KI-Content-Marketing und DSGVO-Konformitaet: Personalisierung ohne Tracking-Risiko

Personalisierung im Content-Marketing war zehn Jahre lang gleichbedeutend mit Tracking. Wer den Empfaenger besser kannte, konnte ihm relevantere Inhalte schicken, und wer ihm relevantere Inhalte schicken konnte, gewann das Aufmerksamkeitsrennen. Die Werkzeugkette war stabil: Drittanbieter-Cookies, Server-zu-Server-Pixel, Browser-Fingerprints, Daten-Onboarding-Plattformen, retargeting-getriebene Plattformen aus den Vereinigten Staaten. Diese Werkzeugkette ist in Deutschland 2026 nicht mehr betreibbar.

Drei Entwicklungen haben sie auseinandergerissen. Die Datenschutz-Grundverordnung verlangt seit 2018 Rechtsgrundlagen, die Drittanbieter-Tracking selten sauber abdeckt. §25 des TDDDG (frueher TTDSG) verlangt seit 2021 ausdrueckliche Einwilligung fuer das Setzen oder Auslesen von Cookies und vergleichbaren Technologien. Die EU-KI-Verordnung 2024/1689 fuegt ab dem 2. August 2026 Transparenz- und Risikoanforderungen fuer KI-gestuetzte Personalisierung hinzu. Und die Browserlandschaft selbst — Safari Intelligent Tracking Prevention seit 2018, Firefox Total Cookie Protection seit 2022, Chromes verzoegerte Drittanbieter-Cookie-Abschaffung — hat die technische Basis erodiert.

Dieser Artikel beschreibt, wie KI-Content-Marketing 2026 in Deutschland funktioniert, ohne auf Drittanbieter-Tracking aufzubauen, und welche Architektur DSGVO, TDDDG, UWG und KI-Verordnung gleichzeitig erfuellt.

Begleitende Lektuere: /de/blog/ki-marketing-automation-deutschland zum Plattformvergleich, /de/blog/eu-ai-act-deutschland-leitfaden zum regulatorischen Rahmen, /de/blog/ai-act-hochrisiko-systeme-checkliste zur Hochrisiko-Pruefung.

Was DSGVO-konformes Content-Marketing 2026 bedeutet

DSGVO-konformes Content-Marketing bedeutet vier Dinge gleichzeitig.

Daten werden auf Basis einer dokumentierten Rechtsgrundlage verarbeitet. Artikel 6 DSGVO listet sechs Grundlagen auf. Im Marketing-Kontext sind drei einschlaegig: Einwilligung (lit. a), Vertragserfuellung (lit. b) und berechtigtes Interesse (lit. f). Jede Verarbeitung — vom Newsletter-Versand bis zum personalisierten Banner auf der eigenen Website — muss einer dieser Grundlagen zugeordnet sein, und die Zuordnung muss nachpruefbar dokumentiert sein.

Daten werden nur fuer den Zweck verarbeitet, fuer den sie erhoben wurden. Artikel 5 Abs. 1 lit. b DSGVO verbietet die zweckentfremdete Nutzung. Eine E-Mail-Adresse aus einer Webinar-Anmeldung ist keine automatische Zustimmung zu wiederkehrenden Sales-Sequenzen.

Daten werden minimiert. Artikel 5 Abs. 1 lit. c DSGVO verlangt, nur die Daten zu verarbeiten, die fuer den jeweiligen Zweck notwendig sind. KI-Plattformen sind technisch in der Lage, hunderte Merkmale pro Empfaenger zu speichern. Die DSGVO verlangt eine bewusste Entscheidung, welche davon noetig sind.

Betroffenenrechte werden operativ erfuellbar gehalten. Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17), Datenuebertragbarkeit (Art. 20), Widerspruch (Art. 21) — diese Rechte muessen innerhalb eines Monats erfuellt werden. Eine Marketing-Architektur, in der diese Rechte nur durch Notfall-SQL-Statements erfuellbar sind, ist nicht DSGVO-konform.

Die Praxisleitfaeden des Bitkom und die laufenden Stellungnahmen der Datenschutzkonferenz (DSK) konkretisieren diese Anforderungen fuer das Marketing-Umfeld und gelten in der deutschen Praxis als Referenz.

