Zum Hauptinhalt springen
Deutsch

EU AI Act und Gäste-WiFi: Was Marketer wissen müssen

Das EU-KI-Gesetz (Verordnung 2024/1689) führt einen risikobasierten Rahmen ein, der sich direkt darauf auswirkt, wie Standortbetreiber KI-gestütztes WiFi-Marketing, Captive Portals und Gäste-Analytics einsetzen. Dieser Leitfaden ordnet die vier Risikostufen des Gesetzes realen Anwendungsfällen von Gäste-WiFi zu, identifiziert verbotene Praktiken wie Emotionserkennung und Social Scoring und bietet konkrete Compliance-Schritte für IT-Teams und Marketingleiter in den Bereichen Hotellerie, Einzelhandel, Events und im öffentlichen Sektor. Zu verstehen, wo Ihre Bereitstellung im Risikospektrum liegt — und die Transparenzpflichten nach Artikel 50 für KI-Chatbots und interaktive Portale zu implementieren — ist nicht mehr optional: Die Durchsetzung verbotener Praktiken begann im Februar 2025.

📖 12 Min. Lesezeit📝 2,872 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zum technischen Briefing von Purple. Heute befassen wir uns mit einer regulatorischen Veränderung, die die Art und Weise, wie wir Standort-Analysen und das Engagement von Gästen handhaben, grundlegend verändert: dem EU AI Act. Wenn Sie als CTO, Netzwerkarchitekt oder IT-Leiter öffentliches WiFi oder Gäste-WiFi verwalten, ist dieses Thema für Sie besonders relevant. Wir blicken hinter den Hype und schlüsseln genau auf, was der AI Act für KI-gestütztes WiFi-Marketing, Captive Portals und Standort-Analysen bedeutet. Beginnen wir mit dem Kontext. Der EU AI Act ist nicht einfach nur eine weitere GDPR. Während sich die GDPR auf den Schutz personenbezogener Daten konzentriert, fokussiert sich der AI Act auf die Systeme, die diese Daten verarbeiten, und klassifiziert sie nach Risikostufen. Für Standortbetreiber – egal ob Sie eine Einzelhandelskette, ein Stadion, ein Konferenzzentrum oder ein Krankenhausnetzwerk betreiben – schreibt dies vor, was Sie mit KI am Netzwerkrand (Edge) tun dürfen und was nicht. Das Gesetz trat im August 2024 in Kraft, mit einem stufenweisen Zeitplan für die Umsetzung. Verbotene Praktiken sind seit Februar 2025 durchsetzbar. Die Verpflichtungen für hochriskante Systeme gelten ab August 2026. Die Uhr läuft also bereits. Das Gesetz nutzt ein vierstufiges Risikomanagement-Framework: Unannehmbares Risiko, Hohes Risiko, Begrenztes Risiko und Minimales Risiko. Gehen wir jede Stufe im Kontext von WiFi-Marketing durch. Zuerst: Unannehmbares Risiko – was absolut verboten ist. Artikel 5 verbietet KI-Praktiken, die unterschwellige, manipulative oder irreführende Techniken einsetzen, um das Verhalten zu verzerren und eine fundierte Entscheidungsfindung zu beeinträchtigen. Im Kontext von WiFi-Marketing bedeutet dies, dass Sie KI nicht nutzen dürfen, um den Netzwerkverkehr oder Interaktionen auf dem Captive Portal zu analysieren, um auf den emotionalen Zustand eines Gastes zu schließen – wie z. B. das Erkennen von Frustration durch schnelles Klicken oder Zögermuster –, um eine gezielte Marketingreaktion auszulösen. Das ist Emotionserkennung, und sie ist verboten. Social Scoring ist ebenfalls verboten. Sie dürfen kein KI-System aufbauen, das Ihre Gäste basierend auf ihrem Sozialverhalten oder ihren persönlichen Eigenschaften bewertet oder klassifiziert und diese Klassifizierung dann nutzt, um ihnen einen schlechteren Service oder ein weniger vorteilhaftes Angebot zu unterbreiten. Wenn Ihr Treueprogramm oder Ihre WiFi-Zugangsstufe von einer KI gesteuert wird, die Gäste anhand von Verhaltensmustern so bewertet, dass bestimmte Gruppen benachteiligt werden, ist dies ein direkter Verstoß gegen Artikel 5. Systeme zur biometrischen Kategorisierung, die auf sensible Merkmale schließen lassen – Rasse, politische Meinung, religiöse Überzeugung, sexuelle Orientierung –, sind ebenfalls verboten. Wenn Ihr Standort Kamera-Feeds oder Device-Fingerprinting in Kombination mit KI nutzt, um auf diese Eigenschaften zu schließen und das Marketing entsprechend zu personalisieren, ist dies absolut verboten. Nun zu einem kritischen Punkt für Standortbetreiber: Das Verbot der Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen gilt spezifisch für diese Kontexte. Ein Einzelhandelsstandort oder ein Hotel ist für den Gast kein Arbeitsplatz, sodass sich dieses spezifische Verbot nicht automatisch dorthin erstreckt. Wenn Ihr Standort jedoch auch ein Arbeitsplatz ist – beispielsweise ein Unternehmenscampus oder ein Co-Working-Space – und Sie Emotionserkennung bei Mitarbeitern anwenden, die mit