Person sitzt an Schreibtisch und nutzt Chatbot.
25. November 2025   Jonas Portwich
# Künstliche Intelligenz | # Best Practices

KI im Marketing – Was Unternehmen jetzt beachten müssen

Künstliche Intelligenz (KI) hat längst Einzug in den Marketingalltag gehalten. Ob bei der Analyse von Zielgruppen, der Erstellung von Inhalten oder der Optimierung von Werbekampagnen – der Einsatz von KI-Tools verspricht Effizienz, Präzision und Skalierbarkeit. Doch mit den neuen technischen Möglichkeiten gehen auch rechtliche Pflichten einher. Spätestens mit dem Inkrafttreten der europäischen KI-Verordnung (KI-VO) muss der Einsatz von Unternehmen durchdacht und bewertet werden. 

Rechtliche Doppelstruktur: DSGVO und KI-VO

Für Unternehmen und andere Organisationen ergibt sich künftig eine zweigliedrige Prüfung: Zum einen ist zu bewerten, ob personenbezogene Daten rechtmäßig verarbeitet werden (DSGVO), zum anderen, ob der Einsatz des KI-Tools selbst nach der KI-VO zulässig ist. Beide Regelwerke greifen ineinander, behandeln jedoch unterschiedliche Aspekte. Darüber hinaus müssen regelmäßig, insbesondere im Marketing, noch andere Gesetze, z.B. das Gesetz gegen den unlauteren Wettbewerb beachtet werden. 

Die DSGVO legt fest, ob und unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen – etwa auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO oder zur Erfüllung eines Vertrags. Die KI-VO dagegen bewertet den Zweck und das Risiko des KI-Einsatzes primär unabhängig von der Art der Datenverarbeitung.

Ein Beispiel verdeutlicht die Abgrenzung: Ein Unternehmen nutzt Kundendaten, um mithilfe einer KI personalisierte Produktempfehlungen in einer App auszuspielen. Die Datenverarbeitung ist aus Datenschutzsicht zulässig, wenn eine wirksame Einwilligung der Nutzer vorliegt und die Transparenzpflichten erfüllt sind. Der Einsatz der KI selbst kann dennoch problematisch sein, wenn er Menschen – etwa durch verdeckte Beeinflussung oder emotionale Manipulation – zu übermäßigem Konsum verleitet. In diesem Fall wäre das KI-Tool nach der KI-VO vielleicht verboten, selbst wenn die Datenverarbeitung datenschutzrechtlich rechtmäßig erfolgt. Das Verbot könnte hierbei auf Art. 5 KI-VO basieren. Danach dürfen, verkürzt dargestellt, manipulative oder unterschwellige Techniken dann nicht eingesetzt werden, wenn diese beim Anwender zu selbstschädigenden Entscheidungen führen. 


Risikoklassen und Verbote nach der KI-VO

Nebst den verbotenen Systemen gibt es in der KI-VO noch insbesondere die als hochriskant klassifizierten Anwendungsfälle, die eine besondere Aufmerksamkeit benötigen. Im Marketingumfeld sind insbesondere folgende Anwendungsfälle kritisch:

  • Manipulation durch unbemerkte Verhaltenssteuerung: z.B. KI, die Kinder zu In-App-Käufen animiert (verboten)
  • Ausnutzung von Vulnerabilität: Werbung, die gezielt Notlagen ausnutzt (verboten)
  • Social-Scoring: Unsachgemäße Bewertung von Menschen nach Verhalten (verboten)
  • Emotionserkennung: Analyse von Mimik im Store (verboten/hochriskant)
  • Biometrische Identifikation: Gesichtserkennung für personalisierte Werbung (verboten/hochriskant)

Für sogenannte Hochrisiko-KI-Systeme gelten umfassende Pflichten: Risikoanalysen, technische Dokumentation, Qualitätsmanagement und umfangreiche Überwachung. Unternehmen müssen künftig prüfen, ob ihre Marketing-Tools in diese Kategorie fallen und entsprechende vorgeschriebene Maßnahmen umsetzen. Insbesondere die Überwachung von als hochriskant eingeschätzten Systemen bedarf umfangreicher Maßnahmen i.R. eines umfassenden Risk-Managements. 