TDDDG §25 und das Ende des unbemerkten Trackings

§25 TDDDG (das ehemalige TTDSG, seit Mai 2024 als TDDDG fortgefuehrt) ist der Paragraph, der die deutsche Marketing-Praxis 2026 am haertesten beruehrt. Er verlangt eine ausdrueckliche, informierte, freiwillige Einwilligung fuer jedes Speichern oder Auslesen von Informationen auf dem Endgeraet eines Nutzers. Cookies, Pixel, LocalStorage, IndexedDB, ServiceWorker, Browser-Fingerprinting — alle fallen darunter.

Die Norm hat zwei Ausnahmen. Erstens, technische Notwendigkeit: ein Login-Cookie, ein Warenkorb-Cookie, ein CSRF-Token sind keine Einwilligung noetig. Zweitens, ausdrueckliche Anforderung des Nutzers: ein Cookie, das gesetzt wird, weil der Nutzer auf "Erinnere dich an mich" klickt.

Marketing-Cookies fallen weder unter die erste noch unter die zweite Ausnahme. Drittanbieter-Pixel von Werbeplattformen, retargeting-Cookies, A/B-Test-Cookies, die ueber den jeweiligen Kontext hinaus gespeichert werden — alle brauchen eine ausdrueckliche Einwilligung. Und diese Einwilligung muss granular sein: Pauschal "Cookies akzeptieren" reicht nicht, der Nutzer muss zwischen Kategorien differenzieren koennen.

Die Aufsichtsbehoerden in Deutschland — der Hamburgische Beauftragte fuer Datenschutz und Informationsfreiheit, der LfDI Baden-Wuerttemberg, der LDA Bayern — haben in 2024 und 2025 mehrere Bussgeldverfahren gegen Unternehmen gefuehrt, die Cookie-Banner mit Dark-Pattern-Designs einsetzten oder Tracking ohne Einwilligung aktivierten. Die Bussgelder lagen typisch im sechsstelligen Bereich pro Vorfall.

Operative Konsequenz: jede Personalisierung 2026 muss entweder ohne Tracking funktionieren oder mit sauber eingeholter Einwilligung. Die Drittwege — Server-Side-Tagging mit unklarer Einwilligungslage, Probabilistic-Matching, Cross-Device-Graphs — sind in der deutschen Aufsichtspraxis nicht akzeptiert.

Personalisierung ohne Drittanbieter-Tracking

Personalisierung ohne Drittanbieter-Tracking ist nicht das Ende der Personalisierung — sie ist die Verschiebung der Datenbasis. Vier Datenquellen tragen die neue Architektur.

Einwilligungsbasierte First-Party-Daten. Daten, die der Nutzer dem Unternehmen direkt und mit Einwilligung gibt: Newsletter-Anmeldung, Kontoangaben, Praeferenzen, ausdrueckliche Profileinstellungen. Diese Daten sind die saubere Basis jeder Personalisierung.

Vertragsbasierte Transaktionsdaten. Bestellhistorie, Servicenutzung, Vertragslaufzeit. Die Verarbeitung dieser Daten fuer transaktionale Mitteilungen stuetzt sich auf Artikel 6 Abs. 1 lit. b DSGVO und braucht keine separate Einwilligung. Fuer marketingnahe Verwendung — Cross-Selling, Up-Selling — ist die Rechtsgrundlage haeufig berechtigtes Interesse, das eine dokumentierte Interessenabwaegung verlangt.

Kontextuelle Daten. Was der Nutzer gerade ansieht, ohne dass er identifiziert werden muss. Eine Website kann den Inhalt der angezeigten Seite, die Tageszeit, die geografische Region (auf Land-Ebene, ohne IP-Persistenz) nutzen, um Inhalte zu personalisieren — ohne dass dies eine personenbezogene Datenverarbeitung im Sinne der DSGVO ist.

Aggregierte Insights aus First-Party-Daten. KI-Modelle, die auf der eigenen, einwilligungsbasierten Datenbasis trainiert werden, koennen Segmente bilden, Themen vorschlagen, Versandzeiten optimieren — ohne dass individuelles Tracking noetig ist. Die Personalisierung wird nicht aus Browser-Verhalten abgeleitet, sondern aus dem deklarierten Interesse und der eingegangenen Geschaeftsbeziehung.

