KI-Marketing-Automatisierung läuft in der DACH-Region oft gegen dieselbe Wand. Dein Team will, dass KI-Agenten Zielgruppen bauen, Anzeigentexte entwerfen, Gebote anpassen und Leads routen. Legal und Datenschutz sehen dagegen ein Tool, das personenbezogene Daten verarbeitet, Entscheidungen trifft und weitgehend allein läuft. Die Sorge ist nicht, dass KI verboten wäre. Die Sorge ist, dass hinterher niemand zeigen kann, wie eine konkrete Entscheidung zustande kam und auf welcher Rechtsgrundlage die Daten verarbeitet wurden.
Diese Sorge ist berechtigt, und sie ist lösbar. KI-Marketing-Automatisierung ist nicht grundsätzlich unvereinbar mit der DSGVO. Compliance ist keine Eigenschaft des Modells, das du auswählst. Sie ist eine Eigenschaft davon, wie du das System drumherum baust: Wer gibt was frei, auf welche Rechtsgrundlage stützt du dich, wie wenig Daten fütterst du tatsächlich ein, was loggst du, und welche Verträge liegen unter deinen Vendoren. Mach das richtig, und du hast ein verteidigbares Setup. Mach es falsch, und selbst das vorsichtigste Modell wird zum Risiko.
Dieser Guide ist für B2B-Marketing-Verantwortliche, RevOps und Gründer in Deutschland, Österreich und der Schweiz, die das Tempo von Automatisierung wollen, ohne eine unkontrollierte Compliance-Lücke. Er ist praktisch gemeint, keine Rechtsberatung. Für alles Verbindliche binde qualifizierte Beratung und deinen Datenschutzbeauftragten ein.
Key Takeaways
- Compliance ist operativ, nicht magisch. Ob KI-Marketing-Automatisierung DSGVO-sicher ist, hängt davon ab, wie du Freigabe, Datenflüsse und Logging gestaltest, nicht vom Modell selbst.
- Halte einen Menschen in der Schleife. Relevante Marketing-Entscheidungen, die Menschen betreffen, gehen durch eine menschliche Freigabe, statt Agenten unbeaufsichtigt handeln zu lassen.
- Minimiere und dokumentiere die Daten. Gib KI-Systemen so wenig personenbezogene Daten wie nötig, auf klarer Rechtsgrundlage, und halte fest, warum jeder Verarbeitungsschritt passiert.
- Verträge und EU AI Act zählen. Schließe mit jedem Vendor, der personenbezogene Daten verarbeitet, einen Auftragsverarbeitungsvertrag, und behalte im Blick, wo deine Use Cases unter dem EU AI Act liegen.
Warum “die KI war’s” keine Verteidigung ist
Der DSGVO ist es egal, ob eine Entscheidung von einem Agenten statt von einem Menschen kam. Wenn deine Automatisierung personenbezogene Daten von Interessenten oder Kunden verarbeitet (Namen, Jobtitel, Firmen-E-Mails, Verhaltenssignale, Lead-Scores), bist du weiterhin der Verantwortliche und schuldest weiterhin Rechenschaft darüber, was du getan hast und warum. Behörden und Betroffene können fragen, und “das System hat entschieden” ist keine Antwort.
Genau hier erzeugen viele Automatisierungsprojekte still ein Risiko. Ein Agent reichert einen Lead aus einer Drittquelle an, scort ihn und fügt ihn einer Remarketing-Zielgruppe hinzu, alles in Sekunden, ohne eine Spur, die ein Mensch wiedererkennen würde. Nichts daran ist per se illegal. Das Problem ist, dass es unsichtbar, nicht prüfbar und losgelöst von jeder Rechtsgrundlage werden kann, auf die du dich später berufen könntest.
Die Lösung ist nicht, alles zu verlangsamen. Sie ist, das System so zu bauen, dass der schnelle Pfad zugleich der dokumentierte, freigegebene Pfad mit minimalen Daten ist.
