EN
Startseite Definition ACP UCP AP2 MCP Alle Protokolle Für Händler Glossar Impressum Datenschutz
Inhaltsverzeichnis

Datenschutz & Recht im Agentic Commerce

Agentic Commerce wirft grundlegende rechtliche Fragen auf: Wer haftet, wenn ein Agent falsch kauft? Wie sieht Einwilligung aus, wenn kein Mensch am Checkout sitzt? Und was bedeutet DSGVO für KI-gestützte Transaktionen?

Hinweis: Dieser Artikel bietet eine Einordnung aktueller rechtlicher Fragen und stellt keine Rechtsberatung dar. Für konkrete rechtliche Entscheidungen konsultieren Sie bitte einen Fachanwalt.

Wer haftet bei Fehlkäufen?

Die zentrale Frage: Wenn ein KI-Agent ein falsches Produkt bestellt, ein zu teures Produkt kauft oder eine Bestellung auslöst, die der Nutzer nicht wollte — wer trägt die Verantwortung?

Nach aktueller Rechtslage in Deutschland und der EU: Der Nutzer. Ein KI-Agent hat keine eigene Rechtspersönlichkeit. Er handelt als Instrument im Auftrag des Nutzers — vergleichbar mit einem beauftragten Dritten. Der Vertrag kommt zwischen dem Nutzer (Käufer) und dem Händler (Verkäufer) zustande.

Das Haftungsrisiko liegt also beim Nutzer, was die Bedeutung von Consent-Modellen und Bestätigungsmechanismen unterstreicht. Aktuell erfordern alle Agentic-Commerce-Implementierungen eine explizite Kaufbestätigung vor der Transaktion.

DSGVO und Agentic Commerce

Im Agentic Commerce werden personenbezogene Daten an mehreren Stellen verarbeitet:

  • Beim Agent-Anbieter: Gesprächsverläufe, Präferenzen, Kaufhistorie, Zahlungsinformationen
  • Beim Händler: Versandadresse, Bestelldaten, Zahlungsabwicklung
  • Beim Payment-Provider: Tokenisierte Zahlungsinformationen

Jeder dieser Akteure ist ein eigener Verantwortlicher im Sinne der DSGVO und muss Rechtsgrundlage, Zweck und Speicherdauer dokumentieren. Für Nutzer bedeutet das: Sie haben gegenüber jedem Akteur Auskunfts-, Berichtigungs- und Löschungsrechte.

Consent im Agentic Commerce hat zwei Dimensionen:

  1. Datenschutz-Consent (DSGVO): Einwilligung in die Verarbeitung personenbezogener Daten durch den Agent-Anbieter. Muss informiert, freiwillig und widerrufbar sein.
  2. Transaktions-Consent: Autorisierung des Agenten zum Kauf. Aktuell per expliziter Bestätigung (ACP) oder über Mandates mit definierten Grenzen (AP2).

Die DSGVO verlangt eine klare, verständliche Einwilligung. Bei Mandates (AP2) könnte argumentiert werden, dass die Erstellung des Mandates selbst als informierte Einwilligung gilt — sofern die Bedingungen transparent dargelegt werden.

PSD2 und Strong Customer Authentication

Die europäische Zahlungsdiensterichtlinie PSD2 erfordert Strong Customer Authentication (SCA) für elektronische Zahlungen: Zwei von drei Faktoren (Wissen, Besitz, Inhärenz) müssen bestätigt werden.

Bei Agent-Transaktionen stellt sich die Frage: Wer authentifiziert sich — der Nutzer oder der Agent? Mögliche Ansätze:

  • Delegation: Der Nutzer authentifiziert sich einmalig bei der Erstellung des Mandates — jede folgende Agent-Transaktion ist durch das Mandate abgedeckt
  • Per-Transaktion-SCA: Bei jedem Kauf wird der Nutzer zur Bestätigung aufgefordert (z.B. über Biometrie am Smartphone)
  • Risiko-basierte Ausnahmen: PSD2 erlaubt Ausnahmen für niedrige Beträge und vertrauenswürdige Empfänger

Datenhoheit: Wer besitzt die Kundendaten?

Ein kritisches Problem: Wenn Kunden über einen Agent kaufen statt über die Website des Händlers, verliert der Händler wertvolle Daten — Browsing-Verhalten, Warenkorbhistorie, Präferenzen.

Das Trusted Agentic Commerce Protocol (TACP) von Forter adressiert dieses Problem: Kundendaten werden JWE-verschlüsselt an den Händler weitergegeben, sodass dieser Personalisierung und Betrugserkennung durchführen kann — ohne die Privatsphäre des Nutzers zu gefährden.

Verbraucherschutz

  • Widerrufsrecht: Das 14-tägige Widerrufsrecht bei Fernabsatzverträgen gilt uneingeschränkt für Agent-Käufe
  • Informationspflichten: Der Händler muss vor Vertragsschluss über Preis, Eigenschaften und Widerrufsrecht informieren — der Agent muss diese Informationen dem Nutzer anzeigen
  • Preistransparenz: Der Agent muss den Endpreis inkl. Steuern und Versand anzeigen, bevor der Nutzer bestätigt

Regulatorischer Ausblick

  • EU AI Act: KI-Agenten, die autonome Kaufentscheidungen treffen, könnten als "High-Risk AI Systems" eingestuft werden, was Transparenz-, Dokumentations- und Aufsichtspflichten nach sich zieht
  • Digital Markets Act: Wenn große Plattformen (Google, OpenAI) als "Gatekeeper" eingestuft werden, gelten besondere Interoperabilitäts- und Fairness-Pflichten — auch für Agent-Commerce-Dienste
  • Product Liability Directive: Die überarbeitete EU-Produkthaftungsrichtlinie könnte KI-Agenten als "Produkte" einstufen, was Haftungsfragen klären würde

Häufig gestellte Fragen

Gilt das Widerrufsrecht bei Agent-Käufen?

Ja. Das 14-tägige Widerrufsrecht bei Fernabsatzverträgen gilt unabhängig davon, ob der Kauf manuell oder über einen KI-Agenten erfolgt. Der Vertrag kommt zwischen Käufer und Händler zustande — der Agent ist nur ein Instrument.

Ist der Nutzer oder der Agent für Fehlkäufe verantwortlich?

Der Nutzer. Ein KI-Agent handelt im Auftrag des Nutzers, hat aber keine eigene Rechtspersönlichkeit. Fehlerhafte Käufe fallen unter das Risiko des Nutzers — daher die Wichtigkeit von Consent-Modellen und Bestätigungsmechanismen.

Darf ein Agent meine Browsing-Daten speichern?

Nur mit Ihrer Einwilligung nach DSGVO Art. 6. Agent-Anbieter (OpenAI, Google) müssen transparent dokumentieren, welche Daten verarbeitet werden und zu welchem Zweck. Sie haben das Recht auf Auskunft und Löschung.

Welche Auswirkungen hat der EU AI Act auf Agentic Commerce?

KI-Agenten, die autonome Kaufentscheidungen treffen, könnten als "High-Risk AI Systems" eingestuft werden. Das würde Transparenzpflichten, Risikomanagement und menschliche Aufsicht erfordern. Die genaue Einordnung wird noch diskutiert.

Weiterlesen

Payment

Wie KI-Agenten sicher bezahlen: Tokenisierung und Consent.

Für Händler

Was Online-Händler rechtlich beachten müssen.

Was ist Agentic Commerce?

Definition und Grundlagen.
A powered by AGENTICAL