Im WOXOW-Podcast „MARKETING MEETS TECHNOLOGY“ spricht Timon Hartung mit Dr. Martin Schirmbacher, Fachanwalt für IT- und Internetrecht und Partner bei Härting Rechtsanwälte Berlin, über den EU AI Act – und was die KI-Verordnung konkret für Unternehmen und Marketing-Teams bedeutet.
Inhaltsverzeichnis
- Was ist der EU AI Act – und für wen gilt er?
- EU AI Act Risikoklassen: Wo stehen Marketing-Tools?
- KI, Datenschutz und vertrauliche Daten
- Urheberrecht bei KI-generierten Inhalten
- Kennzeichnungspflichten für KI-Content
- EU AI Act Schulungspflicht: Artikel 4 erklärt
- Dokumentation und Governance
- Haftung und Verantwortung bei KI-Fehlern
- Checkliste: EU AI Act Umsetzung für Unternehmen
- Fazit: EU AI Act – Pflicht und Chance zugleich
- FAQ: Häufige Fragen zum EU AI Act
Das Wichtigste in Kürze
- Der EU AI Act ist die weltweit erste umfassende KI-Regulierung – er gilt einheitlich in allen EU-Staaten ohne nationale Umsetzung.
- Die Verordnung arbeitet mit einem risikobasierten Ansatz: Vier Risikoklassen bestimmen, welche Pflichten für euer KI-Tool gelten.
- Die meisten Marketing-Tools fallen in die Kategorie „minimales Risiko„ – mit überschaubaren Pflichten.
- KI-generierter Content kann Urheberrechte verletzen, ist selbst aber nicht urheberrechtlich schützbar.
- Artikel 4 verpflichtet Unternehmen, Mitarbeitende im KI-Einsatz zu schulen – der sogenannte „KI-Führerschein“ greift jedoch zu kurz.
Bußgelder bis 6 % des weltweiten Jahresumsatzes sind möglich – die Behörden agieren jedoch bislang mit Augenmaß.
1. Was ist der EU AI Act – und für wen gilt er?
Der EU AI Act (offiziell: KI-Verordnung der Europäischen Union) ist seit August 2024 in Kraft und gilt als weltweit erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz. Anders als eine Richtlinie muss die Verordnung nicht erst von jedem Mitgliedstaat in nationales Recht überführt werden – sie gilt einheitlich und direkt in allen EU-Staaten, von Portugal bis Schweden.
Der AI Act reguliert dabei nicht die KI-Modelle selbst, sondern deren Anwendung. Die entscheidende Frage ist also nicht: „Ist ChatGPT reguliert?“ – sondern: „Was mache ich mit ChatGPT, und in welchem Kontext?„
Wichtige Klarstellung von Dr. Martin Schirmbacher: „Es geht um KI-Systeme, also nicht die Modelle. Was mache ich mit dem Modell, wenn ich es nutze? Ich kann einen Werbescoring-Tool haben, ein HR-Tool, ein Content-Creation-Tool oder ein SEO-Texte-Tool. Ich muss auf das jeweilige System schauen und überlegen, in welche Risikoklasse es fällt.„
Wann gilt der EU AI Act konkret? Die ersten Verbotsnormen galten ab Februar 2025. Die Transparenz- und Kennzeichnungspflichten, die für Marketing-Teams besonders relevant sind, greifen ab August 2025. Hochrisiko-Regelungen folgen gestaffelt bis 2026/2027.
2. EU AI Act Risikoklassen: Wo stehen Marketing-Tools?
Definition
Das zentrale Konzept des EU AI Acts ist der risikobasierte Ansatz. Jede KI-Anwendung wird einer von vier Risikoklassen zugeordnet – je höher das Risiko, desto strenger die Anforderungen.
