AI Act: Pflichten und Fristen für Onlinehändler

Autor: Frank Dahmen

Von Frank Dahmen am 01.04.2026

Lesezeit: 6 Minuten | (4.75 / 5)

AI Act JTL-Shop Recht KI Onlinehandel

Was 2025 bis 2028 für KI-Nutzung im Onlinehandel wichtig wird

TL;DR: Der AI Act betrifft Onlinehändler oft nicht als Entwickler, aber als Deployer von KI-Systemen. Wer KI für Inhalte, Chatbots, Entscheidungen oder KI-gestützte Produkte nutzt, sollte Fristen, Rollen und Transparenzpflichten jetzt sauber prüfen.

Team prüft AI-Act-Fristen und KI-Pflichten im modernen Onlineshop-UmfeldBild mit KI-Unterstützung erstellt

Nicht jede KI im Onlineshop ist automatisch Hochrisiko.

Für Onlinehändler ist beim AI Act vor allem wichtig, die eigene Rolle sauber zu bestimmen: Bist du Anbieter eines KI-Systems, nur Nutzer eines externen Tools oder in einzelnen Konstellationen beides? Davon hängen Pflichten zu Transparenz, Dokumentation, KI-Kompetenz und Risikoprüfung ab. Wenn KI in Onlineshop-Prozesse, Content, Support oder interne Entscheidungen eingebunden ist, sollten Datenflüsse, Zuständigkeiten und Tool-Auswahl zusammen mit Schnittstellen & Systemintegration früh geprüft werden.

KI- und Compliance-Check anfragen

Der Zeitplan des AI Act von 2025 bis 2028

Der AI Act gilt stufenweise. Seit dem 2. Februar 2025 greifen Verbote bestimmter KI-Praktiken und Pflichten zur KI-Kompetenz, seit dem 2. August 2025 GPAI-Regeln und Governance-Vorgaben, und große Teile der Verordnung werden ab dem 2. August 2026 anwendbar.

Für die Praxis heißt das: Du solltest zwischen geltendem Recht und politischen Änderungsvorschlägen sauber unterscheiden. Wenn KI in Content, Suche, Support oder Prozessautomatisierung eine Rolle spielt, hilft eine belastbare technische Einordnung zusammen mit KI-Sichtbarkeit für JTL-Shop und einer nachvollziehbaren Tool-Dokumentation.

  • 1. August 2024: Der AI Act ist in Kraft getreten.
  • 2. Februar 2025: Verbotene KI-Praktiken und Vorgaben zur AI Literacy beziehungsweise KI-Kompetenz gelten.
  • 2. August 2025: Regeln zu Governance sowie Pflichten für General-Purpose-AI-Modelle gelten.
  • 2. August 2026: Große Teile der Verordnung werden anwendbar, darunter nach geltendem Stand auch Transparenzpflichten für bestimmte KI-generierte oder KI-manipulierte Inhalte.
  • 2. August 2027: Für Hochrisiko-KI in bestimmten regulierten Produktbereichen nach geltendem AI Act läuft eine verlängerte Übergangsfrist aus.
  • 2. November 2026 / 2. Dezember 2027 / 2. August 2028: Diese Daten stammen aus dem Parlamentsvorschlag vom 26.03.2026 und sind planungsrelevant, aber noch nicht endgültig geltendes Recht.

Rechtlich maßgeblich ist die EU AI Act Verordnung (EU) 2024/1689. Für operative Planung solltest du zusätzlich im Blick behalten, welche Fristen derzeit schon gelten und welche Termine noch aus dem laufenden Gesetzgebungsverfahren stammen.

Bin ich als Onlinehändler in Deutschland betroffen?

Ja, häufig schon. Viele Onlinehändler entwickeln keine eigene KI, nutzen aber KI-Systeme im Betrieb oder verkaufen Produkte mit integrierter KI und können dadurch als Deployer, Anbieter, Importeur oder Händler im regulatorischen Sinn betroffen sein.

Der zentrale Fehler in der Praxis ist, den AI Act nur mit sehr großen Modellanbietern zu verbinden. Für Händler ist meist entscheidender, wie KI im Alltag genutzt wird: etwa bei Chatbots, Produktempfehlungen, Übersetzungen, Content-Erstellung, Bilderzeugung, Preislogik, Bonitätsprüfungen oder internen Auswertungen. Genau diese Einordnung solltest du zusammen mit Reporting & Analyse dokumentieren, damit Rollen und Risiken nachvollziehbar bleiben.

