Künstliche Intelligenz ist in der Werbe-, Media- und Onlinebranche längst ein produktives Werkzeug des Arbeitsalltags. Agenturen, Medienhäuser und Digitalunternehmen setzen KI-Systeme heute routinemäßig ein — für Recherchen, die Erstellung von Texten und Bildmaterial, für Präsentationen, für Kampagnenreporting und Datenvisualisierung. Der Wettbewerbsdruck, diese Möglichkeiten zu nutzen und auszubauen, ist real. Ebenso real sind aber die rechtlichen Anforderungen, die damit einhergehen und die in dieser Branche besondere Relevanz haben. Dieser Artikel gibt einen Überblick über die wichtigsten Handlungsfelder.

Datenschutz und interne Sicherheitsanforderungen

Wann greift die DSGVO?

Der Ausgangspunkt ist schnell beschrieben: Sobald personenbezogene Daten in ein KI-System eingegeben oder durch ein solches System verarbeitet werden, greift die Datenschutzgrundverordnung. In der Werbe- und Mediabranche ist diese Schwelle besonders schnell erreicht. Kampagnendaten mit Kundenbezug, Nutzerprofile, Zielgruppendaten, Kontaktdaten aus CRM-Systemen, Gesprächsprotokolle aus Kundenmeetings, Briefing-Unterlagen — all das ist in der täglichen Arbeit präsent, und all das landet schnell in einem KI-System, wenn Mitarbeiter damit produktiv arbeiten.

Auftragsverarbeitungsvertrag als Pflichtbaustein

Der erste und wichtigste Schritt ist daher die Prüfung, ob mit jedem eingesetzten KI-Anbieter eine Auftragsverarbeitungsvereinbarung geschlossen wurde. Dieser Vertrag ist keine bürokratische Formalität, sondern zwingende Voraussetzung dafür, dass eine Datenverarbeitung überhaupt rechtmäßig ist. Wer die Consumer-Versionen gängiger KI-Dienste nutzt — etwa die Standardversionen von ChatGPT oder Google Gemini — wird feststellen, dass diese Voraussetzung dort in der Regel nicht erfüllt ist. Die erforderlichen Business- oder Enterprise-Optionen müssen gezielt gebucht und aktiviert werden.

Serverstandort und Drittlandtransfers

Eng damit verbunden ist die Frage des Serverstandorts. Personenbezogene Daten sollten idealerweise ausschließlich auf Servern innerhalb der Europäischen Union verarbeitet werden. Drittlandtransfers — also die Übermittlung von Daten in die USA oder andere Staaten außerhalb des EWR — sind zwar unter bestimmten Voraussetzungen, etwa auf Basis von Standardvertragsklauseln zulässig, aber mit erheblichem Dokumentationsaufwand verbunden, rechtlich angreifbar und im Zweifel gegenüber Aufsichtsbehörden schwer zu verteidigen. Gerade für Agenturen, die im Auftrag ihrer Kunden handeln und dabei häufig sensible Markt- und Zielgruppendaten verarbeiten, ist die Wahl EU-basierter Infrastruktur keine bloße Vorsichtsmaßnahme, sondern ein zentrales Element der eigenen Compliance-Strategie zu empfehlen.

Kein Training mit Ihren Daten

Ein weiterer Punkt, der in der Praxis regelmäßig übersehen wird: Viele KI-Anbieter nutzen Eingabedaten in ihrer Standardkonfiguration zur Verbesserung und zum Training ihrer Modelle. Aus datenschutzrechtlicher Sicht ist das in aller Regel unzulässig. Dieser Ausschluss muss vertraglich ausdrücklich vereinbart und technisch nachvollziehbar sein — allein eine entsprechende Zusicherung im Kleingedruckten der Nutzungsbedingungen reicht meist nicht.

Zentrale KI-Infrastruktur statt Tool-Wildwuchs

Wer diese Anforderungen konsequent und skalierbar umsetzen will, kann den Einsatz einer zentralen KI-Plattformlösung in Betracht ziehen. Systeme wie Langdock oder Logicc können es ermöglichen, verschiedene KI-Modelle — etwa GPT-4, Claude oder Gemini — über eine einheitliche, Infrastruktur zu betreiben, die Datenschutzaspekte berücksichtigt. Zugriffsrechte lassen sich granular nach Abteilungen, Projekten oder Mandanten steuern, Eingaben können protokolliert werden, und der gesamte Datenfluss bleibt innerhalb einer kontrollierten Compliance-Umgebung. Gerade für Agenturen, die für mehrere Kunden parallel arbeiten und dabei unterschiedliche Datensätze verwalten, ist dieser Ansatz dem unkontrollierten Wildwuchs verschiedener Einzel-Tools deutlich vorzuziehen.