| Risikoklasse | Bedeutung | Beispiele | Pflichten |
|---|---|---|---|
| Verboten | Unzulässige KI-Praktiken | Social Scoring, unterschwellige Manipulation, Ausnutzung von Schutzbedürftigkeit | Komplettes Verbot |
| Hohes Risiko | Weitreichende Auswirkungen auf Menschen | KI in HR (Bewerberscreening), Kreditscoring, Medizin, Strafverfolgung | Strenge Dokumentations-, Konformitäts- und Registrierungspflichten |
| Begrenztes Risiko | Transparenzrisiken | Chatbots, KI-generierte Deepfakes, KI-Texte für die Öffentlichkeit | Kennzeichnungspflichten (Transparenz gegenüber Nutzer:innen) |
| Minimales Risiko | Kaum reguliert | KI-Spamfilter, Content-Erstellung mit ChatGPT, SEO-Tools, Bildbearbeitung | Kaum Pflichten – freiwillige Verhaltenskodizes empfohlen |
Was bedeutet das konkret für Marketing-Teams? ChatGPT für Texterstellung, KI-Bildgeneratoren, SEO-Tools, automatisierte Newsletter-Personalisierung – all das fällt typischerweise in die Kategorie „minimales Risiko“. Der Aufwand hält sich in Grenzen.
Achtung: Ausnahme Werbescoring
Wenn ihr KI nutzt, um gezielt vulnerable oder schutzbedürftige Zielgruppen für Werbemaßnahmen zu identifizieren – etwa über soziodemografische oder finanzielle Kriterien – kann das als verbotene Praktik eingestuft werden. Ein Bußgeld der Volksbank Hannover (knapp 1 Mio. €) für übermäßiges Scoring zeigte bereits vor dem AI Act, wo die Grenzen liegen.
Ihr wollt KI in euren Marketing-Workflow integrieren?
WOXOW unterstützt Marketing-Teams und Agenturen dabei, KI-Tools strategisch und effizient einzusetzen.
Unverbindliche Anfrage stellen →3. KI, Datenschutz und vertrauliche Daten
Neben dem EU AI Act bleibt die DSGVO das entscheidende Regelwerk für den Umgang mit personenbezogenen Daten – auch beim Einsatz von KI-Tools. Dr. Schirmbacher unterscheidet drei Ebenen, die Unternehmen prüfen müssen:
Level 1: Darf ich diese Daten überhaupt verarbeiten?
Die wichtigste und am häufigsten vernachlässigte Frage: Habe ich eine Rechtsgrundlage nach Artikel 6 DSGVO für diese Datenverarbeitung? Wenn ihr eine Kundenliste in ChatGPT eingebt und daraus Next-Best-Offer-Empfehlungen generiert, ist das eine datenschutzrechtlich relevante Handlung – unabhängig davon, ob ihr ein KI-Tool nutzt oder nicht. Auch Datensparsamkeit schützt nicht vor Zweckentfremdung: Wer Geburtsdaten für Altersverifizierung erhebt und sie dann für Geburtstags-E-Mails nutzt, begeht möglicherweise einen DSGVO-Verstoß.
Level 2: Ist mein KI-Anbieter ein zuverlässiger Auftragsverarbeiter?
Cloud-KI-Dienste wie ChatGPT (OpenAI), Claude (Anthropic) oder Gemini (Google) gelten als externe Dienstleister. Ihr braucht mit ihnen eine Auftragsverarbeitungsvereinbarung (AVV / Data Processing Agreement). Die gute Nachricht: Seriöse Anbieter stellen diese AVVs automatisch zur Verfügung und sind leicht abschließbar.
Level 3: Datenübertragung in die USA
Da viele KI-Anbieter ihren Sitz in den USA haben, findet eine Datenübertragung in Drittstaaten statt. Das Transatlantic Data Privacy Framework (EU-US Data Privacy Framework) ermöglicht rechtskonforme Übertragungen, sofern der Anbieter entsprechend zertifiziert ist – was bei den großen Anbietern in der Regel der Fall ist.
Lokale KI-Systeme als Alternative
Ein lokal gehostetes KI-Modell (z.B. Mistral auf einem eigenen Server ohne Internetverbindung) umgeht Level 2 und Level 3 vollständig – es gibt keinen externen Dienstleister, keine USA-Übertragung. Level 1 (Rechtsgrundlage) muss aber trotzdem geprüft werden.
Lokale KI-Systeme als Alternative: Ein lokal gehostetes KI-Modell (z.B. Mistral auf einem eigenen Server ohne Internetverbindung) umgeht Level 2 und Level 3 vollständig – es gibt keinen externen Dienstleister, keine USA-Übertragung. Level 1 (Rechtsgrundlage) muss aber trotzdem geprüft werden.