Human-in-the-Loop-Freigabe
Die wichtigste Design-Entscheidung ist, bei Entscheidungen, die Menschen spürbar betreffen, einen Menschen in der Schleife zu halten. KI-Agenten sind hervorragend im Entwerfen, Sortieren, Zusammenfassen und Vorschlagen. Sie sollten nicht die letzte, unbeaufsichtigte Instanz für Handlungen sein, die in relevanter Weise ändern, wie eine echte Person angesprochen, kontaktiert oder gescort wird.
In der Praxis heißt das eine klare Trennung. Lass Agenten die schwere Arbeit machen (Recherche, Entwürfe, Zielgruppenvorschläge, Gebotsideen) und lass eine benannte Person freigeben, bevor etwas live geht. Die Freigabe sollte leichtgewichtig genug sein, damit sie kein Theater wird, aber echt genug, dass jemand verantwortlich ist. Das ist der Kern, wie wir Marketing-Automation-Consulting aufsetzen: Agenten schlagen vor, Menschen entscheiden, und die Grenze ist explizit.
Rechtsgrundlage und Einwilligung für Werbedaten
Jedes personenbezogene Datum, das deine Automatisierung berührt, braucht eine Rechtsgrundlage, und “wir wollten halt” ist keine. Im B2B-Marketing in der DACH-Region arbeitest du meist entweder mit einer Einwilligung oder einem berechtigten Interesse, das du tatsächlich abgewogen und dokumentiert hast. Die Grundlage, auf die du dich stützt, verändert, was du tun darfst.
Werbe- und Messdaten verdienen besondere Sorgfalt. Zielgruppenaufbau, Conversion-Tracking und Remarketing hängen typischerweise von einer freiwillig erteilten, klar informierten Einwilligung ab, und dein Consent-Status muss bis zu den nachgelagerten Tools durchfließen. Wenn ein KI-Agent eine Zielgruppe aus Daten zusammenbaut, die ohne Einwilligung nie hätten erhoben werden dürfen, erbt die Automatisierung den Ursprungsfehler. Saubere Inputs sind die Voraussetzung, weshalb wir consent-bewusstes Tracking und Measurement als Fundament unter jeder automatisierten Kampagne behandeln, nicht als Nachgedanken.
Datenminimierung in der Praxis
Datenminimierung ist das stille Arbeitspferd der DSGVO-Compliance, und sie ist zugleich gutes Engineering. Je weniger personenbezogene Daten du in ein KI-System schiebst, desto kleiner ist dein Schaden, wenn etwas schiefgeht, und desto leichter lässt sich erklären, was du getan hast.
Konkret: Entferne Felder, die der Agent nicht braucht, bevorzuge pseudonymisierte oder aggregierte Inputs, wo die Aufgabe es zulässt, und vermeide es, rohe personenbezogene Daten an ein Modell zu schicken, wenn ein abgeleitetes Signal genügt. Ein Gebots-Agent braucht selten den vollständigen Kontaktdatensatz einer Person. Ein Text-Agent braucht fast nie echte Kundennamen. Prompts und Pipelines so zu gestalten, dass das Minimum durchgereicht wird, ist eine der günstigsten verfügbaren Risikoreduktionen.
Eine Compliance-Checkliste
Nutze das als Arbeits-Checkliste, nicht als Zertifikat. Jede Zeile ist eine Anforderung und ein konkreter Weg, sie zu erfüllen.
