BlogStrategy3. Juni 2026

EU AI Act Compliance im Marketing: Warum agentische Systeme einen entscheidenden Vorteil haben

Ab August 2026 greift der EU AI Act mit Kennzeichnungspflicht und Literacy-Anforderungen. Was das für Marketing-Teams konkret bedeutet und welchen Vorteil gut gebaute KI-Systeme dabei haben.

Fabian Ulitzka7 Min

Was ab August wirklich zählt

Am 2. August 2026 tritt eine Anforderung des EU AI Act in Kraft, die viele Marketing-Abteilungen noch nicht auf der Agenda haben. Artikel 4 verpflichtet Unternehmen dazu, sicherzustellen, dass alle Mitarbeitenden, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen. Nicht irgendwann. Ab diesem Stichtag.

Gleichzeitig beginnt die Bundesnetzagentur im August mit Bußgeldern nach dem EU AI Act-Rahmenwerk. Bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes, je nachdem was höher ist.

78 Prozent der Organisationen haben bis dato keine ernsthaften Compliance-Maßnahmen ergriffen. Das ist kein abstraktes Risiko, sondern eine konkrete Lücke im Tagesgeschäft. Marketing-Abteilungen sind dabei besonders exponiert: Sie sind häufig die erste Heimat von KI-Tools im Unternehmen und gleichzeitig die Abteilung, in der am wenigsten strukturierte Governance existiert.

Ich schreibe diesen Artikel nicht, um Angst zu machen. Ich schreibe ihn, weil ich in den letzten Monaten verstanden habe, dass gut gebaute agentische Systeme bei diesem Thema einen echten Vorteil haben. Und weil es hilft, Compliance und Governance zunächst auseinanderzuhalten.

Was ändert sich ab August konkret?

Welche EU AI Act-Anforderungen gelten ab dem 2. August 2026?

Drei Anforderungen werden ab dem Stichtag relevant:

Artikel 4: KI-Kompetenz als Pflicht. Unternehmen müssen sicherstellen, dass alle Mitarbeitenden, die KI einsetzen oder überwachen, über das notwendige Wissen verfügen, um diese Systeme sicher und verantwortungsvoll zu nutzen. Das schließt Marketing-Teams ein, die täglich mit Tools wie ChatGPT, Claude oder Midjourney arbeiten.

Artikel 50: Kennzeichnungspflicht für KI-generierte Inhalte. Synthetische Texte, Bilder und Videos, die mit einer gewissen Wirkungsabsicht erstellt werden, müssen als KI-generiert markiert sein. Für Marketing-Abteilungen, die KI in der Content-Produktion einsetzen, entsteht hier eine direkte operative Anforderung.

KRITIS-Registrierungspflicht (17. Juli 2026). Die Zahl betroffener Organisationen steigt von rund 4.500 auf rund 30.000. Viele Mittelstandsunternehmen fallen erstmals darunter.

  1. Artikel 4: KI-Kompetenz als Pflicht Unternehmen müssen sicherstellen, dass alle Mitarbeitenden, die KI einsetzen oder überwachen, über das notwendige Wissen verfügen, um diese Systeme sicher und verantwortungsvoll zu nutzen. Das schließt Marketing-Teams ein, die täglich mit Tools wie ChatGPT, Claude oder Midjourney arbeiten.
  2. Artikel 50: Kennzeichnungspflicht für KI-generierte Inhalte Synthetische Texte, Bilder und Videos, die mit einer gewissen Wirkungsabsicht erstellt werden, müssen als KI-generiert markiert sein. Für Marketing-Abteilungen, die KI in der Content-Produktion einsetzen, entsteht hier eine direkte operative Anforderung.
  3. KRITIS-Registrierungspflicht (17. Juli 2026) Die Zahl betroffener Organisationen steigt von rund 4.500 auf rund 30.000. Viele Mittelstandsunternehmen fallen erstmals darunter.

Wie hoch ist das Compliance-Risiko bei KI-Tools im Marketing?

Höher als die meisten annehmen. Die LARA-Studie hat 3.000 Einzeltests mit den führenden Sprachmodellen durchgeführt. Das Ergebnis: Selbst das datenschutzkonformste Modell erreicht nur 54 Prozent DSGVO-Compliance-Quote. Bei bestimmten Anbietern lagen Verstöße gegen verbotene Handlungen bei über 80 Prozent der Tests.

52 Prozent der Wissensarbeiter nutzen laut Check Point nicht autorisierte KI-Tools im Arbeitsalltag. 64,5 Prozent der Aktivitäten auf privaten KI-Accounts dienen geschäftlichen Zwecken. Und 90 Prozent der Führungskräfte glauben, den Überblick zu haben.

