KI-Marketing-Automation in Deutschland: Plattformen, DSGVO, Stack 2026

Marketing-Automation in Deutschland ist 2026 nicht mehr die Frage, ob ein Unternehmen seine E-Mail-Strecken automatisiert. Diese Diskussion ist seit zehn Jahren entschieden. Die eigentliche Frage lautet: Wie weit darf Kuenstliche Intelligenz in der Personalisierung gehen, ohne die DSGVO, das TTDSG, das UWG und ab dem 2. August 2026 die EU-KI-Verordnung zu verletzen — und welche Plattform liefert diese Balance ohne Drittlandtransfer in die Vereinigten Staaten?

Dieser Leitfaden ist fuer CMOs, Heads of Marketing Operations, Datenschutzbeauftragte und Compliance-Verantwortliche im deutschen Mittelstand und in Konzernen geschrieben. Er beschreibt den Stack, der 2026 funktioniert, die Plattformen, die in DACH wirklich rechtssicher betrieben werden koennen, und die operativen Entscheidungen, die jede Marketing-Organisation in den naechsten zwoelf Monaten treffen muss.

Begleitende Lektuere: /de/blog/ki-content-marketing-dsgvo zur Personalisierung ohne Tracking-Risiko, /de/blog/eu-ai-act-deutschland-leitfaden zum regulatorischen Rahmen, /de/blog/ai-act-hochrisiko-systeme-checkliste zur Hochrisiko-Pruefung von Marketing-Systemen.

Was Marketing-Automation in Deutschland 2026 unterscheidet

In den Vereinigten Staaten ist Marketing-Automation eine Funktionsdebatte: Welche Plattform hat die besten Workflows, die meisten Integrationen, das schnellste KI-Modell. In Deutschland ist Marketing-Automation eine Rechtsdebatte mit Funktionsanteil. Drei Faktoren ueberlagern sich gleichzeitig:

  1. Datenschutz-Grundverordnung (DSGVO). Artikel 6 verlangt eine Rechtsgrundlage fuer jede Verarbeitung; Artikel 22 reguliert automatisierte Entscheidungen mit erheblicher Wirkung; Artikel 28 verlangt Auftragsverarbeitungsvertraege mit jedem Plattformanbieter.
  2. Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), seit Mai 2024 als TDDDG fortgefuehrt. §25 verlangt fuer das Speichern oder Auslesen von Informationen auf Endgeraeten — also Cookies, Pixel, LocalStorage, Fingerprinting — eine ausdrueckliche Einwilligung. Marketing-Automation, die auf Web-Tracking aufbaut, steht hier vor einer harten Schwelle.
  3. EU-KI-Verordnung 2024/1689. Ab dem 2. August 2026 sind Hochrisiko-Systeme nach Anhang III voll reguliert; Marketing-Automation kann ueber Scoring oder Profiling in den Grenzbereich rutschen, wenn sie Verbraucherentscheidungen erheblich beeinflusst. Generative KI-Komponenten unterliegen den Transparenzpflichten nach Artikel 50 ab dem 2. August 2026.

Hinzu kommt das Gesetz gegen den unlauteren Wettbewerb (UWG) §7, das unaufgeforderte elektronische Werbung an Verbraucher ohne Einwilligung als wettbewerbswidrig einstuft, und die laufenden Stellungnahmen der Datenschutzkonferenz (DSK) sowie des Bundesbeauftragten fuer den Datenschutz und die Informationsfreiheit (BfDI), die die Anwendung dieser Normen auf KI-Systeme konkretisieren.

Eine deutsche Marketing-Automation-Strategie 2026 funktioniert nicht, wenn sie als amerikanische Strategie mit angeklebtem Cookie-Banner gedacht ist. Sie funktioniert, wenn sie von Beginn an um diese vier Saeulen herum entworfen wird.

Was die DSGVO konkret von Marketing-Automation verlangt

Die DSGVO behandelt jede personalisierte Marketingaktion als Verarbeitung personenbezogener Daten und verlangt vier Dinge gleichzeitig.

Rechtsgrundlage nach Artikel 6. Fuer die meisten Marketing-Automation-Aktivitaeten kommen drei Grundlagen in Frage. Einwilligung (Art. 6 Abs. 1 lit. a) ist die sauberste, aber an Bedingungen geknuepft: freiwillig, informiert, granular, jederzeit widerrufbar. Vertragserfuellung (Art. 6 Abs. 1 lit. b) trifft transaktionale Mails (Bestellbestaetigungen, Lieferinformationen). Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) ist die heikelste, weil sie eine Interessenabwaegung verlangt, die der Verantwortliche dokumentieren muss.

