Tilman Herbrich und David Wagner
KI-Agenten im E-Commerce: Ein früher Blick auf datenschutzrechtliche Herausforderungen
Onlineshops könnten sich schon bald für KI-gestützte Agenten öffnen, die eigenständig Produkte suchen, Preise vergleichen und Bestellungen abschließen sollen. Nicht mehr der Mensch navigiert den Shop, sondern eine Softwareroutine in seinem Auftrag. Das Versprechen ist groß: Beide Seiten sollen profitieren. Käufern werden Bequemlichkeit und Preistransparenz versprochen, Anbieter von Shopsystemen testen bereits entsprechende Schnittstellen und Shopbetreiber erhoffen sich Reichweite, neue Kunden. Die datenschutzrechtlichen Folgen preist bislang keine Seite ein. Dieser Beitrag skizziert sie.
Der Agent als neuer Marktteilnehmer
KI-Agenten sind Systeme, die große Sprachmodelle integrieren, um Automatisierungsroutinen in nutzerfreundliche Ausgaben zu übersetzen, wobei durchaus der Eindruck entsteht, dass die entstehenden IT-Systeme eigenständig agieren, um definierte Ziele zu verfolgen. Der Nutzer erteilt dem Agenten einen Auftrag: „Kaufe das günstigste Olivenöl in Bio-Qualität.” Der Agent wählt die Shops entsprechend bekannten Präferenzen aus (probabilistisch), vergleicht Preise (deterministisch), legt das Produkt in den Warenkorb und schließt den Kauf automatisiert ab. Der Nutzer gibt das Ziel vor; den Weg bestimmt das agentische System. Dieses übermittelt Stammdaten wie Name, Anschrift, Zahlungsinformationen und E-Mail-Adresse des Nutzers. Der Agent bestätigt Einwilligungsabfragen, übergeht Datenschutzhinweise und schließt den Vorgang ab, ohne etwas im menschlichen Sinne wahrgenommen zu haben.
Shopbetreiber fördern diese Entwicklung aktiv. Sie veröffentlichen standardisierte Produktkataloge über offene Protokolle, optimieren ihre Seiten für automatisierten Zugriff und binden „agentische“ Plattformen etwa über API-Schnittstellen als Datenlieferanten für Vertriebskanäle ein. Diese bewusste Öffnung für KI-Agenten unterscheidet die Konstellation von der klassischen Bot-Abwehr. Zugleich greifen KI-Agenten auch ohne Einladung auf Shops zu. Viele der derzeit am Markt verfügbaren Agenten tarnen sich als menschliche Nutzer und sind für den Shopbetreiber nicht ohne Weiteres erkennbar.
Von herkömmlichen automatisierten Abrufen unterscheiden sich KI-Agenten in einem entscheidenden Punkt: Sie fragen nicht nur Informationen ab, sondern lösen Funktionen aus, die bislang auf menschliches Handeln zugeschnitten waren. Sie geben Erklärungen ab, die auf einen Vertragsschluss gerichtet sind, übermitteln personenbezogene Daten, stoßen Zahlungsvorgänge an. Ihr Output besteht in rechtserheblichen Handlungen. Damit ändert sich das Risikoprofil des Shopbetriebs.
Zugangseröffnung als pflichtenbegründender Akt
Wer seinen Shop bewusst für KI-Agenten öffnet, verändert sein Pflichtenprogramm qualitativ. Üblicherweise darf der Verantwortliche annehmen, dass ein Mensch seinen Shop besucht, die Cookie-Banner sieht und rechtswirksame Handlungen bewusst vornimmt. Diese Annahme bricht zusammen, sobald der Verantwortliche agentische Systeme gezielt einlädt, da der Zugang zu rechtlichen Pflichtinformationen auf diese Weise nicht mehr sichergestellt werden kann. Art. 25 Abs. 1 DSGVO verlangt, darauf mit geeigneten technischen und organisatorischen Maßnahmen zu reagieren. Was das für den pflichtenlastigen E-Commerce, aber auch datenschutzrechtliche Einwilligung, Informationspflichten und Datenverarbeitung bedeutet, zeigen die folgenden Abschnitte.