dem WiFi verbunden sind, ist dies verboten.Wechseln wir zu den Hochrisikosystemen gemäß Anhang III. Bei den meisten Standard-Implementierungen von Guest WiFi fallen Ihre Marketing-Analysen nicht in die Hochrisikokategorie, es sei denn, Sie führen ein tiefgehendes, automatisiertes Profiling durch, das den Zugang eines Nutzers zu wesentlichen Diensten erheblich beeinträchtigt. Die Liste in Anhang III umfasst biometrische Verifizierungssysteme, Systeme für den Zugang zu wesentlichen öffentlichen und privaten Dienstleistungen sowie beschäftigungsbezogene KI. Wenn Ihr Captive Portal biometrische Verifizierung nutzt – wie etwa Gesichtserkennung zur Authentifizierung wiederkehrender Gäste –, ist dieses System als hochriskant eingestuft und erfordert eine vollständige Konformitätsbewertung, technische Dokumentation, ein Risikomanagementsystem sowie die Registrierung in der EU AI Act-Datenbank. Der entscheidende Test für eine Einstufung als Hochrisikosystem gemäß Anhang III ist das individuelle Profiling – die automatisierte Verarbeitung personenbezogener Daten, um verschiedene Aspekte des Lebens einer Person zu bewerten, einschließlich ihrer Vorlieben, Interessen, des Verhaltens sowie des Standorts oder der Bewegung. Wenn Ihre WiFi-Analyseplattform individuelle Profile erstellt, die in automatisierte Entscheidungen darüber einfließen, welche Angebote ein Gast erhält, müssen Sie prüfen, ob dies ein Hochrisiko-Profiling im Sinne des Gesetzes darstellt. Die unmittelbarsten Auswirkungen werden die meisten Standortbetreiber jedoch in der Kategorie mit begrenztem Risiko spüren, insbesondere im Rahmen der Transparenzpflichten nach Artikel 50. Dies ist die operativ relevanteste Bestimmung für die Mehrheit der heutigen Implementierungen. Artikel 50 deckt drei Hauptszenarien ab. Erstens: KI-Systeme, die für die Interaktion mit natürlichen Personen bestimmt sind – wie Chatbots und Konversationsschnittstellen. Zweitens: KI-Systeme, die synthetische Inhalte generieren. Drittens: Systeme zur Emotionserkennung und biometrischen Kategorisierung, die zwar nicht verboten, aber dennoch reguliert sind. Für das erste Szenario gilt: Wenn Sie einen KI-gesteuerten Chatbot auf Ihrem Captive Portal bereitgestellt haben, um Gästeanfragen zu bearbeiten, beim Hotel-Check-in zu helfen, eine Navigation vor Ort anzubieten oder personalisierte Empfehlungen auszusprechen, unterliegen Sie einer strengen Transparenzpflicht. Sie müssen den Gast eindeutig darüber informieren, dass er mit einem KI-System interagiert. Dies darf keine versteckte Zeile in Ihren Allgemeinen Geschäftsbedingungen sein. Es muss sich um einen klaren, gut sichtbaren Hinweis zu Beginn der Interaktion handeln. Der Gast muss vor Beginn des Gesprächs informiert werden, nicht erst danach. Diese Pflicht gilt für den Betreiber – also für Sie, den Standortbetreiber oder IT-Manager – und nicht nur für den Anbieter des KI-Modells. Selbst wenn Sie eine Plattform eines Drittanbieters nutzen, sind Sie dafür verantwortlich, dass dieser Hinweis implementiert ist. Sprechen wir nun über die Überschneidung von AI Act und GDPR, da Compliance-Teams hier oft verunsichert sind. Der AI Act ersetzt die GDPR nicht, sondern baut darauf auf. Wenn Ihr AI-Modell personenbezogene Daten aus dem WiFi-Netzwerk verwendet, um Marketing zu personalisieren, benötigen Sie für die Datenverarbeitung weiterhin eine Rechtsgrundlage gemäß GDPR sowie die Transparenzerklärung des AI Acts für das System selbst. Eine Datenschutz-Folgenabschätzung, die gemäß GDPR Artikel 35 für risikoreiche Datenverarbeitungen erforderlich ist, wird oft parallel zur eigenen Risikomanagement-Dokumentation des AI Acts verlangt. Artikel 22 GDPR ist ebenfalls direkt relevant. Er schränkt automatisierte Entscheidungen im Einzelfall ein, die rechtliche oder ähnlich erhebliche Wirkungen entfalten. Wenn Ihr AI-gesteuertes Captive Portal automatisierte Entscheidungen darüber trifft, welche Stufe des WiFi-Zugangs ein Gast erhält oder ob er sich für ein Werbeangebot qualifiziert, müssen Sie prüfen, ob Artikel 22 Anwendung findet und ob Sie dem Gast das Recht auf eine menschliche Überprüfung einräumen müssen. Kommen wir zu den Implementierungsempfehlungen und häufigen Fallstricken. Erstens: Überprüfen Sie Ihren Captive Portal-Ablauf von Anfang bis Ende. Erfassen Sie jeden AI-Berührungspunkt: Personalisierungs-Engines, Chatbots, Empfehlungssysteme, Analyse-Dashboards. Fragen Sie sich bei jedem einzelnen: In welche Risikostufe fällt dies? Welche Offenlegungspflichten