EU AI Act im Marketing: Was der Mittelstand jetzt wissen muss

Seit August 2024 in Kraft, ab 2026 mit Hochrisiko-Pflichten. Wir erklären Pflichten, Risikoklassen und Sanktionen.

Scrollen
Compliance & KI
KI darf werben.
Aber heimlich darf sie es nicht mehr.
Kennzeichnung, Dokumentation, Rechenschaft.
Wer heute plant, ist morgen ruhig.

Was der EU AI Act für Marketing konkret regelt

Laut Bitkom-Umfrage 2024 setzen bereits 57 Prozent der deutschen Unternehmen KI im Marketing ein, vor allem für Texterstellung, Bildgenerierung und Kampagnen-Analyse. Der AI Act klassifiziert diese Anwendungen nach Risiko: verboten, hochriskant, begrenztes Risiko, minimales Risiko. Marketing landet fast immer in den unteren zwei Kategorien.

Das ist die gute Nachricht. Die weniger gute: "begrenztes Risiko" ist nicht gleich "keine Pflichten". Wer ChatGPT, Midjourney oder ein Personalisierungs-Tool nutzt, muss Nutzer darüber informieren, dass sie mit einem KI-System interagieren oder KI-generierte Inhalte sehen. Aus unserer Erfahrung mit Mittelständlern im DACH-Raum ist genau dieser Punkt der häufigste blinde Fleck.

Verboten sind nur wenige Anwendungen, die im B2B-Marketing ohnehin kaum eine Rolle spielen: Social Scoring, manipulative Techniken, die gezielt Schwächen ausnutzen, oder biometrische Kategorisierung nach sensiblen Merkmalen. Wer damit nicht arbeitet - und das sollte im Mittelstand der Normalfall sein - kann hier durchatmen.

Welche KI-Einsätze gelten als hochriskant?

Marketing bleibt fast immer im begrenzten Risiko - hochriskant wird es an anderer Stelle, und das sollte man kennen, bevor man den eigenen KI-Einsatz beurteilt. Als Hochrisiko stuft der AI Act KI ein, die über Menschen entscheidet: die Vorauswahl von Bewerbungen im Recruiting, Kreditentscheidungen, Bewertungen im Bildungsbereich oder biometrische Identifikation. Wer KI in solchen Feldern einsetzt, braucht deutlich mehr als einen Transparenzhinweis - ein Risikomanagementsystem, geprüfte Datenqualität und nachweisbare menschliche Aufsicht.

Für die meisten Mittelständler ist das eine Entwarnung mit Fußnote. Die Tools im Tagesgeschäft - Texte, Bilder, Auswertungen, Chatbots - sind selten hochriskant. Aber sobald eine KI in Personal-, Kredit- oder Zugangsentscheidungen hineinredet, wechselt die Kategorie, und mit ihr der Aufwand. Diese eine Unterscheidung - entscheidet die KI über Menschen oder nur über Inhalte? - erspart die meisten Fehleinschätzungen. Ob ein konkreter Fall darunter fällt, klärt im Zweifel eine kurze KI-Beratung schneller als jede Checkliste.

Welche Pflichten ab wann gelten

Die EU-Kommission hat den AI Act gestaffelt eingeführt. Seit Februar 2025 gelten die Verbote für unzulässige KI-Praktiken. Ab 2. August 2025 greifen die Pflichten für General-Purpose-AI-Modelle, also für Anbieter wie OpenAI, Anthropic oder Mistral. Ab 2. August 2026 folgen die vollen Anforderungen an Hochrisiko-Systeme.

Für Marketing-Teams im Mittelstand heißt das konkret: Die Transparenzpflichten nach Artikel 50 sind bereits heute relevant, spätestens jedoch ab August 2026 voll durchsetzbar. Wir empfehlen, nicht auf das Stichdatum zu warten. Die Bundesnetzagentur hat bereits angekündigt, als nationale Aufsichtsbehörde eine zentrale Rolle bei der Durchsetzung zu übernehmen.

