Schaut man sich an, wie KI-Tools heute in Marketing-Abteilungen eingesetzt werden, ergibt sich ein ziemlich klares Bild: ChatGPT für Texte, Midjourney für Bilder, KI-gestützte Automatisierungen für E-Mail-Kampagnen, Chatbots im Kundenservice. Die Tools sind da, die Nutzung ist real, und in den meisten Teams fehlt trotzdem jede verbindliche Regelung dazu.
Wer darf welche Tools nutzen? Welche Kundendaten dürfen in externe KI-Systeme eingegeben werden? Wer prüft, ob ein KI-generierter Text zur Marke passt, bevor er veröffentlicht wird? Und ab August 2026 kommt eine weitere Frage dazu, die viele Teams noch gar nicht auf dem Schirm haben: Welche KI-generierten Inhalte müssen eigentlich gekennzeichnet werden und welche nicht? Diese Fragen sind in den wenigsten Marketing-Abteilungen schriftlich beantwortet.
Seit Februar 2025 ist das kein internes Organisationsthema mehr. Der EU AI Act - die weltweit erste umfassende KI-Regulierung - ist schrittweise in Kraft getreten und stellt Unternehmen vor konkrete Pflichten. Auch und gerade im Marketing. Eine interne KI-Richtlinie ist damit keine optionale Maßnahme für besonders vorausschauende Teams, sondern eine rechtliche Anforderung mit Dokumentationspflicht.
Die gute Nachricht: Wer das jetzt strukturiert angeht, baut nicht nur Compliance auf. Er schafft die Grundlage für skalierbares, vertrauenswürdiges KI-Marketing, und das ist ein echter Wettbewerbsvorteil.
Der EU AI Act, der am 1. August 2024 in Kraft getreten ist, folgt einem risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte, Sicherheit oder gesellschaftliche Integrität, desto strenger die Anforderungen. Das klingt zunächst nach einem Thema für Hochrisiko-Branchen wie Gesundheit oder Justiz - trifft Marketing-Teams aber an mehreren konkreten Punkten.
Unternehmen, die KI-Tools wie ChatGPT, Midjourney oder Automatisierungsplattformen nutzen, gelten im Sinne des AI Act als Betreiber. Das bedeutet: Sie tragen Verantwortung für den sachgemäßen Einsatz dieser Systeme - unabhängig davon, ob sie die Tools selbst entwickelt haben oder nur nutzen. Wie der Bundesverband Marketing Clubs (BVMC) es treffend formuliert: Sobald ein Unternehmen KI-Sprachmodelle betrieblich nutzt, gilt es als deren Betreiber, mit allen Pflichten, die daran hängen.
Für Marketing-Teams sind dabei vor allem drei Bereiche relevant:
Schulungspflicht (Art. 4, seit Februar 2025): Alle Mitarbeitenden, die KI-Systeme nutzen - also auch wer täglich mit ChatGPT arbeitet - müssen nachweislich über ausreichende KI-Kompetenz verfügen. Das Gesetz schreibt nicht vor, wie diese Kompetenz aufgebaut wird. Es schreibt allerdings vor, dass der Aufbau dokumentiert ist.
Verbot manipulativer KI-Systeme (seit Februar 2025): KI-Systeme, die Nutzer:innen durch das Ausnutzen von Schwächen oder unbewussten Verhaltensmustern manipulieren, sind verboten. Das ist für Targeting, Personalisierung und Behavioral Marketing relevant, auch wenn die Grenzen im Einzelfall noch ausgelegt werden müssen.
Transparenzpflichten (Art. 50, ab August 2026): KI-Chatbots im Kundenservice müssen als solche erkennbar sein. KI-generierte Inhalte - Deepfakes, synthetische Bilder, KI-Texte in bestimmten Kontexten - müssen gekennzeichnet werden. Wer heute schon Chatbots einsetzt oder KI-Content veröffentlicht, sollte diese Anforderung bereits mitdenken.
Hinzu kommt die DSGVO-Schnittstelle, die bereits heute gilt: Kundendaten, die in externe KI-Systeme eingegeben werden, gelten als Offenlegung gegenüber Dritten. Daher muss euer Consent Management auch die KI-Nutzung abdecken.
