Der EU AI Act schafft erstmals ein einheitliches Regelwerk für KI in Europa. Für den Kundenservice bedeutet er vor allem: KI ist ausdrücklich erlaubt, aber ihr Einsatz wird nach Risikoklassen gesteuert und an klare Pflichten zu Transparenz und Governance geknüpft.
Viele Unternehmen im Kundenservice sind verunsichert: Droht ein Innovationsstopp, wenn der EU AI Act „scharf geschaltet“ ist? Die ausführliche Diskussion zwischen dem Deutschen Dialogmarketing Verband und Dr. Jens Eckhardt macht deutlich: Für klassische Customer-Service-Szenarien bringt der AI Act vor allem Klarheit, keine Verbotswelle. Verboten werden nur acht Praktiken, die im Kern schon vorher datenschutzrechtlich unzulässig waren, etwa bestimmte Formen manipulativer Beeinflussung oder Social Scoring.
Entscheidend ist das Verständnis der Risikoklassen. Hochrisiko-KI-Systeme nach Anhang III des AI Acts betreffen vor allem Kontexte wie Bonitätsbewertung, Zugang zu Bildung oder HR-Entscheidungen – in aller Regel nicht den operativen Kundenservice am Telefon oder im Chat. Hier bewegen sich die meisten Unternehmen in einem deutlich niedrigeren Risikobereich. Ein KI-gestützter Agent Assist, der Vorschläge macht, oder ein Chatbot, der Standardanfragen beantwortet, ist typischerweise kein Hochrisiko-System, solange er keine Entscheidungen mit gravierenden Auswirkungen auf Rechte von Personen trifft.
Gleichzeitig verändert KI den Charakter von Kundenservice nachhaltig. Agentische KI-Systeme, die Anfragen autonom bearbeiten, Daten aus Drittsystemen abrufen und aus Interaktionen dazulernen, erfüllen meist die gesetzliche Definition eines KI-Systems. Rein regelbasierte Software – auch mit Millionen If-Then-Regeln – gilt dagegen nicht als KI nach AI Act. Für Unternehmen bedeutet das: Die juristisch relevante Grenze verläuft nicht zwischen „smart“ und „unsmart“, sondern zwischen selbstlernenden KI-Systemen und strikt regelbasierter Automatisierung.
Ein Praxisbeispiel: Ein Versicherer setzt einen Chatbot ein, der Schadenmeldungen aufnimmt. Solange er nur strukturierte Fragen stellt und die Antworten nach festen Regeln in ein Backend übergibt, handelt es sich tendenziell um klassische Automatisierung. Nutzt das System jedoch Machine Learning, um aus historischen Fällen eigenständig neue Entscheidungspfade zu entwickeln, fällt es klar unter den AI Act – mit entsprechenden Pflichten, insbesondere zur Transparenz.
Für Customer-Service-Teams sind die Transparenzpflichten nach Artikel 50 AI Act der zentrale Hebel. Ab August 2026 müssen Kunden klar erkennen können, wenn sie mit einem KI-System sprechen oder KI-generierte Inhalte erhalten – besonders bei Chatbots, Voicebots und Emotionserkennung.
Artikel 50 verpflichtet Anbieter interaktiver KI-Systeme, sicherzustellen, dass Nutzer darüber informiert werden, dass sie mit einer Maschine interagieren. Diese Pflicht greift etwa bei Chatbots im Self-Service oder Voicebots in der Hotline. Die Vorgabe zielt weniger auf Technik als auf Menschenwürde: Es soll niemandem vorgespiegelt werden, er spreche mit einem Menschen, wenn tatsächlich ein KI-System antwortet. Ein einfacher, klarer Hinweis zu Beginn des Dialogs („Dies ist ein KI-gestützter Service“) erfüllt in vielen Fällen die Anforderung.
Besonders sensibel sind Voicebots. Technisch ist es heute kaum noch möglich, eine synthetische Stimme zuverlässig von einer menschlichen zu unterscheiden. Gleichzeitig werden KI-generierte Stimmen bereits für Betrugsversuche missbraucht – etwa Stimmfälschungen in Phishing-Szenarien. Diese strafrechtlich relevanten Fälle sind zwar kein Kernbereich des AI Acts, verdeutlichen aber, warum Transparenz in Sprachsystemen ein politisches Thema ist. Seriöse Anbieter lassen ihren Voicebot sich deshalb zu Beginn des Gesprächs klar als künstliche Stimme „vorstellen“.
Hinzu kommt Emotionserkennung. Setzt ein Contact Center KI ein, um Stimmung oder Stressniveau von Kund:innen automatisch zu erfassen und Serviceentscheidungen daran auszurichten, greifen die Transparenzpflichten des AI Acts besonders deutlich. Laut aktuellen Leitlinienentwürfen der EU-Kommission zu Artikel 50 müssen Betreiber in solchen Fällen sicherstellen, dass betroffene Personen wissen, dass ein System emotionale Merkmale analysiert. Im Umkehrschluss: Wer bewusst auf emotionserkennende Funktionen verzichtet[DJE1] , reduziert regulatorische Komplexität.
