Inhaltsverzeichnis

    Das Wichtigste in Kürze

    • Artikel 50 EU AI Act verpflichtet KMU ab August 2026, Kunden beim Chatbot-Kontakt aktiv auf KI hinzuweisen.
    • Als Deployer (SaaS-Nutzer) tragen Sie die Verantwortung für den korrekten Hinweis — nicht Ihr Tool-Anbieter.
    • Fertige Formulierungsvorlagen für Chat-Fenster, Voicebot und Datenschutzerklärung sind der schnellste Einstieg.
    • Der Umsetzungsaufwand ist bei einem Standard-Chatbot überschaubar: ca. 1–3 Stunden für Text und Konfiguration.
    • In Österreich ist die Datenschutzbehörde (DSB) vorerst zuständige Aufsichtsbehörde für den AI Act.

    Ein Kunde öffnet das Chat-Fenster auf der Website eines Installateurs in Graz. Er schreibt seine Frage zum Heizungsangebot — und bekommt innerhalb von Sekunden eine strukturierte Antwort. Hat er bemerkt, dass er gerade mit einer KI spricht? Wahrscheinlich nicht. Seit dem 2. August 2026 ist genau das allerdings keine Kleinigkeit mehr.

    Artikel 50 des EU AI Act verpflichtet alle, die KI-Systeme zur Interaktion mit natürlichen Personen einsetzen, zur aktiven Offenlegung — unabhängig von der Unternehmensgröße. Das betrifft Handwerksbetriebe genauso wie Onlineshops oder Steuerberatungskanzleien.

    Dieser Artikel liefert keine Rechtsprosa, sondern eine praxisnahe Checkliste und fertige Formulierungsbeispiele, die ein Unternehmen ohne Rechtsabteilung als Ausgangspunkt verwenden kann. Bitte beachten Sie: Die folgenden Inhalte ersetzen keine Rechtsberatung — eine Einzelfallprüfung bleibt empfehlenswert.

    Was Artikel 50 EU AI Act genau verlangt — kurz erklärt

    Die Kernpflicht ist überschaubar: Natürliche Personen müssen informiert werden, sobald sie mit einem KI-System interagieren. Diese Information muss bei Gesprächsbeginn erfolgen — nicht irgendwo im Impressum versteckt, nicht erst auf Nachfrage.

    Eine Ausnahme gilt, wenn die KI-Natur „offensichtlich“ ist. Dieser Begriff wird im Gesetz eng ausgelegt. Ein normaler Website-Chatbot mit menschlich klingendem Namen („Hallo, ich bin Lisa!“) gilt nicht automatisch als offensichtlich KI. Die Schwelle ist deutlich höher — etwa bei einem klar maschinellen Telefon-Sprachdialogsystem, das von keinem Menschen für einen Menschen gehalten werden könnte.

    Regelbasierte Bots vs. LLM-gestützte Bots — eine wichtige Abgrenzung:

    • Rein regelbasierte Chatbots (Entscheidungsbäume, vordefinierte Antwortpfade ohne KI-Komponente) fallen nicht unter die AI-Act-Definition von „KI-System“.
    • Sobald im Hintergrund ein Large Language Model (LLM) oder maschinelles Lernen aktiv ist — also bei Systemen wie einem GPT-basierten Assistenten, Tidio mit KI-Modus oder Intercom Fin — greift Artikel 50.

    Im Zweifel: Wenn Sie nicht sicher sind, ob Ihr Chatbot ein LLM nutzt, fragen Sie Ihren Anbieter schriftlich nach. Diese Antwort sollten Sie dokumentieren.

    Artikel 50 steht übrigens nicht im Widerspruch zu bestehenden DSGVO-Informationspflichten — er ergänzt sie. Wer seinen Chatbot bereits korrekt in der Datenschutzerklärung beschreibt, hat einen guten Teil der Arbeit schon erledigt. Mehr dazu lesen Sie im Artikel KI DSGVO-konform einsetzen: Leitfaden für KMU.

    Bin ich als Unternehmer Anbieter oder Nutzer — und warum macht das einen Unterschied?

