Zum Inhalt springen
Beitrag

Wenn KI-Agenten und Agentic AI shoppen gehen – was kommt da (rechtlich) auf Unternehmen zu?

Datenschutzrecht IT-Recht Prozessrecht Wettbewerbsrecht E-Commerce IT-Projekte

Künstliche Intelligenz (KI), die in Unternehmen den Einkauf übernimmt, autonom Produktbestände überwacht, Preise recherchiert und Bestellungen auslöst. Der proaktive Assistent, der E-Mails beantwortet, Kalender verwaltet und Flüge eincheckt. Oder AI-to-AI- bzw. Multi-Agent-Systeme, die den kompletten Checkout übernehmen und bei denen alle Prozesse sowohl auf Seiten des Käufers als auch des Verkäufers vollständig innerhalb einer KI-Oberfläche ablaufen – der Einsatz von KI-Agenten bzw. Agentic AI verspricht ganz neue Möglichkeiten.

Unternehmen und insbesondere Händler, die sich dafür entscheiden, an diesem neuen KI-basierten Ökosystem teilzunehmen, müssen vor allem auch die rechtlichen Fallstricke beachten: Welche rechtlichen Spielregeln gelten, wenn die KI auf einmal eigenständig Verträge aushandelt und schließt? Wer haftet wofür?

Vom KI-Assistenten zur Agentic AI: Was ist was?

1.          Klassifizierung der KI-Systeme

Technisch betrachtet besteht das, was man gemeinhin unter Agentic AI versteht, meist nicht aus einem einzelnen System, sondern aus mehreren aufeinander aufbauenden Schichten:

  • Die Grundlage bilden KI-Modelle, etwa große Sprachmodelle, die Informationen verarbeiten und Entscheidungen vorbereiten. Darauf aufbauend folgt die Agenten-Orchestrierung: Software, die Ziele formuliert, Aufgaben plant und Zwischenschritte koordiniert.
  • Über Tools, APIs und Systemzugriffe können Agenten anschließend auf externe Systeme zugreifen – etwa Warenwirtschaft, Buchungssysteme, Zahlungsdienste oder E-Mail-Funktionen.
  • Erst auf der obersten Ebene entstehen schließlich Agent-Ökosysteme, in denen mehrere Systeme miteinander interagieren. Dazu gehören etwa Multi-Agent-Systeme oder standardisierte Kommunikationsprotokolle wie das Universal Commerce Protocol (UCP), über das KI-Agenten direkt mit den Backend-Systemen von Händlern verhandeln und Transaktionen auslösen können (mehr Informationen dazu erfahren Sie hier).

Je höher ein System in dieser Architektur angesiedelt ist, desto größer werden Autonomie, Komplexität und damit auch die rechtlichen Risiken. In der Praxis lassen sich grob drei Stufen der Eigenständigkeit unterscheiden:

  • KI-Assistenten haben eine geringe Autonomie, reagieren primär auf Nutzereingaben und arbeiten reaktiv. Klassische Beispiele für KI-Assistenten ist ChatGPT, der KI-Chatbot auf der Onlineshopseite oder der Reiseassistent „Romie“ von Expedia.
  • KI-Agenten agieren autonomer als KI-Assistenten, setzen Ziele in einem vorgegebenen Rahmen selbstständig um und greifen dafür z.B. über APIs auf externe Tools zu – z.B. und planen ihre Handlungen, wie der Vertriebsagent Ein Beispiel ist der Customer-Service-Agent von Klarna, der Retouren eigenständig abwickelt.
  • Agentic AI: Diese hochgradig autonomen Systeme kombinieren logisches Denken, Gedächtnis und Entscheidungsfindung zur eigenständigen Problemlösung. Ein Beispiel ist der „Conversational Checkout“ von Walmart, bei dem die KI den gesamten Kaufprozess steuert.

2.         Rechtliche Einordnung und Risiken

Dass die Autonomie von KI-basierten Systemen so ihre Tücken hat, musste einige Unternehmen bereits anhand ihrer KI-Chatbots feststellen: versprechen diese „KI-Kundenberater“ Erstattungen, stimmen einem nachteiligen Vertragsschluss zu oder beschimpfen Kunden und Wettbewerber, haften in der Regel die Unternehmen. „Das war ich nicht, das war meine KI“ lassen Gerichte als Ausrede nicht gelten.

Merke: Je autonomer, eigenständiger lernfähig und vernetzter ein KI-System ist, desto höher ist das rechtliche und wirtschaftliche Risiko.

Was gilt, wenn KI Verträge schließt?

Wenn KI-Agenten Verträge schließen, gelten rechtlich dieselben Regeln wie bei menschlichen Mitarbeitern: Unternehmen bleiben verantwortlich.

1.          Vertragsschluss und Zurechnung: Wer wird Vertragspartner?

Wird die KI selbst Vertragspartner, wenn sie ein Angebot abgibt oder annimmt? Nein. Nach geltendem Recht besitzt eine KI keine eigene Rechts- oder Geschäftsfähigkeit. Sie kann also nur für einen Menschen, ein Unternehmen oder eine sonstige rechtlich anerkannte Organisation als eine Art Werkzeug tätig werden.

Das bedeutet für die Praxis: die Erklärungen einer KI werden rechtlich dem Nutzer bzw. dem Unternehmen zugerechnet, das sie einsetzt. Die Frage ist nur: wann wird die für den Vertrag maßgebliche Erklärung abgegeben? Bei der Ersteinrichtung des Agenten? Oder nur, wenn noch ein weiterer menschlicher Zwischenschritt erfolgt?

