KI-Agenten im E-Commerce: Was Shopbetreiber datenschutzrechtlich beachten müssen

Onlineshops öffnen sich zunehmend für KI-Agenten, also für Software, die im Auftrag eines Nutzers eigenständig Produkte sucht, Preise vergleicht und Bestellungen abschließt. Der Auftrag lautet etwa: Kaufe das günstigste Bio-Olivenöl. Den Weg dorthin bestimmt der Agent. Er wählt Shops aus, legt Produkte in den Warenkorb, übermittelt Stammdaten und Zahlungsinformationen, bestätigt Abfragen und schließt den Kauf ab, ohne im menschlichen Sinne etwas wahrgenommen zu haben. Für Shopbetreiber ist das verlockend, weil es Reichweite und neue Kunden verspricht. Datenschutzrechtlich entsteht dabei aber ein neues Risikoprofil, das bislang kaum jemand einpreist.

Der Agent als neuer Marktteilnehmer

KI-Agenten unterscheiden sich von herkömmlichen automatisierten Abrufen in einem entscheidenden Punkt: Sie fragen nicht nur Informationen ab, sondern lösen Funktionen aus, die bisher auf menschliches Handeln zugeschnitten waren. Sie geben Erklärungen ab, die auf einen Vertragsschluss gerichtet sind, übermitteln personenbezogene Daten und stoßen Zahlungen an. Ihr Ergebnis besteht in rechtserheblichen Handlungen.

Viele Shopbetreiber fördern diese Entwicklung aktiv, indem sie Produktkataloge über offene Protokolle veröffentlichen und Schnittstellen für automatisierten Zugriff bereitstellen. Zugleich greifen Agenten auch ohne Einladung auf Shops zu, und ein Teil von ihnen tarnt sich als menschlicher Nutzer und ist nicht ohne Weiteres erkennbar. Schon diese Erkennbarkeitsfrage zieht sich durch alle folgenden Probleme.

Die Zugangseröffnung verändert das Pflichtenprogramm

Wer seinen Shop bewusst für Agenten öffnet, kann sich nicht mehr darauf verlassen, dass ein Mensch das Cookie-Banner sieht und rechtswirksame Handlungen bewusst vornimmt. Diese Annahme bricht zusammen, sobald gezielt Software eingeladen wird. Art. 25 Abs. 1 DSGVO verlangt, darauf mit geeigneten technischen und organisatorischen Maßnahmen zu reagieren. Datenschutz durch Technikgestaltung ist hier kein abstraktes Prinzip, sondern der konkrete Auftrag, den Agentenzugang so zu gestalten, dass die datenschutzrechtlichen Pflichten weiter erfüllbar bleiben.

Warum die Einwilligung durch den Agenten nicht trägt

Die Einwilligung nach Art. 4 Nr. 11 DSGVO ist eine informierte, höchstpersönliche Willensbekundung. Beides gerät unter Druck, wenn ein Agent sie erteilt. Ein Agent kann den Inhalt eines Cookie-Banners technisch erfassen, aber nicht im Rechtssinne verstehen. Folgt er einer Vorgabe wie akzeptiere, was für den Kauf nötig ist, bleibt dem Nutzer verborgen, worin er eigentlich einwilligt, zumal das Verhalten solcher Systeme probabilistisch und nicht vorhersehbar ist.

Der Einwand, der Wille sei delegierbar, überzeugt nicht. Informiertheit bezieht sich auf den konkreten Verarbeitungsvorgang, nicht auf die abstrakte Bereitschaft, beliebige Verarbeitungen hinzunehmen. Eine Blanko-Anweisung ersetzt die informierte Entscheidung nicht. Auch eine pauschale Vorab-Einwilligung scheitert am Bestimmtheitserfordernis, weil sie künftige, noch unbekannte Verarbeitungen vorwegnähme. Nutzungsbedingungen, die den Nutzer verpflichten, Einwilligungen nur nach Kenntnisnahme der Zwecke zu erteilen, verlagern das Risiko allenfalls vertraglich. Datenschutzrechtlich ändern sie nichts, denn die Anforderungen an Einwilligung und Nachweis stehen nicht zur Disposition der Parteien.