Zweckbindung nach Artikel 5 Abs. 1 lit. b. Daten, die fuer einen bestimmten Zweck erhoben wurden, duerfen nicht ohne weiteres fuer einen anderen genutzt werden. Eine E-Mail-Adresse aus einem Whitepaper-Download in einen automatisierten Sales-Funnel zu schicken, ist kein automatischer Zweck.

Datenminimierung nach Artikel 5 Abs. 1 lit. c. Marketing-Automation-Plattformen sind technisch in der Lage, hunderte Merkmale pro Empfaenger zu speichern. Die DSGVO verlangt, nur die Merkmale zu speichern, die fuer den jeweiligen Zweck notwendig sind.

Auftragsverarbeitung nach Artikel 28. Jede Plattform, die personenbezogene Daten im Auftrag verarbeitet, braucht einen schriftlichen Auftragsverarbeitungsvertrag. Bei US-Anbietern kommen die Standardvertragsklauseln und die Trans-Atlantic Data Privacy Framework-Pruefung hinzu. Die Aufsichtsbehoerden in Deutschland — insbesondere der Hamburgische Beauftragte fuer Datenschutz und Informationsfreiheit und der Landesbeauftragte fuer Datenschutz Baden-Wuerttemberg — haben in den letzten Jahren mehrfach klargestellt, dass die blosse Aufnahme eines Anbieters in das Framework nicht von der eigenen Pruefpflicht entbindet.

Das Bitkom-Praxisleitfaden-Material zur DSGVO und zur Anwendung im Marketing fasst diese Anforderungen seit 2018 in einer Sprache zusammen, die fuer deutsche Marketing-Verantwortliche umsetzbar ist und die in dieser Branche faktisch zum Industriestandard geworden ist.

TTDSG §25 und das Ende des unauffaelligen Trackings

§25 TDDDG (frueher TTDSG) ist die deutsche Umsetzung der ePrivacy-Richtlinie. Er sagt in einem Satz, was Marketing-Automation in Deutschland 2026 stoert: jedes Speichern oder Auslesen von Informationen auf dem Endgeraet eines Nutzers — Cookies, Pixel, LocalStorage, Browser-Fingerprints, ServiceWorker — verlangt eine ausdrueckliche, informierte, freiwillige Einwilligung. Es gibt nur zwei Ausnahmen: technische Notwendigkeit fuer die Bereitstellung des Dienstes, und ausdrueckliche Anforderung des Nutzers.

Marketing-Automation-Plattformen, die ihre Personalisierung auf serverseitiges Verhalten und einwilligungsbasierte First-Party-Daten gruenden, haben mit §25 keine grossen Probleme. Plattformen, die mit Drittanbieter-Pixeln, Cross-Site-Tracking oder undeklarierten Browser-Fingerprints arbeiten, kollidieren mit der Norm. Die deutschen Aufsichtsbehoerden haben in 2024 und 2025 mehrere Bussgelder gegen Unternehmen verhaengt, die Cookie-Consent-Banner mit Dark-Pattern-Designs einsetzten, sowie gegen Anbieter, die Tracking ohne Einwilligung aktivierten.

Die operative Konsequenz fuer 2026: jede neue KI-Personalisierungsfunktion muss bereits bei der Auswahl auf §25-Vertraeglichkeit gepruefte werden. Eine KI, die ohne Einwilligung verhaltensbasierte Profile bildet, ist auf dem deutschen Markt nicht einsetzbar — egal wie performant sie in den Vereinigten Staaten ist.

Welche Plattformen in Deutschland 2026 funktionieren

Die DACH-Region hat eine eigene Plattformlandschaft, die sich von der amerikanischen unterscheidet. Sechs Anbieter dominieren die Mittelstands- und Konzernpraxis.

Inxmail (Freiburg)

Inxmail ist seit Jahrzehnten ein deutsches E-Mail-Marketing-Schwergewicht mit Sitz in Freiburg, Hosting in Deutschland und einer Compliance-Positionierung, die explizit auf den deutschen und oesterreichischen Markt zugeschnitten ist. Die KI-Funktionen — Send-Time-Optimization, Subject-Line-Vorschlaege, Segmentvorhersage — sind eingebettet, ohne dass Daten in US-Cloud-Regionen verlassen werden. Fuer Versicherungen, Banken und oeffentliche Auftraggeber, die Hosting-Sovereignty als harte Anforderung haben, ist Inxmail oft die erste Wahl.