Einwilligung durch den Agenten
Die Einwilligung nach Art. 4 Nr. 11 DSGVO gerät unter Druck, wenn ein KI-Agent sie erteilt. Besonders betroffen ist das Merkmal der Informiertheit. Löst ein Agent eine Funktion aus, die einem Klick auf den Button „Ich stimme zu” gleichkommt, liegt darin nicht ohne Weiteres eine informierte Willensbekundung des Nutzers. Der Agent kann den Inhalt eines Cookie-Banners zwar technisch erfassen, aber nicht verstehen; er entscheidet auch nicht auf Grundlage eines Verständnisses von Verarbeitungszwecken, Empfängern und Rechtsfolgen. Folgt er etwa einer Vorgabe wie „Akzeptiere, was nötig ist, um den Kauf abzuschließen”, bleibt dem Nutzer verborgen, worin er einwilligt, insbesondere angesichts des probabilistischen, nicht vorhersehbaren und nicht reproduzierbaren Verhaltens agentischer Systeme. Der Verantwortliche, der sich auf diese Einwilligung stützt, kann nicht prüfen, wie der Nutzer seinen Agenten angewiesen hat. Art. 7 Abs. 1 DSGVO verlangt aber den Nachweis einer Einwilligung, die Art. 4 Nr. 11 DSGVO genügt.
Dagegen ließe sich einwenden, die Willensbekundung sei delegierbar: Wer seinen Agenten anweise, Cookies zu akzeptieren, bekunde dadurch seinen Willen, vermittelt durch Software. Der Einwand überzeugt nicht. Informiertheit bezieht sich auf den konkreten Verarbeitungsvorgang, nicht auf die abstrakte Bereitschaft, beliebige Verarbeitungen hinzunehmen. Der Nutzer, der seinen Agenten losschickt, kennt nicht notwendigerweise die Shops, die der Agent ansteuert, und die Zwecke, zu denen die Shops und Dritte seine Daten verarbeiten. Eine Blanko-Anweisung ersetzt die informierte Willensbekundung nicht.
Auch eine Vorab-Einwilligung löst das Problem nur scheinbar. Selbst wenn der Nutzer seinen Agenten auf bestimmte Shops beschränkt, müsste er deren aktuelle Verarbeitungszwecke und Tracking-Technologien kennen. Wählt der Agent die Shops eigenständig aus, fehlt jeder Bezugspunkt. Eine Einwilligung, die künftige Verarbeitungen pauschal vorwegnimmt, genügt dem Bestimmtheitserfordernis nicht (ErwGr. 32 der DSGVO). Die Lage erinnert an den Broad Consent nach ErwGr. 33 der DSGVO, der aber auf wissenschaftliche Forschung zugeschnitten ist und sich nicht auf kommerzielle Datenverarbeitung übertragen lässt. Shopbetreiber, die zur Risikomitigation Nutzungsbedingungen vorgeben, die den Agenteneinsatz an Vorgaben knüpfen, helfen nur bedingt. Denkbar ist etwa, den Nutzer zu verpflichten, Einwilligungen nur nach Kenntnisnahme der Verarbeitungszwecke zu erteilen. Der Verantwortliche kann dem Nutzer aufgeben, Einwilligungsdialoge an sich weiterleiten zu lassen. Vertragsrechtlich würde der Verantwortliche damit das Risiko einseitig verlagern, sofern der Nutzer die Nutzungsbedingungen selbst zur Kenntnis nimmt. Akzeptiert der Agent sie ohne Weitergabe an den Nutzer, läuft auch die vertragliche Risikoverlagerung zulasten des Nutzers leer. Datenschutzrechtlich ändert sich ohnehin nichts: Die Anforderungen der Art. 4 Nr. 11 und Art. 7 DSGVO sind zwingend und stehen nicht zur Disposition der Parteien. Eine Zusicherungsklausel macht die Einwilligung nicht wirksamer, zumal nach ErwGr. 42 der DSGVO auch die Vorgaben der Klauselrichtlinie 93/13/EWG zu beachten sind. Ob der Nutzer die Vorgabe einhält, kann der Verantwortliche nicht kontrollieren und deshalb im Ernstfall nicht nachweisen.