    Anbieter vs. Deployer im AI Act — die entscheidende Unterscheidung

    Der EU AI Act unterscheidet zwei zentrale Rollen:

    • Anbieter ist, wer ein KI-System entwickelt oder trainiert und es auf den Markt bringt.
    • Deployer (im deutschen Text: „Betreiber“) ist, wer ein fertiges KI-System gegenüber Kunden oder Mitarbeitern einsetzt.

    Das typische KMU-Szenario ist klar: Sie buchen Tidio, Userlike, Zendesk oder bauen einen GPT-Wrapper auf Basis der OpenAI API — und setzen dieses System im Kundenkontakt ein. Sie sind Deployer, nicht Anbieter.

    Das klingt nach einer Entlastung, ist aber nur eine Aufgabenteilung. Der Anbieter trägt Verantwortung für das System selbst. Sie als Deployer tragen Verantwortung dafür, wie Sie es einsetzen — also insbesondere dafür, dass der Transparenzhinweis korrekt implementiert ist.

    Eine weiterführende Einordnung zu den verschiedenen Rollen im AI Act finden Sie im Artikel EU AI Act: Was müssen KMU jetzt wirklich tun?.

    Was bedeutet das für SaaS-Chatbots?

    Bei zugekauften SaaS-Lösungen teilen sich Anbieter und Deployer die Pflichten — aber Ihre Verantwortung als KMU endet nicht mit dem Kauf.

    Folgende Punkte sollten Sie mit Ihrem SaaS-Anbieter klären und vertraglich absichern:

    • Bestätigt der Anbieter schriftlich, dass das System AI-Act-konform ist?
    • Gibt es einen Auftragsverarbeitungsvertrag (AVV), der AI-Act-Anforderungen berücksichtigt?
    • Welche Daten werden wo verarbeitet — und ist das DSGVO-konform?
    • Ermöglicht die Software die Anzeige eines Transparenzhinweises bei Gesprächsbeginn?

    Was beim Vertrag mit KI-Anbietern konkret geprüft werden sollte, beschreibt der Artikel Pflichtklauseln im Vertrag mit KI-Anbietern.

    Pflichten auf einen Blick:

    BereichAnbieter (z. B. Tidio, OpenAI)Deployer (Ihre Firma)
    Technische AI-Act-Konformität des Systems✅ Primär
    Transparenzhinweis korrekt implementiert✅ Primär
    Datenschutzerklärung aktualisiert✅ Primär
    AVV / VertragsgrundlageGemeinsamGemeinsam
    Interne Dokumentation der Umsetzung✅ Primär

    Die Transparenzpflicht in der Praxis — was müssen Kunden wissen?

    Der Hinweis muss folgende Kernaussage transportieren: Dieses Gespräch führt kein Mensch, sondern ein KI-System.

    Was die Information enthalten muss:

    • Die Tatsache, dass ein KI-System interagiert
    • Zeitpunkt: bei Interaktionsbeginn (nicht nach dem ersten Austausch)
    • Form: Text, Icon oder — bei Sprachsystemen — Audio

    Was sie nicht enthalten muss:

    • Den Namen des zugrundeliegenden Modells (kein Pflicht-Hinweis auf „GPT-4o“ oder „Claude“)
    • Den Namen des KI-Anbieters
    • Technische Details zu Training oder Datenquellen

    Die „Offensichtlichkeit“-Ausnahme greift in der Praxis kaum. Ein Voicebot, der mit einer klar synthetischen, maschinellen Stimme antwortet und von niemandem für einen Menschen gehalten werden würde, könnte darunter fallen. Für Standardchatbots auf Unternehmenswebsites ist diese Ausnahme nicht verlässlich anwendbar.

    Vollständigkeitshalber: Für KI-Systeme mit emotionaler oder biometrischer Auswertung gilt ein zusätzliches Opt-out-Recht. Das ist für einen normalen FAQ- oder Terminierungs-Chatbot nicht relevant — sollten Sie aber KI mit Emotionserkennung einsetzen, müssen Sie das gesondert prüfen.