Cleverreach (Rastede)

Cleverreach ist der zweite traditionsreiche deutsche Anbieter, ebenfalls mit Hosting in Deutschland und einer DSGVO-Positionierung im Marketing. Die Plattform ist preislich aggressiver als Inxmail und richtet sich staerker an den KMU-Markt. KI-Funktionen sind seit 2024 in der Roadmap, kommen aber langsamer als bei den US-Anbietern.

Brevo (frueher Sendinblue, Paris)

Brevo ist franzoesisch, mit europaeischem Hosting, und kombiniert E-Mail, SMS, WhatsApp und CRM-Light in einer Plattform. Die DSGVO-Compliance ist ein zentrales Verkaufsargument, der Auftragsverarbeitungsvertrag ist EU-rechtlich klar, und die KI-Funktionen — Send-Time, Predictive Sending, KI-Texterstellung — entwickeln sich schnell. Fuer DACH-Mittelstandsunternehmen, die einen All-in-One-Ansatz suchen und nicht zwingend an einen deutschen Anbieter gebunden sind, ist Brevo seit 2023 die staerkste europaeische Alternative zu HubSpot.

HubSpot DACH

HubSpot betreibt seit 2021 ein Frankfurter Rechenzentrum und bietet fuer DACH-Kunden EU-Hosting an. Die Plattform ist funktional die reichste auf dem Markt, mit einer KI-Schicht (Breeze), die in 2025 deutlich ausgebaut wurde. Datenschutzrechtlich bleibt HubSpot ein US-Unternehmen mit US-Mutter, weshalb die Standardvertragsklauseln und das Trans-Atlantic Data Privacy Framework greifen muessen. Mehrere deutsche Aufsichtsbehoerden haben in 2024 klargestellt, dass dies nicht automatisch reicht — es bleibt ein Restrisiko, das jedes Unternehmen einzeln bewerten muss.

Salesforce Marketing Cloud DE

Salesforce Marketing Cloud ist die Konzernwahl. Die Einstein-KI-Schicht ist tief integriert, das Frankfurter Rechenzentrum ist seit 2022 verfuegbar, und der DACH-Vertrieb ist eingespielt. Die Komplexitaet der Implementierung und der Lizenzkosten machen sie fuer den Mittelstand selten zur ersten Wahl. Fuer DAX-Konzerne ist sie der Standard.

Knowlee

Knowlee positioniert sich nicht als Mail-Tool, sondern als KI-Workforce-Plattform mit Marketing-Modul: Agenten, die Inhalte generieren, Empfaenger qualifizieren, Versandzeiten optimieren und Sales-Anfragen beantworten — alles in einer Architektur, die DSGVO- und AI-Act-by-design ist und auf europaeischer Souveraenitaet aufbaut. Hosting in Deutschland (Hetzner Falkenstein und Helsinki), Auftragsverarbeitung nach EU-Recht, kein Drittlandtransfer in die Vereinigten Staaten. Fuer Unternehmen, die eine Marketing-Automation-Architektur bauen, die in 2027 noch rechtskonform ist, ist Knowlee die Antwort, die nicht erst nachtraeglich um Compliance gebeten werden muss.

Stack-Architektur fuer 2026

Der pragmatische Stack fuer ein deutsches Mittelstandsunternehmen 2026 sieht vier Schichten vor.

Schicht 1: Identitaet und Einwilligung. Ein Consent-Management-Provider (CMP), der TCF v2.2 unterstuetzt, granulare Einwilligungen erfasst, an alle nachgelagerten Systeme propagiert und einen rechtssicheren Widerrufsmechanismus bietet. Usercentrics (Muenchen) und CookieFirst sind die in DACH dominanten Wahl.

Schicht 2: First-Party-Datenbasis. Eine Customer-Data-Plattform oder ein CRM, das im EU-Raum gehostet ist und alle Eingangskanaele konsolidiert. Optionen: Salesforce mit EU-Tenant, HubSpot mit Frankfurter Region, oder eine Postgres-basierte First-Party-Datenbasis im Eigenbetrieb.

Schicht 3: Marketing-Automation und KI. Hier landen die oben beschriebenen Plattformen. Wichtig: die KI-Modelle, die Personalisierung berechnen, muessen in der Auftragsverarbeitung benannt sein, und ihre Trainings- und Inferenzregion muss EU sein.

Schicht 4: Beobachtbarkeit und Audit. Logs jeder automatisierten Entscheidung, Versand-Audit-Trails, Einwilligungs-Audit-Trails. Wenn 2026 eine Aufsichtsbehoerde anfragt, warum eine bestimmte E-Mail an eine bestimmte Person ging, muss die Antwort in Minuten verfuegbar sein, nicht in Wochen.