Für den Verantwortlichen folgt daraus: Er kann sich nicht auf eine vom Agenten übermittelte Einwilligung berufen, wenn er weiß oder wissen muss, dass kein Mensch sie informiert abgegeben hat. Wer seinen Shop gezielt für Agenten öffnet, dem liegt dieses Wissen nahe.

§ 25 TDDDG: Zugriff auf die Endeinrichtung

Vor jedem nicht erforderlichen Cookie und ähnlichen Tracking-Techniken steht die Einwilligung nach § 25 Abs. 1 TDDDG, dem Nachfolger des früheren § 25 TTDSG. Die Vorfrage lautet, ob überhaupt auf die Endeinrichtung des Nutzers zugegriffen wird. Greift der Agent über den realen Browser des Nutzers zu, verschmelzen Tracking-Daten mit dessen Profil. Arbeitet der Agent dagegen in der Cloud, läuft das Tracking zunächst ins Leere, weil der Shop weder IP-Adresse noch Geräte-Fingerprint des Nutzers sieht.

In dieser Konstellation wirkt der cloudbasierte Agent faktisch wie eine datenschutzfreundliche Technik: Er trennt den Nutzer vom Shop und erzwingt Datenminimierung, solange er keine personenbezogenen Daten übermittelt. Die Schutzbedürftigkeit lebt aber wieder auf, sobald der Agent für die Bestellung Stammdaten überträgt oder der Shop ihn erkennt und die Daten einem Profil zuordnen kann. Der praktisch sicherste Weg ist deshalb, bei erkannten Agentenzugriffen auf nicht erforderliches Tracking konsequent zu verzichten.

Vertragserfüllung als Rückfallebene? Die Grenzen der Wissenszurechnung

Trägt die Einwilligung nicht, rückt die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO in den Blick. Wie weit sie reicht, hängt davon ab, ob dem Nutzer das Wissen seines Agenten zugerechnet werden kann. Für die Einwilligung hilft das nicht weiter, denn man kann Wissen zurechnen, aber keinen Willen. Für den Vertragsinhalt ließe sich über § 166 BGB argumentieren, doch diese Norm setzt einen menschlichen Vertreter voraus. Ein Agent gibt keine Willenserklärungen ab, er führt technische Operationen aus.

Die Zurechnung automatisierter Erklärungen beruht klassisch auf der Annahme, das System verhalte sich deterministisch und vorhersehbar. Bei Agenten auf Basis großer Sprachmodelle trifft das nicht zu. Hinzu kommt das AGB-Recht: Nimmt kein Mensch die Bedingungen zur Kenntnis, fehlt es womöglich schon an der wirksamen Einbeziehung, und überraschende Klauseln werden ohnehin nicht Vertragsbestandteil. Shopbetreiber müssen daher einstweilen damit leben, dass eine bloße AGB-Akzeptanz durch den Agenten den Verarbeitungsspielraum unter lit. b nicht erweitert.

Informationspflichten bei Agentenzugriff

Unabhängig von der Rechtsgrundlage bleibt die Informationspflicht nach Art. 13 und 14 DSGVO bestehen. Sie verlangt die Bereitstellung der Informationen, nicht deren tatsächliche Kenntnisnahme. Wer Datenschutzhinweise auf der Website vorhält, erfüllt seine Pflicht also auch dann, wenn ein Agent sie übergeht. Anders liegt es, wenn der Verantwortliche eine eigene Schnittstelle für Agenten anbietet und über diese keine Hinweise liefert. Dann fehlt es an der Bereitstellung selbst, denn was leicht zugänglich im Sinne von Art. 12 Abs. 1 DSGVO ist, bemisst sich nach dem Zugangsweg, den der Verantwortliche eröffnet. Wer einen Kanal eigens für Agenten schafft, übernimmt Verantwortung für dessen Informationsarchitektur.