Was gilt bei NDA-Projekten?
Wenn ihr mit Kunden ein Non-Disclosure Agreement (NDA) abgeschlossen habt, kommt es auf den genauen Wortlaut an. Steht dort „Daten dürfen keinem Dritten offenbart werden“, ist jeder externe Cloud-Dienst potenziell problematisch – auch Google Meet, Microsoft 365 oder E-Mail-Dienste. Steht explizit „keine KI-Verarbeitung“, muss das strikt eingehalten werden. Tipp: Klärt bei NDA-Abschluss aktiv, welche KI-Tools ihr standardmäßig einsetzt und holt eine explizite Regelung ein.
4. Urheberrecht bei KI-generierten Inhalten
Eine der wichtigsten Aussagen aus dem Podcast, die viele überrascht: KI-generierter Content kann nicht urheberrechtlich geschützt werden – aber er kann Urheberrechte verletzen.
Warum ist KI-Content nicht urheberrechtlich schützbar?
Das Urheberrecht schützt menschliche geistige Schöpfungen. Ein einfacher Prompt wie „Erstelle mir ein Logo“ oder „Schreibe mir einen Text über X“ reicht nicht aus, um eine eigene schöpferische Leistung zu begründen. Ein Münchner Gericht bestätigte: Wer ein Logo per Prompt generiert und es dann nutzt, kann keine urheberrechtlichen Ansprüche geltend machen – auch nicht gegen jemanden, der dieses Logo kopiert.
Anders verhält es sich, wenn die KI als Werkzeug in einem iterativen kreativen Prozess eingesetzt wird: Wer Kampagnen über viele Iterationen mit KI entwickelt, eigene Ideen einbringt und das Ergebnis substanziell überarbeitet, kann durchaus urheberrechtlichen Schutz beanspruchen.
Wann verletzt KI-Content fremde Urheberrechte?
KI-Modelle wurden auf riesigen Mengen von urheberrechtlich geschützten Texten, Bildern und Musik trainiert. Wenn ein Modell dabei Inhalte faktisch „memorisiert“ hat, kann der Output diese Inhalte nahezu identisch reproduzieren – und damit eine Urheberrechtsverletzung darstellen. Das bekannteste Beispiel: Die GEMA hat OpenAI verklagt, weil ChatGPT auf Anfrage den nahezu exakten Text von Helene Fischers „Atemlos“ ausgab.
Praktischer Tipp: Nutzt Plagiatschecks für KI-generierte Texte, bevor ihr sie veröffentlicht. Eine einfache Google-Suche nach charakteristischen Phrasen aus dem Text kann bereits verdächtige Übereinstimmungen aufdecken.
5. Kennzeichnungspflichten für KI-Content
Muss KI-generierter Content als solcher gekennzeichnet werden? Die kurze Antwort: nicht generell – aber in bestimmten Fällen schon.
Ab August 2025 gelten im EU AI Act erstmals verbindliche Transparenzregeln für KI-generierte Inhalte. Diese betreffen vor allem:
Deepfakes: KI-generierte oder -manipulierte Bild-, Video- und Audioinhalte müssen gekennzeichnet werden – auch wenn nur einzelne Elemente KI-generiert sind (z.B. KI-eingefügte Produkte auf echten Model-Fotos).
KI-Chatbots: Nutzer:innen müssen wissen, wenn sie mit einer KI interagieren, nicht mit einem Menschen.
KI-Texte für die Öffentlichkeit: Keine Kennzeichnungspflicht, wenn eine redaktionelle Kontrolle stattgefunden hat.
Für Marketing-Teams wichtig:
KI-generierte Texte, die vor Veröffentlichung von einem Menschen geprüft und überarbeitet werden, müssen nach aktuellem Stand nicht als KI-generiert gekennzeichnet werden. Eine redaktionelle Kontrolle schützt euch – und verbessert gleichzeitig die Qualität.
6. EU AI Act Schulungspflicht: Artikel 4 erklärt
Artikel 4 der KI-Verordnung verpflichtet alle Unternehmen, die Mitarbeitende mit KI-Systemen arbeiten lassen, dafür zu sorgen, dass diese Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Diese sogenannte KI-Kompetenzpflicht ist eine der meistdiskutierten Neuerungen des EU AI Acts.