EU-KI-Verordnung und Marketing-Automation

Die EU-KI-Verordnung 2024/1689 trifft Marketing-Automation auf zwei Wegen.

Generative KI-Komponenten und Artikel 50. Wenn eine Plattform KI-generierten Text in Newslettern, KI-generierte Bilder in Bannern oder KI-Stimmen in Voice-Marketing einsetzt, greift ab dem 2. August 2026 die Transparenzpflicht: der Empfaenger muss erkennen koennen, dass der Inhalt von einer KI generiert wurde. Die genaue technische Form — Wasserzeichen, Metadaten, sichtbare Beschriftung — wird durch delegierte Rechtsakte und harmonisierte Normen praezisiert.

Profiling und Hochrisiko-Grenze. Marketing-Automation, die ueber Scoring entscheidet, welche Verbraucher welche Angebote zu welchen Preisen erhalten, kann in den Grenzbereich der Hochrisiko-Klassifizierung nach Anhang III rutschen, insbesondere wenn die Entscheidungen erhebliche Konsequenzen fuer den Einzelnen haben (Kreditangebote, Versicherungstarife, Zugang zu Diensten). Reines Marketing-Scoring fuer Newsletter-Segmente ist regelmaessig nicht hochrisiko, aber jede Organisation muss die Grenze einzeln pruefen. Die operative Checkliste fuer diese Pruefung steht in /de/blog/ai-act-hochrisiko-systeme-checkliste.

ISO 42001 als freiwilliger Multiplikator

Die internationale Norm ISO/IEC 42001:2023 definiert ein KI-Managementsystem analog zu ISO 27001 fuer Informationssicherheit. Sie ist nicht verpflichtend — die KI-Verordnung kennt keine Zertifizierungspflicht fuer Standardrisiko-Systeme. Aber sie wird in 2026 schnell zum De-facto-Industriestandard fuer Unternehmen, die im B2B nachweisen wollen, dass ihre KI-Marketing-Automation governanced ist.

Fuer Marketing-Automation-Anbieter ist ISO 42001 ein Verkaufsargument; fuer Anwender ist sie ein Pruefkriterium in Auftragsverarbeitungsvertraegen und Lieferantenaudits. TUEV SUED, DEKRA und DIN MEDIA bieten in Deutschland Schulungen, Vorbereitung und Zertifizierung an.

Auswahlkriterien fuer 2026

Wenn ein deutsches Unternehmen 2026 eine neue oder ergaenzende Marketing-Automation-Plattform einkauft, sollten diese sieben Kriterien explizit gewichtet werden.

  1. Hosting-Region — EU-Hosting, idealerweise Deutschland, mit klarer Datenflussdokumentation.
  2. Auftragsverarbeitungsvertrag — Standardvertrag des Anbieters pruefen, Subprozessoren-Liste pruefen, Aenderungsbenachrichtigung pruefen.
  3. TCF-v2.2- und §25-Kompatibilitaet — Einwilligung muss als First-Class-Konzept im Datenmodell vorhanden sein.
  4. AI-Act-Readiness — Anbieter muss erklaeren, welche KI-Komponenten er einsetzt, in welcher Region sie inferieren, und wie er Artikel 50 (Transparenz) und Anhang III (Hochrisiko) handhabt.
  5. Audit-Trail-Tiefe — kann der Anbieter pro E-Mail, pro Empfaenger, pro automatisierter Entscheidung nachweisen, warum sie ausgeloest wurde.
  6. Lokale Vertretung — DACH-Account-Management auf Deutsch, Vertragsverhandlung nach deutschem Recht, Eskalationspfad nach DACH-Compliance.
  7. Roadmap-Transparenz — wie reagiert der Anbieter auf Aenderungen der KI-Verordnung, der DSK-Stellungnahmen, der TDDDG-Novellen.

Was sich 2026 noch aendern wird

Der KI-Verordnungs-Service-Desk der EU-Kommission veroeffentlicht laufend deutschsprachige Fragen und Antworten zur Anwendung der Verordnung. Das Bundesministerium fuer Wirtschaft und Klimaschutz arbeitet am KI-Verordnungs-Durchfuehrungsgesetz (Stand April 2026: Referentenentwurf), das die nationale Marktueberwachung, die Sanktionspraxis und die Notifizierung der nationalen Stellen regelt. Die DSK hat eine eigene Arbeitsgruppe zur KI-Verordnung eingerichtet, deren Stellungnahmen die Aufsichtspraxis der Landesbehoerden formen.