gelten? Welche Daten werden verarbeitet und auf welcher GDPR-Rechtsgrundlage? Zweitens: Überprüfen Sie Ihre Anbieterverträge. Als IT-Leiter sind Sie der Betreiber im Sinne des AI Acts. Wenn Ihr externer Marketing-Anbieter eine verbotene AI-Praxis anwendet, teilen Sie die Haftung. Sie müssen die Unterauftragsverarbeiter-Vereinbarungen Ihrer Anbieter überprüfen und explizit fragen: Wie wird Ihre Plattform gemäß dem EU AI Act eingestuft? Können Sie technische Dokumentationen und Compliance-Nachweise vorlegen? Drittens: Setzen Sie die Offenlegungspflichten gemäß Artikel 50 jetzt um. Dies ist die am einfachsten zu realisierende und am schnellsten durchsetzbare Pflicht. Aktualisieren Sie die Benutzeroberfläche Ihres Captive Portals, um einen klaren AI-Hinweis auf jeder dialogorientierten Benutzeroberfläche anzuzeigen. Dies ist eine reine UI-Änderung, kein Systemumbau. Viertens: Erstellen Sie Ihr AI-Inventar. Selbst für Systeme mit begrenztem Risiko ist das Führen eines internen Registers aller genutzten AI-Systeme – was sie tun, welche Daten sie verarbeiten, wer der Anbieter ist und in welche Risikostufe sie fallen – unerlässlich, um die Compliance gegenüber den Aufsichtsbehörden nachzuweisen. Fünftens: Richten Sie Ihre AI-Governance an Ihrem bestehenden GDPR-Framework aus. Ihr Datenschutzbeauftragter sollte in die Einhaltung des AI Acts einbezogen werden. Die Dokumentationsanforderungen überschneiden sich erheblich, und ein einheitlicher Ansatz wird Doppelarbeit reduzieren. Nun folgt eine kurze Frage-und-Antwort-Runde basierend auf dem, was wir von Kunden hören. Frage: Werden standardmäßige WiFi-Analysen – wie Besucherzählung, Verweildauer, Heatmaps – durch den AI Act reguliert? Antwort: Im Allgemeinen nein. Wenn es sich um aggregierte statistische Analysen ohne komplexe AI-Modelle zur Profilierung einzelner Nutzer handelt, fällt dies unter das minimale Risiko und wird durch dieses spezifische Gesetz weitgehend nicht reguliert. Die GDPR gilt weiterhin für alle beteiligten personenbezogenen Daten, aber die spezifischen Verpflichtungen des AI Acts greifen nicht. Frage: Was ist, wenn wir AI nutzen, um das Netzwerk-Routing und die Bandbreitenzuweisung zu optimieren? Antwort: Das ist eine Netzwerkbetriebsfunktion und kein System, das mit natürlichen Personen interagiert oder diese für Marketingzwecke profiliert. Es fällt unter dem AI Act unter das minimale Risiko. Frage: Wir möchten AI nutzen, um Anmeldemuster im Captive Portal zu analysieren, um ausgabefreudige, wiederkehrende Gäste zu identifizieren und gezielt zu bewerben. Ist das erlaubt? Antwort: Ja, mit der entsprechenden GDPR-Einwilligung und der Transparenz nach Artikel 50, wenn ein AI-System die Personalisierungsentscheidungen trifft. Der Schlüssel liegt darin, dass Sie objektive Verhaltensdaten nutzen – Besuchshäufigkeit, Sitzungsdauer – und keine Rückschlüsse auf emotionale Zustände oder sensible Merkmale ziehen. Frage: Wie hoch sind die Strafen bei Nichteinhaltung? Antwort: Erheblich. Verstöße gegen verbotene Praktiken gemäß Artikel 5 werden mit Geldbußen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet, je nachdem, welcher Wert höher ist. Verstöße im Zusammenhang mit Hochrisiko-Systemen kosten bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes. Zusammenfassend lässt sich sagen: Der EU AI Act fordert einen risikobasierten Ansatz für Ihren Marketing-Technologie-Stack. Verbotene Praktiken – wie Emotionserkennung, manipulative Profilerstellung, Social Scoring – müssen unverzüglich eingestellt werden. Die Transparenzverpflichtungen gemäß Artikel 50 gelten ab sofort für jeden AI-Chatbot oder jede dialogorientierte Schnittstelle auf Ihrem Captive Portal. Die Anforderungen für Hochrisiko-Systeme gelten ab August 2026, und Sie müssen Ihre Systeme bereits heute anhand von Anhang III bewerten. Die gute Nachricht für die meisten Standortbetreiber ist, dass standardmäßige WiFi-Analysen und regelbasierte Personalisierung in die Kategorie des minimalen Risikos fallen. Das Gesetz zielt auf Systeme ab, die weitreichende automatisierte Entscheidungen über Einzelpersonen treffen oder das Verhalten manipulieren. Verantwortungsvolles, einwilligungsbasiertes First-Party-Datenmarketing ist der Weg, den Sie einschlagen sollten. Für einen umfassenden technischen Einblick, Compliance-Checklisten und Praxisbeispiele lesen Sie den vollständigen Leitfaden auf der Purple-Website. Vielen Dank fürs Zuhören und bauen Sie weiterhin intelligentere und sicherere Netzwerke.

