OLG Hamm: Unternehmen haften für Chatbot-Halluzinationen – was KMU jetzt wissen müssen

Wer einen Chatbot auf seiner Website einsetzt, kann sich nicht damit herausreden, dass „die KI halt halluziniert hat". Das Oberlandesgericht Hamm hat in einem viel beachteten Urteil klargestellt: Falsche Werbeaussagen eines Chatbots sind dem Unternehmen zuzurechnen, das ihn einsetzt – und können als unlauterer Wettbewerb teuer werden. Anbieter von Schönheitsbehandlungen hatten sich darauf verlassen, dass ihr KI-System Patientenanfragen korrekt beantwortet. Tat es aber nicht. Stattdessen erfand der Bot Qualifikationen, die das Behandlungsteam gar nicht besaß, und versprach Behandlungserfolge, die ärztlich nicht haltbar waren.

Das Urteil ist mehr als eine Randnotiz aus dem Medizinrecht. Es markiert einen Wendepunkt in der juristischen Bewertung generativer KI im Mittelstand. Denn was für die Hamburger Schönheitsklinik gilt, gilt grundsätzlich auch für die Steuerkanzlei in Münster, die einen ChatGPT-basierten FAQ-Bot betreibt, für den Handwerksbetrieb mit automatisierter Terminvereinbarung und für die Anwaltskanzlei, die Mandantenanfragen über einen KI-Assistenten vorqualifiziert. Wer Sprachmodelle im Kundenkontakt nutzt, trägt das volle Risiko ihrer Aussagen – und sollte spätestens jetzt prüfen, ob seine Implementierung diesem Risiko gewachsen ist.

In diesem Artikel ordnen wir das Urteil rechtlich ein, erklären, warum Halluzinationen technisch unvermeidbar sind, und zeigen konkrete Maßnahmen, mit denen Sie als KMU-Entscheider Ihr Haftungsrisiko minimieren, ohne auf die Effizienzvorteile von KI verzichten zu müssen.

Was genau hat das OLG Hamm entschieden?#

Im konkreten Fall klagte ein Wettbewerber gegen den Betreiber einer Praxis für ästhetische Medizin. Der Chatbot auf der Website hatte gegenüber Interessenten unzutreffende Angaben zu Qualifikationen, Methoden und Heilungsversprechen gemacht. Das Gericht stellte fest, dass diese Aussagen als geschäftliche Handlung im Sinne des Gesetzes gegen den unlauteren Wettbewerb (UWG) zu werten sind – und zwar unabhängig davon, ob ein Mensch oder eine Maschine sie verfasst hat.

Der entscheidende juristische Hebel: Wer einen Chatbot in seinen geschäftlichen Verkehr einbindet, bedient sich seiner als Werkzeug. Genauso wie ein Unternehmen für Fehler eines Erfüllungsgehilfen einsteht, haftet es für Fehler seines KI-Systems. Eine Exkulpation mit dem Argument „das hat die KI gemacht, nicht wir" hat das Gericht ausdrücklich nicht zugelassen. Damit reiht sich Hamm in eine Linie ein, die internationale Gerichte bereits beschritten haben – etwa der kanadische Fall Moffatt gegen Air Canada, in dem die Fluggesellschaft an einem Rabatt festgehalten wurde, den ihr Chatbot fälschlich versprochen hatte.

Welche Anspruchsgrundlagen sind betroffen?#

Das Urteil stützt sich primär auf das UWG, insbesondere auf die Vorschriften zu irreführender geschäftlicher Handlung (§ 5 UWG) und zu unzulässiger Werbung im Heilmittelbereich. Doch die Logik überträgt sich auf zahlreiche andere Rechtsgebiete:

• Vertragsrecht: Zusagen eines Chatbots können vertragsbegründend wirken (§§ 145 ff. BGB). Wenn der Bot einen Preis nennt oder einen Termin verspricht, kann der Kunde sich darauf berufen.
• Produkthaftung und Schadensersatz: Bei vermögensschädigenden Falschauskünften drohen Ansprüche aus § 280 BGB oder § 823 BGB.
• Berufsrecht: Für Ärzte, Anwälte, Steuerberater und Architekten gelten zusätzliche Werberestriktionen, deren Verletzung berufsrechtliche Konsequenzen hat.
• DSGVO: Wenn ein Chatbot personenbezogene Daten verarbeitet und dabei fehlerhafte Auskünfte gibt, kann das Betroffenenrechte aus Art. 5 (Richtigkeit) und Art. 22 (automatisierte Entscheidung) verletzen.

