Der EU AI Act ist 2024 beschlossen, tritt in Stufen in Kraft und gilt in wesentlichen Teilen ab 2026. Für Marketing-Teams ist die Lage weniger dramatisch als oft kommuniziert — aber Compliance-Arbeit fällt trotzdem an.
Die vier Risiko-Kategorien
Unacceptable Risk (verboten).
- Social Scoring durch Behörden
- Manipulative KI-Systeme, die Schwächen ausnutzen
- Biometrische Kategorisierung basierend auf sensiblen Attributen (ethnische Herkunft, politische Meinungen)
- Echtzeit-Biometrie im öffentlichen Raum (mit Ausnahmen)
Für typische Marketing-KI nicht relevant — kein Unternehmen im Mittelstand produziert diese Anwendungen.
High Risk (strenge Auflagen).
- KI in kritischer Infrastruktur
- KI in Bildung, HR-Entscheidungen, Kredit-Scoring
- Biometrische Identifikation
- Strafverfolgung
Für Marketing nur dann relevant, wenn KI in HR-Prozesse reingeht (z. B. automatisierte Lebenslauf-Sichtung) oder Kredit-Scoring-Entscheidungen vorbereitet.
Limited Risk (Transparenzpflicht).
- Chatbots
- AI-generierter Content (Texte, Bilder, Videos)
- Deepfakes
Das ist die Kategorie, in die die meisten Marketing-Anwendungen fallen. Pflicht: Nutzer müssen erkennen können, dass es sich um KI handelt.
Minimal Risk (keine spezifischen Pflichten).
- Spam-Filter
- Empfehlungs-Systeme
- KI-gestützte Segmentierung ohne Profiling-Kritikalität
Hier fallen die meisten Personalisierungs- und Recommendation-Systeme rein — vorausgesetzt, sie betreiben kein kritisches Profiling.
Einordnung typischer Marketing-Anwendungen
| Anwendung | Risikostufe | Transparenzpflicht | |---|---|---| | Chatbot (Kundenservice) | Limited Risk | Ja | | Recommendation-Engine (Produkte) | Minimal | Nein | | AI-generierte Bilder in Kampagnen | Limited | Ja, bei Deepfake-Charakter | | AI-generierte Texte im Newsletter | Limited | Ja (Empfehlung) | | Personalisierungs-Segmente | Minimal | Nein | | Churn-Prognose | Minimal | Nein | | Dynamic Pricing | Kontext-abhängig | Bei Kundenkonfrontation transparent | | Biometrie für Check-in | High Risk | Ja, strenge Auflagen |
Was Transparenzpflicht praktisch heißt
Bei Chatbots:
- Am Start des Chats: „Du chattest mit einem KI-System."
- Klarheit über Handoff-Möglichkeiten an Menschen.
- Keine Täuschung über die Natur des Systems.
Bei AI-generiertem Content:
- Kennzeichnung im Artikel-Footer („Dieser Text wurde mit KI-Unterstützung erstellt").
- Bei Bildern: „KI-generiert" als Meta-Info oder Caption.
- Bei Video-Avataren oder Synthetic Voices: klare Kennzeichnung.
Bei Deepfakes (z. B. AI-Gesicht in Werbespot):
- Explizite Deepfake-Kennzeichnung.
- Bei bekannten Personen: zusätzlich Einwilligung der dargestellten Person.
Dokumentationspflichten
Auch bei limited risk brauchst du eine minimal-Dokumentation pro KI-System:
Risiko-Inventar: Liste aller eingesetzten KI-Systeme mit Risikostufe, Zweck, Datenquellen, Anbieter.
Datenbasis: Welche Daten fließen in Training/Betrieb? Woher? Mit welcher Rechtsgrundlage?
Funktionsweise: Kurzbeschreibung, was das System macht — auch für Laien verständlich.
Menschliche Aufsicht: Wer prüft die Outputs? In welcher Frequenz? Eskalations-Pfade.
Fehler-Handling: Was passiert, wenn das System Fehler macht? Wer reagiert?
Für minimal-risk-Systeme reicht diese Dokumentation in Kurzform (1–2 Seiten). Für limited-risk etwas ausführlicher.
Urheberrecht bei AI-Content
Ein häufig übersehener Aspekt: AI-generierte Inhalte haben in der EU keinen oder nur eingeschränkten Urheberschutz. Praktische Konsequenzen:
- AI-generierte Texte kann man nicht vor Kopie schützen (andere dürfen imitieren).
- AI-generierte Bilder gleiche Problematik.
- Menschliche Bearbeitung/Kuration kann Schutz zurückbringen — aber unklar, wie viel Bearbeitung nötig ist.
Für Marketing: Kein Blocker, aber bewusst sein. Kritische Kampagnen-Assets (Keyvisuals, Claims) lieber mit menschlicher Bearbeitung über die Schwelle heben.
DSGVO-Überschneidungen
Der EU AI Act ersetzt nicht die DSGVO. Beide gelten parallel. Wichtig:
Automatisierte Entscheidungen (DSGVO Art. 22):
- Signifikante Auswirkungen auf Kunden → Recht auf menschliche Überprüfung.
- Gilt für Kredit-Entscheidungen, Angebots-Personalisierung mit Preis-Unterschieden, signifikante Targeting-Unterschiede.
Profiling-Transparenz:
- Kunde hat Recht auf Information über Profiling-Logik.
- Praktisch: Datenschutz-Info muss Profiling-Nutzung beschreiben.
Data Subject Rights:
- Auskunft, Löschung, Berichtigung gelten auch für Daten, die in KI-Modelle eingeflossen sind.
- Technisch schwierig — Modelle vergessen nicht auf Knopfdruck.
Der Compliance-Check in 90 Minuten
Ein pragmatischer Einstieg für Marketing-Teams:
30 Minuten — Inventarisierung. Welche KI-Systeme nutzen wir? Intern, von Anbietern, als Feature in Plattformen? Typisch 10–30 Systeme in einer mittelständischen Marketing-Abteilung.
30 Minuten — Risiko-Einstufung. Pro System nach der 4-Kategorien-Matrix einordnen. Meiste Systeme landen in minimal oder limited.
30 Minuten — Gap-Analyse. Welche Transparenz- und Dokumentations-Anforderungen sind nicht erfüllt? Priorisieren.
Das Ergebnis ist eine Roadmap — keine 6-monatige Compliance-Reorganisation.
Häufige Fehler
Fehler 1 — Ignorieren. „Gilt nicht für uns." Gilt 2026 für praktisch jede Firma, die KI einsetzt.
Fehler 2 — Überreagieren. Full-Time-Compliance-Officer für minimal-risk Anwendungen ist überzogen.
Fehler 3 — Anbieter-Verantwortung ignorieren. Deine KI-Anbieter (GPT, Claude etc.) tragen Teile der Compliance — aber nicht alles. Vertragsklarheit wichtig.
Fehler 4 — Transparenz als Marketing-Nachteil sehen. Studien zeigen: Transparente KI-Kennzeichnung verringert Akzeptanz meist nicht spürbar. Risiko ist oft überschätzt.
Verbindungen: Generative AI Use Cases für operative Anwendung. KI-Agenten für Compliance-kritische Automatisierung.