Marketing-Verantwortliche, die 2026 Plattformentscheidungen treffen, sollten diese drei Quellen mindestens quartalsweise pruefen. Die Compliance-Anforderungen werden sich verschaerfen, nicht entspannen — und ein Stack, der heute funktioniert, kann in zwoelf Monaten nachgebessert werden muessen.

Die Knowlee-Position

Knowlee ist als KI-Workforce-Plattform fuer den europaeischen Markt entworfen: DSGVO- und AI-Act-by-design, EU-souveraen, Hosting in Deutschland, kein Drittlandtransfer als Default. Das Marketing-Modul ist nicht ein nachtraeglich angeklebtes E-Mail-Tool, sondern ein Agentenkollektiv, das Inhalte generiert, Empfaenger qualifiziert, Versandzeiten optimiert, Antworten beantwortet — und jeden einzelnen Schritt in einem Audit-Trail dokumentiert, der fuer die Aufsichtsbehoerde lesbar ist.

Fuer den deutschen Mittelstand und den DACH-Konzern, der eine Marketing-Automation-Architektur bauen will, die 2027 und 2028 noch rechtssicher betreibbar ist, ist diese Architektur die einfachere Antwort.

Häufig gestellte Fragen

Ist HubSpot DSGVO-konform fuer deutsche Unternehmen? HubSpot bietet seit 2021 EU-Hosting in Frankfurt und einen Standard-Auftragsverarbeitungsvertrag. Die DSGVO-Konformitaet haengt jedoch nicht allein vom Anbieter ab, sondern von der konkreten Konfiguration und Datenflussarchitektur des Anwenders. Mehrere deutsche Aufsichtsbehoerden haben in 2024 klargestellt, dass die Aufnahme von HubSpots Mutterkonzern in das Trans-Atlantic Data Privacy Framework nicht automatisch von der eigenen Pruefpflicht entbindet.

Was verlangt §25 TDDDG fuer Marketing-Automation? §25 verlangt eine ausdrueckliche, informierte, freiwillige Einwilligung fuer jedes Speichern oder Auslesen von Informationen auf dem Endgeraet eines Nutzers — also Cookies, Pixel, LocalStorage. Marketing-Automation, die auf Web-Tracking aufbaut, muss diese Einwilligung sauber einholen und dokumentieren.

Wann wird Marketing-Automation zum Hochrisiko-System nach AI Act? Reines Newsletter-Scoring ist regelmaessig kein Hochrisiko-System. Wenn die Plattform jedoch ueber Zugang zu Diensten, Preise oder wesentliche Vertragsbedingungen entscheidet, kann sie in Anhang III rutschen. Die Pruefung ist im Einzelfall noetig.

Reichen die Standardvertragsklauseln fuer den Einsatz von US-Plattformen? Die Standardvertragsklauseln und das Trans-Atlantic Data Privacy Framework sind Voraussetzung, aber nicht Garantie. Jedes Unternehmen muss eine eigene Transfer-Folgenabschaetzung durchfuehren und dokumentieren.

Welcher Anbieter ist 2026 die beste Wahl fuer den DACH-Mittelstand? Es gibt keine universelle beste Wahl. Inxmail und Cleverreach gewinnen, wenn deutsches Hosting harte Anforderung ist. Brevo gewinnt fuer All-in-One-Mittelstand. HubSpot gewinnt fuer komplexe CRM-Marketing-Integration. Knowlee gewinnt fuer Unternehmen, die KI-getriebene Workflows als zentralen Hebel verstehen und EU-Souveraenitaet als Default wollen.

Disclaimer

Dieser Artikel ist eine redaktionelle Einordnung, keine Rechts- oder Steuerberatung. Konkrete Compliance-Entscheidungen — insbesondere zur DSGVO, zum TDDDG, zur EU-KI-Verordnung und zu nationalem Recht — sollten mit einem qualifizierten Datenschutzbeauftragten und einem auf IT- und Datenschutzrecht spezialisierten Rechtsanwalt abgestimmt werden. Die zitierten Quellen, Plattformen und Behoerdenstellungnahmen wurden zum Stand April 2026 geprueft; die regulatorische Lage entwickelt sich weiter, und spaeter veroeffentlichte Stellungnahmen koennen diese Einordnung modifizieren. Knowlee ist Hersteller der in diesem Artikel beschriebenen KI-Workforce-Plattform; das stellt einen Interessenkonflikt dar, der hier offengelegt wird. Die Plattformbewertungen reflektieren die offenkundige Marktpositionierung der Anbieter und sind keine Empfehlung im Sinne des §31 WpHG oder vergleichbarer Vorschriften.