Typische Fragen zur eigenen Betroffenheit sind:

  • Nutze ich externe KI-Tools nur als Anwender oder verändere ich deren Zweck und stelle sie selbst bereit?
  • Setze ich KI in Bereichen ein, die über reine Unterstützung hinaus in Entscheidungen über natürliche Personen eingreifen?
  • Veröffentliche ich KI-generierte Inhalte wie Bilder, Videos, Audio oder umfangreiche Textbausteine im Onlineshop?
  • Verkaufe ich Produkte mit integrierter KI, bei denen Hersteller- und Konformitätsfragen mitgedacht werden müssen?
  • Arbeite ich mit Dienstleistern, BNPL-Anbietern oder Plattformen, deren KI-Ergebnisse in meinen Onlineshop einfließen?

Für viele Händler lautet die realistische Kurzfassung: betroffen ja, aber häufig nicht in der schärfsten Kategorie. Das entbindet dich trotzdem nicht von Prüf-, Transparenz- und Organisationspflichten.

Welche Pflichten für KI-Nutzung schon jetzt relevant sind

KI-Kompetenz, Dokumentation und klare Zuständigkeiten zuerst

Für viele Händler beginnt AI-Act-Compliance nicht mit einer Behörde, sondern intern. Du musst wissen, welche KI-Tools im Unternehmen laufen, wofür sie genutzt werden und wer für Auswahl, Kontrolle und Korrekturen verantwortlich ist.

Seit Februar 2025 spielt das Thema KI-Kompetenz eine spürbare Rolle. Gemeint ist nicht nur Schulung im abstrakten Sinn, sondern die Fähigkeit, Risiken, Grenzen und Einsatzbedingungen der verwendeten KI-Systeme angemessen zu verstehen. Das betrifft Marketing, Kundenservice, Produktdatenpflege und operative Teams gleichermaßen. Eine saubere technische Grundlage in Content Management hilft dabei, KI-generierte Inhalte nachvollziehbar und kontrollierbar zu halten.

Praktisch relevant sind vor allem diese Punkte:

  • Tool-Inventar: Welche KI-Systeme nutzt dein Unternehmen tatsächlich?
  • Zweckbindung: Wofür wird das jeweilige System eingesetzt und wofür ausdrücklich nicht?
  • Verantwortung: Wer prüft Ergebnisse, Fehler, Freigaben und Beschwerden?
  • Dokumentation: Welche Anbieterinformationen, Verträge, Datenschutz- und Risikohinweise liegen vor?
  • Transparenz: Wo muss kenntlich gemacht werden, dass Nutzer mit einer KI interagieren oder Inhalte KI-bezogen sind?

Wichtig: Nicht jede Pflicht trifft jeden Händler gleich. Entscheidend sind Rolle, Einsatzzweck und Systemkategorie. Starte deshalb mit einem klaren Verzeichnis deiner KI-Anwendungen und nicht mit pauschaler Panik.

KI-Prozesse strukturieren

Hochrisiko, GPAI und Transparenz: Wo es für Händler kritisch wird

Kritisch wird es für Händler dort, wo KI nicht nur Texte unterstützt, sondern in Entscheidungen über Menschen eingreift oder Produkte mit KI-Funktion verkauft werden. Zusätzlich sind Transparenzpflichten bei Chatbots und KI-generierten Inhalten sowie vertragliche Fragen bei externen GPAI-basierten Diensten wichtig.

Der AI Act trennt sauber zwischen verschiedenen Ebenen. Ein allgemeines Modell ist nicht automatisch dasselbe wie ein konkretes KI-System im Onlineshop-Betrieb. Für die rechtliche Einordnung hilft eine strukturierte technische Betrachtung über SEO- & GEO-Optimierungen, wenn KI Inhalte, Sichtbarkeit und Nutzerinteraktion zugleich beeinflusst.

