Direkt zum Inhalt wechseln
Beitrag

Einsatz Künstlicher Intelligenz im Schweizer E-Commerce

Datenschutzrecht IT-Recht IT-Sicherheit

Der Einsatz von Künstlicher Intelligenz (KI) revolutioniert den E-Commerce in der Schweiz. Doch ohne sorgfältige Beachtung des Datenschutzes können erhebliche Risiken entstehen. Erfahren Sie, warum eine transparente Information über den Einsatz von KI in den Allgemeinen Geschäftsbedingungen (AGB) und in Datenschutzerklärungen unerlässlich sind, um rechtliche Fallstricke zu vermeiden.

Die Integration von Künstlicher Intelligenz (KI) in den E-Commerce bietet Unternehmen innovative Möglichkeiten zur Prozessoptimierung und Kundeninteraktion. Gleichzeitig stellt der Umgang mit Personendaten im Rahmen von KI-Anwendungen hohe datenschutzrechtliche Anforderungen an die betroffenen Unternehmen. Wer KI im E-Commerce einsetzt, muss  sicherstellen, dass seine Datenverarbeitungsprozesse den gesetzlichen Vorgaben entsprechen. Dieser Beitrag beleuchtet die Risiken, die sich aus dem Einsatz von KI ohne angemessene datenschutzrechtliche Vorkehrungen ergeben, und unterstreicht die Bedeutung von klaren und verständlichen Regelungen in AGB und Datenschutzerklärungen.

 

Risiken bei Missachtung des Datenschutzes im KI-Einsatz

Der Einsatz von KI im E-Commerce erfolgt heute in vielfältiger Weise: Unternehmen nutzen KI-gestützte Tools wie Produkt-Empfehlungssysteme, Chatbots, dynamische Preisgestaltungssysteme oder Kundenanalyseplattformen, die durch Data Mining und Machine Learning das Kaufverhalten auswerten und Prognosen erstellen. Ziel ist es, Nutzerverhalten zu verstehen, Vorlieben zu antizipieren und massgeschneiderte Angebote zu unterbreiten.

Solche Systeme arbeiten meist auf Grundlage umfangreicher personenbezogener Daten – etwa Klickverhalten, bisherige Käufe, Verweildauer oder sogar Standortdaten. Daraus werden individuelle Nutzerprofile erstellt, um personalisierte Werbung oder Produktempfehlungen zu generieren. Problematisch wird es, wenn diese Datenverarbeitung über das für den jeweiligen Zweck erforderliche Mass hinausgeht und tiefgreifende automatisierte Entscheidungen getroffen werden – etwa Preisvariationen je nach Nutzerprofil oder Ausschlüsse von Angeboten. Dann liegt schnell ein Profiling, unter Umständen sogar ein Profiling mit hohem Risiko vor. Profiling mit hohem Risiko ist gemäss Art. 5 lit. f i.V.m. Art. 21 Datenschutzgesetz (DSG) immer dann gegeben, wenn automatisierte Bearbeitungen erhebliche Auswirkungen auf die betroffene Person haben, z. B. wenn ein System entscheidet, welchen Preis ein Nutzer sieht, oder ob ihm bestimmte Produkte überhaupt angezeigt werden. Auch wenn solche Systeme implizit diskriminieren (etwa durch Preisaufschläge für bestimmte Verhaltensmuster), besteht ein hohes Risiko für Grundrechtsverletzungen. Die Einwilligung für eine solche Datenbearbeitung muss in diesen Fällen ausdrücklich erfolgen, die Bearbeitung muss klar begründet und dokumentiert sein, und es braucht transparente Information über die Funktionsweise der eingesetzten Systeme. Kurz gesagt: Je gezielter und „intelligenter“ ein System personalisiert, desto grösser ist die Gefahr, dass daraus rechtlich problematisches Profiling wird. Unternehmen müssen diese Schwelle frühzeitig erkennen und ihre Prozesse entsprechend ausgestalten.

Grundsätzlich erlaubt das DSG die Bearbeitung von Personendaten, sofern sie nicht widerrechtlich ist (Art. 6 Abs. 1 DSG). Eine ausdrückliche Einwilligung der betroffenen Person ist dann erforderlich, wenn:

  • besonders schützenswerte Personendaten (z.B. Gesundheitsdaten, politische Meinungen, religiöse Ansichten) bearbeitet werden (Art. 5 lit. c DSG),
  • Profiling mit hohem Risiko vorliegt, z.B. durch automatisierte Entscheidungsprozesse, die rechtliche oder ähnlich erhebliche Auswirkungen auf die betroffene Person haben (Art. 5 lit. f i.V.m. Art. 21 DSG),
  • die Bearbeitung der Daten in anderer Weise eine besondere Eingriffsintensität aufweist, die ohne Einwilligung nicht gerechtfertigt wäre.

