:quality(80))
){kind=small}
EU AI Act - Das Wichtigste in Kürze:
Der EU AI Act ist die erste umfassende Regulierung für künstliche Intelligenz in der Europäischen Union. Ziel ist es, die Sicherheit und Grundrechte der Bürger zu schützen und gleichzeitig Innovationen zu fördern.
Der EU AI Act kategorisiert KI-Systeme basierend auf ihrem Risikopotenzial in: Unannehmbares Risiko, hohes Risiko, begrenztes Risiko und minimales oder kein Risiko.
Die Umsetzung des EU AI Acts erfolgt schrittweise, mit unterschiedlichen Stichtagen, die Unternehmen unbedingt im Blick behalten sollten.
Bei Nichteinhaltung des AI Acts drohen erhebliche Geldstrafen im zweistelligen Millionenbereich.
Wir verraten euch, wie ihr in 7 Schritten KI im Marketing rechtssicher nutzt.
Von personalisierten Kampagnen über automatisierte Kundeninteraktionen bis hin zu datenbasierten Entscheidungsprozessen: Künstliche Intelligenz (KI) hat sich im Marketing fest etabliert. Doch seit dem Inkrafttreten des EU AI Acts stehen Unternehmen vor neuen Herausforderungen. Die Nutzung von KI muss nun strengen gesetzlichen Vorgaben entsprechen.
In diesem Artikel erfahrt ihr, wie ihr eure KI-Anwendungen im Marketing rechtskonform gestaltet und nutzt und welche Schritte notwendig sind, um auch zukünftig auf der sicheren Seite zu bleiben.
Was ist der EU AI Act?
Der EU AI Act ist die erste umfassende Regulierung für künstliche Intelligenz in der Europäischen Union. Ziel ist es, die Sicherheit und Grundrechte der Bürger zu schützen und gleichzeitig Innovationen zu fördern. Die Verordnung gilt für alle Anbieter und Nutzer von KI-Systemen innerhalb der EU sowie für solche, deren Systeme Auswirkungen auf den EU-Markt haben.
Was gilt als Künstliche Intelligenz?
Der EU AI Act definiert KI-Systeme als softwarebasierte Systeme, die mit menschlichen oder maschinellen Daten arbeiten und Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen, die physische oder virtuelle Umgebungen beeinflussen. Dies umfasst maschinelles Lernen, logikbasierte Ansätze und statistische Methoden.
Für Marketing bedeutet das: Tools wie Chatbots, Empfehlungsalgorithmen oder Systeme zum Lead-Scoring fallen unter diese Definition.
EU AI Act: Klassifizierung von KI-Systemen
Der EU AI Act kategorisiert KI-Systeme basierend auf ihrem Risikopotenzial:
Unannehmbares Risiko
KI-Systeme, die als unannehmbares Risiko eingestuft werden, sind verboten. Dazu gehören:
Soziale Bewertungssysteme (Social Scoring) durch Behörden
Verhaltensmanipulation, die Menschen schadet
Biometrische Identifikation im öffentlichen Raum ohne rechtliche Grundlage
Für Marketer bedeutet das: Der Einsatz von KI, die Nutzerverhalten manipuliert oder ohne Zustimmung biometrische Daten verarbeitet, ist untersagt.
Hohes Risiko
KI-Systeme mit hohem Risiko sind u.a. in Bereichen wie Bildung, Beschäftigung, kritischer Infrastruktur oder Strafverfolgung im Einsatz.
Im Marketing betrifft das beispielsweise:
Automatisierte Bewerberauswahl
Kreditwürdigkeitsprüfungen
Systeme zur Bewertung von Kundenverhalten mit erheblichen Auswirkungen
Solche Systeme unterliegen strengen Anforderungen, darunter Risikobewertungen, Transparenzpflichten und menschliche Aufsicht.
Begrenztes Risiko
KI-Systeme mit begrenztem Risiko erfordern Transparenz gegenüber den Nutzern.
Beispiele:
Chatbots, die als solche erkennbar sein müssen
Empfehlungssysteme, die ihre Funktionsweise offenlegen
Marketer sollten sicherstellen, dass Nutzer über den Einsatz von KI informiert sind und verstehen, wie Entscheidungen zustande kommen.