Ein weiterer Baustein ist generative KI im Kundenservice – etwa text- oder sprachbasierte Antworten, die von Modellen wie GPT erzeugt und automatisch versendet werden. Der AI Act verlangt zwar, dass Anbieter (mit anderen Worten: die Bereitsteller) synthetische Inhalte maschinenlesbar als KI-generiert gekennzeichnet sind (Artikel 50 Abs. 2 AI Act). Für Contact Center, die typischerweise Betreiber im Sinne des AI Act sind, müssen, Workflows nur dann so zu gestalten, dass etwa automatisch erzeugte E-Mails intern markiert und – wenn sie ohne menschliche Prüfung versendet werden – gegenüber Kund:innen klar als KI-Output erkennbar sind, wenn sie über Angelegenheiten von öffentlichem Interesse informieren (Artikel 50 Abs. 4 UAbs. 2 AI Act). Aber schon aus Gründen der eigenen Absicherung, sollte dies auch „unterhalb dieser Schwelle“ getan werden. [DJE2] In einem Compliance-Leitfaden für Voice AI wird zudem darauf hingewiesen, dass fehlende Kennzeichnung künftig ein Ausschlusskriterium in Ausschreibungen großer Unternehmen sein kann.
Praxisnah umgesetzt heißt das: Ein Telekommunikationsanbieter, der einen KI-Voicebot für Störungsmeldungen einführt, blendet in der IVR-Ansage einen Hinweis ein („Sie sprechen mit einem KI-gestützten Sprachassistenten“), dokumentiert die Funktionsweise in einem AI-Steckbrief und stellt sicher, dass alle generierten Gesprächszusammenfassungen im CRM als KI-generiert markiert sind. So werden Transparenz, Datenschutz und Nachvollziehbarkeit gleichzeitig adressiert.
Unternehmen stehen vor der Aufgabe, ihren Kundenservice in kurzer Zeit AI- und DSGVO-konform auszurichten. Entscheidend ist, nicht mit Technik, sondern mit Governance zu beginnen: Rollen, Verantwortlichkeiten und Spielregeln müssen klar sein, bevor weitere KI-Anwendungen skaliert werden.
Organisatorisch bleibt KI Chefsache. Die Unternehmensleitung ist verpflichtet, für rechtskonformen Einsatz neuer Technologien zu sorgen – ähnlich wie bei Datenschutz- oder Tax-Compliance. Dazu gehört eine klare Betreiberrolle: Wer im Unternehmen verantwortet den Einsatz eines bestimmten KI-Systems im Kundenservice? Diese Frage sollte sich in Gremienstrukturen (z. B. AI Steering Committee), Freigabeprozessen und im Risikomanagement widerspiegeln. Ein pragmatischer erster Schritt ist ein unternehmensweites KI-Register, in dem alle im Kundenservice genutzten KI-Tools erfasst werden.
Ein zweiter Pflichtbaustein ist die KI-Kompetenz der Mitarbeitenden. Der AI Act schreibt ausdrücklich vor, dass Unternehmen die sachangemessene Nutzungskompetenz sicherstellen müssen. In der Praxis bedeutet das mehr als eine einmalige Awareness-Session: Contact-Center-Agents brauchen konkrete Schulung dazu, welche Daten sie in KI-Systeme eingeben dürfen, wie sie KI-Vorschläge kritisch prüfen und wie sie Kund:innen transparent informieren. Unternehmen, die bereits DSGVO-Schulungen etabliert haben, können diese um ein KI-Modul ergänzen und so Synergien nutzen.
Parallel dazu empfiehlt sich eine verbindliche KI-Richtlinie für den Kundenservice. Sie definiert, welche KI-Anwendungen erlaubt, eingeschränkt oder verboten sind, wie mit personenbezogenen Daten umzugehen ist und wann zwingend menschliche Kontrolle („Human in the Loop“) erforderlich ist. Aus Sicht von Compliance-Expert:innen hat diese Richtlinie eine doppelte Schutzfunktion: Sie gibt Mitarbeitenden Orientierung und ermöglicht der Geschäftsleitung, im Haftungsfall nachzuweisen, dass sie angemessene organisatorische Maßnahmen ergriffen hat.
Konkrete Projektpraxis lässt sich in drei Phasen gliedern. In Phase 1 führen Unternehmen eine Bestandsaufnahme durch: Welche Chatbots, Voicebots, Analyse- und Agent-Assist-Systeme sind im Einsatz, sind es KI-Systeme im Sinne des AI Acts, und welche Daten verarbeiten sie? In Phase 2 erfolgt die regulatorische Bewertung entlang von AI-Act- und DSGVO-Kriterien. Systeme mit Emotionserkennung oder vollautonomer Bearbeitung erhalten dabei höhere Priorität. In Phase 3 werden Maßnahmen umgesetzt: Anpassung der Nutzerhinweise, technische Kennzeichnung von KI-Outputs, Aktualisierung der Datenschutzhinweise und Schulung der Teams.
Ein Beispiel aus der Praxis: Ein Energieversorger in der DACH-Region plant, bis Mitte 2026 einen KI-basierten Agent Assist für sein Servicecenter auszurollen. Im Rahmen der Vorbereitung erstellt er eine Risikoanalyse, passt das Datenschutzkonzept an, führt verpflichtende Schulungen zur KI-Kompetenz ein und verankert im Betriebsrat eine Vereinbarung zur Nutzung von Gesprächsanalyse-Tools. Ergebnis: Der Go-Live erfolgt nicht nur termingerecht, sondern auch mit hoher Akzeptanz bei Mitarbeitenden und Kund:innen – und mit einem klar dokumentierten Compliance-Nachweis für den Aufsichtsrat.