Das sind keine Nischenzahlen. Das ist die Grundgesamtheit der meisten Marketing-Abteilungen in Deutschland.

  • 54 % – DSGVO-Compliance-Quote des besten getesteten Modells
  • >80 % – Verstöße gegen verbotene Handlungen bei bestimmten Anbietern
  • 52 % – Wissensarbeiter nutzen nicht autorisierte KI-Tools

Compliance versus Governance: Der wichtige Unterschied

Ich höre in Gesprächen oft, dass beides synonym verwendet wird. Das ist verständlich, aber teuer.

Compliance beantwortet die Frage: Was darf ich nicht? Sie ist reaktiv. Sie entsteht aus äußerem Druck, aus Regulierung, aus dem Risiko von Bußgeldern. Compliance ist notwendig. Aber Compliance allein baut kein funktionierendes KI-System.

Governance beantwortet die Frage: Wer ist verantwortlich für das, was das System tut, und wie stellen wir sicher, dass unsere KI-Systeme konsistent, nachvollziehbar und korrekt handeln? Governance ist die innere Architektur. Sie entscheidet, ob ein Unternehmen von seinem KI-System gesteuert wird oder es selbst steuert.

Die McKinsey-Daten aus dem State of AI Trust 2026 machen den Unterschied messbar: Organisationen mit klar definierten Governance-Rollen, also mit AI-spezifischen Verantwortlichkeiten und Audit-Prozessen, erreichen einen Maturity-Score von 2,6. Ohne Ownership liegt der Score bei 1,8. Das ist kein statistisches Detail, das ist ein Skalierungsunterschied.

Compliance kauft euch Zeit. Governance ermöglicht Wachstum.

Der strukturelle Vorteil agentischer Systeme

Jetzt kommt der Teil, der mich in den letzten Monaten am stärksten beschäftigt hat.

In klassischen Organisationen bedeutete jede regulatorische Änderung dasselbe: Neues Training ausrollen, Richtlinien kommunizieren, hoffen, dass alle es lesen und verstehen und dann auch anwenden. Wer kennt die Situation nicht? Richtlinie Seite 7, gelesen von 30 Prozent, behalten von 10 Prozent, umgesetzt von noch weniger.

In einer agentischen Organisation läuft das anders.

Wenn sich eine Anforderung ändert, zum Beispiel die Kennzeichnungspflicht für KI-generierte Inhalte, dann ändert sich in einem gut gebauten System eine Datei: die Context-Datei des betreffenden Agenten. Ab dem nächsten Run hält jeder Agent, der Content produziert, diese Anforderung ein. Nicht weil er geschult wurde. Sondern weil die Regel im System verankert ist.

Das ist kein theoretischer Vorteil. Das ist der Grund, warum Governance in agentischen Systemen nicht zu einer Bürde wird, sondern zu einer Bauvoraussetzung.

Wie sieht das konkret im Marketing-Alltag aus?

Stellt euch einen Agenten vor, der Social-Media-Texte entwirft. In seiner Context-Datei stehen heute: Tonalität, Zielgruppe, verbotene Begriffe, maximale Länge.

Ab dem 2. August steht dort zusätzlich: KI-generierte Inhalte sind als solche zu kennzeichnen. Verwende folgendes Label.

Das ist eine Ergänzung von zwei Zeilen. Keine Schulung. Kein Workshop. Kein Fingerkreuzen, ob alle Mitarbeitenden es verstanden haben. Der Agent hält die Anforderung ab sofort in jeder Iteration ein.

Zum Vergleich: Wer diese Anforderung über Training kommuniziert, plant mit einer realistischen Wirkungsrate von vielleicht 60 bis 70 Prozent. Und das nur, wenn die Mitarbeitenden die Schulung absolviert haben, sie erinnern und im Moment der Content-Erstellung daran denken.

Das ist kein Argument gegen Menschen. Es ist ein Argument für klar strukturierte Systeme.

Wie sieht das konkret im Marketing-Alltag aus?

Stellt euch einen Agenten vor, der Social-Media-Texte entwirft. In seiner Context-Datei stehen heute: Tonalität, Zielgruppe, verbotene Begriffe, maximale Länge.

Ab dem 2. August steht dort zusätzlich: KI-generierte Inhalte sind als solche zu kennzeichnen. Verwende folgendes Label.

Das ist eine Ergänzung von zwei Zeilen. Keine Schulung. Kein Workshop. Kein Fingerkreuzen, ob alle Mitarbeitenden es verstanden haben. Der Agent hält die Anforderung ab sofort in jeder Iteration ein.

Zum Vergleich: Wer diese Anforderung über Training kommuniziert, plant mit einer realistischen Wirkungsrate von vielleicht 60 bis 70 Prozent. Und das nur, wenn die Mitarbeitenden die Schulung absolviert haben, sie erinnern und im Moment der Content-Erstellung daran denken.