Minimales oder kein Risiko
KI-Systeme mit minimalem Risiko unterliegen keinen spezifischen Anforderungen.
Dazu zählen:
Spam-Filter
KI-gestützte Spiele
Empfehlungssysteme ohne signifikante Auswirkungen
Diese Systeme können weiterhin ohne zusätzliche regulatorische Maßnahmen eingesetzt werden.
)
Optimalerweise solltet ihr nur KI-Systeme ohne Risiko, mit minimalem Risiko oder mit begrenztem Risiko nutzen.
EU AI Act: Zeitplan und Fristen
Die Umsetzung des EU AI Acts erfolgt schrittweise, mit unterschiedlichen Stichtagen, die Unternehmen unbedingt im Blick behalten sollten. Die einzelnen Fristen betreffen, je nach Risiko- und Anwendungsklasse, unterschiedliche Akteure.
Wer heute schon KI einsetzt oder dies in den nächsten Jahren plant, sollte die Vorgaben frühzeitig prüfen und technische sowie organisatorische Maßnahmen vorbereiten.
1. August 2024 – Inkrafttreten des Gesetzes
Der EU AI Act wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht und trat am 1. August 2024 in Kraft. Ab diesem Datum beginnt die Übergangsphase, in der Unternehmen sich auf die kommenden Anforderungen vorbereiten sollten.
2. Februar 2025 – Verbot unannehmbarer KI-Praktiken tritt in Kraft
Seit dem zweiten Februar 2025 sind sämtliche KI-Systeme mit unannehmbarem Risiko in der EU verboten. Darunter fallen etwa:
Social Scoring durch Behörden
Verhaltensmanipulation, die Menschen erheblich schadet
Echtzeit-Gesichtserkennung im öffentlichen Raum ohne gesetzliche Grundlage
Für Marketing und Werbung bedeutet das: KI darf keine manipulativen Mechanismen enthalten, die das Verhalten von Personen unter Ausnutzung psychologischer Schwächen beeinflussen. Auch der heimliche Einsatz von Emotionserkennung oder biometrischer Analyse ist untersagt.
2. August 2025 – Vorschriften für GPAI-Modelle und Sanktionen treten in Kraft
An diesem Stichtag gelten verbindliche Regeln für sogenannte Generative KI-Modelle mit allgemeinem Verwendungszweck (GPAI), also Modelle wie:
GPT-4o, Claude, Gemini, Mistral, u. v. m.
Hersteller und Anbieter dieser Modelle müssen dann unter anderem:
Technische Dokumentationen bereitstellen
Transparenzpflichten erfüllen (z. B. KI-generierte Inhalte kennzeichnen)
Informationen zur Trainingsdatenherkunft offenlegen
Systeme auf die Einhaltung des Urheberrechts hin prüfen
Auch die Sanktionsregelungen des EU AI Acts treten ab diesem Datum in Kraft. Bei Verstößen gegen zentrale Vorgaben drohen hohe Geldstrafen von bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes, je nachdem, was höher ist.
2. August 2026 – Pflichten für Hochrisiko-KI-Systeme werden wirksam
Ab diesem Datum gelten umfassende Anforderungen für KI-Systeme mit hohem Risiko.
Im Marketing betrifft das z. B.:
Automatisierte Bewerberauswahlsysteme
KI-basierte Kreditwürdigkeitsprüfungen
Systeme, die Kundenverhalten bewerten und daraus wichtige Entscheidungen ableiten
Diese Systeme müssen:
einer Konformitätsbewertung unterzogen werden
Transparenz- und Dokumentationspflichten erfüllen
menschliche Aufsicht sicherstellen
ggf. bei der zuständigen Behörde registriert werden
Unternehmen sollten frühzeitig prüfen, ob sie bereits heute oder zukünftig solche Systeme nutzen und die Prozesse anpassen.
2. August 2027 – Übergangsfrist für bestehende Hochrisiko-KI-Systeme endet
Unternehmen, die bereits vor Inkrafttreten des EU AI Acts Hochrisiko-Systeme einsetzen, erhalten eine Übergangsfrist von zwei Jahren, also bis August 2027. Danach müssen auch diese Systeme vollständig den neuen gesetzlichen Vorgaben entsprechen.