Das Profiling und die Personalisierung unterliegen ohnehin DSGVO-Anforderungen - die Kombination mit KI verschärft diese Anforderungen zusätzlich. Weitere Hintergründe dazu liefert die IHK München in ihrem AI Act Ratgeber.
Die Kennzeichnungspflicht nach Art. 50 AI Act ist eines der meistdiskutierten Themen rund um den EU AI Act - und gleichzeitig eines der am häufigsten falsch verstandenen. Denn die Pflicht gilt nicht pauschal für jeden KI-generierten Text oder jedes KI-Bild. Sie ist gezielt und folgt einer klaren Logik: Wo besteht echtes Täuschungspotenzial? Wo könnten Menschen glauben, mit einem Menschen zu interagieren oder echte Inhalte zu sehen?
Die Wettbewerbszentrale hat dazu im Februar 2026 einen Leitfaden veröffentlicht, der Unternehmen konkrete Orientierung gibt. Das Ergebnis für Marketing-Teams ist differenzierter, als viele erwarten - und in manchen Punkten auch überraschend.
|
Content-Art |
Kennzeichnungspflicht ab Aug. 2026 |
Bedingung / Hinweis |
|
Chatbot / Voicebot (Kundenservice, Website) |
Ja - immer |
Hinweis zu Beginn der Interaktion; Ausnahme nur wenn KI-Charakter offensichtlich ist |
|
Deepfakes (täuschend echte Bilder/Videos/Stimmen von realen Personen) |
Ja - immer |
Keine Ausnahme durch redaktionelle Prüfung; bei Kunst/Satire: Kennzeichnung in angemessener Form |
|
KI-Texte und Pressemitteilungen zu öffentlichem Interesse (z.B. politische Themen, gesellschaftliche Debatten) |
Ja - wenn keine Redaktion |
Entfällt, wenn ein Mensch den Text inhaltlich geprüft hat und redaktionelle Verantwortung übernimmt |
|
Werbetexte / Produktbeschreibungen |
Nein |
Kein "öffentliches Interesse" im Sinne des Gesetzes; redaktionelle Prüfung empfohlen, aber keine Pflicht |
|
Social-Media-Posts (Marketing) |
Nein |
Plattformen wie Meta, TikTok und YouTube haben eigene Label-Pflichten - diese gelten zusätzlich |
|
Newsletter / E-Mails |
Nein |
Gilt nicht als öffentliche Kommunikation; freiwillige Kennzeichnung möglich |
|
Whitepaper / PDFs |
Nein |
Solange kein öffentliches Interesse-Thema und redaktionelle Kontrolle vorhanden |
|
KI-Bilder (abstrakt/stilisiert, kein Deepfake) |
Nein |
Wenn kein Deepfake-Charakter vorliegt; bei künstlerischen Motiven genügt angemessene Kennzeichnung |
Quelle: Wettbewerbszentrale, Leitfaden "Kennzeichnung KI-generierter Inhalte" (Februar 2026); EU AI Act Art. 50.
Für Marketing-Teams bedeutet das in der Praxis: Der größte Teil des alltäglichen KI-Einsatzes - Werbetexte, Produktbeschreibungen, Newsletter, Social-Media-Captions - ist nach dem AI Act nicht kennzeichnungspflichtig, solange keine Deepfakes im Spiel sind und eine redaktionelle Prüfung stattfindet. Wo es ernst wird, sind drei Bereiche:
Chatbots im Kundenservice,
täuschend echte KI-Medien mit realen Personen
und Inhalte, die öffentliche Debatten beeinflussen sollen.
