

  • Verarbeitung ausschließlich nach dokumentierten Weisungen des Verantwortlichen (Ihres Unternehmens)
  • Vertraulichkeitsverpflichtung aller zur Verarbeitung befugten Personen
  • Technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO
  • Unterauftragsverarbeiter-Regelung: Der Anbieter darf keine neuen Unterauftragsverarbeiter ohne Ihre Zustimmung hinzufügen; eine Liste der bestehenden Unterauftragsverarbeiter muss beigefügt sein
  • Unterstützungspflichten: Der Anbieter muss Sie bei der Beantwortung von Betroffenenanfragen unterstützen (Auskunft, Löschung, Datenübertragbarkeit)
  • Löschung oder Rückgabe aller personenbezogenen Daten nach Vertragsende
  • Nachweisrechte und Audit-Möglichkeiten zur Überprüfung der Compliance

Klausel zum Trainingsdata-Schutz (besonders wichtig bei KI-Anbietern): Ihr AVV sollte ausdrücklich festlegen, dass der Anbieter Ihre Kundendaten nicht zum Training von KI-Modellen verwenden darf. Enterprise-Verträge enthalten diese Klausel häufig, Standard-Tarife von Tools wie Intercom oder Zendesk jedoch möglicherweise nicht. Prüfen Sie dies vor der Bereitstellung.

US-amerikanische Anbieter — internationale Datentransfers: Für US-amerikanische KI-Anbieter (Intercom, Salesforce, HubSpot) erfordert die Übermittlung personenbezogener Daten in die USA einen Mechanismus nach Kapitel V DSGVO. Die meisten großen US-Anbieter verwenden Standardvertragsklauseln (SCC) im Format der EU-Kommission von 2021. Stellen Sie sicher, dass aktuelle SCCs vorliegen. Nach den Leitlinien der deutschen Datenschutzbehörden kann zudem eine Transfer Impact Assessment (TIA) erforderlich sein.

Weitere Informationen finden Sie in unseren Anleitungen: Intercom DSGVO-Leitfaden | Zendesk DSGVO Einzelhandel

Praktische Schritte für Einzelhändler in Deutschland

Checkliste vor der Inbetriebnahme von KI-Tools

Bevor Sie ein KI-Tool einsetzen, das mit Kund:innen interagiert oder Kundendaten verarbeitet:

  • Rechtsgrundlage nach Art. 6 DSGVO bestimmen und im VVT dokumentieren
  • Prüfen, ob Art. 22 DSGVO greift (automatisierte Entscheidungen mit erheblichen Auswirkungen auf Kundenrechte)
  • Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchführen, wenn das KI-System Daten in großem Umfang oder mit neuen Technologien verarbeitet
  • AVV mit dem KI-Anbieter abschließen — einschließlich Klausel zum Schutz vor KI-Modell-Training
  • Für US-Anbieter: aktuelle SCCs im Format von 2021 prüfen
  • Datenschutzerklärung aktualisieren — KI-Tool und Datenverarbeitung beschreiben
  • KI-Offenlegungshinweis in der Chatbot-Oberfläche implementieren (Vorbereitung auf Art. 50 EU AI Act bis 2. August 2026)
  • Aufbewahrungsfristen in der Anbieterplattform konfigurieren
  • Möglichkeit zur menschlichen Eskalation sicherstellen (Opt-out für Kund:innen aus automatisierter Bearbeitung)

Welche KI-Tools einen AVV benötigen

Tool-TypAVV erforderlich?
Kunden-ChatbotJa — verarbeitet personenbezogene Kundendaten
ProduktempfehlungssystemJa — verarbeitet Surf- und Kaufdaten
E-Mail-Marketing-KI (Personalisierung)Ja — verarbeitet E-Mail- und Verhaltensdaten
KI-Bestandsoptimierung (ohne Personenbezug)Nein — kein Personenbezug
KI-Preisgestaltung (kundenbezogen)Ja — wenn Kundendaten verarbeitet werden
HR-/Schichtplanungs-KIJa — verarbeitet Beschäftigtendaten