Die Botschaft ist eindeutig: Ein Chatbot ist kein rechtsfreier Raum. Er ist eine Verlängerung des Unternehmens nach außen.

Warum Halluzinationen ein systemisches Problem sind#

Um die Tragweite des Urteils zu verstehen, muss man wissen, was technisch hinter einem modernen Chatbot steckt. Große Sprachmodelle wie GPT-4, Claude oder Gemini sind statistische Wahrscheinlichkeitsmaschinen. Sie sagen das nächste Wort auf Basis von Mustern voraus, die sie aus Trainingsdaten gelernt haben. Sie „wissen" nichts im menschlichen Sinne und haben kein Konzept von Wahrheit. Wenn sie keine passende Information haben, erfinden sie eine, die statistisch plausibel klingt. Dieses Phänomen nennt man Halluzination.

Halluzinationen lassen sich reduzieren, aber nach aktuellem Stand der Technik nicht vollständig ausschließen. Selbst die teuersten Modelle produzieren in bestimmten Konstellationen erfundene Fakten – mit ruhiger, professioneller Stimme und ohne jeden Hinweis, dass es sich um Mutmaßung handelt. Das macht sie für den Kundenkontakt so gefährlich: Anders als ein unsicherer Mitarbeiter, der zögert oder rückfragt, klingt eine halluzinierende KI maximal überzeugend.

Drei typische Halluzinations-Muster im KMU-Einsatz#

1. Erfundene Qualifikationen und Zertifizierungen: Der Bot fügt Aussagen über Auszeichnungen, Mitgliedschaften oder Spezialisierungen hinzu, die auf der Website nicht stehen – weil sie in seinen Trainingsdaten bei ähnlichen Anbietern vorkamen.
2. Falsche Preisangaben und Vertragsbedingungen: Auf Druckfragen wie „Was kostet das ungefähr?" generiert das Modell Zahlen, die in vergangenen Konversationen plausibel waren – aber für dieses Unternehmen nicht stimmen.
3. Übertriebene Heils- oder Leistungsversprechen: Besonders im Gesundheits-, Finanz- und Rechtsberatungssektor produziert KI gerne werbliche Aussagen, die berufsrechtlich nicht zulässig sind.

Gerade der dritte Punkt war der Stein des Anstoßes in Hamm. Ein Schönheitsbehandlungs-Bot, der dauerhafte Ergebnisse oder garantierte Effekte verspricht, verstößt nicht nur gegen das Heilmittelwerbegesetz – er erzeugt unmittelbare Wettbewerbsvorteile gegenüber regelkonform werbenden Konkurrenten. Genau diese Wettbewerbsverzerrung ist es, die das UWG sanktioniert.

Was bedeutet das für Ihre Branche konkret?#

Die Reichweite des Urteils wird sichtbar, wenn man es auf typische KMU-Branchen herunterbricht. In jeder dieser Branchen wird KI derzeit ausgerollt – mit unterschiedlichem Risikoprofil.

Arztpraxen und Gesundheitsdienstleister#

Für Ärzte ist das Risiko am höchsten. Neben UWG und Heilmittelwerbegesetz gilt die Berufsordnung der Landesärztekammern. Ein Chatbot, der Diagnosen andeutet, Behandlungen empfiehlt oder Erfolgsquoten nennt, kann gleich mehrere Regelwerke verletzen. Hinzu kommt: Wenn der Bot Symptome erfasst, verarbeitet er Gesundheitsdaten nach Art. 9 DSGVO – die strengste Schutzkategorie überhaupt. Halluzinationen können hier nicht nur teuer, sondern auch patientengefährdend werden.

Anwaltskanzleien#

Die BRAO und das anwaltliche Werberecht (§ 43b BRAO) verbieten reklamehafte oder reißerische Werbung. Ein Chatbot, der Mandanten Erfolgsquoten verspricht oder mit Spezialisierungen wirbt, die der Anwalt nicht offiziell führen darf („Fachanwalt für…"), riskiert Rügen der Rechtsanwaltskammer. Noch heikler: Wenn der Bot Rechtsauskünfte gibt, die sich später als falsch herausstellen, kann der Mandant Schadensersatz geltend machen.