    Formulierungsvorlagen — diese Texte können Firmen sofort verwenden

    Das ist der Kernabschnitt dieses Artikels. Die folgenden Vorlagen sind Ausgangspunkte, keine fertigen Rechtstexte. Passen Sie sie an Ihren konkreten Use Case, Ihre Branche und ggf. auf Empfehlung einer Rechtsberatung an.

    Vorlage 1 — Kurz-Hinweis im Chat-Fenster (Desktop & Mobile)

    Geeignet für: Standardchatbots im Einzelhandel, Handwerk, Dienstleistung.

    „Sie chatten gerade mit einem KI-Assistenten. Bei Fragen, die persönliche Beratung erfordern, verbinden wir Sie gerne mit einem Mitarbeiter.“

    Kürzer, wenn der Platz begrenzt ist:

    „Dieser Chat wird von einem KI-System beantwortet.“

    Vorlage 2 — Ausführlicherer Hinweis für datenschutzsensible Branchen

    Geeignet für: Steuerberatung, Gesundheitshandwerk, Rechtsdienstleister, alle Bereiche mit sensiblen Kundenanfragen.

    „Sie schreiben gerade mit einem KI-gestützten Assistenten. Dieser verarbeitet Ihre Anfrage automatisiert und ohne persönliche Beratung durch einen Menschen. Bitte teilen Sie keine sensiblen persönlichen oder medizinischen Informationen im Chat mit. Für eine vertrauliche Beratung wenden Sie sich bitte direkt an unser Team. Informationen zur Datenverarbeitung finden Sie in unserer Datenschutzerklärung.“

    Vorlage 3 — Sprach-/Voicebot-Hinweis am Anrufbeginn

    „Guten Tag. Sie sprechen derzeit mit einem automatisierten KI-Assistenten. Ich kann Ihnen bei allgemeinen Fragen helfen. Wenn Sie einen Mitarbeiter sprechen möchten, sagen Sie bitte ‘Mitarbeiter’ oder bleiben Sie in der Leitung.“

    Vorlage für die Datenschutzerklärung / Impressum-Ergänzung

    Fügen Sie einen eigenen Abschnitt „KI-Systeme“ in Ihre Datenschutzerklärung ein:

    „Auf unserer Website setzen wir einen KI-gestützten Chat-Assistenten ein [ggf. Anbieter nennen: z. B. “bereitgestellt durch Tidio / Userlike / [Ihr Anbieter]„]. Dieser Assistent nutzt Methoden des maschinellen Lernens zur Beantwortung Ihrer Anfragen. Gespräche werden [ggf.: nicht dauerhaft gespeichert / für X Tage gespeichert]. Grundlage der Verarbeitung ist [berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO / Ihre Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO]. Sie können jederzeit Auskunft über die verarbeiteten Daten verlangen.“

    Branchenbeispiele — so setzen Firma die Pflicht konkret um

    Einzelhandel / Online-Shop

    Ein Onlineshop für Outdoor-Ausrüstung nutzt einen KI-Chatbot zur Produktberatung. Der Hinweis erscheint als farbig hinterlegter Balken direkt unter dem Chat-Header, bevor der Kunde die erste Nachricht schreibt: „Dieser Assistent wird von einer KI betrieben und kann Sie bei der Produktauswahl unterstützen.“

    Wichtig: Der Hinweis muss sichtbar sein, bevor die erste Interaktion stattfindet — nicht erst nach dem Absenden der ersten Nachricht.

    Handwerk / Dienstleistungsbetrieb

    Ein Heizungsinstallateur in Niederösterreich nutzt einen Terminbuchungs-Chatbot. Kunden wählen dort Datum, Uhrzeit und Art des Problems. Auch wenn dieser Bot primär strukturierte Formulare führt: Sobald eine LLM-Komponente Kundenanfragen interpretiert oder freie Texteingaben verarbeitet, gilt die Pflicht. Empfehlung: Hinweistext als ersten Bot-Satz: „Ich bin ein KI-Assistent und helfe Ihnen bei der Terminbuchung.“

    Gastronomie / Hotellerie

    Ein Hotel in Salzburg nutzt einen FAQ-Bot für Fragen zu Check-in-Zeiten, Parkmöglichkeiten und Frühstück. Hier reicht die Minimallösung: Ein kleines Icon (z. B. ein Roboter-Symbol) kombiniert mit dem Text „KI-Assistent“ im Chat-Fenster-Header. Diese Kombination ist visuell eindeutig und erfüllt die Informationspflicht ohne aufwändige Textblöcke.