Häufig gestellte Fragen

Braucht ein KI-Chatbot einen AVV? Ja. Jeder KI-Chatbot, der personenbezogene Kundendaten in Ihrem Auftrag verarbeitet, erfordert einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Dies gilt unabhängig davon, ob der Chatbot von Intercom, Zendesk, einer individuell entwickelten Lösung oder einem anderen Anbieter bereitgestellt wird. Ohne AVV ist die Datenverarbeitung rechtswidrig.

Gilt der AI Act für Online-Shops? Ja. Der EU AI Act gilt für alle KI-Systeme, die im EU-Markt eingesetzt werden — also auch für Online-Shops und stationäre Einzelhändler in Deutschland. Die wichtigste unmittelbare Anforderung für Online-Händler ist die Transparenzpflicht nach Art. 50 EU AI Act, die ab dem 2. August 2026 für alle kundenseitigen KI-Systeme — Chatbots, virtuelle Assistenten, KI-Produktberater — gilt.

Was muss der Einzelhandel bei KI und DSGVO beachten? Einzelhändler müssen für jeden KI-Einsatz mit Kundendaten eine Rechtsgrundlage nach Art. 6 DSGVO nachweisen, einen AVV mit dem Anbieter abschließen, Kund:innen transparent über den KI-Einsatz informieren und Datensparsamkeit sicherstellen. Für KI-Systeme, die automatisierte Entscheidungen mit erheblichen Kundenauswirkungen treffen (z. B. automatische Rückerstattungsablehnungen), gilt zusätzlich Art. 22 DSGVO. Ab 2. August 2026 kommt die AI-Act-Transparenzpflicht nach Art. 50 hinzu.

Können KI-Chatbots automatisch Rückerstattungen ablehnen? Mit Vorsicht. Eine automatisierte Rückerstattungsbearbeitung für eindeutige Fälle — nicht gelieferte Ware, fristgerechte Retoure in einwandfreiem Zustand — ist grundsätzlich zulässig, wenn sie zur Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO erforderlich ist. Automatisierte Ablehnungen ohne Möglichkeit zur menschlichen Überprüfung können jedoch Art. 22 DSGVO auslösen. In diesem Fall müssen Kund:innen über die automatisierte Entscheidung informiert werden und das Recht auf menschliche Überprüfung erhalten.

Dürfen deutsche Einzelhändler US-amerikanische KI-Anbieter nutzen? Ja, sofern der Datentransfer durch einen Mechanismus nach Kapitel V DSGVO abgesichert ist. Die meisten US-amerikanischen KI-Anbieter (Intercom, Salesforce, HubSpot, OpenAI) verwenden Standardvertragsklauseln (SCC) im Format von 2021. Stellen Sie sicher, dass aktuelle SCCs vorliegen und die Unterauftragsverarbeiter-Liste des Anbieters keine Drittländer ohne entsprechende Absicherung enthält.

Dieser Leitfaden enthält allgemeine rechtliche Informationen. Spezifische Compliance-Fragen für Ihr Unternehmen erfordern eine individuelle rechtliche Beratung. Kontaktieren Sie Compound Law für eine persönliche Einschätzung zur KI-Compliance in Ihrem Einzelhandelsunternehmen.

