EU AI Act im Marketing: Was der Mittelstand jetzt wissen muss

Was der EU AI Act fuer Marketing konkret regelt

Laut Bitkom-Umfrage 2024 setzen bereits 57 Prozent der deutschen Unternehmen KI im Marketing ein, vor allem fuer Texterstellung, Bildgenerierung und Kampagnen-Analyse. Der AI Act klassifiziert diese Anwendungen nach Risiko: verboten, hochriskant, begrenztes Risiko, minimales Risiko. Marketing landet fast immer in den unteren zwei Kategorien.

Das ist die gute Nachricht. Die weniger gute: "begrenztes Risiko" ist nicht gleich "keine Pflichten". Wer ChatGPT, Midjourney oder ein Personalisierungs-Tool nutzt, muss Nutzer darüber informieren, dass sie mit einem KI-System interagieren oder KI-generierte Inhalte sehen. Aus unserer Erfahrung mit Mittelständlern im DACH-Raum ist genau dieser Punkt der haeufigste blinde Fleck.

Verboten sind nur wenige Anwendungen, die im B2B-Marketing ohnehin kaum eine Rolle spielen: Social Scoring, manipulative Techniken, die gezielt Schwächen ausnutzen, oder biometrische Kategorisierung nach sensiblen Merkmalen. Wer damit nicht arbeitet - und das sollte im Mittelstand der Normalfall sein - kann hier durchatmen.

Welche Pflichten ab wann gelten

Die EU-Kommission hat den AI Act gestaffelt eingeführt. Seit Februar 2025 gelten die Verbote fuer unzulässige KI-Praktiken. Ab 2. August 2025 greifen die Pflichten fuer General-Purpose-AI-Modelle, also fuer Anbieter wie OpenAI, Anthropic oder Mistral. Ab 2. August 2026 folgen die vollen Anforderungen an Hochrisiko-Systeme.

Fuer Marketing-Teams im Mittelstand heißt das konkret: Die Transparenzpflichten nach Artikel 50 sind bereits heute relevant, spätestens jedoch ab August 2026 voll durchsetzbar. Wir empfehlen, nicht auf das Stichdatum zu warten. Die Bundesnetzagentur hat bereits angekündigt, als nationale Aufsichtsbehörde eine zentrale Rolle bei der Durchsetzung zu uebernehmen.

Was heißt das praktisch? Wer heute eine Kampagne mit KI-generierten Bildern plant, sollte die Kennzeichnung gleich mitdenken. Wer Chatbots auf der Website einsetzt, braucht einen klar sichtbaren Hinweis, dass Nutzer mit einer KI sprechen. Das ist weniger Aufwand als es klingt, aber es muss gemacht werden.

Transparenzpflichten: Was auf die Website und in die Kampagne muss

Artikel 50 des AI Acts verlangt Transparenz an drei Stellen. Eine ZEW-Studie vom Maerz 2025 zeigt, dass nur 23 Prozent der befragten Unternehmen diese Pflichten bereits vollstaendig umgesetzt haben. Im Marketing ist die Luecke vermutlich noch größer, weil die Zustaendigkeit oft zwischen IT, Legal und Marketing pendelt.

Erstens: Chatbots und KI-Assistenten brauchen einen Hinweis, dass Nutzer mit einem KI-System kommunizieren. Ein kurzer Satz reicht: "Dieser Chat wird von einer KI bereitgestellt." Zweitens: Synthetische Inhalte - also KI-generierte Texte, Bilder, Audios oder Videos - müssen maschinenlesbar als solche gekennzeichnet sein. Drittens: Deepfakes, also taeuschend echte Darstellungen realer Personen, brauchen eine gut sichtbare Kennzeichnung fuer Menschen.

