Was Marketing-Analytics aus dem EU AI Act lernen muss (auch ohne eigenes KI-Projekt)

Warum das auch ohne KI-Projekt ein Marketing-Thema ist

Im Marketing-Meeting fällt häufig die Frage „müssen wir uns um den EU AI Act kümmern?", und die Antwort lautet zu schnell „nein, wir bauen ja keine KI". Drei Monate später kommt der Datenschutzbeauftragte mit einer Liste von Fragen, die genau diese Annahme widerlegen.

Hier ist das Problem mit der Annahme: der EU AI Act definiert „KI-System" so breit, dass viele Marketing-Setups darunter fallen. Smart Bidding in Google Ads ist ein KI-System. Lookalike-Audiences in Meta sind KI-Systeme. Attribution-Modelle in GA4 sind KI-Systeme. Personalization-Engines in einem Shop sind KI-Systeme.

Die Frage ist nicht „betrifft uns das", sondern „in welcher Risiko-Kategorie liegt unser Setup, und welche Pflichten greifen daraus".

Der EU AI Act ist wie eine Bauvorschrift. Sie sagt nicht „es dürfen keine Häuser mehr gebaut werden", sie sagt „Häuser müssen diese und jene Eigenschaften haben, je nachdem ob es ein Wohnhaus, ein Krankenhaus oder ein Atomkraftwerk ist". Risiko-Klassifizierung statt Verbot.

Die Risiko-Klassifizierung

Der Act unterscheidet vier Stufen. Die Pyramide unten ist interaktiv, klick oder tab dich durch, um pro Stufe konkrete Marketing-Beispiele und die jeweilige Primär-Pflicht zu sehen.

Kurzfassung in Worten:

• Verboten (Unacceptable Risk). Social Scoring, manipulative Systeme, Echtzeit-Biometrische-Erkennung im öffentlichen Raum. Marketing-Setups erreichen diese Stufe nicht.
• Hochrisiko (High Risk). Bildungs- und Beschäftigungs-Systeme, kritische Infrastruktur, Biometrie. Auch nicht im Standard-Marketing. Ausnahme: HR-Recruitment-AI mit Personalbezug.
• Begrenztes Risiko (Limited Risk). Systeme die mit Menschen interagieren oder synthetische Inhalte erstellen. Chatbots, AI-generierte Bilder/Texte, Deepfake-Tools, Emotionserkennung. Hier gilt Transparenzpflicht: User müssen wissen, dass sie mit KI interagieren.
• Minimales Risiko (Minimal Risk). Alles andere, die meisten Marketing-Tools fallen hier rein. Smart Bidding, Lookalike-Audiences, Standard-Personalization. Hier greifen vor allem Dokumentations- und Aufsichts-Pflichten, aber keine spezifischen Compliance-Anforderungen am Tool selbst.

Für Marketing-Verantwortliche heißt das: in 95 Prozent der Fälle landen Setups in Minimal oder Limited Risk.

Welche Setups als KI-Systeme gelten

Die Definition im EU AI Act (Art. 3 Abs. 1): ein KI-System ist ein maschinengestütztes System, das mit unterschiedlichem Autonomie-Grad operiert, sich anpassen kann und aus erhaltenen Eingaben Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen ableitet.

Konkret im Marketing-Kontext. Tool für Tool, mit expliziter Risiko-Zuordnung:

• Google Ads Smart Bidding → KI-System, Minimal Risk. Algorithmen, die auf Basis von Conversion-Daten und User-Signalen Gebote setzen. Keine User-facing-Interaktion, kein synthetischer Content. Pflicht: Inventory + Provider-Vertrag.
• GA4 Predictive Audiences (Purchase Probability, Churn Probability) → KI-System, Minimal Risk. Algorithmische Klassifikation auf Cohort-Ebene ohne User-Interaktion. Pflicht: Dokumentation in der DSFA, kein User-Hinweis nötig.
• GA4 Data-Driven Attribution → KI-System, Minimal Risk. Algorithmus-basierte Verteilung der Conversion-Werte statt Last-Click. Keine User-facing-Konsequenz, also keine Transparenzpflicht.
• Meta Lookalike-Audiences → KI-System, Minimal Risk. Algorithmen, die auf Basis bestehender Kundengruppen ähnliche User identifizieren. Provider-Vertrag (Meta DPA) prüfen.
• Recommendation-Engines im Shop („Andere Kunden kauften auch") → KI-System, meist Minimal Risk. Solange keine massive Personalisierung mit Profilbildung erfolgt, reicht die Dokumentation.
• AI-Chatbots auf der Website (Intercom AI, Drift, custom GPT-Wrappers) → KI-System, Limited Risk. Hier greift die Transparenzpflicht: ein deutlicher Hinweis am Konversationsbeginn („Du chattest mit einem KI-Assistenten") ist Pflicht.
• GenAI für Blog- und Ad-Texte (Jasper, Copy.ai, in-house LLM-Workflows) → KI-System, Limited Risk. AI-generierte Inhalte müssen als solche gekennzeichnet sein. Branchenstandards wie das C2PA-Protokoll werden voraussichtlich relevant.
• AI-generierte Bilder / Werbevisuals (Midjourney, DALL·E, Stable Diffusion in Ad-Creatives) → KI-System, Limited Risk. Selbe Kennzeichnungspflicht wie bei Texten, speziell, wenn die Bilder echte Personen oder Produkte zeigen, die nicht echt sind.
• AI-Emotionsanalyse für UX-Optimierung (Affectiva, ähnliche Tools auf Webcam-Feeds) → KI-System, Limited Risk mit erhöhter Aufmerksamkeit. Falls die Analyse in einem Recruiting- oder HR-Kontext stattfindet, kippt sie in High Risk.
• Marketing Mix Modelling (MMM). Grenzfall, meist kein „KI-System" im engeren Sinne, weil keine adaptive Entscheidung getroffen wird. Hängt aber vom konkreten Tool ab.
• Heatmap- / Session-Recording-Tools (Hotjar, Contentsquare). Wenn sie Patterns automatisiert erkennen oder personalisieren, möglicherweise KI-System. Reine Aufzeichnung, nicht.