Was heißt das praktisch? Wer heute eine Kampagne mit KI-generierten Bildern plant, sollte die Kennzeichnung gleich mitdenken. Wer Chatbots auf der Website einsetzt, braucht einen klar sichtbaren Hinweis, dass Nutzer mit einer KI sprechen. Das ist weniger Aufwand als es klingt, aber es muss gemacht werden.

Transparenzpflichten: Was auf die Website und in die Kampagne muss

Artikel 50 des AI Acts verlangt Transparenz an drei Stellen. Eine ZEW-Studie vom März 2025 zeigt, dass nur 23 Prozent der befragten Unternehmen diese Pflichten bereits vollständig umgesetzt haben. Im Marketing ist die Lücke vermutlich noch größer, weil die Zuständigkeit oft zwischen IT, Legal und Marketing pendelt.

Erstens: Chatbots und KI-Assistenten brauchen einen Hinweis, dass Nutzer mit einem KI-System kommunizieren. Ein kurzer Satz reicht: "Dieser Chat wird von einer KI bereitgestellt." Zweitens: Synthetische Inhalte - also KI-generierte Texte, Bilder, Audios oder Videos - müssen maschinenlesbar als solche gekennzeichnet sein. Drittens: Deepfakes, also täuschend echte Darstellungen realer Personen, brauchen eine gut sichtbare Kennzeichnung für Menschen.

Was bedeutet "maschinenlesbar"? Die EU-Kommission empfiehlt C2PA-Metadaten oder ähnliche Standards. Für den Mittelstand reicht in der Praxis meist ein sichtbarer Hinweis am Content selbst, plus ein Vermerk in der Datenschutzerklärung. Wir haben gesehen, dass Teams hier oft überrechtfertigen. Ein kleines Label unter dem Bild oder ein Satz im Footer der Email löst das Thema meistens sauber.

AI Act trifft DSGVO: Das Register of Processing Activities erweitern

Laut einer Umfrage des BMWK aus dem Herbst 2024 haben 68 Prozent der mittelständischen Unternehmen ihr DSGVO-Verzeichnis der Verarbeitungstätigkeiten (ROPA) seit fünf Jahren nicht mehr grundlegend überarbeitet. Genau dieses Dokument ist jetzt der natürliche Ort für KI-Einträge. Wer ChatGPT für Kundenkommunikation nutzt, verarbeitet personenbezogene Daten - und das gehört ins ROPA.

Der AI Act bringt eigene Dokumentationspflichten mit, aber für Marketing-Use-Cases überlappen sie sich zu großen Teilen mit der DSGVO. Unser Tipp: kein paralleles KI-Register aufbauen, sondern das bestehende ROPA um KI-spezifische Felder erweitern. Welches Modell? Welcher Anbieter? Welche Daten gehen rein? Gibt es einen Auftragsverarbeitungsvertrag? Wer ist intern verantwortlich?

Ein häufiger Stolperstein: US-Anbieter wie OpenAI verarbeiten Daten in den USA. Seit dem EU-US Data Privacy Framework von 2023 ist das grundsätzlich möglich, aber die Rechtslage bleibt fragil. Wir empfehlen, für sensible Kundendaten entweder europäische Anbieter zu prüfen oder klare Leitplanken zu definieren, was überhaupt in die Prompts darf.

Eine kurze Frage zur Selbstprüfung: Wissen Sie aus dem Kopf, welche KI-Tools Ihre Marketing-Abteilung diese Woche genutzt hat? Wenn nein, ist das der erste Schritt - bevor irgendjemand über Risikoklassen oder Sanktionen redet.

Sanktionen, Haftung und was der Mittelstand jetzt tun sollte

Die Bußgelder sind gestaffelt. Für verbotene KI-Praktiken drohen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Für Verstöße gegen andere Pflichten bis zu 15 Millionen Euro oder 3 Prozent. Falsche Angaben gegenüber Behörden kosten bis zu 7,5 Millionen Euro. Die EU-Kommission hat im April 2025 angekündigt, dass KMU bei der Bemessung berücksichtigt werden - aber eine generelle Ausnahme gibt es nicht.