    Wie viel Aufwand ist das — ehrliche Einschätzung für Unternehmen

    Bei einem SaaS-Chatbot, der bereits im Einsatz ist, ist der reine Umsetzungsaufwand für die Transparenzpflicht gering:

    • Konfiguration des Hinweistexts: 30–60 Minuten, je nach Tool
    • Anpassung der Datenschutzerklärung: 1–2 Stunden (inkl. Abstimmung mit Datenschutzbeauftragtem, sofern vorhanden)
    • AVV mit Anbieter prüfen: 1–2 Stunden, ggf. Anbieter kontaktieren

    Gesamtaufwand für einen Standard-Fall: 1–3 Stunden. Kein Pflicht-Anwalt für den Normalfall — ein gesunder Hausverstand und die Vorlagen in diesem Artikel reichen als Ausgangspunkt.

    Was tatsächlich mehr Aufwand verursacht:

    • Die interne Dokumentation, wer was wann umgesetzt hat — für Nachweiszwecke gegenüber der Aufsichtsbehörde
    • Die Prüfung, ob der AVV mit dem SaaS-Anbieter AI-Act-konforme Klauseln enthält
    • Fälle, in denen mehrere KI-Tools kombiniert werden und unklar ist, welche Datenpfade entstehen

    Zum Risiko bei Nicht-Umsetzung: Der Bußgeldrahmen des EU AI Act ist erheblich — bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes für Verstöße dieser Kategorie. Behörden werden bei Betrieben Verhältnismäßigkeit wahren. Das realistischere Sofortrisiko für kleine Unternehmen ist das Abmahnrisiko durch Mitbewerber über das UWG sowie Kundenbeschwerden bei der Datenschutzbehörde.

    Die Transparenzpflicht ist der lösbare Teil des AI Act. Deutlich aufwändiger wird es, wenn Ihr System in eine Hochrisiko-Kategorie fällt — was die Hochrisiko-KI-Dokumentationspflichten für KMU separat erfordert.

    Österreich-spezifisch: Was Unternehmen in AT zusätzlich beachten müssen

    Zuständige Aufsichtsbehörde: Bis eine nationale Marktüberwachungsstruktur final geregelt ist, übernimmt die österreichische Datenschutzbehörde (DSB) die Aufsicht über relevante AI-Act-Bereiche — insbesondere dort, wo Datenschutz und KI-Einsatz zusammentreffen, was bei Chatbots regelmäßig der Fall ist.

    Stand der nationalen Umsetzung: Eine österreichische Durchführungsverordnung zum EU AI Act lag zum Redaktionsdatum dieses Artikels noch nicht vor. Die Verordnung gilt in Österreich direkt — eine nationale Umsetzung ist für die Anwendbarkeit von Artikel 50 nicht erforderlich. Verfolgen Sie die Entwicklung über die Webseite der DSB und der WKO.

    Zusammenspiel mit dem E-Commerce-Gesetz (ECG): Das ECG verpflichtet bereits heute zur Offenlegung bestimmter Informationen im elektronischen Geschäftsverkehr. Der AI-Act-Hinweis ergänzt diese Pflichten — in der Praxis können beide Anforderungen in einem einzigen Hinweistext kombiniert werden.

    Erste Anlaufstelle für Beratung: Die Wirtschaftskammer Österreich (WKO) bietet Beratung für KMU zu Digitalrecht und Datenschutz — die Sparte „Unternehmensberatung, Buchhaltung und Informationstechnologie“ ist dabei häufig der richtige Ansprechpunkt.