Das bedeutet konkret:
Bestehende KI-Lösungen dürfen nicht einfach weiterlaufen wie bisher
Auch für ältere Anwendungen gelten ab dann alle Pflichten zur Dokumentation, Kontrolle und Risikobewertung
Systeme müssen gegebenenfalls nachträglich angepasst oder ersetzt werden
Hier findet ihr den ausführlichen Zeitplan: EU AI Act Zeitplan.
)
Falls ihr eure KI-Systeme noch nicht angepasst habt, solltet ihr es vor Ablauf der Fristen tun.
7 Schritte zur rechtssicheren KI-Nutzung im Marketing
Der EU AI Act bringt klare Pflichten für den Einsatz von Künstlicher Intelligenz mit sich, auch im Marketing. Um rechtssicher zu agieren und gleichzeitig die Potenziale von KI optimal zu nutzen, solltet ihr ein strukturiertes Vorgehen wählen.
Die folgenden Schritte helfen euch dabei, systematisch vorzugehen und die Compliance-Anforderungen in den Griff zu bekommen:
1. Bestandsaufnahme: Welche KI-Systeme nutzt ihr bereits?
Bevor ihr Maßnahmen ergreift, braucht ihr einen Überblick:
Welche KI-basierten Tools oder Systeme kommen in eurem Marketing zum Einsatz?
Handelt es sich um eigene Entwicklungen oder um Lösungen von Drittanbietern (z. B. Adobe Firefly, ChatGPT, Salesforce Einstein, Midjourney)?
In welchen Anwendungsbereichen werden sie genutzt? (z. B. Textgenerierung, Kundenbewertung, Segmentierung, Automatisierung von Kampagnen)
Ziel ist es, alle KI-Anwendungen zu erfassen und den Zweck sowie die Art der Entscheidungsfindung zu dokumentieren.
2. Risikobewertung: Welche Auswirkungen hat der KI-Einsatz?
Im nächsten Schritt gilt es, die Systeme gemäß dem EU AI Act in die weiter oben erläuterten Risikoklassen einzuordnen:
Unannehmbares Risiko? (z. B. manipulative Verhaltenssteuerung, biometrische Identifikation)
Hohes Risiko? (z. B. automatisierte Bewerberbewertung, Bonitätsprüfung)
Begrenztes Risiko? (z. B. Chatbots, Empfehlungsalgorithmen)
Minimales Risiko? (z. B. Spamfilter, KI-gestützte Übersetzungen)
Die Risikokategorie bestimmt, welche regulatorischen Anforderungen gelten. Führt für jede Anwendung eine Risikoanalyse durch, bei der ihr technische, ethische und rechtliche Fragen berücksichtigt:
Welche Daten werden verarbeitet?
Besteht die Gefahr von Diskriminierung oder Fehlschlüssen?
Welche Konsequenzen hat eine automatisierte Entscheidung für den Kunden?
3. Dokumentation: Nachweis für Aufsichtsbehörden
Ein zentraler Bestandteil des EU AI Acts ist die technische Dokumentation eurer KI-Systeme. Sie sollte u. a. enthalten:
Beschreibung des KI-Modells und seiner Funktionen
Verwendete Trainingsdaten und deren Herkunft (wenn verfügbar)
Eingesetzte Algorithmen und deren Funktionsweise
Maßnahmen zur Risikokontrolle
Angaben zu menschlicher Aufsicht und Einsatzszenarien
Diese Dokumentation dient als Nachweis gegenüber Aufsichtsbehörden und hilft euch auch intern, den Überblick zu behalten.
Anbieter von KI-Systemen müssen solche Dokumentationen ab 2025 ebenfalls bereitstellen. Prüft daher, ob Drittanbieter die notwendigen Informationen liefern.
4. Transparenz: Macht den KI-Einsatz für Nutzer nachvollziehbar
Marketing-KI, die mit Kunden interagiert oder Inhalte generiert, muss klar als solche erkennbar sein. Das betrifft z. B.:
Chatbots oder virtuelle Assistenten: Kunden müssen wissen, dass sie mit einer KI kommunizieren.
KI-generierte Inhalte (Texte, Bilder, Videos): Diese müssen ggf. entsprechend gekennzeichnet sein.
Empfehlungs- und Personalisierungssysteme: Nutzer sollten verstehen, warum ihnen bestimmte Inhalte oder Produkte angezeigt werden.