Für Onlinehändler sind besonders diese Fälle relevant:

  1. Dynamische Preisgestaltung: Repricing oder personalisierte Preise sind nicht automatisch Hochrisiko. Kritisch wird es, wenn diskriminierende oder besonders eingriffsintensive Entscheidungen eine Rolle spielen.
  2. KI-Chatbots: Nutzer müssen erkennen können, dass sie mit einer KI kommunizieren.
  3. KI-generierte Inhalte: Bilder, Videos, Audio und andere KI-erzeugte Inhalte können Transparenz- oder Kennzeichnungspflichten auslösen.
  4. BNPL und Kreditscoring im Checkout: Automatisierte Kredit- oder Bonitätsentscheidungen sind deutlich sensibler und können in den Hochrisiko-Bereich fallen.
  5. Produktverkauf mit integrierter KI: Wer smarte Produkte mit KI verkauft, sollte Herstellerunterlagen, Konformitätsdokumentation und CE-bezogene Fragen mitprüfen.
  6. KI in HR-Prozessen: Bewerbungsfilterung, Leistungsbewertung oder ähnliche Systeme sind für Händler mit eigenem Personal ebenfalls relevant.

Wenn du mit externen Modellen arbeitest, solltest du außerdem prüfen, ob dein Anbieter selbst als GPAI-Anbieter Pflichten erfüllen muss und welche Informationen du für deine eigene Compliance daraus ableiten kannst.

Was der Vorschlag des EU-Parlaments vom 26.03.2026 ändern würde

Der Beschluss des EU-Parlaments vom 26. März 2026 ist noch keine endgültige Rechtsänderung, aber er ist für die Planung sehr relevant. Er schlägt konkrete Anwendungsdaten vor und würde bestimmte Hochrisiko-Systeme teilweise aus dem einheitlichen Kernregime des AI Act in sektorspezifische Vorgaben verschieben.

Nach der derzeit geltenden Verordnung bleibt der 2. August 2026 der zentrale Termin für große Teile des AI Act. Das Parlament hat jedoch vorgeschlagen, einzelne Fristen klarer und später festzulegen. Für viele Händler ist das vor allem dann wichtig, wenn KI in entscheidungskritische Prozesse oder in Produkte mit eigener Sicherheitsregulierung eingebunden wird. Für die operative Vorbereitung lohnt es sich, diese Entwicklung zusammen mit Shopsysteme und Compliance-Dokumentation im Blick zu behalten.

Der Parlamentsvorschlag nennt dabei ausdrücklich diese Daten:

  • 2. November 2026: Kennzeichnung beziehungsweise Watermarking bestimmter KI-generierter Inhalte.
  • 2. Dezember 2027: Konkret benannte Hochrisiko-Systeme aus dem Kernkatalog.
  • 2. August 2028: KI-Systeme in Produkten, die bereits unter sektorale EU-Sicherheitsgesetzgebung fallen.

Genau hier setzt auch die Kritik mehrerer Organisationen an: Wenn Hochrisiko-KI stärker auf verschiedene Spezialgesetze verteilt wird, drohen für Unternehmen mehr Abstimmungsaufwand, mehr Auslegungsfragen und ein regulatorischer Flickenteppich statt eines klaren einheitlichen Rahmens.

Praktisch heißt das: Verlass dich für aktuelle Pflichten weiter auf den geltenden AI Act. Nutze den Vorschlag des Parlaments zusätzlich als Planungssignal, nicht als endgültigen Freibrief.

Wie du deinen AI-Act-Prozess im Onlineshop sauber aufsetzt

Für Händler ist AI-Act-Compliance vor allem ein Prozess-Thema. Entscheidend sind saubere Zuständigkeiten, dokumentierte Tool-Ketten und eine klare Trennung zwischen Marketing-KI, Support-KI, Produkt-KI und entscheidungsnahen Systemen.

In der Praxis solltest du nicht nur einzelne Tools bewerten, sondern die komplette Strecke vom Input bis zur Nutzung im Onlineshop. Wenn ein Modell Produkttexte erzeugt, ein anderes Bilder erstellt und ein drittes Support-Vorschläge macht, brauchst du eine nachvollziehbare Systemlandschaft. Genau dafür helfen Warenwirtschaftssysteme, belastbare Datenstrukturen und eine gute Prozessdokumentation.

  • KI-Inventar anlegen: Erfasse alle Tools, Plugins, SaaS-Dienste und Eigenlösungen mit KI-Bezug.
  • Rollen bestimmen: Prüfe, wo du nur Deployer bist und wo du durch Anpassung oder Vermarktung näher an die Provider-Rolle kommst.
  • Einsatzfelder trennen: Unterscheide Content, Support, Personalisierung, Auswertung, Checkout, HR und Produktverkauf.
  • Transparenz prüfen: Definiere, wo Hinweise auf KI-Nutzung oder KI-generierte Inhalte sinnvoll oder erforderlich sind.
  • Lieferantenverträge prüfen: Halte Dokumente zu Modellen, Haftung, Support und Compliance-Nachweisen zentral vor.
  • DSGVO mitdenken: Viele KI-Systeme verarbeiten personenbezogene Daten und müssen deshalb datenschutzrechtlich mitgeprüft werden.
  • Fachteams schulen: KI-Kompetenz betrifft nicht nur IT, sondern auch Marketing, Service, Einkauf und Produktdatenpflege.
  • Fristen beobachten: Plane mit geltendem Recht und verfolge parallel, ob sich Hochrisiko-Termine im Gesetzgebungsverfahren noch verschieben.