    Checkliste — EU AI Act Transparenzpflicht für Firmen-Chatbots

    • Identifiziert: Welche Systeme auf meiner Website oder in meinem Betrieb interagieren mit Kunden?
    • Geprüft: Sind es regelbasierte oder LLM-gestützte Chatbots? (Anbieter schriftlich befragen)
    • Hinweistext erstellt und im Chat-Interface bei Gesprächsbeginn hinterlegt
    • Zeitpunkt des Hinweises: sichtbar vor der ersten Kunden-Nachricht
    • Datenschutzerklärung um einen Abschnitt zum KI-System ergänzt
    • AVV mit SaaS-Anbieter auf AI-Act-Konformität geprüft (ggf. Pflichtklauseln im Vertrag mit KI-Anbietern beachten)
    • Interne Dokumentation erstellt: Wer hat was wann umgesetzt?
    • Österreich: DSB als zuständige Aufsichtsbehörde vermerkt, WKO-Beratungsangebot bekannt

    FAQ

    Muss ich meinen Kunden sagen, welches KI-Modell (z. B. ChatGPT, Claude) hinter dem Chatbot steckt?

    Nein. Artikel 50 verlangt die Information, dass ein KI-System interagiert — nicht die Offenlegung des Modellnamens oder Anbieters. Ein klarer Hinweis „KI-Assistent“ reicht aus.

    Gilt die Transparenzpflicht auch für einfache regelbasierte Bots mit vordefinierten Antworten?

    Nein — rein regelbasierte Systeme ohne KI-Komponente fallen nicht unter die AI-Act-Definition. Sobald jedoch ein LLM oder maschinelles Lernen im Hintergrund arbeitet, greift die Pflicht.

    Wann muss der Hinweis erscheinen — am Anfang jedes Gesprächs oder einmalig beim ersten Besuch?

    Bei jeder neuen Interaktionssitzung, die nicht offensichtlich automatisiert ist. Einmalige Cookie-Banner-ähnliche Hinweise reichen rechtlich nicht sicher aus. Best Practice: Hinweis im Chat-Fenster bei jeder Öffnung.

    Mein SaaS-Anbieter sagt, er ist AI-Act-konform. Bin ich damit als Firma auch abgesichert?

    Nur teilweise. Der Anbieter haftet für sein System — Sie als Deployer haften dafür, wie Sie es gegenüber Kunden einsetzen und ob Sie den Hinweis korrekt implementiert haben. Die Deployer-Pflichten verbleiben bei Ihnen.

    Was passiert, wenn ich die Transparenzpflicht nicht umsetze — droht sofort ein Bußgeld?

    Der Bußgeldrahmen ist erheblich, aber die Behörden werden zunächst Verhältnismäßigkeit wahren. Realistischere Sofortrisiken für KMU: Abmahnungen durch Mitbewerber über das UWG sowie Beschwerden bei der Datenschutzbehörde. Handlungsbedarf besteht dennoch.

    Nächste Schritte

    Die Transparenzpflicht nach Artikel 50 ist für die meisten Betrieben mit einem Standardchatbot in wenigen Stunden umsetzbar. Schwieriger wird es, wenn unklar ist, ob Ihr System in eine Hochrisiko-Kategorie fällt, wenn Sie mehrere KI-Tools kombinieren oder wenn die Frage auftaucht, wie Ihre gesamte KI-Infrastruktur aus Compliance-Sicht einzuordnen ist.

    Bei Strukturaflow sehen wir regelmäßig, dass Unternehmen genau an diesem Punkt stehen: Die einfachen Pflichten sind klar, aber das Gesamtbild fehlt. Wenn Sie prüfen möchten, welche AI-Act-Pflichten konkret für Ihren Betrieb gelten — nicht allgemein, sondern bezogen auf Ihr konkretes Setup — dann ist unser kostenloses 30-Minuten-Erstgespräch der sinnvolle nächste Schritt. Sie schildern Ihre Situation, wir geben eine erste Einschätzung dazu, wo Handlungsbedarf besteht und wo nicht.