Weitere Branchen-Guides

EU KI-Gesetz August 2026 Frist – Compliance-Checkliste für Unternehmen in Deutschland
ai-act

EU KI-Gesetz August 2026: Was Unternehmen bis zum 2. August tun müssen

EU AI Act August 2026: Hochrisiko-KI-Betreiber müssen bis 2. August Konformitätsbewertung, technische Dokumentation und EU-Datenbankregistrierung abschließen.
EU AI Act Compliance im Gastgewerbe – Hotels und KI-Regulierung
ai-act

EU AI Act Hotellerie: Anforderungen & Pflichten für Hotels

Was verlangt der EU AI Act von Hotels und Hotelketten? Anforderungen, Risikoklassen und Compliance-Pflichten für die Hotellerie erklärt.
EU AI Act Compliance für die Baubranche in Deutschland
ai-act

EU AI Act Baubranche: KI-Compliance-Leitfaden 2026 für Bauunternehmen

EU AI Act Baubranche 2026: Pflichten bei Baustellensicherheit, Arbeitnehmermonitoring, Predictive Maintenance und autonomen Baumaschinen.

Häufige Fragen

Braucht ein KI-Chatbot einen AVV?

Ja. Jeder KI-Chatbot, der personenbezogene Kundendaten in Ihrem Auftrag verarbeitet, erfordert einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Dies gilt unabhängig davon, ob der Chatbot von Intercom, Zendesk, einer individuell entwickelten Lösung oder einem anderen Anbieter bereitgestellt wird. Ohne AVV ist die Datenverarbeitung rechtswidrig.

Gilt der AI Act für Online-Shops?

Ja. Der EU AI Act gilt für alle KI-Systeme, die im EU-Markt eingesetzt werden — also auch für Online-Shops und stationäre Einzelhändler in Deutschland. Die wichtigste unmittelbare Anforderung für Online-Händler ist die Transparenzpflicht nach **Art. 50 EU AI Act**, die ab dem **2. August 2026** für alle kundenseitigen KI-Systeme — Chatbots, virtuelle Assistenten, KI-Produktberater — gilt.

Was muss der Einzelhandel bei KI und DSGVO beachten?

Einzelhändler müssen für jeden KI-Einsatz mit Kundendaten eine Rechtsgrundlage nach Art. 6 DSGVO nachweisen, einen AVV mit dem Anbieter abschließen, Kund:innen transparent über den KI-Einsatz informieren und Datensparsamkeit sicherstellen. Für KI-Systeme, die automatisierte Entscheidungen mit erheblichen Kundenauswirkungen treffen (z. B. automatische Rückerstattungsablehnungen), gilt zusätzlich Art. 22 DSGVO. Ab 2. August 2026 kommt die AI-Act-Transparenzpflicht nach Art. 50 hinzu.

Können KI-Chatbots automatisch Rückerstattungen ablehnen?

Mit Vorsicht. Eine automatisierte Rückerstattungsbearbeitung für eindeutige Fälle — nicht gelieferte Ware, fristgerechte Retoure in einwandfreiem Zustand — ist grundsätzlich zulässig, wenn sie zur Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO erforderlich ist. Automatisierte Ablehnungen ohne Möglichkeit zur menschlichen Überprüfung können jedoch Art. 22 DSGVO auslösen. In diesem Fall müssen Kund:innen über die automatisierte Entscheidung informiert werden und das Recht auf menschliche Überprüfung erhalten.

Dürfen deutsche Einzelhändler US-amerikanische KI-Anbieter nutzen?

Ja, sofern der Datentransfer durch einen Mechanismus nach Kapitel V DSGVO abgesichert ist. Die meisten US-amerikanischen KI-Anbieter (Intercom, Salesforce, HubSpot, OpenAI) verwenden **Standardvertragsklauseln (SCC)** im Format von 2021. Stellen Sie sicher, dass aktuelle SCCs vorliegen und die Unterauftragsverarbeiter-Liste des Anbieters keine Drittländer ohne entsprechende Absicherung enthält. --- *Dieser Leitfaden enthält allgemeine rechtliche Informationen. Spezifische Compliance-Fragen für Ihr Unternehmen erfordern eine individuelle rechtliche Beratung. Kontaktieren Sie Compound Law für eine persönliche Einschätzung zur KI-Compliance in Ihrem Einzelhandelsunternehmen.*

Kostenlos beraten