Steuerberatungen#

Steuerberater unterliegen der BOStB. Halluzinierte Aussagen zu Steuerersparnissen, Fristen oder Gestaltungsmöglichkeiten können Mandanten zu falschen Dispositionen verleiten. Ein Beispiel: Eine Steuerkanzlei in Köln nutzte einen FAQ-Chatbot, der auf die Frage nach der Investitionsabzugsbetrags-Höchstgrenze eine veraltete Zahl ausgab. Ein Mandant plante seine Anschaffung danach – und stand am Jahresende mit einer Nachzahlung da. Solche Konstellationen sind nicht hypothetisch, sondern dokumentierte Realität.

Handwerksbetriebe#

Weniger berufsrechtlich, aber vertragsrechtlich riskant. Wenn der Chatbot „in zwei Wochen verfügbar" oder „ab 1.200 Euro netto" sagt, sind das potenziell verbindliche Zusagen. Bei Reklamationen muss der Betrieb belegen, dass die Aussage nicht so gemeint war – ein schwieriges Unterfangen, wenn der Chatverlauf das Gegenteil zeigt.

Agenturen und Beratungsunternehmen#

Werbliche Übertreibungen („Wir steigern Ihren Umsatz um 300 Prozent") sind das klassische UWG-Risiko. Hier reicht ein übermotivierter Chatbot, um Abmahnungen einzusammeln.

Der AI Act verschärft die Lage ab 2026#

Parallel zum nationalen Wettbewerbsrecht entfaltet die europäische KI-Verordnung (AI Act) sukzessive ihre Wirkung. Seit August 2024 in Kraft, gelten die Pflichten in Stufen bis 2027. Für Chatbots besonders relevant: Die Transparenzpflicht aus Art. 50 AI Act. Nutzer müssen klar erkennen können, dass sie mit einer KI sprechen, nicht mit einem Menschen. Wer das verschleiert, riskiert Bußgelder von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes.

Hinzu kommt: Wenn der Chatbot in regulierten Bereichen (etwa Bonitätsprüfung, Personalentscheidungen, kritische Infrastruktur) eingesetzt wird, gilt er als Hochrisiko-KI. Dann werden Risikomanagementsystem, technische Dokumentation, Daten-Governance und menschliche Aufsicht verpflichtend. Für viele KMU ist die Versuchung groß, einfach ein OpenAI- oder Google-Modell per API anzubinden – ohne sich der entstehenden Pflichten bewusst zu sein. Das Hamm-Urteil und der AI Act zusammen machen klar: Diese Sorglosigkeit wird zunehmend teuer.

Sieben konkrete Maßnahmen zur Haftungsreduktion#

Die gute Nachricht: Niemand muss auf KI im Kundenkontakt verzichten. Aber die Implementierung entscheidet über das Risiko. Hier eine Checkliste, mit der Sie Ihren Chatbot rechtlich robuster aufstellen:

1. Begrenzen Sie den Wissenshorizont (Retrieval-Augmented Generation, RAG). Statt das Sprachmodell frei antworten zu lassen, geben Sie ihm eine kuratierte Wissensbasis: Ihre Website-Texte, FAQ, Preislisten, Leistungsverzeichnis. Der Bot darf nur aus diesen Quellen antworten und muss auf Nicht-Wissen verweisen, wenn die Information fehlt. Das eliminiert die häufigste Halluzinations-Quelle.

2. Implementieren Sie strikte System-Prompts. Klare Anweisungen wie „Du darfst keine Preise nennen, die nicht in der Preisliste stehen", „Du darfst keine medizinischen Diagnosen oder Heilversprechen geben", „Bei Unklarheit verweise auf einen menschlichen Mitarbeiter" reduzieren das Risiko erheblich – wenn auch nicht auf null.

3. Definieren Sie Eskalationspfade. Ab einer bestimmten Komplexität (rechtliche Fragen, medizinische Symptome, individuelle Angebote) muss der Bot an einen Menschen übergeben. Diese Schwelle sollten Sie konservativ setzen.