Für den Verantwortlichen bedeutet das: Er kann sich nicht auf eine vom Agenten übermittelte „Einwilligung” berufen, wenn er weiß oder wissen muss, dass kein Mensch sie informiert abgegeben hat. Öffnet er seinen Shop gezielt für Agenten, liegt dieses Wissen nahe. Eine automatisiert erteilte Einwilligung widerspricht dem Konzept der höchstpersönlichen Willensbekundung. Wie leistungsfähig der Agent ist, spielt keine Rolle: Auch ein Agent, der den Inhalt eines Cookie-Banners technisch verarbeiten kann, ersetzt nicht die Entscheidung des Betroffenen.
§ 25 TDDDG und der Zugang zu Endeinrichtungen
§ 25 Abs. 1 TDDDG verlangt grundsätzlich eine Einwilligung, bevor Informationen in der Endeinrichtung des Endnutzers gespeichert oder dort gespeicherte Informationen abgerufen werden. Die vorgelagerte Frage lautet: Liegt überhaupt ein Zugriff auf die Endeinrichtung des Nutzers vor?
Ruft ein agentisches System eines Nutzers einen Onlineshop auf, speichert der Shop Informationen auf dem Gerät des Nutzers beziehungsweise greift auf dort gespeicherte Informationen zu, etwa über Cookies und ähnliche Tracking-Technologien wie Fingerprinting-Verfahren. Nutzt der Agent Informationen aus dem realen Browser des Nutzers mitsamt bestehender Anmeldedaten, verschmelzen die Tracking-Daten mit dem persönlichen Profil des Nutzers bei Informationszugriffen des Shopbetreibers.
Arbeitet der Agent in der Cloud, werden die Informationen auf dem Server des Agenten-Anbieters gespeichert beziehungsweise ausgelesen. Mit Blick auf den grundsätzlich bestehenden Einwilligungsvorbehalt nach § 25 Abs. 1 TDDDG kann dies keinen Unterschied machen. Eigentum am Endgerät ist nicht erforderlich; es genügt, dass der Nutzer das Gerät mietet oder „auf andere Weise damit ausgestattet” ist (EDSA, Leitlinien, 2/2023, V.2.0, Rn. 19).
Der Shopbetreiber kann nicht erkennen, welche Architektur der Agent nutzt. Speichert oder liest er bei einem Agentenzugriff nicht-erforderliche Informationen, riskiert er, in den Anwendungsbereich von § 25 Abs. 1 TDDDG hineinzulaufen. Der rechtssichere Weg besteht darin, bei erkannten Agentenzugriffen auf nicht-erforderliches Tracking zu verzichten.
Das Erkennbarkeitsproblem hat allerdings eine Kehrseite. Cloud-basierte Agenten nutzen eine eigene Browser-Instanz auf einem Server des Anbieters. Der Shop sieht weder die IP-Adresse noch den Fingerprint des Nutzergeräts. Tracking-Verfahren laufen ins Leere, weil sie keinem Nutzer zugeordnet werden können. Solange der Agent keine personenbezogene Daten für eine Bestellung übermittelt, bleibt der Nutzer für den Shop anonym. In dieser Konstellation wirkt der Agent faktisch als Privacy Enhancing Technology: Er trennt den Nutzer vom Shop und erzwingt Datenminimierung. Die Schutzbedürftigkeit nach § 25 TDDDG entfällt damit faktisch. Sie lebt jedoch wieder auf, sobald der Agent personenbezogene Daten übermittelt, etwa um einen Kauf abzuschließen, oder wenn der Shopbetreiber den Agenten erkennt und die übermittelten Daten einem Nutzerprofil zuordnen und aus E-Mail-Adressen, Postanschriften oder Telefonnummern abgeleitete Informationen z.B. als gehashte Werte für Retargeting nutzen kann (vgl. EDSA, Leitlinien 2/2023 zum technischen Anwendungsbereich von Art. 5 Abs. 3 ePrivacy-RL, Version 2.0, Rn. 61 ff.).
