Gericht stellt fest, dass KI-Agenten möglicherweise gegen staatliches und bundesstaatliches Recht verstoßen, indem sie ohne Autorisierung auf Amazon-Konten zugreifen
Ein Gericht im Northern District of California stellte in der Phase der einstweiligen Verfügung fest, dass der fortgesetzte Zugriff von KI-Agenten auf Benutzerkonten, wenn eine Website diesen Zugriff verbietet, gegen staatliches und bundesstaatliches Recht verstoßen kann – selbst wenn der Benutzer dem Agenten die Erlaubnis gegeben hat.
Der Fall
In einem Verfahren wurde geltend gemacht, dass ein KI-Agent so konfiguriert wurde, dass er auf die passwortgeschützten Amazon-Konten der Benutzer zugreift. Benutzer konnten den Agenten anweisen, Produkte zu durchsuchen und sogar Käufe in ihrem Namen zu tätigen. Die Nutzungsbedingungen von Amazon verlangen, dass KI-Agenten sich identifizieren und den Zugriff auf nur die öffentlichen Bereiche der Website beschränken. Amazon behauptete, dass der Agent gegen diese Bedingungen verstoßen habe, indem er im angemeldeten Zustand auf die Website zugriff und sich nicht als KI-Agent identifizierte.
Die Entscheidung
Am 9. März 2026 genehmigte das Gericht den Antrag von Amazon auf einstweilige Verfügung und stellte fest, dass Amazon wahrscheinlich in seinen Ansprüchen nach dem bundesstaatlichen Computer Fraud and Abuse Act (CFAA) und dem California Comprehensive Computer Data Access and Fraud Act (CDAFA) erfolgreich sein werde. Eine zentrale Frage war, ob die Zustimmung des Benutzers zum Zugriff des KI-Agenten ausreichte oder ob die Nutzungsbedingungen des Website-Betreibers maßgeblich waren. Das Gericht entschied zugunsten von Amazon und stellte fest, dass der Zugriff des Agenten nicht autorisiert war, unabhängig von der Zustimmung des Benutzers.
Das Gericht stellte fest, dass Amazon eine Unterlassungserklärung an den KI-Anbieter gesendet hatte, um seine Position zu stärken, dass der Zugriff des Agenten auf die Amazon-Konten unautorisiert war. Die gerichtliche Verfügung untersagte dem Agenten, auf die geschützten Computersysteme von Amazon zuzugreifen und alle gesammelten Kundendaten zu löschen.
Auswirkungen für Websites
Websites, die den Zugriff von KI-Agenten auf Kontodaten oder das Tätigen von Käufen im Namen der Benutzer verhindern möchten, sollten eindeutige Bedingungen formulieren, die dieses Verhalten untersagen. Zudem sollten sie verlangen, dass KI-Agenten sich als solche identifizieren, um den Agentenverkehr von menschlichen Besuchen zu unterscheiden. Bei Verstößen gegen diese Bedingungen sollten Websites Unterlassungserklärungen versenden, um ihre Argumentation zu untermauern.
Auswirkungen für KI-Agenten
Hersteller von KI-Agenten, die auf passwortgeschützte Konten zugreifen, sollten sich der möglichen Implikationen dieser Entscheidung bewusst sein. Das Gericht deutete an, dass ein Verhalten, das gegen die Nutzungsbedingungen einer Website verstößt, zu Ansprüchen nach dem CFAA und CDAFA führen kann und dass die Zustimmung des Benutzers allein möglicherweise nicht ausreicht, wenn der Betreiber der Website diese ausdrücklich widerruft.
In der Zwischenzeit sollten Hersteller von KI-Agenten auch darauf achten, dass beide Gesetze nicht nur private Klageansprüche schaffen, sondern auch potenzielle strafrechtliche Haftung mit sich bringen können.