header_image.png

Executive Summary

Das EU-KI-Gesetz (Verordnung 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz und wirkt sich direkt darauf aus, wie Standortbetreiber KI in ihrer Guest WiFi -Infrastruktur einsetzen. Das Gesetz teilt KI-Systeme in vier Risikostufen ein – verboten, hohes Risiko, begrenztes Risiko und minimales Risiko – und legt die entsprechenden Compliance-Pflichten fest. Für die meisten Betreiber in der Hotellerie und im Einzelhandel betrifft der unmittelbare betriebliche Einfluss zwei Bereiche: Erstens muss sichergestellt werden, dass jede KI-gestützte Konversationsschnittstelle auf einem Captive Portal einen klaren Transparenzhinweis gemäß Artikel 50 enthält; zweitens müssen bestehende Marketing-Stacks überprüft werden, um sicherzustellen, dass sie keine verbotenen Praktiken wie Emotionserkennung, Social Scoring oder biometrische Kategorisierung auf der Grundlage sensibler Merkmale nutzen.

Die Bestimmungen über verbotene Praktiken gemäß Artikel 5 traten im Februar 2025 in Kraft. Die Verpflichtungen für Hochrisikosysteme gemäß Anhang III gelten ab August 2026. Die Geldbußen bei Verstößen gegen die Verbote betragen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Dieser Leitfaden bietet eine technische Referenz für IT-Manager, Netzwerkarchitekten und Compliance-Verantwortliche, die ihre aktuellen Implementierungen bewerten und die erforderlichen Änderungen in diesem Quartal umsetzen müssen.