4. Loggen Sie alles und prüfen Sie regelmäßig. Speichern Sie sämtliche Konversationen (DSGVO-konform, mit Einwilligung und Löschfristen) und werten Sie monatlich Stichproben aus. So erkennen Sie systematische Fehler, bevor sie zu Abmahnungen werden.

5. Machen Sie die KI-Eigenschaft transparent. Schon zu Gesprächsbeginn muss der Nutzer erfahren: „Sie chatten mit einem KI-Assistenten." Das erfüllt nicht nur Art. 50 AI Act, sondern entkräftet auch das Argument, der Kunde habe sich auf menschliche Autorität verlassen.

6. Begrenzen Sie verbindliche Aussagen. Der Bot sollte keine Festpreise zusagen, keine Termine endverbindlich vereinbaren, keine Vertragsbedingungen aushandeln. Vorqualifizierung und Information ja – Vertragsschluss nein. Wenn doch, dann nur mit menschlicher Bestätigungsschleife.

7. Regeln Sie die Auftragsverarbeitung sauber. Wenn Sie Modelle von OpenAI, Google oder anderen US-Anbietern nutzen, prüfen Sie den Datentransfer in Drittländer. Server in der EU und ein belastbarer Auftragsverarbeitungsvertrag (AVV) sind Pflicht, nicht Kür.

Beispiel-Szenario: Eine Anwaltskanzlei zieht die Reißleine#

Eine mittelgroße Wirtschaftskanzlei in Düsseldorf hatte Anfang 2024 einen Chatbot eingeführt, der Erstanfragen qualifizieren sollte. Das System basierte auf einem GPT-4-Modell ohne weitere Restriktionen. Innerhalb von drei Monaten häuften sich problematische Vorfälle: Der Bot bezeichnete zwei Associates als „Fachanwälte für IT-Recht", obwohl diese den Titel formal nie geführt hatten. Er gab Streitwert-Schätzungen ab, die später nicht haltbar waren. Und er versprach Erstgespräche „kostenfrei innerhalb von 24 Stunden", was die Kanzlei in der Realität nicht leisten konnte.

Nach einer ersten Beschwerde der Rechtsanwaltskammer baute die Kanzlei das System um. Das frei antwortende GPT-Modell wurde durch eine RAG-Architektur ersetzt, die ausschließlich auf einem gepflegten Datenbestand der Kanzlei arbeitet. Der System-Prompt verbietet ausdrücklich Werbeaussagen, Streitwert-Schätzungen und verbindliche Terminzusagen. Bei jeder Anfrage zu einem konkreten Rechtsproblem antwortet der Bot mit einer Standardformulierung und leitet an einen Sekretariatsmitarbeiter weiter. Die Konversationsdaten werden auf deutschen Servern verarbeitet, nach 30 Tagen automatisch gelöscht und nicht zum Training verwendet.

Das Ergebnis: Die Bearbeitungszeit von Erstanfragen sank trotz strikterer Regeln um 40 Prozent, weil der Bot weiterhin Routinefragen (Anfahrt, Öffnungszeiten, Dokumentencheckliste) abdeckt und nur die wirklich beratungsbedürftigen Fälle an Menschen weitergibt. Beschwerden gab es seither nicht mehr.

Wie OPTIMAZED diese Risiken adressiert#

Genau für diese Konstellationen haben wir unsere KI-Lösungen für KMU konzipiert. Der OPTIMAZED KI-Rezeptionist arbeitet ausschließlich auf einer von Ihnen kuratierten Wissensbasis, mit klaren Eskalationsregeln und vollständigem Konversations-Logging. Die Verarbeitung erfolgt auf Servern in Europa, Kundendaten werden nicht zum Modelltraining verwendet, und alle Vorgaben aus DSGVO und AI Act sind in die Architektur eingebaut. So profitieren Sie von KI-Automatisierung, ohne sich die in Hamm verhandelten Risiken ins Haus zu holen.