Exkurs zur Wissenszurechnung nach § 166 BGB
Lässt sich die Einwilligung nicht wirksam über den Agenten einholen, rückt Art. 6 Abs. 1 lit. b DSGVO als alternative Rechtsgrundlage in den Blick. Das gilt jedenfalls aus der Warte der DSGVO; das Einwilligungserfordernis nach § 25 Abs. 1 TDDDG lässt sich über Art. 6 Abs. 1 lit. b DSGVO nicht umgehen. Wie weit die Vertragserfüllung als Rechtsgrundlage trägt, hängt davon ab, ob dem Nutzer das „Wissen“ seines Agenten zugerechnet werden kann. Maßgeblich ist insoweit § 166 BGB.
Für die Einwilligung hilft Wissenszurechnung nicht. Einwilligung ist eine höchstpersönliche Willensbekundung; man kann Wissen zurechnen, aber keinen Willen. Die DSGVO verlangt eine informierte Entscheidung des Betroffenen, keine fingierte. § 166 BGB ändert daran nichts: Er betrifft die Zurechnung von Wissen, nicht die Zurechnung von Willen.
Für den Vertragsinhalt kann die Sache anders liegen. Wissenszurechnung folgt einem Risikoprinzip: Wer Hilfspersonen einsetzt, muss sich deren Wissen zurechnen lassen. Definieren die AGB des Shops bestimmte Verarbeitungen als Teil der Vertragserfüllung und akzeptiert der Agent diese AGB, ließe sich argumentieren: Der Nutzer muss sich das Wissen seines Agenten über den Vertragsinhalt zurechnen lassen, weil er das Risiko der Kenntnisnahme auf den Agenten verlagert hat. Der Verarbeitungsspielraum unter Art. 6 Abs. 1 lit. b DSGVO reichte dann so weit wie die AGB.
Dieser Gedanke stößt allerdings an Grenzen. § 166 BGB setzt einen menschlichen Vertreter voraus. Ein KI-Agent gibt weder Willenserklärungen ab noch kann er sie entgegennehmen; er führt technische Operationen aus. Die Zurechnung automatisierter Erklärungen an den dahinterstehenden Menschen beruht auf der Annahme, das System verhalte sich deterministisch und vorhersehbar. Bei Agenten, die auf großen Sprachmodellen aufbauen, trifft diese Annahme nicht zu. Ihr Verhalten ist kontextabhängig und ex ante nicht vollständig prognostizierbar. Die Zurechnung eines „Wissens“ des Agenten an den Nutzer wäre eine Fiktion: die Fiktion der Beherrschbarkeit des Agentenverhaltens, verbunden mit der Fiktion einer Kenntnisnahme, die nie stattgefunden hat. Zudem begrenzt das AGB-Recht den Spielraum auf mehreren Stufen: Nimmt kein Mensch die AGB zur Kenntnis, fehlt es möglicherweise bereits an der Einbeziehung nach § 305 Abs. 2 BGB. Ebenso werden überraschende Klauseln nach § 305c Abs. 1 BGB nicht Vertragsbestandteil.
Einstweilen müssen Shopbetreiber mit dem Risiko leben, dass eine AGB-Akzeptanz durch den Agenten den Verarbeitungsspielraum unter Art. 6 Abs. 1 lit. b DSGVO nicht erweitert.
Informationspflichten bei Agentenzugriff
Unabhängig von der Rechtsgrundlage bleibt der Verantwortliche zur Information verpflichtet. Art. 13 und Art. 14 DSGVO verlangen die Bereitstellung von Informationen über die Datenverarbeitung. Die Normen verlangen nicht, dass der Betroffene die Informationen tatsächlich zur Kenntnis nimmt. Wer Datenschutzhinweise auf seiner Website vorhält, erfüllt diese Pflicht unabhängig davon, ob der Betroffene sie liest. Greift ein Agent über die Website auf den Shop zu, stehen die Hinweise bereit. Ob der Agent sie an den Nutzer weiterleitet, hängt von seiner Konfiguration ab. Ist er auf den Kaufabschluss ausgerichtet, wird er Datenschutzhinweise typischerweise übergehen. Der Verantwortliche kann das nicht kontrollieren, muss es aber auch nicht: Bereitstellung genügt.
