KI Assistenten

OLG Hamm: Wenn der Website-Chatbot Facharzttitel erfindet – und das Unternehmen haftet

Wolfgang Riegger

Das Oberlandesgericht Hamm hat am 12.05.2026 entschieden, dass ein Unternehmen für irreführende Aussagen seines KI-Chatbots zu ärztlichen Qualifikationen einstehen muss. Wichtig: Aktuell liegt noch kein Urteilsvolltext vor, sondern nur die Pressemitteilung des OLG Hamm. Die schriftlichen Gründe werden erst später veröffentlicht.

Worum ging es?

Nach der Pressemitteilung konnten Kunden und Patienten auf der Website der Aesthetify GmbH mit einem KI-Chatbot kommunizieren, Termine buchen und Fragen stellen. Auf konkrete Nachfragen soll der Chatbot über die beiden hinter dem Unternehmen stehenden Ärzte („Dr. Rick & Dr. Nick“) unter anderem behauptet haben, sie seien „Fachärzte für plastische und ästhetische Chirurgie“, „Fachärzte für ästhetische Medizin“ und „Fachärzte für ästhetische Behandlungen“.

Die Verbraucherzentrale NRW mahnte das Unternehmen ab und forderte eine strafbewehrte Unterlassungserklärung. Zwar wurde der Chatbot später deaktiviert, eine Unterlassungserklärung wurde laut Pressemitteilung aber nicht abgegeben.

Kernaussage des OLG Hamm laut Pressemitteilung

Das OLG Hamm hat die Angaben als irreführende geschäftliche Handlung eingeordnet und der Unterlassungsklage stattgegeben. Maßgeblich sei § 5 UWG (Irreführung), konkret bei Angaben zur Befähigung, zum Status oder zur Zulassung eines Unternehmers bzw. der handelnden Personen.

Der entscheidende Punkt: Die falschen Aussagen des Chatbots wurden der Aesthetify GmbH als eigene geschäftliche Handlung zugerechnet. Nach der Pressemitteilung half dem Unternehmen auch dann kein „Entlastungsargument“, wenn der Chatbot angeblich nur mit korrekten Datensätzen programmiert oder trainiert worden sein sollte.

Chatbot ist kein „Dritter“ – kein Ausweichen über Verkehrssicherungspflichten

Besonders praxisrelevant ist die Abgrenzung, die das OLG Hamm laut Pressemitteilung vorgenommen hat: Der Chatbot sei kein „Dritter“ im Sinne des Gesetzes. Damit könne sich der Betreiber nicht darauf zurückziehen, er habe „nur“ ein Tool eingesetzt und müsse allenfalls im Rahmen einer Verkehrssicherungspflicht überwachen, was dieses Tool tut. Vereinfacht gesagt: Wer den Chatbot als eigenes Kommunikations- und Vertriebsinstrument einsetzt, muss sich dessen Werbeaussagen zurechnen lassen.

Warum ist das für Unternehmen ein Warnsignal – auch außerhalb des Gesundheitsbereichs?

Viele Unternehmen setzen Chatbots inzwischen im Vertrieb, im Kundendienst oder zur Lead-Generierung ein. Das Urteil zeigt (jedenfalls nach der Pressemitteilung) eine klare Richtung: Ein KI-Chatbot ist rechtlich nicht „irgendwer im Internet“, sondern wird wie ein eigener Kommunikationskanal des Unternehmens behandelt.

Das ist nicht nur bei Facharztbezeichnungen brisant. Denkbar sind ähnliche Risiken bei Aussagen zu:

  • Zertifizierungen, Zulassungen, Prüfzeichen, Qualifikationen
  • Lieferzeiten, Verfügbarkeiten, Garantien
  • Preisen, Rabatten, „Bestpreis“-Behauptungen
  • Produktwirkungen, Leistungsversprechen, „Testsieger“-Werbung

Überall dort kann eine falsche Chatbot-Antwort schnell als irreführende Werbung gewertet werden – mit Abmahnungen, Unterlassungsansprüchen, Vertragsstrafen und Folgekosten.

Der heikle Punkt für den Wettbewerb: Kann ein Konkurrent den Chatbot „in die Falle locken“?