Versicherungsfragen: Ist der Chatbot mitversichert?#

Ein oft unterschätzter Punkt: Die meisten Berufshaftpflicht- und Betriebshaftpflichtversicherungen wurden lange vor dem KI-Zeitalter formuliert. Ob Schäden durch Chatbot-Halluzinationen abgedeckt sind, ist im Einzelfall zu prüfen. Sprechen Sie aktiv mit Ihrem Versicherer und lassen Sie sich schriftlich bestätigen, dass KI-gestützte Kommunikation Teil der versicherten Tätigkeit ist. Manche Versicherer bieten inzwischen Zusatzbausteine für „Cyber-KI-Risiken" an. Was sie kosten, hängt stark von der Implementierungsqualität ab – ein gut konfiguriertes System ist günstiger zu versichern als ein offenes Sprachmodell.

Auch dokumentieren Sie Ihre Sorgfaltspflichten: Welche Prompts haben Sie eingesetzt? Welche Tests durchgeführt? Welche Updates eingespielt? Im Streitfall kann diese Dokumentation darüber entscheiden, ob ein Gericht Ihnen grobe Fahrlässigkeit attestiert oder Sie als ordnungsgemäß handelnden Unternehmer einstuft.

Die Rolle der Mitarbeiter: Schulung und Monitoring#

Kein technisches System ersetzt menschliche Aufsicht. Sorgen Sie dafür, dass mindestens eine Person im Unternehmen die Chatbot-Kommunikation regelmäßig stichprobenartig prüft. Das muss kein IT-Experte sein – meistens reicht ein medizinischer Fachangestellter, eine Rechtsanwaltsfachangestellte oder ein Bürokaufmann mit klarem Auftrag und einer kurzen Schulung. Wichtig ist, dass Auffälligkeiten dokumentiert und an den Systemanbieter zurückgespielt werden. So entsteht ein kontinuierlicher Verbesserungsprozess, der bei einer eventuellen Rechtsstreitigkeit auch Ihre Sorgfalt belegt.

Schulen Sie auch die Mitarbeiter, die Eskalationen entgegennehmen. Sie müssen wissen, wie der Bot mit dem Kunden bislang kommuniziert hat, welche Erwartungen geweckt wurden und wie sie diese gegebenenfalls geradeziehen können, ohne den Kunden zu verlieren.

Fazit: Drei Take-aways für KMU-Entscheider#

Das OLG-Hamm-Urteil ist kein juristisches Detail, sondern ein Weckruf für jedes Unternehmen, das KI im Kundenkontakt einsetzt. Drei Punkte sollten Sie nach Lektüre dieses Artikels mitnehmen:

Erstens: Sie haften für Ihren Chatbot wie für einen eigenen Mitarbeiter. Es gibt keine Ausrede „die KI war's". Wer KI einsetzt, übernimmt Verantwortung für ihre Aussagen – wettbewerbsrechtlich, vertraglich, berufsrechtlich.

Zweitens: Halluzinationen sind technisch nicht vollständig eliminierbar, aber dramatisch reduzierbar. Eine durchdachte Architektur mit Retrieval-Augmented Generation, klaren System-Prompts, definierten Eskalationspfaden und kontinuierlichem Monitoring senkt das Risiko auf ein beherrschbares Maß. Wer dagegen ein generisches Sprachmodell ohne Leitplanken auf seine Kunden loslässt, betreibt grob fahrlässige Geschäftspraxis.

Drittens: Compliance und Effizienz sind keine Gegensätze. Die Düsseldorfer Kanzlei aus unserem Beispiel hat ihren Bot strenger reguliert und gleichzeitig die Bearbeitungszeiten verkürzt. Gut konfigurierte KI ist effizienter, weil sie nicht durch nachträgliche Korrekturen, Beschwerden und Abmahnungen ausgebremst wird. Investieren Sie die Zeit in eine saubere Implementierung – sie zahlt sich doppelt aus, in der Tagesarbeit und in der Rechtssicherheit.

Das Hamm-Urteil wird nicht das letzte seiner Art bleiben. Die nächsten Jahre werden eine Welle von Entscheidungen bringen, die das Verhältnis von KI, Wettbewerb und Verbraucherschutz immer feiner kalibrieren. Wer heute solide aufgestellt ist, schaut diesen Entwicklungen entspannt entgegen. Wer dagegen weiter auf das Prinzip Hoffnung setzt, wird früher oder später lernen, was juristische Pionierarbeit kostet – ungewollt und auf eigene Rechnung.