Und was ist, wenn die KI von den menschlichen Vorgaben abweicht und 1.000 statt 100 Stück bestellt oder einen viel zu hohen Preis akzeptiert? Auch hier wird wohl gelten, was auch ohne Einbeziehung von KI schon jetzt gilt:

  • erklärt die KI nicht das, was der Nutzer erklären wollte, wird er sich aufgrund eines (technischen) Fehlers bei der Übermittlung wohl vom Vertrag lösen können, nicht jedoch, wenn der Nutzer die abgegebene Erklärung lediglich „so nicht abgeben wollte“.
  • Irrt die KI, muss sich der Nutzer auch das zurechnen lassen. Denkbar ist eine Anfechtung aber dann, wenn ein KI-System Erklärung abgibt, die sich außerhalb des vom Nutzer vorgegebenen Rahmen befindet.

2.         Haftung bei KI-Fehlern

Der Einsatz von KI schützt nicht vor Haftung. Auch hier gelten die allgemeinem Haftungsgrundsätze, insbesondere die Haftung innerhalb und entlang der jeweiligen Vertragsketten. Mit anderen Worten:

  • der Anbieter haftet gegenüber Vertragspartnern für mangelfreie Leistung, d.h. die fehlerfreie Bereitstellung der KI-Infrastruktur;
  • der Händler haftet gegenüber Kunden für die vertraglich vereinbarte Leistung, insb. Richtigkeit der bereitgestellten Daten, inkl. Preisangaben, Produktbeschreibung usw. und gegenüber Anbieter vertraglich vereinbarte Leistung (idR Zahlung) und
  • der Kunde haftet gegenüber Händler für die Willenserklärung, die ihm zugerechnet werden kann und gegenüber Anbieter für vertraglich vereinbarte Leistung (idR Zahlung).

Übrigens: ein pauschaler Haftungsausschluss, z.B. in den AGB für „KI-bedingte Fehler“ ist in der Regel unwirksam. Maßgeblich ist immer, welche Leistung versprochen wird.

3.         Verbraucherschutz: Neue Manipulationen?

Der Einsatz von KI entbindet den Händler zudem nicht von den gesetzlichen vor- und nachvertraglichen Informationspflichten (z.B. Widerrufsbelehrung, Preisangaben, usw.). Spannend ist allerdings die Frage, wie diese umgesetzt werden, wenn dem Händler nun nicht mehr der „durchschnittlich informierte Verbraucher“ gegenübersteht, sondern der „Average Custobot“. Unternehmen müssen sich überlegen, wie sie beim Einsatz von KI-Agenten die Erfüllung ihrer Pflichten technisch umsetzen und sich gleichzeitig vor neuen Risiken, wie prompt injections, wehren können.

KI-Governance: Was Unternehmen jetzt tun sollten

Wenn KI künftig Preise verhandelt, Bestellungen auslöst oder sogar Verträge abschließt, sollten Unternehmen vorab einige zentrale Punkte prüfen. Die folgenden Fragen helfen dabei, typische Risiken frühzeitig zu erkennen:

  1. Welche Auswirkungen haben AI-to-AI-Commerce und Multi-Agent-Systeme auf das eigene Geschäftsmodell?
  2. Sollen und können eigene Systeme mit KI-Agenten anderer Unternehmen oder Kunden interagieren?
  3. Wie autonom ist das eingesetzte KI-System und auf welche internen oder externen Systeme (APIs, Tools, Zahlungsdienste, ERP etc.) greift es zu?
  4. Welche Entscheidungen darf die KI eigenständig treffen (z. B. Preisverhandlungen, Bestellungen oder Vertragsannahmen) und welche nicht?
  5. Wer ist im Unternehmen für Konfiguration, Überwachung und Freigaben der KI verantwortlich?
  6. Wie sind Verantwortlichkeiten und Haftungsrisiken entlang der Vertragskette (Technologieanbieter – Händler – Kunde) verteilt?
  7. In welchem Rahmen darf die KI rechtsverbindliche Erklärungen abgeben und welche technischen Limits gelten (z. B. Preis- oder Mengenlimits)?
  8. Wo sind menschliche Freigaben erforderlich und wie werden Entscheidungen und Transaktionen der KI dokumentiert und nachvollziehbar gemacht?
  9. Wie kann verhindert werden, dass die KI vom vorgegebenen Handlungsrahmen abweicht, und wie lassen sich Fehlentscheidungen erkennen und korrigieren?
  10. Sind Compliance-, Verbraucherschutz- und Sicherheitsanforderungen (z. B. Datenschutz, KI-VO, Informationspflichten, Schutz vor Manipulationen wie Prompt Injections) technisch und vertraglich ausreichend umgesetzt?

Kurzfazit

KI-Agenten und Agentic AI können Einkauf, Kundenservice und Checkout-Prozesse grundlegend verändern. Gleichzeitig bleibt rechtlich vieles beim Alten: Verträge, Erklärungen und Fehler der KI werden dem Unternehmen zugerechnet. Wer KI-Agenten einsetzt, sollte deshalb klare Regeln für Autonomie, technische Grenzen, Verantwortlichkeiten und Dokumentation festlegen – und bestehende Prozesse, Verträge und AGB entsprechend anpassen.

Sie planen den Einsatz von KI-Agenten oder möchten prüfen, welche rechtlichen Anforderungen für Ihr Unternehmen gelten? Wir unterstützen Sie bei der rechtlichen Einordnung, der Gestaltung Ihrer KI-Governance und der Anpassung Ihrer Verträge und Prozesse. Sprechen Sie uns gern an.