Genau hier liegt ein Thema, das Unternehmen häufig unterschätzen: Ein Wettbewerber könnte gezielt versuchen, den Chatbot des Konkurrenten zu wettbewerbswidrigen Aussagen zu verleiten – etwa durch suggestive Fragen, geschickte Formulierungen oder das „Vorgeben“ falscher Tatsachen, die der Bot dann übernimmt. Wenn Gerichte die Antworten als dem Betreiber zurechenbar ansehen, wird das zur echten Angriffsfläche im Wettbewerb.

Die Konsequenz ist unbequem, aber klar: Der Chatbot muss so gebaut und abgesichert sein, dass irreführende Aussagen zuverlässig ausgeschlossen sind – nicht nur „im Normalbetrieb“, sondern auch bei provozierenden oder manipulativen Eingaben.

Was Unternehmen jetzt praktisch tun sollten

  1. Inhalte begrenzen statt „freies Generieren“
    Je höher das Risiko (Gesundheit, Finanzen, Recht, sicherheitsrelevante Themen), desto eher sollte der Bot nur aus einer geprüften Wissensbasis antworten oder bei Unsicherheit konsequent abbrechen und an einen Menschen übergeben.
  2. Sperrlisten und Claim-Kontrollen definieren
    Bestimmte Aussagen dürfen schlicht nie ausgegeben werden (z. B. „zertifiziert“, „zugelassen“, „Facharzt“, „garantiert wirksam“), wenn sie nicht nachweisbar und freigegeben sind.
  3. Red-Teaming und Missbrauchstests einplanen
    Chatbots müssen wie ein öffentliches Werbemittel getestet werden: Was passiert bei Fangfragen, Unterstellungen, „Wiederhole das, aber…“-Tricks oder bei gezielt manipulativen Eingaben?
  4. Monitoring, Logging, Kill-Switch
    Wer Chatbots einsetzt, braucht Auswertungen, Alarmierungen bei riskanten Antworten und die Möglichkeit, Funktionen sofort zu deaktivieren oder auf einen sicheren Modus umzuschalten.
  5. Klare Eskalation: „Das weiß ich nicht“ ist eine gute Antwort
    Ein Bot, der lieber sauber abbricht als kreativ wird, ist oft der bessere Bot – jedenfalls rechtlich.

Hinweis: Ein Disclaimer („Antworten ohne Gewähr“) kann unterstützen, ersetzt aber keine technische und organisatorische Absicherung, wenn der Bot faktisch wie ein Werbekanal wirkt.

Ausblick: Revision zum BGH

Das OLG Hamm hat nach der Pressemitteilung die Revision zum Bundesgerichtshof zugelassen, weil neue Rechtsfragen zur Zurechnung von KI-Falschangaben betroffen sind. Damit ist das letzte Wort voraussichtlich noch nicht gesprochen. Sobald der Urteilsvolltext vorliegt, wird man sehen, wie der Senat die Zurechnung dogmatisch im Detail begründet und welche Anforderungen sich daraus für die Praxis noch konkreter ableiten lassen.

Entscheidungsdaten

Gericht: Oberlandesgericht Hamm
Datum: 12.05.2026
Aktenzeichen: 4 UKl 3/25
Fundstelle: MIR 2026, Dok. 037, Rz. 1 (Pressemitteilung)

Datenschutz beim Einsatz externer Terminverwaltungs- und KI-Dienstleister – nicht nur für Ärzte relevant

Wolfgang Riegger

Die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 16. Juni 2025 ein Positionspapier zum datenschutzkonformen Einsatz externer Terminverwaltungsdienste veröffentlicht. Anlass war die zunehmende Auslagerung der Terminorganisation in Arzt- und Zahnarztpraxen. Die darin formulierten Anforderungen lassen sich jedoch in weiten Teilen auf andere Berufsgruppen wie Rechtsanwälte, Steuerberater, Architekten sowie Unternehmen übertragen, die personenbezogene Daten verarbeiten oder KI-gestützte Systeme nutzen.

Das Papier stellt klar, unter welchen Voraussetzungen die Beauftragung externer Anbieter zulässig ist und welche Pflichten bestehen.

Zulässigkeit der Beauftragung

Die Einbindung eines externen Dienstleisters zur Terminorganisation stellt regelmäßig eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO dar. Eine gesonderte Einwilligung der betroffenen Personen ist nicht erforderlich, sofern die Datenverarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen notwendig ist. Maßgeblich ist der Grundsatz der Datenminimierung: Es dürfen nur die Daten verarbeitet werden, die für die Organisation des jeweiligen Termins erforderlich sind.