Transparenz schafft Vertrauen und schützt euer Unternehmen vor rechtlichen Risiken.
5. Menschliche Aufsicht: Setzt klare Kontrollmechanismen ein
Auch bei hochentwickelten KI-Systemen gilt: Der Mensch muss das letzte Wort haben.
Definiert klare Prozesse für die Überwachung und Freigabe von KI-gestützten Entscheidungen.
Sorgt dafür, dass kritische Entscheidungen nicht automatisiert, sondern von Mitarbeitenden überprüft und freigegeben werden, insbesondere bei Bewerbungsprozessen oder Finanzentscheidungen.
Dokumentiert diese Kontrollen für interne Zwecke und als Nachweis im Fall einer Prüfung.
6. Schulungen: Macht euer Team fit für KI und Compliance
Technologie allein reicht nicht. Euer Team muss wissen, wie KI verantwortungsvoll eingesetzt wird:
Schult Mitarbeitende im Marketing, Vertrieb, HR und IT-Bereich zu den wichtigsten Vorgaben des EU AI Acts.
Vermittelt technisches Basiswissen, z. B. zu Funktionsweise und Grenzen von KI-Systemen.
Legt Verhaltensrichtlinien für den Umgang mit KI fest, z.B. für den Umgang mit sensiblen Daten oder die Kommunikation mit Kunden.
Gut informierte Mitarbeitende sind der Schlüssel für eine sichere und verantwortungsvolle KI-Nutzung.
7. Kontinuierliche Überprüfung: KI-Systeme sind keine Blackbox
Der Einsatz von KI ist kein einmaliges Projekt. Eure Systeme müssen laufend überwacht und angepasst werden:
Prüft regelmäßig die Leistung und Auswirkungen der KI-Systeme im Echtbetrieb.
Führt regelmäßige Audits durch, insbesondere bei Systemen mit hohem oder begrenztem Risiko.
Passt eure Systeme und Dokumentation an neue gesetzliche Anforderungen oder technische Entwicklungen an.
So stellt ihr sicher, dass eure KI-Strategie nicht nur heute, sondern auch in Zukunft rechtssicher bleibt.
)
7 Schritte zur rechtssicheren KI-Nutzung im Marketing
EU AI Act: Sanktionen bei Verstößen
Bei Nichteinhaltung des AI Acts drohen erhebliche Geldstrafen:
Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen verbotene Praktiken.
Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes bei anderen Verstößen.
Bis zu 7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes bei falschen oder irreführenden Informationen.
Die ausführlichen Sanktionen findet ihr hier: Sanktionen EU AI Act.
EU AI Act: Unterstützung für Unternehmen
Zum Glück gibt es von Seiten der EU nicht nur Vorschriften für Unternehmen, sondern diese werden auch gezielt unterstützt. Es werden unterschiedliche Unterstützungsmaßnahmen angeboten, darunter:
Regulierte Sandboxes: Testumgebungen, in denen KI-Systeme unter Aufsicht entwickelt und getestet werden können.
Förderprogramme: Finanzielle Unterstützung für kleine und mittlere Unternehmen bei der Umsetzung der AI Act-Anforderungen.
Verhaltenskodizes: Leitlinien, die Unternehmen bei der Umsetzung der Vorschriften helfen.
EU AI Act Compliance Checker: Die EU bietet euch ein Tool, mit dem ihr überprüfen könnt ob und wie ihr vom EU AI Act betroffen seid, den EU AI Act Compliance Checker.
Diese Maßnahmen sollen insbesondere kleinen und mittleren Unternehmen helfen, die neuen Anforderungen zu erfüllen.
Fazit
Der EU AI Act stellt Unternehmen vor neue Herausforderungen, bietet aber auch die Chance, KI verantwortungsvoll und transparent einzusetzen.
Durch die frühzeitige Umsetzung der Anforderungen können Unternehmen nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen ihrer Kunden stärken.
Es ist ratsam, sich frühzeitig mit den Anforderungen des AI Acts auseinanderzusetzen und entsprechende Maßnahmen zu ergreifen. So bleibt ihr beim Einsatz von KI stets auf der sicheren Seite.
Bitte beachten: Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche Beratung. Unternehmen sollten sich bei spezifischen Fragen an einen Rechtsexperten wenden, um eine individuelle Compliance-Strategie zu entwickeln.