KI im Vertrieb DSGVO-konform einführen.

Seit Februar 2025 greifen die ersten Verbotstatbestände des EU AI Act. Seit August 2025 gelten die Vorgaben für General-Purpose-Modelle, und ab August 2026 werden die Hochrisiko-Pflichten wirksam. Für Sales-Teams bedeutet das: Der jahrelange Graubereich ist zu Ende. Wer KI im Vertrieb einsetzt, braucht ein belastbares Verständnis davon, was verboten, erlaubt und transparenzpflichtig ist — und eine schriftliche Spur, die das belegt.

Hinweis: Dieser Artikel ist eine strukturelle Einordnung aus Beratersicht, keine Rechtsberatung. Für konkrete Fälle ziehen Sie bitte eine auf IT-Recht spezialisierte Kanzlei hinzu.

Was klar verboten ist

Der AI Act benennt explizit unzulässige Praktiken. Für den Vertrieb relevant sind zwei: Die systematische Ableitung von Emotionen aus Stimm- oder Videoanalyse am Arbeitsplatz ist ausgeschlossen — das betrifft Sentiment-Tools, die Reps live während Gesprächen bewerten. Sowie die Ausnutzung von Schutzbedürftigkeit (Alter, wirtschaftliche Lage, Behinderung) durch gezieltes Manipulieren. Das klingt weit weg vom B2B-Alltag, betrifft aber auch aggressive Recovery-Kampagnen gegen schwer zahlende Kunden.

Was Hochrisiko-KI ist — und meistens nicht im Vertrieb

Die Hochrisiko-Kategorie umfasst u.a. KI für die Personalauswahl, Zugangsentscheidungen zu essentiellen Diensten und kritischer Infrastruktur. Reines Sales-KI (Lead-Scoring, Next-Best-Action, Meeting-Zusammenfassungen) fällt in der Regel nicht darunter. Zwei Sonderfälle sind aber aufmerksam zu behandeln: KI, die über Kreditwürdigkeit von Interessenten entscheidet, und KI, die im HR-Kontext eingesetzt wird (etwa Coaching-Bots für Reps mit Performance-Bewertung). Beides rutscht in die Hochrisiko-Pflichten.

Die Transparenzpflicht, die jeden betrifft

Artikel 50 AI Act verpflichtet: Wer mit einer KI interagiert, muss das wissen. Für den Vertrieb bedeutet das konkret: Automatisierte E-Mail-Antworten, Chatbots und KI-generierte Ausspielungen müssen gegenüber dem Empfänger als solche erkennbar sein. Eine Zeile in der Signatur oder ein Hinweis zu Beginn einer Sequenz reicht aus — fehlt er, ist das ein Bußgeldrisiko.

Ebenfalls Teil der Transparenzpflicht: Deepfake-ähnliche KI-Inhalte (synthetische Sprecher-Videos, Stimmklone) müssen als künstlich generiert gekennzeichnet werden.

DSGVO-Layer: Zweckbindung und automatisierte Entscheidungen

Parallel zum AI Act gelten weiter die DSGVO-Vorgaben. Zwei Punkte sind besonders praxisrelevant:

Artikel 22 DSGVO: Ausschließlich automatisierte Entscheidungen mit erheblicher Wirkung erfordern eine Rechtsgrundlage und Widerspruchsmöglichkeit. Ein Lead-Scoring, das über die initiale Kontaktaufnahme entscheidet, ist in der Regel noch keine erhebliche Wirkung — sobald aber ein Lead komplett von der Bearbeitung ausgeschlossen wird, ist ein menschlicher Zwischenschritt notwendig.

Zweckbindung: Kontaktdaten, die für ein Whitepaper-Download erhoben wurden, dürfen nicht ohne Weiteres für ein KI-Scoring im Sales-Outreach-Kontext verwendet werden. Die Datenschutzerklärung muss das Scoring explizit benennen.

Praxis-Fahrplan in fünf Schritten

1. Inventarisierung. Liste aller eingesetzten KI-Tools im Sales-Stack mit Zweck, Datentypen und Anbieter. Ohne dieses Inventar ist keine belastbare Compliance möglich.
2. Klassifizierung. Je Tool: Trifft ein Verbotstatbestand? Fällt es in Hochrisiko? Welche Transparenzpflicht greift?
3. AVV und Drittland-Check. Jeder KI-Tool-Anbieter braucht einen aktuellen Auftragsverarbeitungsvertrag. US-Anbieter nur unter Data Privacy Framework oder SCC plus TIA.
4. Datenschutzerklärung aktualisieren. Der Scoring-Zweck, das Profiling und die Empfänger der Daten gehören in die Erklärung — mit der Option zum Widerspruch.
5. Rep-Schulung. Transparenz-Mindeststandards in Outreach-Sequenzen, Umgang mit Widersprüchen, Dokumentationspflichten bei menschlichem Override.

Der pragmatische Kern

Die meisten Sales-KI-Einsätze sind unter AI Act und DSGVO umsetzbar. Was es braucht, ist nicht weniger KI, sondern mehr Dokumentation: eine saubere Verzeichnislage, nachvollziehbare Entscheidungslogik, klare Transparenzhinweise. Wer diese Disziplin etabliert, bekommt parallel zum Compliance-Schutz auch eine bessere interne Governance — und damit ein robusteres KI-Programm.