Kontrollverlust auf Seiten der Betroffenen

Auch die Perspektive der Nutzer verdient Beachtung. Sie geben Daten an den Agenten preis, ohne notwendigerweise zu wissen, welchen Shops dieser sie mitteilt, welche Tracking-Verfahren dort laufen und an welche Dritten die Daten fließen. Der Anbieter eines cloudbasierten Agenten ist dabei regelmäßig selbst Verantwortlicher. Die Informationsasymmetrie kann sich vertiefen, und das Auskunftsrecht nach Art. 15 DSGVO droht leerzulaufen, wenn Betroffene gar nicht wissen, bei wem sie es geltend machen sollen. Wer als Shopbetreiber Agenten zulässt, sollte diesen Kontrollverlust kennen, weil er die eigene Verantwortlichkeit mitprägt.

Was Shopbetreiber jetzt tun sollten

Der rechtssichere Weg führt über Kanalisierung und Professionalisierung des Zugangs. Wer seinen Shop für Agenten öffnen will, sollte das über eine dedizierte Schnittstelle tun, nicht durch stillschweigende Duldung über die Website. Konkret bewährt sich:

• Dedizierte API statt Duldung: Über einen kontrollierten Kanal lässt sich die Interaktion technisch eingrenzen, was die Vertragserfüllung als Rechtsgrundlage tragfähiger macht als beim unkontrollierten Website-Zugriff.
• Agentenerkennung aufbauen: Sie ist die Voraussetzung für alles Weitere. Über eine eigene API entfällt das Erkennungsproblem für diesen Weg, für den Website-Zugriff bleibt es bestehen.
• Tracking zurückfahren: Bei erkannten Agentenzugriffen auf nicht erforderliches Tracking verzichten, um nicht in den Anwendungsbereich von § 25 TDDDG zu geraten.
• Datenschutzhinweise maschinenlesbar bereitstellen: im API-Kanal in einem Format, das der Agent an den Nutzer weiterreichen kann.
• Überschüssige Daten verwerfen: Übermittelt der Agent mehr als nötig, sollten diese Daten nicht gespeichert werden.

Tragen weder Einwilligung noch Vertragserfüllung, kann das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO ein Anker sein. Seine natürliche Grenze findet dieser Ansatz allerdings bei besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO, also sobald ein Agent Gesundheitsdaten oder andere sensible Informationen übermittelt oder ableitet.

Langfristig könnte die Entwicklung in eine andere Richtung weisen. Der Digital Omnibus sieht mit einem vorgeschlagenen Art. 88b DSGVO maschinenlesbare Einwilligungs- und Widerspruchssignale vor. Agenten könnten eine ähnliche Funktion übernehmen und nur erforderliche Verarbeitungen zulassen. Ob maschinenlesbare Präferenzsignale und agentengestützte Datenminimierung zusammenfinden, ist offen, und der Digital Omnibus ist Stand Mitte 2026 ohnehin nur ein Vorschlag.

Fazit

Wer seinen Onlineshop für KI-Agenten öffnet, ändert das Backend, nicht die Spielregeln der Datenverarbeitung. Wenn kein Mensch den Bestellvorgang begleitet, versagen die gewohnten Mechanismen zur Einholung von Einwilligungen, und die zivilrechtliche Zurechnung bei deterministischen Systemen wird brüchig. Eine offene Frage ist zudem, ob Shopbetreiber und Agentenanbieter als gemeinsam Verantwortliche einzustufen sind. Die datenschutzrechtliche Durchdringung des agentengestützten Handels steht erst am Anfang. Wer den Zugang früh strukturiert, verschafft sich einen Vorsprung und reduziert Haftungsrisiken.

Sie möchten Ihren Onlineshop datenschutzkonform für KI-Agenten öffnen, von der Schnittstelle über die Einwilligungs- und Tracking-Konzeption bis zur Rollenklärung mit Agentenanbietern? Sprechen Sie mich an.