Ein wichtiger Zusatz: Plattformregeln laufen parallel zum AI Act. Meta, TikTok und YouTube verlangen bereits heute eigene KI-Labels für bestimmte Inhalte - unabhängig davon, was der AI Act vorschreibt. Wer auf diesen Kanälen KI-generierte Inhalte veröffentlicht, sollte beide Regelwerke im Blick haben.
|
Datum |
Regelung |
Relevanz für Marketing |
|
1. August 2024 |
AI Act in Kraft getreten |
Grundlage für alle folgenden Pflichten |
|
2. Februar 2025 |
Schulungspflicht (Art. 4) + Verbot manipulativer KI |
Sofortiger Handlungsbedarf: Dokumentation, Schulung |
|
2. August 2025 |
GPAI-Regeln, Bundesnetzagentur als Aufsichtsbehörde |
Generative KI-Modelle mit systemischem Risiko reguliert |
|
2. August 2026 |
Transparenzpflichten (Art. 50), Hochrisiko-KI-Vorschriften |
Kennzeichnungspflicht für Chatbots und KI-Content |
|
2. August 2027 |
AI Act vollumfänglich gültig |
Alle Regelungen greifen vollständig |
Quelle: IHK München, AI Act Ratgeber (2025). Die Tabelle zeigt die für Marketing-Teams relevanten Meilensteine - vollständige Regelungen gelten ab August 2027.
Die Realität in vielen Marketing-Abteilungen sieht heute so aus: KI-Tools werden genutzt, weil sie die Arbeit erleichtern. Aber wer sie nutzt, wie, mit welchen Daten und mit welchem Ergebnis - das ist nirgendwo geregelt. Fünf Szenarien, die in der Praxis regelmäßig auftreten:
Jede:r macht es anders. Ob und wie KI-Tools eingesetzt werden, entscheidet jede:r Mitarbeiter:in für sich. Was erlaubt ist, steht nirgendwo. Was verboten ist, auch nicht.
Kundendaten landen in externen Systemen. Texte werden mit echten Kundennamen, Kontaktdaten oder Kaufhistorien in ChatGPT eingegeben. Ohne Datenschutzprüfung, ohne Freigabe, ohne Dokumentation.
KI-Output geht direkt live. Texte, Bilder und Kampagneninhalte werden aus KI-Tools direkt übernommen, ohne Qualitätsprüfung, ohne Markenkonsistenz-Check, ohne redaktionelle Verantwortung.
Automatisierungen laufen unkontrolliert. E-Mail-Kampagnen und automatisierte Flows laufen weiter, ohne dass jemand prüft, ob die Inhalte noch aktuell, korrekt und markenkonform sind.
Keine Klassifizierung sensibler Daten. Welche Daten dürfen in welche Systeme? Kundendaten, Preisstrategien, Wettbewerbsanalysen: eine Klassifizierung fehlt, also entscheidet der Zufall.
Diese Szenarien sind keine Ausnahmen. Oft sind sie der Standard in Unternehmen, die KI schnell eingeführt haben, ohne die Governance mitzudenken. Und sie haben inzwischen einen rechtlichen Preis.
Eine interne KI-Richtlinie für Marketing-Teams darf nicht als Compliance-Dokument behandelt werden, das in der Schublade verschwindet. Sie sollte stattdessen das operative Regelwerk darstellen, das KI-Nutzung erst skalierbar und sicher macht.
Hier sind sechs Bereiche, die sie abdecken muss:
Die Richtlinie legt fest, welche KI-Tools im Marketing-Team freigegeben sind - und welche nicht. Das schließt Sprachmodelle, Bildgeneratoren, Automatisierungstools und KI-gestützte Analyse-Plattformen ein. Nicht freigegebene Tools dürfen nicht für Arbeitszwecke genutzt werden, auch nicht "kurz mal eben".
Eine klare Klassifizierung legt fest, welche Daten in externe KI-Systeme eingegeben werden dürfen. Personenbezogene Kundendaten, Preisstrategien, interne Strategiepapiere und Wettbewerbsanalysen gehören in der Regel nicht in externe Sprachmodelle. Die Richtlinie regelt das verbindlich - und schafft damit auch DSGVO-Konformität. Mehr zu Datenbasis und Tracking findet ihr in unserem Glossar.
KI-generierte Inhalte brauchen einen definierten Review-Prozess, bevor sie veröffentlicht werden. Das gilt für Texte, Bilder, Kampagneninhalte und automatisierte Kommunikation. Die Richtlinie legt fest, wer prüft, nach welchen Kriterien und wer die finale Freigabe erteilt.
