AI Act für Agenturen – Haftung bei KI-Projekten für Kunden

Sie sind Agentur und setzen KI-Tools für Ihre Kunden ein? Dann stehen Sie vor einer Frage, die der AI Act sehr klar beantwortet – aber die viele Agenturen noch nicht gestellt haben: Wer ist verantwortlich, wenn etwas schiefgeht?

Das Problem: Drei Parteien, eine KI

Ein typisches Szenario: Eine Marketing-Agentur nutzt ChatGPT, um Produktbeschreibungen für einen Online-Shop zu erstellen. Beteiligt sind:

OpenAI – Anbieter des KI-Systems
Die Agentur – setzt das System ein, erstellt Prompts, liefert Output
Der Kunde – veröffentlicht die Texte unter seinem Namen

Wer ist jetzt der „Betreiber” im Sinne des AI Acts? Und wer haftet, wenn die KI-generierten Texte Fehler enthalten?

Die Rollen des AI Acts

Der AI Act definiert klare Rollen mit unterschiedlichen Pflichten:

Anbieter (Provider)

Wer das KI-System entwickelt oder in Verkehr bringt. Bei den meisten Agentur-Szenarien: der Toolhersteller (OpenAI, Google, Adobe, etc.). Die schwersten Pflichten treffen den Anbieter.

Betreiber (Deployer)

Wer das KI-System unter eigener Verantwortung einsetzt. Hier wird es für Agenturen interessant: Betreiber ist, wer die KI-Entscheidung verantwortet – nicht unbedingt, wer die Taste drückt.

Die Gretchenfrage für Agenturen

Szenario	Betreiber	Warum?
Agentur erstellt Inhalte, Kunde gibt frei und veröffentlicht	Kunde	Kunde entscheidet über Veröffentlichung
Agentur betreibt Chatbot auf Kunden-Website	Kunde (primär), Agentur als Auftragsverarbeiter	Chatbot läuft im Namen des Kunden
Agentur nutzt KI-Tool intern für Analyse	Agentur	Agentur verantwortet den Einsatz
Agentur verkauft eigenes KI-Produkt	Agentur wird zum Anbieter	Eigenes System = Anbieter-Pflichten

Wo Agenturen in die Pflicht kommen

Auch wenn der Kunde formal Betreiber ist, haben Agenturen eigene Pflichten:

1. KI-Kompetenz (Art. 4) – gilt seit Februar 2025

Ihr Team muss verstehen, was es mit KI tut. Das betrifft jeden Mitarbeiter, der KI-Tools bedient – egal ob für interne Zwecke oder Kundenprojekte.

2. Transparenz (Art. 50) – ab August 2026

Wenn Sie KI-generierte Inhalte für Kunden erstellen, müssen diese als solche erkennbar sein. Das betrifft:

Texte: Kennzeichnungspflicht bei Veröffentlichung
Bilder: Maschinenlesbare Markierung (C2PA-Standard)
Chatbots: User muss wissen, dass er mit KI spricht

Wer die Kennzeichnung vornimmt, ist Verhandlungssache – aber irgendjemand muss es tun.

3. Sorgfaltspflichten bei Hochrisiko-KI

Setzt Ihre Agentur KI in Hochrisiko-Bereichen ein (z.B. Recruiting-Tools, Bonitätsprüfung, Gesundheits-Apps), gelten erweiterte Pflichten:

Menschliche Aufsicht sicherstellen
Eingabedaten auf Qualität und Bias prüfen
Nutzung dokumentieren und Logs aufbewahren

Was in Ihren Vertrag gehört

Der AI Act verteilt Pflichten – aber Ihr Vertrag kann regeln, wer sie operativ erfüllt. Fünf Klauseln, die jetzt in Agenturverträge gehören:

Klausel 1: KI-Einsatz offenlegen

„Die Agentur setzt zur Leistungserbringung folgende KI-Systeme ein: [Liste]. Der Auftraggeber wird über Änderungen informiert.”