AI-Act-Check für deinen Onlineshop anfragen

Strafen und Sanktionen ab August 2025:

Die EU hat mit dem AI Act (KI-Verordnung) das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz verabschiedet, das seit dem 1. August 2024 in Kraft ist und strenge Strafen bei Verstößen vorsieht. Die operative Phase beginnt schrittweise, wobei ab dem 2. Februar 2025 verbotene Praktiken und ab August 2025 hohe Bußgelder für Verstöße gelten.

Häufige Fragen zum AI Act im Onlinehandel

Ja, häufig schon. Auch wenn du keine eigene KI entwickelst, kannst du als Deployer betroffen sein, etwa bei Chatbots, generativer Content-Erstellung, Betrugserkennung, Bonitätsprüfungen oder KI-gestützten Produkten im Sortiment.

Nein. Die Verordnung knüpft nicht nur an Unternehmensgröße an, sondern an Rolle, Einsatzzweck und Risikoklasse des eingesetzten KI-Systems. Auch kleinere Händler können dadurch konkrete Pflichten haben.

Nein. Verbotene KI-Praktiken sind seit Februar 2025 untersagt. Andere Pflichten gelten gestaffelt, zum Beispiel GPAI-Regeln seit August 2025 und große Teile der Verordnung ab August 2026.

Für viele Händler sind zuerst ein KI-Inventar, klare Zuständigkeiten, KI-Kompetenz im Team und die Prüfung eingesetzter Drittanbieter wichtig. So lässt sich sauber unterscheiden, welche Systeme nur unterstützend arbeiten und wo erhöhte Risiken bestehen.

Nein. Viele generative Tools für Texte oder Bilder sind kein Hochrisiko-System im Sinne des AI Act. Trotzdem können Transparenzpflichten und Dokumentationsfragen relevant werden, vor allem wenn Inhalte automatisiert veröffentlicht werden.

Nein. Der Beschluss vom 26.03.2026 ist eine Position des Parlaments im Gesetzgebungsverfahren. Er ist für die Planung wichtig, ändert die geltenden Fristen aber erst dann verbindlich, wenn der Gesetzgebungsprozess abgeschlossen ist.
Wie hilfreich war dieser Beitrag für dich?
Durchschnitt: 4.75 · 3 Bewertungen
Hinweis: Die angezeigten Bewertungen werden nicht auf Echtheit überprüft.
Frank Dahmen – Autor

Über Frank Dahmen

Frank Dahmen beschäftigt sich seit den Anfängen des Internetzeitalters Mitte der 1990er Jahre intensiv mit Webentwicklung und Programmierung. Seine langjährige Erfahrung reicht von klassischen Webtechnologien bis hin zu modernen Software- und Systemarchitekturen. Besondere Interessen liegen in den Bereichen IT-Security und Künstliche Intelligenz, er greift aber auch gerne andere Themen rund um das IT-Geschehen auf.

Weiterführende Beiträge

Unsere Lösungen für Sie – passend zum Thema

SEO & GEO Optimierungen

Technische SEO, strukturierte Daten und Inhalte, die von Suchmaschinen und KI-Systemen eindeutig verstanden werden.

[Weiterlesen]

Schnittstellen & Systemintegration

Zuverlässige Anbindungen zwischen Onlineshop, Warenwirtschaft, Marktplätzen und externen Systemen.

[Weiterlesen]

Shopsysteme

Stabile, performante Onlineshops auf Basis von JTL – technisch sauber umgesetzt und langfristig wartbar.

[Weiterlesen]

Service-Berater bei nextio.digitalBild mit KI-Unterstützung erstellt
Lass uns über dein Projekt sprechen.

Wir zeigen dir, welche Lösung technisch sinnvoll ist und langfristig funktioniert.

Unverbindlich anfragen
oder direkt
Telefontermin buchen
(02434) 3088-585