KI-Outputs müssen auf Faktentreue, Tonalität und Markenkonsistenz geprüft werden. Die Richtlinie definiert, welche Standards gelten und stellt sicher, dass KI-generierte Inhalte nicht unkontrolliert die Markenkommunikation verwässern.
Ohne klare Verantwortlichkeiten bleibt jede Richtlinie wirkungslos. Die Richtlinie benennt, wer für die Tool-Freigabe zuständig ist, wer Datenschutzfragen klärt, wer Schulungen verantwortet und wer bei Verstößen ansprechbar ist. Typischerweise liegt die Gesamtverantwortung bei der Marketingleitung, die Datenschutzfragen werden mit der:dem Datenschutzbeauftragten abgestimmt.
Die Schulungspflicht nach Art. 4 AI Act erfordert nicht nur, dass Mitarbeitende geschult werden: Sie erfordert auch, dass dieser Prozess dokumentiert ist. Die Richtlinie legt fest, welche Schulungsformate gelten, wie oft sie stattfinden und wie die Teilnahme nachgewiesen wird. Regelmäßige Auffrischungen sind Pflicht, weil sich KI-Tools und rechtliche Anforderungen kontinuierlich weiterentwickeln.
Wer KI-Governance als isoliertes Compliance-Thema behandelt, verpasst den eigentlichen Hebel. Denn eine gut aufgebaute KI-Richtlinie ist keineswegs eine Bremse für Marketing-Teams, sondern die Voraussetzung dafür, dass der KI-Einsatz überhaupt skalierbar wird.
Stellt euch vor, ihr habt 15 Mitarbeitende im Marketing, die alle KI-Tools nutzen - aber jede:r nach eigenem Ermessen, mit unterschiedlichen Qualitätsstandards und ohne gemeinsame Datenbasis. Das Ergebnis ist kein skalierbares KI-Marketing, sondern organisiertes Chaos mit Compliance-Risiko.
Eine KI-Richtlinie schafft die Grundlage für etwas anderes: ein Marketing Operating System, in dem KI-Tools, Daten, Prozesse und Automatisierungen als zusammenhängendes System funktionieren. Governance ist dabei keine Schicht obendrauf, sondern das Fundament. Ohne klare Regeln, wer was mit welchen Daten in welchen Systemen tun darf, lässt sich kein verlässlicher, automatisierter Marketing-Prozess aufbauen.
Das verbindet sich direkt mit Fragen der KPI-Steuerung und Messbarkeit: Wer KI-Outputs nicht kontrolliert, kann auch nicht messen, ob sie wirken. Und wer nicht messen kann, kann nicht optimieren. Mehr dazu, wie ihr Marketing-Ergebnisse messbar macht, findet ihr in unserem Beitrag Marketing-ROI messen: KPIs, die wirklich zählen.
Die Chancen einer sauber aufgebauten KI-Governance sind dabei erheblich:
Schnellere Prozesse: Klare Freigaberegeln beschleunigen die Content-Produktion, weil niemand mehr im Unklaren ist, was erlaubt ist.
Höhere Qualität: Definierte Review-Prozesse sorgen dafür, dass KI-Outputs konsistent und markenkonform sind.
Vertrauen als Differenzierungsmerkmal: Unternehmen, die transparent mit KI-Nutzung umgehen und Kennzeichnungspflichten proaktiv erfüllen, bauen Vertrauen auf - bei Kund:innen und bei Regulierungsbehörden.
Skalierbarkeit: Wer heute Governance aufbaut, kann morgen KI-Prozesse ausweiten, ohne jedes Mal von vorne anfangen zu müssen.
Rechtssicherheit als Wettbewerbsvorteil: Ähnlich wie die DSGVO langfristig zum globalen Standard wurde, kann der AI Act für Unternehmen, die früh compliant sind, zum Vertrauenssignal werden.
Wie das mit E-E-A-T - also Erfahrung, Expertise, Autorität und Vertrauenswürdigkeit - zusammenhängt, die Google als Qualitätssignal für Inhalte nutzt, erklären wir in unserem Beitrag zu E-E-A-T im Digital Marketing.