Kein Kunde will aus der Presse erfahren, dass seine Produkttexte von ChatGPT stammen.

Klausel 2: Rollen nach AI Act definieren

„Der Auftraggeber ist Betreiber im Sinne des AI Acts. Die Agentur unterstützt bei der Erfüllung der Betreiberpflichten gemäß Anlage X.”

Klausel 3: Transparenzpflichten zuweisen

„Die Kennzeichnung KI-generierter Inhalte obliegt dem Auftraggeber / wird von der Agentur vorgenommen (Wahl).”

Klausel 4: Haftungsverteilung

„Die Agentur haftet für die korrekte Anwendung der KI-Tools. Für die inhaltliche Freigabe und Veröffentlichung haftet der Auftraggeber.”

Klausel 5: Dokumentationspflicht

„Die Agentur dokumentiert den KI-Einsatz und stellt dem Auftraggeber auf Anfrage die für dessen Compliance erforderlichen Unterlagen zur Verfügung.”

Typische Agentur-Szenarien und ihre Pflichten

Web-Agentur: KI-Chatbot für Kunden-Website

Betreiber: Kunde (Chatbot läuft in seinem Namen)
Agentur-Pflicht: Transparenz sicherstellen (Chatbot muss als KI erkennbar sein), technische Dokumentation liefern
Bei Hochrisiko: Falls der Chatbot in sensiblen Bereichen eingesetzt wird (z.B. Gesundheitsberatung) → erweiterte Pflichten prüfen

Marketing-Agentur: KI-generierte Kampagnen

Betreiber: Kunde (veröffentlicht unter eigenem Namen)
Agentur-Pflicht: KI-Einsatz offenlegen, Kennzeichnungsbedarf klären
Haftungsfalle: Wenn die Agentur KI-Bilder ohne C2PA-Markierung liefert und der Kunde sie veröffentlicht, kann beiden ein Transparenzverstoß vorgeworfen werden

IT-Agentur: Eigene KI-Lösung für Kunden

Achtung: Hier wird die Agentur zum Anbieter im Sinne des AI Acts
Pflichten: Risikoklassifizierung, technische Dokumentation, Konformitätsbewertung (bei Hochrisiko)
Empfehlung: Holen Sie sich rechtliche Beratung, bevor Sie ein eigenes KI-Produkt auf den Markt bringen

Die Chance für Agenturen

Der AI Act ist nicht nur Pflicht – er ist auch ein Differenzierungsmerkmal. Agenturen, die KI-Compliance verstehen, können ihren Kunden einen echten Mehrwert bieten:

“AI-Act-konforme Inhalte” als Leistungsbaustein
Compliance-Beratung als Upsell (kein Rechtsrat, aber operatives Know-how)
Dokumentation und Transparenz als Standard in jedem Projekt

Kunden werden danach fragen. Besser, Sie haben die Antwort schon parat.

Checkliste für Agenturen

KI-Inventar erstellen: Welche Tools nutzen wir intern und für Kunden?
Team schulen (Art. 4 gilt bereits!)
Verträge prüfen: KI-Klauseln ergänzen
Transparenz-Workflow definieren: Wer kennzeichnet was?
Bei Hochrisiko-Einsatz: Pflichten im Detail prüfen
Kunden proaktiv informieren – baut Vertrauen auf

Fazit

Agenturen stehen beim AI Act an einer Schnittstelle: Sie sind selten der formale Betreiber, aber fast immer operativ beteiligt. Das bedeutet eigene Pflichten (KI-Kompetenz, Transparenz) und vertragliche Verantwortung gegenüber Kunden.

Wer sich jetzt vorbereitet, hat einen Wettbewerbsvorteil. Wer wartet, riskiert Haftung und Kundenvertrauen.

Starten Sie mit dem kostenlosen KI-Risiko-Check – auch als Agentur sehen Sie in 5 Minuten, wo Sie stehen.