Technische Detailanalyse

Das vierstufige Risikoklassifizierungssystem

Das EU-KI-Gesetz klassifiziert KI-Systeme nach dem Risiko, das sie für Grundrechte, Sicherheit und demokratische Werte darstellen. Die Einstufung bestimmt die Compliance-Pflichten, die sowohl für den Anbieter (den Entwickler oder Verkäufer des KI-Systems) als auch für den Betreiber (die Organisation, die das System in Betrieb nimmt – in der Regel der Standortbetreiber oder das IT-Team) gelten.

ai_act_risk_tiers.png

Die vier Risikostufen, bezogen auf Guest WiFi und Standort-Marketing, stellen sich wie folgt dar:

Risikostufe Referenz im KI-Gesetz Beispiele im WiFi-Marketing Compliance-Verpflichtung
Verboten Artikel 5 Emotionserkennung bei Portal-Interaktionen; Social Scoring von Gästen; biometrische Kategorisierung nach ethnischer Zugehörigkeit/Religion Sofortige Einstellung; kein Einsatz zulässig
Hohes Risiko Anhang III Biometrische Verifizierung am Captive Portal; KI-Profiling für den Zugang zu wesentlichen Diensten Konformitätsbewertung, technische Dokumentation, Risikomanagementsystem, Registrierung in der EU-Datenbank
Begrenztes Risiko Artikel 50 KI-Chatbots auf Captive Portals; Generative KI auf Splash Pages; Emotionserkennungssysteme (in nicht verbotenen Kontexten) Transparenzhinweis für Endnutzer vor/während der Interaktion
Minimales Risiko Keine spezifischen Pflichten Aggregierte Besucherstrom-Analysen; Verweildauer-Heatmaps; regelbasierte Personalisierung; KI zur Bandbreitenoptimierung Keine KI-Gesetz-spezifischen Pflichten (GDPR gilt weiterhin)

Verbotene Praktiken nach Artikel 5

Artikel 5 des KI-Gesetzes definiert acht Kategorien verbotener KI-Praktiken. Drei davon sind für WiFi-Marketing-Implementierungen an Standorten direkt relevant.

Manipulative und täuschende Techniken. Das Gesetz verbietet KI-Systeme, die unterschwellige, manipulative oder täuschende Techniken einsetzen, um das Verhalten einer Person zu verzerren und ihre Fähigkeit zu beeinträchtigen, eine informierte Entscheidung zu treffen, sofern dies einen erheblichen Schaden verursacht oder wahrscheinlich verursachen wird. Im Kontext des WiFi-Marketings zielt dies auf Systeme ab, die am Captive Portal erfasste Verhaltenssignale – Klickverzögerungen, Scrollmuster, Verweildauer auf der Seite – nutzen, um auf psychologische Schwachstellen zu schließen und manipulative Angebote auszuspielen. Die entscheidende Schwelle ist der erhebliche Schaden; die Regulierungsbehörden werden dies kontextbezogen bewerten, aber das Prinzip ist klar: KI-gesteuertes Nudging, das die rationale Entscheidungsfindung umgeht, ist unzulässig.

Social Scoring. Das Gesetz verbietet KI-Systeme, die Personen auf der Grundlage ihres Sozialverhaltens oder ihrer persönlichen Eigenschaften bewerten oder klassifizieren, wenn dies zu einer nachteiligen oder ungünstigen Behandlung führt. Ein WiFi-Loyalty-System, das ein KI-Modell verwendet, um Gäste anhand von Verhaltensmustern – Besuchshäufigkeit, Verweildauer, Kaufsignale – zu bewerten und dann die Zugangsgeschwindigkeit einschränkt oder Gästen mit niedrigerer Bewertung Angebote vorenthält, würde unter dieses Verbot fallen. Der Unterschied zwischen zulässiger Personalisierung und verbotenem Social Scoring liegt darin, ob die KI-Klassifizierung eine nachteilige Behandlung zur Folge hat: Einem Premium-Gast ein besseres Angebot zu machen, ist Personalisierung; einem Gast mit niedrigerer Bewertung den Zugang zu Diensten zu verweigern, ist Social Scoring.