Was bedeutet "maschinenlesbar"? Die EU-Kommission empfiehlt C2PA-Metadaten oder ähnliche Standards. Fuer den Mittelstand reicht in der Praxis meist ein sichtbarer Hinweis am Content selbst, plus ein Vermerk in der Datenschutzerklärung. Wir haben gesehen, dass Teams hier oft ueberrechtfertigen. Ein kleines Label unter dem Bild oder ein Satz im Footer der Email loest das Thema meistens sauber.

AI Act trifft DSGVO: Das Register of Processing Activities erweitern

Laut einer Umfrage des BMWK aus dem Herbst 2024 haben 68 Prozent der mittelständischen Unternehmen ihr DSGVO-Verzeichnis der Verarbeitungstätigkeiten (ROPA) seit fuenf Jahren nicht mehr grundlegend ueberarbeitet. Genau dieses Dokument ist jetzt der natürliche Ort fuer KI-Einträge. Wer ChatGPT fuer Kundenkommunikation nutzt, verarbeitet personenbezogene Daten - und das gehört ins ROPA.

Der AI Act bringt eigene Dokumentationspflichten mit, aber fuer Marketing-Use-Cases ueberlappen sie sich zu großen Teilen mit der DSGVO. Unser Tipp: kein paralleles KI-Register aufbauen, sondern das bestehende ROPA um KI-spezifische Felder erweitern. Welches Modell? Welcher Anbieter? Welche Daten gehen rein? Gibt es einen Auftragsverarbeitungsvertrag? Wer ist intern verantwortlich?

Ein haeufiger Stolperstein: US-Anbieter wie OpenAI verarbeiten Daten in den USA. Seit dem EU-US Data Privacy Framework von 2023 ist das grundsätzlich moeglich, aber die Rechtslage bleibt fragil. Wir empfehlen, fuer sensible Kundendaten entweder europäische Anbieter zu prüfen oder klare Leitplanken zu definieren, was ueberhaupt in die Prompts darf.

Eine kurze Frage zur Selbstprüfung: Wissen Sie aus dem Kopf, welche KI-Tools Ihre Marketing-Abteilung diese Woche genutzt hat? Wenn nein, ist das der erste Schritt - bevor irgendjemand ueber Risikoklassen oder Sanktionen redet.

Sanktionen, Haftung und was der Mittelstand jetzt tun sollte

Die Bußgelder sind gestaffelt. Fuer verbotene KI-Praktiken drohen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Fuer Verstoesse gegen andere Pflichten bis zu 15 Millionen Euro oder 3 Prozent. Falsche Angaben gegenüber Behörden kosten bis zu 7,5 Millionen Euro. Die EU-Kommission hat im April 2025 angekündigt, dass KMU bei der Bemessung berücksichtigt werden - aber eine generelle Ausnahme gibt es nicht.

Was heißt das fuer die Praxis? Wir empfehlen Mittelständlern einen pragmatischen Dreischritt. Erstens: Inventar. Eine einfache Liste aller KI-Tools im Marketing, inklusive Anbieter, Zweck und verarbeiteter Daten. Zweitens: Transparenz. Hinweise auf der Website, im Chatbot, unter KI-Bildern, in der Datenschutzerklärung. Drittens: Governance. Eine benannte Person, die fuer KI-Themen ansprechbar ist - muss nicht Vollzeit sein, aber muss existieren.

Wer diese drei Schritte sauber erledigt, deckt aus unserer Sicht rund 80 Prozent der Marketing-relevanten Pflichten ab. Der Rest ist Feinarbeit und haengt vom konkreten Setup ab. Wichtig ist, nicht in die Starre zu verfallen. Der AI Act ist kein Grund, KI im Marketing zu stoppen - er ist ein Grund, sie strukturiert einzusetzen.

Haeufige Fragen zum EU AI Act im Marketing

Sie wollen wissen, wo Ihr Marketing heute steht? Wir machen mit mittelständischen Unternehmen kompakte AI-Act-Checks: Inventar, Luecken, Maßnahmen. Meist innerhalb einer Woche umsetzbar. Sprechen Sie uns an.