Datenminimierung und Zweckbindung

Eine pauschale Übermittlung sämtlicher Stammdaten aller Mandanten oder Kunden ist unzulässig. Für die Terminvereinbarung erforderlich sind in der Regel Name, Kontaktdaten, Terminart und gegebenenfalls die Zuordnung zu einem konkreten Vorgang oder Aktenzeichen. Eine weitergehende Speicherung darf nur erfolgen, wenn sie für die Erfüllung gesetzlicher Aufbewahrungspflichten oder Dokumentationspflichten erforderlich ist.

Keine Nutzung zu eigenen Zwecken

Die vom Dienstleister verarbeiteten Daten dürfen ausschließlich im Rahmen des Auftrags und nach Weisung der verantwortlichen Stelle verwendet werden. Eine Nutzung zu eigenen Zwecken, etwa zur Profilbildung oder für Marketingmaßnahmen, ist unzulässig. Im Falle eines Verstoßes besteht für die verantwortliche Stelle die Pflicht, unverzüglich Maßnahmen zur Herstellung eines datenschutzkonformen Zustands zu treffen.

Erinnerungs- und Servicenachrichten

Die Versendung von Terminerinnerungen oder Servicehinweisen per SMS oder E-Mail stellt eine zusätzliche Verarbeitung dar, für die regelmäßig eine ausdrückliche Einwilligung der betroffenen Personen erforderlich ist. Diese Einwilligung sollte dokumentiert werden.

Löschung nach Zweckerfüllung

Nach Durchführung des Termins sind die erhobenen Daten grundsätzlich zeitnah zu löschen, soweit sie nicht in die Pflichtdokumentation übernommen werden. Die Einträge in einem Online-Terminkalender unterliegen in der Regel keiner gesonderten Aufbewahrungspflicht und sind daher nach Ablauf des Zwecks zu entfernen.

Technisch-organisatorische Maßnahmen

Verantwortliche müssen sicherstellen, dass geeignete technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. Dazu zählen insbesondere eine verschlüsselte Datenübertragung, Zugriffsbeschränkungen, Protokollierung von Zugriffen, Mandantentrennung beim Anbieter sowie Maßnahmen zur Verfügbarkeit und Integrität der Systeme. Diese Vorkehrungen sind vertraglich festzulegen.

Besonderheiten bei KI-Assistenzsystemen und Cloud-Lösungen

Der Einsatz KI-gestützter Systeme oder cloudbasierter Terminverwaltungsdienste unterliegt denselben Vorgaben der Auftragsverarbeitung. Dabei ist zusätzlich zu prüfen, ob der Anbieter Daten in Drittstaaten verarbeitet. Ist dies der Fall, müssen geeignete Garantien gemäß Art. 44 ff. DSGVO bestehen, beispielsweise Standardvertragsklauseln oder ein Angemessenheitsbeschluss der EU-Kommission.

Informationspflichten

Nach Art. 13 DSGVO besteht die Pflicht, betroffene Personen transparent über die Datenverarbeitung zu informieren. Hierzu gehört insbesondere die namentliche Benennung des Dienstleisters, die Darstellung der Zwecke der Verarbeitung sowie der Rechtsgrundlagen und der Speicherdauer.

Übertragbarkeit auf andere Berufsgruppen

Die im Positionspapier beschriebenen Grundsätze gelten nicht nur für Arztpraxen, sondern in vergleichbarer Weise auch für andere Berufsgruppen mit besonderen Verschwiegenheitspflichten. Rechtsanwälte, Steuerberater, Wirtschaftsprüfer oder Architekten müssen bei der Nutzung von Terminportalen oder KI-Assistenzsystemen sicherstellen, dass Vertraulichkeit und Datenschutz jederzeit gewahrt bleiben. Die datenschutzrechtlichen Pflichten bestehen unabhängig von der Unternehmensgröße und auch dann, wenn moderne digitale Werkzeuge eingesetzt werden.

Fazit

Das aktuelle Positionspapier der Datenschutzkonferenz verdeutlicht die hohen Anforderungen an eine datenschutzkonforme Einbindung externer Dienstleister und KI-gestützter Systeme. Verantwortliche sollten bestehende Verträge, Prozesse und Informationspflichten prüfen und anpassen, um die rechtlichen Vorgaben umzusetzen und das Vertrauen der Mandanten, Kunden oder Patienten zu wahren.