Anders liegt es, wenn der Verantwortliche eine eigene Schnittstelle für Agenten anbietet. Fehlen über diese API Datenschutzhinweise, fehlt es an der Bereitstellung selbst. Art. 12 Abs. 1 Satz 1 DSGVO verlangt, Informationen in leicht zugänglicher Form zu übermitteln. Was „leicht zugänglich“ heißt, bemisst sich nach dem Zugangsweg, den der Verantwortliche eröffnet. Wer einen Kanal eigens für Agenten schafft und darüber keine Informationen liefert, kann sich nicht darauf berufen, die Hinweise stünden anderswo bereit.
Der Verweis auf die Eigenverantwortung des Betroffenen überzeugt dann nicht mehr. Greift der Agent über die Website zu, fällt es in den Risikobereich des Betroffenen, wenn sein Agent die bereitgestellten Hinweise nicht weiterleitet. Wer aber eine API eigens für Agenten bereitstellt, übernimmt Verantwortung für die Informationsarchitektur dieses Zugangswegs.
Kontrollverlust auf zwei Ebenen
Neben den Pflichten des Verantwortlichen verdient die Perspektive Betroffener Aufmerksamkeit. Betroffenen droht ein Kontrollverlust auf zwei Ebenen. Gegenüber dem Agenten geben sie personenbezogene Daten preis, ohne notwendigerweise zu bestimmen, wem der Agent sie mitteilt. Der Anbieter eines Cloud-basierten Agenten dürfte regelmäßig Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO sein. Anders kann es bei rein lokal ausgeführten Agenten liegen: Dort hat der Anbieter möglicherweise keinen Zugriff auf die verarbeiteten Daten. Dass durchschnittliche Betroffene ihren Agenten so konfigurieren, dass er personenbezogene Daten nur gezielt und sparsam weitergibt, dürfte indes die Ausnahme bleiben. Die technischen Einstellungsmöglichkeiten sind komplex und setzen Kenntnisse voraus, über die die meisten Nutzer nicht verfügen.
Gegenüber den Shops, die der Agent ansteuert, erfahren Betroffene unter Umständen nicht, welche Shops ihre Daten erhalten, welche Tracking-Verfahren eingesetzt werden, an welche Drittanbieter ihre Daten fließen. Die Informationsasymmetrie kann sich vertiefen. Das Auskunftsrecht nach Art. 15 DSGVO droht leerzulaufen, wenn Betroffene nicht einmal wissen, bei welchen Verantwortlichen sie Auskunft verlangen sollen.