Im E-Commerce kann beispielsweise ein Empfehlungssystem, das auf umfangreicher Verhaltensanalyse basiert und zu personalisierten Preisanzeigen oder Produktevorschlägen führt, bereits Profiling mit hohem Risiko sein – insbesondere dann, wenn dies automatisiert geschieht und keine Möglichkeit zur Einflussnahme durch den Nutzer besteht.

Die Datenschutzerklärung dient als zentrales Mittel zur Umsetzung der Informationspflichten gemäss Art. 19 und 21 DSG. Sie informiert betroffene Personen darüber, welche Daten erhoben werden, zu welchen Zwecken, auf welche Weise und durch wen sie bearbeitet werden und welche Rechte den Betroffenen zustehen. Im E-Commerce-Kontext, wo der Einsatz von KI, wie ausgeführt, häufig zu Profiling, Tracking oder automatisierten Entscheidungen führt, wird die Datenschutzerklärung zum entscheidenden Instrument, um gesetzliche Transparenzanforderungen zu erfüllen.

Ein Verstoss gegen die Informationspflichten wird sanktioniert und kann mit Geldstrafen von bis zu CHF 250’000 geahndet werden. Neben Strafen können auch Schadensersatzforderungen und der Verlust von Kunden zu erheblichen finanziellen Einbussen für das betroffene Unternehmen führen. Dazu kommen Reputationsschäden, die durch Datenschutzverletzungen entstehen. Diese können das Vertrauen der Kunden nachhaltig beeinträchtigen und dem Image des Unternehmens schwer schaden.

Darauf beruhend entstehen gewisse grundlegende Handlungsempfehlungen, die zu beachten sind.

  • Transparenz schaffen: Nutzer sind klar und verständlich über den Einsatz von KI und die damit verbundene Datenbearbeitung zu informieren.
  • Einwilligungen einholen: in erforderlichen Fällen muss die ausdrückliche Zustimmung der Nutzer eingeholt und sorgfältig dokumentiert werden .

 

Rolle der Allgemeinen Geschäftsbedingungen (AGB)

Die Allgemeinen Geschäftsbedingungen (AGB) legen die vertraglichen Rahmenbedingungen zwischen dem Unternehmen und ihren Kunden fest. Sie sind nicht nur Mittel zur Risikobegrenzung, sondern auch Instrument zur Rechtssicherheit und Vertrauensbildung – insbesondere bei datenbasierten Geschäftsmodellen, in denen ein Vertragsschluss nicht mehr auf dem Papier erfolgt. Sinn und Zweck der AGB ist es, klar und vorab regelnd zu bestimmen, was zwischen den Parteien gilt, etwa in Bezug auf Vertragsinhalte, Haftung, Zahlungsmodalitäten und eben auch gewisse datenschutzrechtlich relevante Aspekte.

Gerade beim Einsatz von KI sollten AGB konkret darlegen, in welchem Umfang personalisierte Systeme eingesetzt werden, welche Entscheidungen auf algorithmischer Basis erfolgen und wie diese den Vertragsgegenstand beeinflussen. So kann beispielsweise in den AGB festgehalten werden, dass Produktempfehlungen durch KI generiert werden oder dass Preisvariationen auf automatisierter Analyse des Nutzerverhaltens basieren. Dies ist nicht nur für die rechtliche Einordnung zentral, sondern bietet auch die Chance, kundenseitige Erwartungshaltungen proaktiv zu steuern.

Darüber hinaus kommt den AGB eine aufklärende und ergänzende Rolle zur Datenschutzerklärung zu: Wenn z.B. ein Profiling mit hohem Risiko vorliegt, ist eine ausdrückliche Einwilligung erforderlich – doch diese Einwilligung muss nicht zwingend isoliert erfolgen. AGB können genutzt werden, um auf notwendige Zustimmungen aufmerksam zu machen, z. B. durch Verweise auf separate Einwilligungserklärungen oder durch die Kombination mit aktiven Opt-in-Mechanismen innerhalb des Bestellprozesses. Diese Gestaltung ermöglicht es, Rechtsklarheit zu schaffen und Nutzer systematisch auf kritische Punkte hinzuweisen.

Nicht zuletzt können AGB Haftungsfragen, Streitbeilegungsverfahren und Geltungsbereiche regeln – allesamt Aspekte, die bei der Nutzung komplexer, datengetriebener Systeme von Bedeutung sind. Auch im Hinblick auf KI-generierte Fehlentscheidungen (z. B. falsche Produktempfehlungen oder automatisierte Kundenklassifikationen) ist eine präzise Gestaltung der AGB ein wichtiger Schutzmechanismus.

