Konversationelle Suche und Assistenz (Consumer): Risikoklasse und Pflichten im EU-KI-Recht
Konversationelle KI-Suche und Assistenz für Konsumenten (ChatGPT-ähnliche Consumer-Assistenten, Voice-Assistenten, Such-Chatbots) ist nach Art. 50 Abs. 1 AI Act KI mit BEGRENZTEM RISIKO — Kennzeichnungspflicht (Nutzer erkennt KI-Interaktion). Keine Konformitätsbewertung, ab dem 2. August 2026. Ist der Assistenz ein GPAI-Modell (z. B. Foundation Model eines großen Anbieters), gelten zusätzlich die GPAI-Pflichten nach Art. 53 (technische Dokumentation, Downstream-Offenlegung, Urheberrechts-Zusammenfassung). Überlagert: DSGVO (Verarbeitung personenbezogener Nutzerdaten, Auftragsverarbeitung, Profiling), DSA bei Plattform-Betrieb, Konsumentenrecht (keine Irreführung). Eine KI-Antwort, die eine verbindliche rechtliche/finanzielle Entscheidung trifft, kann Art. 22 DSGVO auslösen.
Steve Baka
Begrenztes Risiko (Art. 50 Abs. 1)
Art. 50 Abs. 1 verpflichtet Anbieter/Betreiber, Personen zu informieren, dass sie mit einem KI-System interagieren — es sei denn, dies ist offenkundig. Konversationelle Consumer-Assistenz fällt darunter. Keine Konformitätsbewertung, keine CE, keine notifizierte Stelle. Die Pflicht gilt ab dem 2. August 2026; Sanktion bis 7,5 Mio. EUR / 1 % Umsatz (Art. 99 Abs. 5). Praktisch: klares „Sie chatten mit einer KI", transparente Funktionsweise, keine Verschleierung der KI-Natur.
GPAI-Pflichten (Art. 53)
Ist der Consumer-Assistent auf einem GPAI-Modell aufgebaut (z. B. GPT-Klasse, Claude-Klasse, Gemini), gelten zusätzlich die GPAI-Pflichten nach Art. 53 (für den GPAI-Anbieter, nicht den Consumer-Anbieter): technische Dokumentation, Downstream-Offenlegung, urheberrechtsbasierte Trainingsdaten-Zusammenfassung, Einhaltung des Unionsurheberrechts. Bei systemischem Risiko (Art. 51, 10²⁵ FLOPs) zusätzlich Art. 55 (Red-Teaming, weights-Schutz). Der Consumer-Assistent-Anbieter ist meist Downstream-Anbieter (Art. 25), der die Art. 53-Informationen des GPAI-Anbieters braucht, um eigene AI-Act-Pflichten zu erfüllen (sofern er ein eigenes hochrisiko-System macht).
Schnittstellen: DSGVO, DSA, Konsumentenrecht
Überlagert: DSGVO — Verarbeitung personenbezogener Nutzerdaten (Suchanfragen, Chats, Profile), Rechtsgrundlage (Vertrag/Einwilligung/berechtigtes Interesse), Auftragsverarbeitung, Profiling, DSFA bei hochriskanter Verarbeitung. DSA bei Plattform-Betrieb (große Plattformen: Risikobewertung Art. 34/35). Konsumentenrecht: keine irreführenden Geschäftspraktiken (RL 2005/29/EG), Transparenz. Art. 22 DSGVO: trifft die KI eine automatisierte Entscheidung mit rechtlicher/ähnlich weitreichender Wirkung (z. B. Kreditablehnung über den Chatbot), Recht auf menschliche Prüfung. Haftung bei Falschberatung (z. B. medizinische/finanzielle Fehlinformation) — klare Nutzungsbedingungen, Disclaimer, menschliche Überprüfung sensibler Anfragen.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Welche Risikostufe hat Consumer-KI-Assistenz?
Begrenzt (Art. 50 Abs. 1 Kennzeichnung). Bei GPAI-Basis zusätzlich Art. 53 (für den GPAI-Anbieter). Keine Konformitätsbewertung, ab 2. Aug. 2026.
Greift Art. 22 DSGVO?
Bei automatisierten Entscheidungen mit rechtlicher/ähnlich weitreichender Wirkung (z. B. Kreditablehnung über Chatbot). Recht auf menschliche Prüfung, sonst begrenzt riskant.
Wer haftet bei Falschberatung?
Der Consumer-Anbieter. Klare Nutzungsbedingungen, Disclaimer, menschliche Überprüfung sensibler Anfragen (medizinisch/finanziell). Produkthaftung und AI Liability Directive ergänzen.
Rechtskonforme Umsetzung für Konversationelle Suche und Assistenz (Consumer)?
Wenn du Konversationelle Suche und Assistenz (Consumer) rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.