Verantwortlichkeiten: Anbieter und Betreiber

Die KI-VO unterscheidet u.a. zwischen Anbietern (meist Hersteller oder Inverkehrbringer) und Betreibern (Organisationen, die ein KI-System einsetzen). Wer ein KI-Modell/System für den eigenen Betrieb einkauft oder lizenziert, gilt grundsätzlich als Betreiber. Wer dagegen ein eigenes System entwickelt oder bestehende KI-Modelle mit eigenen Daten nachtrainiert, kann zum Anbieter werden – mit deutlich höheren Pflichten. Sie können also als Organisation, welche KI einsetzt, je nach individueller Ausgestaltung Anbieter, Betreiber oder beides sein.

Praktische Empfehlungen


  1. Zweckprüfung und Risikoeinstufung: Klären Sie vor dem Einsatz eines KI-Tools, zu welchem Zweck personenbezogene Daten verarbeitet werden bzw. das KI-Tool betrieben wird – und ob dieser Zweck datenschutzrechtlich sowie nach der KI-VO zulässig ist.

  2. Dokumentation und KI-Klassifizierung: Prüfen und Klassifizieren Sie das KI-Tool anhand der KI-VO. Prüfen Sie insbesondere, ob ein verbotenes System oder Hochrisikosystem vorliegt.
    Praxis-Tipp: Bei der systematischen Klassifizierung können Software-Lösungen wie das Modul „Künstliche Intelligenz“ von DSN port unterstützen.

  3. Vertragliche Absicherung: Prüfen Sie Auftragsverarbeitungsverträge (Art. 28 DSGVO) und in diesem Rahmen insbesondere die Nutzung von Daten zu (eigenen) Zwecken, z. B. KI-Trainingszwecken. Prüfen Sie zudem Lizenz- und urheberrechtlichen Regelungen (i.d.R. im Dienstleistungsvertrag/ Service-Level-Agreement) zum Schutz des geistigen Eigentums und der Geschäftsgeheimnisse.

  4. Transparenz wahren: Informieren Sie Mitarbeitende und Betroffene, wann KI-Tools eingesetzt werden und welche Daten betroffen sind. Diese Pflichten ergeben sich aus DSGVO (Art. 13) und KI-VO (Art. 50).

  5. Schulung und Richtlinien: Führen Sie klare interne Richtlinien zur Nutzung von KI-Tools ein und halten sie diese aktuell. Stellen Sie zudem sicher, dass Mitarbeitende regelmäßig zu Datenschutz und dem verantwortungsvollen Umgang mit KI-Systemen geschult werden.
         Praxis-Tipp: Zur Unterstützung können strukturierte Lernangebote und Weiterbildungen genutzt werden, beispielsweise:
    - die eLearnings zur Künstlichen Intelligenz von DSN train oder 
    - die Angebote der DSN Akademie zur Künstlichen Intelligenz 

    Zum DSN port Modul „Künstliche Intelligenz“ erhalten Sie zudem eine Muster-Richtlinie, die als Grundlage für interne Vorgaben genutzt werden kann.

  6. Überwachung und regelmäßige Evaluation Evaluieren Sie regelmäßig den rechtmäßigen Einsatz von KI-Tools und die Sicherstellung der Einhaltung der DSGVO. Dokumentieren und überwachen Sie zudem bei Bedarf den Einsatz von KI-Tools, insbesondere bei entsprechender Hochrisiko-Einschätzung.
    Praxis-Tipp: Zur strukturierten Dokumentation können spezielle Software-Lösungen wie das Modul „Künstliche Intelligenz“ von DSN port genutzt werden.

Fazit

KI eröffnet im Marketing enorme Potenziale – aber auch neue Risiken. Die Kombination aus DSGVO und KI-VO verlangt künftig ein bewussteres, dokumentiertes Vorgehen bei jeder Anwendung. Wer bereits jetzt prüft, welche Tools rechtlich sauber eingesetzt werden können, sichert nicht nur den eigenen Ruf, sondern auch die künftige Rechtssicherheit im Unternehmen. Denn die so genannte „Schatten-KI“ in Unternehmen wächst bedenklich – und birgt damit vielfältige Gefahren für die verarbeiteten personenbezogenen Daten sowie Ihre Geschäftsgeheimnisse.