Die KI-Governance (Dimension 6 rechts unten) ist keine isolierte Compliance-Aufgabe, sondern integraler Bestandteil eines funktionierenden Marketing Operating Systems. Alle 6 Dimensionen greifen ineinander.
Eine KI-Richtlinie muss nicht perfekt sein, um zu wirken. Sie muss vor allem vollständig genug sein, um klare Orientierung zu geben - und flexibel genug, um mit der Entwicklung von KI-Tools und rechtlichen Anforderungen mitzuwachsen.
Wir präsentieren euch 5 Schritte, die sich in der Praxis bewährt haben:
Bevor ihr regeln könnt, müsst ihr wissen, was bereits im Einsatz ist. Erstellt ein KI-Inventar: Welche Tools nutzt das Marketing-Team, offiziell und inoffiziell? Welche Prozesse sind bereits KI-gestützt? Welche Daten fließen dabei wohin? Diese Bestandsaufnahme ist auch die Grundlage für die Risikoklassifizierung nach AI Act.
Klassifiziert eure Daten nach Sensitivität: Welche Informationen sind intern, welche vertraulich, welche dürfen in externe Systeme? Stimmt diese Klassifizierung mit eurer:eurem Datenschutzbeauftragten ab. Das Ergebnis ist eine klare Regel, die jede:r im Team versteht und anwenden kann.
Legt fest, welche KI-Outputs einen Review-Prozess durchlaufen müssen, bevor sie veröffentlicht oder genutzt werden. Definiert, wer prüft, nach welchen Kriterien und wer die finale Freigabe erteilt. Automatisierte Kampagnen brauchen zusätzlich einen Prozess für regelmäßige Überprüfung auf Aktualität und Markenkonformität.
Wie ihr Freigabeprozesse und Kampagnenabläufe so aufbaut, dass sie mit eurem Team mitwachsen, zeigen wir in unserem Beitrag Marketingprozesse skalieren.
Entwickelt ein Schulungsformat, das zur Größe und Struktur eures Teams passt - ob interner Workshop, Online-Kurs oder externe Schulung. Wichtig ist die Dokumentation: Wer wurde wann geschult, mit welchen Inhalten? Diese Dokumentation ist der Nachweis für die Schulungspflicht nach Art. 4 AI Act. Plant regelmäßige Auffrischungen ein, mindestens einmal jährlich: es lohnt sich, auch jenseits der Nachweispflicht.
Eine KI-Richtlinie ist kein statisches Dokument. KI-Tools entwickeln sich weiter, rechtliche Anforderungen konkretisieren sich, und die Nutzung im Team verändert sich. Plant feste Review-Zyklen ein - mindestens halbjährlich - und passt die Richtlinie entsprechend an. Ab August 2026 greifen die Transparenzpflichten nach Art. 50, was weitere Anpassungen erfordern wird. Wie ihr dabei SEO-Trends 2026 und die Anforderungen an KI-generierten Content zusammendenkt, erklären wir in unserem Beitrag zu den wichtigsten SEO-Entwicklungen des Jahres.
Wir sind überzeugt: Der EU AI Act ist gut und sinnvoll. Das klingt vielleicht überraschend, aber die Logik dahinter ist dieselbe wie bei der DSGVO: Wer klare Regeln hat, schafft Vertrauen - bei Kund:innen, bei Partnern, bei Regulierungsbehörden. Und wer Vertrauen hat, kann schneller skalieren als Wettbewerber, die das Thema aussitzen.
Für Marketing-Teams bedeutet das konkret: Eine interne KI-Richtlinie ist der Anfang - und nicht das Ende - eines wirklich funktionierenden KI-Einsatzes, weil er auf einer sauberen Datenbasis steht, klare Prozesse hat und von einem Team getragen wird, das weiß, was es tut.
Die Unternehmen, die das jetzt strukturiert angehen, werden in zwei Jahren nicht mehr erklären müssen, warum sie KI verantwortungsvoll einsetzen. Sie werden es einfach tun, und das wird sichtbar sein.