Biometrische Kategorisierung sensibler Attribute. Das Gesetz verbietet KI-Systeme, die biometrische Daten nutzen, um auf sensible Attribute wie Rasse, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugungen, Sexualleben oder sexuelle Orientierung zu schließen. Dies ist besonders relevant für Standorte, die kamerabasierte Analysen parallel zu WiFi-Daten einsetzen. Wenn ein KI-System MAC-Adressdaten von Geräten mit visuellen Analysen abgleicht, um auf die ethnische Zugehörigkeit zu schließen und Inhalte entsprechend zu personalisieren, stellt dies einen direkten Verstoß gegen Artikel 5 dar. Das Verbot gilt unabhängig davon, ob die biometrischen Daten in Echtzeit oder im Batch-Verfahren verarbeitet werden. Emotionserkennung — Klärung des Anwendungsbereichs. Das Gesetz verbietet Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen. Dieses Verbot erstreckt sich nicht automatisch auf Einzelhandelsgeschäfte, Hotels oder Stadien in Bezug auf Gäste. Wenn Ihr Standort jedoch auch ein Arbeitsplatz ist — ein Unternehmenscampus, ein Co-Working-Space, ein Krankenhaus — und Sie Emotionserkennung bei Mitarbeitern anwenden, die mit dem Guest WiFi verbunden sind, ist dies verboten. Standortbetreiber sollten ihre Nutzergruppen sorgfältig analysieren, bevor sie davon ausgehen, dass das Verbot der Emotionserkennung nicht gilt.

Hochrisikosysteme gemäß Anhang III

Anhang III des Gesetzes listet Anwendungsfälle auf, die als hochriskant eingestuft werden. Für Guest WiFi-Installationen sind zwei Kategorien direkt relevant.

Erstens: Biometrische Systeme: Fernidentifikationssysteme (ausgenommen einfache biometrische Verifizierungen, die lediglich bestätigen, dass eine Person diejenige ist, die sie zu sein vorgibt) und biometrische Kategorisierungssysteme, die sensible oder geschützte Merkmale ableiten, gelten als hochriskant. Wenn Ihr Captive Portal Gesichtserkennung verwendet, um wiederkehrende Gäste zu authentifizieren, erfordert dieses System eine vollständige Konformitätsbewertung, technische Dokumentation, ein Risikomanagementsystem über den gesamten Lebenszyklus des Systems und eine Registrierung in der EU-Datenbank für das KI-Gesetz.

Zweitens: Individuelles Profiling: Jedes in Anhang III aufgeführte KI-System gilt immer als hochriskant, wenn es Profile von Einzelpersonen erstellt — definiert als automatisierte Verarbeitung personenbezogener Daten zur Bewertung von Aspekten des Lebens einer Person, einschließlich Präferenzen, Interessen, Verhalten sowie Standort oder Bewegung. Dies ist die Bestimmung, die am ehesten WiFi Analytics -Plattformen betrifft, die dauerhafte individuelle Profile erstellen, die in automatisierte Marketingentscheidungen einfließen. Die entscheidende Frage ist, ob das KI-System automatisierte Entscheidungen über einzelne Gäste auf der Grundlage ihrer profilierten Eigenschaften trifft oder wesentlich beeinflusst.

Transparenzpflichten nach Artikel 50 — Die unmittelbare Priorität

Für die Mehrheit der heutigen Standortbetreiber ist Artikel 50 die operativ relevanteste Bestimmung. Er deckt drei Szenarien ab:

Interaktive KI-Systeme (Artikel 50(1)): Anbieter müssen sicherstellen, dass KI-Systeme, die für die Interaktion mit natürlichen Personen bestimmt sind, so konzipiert sind, dass diese Personen darüber informiert werden, dass sie mit einem KI-System interagieren, es sei denn, dies ist aus dem Kontext offensichtlich. Betreiber müssen sicherstellen, dass dieser Hinweis implementiert ist. Dies gilt für jeden KI-Chatbot, der auf einem Captive Portal bereitgestellt wird — sei es für den Gästeservice, die Unterstützung beim Hotel-Check-in, die Navigation vor Ort oder Marketinganfragen.

Emotionserkennung und biometrische Kategorisierung (Artikel 50(3)): Betreiber von Systemen zur Emotionserkennung oder biometrischen Kategorisierung müssen die natürlichen Personen informieren, die diesen Systemen ausgesetzt sind. Dies ist eine eigenständige Pflicht, die unabhängig von der Chatbot-Offenlegung besteht und auch dann gilt, wenn das System nicht verboten ist.

Synthetische Inhalte (Artikel 50(4)): KI-Systeme, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, müssen diese Inhalte als KI-generiert kennzeichnen. Wenn Ihr Captive Portal generative KI nutzt, um personalisierte Begrüßungsnachrichten oder Werbetexte zu erstellen, müssen diese Inhalte gekennzeichnet werden.

compliance_checklist.png

Das KI-Gesetz (AI Act) und die GDPR: Ein duales Compliance-Framework

Das KI-Gesetz ersetzt die GDPR nicht, sondern gilt parallel dazu. Für Standortbetreiber bedeutet dies, dass die Compliance-Verpflichtungen aus beiden Frameworks gleichzeitig für KI-gestützte WiFi-Marketing-Implementierungen gelten.