Was heißt das für die Praxis? Wir empfehlen Mittelständlern einen pragmatischen Dreischritt. Erstens: Inventar. Eine einfache Liste aller KI-Tools im Marketing, inklusive Anbieter, Zweck und verarbeiteter Daten. Zweitens: Transparenz. Hinweise auf der Website, im Chatbot, unter KI-Bildern, in der Datenschutzerklärung. Drittens: Governance. Eine benannte Person, die für KI-Themen ansprechbar ist - muss nicht Vollzeit sein, aber muss existieren.

Wer diese drei Schritte sauber erledigt, deckt aus unserer Sicht rund 80 Prozent der Marketing-relevanten Pflichten ab. Der Rest ist Feinarbeit und hängt vom konkreten Setup ab. Wichtig ist, nicht in die Starre zu verfallen. Der AI Act ist kein Grund, KI im Marketing zu stoppen - er ist ein Grund, sie strukturiert einzusetzen.

Häufige Fragen zum EU AI Act im Marketing

Gilt der EU AI Act auch für kleine Unternehmen?

Ja. Der AI Act kennt keine generelle KMU-Ausnahme. Die Pflichten gelten unabhängig von der Unternehmensgröße, werden bei der Bemessung von Sanktionen aber berücksichtigt. Für die meisten Marketing-Use-Cases im Mittelstand ist der Aufwand trotzdem überschaubar.

Müssen wir KI-generierte Bilder in Social-Media-Posts kennzeichnen?

Ja, wenn sie reale Personen oder Ereignisse täuschend echt darstellen (Deepfake-Regel). Bei klar synthetischen Bildern - Illustrationen, Produktvisualisierungen, abstrakte Grafiken - reicht nach aktueller Auslegung eine allgemeine Kennzeichnung, etwa im Footer oder im Impressum des Kanals.

Reicht es, ChatGPT-Nutzung in der Datenschutzerklärung zu erwähnen?

Das ist ein wichtiger Baustein, aber nicht ausreichend. Wenn Sie Kunden direkt mit einem KI-Chatbot interagieren lassen, brauchen Sie einen Hinweis am Kontaktpunkt selbst. Die Datenschutzerklärung deckt die DSGVO-Seite ab, nicht die AI-Act-Transparenzpflicht im Chat.

Was ist der Unterschied zwischen GPAI-Pflichten und Hochrisiko-Pflichten?

GPAI-Pflichten (ab August 2025) treffen die Anbieter großer Basismodelle wie OpenAI oder Google. Als Marketing-Nutzer sind Sie davon indirekt betroffen, weil Ihre Anbieter die Vorgaben erfüllen müssen. Hochrisiko-Pflichten (ab August 2026) treffen spezifische Einsatzbereiche - Marketing-Standardanwendungen fallen meist nicht darunter.

Brauchen wir einen KI-Beauftragten?

Der AI Act schreibt keinen eigenen KI-Beauftragten vor, anders als die DSGVO beim Datenschutzbeauftragten. Es gibt aber eine Pflicht zur KI-Kompetenz im Unternehmen (Artikel 4). Praktisch heißt das: benannte Verantwortlichkeit und dokumentierte Schulung der Mitarbeitenden, die KI einsetzen.

Sie wollen wissen, wo Ihr Marketing heute steht? Wir machen mit mittelständischen Unternehmen kompakte AI-Act-Checks: Inventar, Lücken, Maßnahmen. Meist innerhalb einer Woche umsetzbar. Sprechen Sie uns an.

AI-Act-Check für Ihr Marketing - in einer Stunde Klarheit.

Wir prüfen Ihre KI-Use-Cases im Marketing auf Compliance und liefern die Checkliste für Ihre Dokumentation.

Compliance-Check buchen
mindmelt Frankfurt
hallo@mindmelt.de