Die operative Botschaft: KI macht Personalisierung mit weniger Daten besser, nicht mit mehr Daten besser. Ein gutes Modell, das auf einwilligungsbasierten First-Party-Daten trainiert ist, schlaegt ein generisches Modell auf umfassendem Drittanbieter-Tracking, weil das Signal sauberer ist.

KI-generierte Inhalte und Artikel 50 KI-Verordnung

Die EU-KI-Verordnung 2024/1689 trifft Content-Marketing direkt ueber Artikel 50, der Transparenzpflichten fuer bestimmte KI-Systeme regelt. Drei Faelle sind 2026 relevant.

KI-generierter Text. Ein Newsletter, dessen Text von einem grossen Sprachmodell formuliert wurde, faellt unter die Transparenzpflicht, wenn er ohne menschliche redaktionelle Verantwortung versendet wird. Die KI-Verordnung verlangt, dass der Empfaenger erkennen kann, dass der Inhalt von einer KI generiert wurde. Die genaue technische Form — sichtbare Beschriftung, Metadaten, Wasserzeichen — wird durch delegierte Rechtsakte und harmonisierte Normen praezisiert. Der KI-Verordnungs-Service-Desk der EU-Kommission veroeffentlicht laufend Klarstellungen.

KI-generierte Bilder und Videos (Synthetische Inhalte und Deepfakes). Bilder und Videos, die KI-generiert sind und reale Personen, Orte oder Ereignisse darstellen koennten, fallen unter die Deepfake-Regel des Artikels 50 Abs. 4: sie muessen als kuenstlich erzeugt oder manipuliert gekennzeichnet werden. Marketing-Visuals, die generische Stockfoto-Aesthetik haben, fallen typischerweise nicht darunter; Marketing-Visuals, die einen erkennbaren Geschaeftsfuehrer in einer Situation zeigen, die nicht real war, fallen klar darunter.

KI-Stimmen. Voice-Marketing mit synthetisierten Stimmen unterliegt aehnlichen Transparenzpflichten.

Die Konsequenz fuer KI-Content-Marketing 2026: Beschriftungspraxis und Metadaten-Praxis sind Teil der Compliance, nicht bloss Marketing-Aesthetik. Plattformen, die KI-generierten Inhalt ohne nativen Beschriftungs-Mechanismus liefern, schieben das Compliance-Risiko an den Anwender weiter.

UWG §7 und das Werbeverbot ohne Einwilligung

Das Gesetz gegen den unlauteren Wettbewerb (UWG) §7 verbietet unaufgeforderte Werbung an Verbraucher per E-Mail, Telefon oder SMS ohne ausdrueckliche Einwilligung — und verbietet im B2B unaufgeforderte Telefonwerbung ohne mutmassliche Einwilligung. Eine Ausnahme fuer "weiche" Bestandskunden-Werbung steht in §7 Abs. 3 UWG: sie verlangt aber, dass die E-Mail-Adresse beim Verkauf einer Ware erlangt wurde, dass die Werbung fuer aehnliche Waren ist, und dass der Kunde ueber sein Widerspruchsrecht informiert wurde.

UWG §7 ergaenzt die DSGVO und ist parallel zu erfuellen. Eine Werbe-E-Mail, die DSGVO-konform versendet werden koennte, kann gleichzeitig wettbewerbswidrig sein, wenn die UWG-Voraussetzungen nicht vorliegen. Die Wettbewerbszentrale und die Wettbewerbsverbaende in den Bundeslaendern verfolgen Verstoesse aktiv.

Operative Konsequenz: jede Empfaengerliste muss entweder eine DSGVO-Einwilligung dokumentieren, die zugleich UWG-§7-tauglich ist, oder die Bestandskunden-Ausnahme sauber erfuellen.

ISO 42001 als Vertrauenssignal

Die internationale Norm ISO/IEC 42001:2023 definiert ein Managementsystem fuer Kuenstliche Intelligenz analog zu ISO 27001 fuer Informationssicherheit. Die Norm ist nicht verpflichtend — die KI-Verordnung schreibt fuer Standardrisiko-Systeme keine Zertifizierung vor.