 

Deshalb ist ausschlaggebend:

  • AGB überprüfen und anpassen: Stellen Sie sicher, dass Ihre AGB aktuelle Datenschutzbestimmungen berücksichtigen und spezifische Klauseln zur Datenverarbeitung enthalten, gerade wenn KI eingesetzt wird.
  • Kohärenz mit Datenschutzerklärung: Sorgen Sie für Konsistenz zwischen den AGB und der Datenschutzerklärung, um Widersprüche zu vermeiden.

 

Relevanz der Auslegeordnung des Bundes für den Schweizer E-Commerce

Wie bereits in unserem Beitrag zur Auslegeordnung für die KI-Regulierung: Bundesrat will die KI-Konvention des Europarats ratifizieren thematisiert, wird eine Regulierung von KI in der Schweiz zu sektorspezifischen Veränderungen in der Gesetzeslandschaft führen. Für E-Commerce-Unternehmen, die zunehmend KI zur Personalisierung von Angeboten, automatisierten Kundenservices, Chatbots, dynamischer Preisgestaltung oder Betrugserkennung einsetzen, bringt die Auslegeordnung folgende Implikationen:

  • Höhere Transparenzpflichten: KI-Systeme, die Entscheidungen mit erheblichem Einfluss auf Konsumenten treffen (z.B. Kreditwürdigkeitsbewertungen oder algorithmisch bestimmte Preise), könnten in eine höhere Risikokategorie fallen. Dies würde strengere Transparenzanforderungen nach sich ziehen.
  • Erklärbarkeit von Entscheidungen: Unternehmen müssen künftig möglicherweise offenlegen, wie KI-gestützte Entscheidungen zustande kommen. Gerade im Bereich der automatisierten Kundeninteraktion oder Produktempfehlungen ist dies relevant, wenn z.B. Auskunftgesuche gestellt werden.
  • Haftungsfragen bei Fehlentscheidungen: Die neue Regulierung könnte klare Haftungsverhältnisse für KI-generierte Entscheidungen einfordern. Für Händler bedeutet das: Prozesse müssen überprüft und ggf. überarbeitet werden, um rechtssicher zu bleiben.
  • Datenschutz bleibt zentrales Element: Auch wenn die Auslegeordnung einen neuen Regulierungsrahmen schaffen will, bleibt das Datenschutzrecht – insbesondere das revidierte DSG – zentraler Bezugspunkt. Die KI-Regulierung wird also nicht losgelöst, sondern ergänzend wirken.

 

Fazit: Proaktive Datenschutzstrategien als Schlüssel für nachhaltigen E-Commerce mit KI

Der Einsatz von Künstlicher Intelligenz im E-Commerce bietet enorme Potenziale – von effizienter Kundeninteraktion bis hin zur datenbasierten Produktoptimierung. Gleichzeitig bringt diese Technologie erhebliche datenschutzrechtliche Herausforderungen mit sich. Das DSG verlangt insbesondere bei Profiling mit hohem Risiko und sensiblen Datenverarbeitungen eine informierte und ausdrückliche Einwilligung. Wer diese versäumt, riskiert nicht nur Bussgelder, sondern auch das Vertrauen seiner Kundschaft.

Zudem rücken Datenschutzerklärungen und Allgemeine Geschäftsbedingungen stärker denn je in den Fokus. Sie sind keine blossen Pflichtdokumente, sondern integraler Bestandteil einer rechtskonformen, transparenten und vertrauensbildenden Kundenbeziehung. Ihre Kohärenz und Aktualität sind entscheidend für die rechtliche Absicherung datengetriebener Geschäftsmodelle.

Nicht zuletzt setzt die Auslegeordnung des Bundes zur KI-Regulierung neue Akzente. Sie kündigt ein Regulierungsregime an, das Transparenz, Erklärbarkeit und Rechenschaftspflicht verlangt – auch im privatwirtschaftlichen Bereich. Unternehmen, die heute schon auf ein verantwortungsbewusstes, datenschutzkonformes KI-Management setzen, verschaffen sich nicht nur einen Compliance-Vorsprung, sondern positionieren sich auch strategisch nachhaltig im Wettbewerb.

Kurzum: Wer KI nutzt, muss Datenschutz ernst nehmen – nicht nur aus rechtlicher, sondern auch aus wirtschaftlicher Vernunft. Ein ganzheitlicher, vorausschauender Umgang mit Einwilligungen, Datenschutzerklärungen, AGB und regulatorischen Entwicklungen ist für Schweizer E-Commerce-Anbieter unabdingbar.

 

  1. Quellen