DSGVO-konformes KI-Marketing: Was Unternehmen wirklich beachten müssen

Die Frage „Ist das DSGVO-konform?" taucht in fast jedem Gespräch über KI-Marketing auf — und wird fast immer zu schnell beantwortet. Weder mit einem pauschalen Ja noch mit einem pauschalen Nein. Die Wahrheit liegt in den Details: welche Daten verarbeitet werden, wo, durch wen und auf welcher Rechtsgrundlage.

Was klar ist: Wer KI-Tools im Marketing einsetzt, ohne die Datenschutz-Fragen strukturiert zu klären, geht ein erhebliches rechtliches und reputationsbezogenes Risiko ein. Und dieses Risiko wächst mit dem Umfang des Einsatzes.

Wo die DSGVO im KI-Marketing konkret greift

Die DSGVO greift immer dann, wenn personenbezogene Daten verarbeitet werden. Im Marketing-Kontext sind das vor allem:

• Kundendaten als KI-Input: Wenn Kundendaten, CRM-Inhalte oder Kampagnendaten in KI-Tools eingegeben werden, gilt die DSGVO — unabhängig davon, ob der Anbieter US-amerikanisch oder europäisch ist.
• Profiling und Personalisierung: KI-gestützte Segmentierung und Personalisierung unterliegt strengen Anforderungen, insbesondere wenn automatisierte Entscheidungen getroffen werden (Art. 22 DSGVO).
• Training mit Kundendaten: Viele SaaS-Anbieter trainieren ihre Modelle mit Nutzerdaten. Was in den AGB steht — und was nicht — ist hier entscheidend.

Das SCC-Problem: rechtlich haltbar, aber nicht risikolos

US-amerikanische KI-Anbieter wie OpenAI, Google oder Microsoft nutzen Standardvertragsklauseln (SCCs) als Rechtsgrundlage für die Übermittlung von EU-Daten in die USA. SCCs sind nach aktuellem Stand rechtlich zulässig — aber sie sind keine Garantie.

Das Problem: SCCs verpflichten den Anbieter vertraglich, geben aber keine Garantie gegen behördlichen Zugriff nach US-Recht (CLOUD Act, FISA). Aufsichtsbehörden in Deutschland und Österreich haben bereits Entscheidungen getroffen, die den Einsatz bestimmter US-Tools als nicht DSGVO-konform einstufen.

DSGVO-konform bedeutet nicht: Es ist juristisch irgendwie vertretbar. Es bedeutet: Das Risiko einer Beanstandung ist systematisch minimiert.

Drei Kriterien für wirklich DSGVO-konformen KI-Einsatz

Statt einer Checkliste helfen drei Grundfragen, den Einsatz von KI im Marketing systematisch einzuordnen:

• Wo werden die Daten verarbeitet? EU-Infrastruktur ist der sicherste Ausgangspunkt. Anbieter mit Rechenzentrums-Standorten in Deutschland oder der EU eliminieren die grenzüberschreitende Datenweitergabe als Risikofaktor.
• Wer hat Zugriff auf die verarbeiteten Daten? Multi-Tenant-Plattformen, bei denen viele Kunden dieselbe Infrastruktur teilen, sind aus Datenschutzsicht komplexer als isolierte Systeme. Die Frage ist: Können Ihre Daten theoretisch anderen Kunden oder dem Anbieter selbst zugänglich werden?
• Werden Ihre Daten für Modell-Training genutzt? Das ist der häufigste blinde Fleck. Viele kostenlose und kostengünstige KI-Tools finanzieren sich über das Modell-Training mit Nutzerdaten. Ein klares vertragliches Opt-out — und dessen Überprüfbarkeit — ist Voraussetzung für DSGVO-konformen Einsatz.

Praktische Konsequenzen für Marketing-Teams

Was bedeutet das konkret für den Alltag? Nicht jedes Tool muss sofort abgelöst werden. Aber eine strukturierte Bestandsaufnahme ist überfällig: Welche KI-Tools werden eingesetzt? Welche Daten gehen rein? Welcher Anbieter verarbeitet wo?

Für sensible Daten — Kundendaten, Kampagnen-Performance, personalisierte Inhalte — gilt ein höherer Maßstab als für generische Content-Erstellung. Eine einfache Faustregel: Je spezifischer die Daten, desto höher die Anforderungen an die Infrastruktur.

Langfristig ist der zuverlässigste Weg die eigene Datenhoheit: ein System, das die Infrastruktur sauber trennt und Kundendaten auf EU-Servern hält — nicht als juristisches Argument, sondern als strukturelles Prinzip.