Wer KI-Tools im Marketing nutzt, kommt an zwei Themen nicht vorbei: Datenschutz und gesetzliche Vorgaben. Seit 2018 gilt die Datenschutz-Grundverordnung (DSGVO) mit strengen Regeln zum Umgang mit allen Informationen, die eine Person erkennbar machen (personenbezogenen Daten, z.B. Name, E-Mail, IP-Adresse). Seit diesem Jahr bringt die KI-Verordnung der Europäischen Union (EU AI Act) zusätzliche Pflichten von Transparenz- und Dokumentationspflichten bis hin zu Kennzeichnungsvorgaben für KI-generierte Inhalte.
In diesem Beitrag erfahren Sie, wie Sie KI datenschutzkonform einsetzen, welche neuen gesetzlichen Anforderungen auf Ihr Unternehmen zukommen und welche Maßnahmen Sie jetzt schon einplanen sollten.
Bitte beachten Sie, dass wir keine Anwälte sind und das dieser Artikel keine Rechtsberatung darstellt, sondern lediglich unsere Erfahrungen teilt.
1. Datenschutz: Wie gehe ich mit personenbezogenen Daten um?
Datenschutz ist Pflicht – auch und gerade beim Einsatz von KI.
Zentrale Prinzipien (DSGVO)
- Datenminimierung: Personenbezogene Daten dürfen nur in dem Umfang erhoben und verarbeitet werden, der für einen bestimmten, konkreten Zweck erforderlich und angemessen ist.
- Rechtsgrundlage prüfen: Für jede Verarbeitung personenbezogener Daten ist eine Einwilligung oder ein Vertrag erforderlich.
- Transparenz: Nutzer:innen müssen darüber informiert werden, wie ihre Daten verarbeitet werden.
Beispiele
Eine Agentur überarbeitet Newsletter-Texte mit ChatGPT, indem die Original-Mail eines Kunden in den Prompt eingefügt wird. Das ist datenschutzwidrig, da Kundendaten ohne Einwilligung verarbeitet werden.
Ebenso birgt das Hochladen von Kundeninformationen für personalisierte Werbung in ein KI-Tool die Gefahr von Datenlecks bei US-Servern.
Praxistipps
- Schreiben Sie keine personenbezogenen Daten in KI-Eingabefelder – auch nicht für interne Tests. Bei der Bildgenerierung werden diese Angaben unter Umständen im Bild oder als Metadatum gespeichert.
- Aktivieren Sie in den Tools Datenschutzeinstellungen (z. B. KI-Training deaktivieren, privaten/Inkognito-Modus aktivieren, temporären Chat von ChatGPT nutzen).
- Prüfen Sie Inhalte vor der Veröffentlichung auf unbeabsichtigte personenbezogene Spuren.
- Bei Bildern: Löschen Sie Metadaten (EXIF-Daten), bevor die Bilder veröffentlicht werden. Diese können unbemerkt Standort oder Prompt-Infos enthalten. Nutzen Sie dafür z.B. ExifTool, IrfanView oder die integrierte Vorschau-App (Mac).
- Bei PDFS und Office-Dokumenten: Entfernen Sie Meta-Daten wie Autor, Dateipfade oder Prompt-Infos über die Dokumenteigenschaften, bevor Sie die Dateien weitergeben oder veröffentlichen. Verwenden Sie dafür z.B. Adobe Acrobat Pro, PDF24 Tools oder den Dokumentinspektor in Word/PowerPoint/Excel.
- Account- und Datenfreigaben kontrollieren: Wenn möglich, aktivieren Sie keine Social-Media- oder Cloud-Anbindungen und deaktivieren Sie Speicher- und Übertragungsfunktionen.
- Achten Sie auf Datenschutzrichtlinien des jeweiligen Tools und prüfen Sie, ob es DSGVO-konform betrieben wird (z.B. Firmensitz, Serverstandort, Datenverarbeitung)
- Datenverarbeitungsverträge (DPA) mit Anbietern abschließen, wenn Kundendaten verarbeitet werden.
2. Die KI-Verordnung der EU: Neue Pflichten ab August 2025
Seit August 2025 gelten mit dem EU AI Act verbindliche Regeln für den KI-Einsatz in Unternehmen und Organisationen. Bei Verstößen drohen empfindliche Geldstrafen, ähnlich wie bei der DSGVO.
Darauf müssen Sie nun achten:
Kernpunkte
- Transparenz: Nutzer:innen müssen informiert werden, wenn sie mit KI interagieren (z.B. in Chatbots, KI-Assistenten im Kundenservice). Mit KI erstellte Deep Fakes (Bilder, Videos oder Audio) müssen als künstlich erzeugt gekennzeichnet werden (z.B. durch ein Wasserzeichen oder in der Bildunterschrift).
- Dokumentation: Unternehmen müssen Einsätze von KI nachvollziehbar dokumentieren.
- Steuerung: Interne Richtlinien, Gefahrenanalysen und Mitarbeiterschulungen werden Pflicht
- Sicherheitsmaßnahmen: Schutz vor Manipulation, IT-Sicherheit und Datenschutz müssen gewährleistet sein.
- Behördliche Kontrolle: In den EU-Staaten werden nationale Anlaufstellen und Behörden geschaffen, um die Einhaltung zu überwachen und bei der Konformitätsbewertung zu beraten. In Deutschland ist die nationale KI-Aufsichtsbehörde aktuell noch nicht von der Bundesregierung ernannt worden.
Ab August 2026 zusätzlich
- Kennzeichnungspflicht: KI-generierte Bilder oder Videos müssen sichtbar als solche markiert werden (z.B. durch entsprechende Hinweise, Bildunterschriften oder Wasserzeichen). Für Texte gilt das, wenn sie nicht von Menschen redaktionell bearbeitet wurden.
Praxistipps
- Führen Sie ein KI-Verzeichnis, in dem Sie dokumentieren, welche Tools wie eingesetzt werden.
- Schulen Sie Mitarbeiter im Hinblick auf technisches Know-how, regulatorisches Wissen und Anwendungsfähigkeiten.
- Planen Sie Prozesse für die Kennzeichnung KI-generierter Inhalte ein.
3. Checkliste für die Praxis
Fazit
KI kann Ihre Marketingprozesse erheblich beschleunigen – dabei sollten jedoch Datenschutz und neue gesetzliche Vorgaben konsequent eingehalten werden. Die DSGVO regelt den Umgang mit personenbezogenen Daten, die KI-Verordnung verpflichtet zusätzlich zu Transparenz, Dokumentation und Kennzeichnung.
Wenn Sie jetzt die richtigen Prozesse etablieren – von klaren Datenschutzrichtlinien über ein KI-Verzeichnis bis hin zu internen Schulungen –, schaffen Sie die Grundlage für einen rechtssicheren KI-Einsatz in Ihrem Marketing.
Unser Angebot für Sie
Wenn Sie eine individuelle Orientierungshilfe bei der Vielzahl von Tools und Möglichkeiten suchen, sprechen Sie uns an. Wir helfen Ihnen dabei, eine authentische und zielgerichtete Strategie zu entwickeln.