Lösungsansätze für die Praxis
Wer Zugriffe und Zugänge agentischer Systeme datenschutzkonform gestalten will, muss den Zugang kanalisieren und professionalisieren. Wer seinen Shop für Agenten öffnen will, sollte dies über eine dedizierte und intelligente Schnittstelle tun, nicht durch stillschweigende Duldung über die Website. Im API-Kanal lassen sich die Probleme adressieren: Soweit die Verarbeitung der Vertragserfüllung dient, kommt Art. 6 Abs. 1 lit. b DSGVO eher in Betracht als beim unkontrollierten Agentenzugriff, weil die API die Interaktion technisch eingrenzt und die Risiken probabilistischer Inferenzen reduziert, die lit. b über den Website-Kanal in Frage stellen. Nicht-erforderliches Tracking entfällt. Datenschutzhinweise lassen sich in maschinenlesbaren Formaten bereitstellen. Überschüssige Daten, die der Agent übermittelt, müssen verworfen werden. Für den Shopbetreiber hat die API einen weiteren Vorteil: Er kann sich darauf berufen, sein Möglichstes getan zu haben. Die Rechtsprechung bestätigt diese Wertung aus zwei Richtungen: Wer technische Infrastruktur bereitstellt, die eine datenschutzwidrige Verarbeitung ermöglicht, haftet für die daraus folgenden Verstöße, auch wenn der Nutzer die Infrastruktur freiwillig in Anspruch genommen hat (vgl. EuG, Urt. v. 8.1.2025 – T-354/22, Rn. 188 ff., nicht rechtskräftig). Umgekehrt entfällt jedenfalls auf Ebene der Haftung der Kausalzusammenhang, wenn der Nutzer selbst die technischen Bedingungen für den Verstoß schafft, die der Verantwortliche weder veranlasst noch kontrollieren konnte (EuG, Urt. v. 8.1.2025 – T-354/22, Rn. 157 ff., nicht rechtskräftig; EuGH, Urt. v. 19.3.2026 – C-526/24, Rn. 65 f.). Voraussetzung ist die Agentenerkennung. Viele der derzeit verfügbaren KI-Agenten geben sich gegenüber Websites nicht als solche zu erkennen. Einige imitieren menschlichen Datenverkehr. Stabile Kennungen veröffentlichen nur wenige, Standardisierung Fehlanzeige. Bietet der Shopbetreiber eine eigene API an, entfällt das Erkennungsproblem für diesen Zugangsweg. Für den Website-Zugriff bleibt es bestehen.
Langfristig könnte die Entwicklung in eine andere Richtung weisen. Der Digital Omnibus sieht in Art. 88b DSGVO-E maschinenlesbare Präferenzsignale vor, mit denen Nutzer Einwilligungen erteilen oder ablehnen können. KI-Agenten könnten eine ähnliche Funktion übernehmen: nur erforderliche Verarbeitungen zulassen, nicht-erforderliches Tracking ablehnen, Daten sparsam übermitteln. Ob Präferenzsignale und agentengestützte Datenminimierung zusammenfinden, bleibt abzuwarten.
Fazit und Ausblick
Wer seinen Onlineshop für KI-Agenten öffnet, ändert das Backend, aber nicht die Spielregeln der Datenverarbeitung. Wenn mangels menschlicher Wahrnehmung die bisherigen Mechanismen zur Einholung von Einwilligungen und zur Erfüllung von Informationspflichten versagen, weil kein Mensch den Bestellvorgang begleitet, wirkt das Recht überfordert. Die zivilrechtliche Zurechnung bei deterministischen Systemen wird brüchig, sofern probabilistische Agenten zum Einsatz kommen. Art. 6 Abs. 1 lit. b DSGVO ist damit auch keine zuverlässige Rückfallebene, für § 25 Abs. 2 Nr. 2 TDDDG ohnehin nur begrenzt hilfreich.
Damit ist aber nur ein Bruchteil der neuen Herausforderungen beleuchtet, die mit der Verbreitung von KI-Agenten auf den E-Commerce zurollen. Die noch junge Russmedia-Entscheidung (Urt. v. 2.12.2026 – C-493/26) des EuGH wirft die Frage auf, ob Shopbetreiber und Agentenanbieter gemeinsam Verantwortliche und damit gemeinsam Haftende sein können. Art. 6 Abs. 1 lit. f DSGVO könnte sich als Rettungsanker erweisen, wenn weder Einwilligung noch Vertragserfüllung tragen. Seine natürliche Grenze findet dieser Ansatz bei Daten nach Art. 9 DSGVO, sobald Agenten Gesundheitsdaten oder andere Informationen übermitteln oder inferieren, die sensiblen Charakter aufweisen. Die datenschutzrechtliche Durchdringung des Agenten-E-Commerce steht, ähnlich wie die Verbreitung der Agenten selbst, am Anfang.
| Autoren: | Tilman Herbrich (CIPP/E) ist Teil der Schriftleitung sowie Rechtsanwalt und Partner bei Spirit Legal am Standort Leipzig. |  |
| David Wagner ist Rechtsanwalt bei Spirit Legal Rechtsanwaltsgesellschaft mbH am Standort Frankfurt a. M. |  |