Interne KI-Nutzungsrichtlinie

Ergänzend sollte jedes Unternehmen, das KI produktiv einsetzt, eine interne KI-Nutzungsrichtlinie festlegen. Diese regelt, welche Datenkategorien in KI-Systeme eingegeben werden dürfen, welche Tools zugelassen sind, und welche internen Freigabeprozesse gelten. Sie ist datenschutzrechtlich als Teil des technisch-organisatorischen Rahmens erforderlich und zugleich arbeitsrechtlich relevant, weil sie Mitarbeiterpflichten klar definiert und das Unternehmen absichert, wenn gegen diese Pflichten verstoßen wird. In einer Branche, in der Mitarbeiter eigenständig und kreativ mit einer Vielzahl digitaler Tools arbeiten, ist eine solche Richtlinie eine praktische Notwendigkeit.

Bestehende Kundenverträge auf KI-Tauglichkeit prüfen

Schließlich — und das betrifft speziell Agenturen und Dienstleister — ist zu prüfen, ob bestehende Auftragsverarbeitungsverträge mit Kunden den KI-Einsatz abdecken. Wenn Kundendaten, die im Rahmen eines Agenturauftrags verarbeitet werden, in KI-Systeme eingegeben werden, entsteht eine zusätzliche Ebene der Unterauftragsverarbeitung. Diese muss durch den bestehenden AVV mit dem Kunden ausdrücklich gedeckt sein. In vielen heute noch gültigen Agenturverträgen ist dieser Fall nicht geregelt, weil er zum Zeitpunkt des Vertragsschlusses noch nicht relevant war. Das sollte zeitnah geprüft und bei Bedarf angepasst werden.

Urheberrecht und Kennzeichnungspflichten: besondere Relevanz für die Kreativbranche

Kein Urheberrechtsschutz für KI-generierte Inhalte

Nach deutschem Recht setzt urheberrechtlicher Schutz eine persönliche geistige Schöpfung voraus, also einen menschlichen Schöpfungsakt. KI-generierte Inhalte erfüllen dieses Kriterium grundsätzlich nicht oder allenfalls dann in eingeschränktem Maße, wenn ein Mensch durch sehr spezifische Prompts, gezielte Auswahl und nachgelagerte Bearbeitung eine hinreichend individuelle gestalterische Leistung erbracht hat. Praktisch bedeutet das: Texte, Bilder, Grafiken oder Videoschnitte, die überwiegend durch KI erzeugt wurden, sind in der Regel nicht oder nur schwach urheberrechtlich geschützt. Dritte können sie grundsätzlich frei verwenden.

Konsequenzen für die Vertragsgestaltung mit Kunden

Das hat unmittelbare Konsequenzen für die Vertragsgestaltung. Wenn eine Agentur KI-generierte Inhalte im Rahmen eines Auftrags erstellt und liefert, geht der Kunde möglicherweise davon aus, exklusive Nutzungsrechte an einem urheberrechtlich geschützten Werk zu erwerben. Diese Annahme ist in vielen Fällen unzutreffend. Wer hier keine klaren vertraglichen Regelungen trifft, riskiert Haftungsansprüche und Folgestreitigkeiten. Es empfiehlt sich daher, in AGB oder Einzelverträgen ausdrücklich darauf hinzuweisen, dass zur Leistungserbringung KI-gestützte Tools eingesetzt werden und dass der urheberrechtliche Schutzstatus der erzeugten Inhalte entsprechend eingeschränkt sein kann.

Risiko: Reproduktion geschützten Trainingsmaterials

Hinzu kommt ein weiteres urheberrechtliches Risiko: KI-Modelle werden auf großen Mengen urheberrechtlich geschützten Materials trainiert. Bei der Generierung neuer Inhalte kann es vorkommen, dass das Modell geschützte Werke reproduziert oder stark angenäherte Inhalte erzeugt. Es ist denkbar, dass die generierten Inhalte Urheberrechte verletzen, auch wenn sie selbst urheberrechtlich nicht geschützt sind. Im Außenverhältnis trägt derjenige das Risiko, der den Inhalt verwendet und veröffentlicht. Eine sorgfältige Qualitätskontrolle vor Veröffentlichung ist daher nicht nur inhaltlich, sondern auch rechtlich geboten und sollte in den internen Freigabeprozess integriert werden.