Fuer Content-Marketing-Anbieter und -Anwender ist ISO 42001 ein Vertrauenssignal. Sie zeigt, dass die Organisation KI-Lebenszyklen, Risikomanagement, Datenqualitaet und menschliche Aufsicht nach einem strukturierten Standard verwaltet. In B2B-Lieferantenaudits wird sie 2026 zunehmend als Pruefkriterium auftauchen. TUEV SUED, DEKRA und DIN MEDIA bieten Zertifizierung in Deutschland an.

BfDI, DSK und die laufenden Stellungnahmen

Die deutsche Aufsichtspraxis fuer KI-gestuetztes Marketing wird nicht von einer einzigen Stelle definiert, sondern entsteht aus dem Zusammenspiel mehrerer Akteure.

Die Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit (BfDI) ist fuer Bundesbehoerden und Telekommunikationsunternehmen zustaendig. Die Datenschutzkonferenz (DSK) — der Zusammenschluss der Landesaufsichtsbehoerden — veroeffentlicht abgestimmte Positionen, die in der Praxis als verbindlich gelten. Die Landesaufsichtsbehoerden sind die Vollzugsstellen fuer die Privatwirtschaft. Hinzu kommt der Hamburgische Beauftragte fuer Datenschutz und der LfDI Baden-Wuerttemberg, die sich bei KI-Themen besonders profiliert haben.

Marketing-Verantwortliche sollten die DSK-Stellungnahmen quartalsweise pruefen. Die Stellungnahmen 2024 und 2025 zu Tracking, Cookie-Bannern und KI-gestuetzter Personalisierung haben die Aufsichtspraxis spuerbar verschaerft.

Architekturmuster fuer 2026

Ein Content-Marketing-Stack, der DSGVO, TDDDG, UWG und KI-Verordnung gleichzeitig erfuellt, hat fuenf Schichten.

Schicht 1: Einwilligung als First-Class-Konzept. Ein TCF-v2.2-konformer Consent-Management-Provider, der jede Einwilligung mit Zeitstempel, Version des Banners, Granularitaet und Widerrufspfad speichert. Die Einwilligung wird an alle nachgelagerten Systeme propagiert.

Schicht 2: First-Party-Datenbasis im EU-Hosting. CRM, CDP oder Datenbasis im eigenen Betrieb, gehostet in der EU, idealerweise in Deutschland. Auftragsverarbeitungsvertrag mit jedem nachgelagerten Verarbeiter.

Schicht 3: KI-Modelle mit dokumentierter Inferenzregion. Modelle, die auf der First-Party-Datenbasis trainieren oder inferieren, muessen eine bekannte und vertraglich gesicherte Inferenzregion haben — vorzugsweise EU. Die Auftragsverarbeitung muss benennen, ob das Modell der Anbieter selbst hostet oder ueber einen Sub-Prozessor laeuft.

Schicht 4: Beschriftung und Transparenz. Wenn KI-Inhalt versandt wird, muss die Beschriftung Teil der Versand-Pipeline sein, nicht eine manuelle Endredaktion.

Schicht 5: Audit-Trail. Jede Aussendung, jede automatisierte Entscheidung, jede Einwilligung ist in einem Log dokumentiert, der bei Anfrage einer Aufsichtsbehoerde oder Betroffenen innerhalb von Tagen exportierbar ist.

Plattform-Implikationen

Die DSGVO- und TDDDG-Anforderungen wirken auf die Plattformwahl direkt. Inxmail (Freiburg) und Cleverreach (Rastede) bieten deutsches Hosting und sind fuer datenschutzkritische Branchen attraktiv. Brevo (Paris) bietet EU-Hosting mit franzoesischer Auftragsverarbeitung. HubSpot bietet seit 2021 ein Frankfurter Rechenzentrum, bleibt aber US-Mutterkonzern und verlangt sorgfaeltige Transfer-Folgenabschaetzung. Salesforce Marketing Cloud bietet das Frankfurter Rechenzentrum seit 2022 und ist die Konzernwahl. Eine Plattform-Detailbetrachtung steht in /de/blog/ki-marketing-automation-deutschland.

Knowlee positioniert sich in dieser Landschaft als KI-Workforce-Plattform fuer Marketing, Vertrieb und Service, die DSGVO- und AI-Act-by-design ist und auf europaeischer Souveraenitaet aufbaut. Hosting in Deutschland (Hetzner Falkenstein und Helsinki), Auftragsverarbeitung nach EU-Recht, kein Drittlandtransfer in die Vereinigten Staaten. Die KI-Modelle, die Content-Personalisierung steuern, inferieren in der EU; die Beschriftungs- und Transparenzpflichten der KI-Verordnung sind Teil der Plattformarchitektur, nicht eine optionale Ergaenzung.