Was Marketing-Teams jetzt konkret tun

Ich empfehle keinen überstürzten Compliance-Sprint. Ich empfehle vier operative Schritte, die direkt umsetzbar sind.

1. KI-Inventar anlegen. Welche Tools sind im Einsatz? Welche davon sind offiziell freigegeben, welche laufen im Schatten? Das ist kein bürokratischer Akt, sondern die Grundlage für alles Weitere.

2. Einen Sanctioned Stack definieren. Legt fest, welche Modelle und Workflows für welche Zwecke zugelassen sind. Nicht als Verbotsliste, sondern als Orientierungsrahmen. Teams arbeiten besser, wenn sie wissen, was erlaubt ist.

3. Context-Dateien für KI-Agenten mit Compliance-Anforderungen erweitern. Wer bereits Agenten im Einsatz hat, kann die neuen Anforderungen direkt dort verankern: Kennzeichnung KI-generierter Inhalte, Datenschutzvorgaben, Ton- und Markenregeln.

4. Eine klare Ownership-Entscheidung treffen. Wer ist in eurer Marketing-Abteilung verantwortlich für das, was eure KI-Systeme entscheiden? Diese Frage ist unbequem. Aber sie ist die einzige, die verhindert, dass Compliance von der Realität getrennt bleibt.

Governance ist keine Bürde. Sie ist die Architektur

Der EU AI Act stellt Marketing-Abteilungen vor eine Wahl.

Die erste Option: Compliance als Abhaken. Literacy-Training buchen, Checkbox setzen, weiter machen wie bisher. Das ist eine Antwort. Aber keine, die in zwei Jahren noch ausreicht.

Die zweite Option: Den Stichtag nutzen, um die eigene KI-Architektur zu überdenken. Zu fragen, welche Agenten im Einsatz sind, wer sie steuert, welche Regeln in ihnen verankert sind. Und wo die Verantwortung sitzt.

Ich habe in den letzten Monaten erlebt, dass Teams, die diese Fragen früh stellen, nicht nur compliance-sicherer sind. Sie bauen bessere Systeme. Systeme, die mit regulatorischen Anforderungen wachsen, statt an ihnen zu scheitern.

Das ist der strukturelle Vorteil, den gut gebaute agentische Organisationen gegenüber Teams haben, die KI noch als Tool und nicht als System denken. Und der 2. August ist ein guter Zeitpunkt, diese Frage zu stellen.

Häufige Fragen zu EU AI Act Compliance im Marketing (FAQ)

Was müssen Marketing-Teams bis zum 2. August 2026 vorbereitet haben?

Zentral sind nachweisbare KI-Kompetenz der Mitarbeitenden, klare Verantwortlichkeiten und Prozesse zur Kennzeichnung synthetischer Inhalte. Zusätzlich hilft ein dokumentiertes Inventar der eingesetzten Tools und Agenten sowie definierte Freigaben für deren Nutzung.

Wie setze ich die Kennzeichnungspflicht für KI-generierte Inhalte pragmatisch um?

Legen Sie ein einheitliches Label fest und verankern Sie es direkt in den Produktions-Workflows, idealerweise in den Context-Dateien der verantwortlichen Agenten. So wird die Kennzeichnung automatisch angewendet, ohne dass jedes Mal manuell daran gedacht werden muss.

Reicht ein Schulungsprogramm, um compliant zu sein?

Schulung ist notwendig, aber allein nicht hinreichend. Ohne klare Governance-Strukturen bleibt die Anwendung im Alltag lückenhaft und schwer auditierbar.

Was gehört in eine Context-Datei eines Marketing-Agenten?

Neben Tonalität, Zielgruppe und Stilregeln sollten verbindliche Vorgaben zu Datenschutz, verbotenen Inhalten und Kennzeichnungsformaten enthalten sein. Änderungen an Anforderungen lassen sich so zentral und sofort wirksam machen.

Wie gehe ich mit Schatten-IT und inoffiziellen KI-Tools um?

Zuerst Transparenz schaffen, dann erlaubte Alternativen definieren. Ein freigegebener Stack mit klaren Zwecken reduziert Risiken und erleichtert die Steuerung.

Wer trägt die Ownership für KI-Systeme im Marketing?

Benennen Sie eine klar verantwortliche Rolle, die Entscheidungen der Agenten überwacht und Prozesse auditierbar hält. Ohne Ownership entsteht kein verlässliches Zusammenspiel von Compliance und operativer Praxis.

Interesse geweckt?

Lasst uns gemeinsam herausfinden, wie wir diese Ansätze in eurer Organisation umsetzen können.

Jetzt Gespräch vereinbaren