Kennzeichnungspflichten für KI-Inhalte ab August 2026

Die EU-KI-Verordnung enthält Transparenzpflichten für bestimmte KI-generierte Inhalte. Diese Vorschrift wird in der öffentlichen Diskussion häufig überdehnt, weshalb eine genaue Einordnung wichtig ist. Relevant ist dabei auch der Zeitpunkt: Die Transparenzpflicht ist erst ab August 2026 vollständig anwendbar. Das klingt nach ausreichend Vorlaufzeit, ist es für viele Agenturen aber nicht — wer synthetische Inhalte in großem Umfang produziert, muss die dafür erforderlichen technischen und organisatorischen Prozesse jetzt entwickeln, nicht erst kurz vor Ablauf der Frist.

Inhaltlich gilt: Eine generelle Pflicht, jeden KI-generierten Text oder jedes KI-generierte Bild als solches zu kennzeichnen, existiert nicht. Die KI-Verordnung verpflichtet Betreiber von KI-Systemen, die Bild-, Audio- oder Videoinhalte erzeugen oder manipulieren, diese zu kennzeichnen, wenn die Inhalte tatsächlich existierende Personen, Orte oder Ereignisse täuschend echt darstellen — also bei sogenannten Deepfakes. Die Definition ist dabei enger als der Begriff im allgemeinen Sprachgebrauch. Generische KI-generierte Illustrationen, Stockbilder ohne erkennbaren Personenbezug oder abstrakte Datenvisualisierungen sind davon in aller Regel nicht erfasst, könnten es aber bei bestimmten Gestaltungen sein. Zur Wahrheit gehört auch, dass die Definition vermutlich erst durch die noch ausstehenden Orientierungshilfen der EU-Kommission geschärft werden wird.

Besondere Relevanz für Kampagneninhalte mit Personendarstellungen

Für die Werbe- und Mediabranche ist ein Szenario besonders relevant: der Einsatz von KI zur Erstellung täuschend echter Darstellungen von Personen — etwa für Kampagnenmotive, Testimonials oder bewegte Werbeinhalte. Wer solche Inhalte erzeugt und einsetzt, könnte ab August 2026 zur Kennzeichnung verpflichtet sein und sollte die Vorbereitung darauf nicht auf die lange Bank schieben. Es wird hierauf die Details ankommen.

Wettbewerbsrechtliche Grenzen

Unabhängig von der KI-VO gilt wettbewerbsrechtlich bereits heute: Nach dem UWG kann eine Irreführung durch Unterlassen vorliegen, wenn gegenüber Verbrauchern oder Geschäftspartnern der Eindruck erweckt wird, bestimmte Inhalte seien von Menschen erstellt worden, obwohl dies nicht der Fall ist und weitere Voraussetzungen erfüllt sind. Je mehr die Authentizität oder Individualität eines Inhalts im Vordergrund der Kommunikation steht — ein Bereich, in dem Werbeagenturen täglich arbeiten — desto eher kann der unerwähnte KI-Einsatz wettbewerbsrechtlich problematisch sein.

Fazit und Handlungsempfehlung

Für Unternehmen der Werbe-, Media- und Onlinebranche verdichtet sich der rechtliche Handlungsbedarf auf einige klar benennbare Punkte: Auftragsverarbeitungsverträge mit allen KI-Anbietern abschließen oder überprüfen, EU-Serverstandorte und vertraglichen Ausschluss von Trainingszwecken sicherstellen, eine zentrale datenschutzkonforme KI-Infrastruktur aufbauen, interne Nutzungsrichtlinien einführen, bestehende Kunden-AVV auf KI-Tauglichkeit prüfen, AGB und Werkverträge um Regelungen zu KI-generierten Inhalten ergänzen, und — mit Blick auf August 2026 — ein konkretes Konzept für die Kennzeichnung synthetischer Inhalte entwickeln.

Wer diese Punkte jetzt strukturiert angeht, ist nicht nur rechtlich auf der sicheren Seite, sondern schafft auch intern eine Grundlage, auf der KI-Werkzeuge effizient, verantwortungsvoll und mit echtem Mehrwert eingesetzt werden können. Für eine individuelle Beratung und Prüfung der eigenen Vertragsunterlagen stehen wir zur Verfügung.