Was bedeutet das konkret? Das Gesetz definiert bewusst keine einheitliche Schulungsform oder einen „KI-Führerschein“. Das erforderliche Kompetenzlevel hängt stark davon ab, wie intensiv KI im jeweiligen Job eingesetzt wird. Ein Marketing-Team, das täglich mit KI-Tools arbeitet, hat ein anderes Schulungsbedürfnis als eine Finanzbuchhaltung, die gelegentlich KI-gestützte Excel-Features nutzt.
Wichtig: Die Schulungspflicht nach Artikel 4 ist derzeit nicht bußgeldbewehrt. Sie ist aber ein Governance-Thema. Geschäftsführer:innen und Vorstände können haftbar gemacht werden, wenn mangelnde KI-Schulung zu Datenschutzverletzungen, NDA-Brüchen oder anderen Schäden geführt hat. Der Aufsichtsrat kann fragen: „Wie konnte es passieren, dass niemand im Unternehmen wusste, welche Daten man nicht in KI-Tools eingeben darf?„
Empfehlenswert sind praxisnahe Hands-on-Schulungen, die nicht nur Verbote aufzählen, sondern zeigen, was mit KI möglich ist – und wo die Grenzen liegen. Eine KI-Richtlinie, die im Intranet verstaubt, erfüllt die Anforderungen nicht.
7. Dokumentation und Governance
Je höher die Risikoklasse eines KI-Systems, desto umfangreicher sind die Dokumentationspflichten. Für Marketing-Teams im Bereich minimales Risiko sind die Anforderungen überschaubar – aber ein gewisses Mindestmaß an Governance ist dennoch sinnvoll.
Dr. Schirmbacher empfiehlt, das bestehende Verzeichnis der Verarbeitungstätigkeiten (VVT), das viele Unternehmen ohnehin für den Datenschutz führen, um eine Liste der eingesetzten KI-Tools zu erweitern. So habt ihr mit minimalem Aufwand eine Übersicht, welche KI-Systeme im Unternehmen genutzt werden.
Was nicht nötig ist:
Ein vollständiges Prompt-Tracking – also das Protokollieren jedes einzelnen KI-Prompts und seiner Outputs – ist nach aktuellem Stand des EU AI Acts nicht erforderlich. Das wäre unverhältnismäßig und ist nicht vorgesehen.
8. Haftung und Verantwortung bei KI-Fehlern
Wenn ein KI-Tool falsche, irreführende oder rechtsverletzende Inhalte produziert und diese veröffentlicht werden – wer haftet? Grundsätzlich gilt: Die Verantwortung liegt beim Unternehmen, das das KI-Tool einsetzt, nicht beim KI-Anbieter.
Für Agenturen, die KI-Tools im Kundenauftrag einsetzen, entstehen besondere Fragen. Dr. Schirmbacher empfiehlt, in Verträgen mit Kunden explizit zu regeln:
- Dass KI-Tools im Rahmen der Leistungserbringung eingesetzt werden dürfen
- Wer für KI-generierte Fehler oder Urheberrechtsverletzungen im Output haftet
- Welche Prüfpflichten für KI-Content bestehen (z.B. Plagiatcheck, Faktencheck)
Bei KI-Shopping-Funktionen (ChatGPT empfiehlt und wickelt Transaktionen ab) entstehen zusätzliche Haftungsfragen: Rückabwicklung, Verbraucherschutz, Fernabsatzrecht. Dieser Bereich ist noch weitgehend ungeregelt und wird in den kommenden Jahren stark an Bedeutung gewinnen.
9. Checkliste: EU AI Act Umsetzung für Unternehmen
Was Marketing-Teams jetzt tun sollten
- KI-Tools im Unternehmen inventarisieren und Risikoklasse bestimmen
- AVV (Auftragsverarbeitungsvertrag) mit allen genutzten KI-Anbietern abschließen oder prüfen
- KI-Richtlinie erstellen – nicht nur Verbote, sondern vor allem klare Erlaubnisse
- Mitarbeitende praxisnah schulen: Was darf rein in KI-Tools, was nicht?