| Anforderung | Wie du sie erfüllst |
|---|---|
| Rechtsgrundlage für jede Datennutzung | Ordne jeden automatisierten Schritt vor dem Lauf einer Einwilligung oder einem dokumentierten berechtigten Interesse zu |
| Menschliche Freigabe für relevante Entscheidungen | Leite Zielgruppen-, Outreach- und Scoring-Aktionen über einen benannten Freigeber |
| Datenminimierung | Reiche nur die Felder durch, die die Aufgabe braucht; bevorzuge pseudonymisierte oder aggregierte Inputs |
| Consent fließt bis zu den Tools | Stelle sicher, dass der Consent-Status jedes Mess- und Werbesystem erreicht, das der Agent füttert |
| Vendor-Verträge vorhanden | Schließe mit jedem Auftragsverarbeiter, der personenbezogene Daten verarbeitet, einen AVV |
| Logging und Accountability | Halte fest, was das System getan hat, wann, auf welcher Grundlage und wer freigegeben hat |
| EU AI Act im Blick | Verfolge, welche Use Cases zusätzliche Pflichten tragen, und prüfe sie mit Beratung |
| Regelmäßige Prüfung | Überprüfe Datenflüsse, Prompts und Vendoren nach festem Zeitplan |
Auftragsverarbeitung und ein AVV
Die meiste KI-Marketing-Automatisierung stützt sich auf Dritt-Dienste: den Modellanbieter, deine Automatisierungsplattform, Enrichment-Tools, Werbe- und Analytics-Vendoren. Wenn einer von ihnen personenbezogene Daten in deinem Auftrag verarbeitet, brauchst du mit ihm einen Auftragsverarbeitungsvertrag (AVV), und du musst verstehen, wohin diese Daten physisch fließen. Ein Vendor ohne sauberen AVV, oder einer, der deine Daten still zum Training gemeinsamer Modelle nutzt, ist eine Lücke, die du nicht erst im Audit entdecken willst.
Das ist unspektakuläre Arbeit, aber hier steckt viel echtes Risiko. Inventarisiere deine Auftragsverarbeiter, bestätige für jeden einen unterschriebenen AVV, und prüfe, was sie mit den von dir gesendeten Daten tun dürfen. Für tieferen Kontext zu agentengetriebenen Workflows im Ad-Stack geht unser AI Google Ads Management Guide durch, wo Automatisierung hilft und wo menschliches Urteil die Kontrolle behält.
EU AI Act im Blick, Logging und Accountability
Der EU AI Act legt eine Schicht über die DSGVO. Die meiste B2B-Marketing-Automatisierung fällt nicht in die höchsten Risikokategorien, aber du solltest trotzdem wissen, wo deine Use Cases liegen, und nicht unbemerkt in Bereiche driften, die schwerere Pflichten tragen. Aufmerksamkeit jetzt ist günstiger als Nachbesserung später.
Logging hält das Ganze zusammen. Wenn du zeigen kannst, was das System getan hat, auf welcher Grundlage, mit welchen Daten und wer freigegeben hat, kannst du die Fragen beantworten, die zählen, wenn eine Behörde oder ein Betroffener fragt. Accountability ist kein Dokument, das du einmal schreibst. Sie ist der laufende Nachweis, den dein System per Design erzeugt.
Wo du anfängst
Du musst das nicht alles auf einmal lösen. Beginne damit, die personenbezogenen Daten zu kartieren, die deine aktuellen Automatisierungen berühren, und die Rechtsgrundlage hinter jedem Schritt. Füge den Entscheidungen, die Menschen wirklich betreffen, eine menschliche Freigabe hinzu. Kürze die Daten, die du sendest, auf das Minimum. Bestätige für jeden Vendor einen AVV. Schalte dann das Logging ein, damit der Nachweis existiert, bevor du ihn brauchst.
In dieser Reihenfolge wird KI-Marketing-Automatisierung etwas, das du verteidigen kannst, statt etwas, von dem du hoffst, dass niemand danach fragt. Das Tempo ist echt, und die Accountability ist es auch, wenn du das System so baust, dass beide derselbe Pfad sind.
Sources
- DSGVO / GDPR, official text
- EU AI Act, official text
- Europäischer Datenschutzausschuss, veröffentlichte Leitlinien zur automatisierten Verarbeitung