Was 2026 noch zu klaeren ist

Der KI-Verordnungs-Service-Desk der EU-Kommission veroeffentlicht laufend deutschsprachige Klarstellungen. Das Bundesministerium fuer Wirtschaft und Klimaschutz arbeitet am KI-Verordnungs-Durchfuehrungsgesetz (Stand April 2026: Referentenentwurf), das nationale Marktueberwachung und Sanktionspraxis regelt. Die delegierten Rechtsakte zur Beschriftung KI-generierter Inhalte (Artikel 50 KI-VO) sind 2025 begonnen worden und werden 2026 fortgesetzt.

Marketing-Verantwortliche sollten diese drei Quellen mindestens quartalsweise pruefen.

Die Knowlee-Position

Knowlee ist als KI-Workforce-Plattform fuer den europaeischen Markt entworfen. DSGVO-Konformitaet, TDDDG-Vertraeglichkeit, UWG-Diszipliniertheit und KI-Verordnungs-Readiness sind Architekturentscheidungen, nicht Compliance-Nachtraege. Fuer Content-Marketing-Verantwortliche, die in 2026 eine Plattformentscheidung treffen, die auch in 2028 noch tragfaehig ist, ist diese Architektur die einfachere Antwort.

Häufig gestellte Fragen

Brauche ich fuer KI-generierte Newsletter eine Einwilligung des Empfaengers, dass KI verwendet wurde? Die KI-Verordnung verlangt Transparenz, nicht zwingend eine separate Einwilligung. Der Empfaenger muss erkennen koennen, dass der Inhalt KI-generiert ist; eine Beschriftung im Newsletter erfuellt diese Anforderung. Die DSGVO-Einwilligung fuer den Newsletter-Versand bleibt davon getrennt.

Reicht eine pauschale Cookie-Einwilligung nach §25 TDDDG? Nein. §25 verlangt granulare, informierte, freiwillige Einwilligung. Pauschale "Cookies akzeptieren"-Banner ohne Differenzierung sind in der deutschen Aufsichtspraxis als nicht ausreichend bewertet worden.

Kann ich auf Basis berechtigten Interesses ohne Einwilligung Marketing betreiben? In sehr begrenzten Faellen ja — etwa fuer transaktionale Bestandskunden-Kommunikation nach §7 Abs. 3 UWG. Fuer breitflaechige Marketing-Automation ist berechtigtes Interesse keine sichere Grundlage; Einwilligung ist der saubere Weg.

Was passiert, wenn ich KI-Inhalte ohne Beschriftung versende? Ab dem 2. August 2026 koennen Aufsichtsbehoerden Bussgelder nach Artikel 99 KI-Verordnung verhaengen. Die deutsche Marktueberwachungsstelle nach KI-Verordnung wird durch das KI-Verordnungs-Durchfuehrungsgesetz benannt; der genaue Eskalationspfad wird im Gesetzgebungsverfahren konkretisiert.

Wie viele Bussgeldverfahren gab es in Deutschland 2024 wegen Cookie-Bannern? Mehrere Aufsichtsbehoerden haben Verfahren mit sechsstelligen Bussgeldern abgeschlossen; eine bundesweite Gesamtstatistik wird nicht zentral gefuehrt. Die LfDI-Taetigkeitsberichte enthalten die Einzelfaelle.

Disclaimer

Dieser Artikel ist eine redaktionelle Einordnung, keine Rechts- oder Steuerberatung. Konkrete Compliance-Entscheidungen — insbesondere zur DSGVO, zum TDDDG, zum UWG und zur EU-KI-Verordnung — sollten mit einem qualifizierten Datenschutzbeauftragten und einem auf IT- und Datenschutzrecht spezialisierten Rechtsanwalt abgestimmt werden. Die zitierten Quellen, Plattformen und Behoerdenstellungnahmen wurden zum Stand April 2026 geprueft; die regulatorische Lage entwickelt sich weiter. Knowlee ist Hersteller der in diesem Artikel beschriebenen KI-Workforce-Plattform; das stellt einen Interessenkonflikt dar, der hier offengelegt wird.