Unter der GDPR umfassen die relevanten Bestimmungen für KI-gestütztes WiFi-Marketing: Artikel 6 (Rechtmäßigkeit der Verarbeitung), Artikel 9 (besondere Kategorien personenbezogener Daten – relevant, wenn biometrische Daten verarbeitet werden), Artikel 13/14 (Informationspflichten in Datenschutzerklärungen), Artikel 22 (Einschränkungen bei automatisierten Entscheidungen im Einzelfall) und Artikel 35 (Datenschutz-Folgenabschätzung bei Verarbeitung mit hohem Risiko).

Das KI-Gesetz ergänzt dies um: Artikel 5 (Verbot unzulässiger Praktiken), Artikel 50 (Transparenzpflichten zum Zeitpunkt der KI-Interaktion) und – für Hochrisiko-Systeme – die Artikel 8–17 (Risikomanagement, technische Dokumentation, Konformitätsbewertung, Registrierung).

Wo die GDPR eine Datenschutz-Folgenabschätzung (DSFA) für risikoreiche Datenverarbeitung vorschreibt, verlangt das KI-Gesetz ein Risikomanagementsystem für Hochrisiko-KI-Systeme. Diese können und sollten aufeinander abgestimmt werden: Eine einzige, integrierte Bewertung, die sowohl die Risiken der Datenverarbeitung (GDPR) als auch die Risiken des KI-Systems (KI-Gesetz) abdeckt, ist effizienter und belegt gegenüber den Aufsichtsbehörden eine ausgereifte Governance-Struktur.

Artikel 22 GDPR ist für KI-gestützte Captive Portals besonders relevant. Er schränkt ausschließlich automatisierte Entscheidungen ein, die dem Betroffenen gegenüber rechtliche Wirkung entfalten oder ihn in ähnlicher Weise erheblich beeinträchtigen. Wenn Ihr KI-System ohne menschliche Aufsicht automatisierte Entscheidungen über WiFi-Zugangsstufen, die Berechtigung für Werbeaktionen oder die Servicequalität trifft, müssen Sie prüfen, ob Artikel 22 anwendbar ist und ob Sie den Gästen das Recht einräumen müssen, eine menschliche Überprüfung zu verlangen.

Implementierungsleitfaden

Schritt 1: Erstellen Sie Ihr KI-Inventar

Bevor Sie die Compliance bewerten können, benötigen Sie ein vollständiges Bild jedes einzelnen KI-Systems in Ihrem WiFi-Marketing-Stack. Dies bedeutet, dass Sie über Ihre eigenen Implementierungen hinausgehen und auch KI-Komponenten einbeziehen müssen, die in Plattformen von Drittanbietern integriert sind – wie Tools zur Marketing-Automatisierung, Analytics-Dashboards, Captive Portal-Anbieter und CRM-Integrationen.

Dokumentieren Sie für jedes System: die Funktion des Systems, die verarbeiteten Daten, den Anbieter und etwaige Unterauftragsverarbeiter, die Risikoklasse gemäß dem KI-Gesetz sowie die geltenden Compliance-Verpflichtungen. Dieses Inventar bildet das Fundament Ihrer Compliance-Struktur für das KI-Gesetz und wird benötigt, wenn Aufsichtsbehörden Nachweise über Ihre Due Diligence anfordern.

Schritt 2: Klassifizieren Sie jedes System anhand der Risikoklassen

Wenden Sie das vierstufige Framework auf jedes System in Ihrem Inventar an. Die Fragen zur Klassifizierung lauten:

  • Nutzt das System eine der in Artikel 5 aufgeführten Praktiken? Wenn ja, ist es verboten – stellen Sie den Einsatz ein.
  • Wird das System für die biometrische Verifizierung, das individuelle Profiling für den Zugang zu Dienstleistungen oder einen anderen Anwendungsfall gemäß Anhang III verwendet? Wenn ja, ist es hochriskant – beginnen Sie mit der Planung der Konformitätsbewertung.
  • Interagiert das System im Dialog mit natürlichen Personen, generiert es synthetische Inhalte oder führt es eine Emotionserkennung durch? Wenn ja, ist es von begrenztem Risiko – implementieren Sie die Offenlegungspflichten nach Artikel 50.
  • Trifft keines der oben genannten Kriterien zu? Es ist von minimalem Risiko – keine spezifischen Verpflichtungen aus dem AI Act, die GDPR-Compliance bleibt jedoch obligatorisch.