Faustregel: wenn ein Tool aus Daten Vorhersagen oder Empfehlungen ableitet und sich dabei anpasst, ist es ein KI-System nach dem EU AI Act. Wenn es zusätzlich mit Menschen interagiert oder synthetische Inhalte erzeugt, springt es von Minimal auf Limited Risk.

Was Limited Risk wirklich heißt

Wenn ein Setup in Limited Risk fällt, typischerweise wegen Chatbots, AI-generierten Inhalten oder Emotionserkennung, gelten drei Pflichten:

Transparenz. User müssen wissen, dass sie mit einem KI-System interagieren. Beim Chatbot heißt das: ein Hinweis am Anfang der Konversation, nicht versteckt im Footer. Bei AI-generierten Bildern: kein „echtes Foto"-Eindruck ohne Hinweis.

Kennzeichnung. AI-generierte Inhalte müssen als solche gekennzeichnet sein. Das gilt für Marketing-Texte, die ein LLM geschrieben hat, und für Bilder, die ein Bildgenerator erzeugt hat. Wie genau die Kennzeichnung aussieht, definiert noch die Verordnungspraxis. Branchenstandards wie das C2PA-Protokoll werden voraussichtlich relevant.

Dokumentation. Welche KI-Systeme sind im Einsatz? Zu welchem Zweck? Mit welchen Daten? In der Datenschutz-Folgeabschätzung, oder einer separaten AI-Folgeabschätzung, dokumentiert. Aufsichtsbehörden fragen seit Q1 2026 aktiv nach dieser Dokumentation.

Was Minimal Risk wirklich heißt

Auch in Minimal Risk gelten Pflichten, aber sie sind weniger streng:

Inventory. Welche KI-Systeme sind im Setup? Smart Bidding ja oder nein. Lookalike-Audiences ja oder nein. Recommendation-Engine ja oder nein. Eine einfache Liste im internen Wiki reicht.

Provider-Vertrag. Wer ist der Anbieter des KI-Systems? Google für Smart Bidding, Meta für Lookalikes, der Shop-Anbieter für Recommendations. Vertragslage prüfen, speziell die DPA-Klauseln zur KI-Nutzung.

Daten-Output dokumentieren. Wenn das KI-System Entscheidungen für Marketing-Aktivitäten trifft (z. B. wer welche Anzeige sieht), gilt es zu dokumentieren: welche Daten gehen rein, was kommt raus. Das ist 80 Prozent dasselbe wie eine Datenschutz-Folgeabschätzung, wer eine hat, ist schon weit.

Fünf-Punkte-Checkliste

Die wichtigsten fünf Schritte als interaktive Checkliste, abhaken, was bereits erledigt ist:

Als Text-Fallback (für Druck oder Kopieren ins interne Wiki):

1. AI-Inventory machen. Welche KI-Systeme nutzt das Marketing? Smart Bidding, Lookalikes, Personalization, Chatbots, AI-Tools für Content. Liste in einem internen Doc.
2. Risiko-Klassifizierung pro System. Limited oder Minimal? Bei Unklarheit, meist Minimal, aber Transparenzpflicht prüfen.
3. Transparenz-Layer für Limited-Risk-Systeme. Chatbot-Hinweis, AI-Generated-Content-Kennzeichnung, Dokumentation der eingesetzten Modelle.
4. DSFA / AI-Folgeabschätzung erweitern. Eine bestehende Datenschutz-Folgeabschätzung sollte KI-Systeme abdecken. Wenn sie aus 2022 stammt, ist sie wahrscheinlich nicht aktuell.
5. Provider-Vertragslage prüfen. Hat Googles Vertrag eine KI-Nutzungs-Klausel? Meta? Die Shop-Engine? DSB oder Anwalt sollten draufschauen.

Datascale macht den AI-Readiness-Audit als Service, wir gehen das Setup durch, klassifizieren jede AI-Komponente, dokumentieren die Risiko-Stufe und liefern einen umsetzbaren Action-Plan. Auch das eigene EU AI Act Quick-Check Tool kann in 5 Minuten eine erste Einschätzung liefern.

Mehr zur Methodik gibt es auf der AI Strategy & Data Readiness Service-Seite.

EU-AI-Act-Audit anstehend? Audit Sprint anfragen →, ab 3.000 € · 3–6 Wochen.