- Redaktionellen Prüfprozess für KI-generierten Content etablieren
- NDAs mit Kunden auf KI-Klauseln prüfen und ggf. anpassen
- Plagiatcheck für KI-Texte in den Content-Workflow integrieren
- VVT (Verarbeitungsverzeichnis) um KI-Tool-Liste erweitern
- Deepfake-Kennzeichnungspflicht ab August 2025 implementieren
- Verträge mit Kunden auf KI-Nutzung und Haftungsregelungen prüfen
10. Fazit: EU AI Act – Pflicht und Chance zugleich
Der EU AI Act klingt auf den ersten Blick nach bürokratischem Mehraufwand. In der Praxis sind die Anforderungen für die meisten Marketing-Teams jedoch überschaubar. Wer ohnehin sorgfältig mit Daten umgeht, KI-Tools bewusst einsetzt und seinen Content redaktionell prüft, ist bereits auf einem guten Weg.
Die eigentliche Chance liegt woanders: Unternehmen, die jetzt klare interne Regeln für den KI-Einsatz etablieren, schulen und dokumentieren, schaffen nicht nur Compliance – sie schaffen Vertrauen. Bei Kunden, bei Partnern und bei Behörden.
Der EU AI Act ist kein Grund, KI-Tools zu meiden. Er ist ein Grund, sie smarter einzusetzen.
👉 Jetzt Podcast hören: KI und Recht: Was Unternehmen beim KI-Einsatz wirklich beachten müssen | Martin Schirmbacher
FAQ: Häufige Fragen zum EU AI Act
Für wen gilt der EU AI Act?
Der EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU anbieten oder einsetzen – unabhängig davon, ob das Unternehmen seinen Sitz innerhalb oder außerhalb der EU hat. Er erfasst sowohl KI-Anbieter (z.B. OpenAI) als auch Unternehmen, die KI-Systeme im Betrieb einsetzen (z.B. eine Marketingagentur, die ChatGPT nutzt).
Was regelt der EU AI Act konkret für Marketing-Teams?
Für Marketing-Teams sind vor allem drei Bereiche relevant: (1) Transparenzpflichten für KI-generierten Content und Deepfakes, (2) die Schulungspflicht nach Artikel 4 für Mitarbeitende, die KI-Tools einsetzen, und (3) Verbote von manipulativer KI-gestützter Werbung gegenüber vulnerablen Gruppen. Die meisten Standard-Marketing-KI-Tools fallen in die Kategorie minimales Risiko mit überschaubaren Pflichten.
Wann tritt der EU AI Act vollständig in Kraft?
Der EU AI Act gilt seit August 2024. Die Umsetzung erfolgt gestaffelt: Verbotene KI-Praktiken sind seit Februar 2025 untersagt. Transparenz- und Schulungspflichten gelten ab August 2025. Hochrisiko-Regelungen für bestimmte Sektoren greifen bis 2026/2027. Die EU AI Act Umsetzung in Deutschland erfolgt über die Bundesnetzagentur als nationale Aufsichtsbehörde.
Muss ich KI-generierten Content kennzeichnen?
Es gibt keine generelle Kennzeichnungspflicht für KI-generierten Text. Pflicht besteht für Deepfakes (manipulierte Bild-, Video-, Audioinhalte) und KI-Chatbots, die als Menschen auftreten. Texte, die vor Veröffentlichung redaktionell geprüft wurden, müssen nicht als KI-generiert gekennzeichnet werden.
Was ist die EU AI Act Schulungspflicht nach Artikel 4?
Artikel 4 des EU AI Acts verpflichtet Unternehmen, sicherzustellen, dass Mitarbeitende, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen. Das Gesetz schreibt keine konkrete Schulungsform vor – ein kurzer Online-Kurs reicht in der Regel nicht aus. Die Pflicht ist derzeit nicht direkt bußgeldbewehrt, kann aber bei Schäden zur Managerhaftung führen.
Darf ich Kundendaten in ChatGPT eingeben?
Das hängt von drei Faktoren ab: (1) Habt ihr eine Rechtsgrundlage nach DSGVO für diese Datenverarbeitung? (2) Habt ihr mit OpenAI eine Auftragsverarbeitungsvereinbarung abgeschlossen? (3) Ist die Datenübertragung in die USA durch das EU-US Data Privacy Framework abgedeckt? Wenn alle drei Punkte erfüllt sind, ist die Nutzung grundsätzlich möglich – aber prüft immer den Einzelfall.
