Recht und DSGVO7 Min Lesezeit
EU AI Act, was im Marketing wirklich zählt
Redaktion brandneo
Die KI-Verordnung der EU ist seit 1. August 2024 in Kraft. Die wichtigsten Pflichten für Marketingteams greifen am 2. August 2026. Drei Bereiche sind im Marketing besonders relevant: die Klassifikation von KI-Systemen nach Risikostufen, die Transparenz-Pflichten für KI-generierte Inhalte und die Anforderungen an Anbieter von General-Purpose-AI (GPAI).
Zeitplan der wichtigsten Pflichten
| Datum | Was greift |
|---|---|
| 1. August 2024 | EU AI Act in Kraft |
| 2. Februar 2025 | Verbote bestimmter KI-Praktiken (z.B. Social Scoring) |
| 2. August 2025 | Pflichten für GPAI-Anbieter (Modell-Anbieter) |
| 2. August 2026 | Transparenz-Pflichten für Anwender, inkl. Kennzeichnung |
| 2. August 2027 | Pflichten für Hochrisiko-KI-Systeme |
Was als Hochrisiko gilt
Hochrisiko-KI-Systeme sind im AI Act explizit aufgelistet (Anhang III). Im Marketing eher selten direkt anwendbar, in drei Fällen aber doch relevant.
Recruiting und HR-Marketing. KI-Systeme, die Bewerbungen bewerten oder zur Auswahl beitragen, gelten als Hochrisiko.
Kreditwürdigkeits-Bewertung. Im Performance-Marketing für Finanzprodukte möglich.
Versicherungs-Pricing. Vergleichbar mit dem vorigen Punkt.
Transparenz-Pflichten ab 2. August 2026
Artikel 50 des AI Act regelt die Transparenz. Drei Pflichten betreffen Marketingteams direkt.
Pflicht 1: Kennzeichnung von synthetischen Inhalten. Anbieter von KI-Systemen müssen den Output maschinenlesbar als KI-generiert markieren (SynthID bei Google, C2PA-Watermarks bei Adobe und OpenAI).
Pflicht 2: Deepfake-Kennzeichnung. Wer KI-generierte Inhalte veröffentlicht, die echte Personen, Orte oder Ereignisse imitieren, muss das deutlich kennzeichnen.
Pflicht 3: Chatbot-Kennzeichnung. Nutzer:innen müssen erkennen können, dass sie mit einer KI interagieren.
GPAI-Pflichten
- Anbieter müssen technische Dokumentation und Transparenz-Informationen zu Trainingsdaten liefern.
- Anbieter müssen Risikobewertungen für ihre Modelle dokumentieren.
- Bei sehr großen Modellen (Systemic Risk) gelten zusätzliche Pflichten.
Vier Maßnahmen für erste Konformität
Maßnahme 1: KI-generierte Bilder, Videos und Audio sichtbar kennzeichnen. „Mit KI generiert" oder „AI-generated" am Asset. Bei Deepfakes verpflichtend.
Maßnahme 2: Chatbots klar als solche markieren. Im ersten Begrüßungs-Satz oder im UI-Bereich.
Maßnahme 3: Mitarbeitende quartalsweise schulen.
Maßnahme 4: Verantwortlichkeit definieren. Eine Person sollte die AI-Act-Konformität verantworten.
Sanktionen
| Verstoß | Sanktion |
|---|---|
| Verbotene KI-Praktiken | bis 35 Mio. Euro oder 7% Welt-Jahresumsatz |
| Verstoß gegen GPAI-Pflichten | bis 15 Mio. Euro oder 3% Welt-Jahresumsatz |
| Verstoß gegen Transparenz-Pflichten | bis 7,5 Mio. Euro oder 1,5% Welt-Jahresumsatz |
| Falsche Angaben gegenüber Behörden | bis 7,5 Mio. Euro oder 1,5% Welt-Jahresumsatz |
Take
Der EU AI Act ist nicht der nächste DSGVO-Tsunami, sondern eine pragmatische Verordnung mit klaren Stufen. Wer 2026 mit dem Setup beginnt, ist 2027 entspannt. Die wichtigste operative Verschiebung ist nicht die Sanktion, sondern die Pflicht zur Verantwortlichkeit.
Was offen bleibt
Die Durchsetzungs-Praxis ist 2026 noch nicht etabliert. In Deutschland ist die Bundesnetzagentur federführend für die AI-Act-Aufsicht. Erste Bußgeld-Verfahren werden frühestens Ende 2026 erwartet.
Verwandt