Schritt 3: Implementieren Sie die Offenlegungspflichten nach Artikel 50

Implementieren Sie für jeden AI-Chatbot oder jede dialogorientierte Benutzeroberfläche auf Ihrem Captive Portal eine klare Offenlegung, bevor die Interaktion beginnt. Die Offenlegung muss explizit erfolgen – nicht implizit und nicht in den Allgemeinen Geschäftsbedingungen versteckt. Ein einfaches UI-Element mit dem Hinweis "Sie chatten mit einem AI-Assistenten" zu Beginn der Sitzung erfüllt diese Pflicht. Dies ist eine Änderung am Frontend, kein Systemneubau, und sollte innerhalb eines einzigen Sprints bereitgestellt werden können.

Für Emotionserkennungssysteme, die in Ihren Geschäftsräumen betrieben werden (sofern nicht verboten), bringen Sie im Betriebsbereich einen gut sichtbaren Hinweis an, der die Gäste darüber informiert, dass ein Emotionserkennungssystem im Einsatz ist.

Schritt 4: Überprüfen Sie die Verträge mit Unterauftragsverarbeitern von Anbietern

Als Betreiber teilen Sie die Haftung für verbotene Praktiken, die von Ihren Anbietern angewendet werden. Überprüfen Sie Ihre Verträge mit Anbietern von WiFi-Marketing-Plattformen, Analytics-Anbietern und Captive Portal-Lieferanten. Fordern Sie eine explizite Bestätigung ihrer AI Act-Klassifizierung und der Compliance-Dokumentation an. Fügen Sie vertragliche Bestimmungen hinzu, die Anbieter verpflichten, Sie über alle Änderungen an ihren AI-Systemen zu informieren, die sich auf die Risikoklassifizierung auswirken könnten.

Schritt 5: Abstimmung mit der GDPR-Governance

Binden Sie Ihren Datenschutzbeauftragten in den Compliance-Prozess für den AI Act ein. Aktualisieren Sie Ihr Verzeichnis von Verarbeitungstätigkeiten, um die Klassifizierungen der AI-Systeme aufzunehmen. Wenn im Rahmen der GDPR eine DPIA für die Verarbeitung von Hochrisikodaten erforderlich ist, erweitern Sie diese auf die Anforderungen des AI Act-Risikomanagements. Stellen Sie sicher, dass Ihre Datenschutzhinweise aktualisiert werden, um die AI-gestützte Verarbeitung und die Offenlegungen nach Artikel 50 widerzuspiegeln.

Schritt 6: Planung für die Einhaltung von Hochrisikosystemen (Frist August 2026)

Falls eines Ihrer Systeme als hochriskant eingestuft wird, beginnen Sie jetzt mit dem Konformitätsbewertungsprozess. Die Frist im August 2026 für Systeme gemäß Anhang III ist kürzer, als es den Anschein hat, wenn man die Zeit einplant, die für die technische Dokumentation, die Implementierung des Risikomanagementsystems und die Registrierung in der EU-Datenbank erforderlich ist. Binden Sie Ihre Anbieter frühzeitig ein, um zu verstehen, welche Dokumente diese bereitstellen können und was Sie als Betreiber selbst erstellen müssen.

Best Practices

Adopt a Privacy-by-Design-Ansatz für die AI-Einführung implementieren. Die Anforderungen des AI Acts für Hochrisiko-Systeme — Risikomanagement über den gesamten Lebenszyklus, Data Governance, technische Dokumentation — lassen sich am effizientesten erfüllen, wenn sie von Anfang an in die Systemarchitektur integriert werden, anstatt sie nachträglich anzupassen. Beziehen Sie bei der Evaluierung neuer AI-gestützter Marketing-Tools die Compliance-Anforderungen des AI Acts in Ihre Beschaffungskriterien ein, neben der GDPR-Compliance und Sicherheitsstandards wie ISO 27001 und PCI DSS.

First-Party-, einwilligungsbasierte Daten gegenüber abgeleiteten Attributen bevorzugen. Die verbotenen Praktiken und Hochrisiko-Klassifizierungen des Gesetzes richten sich in erster Linie gegen AI-Systeme, die sensible Merkmale ableiten oder weitreichende automatisierte Entscheidungen über Personen treffen. Systeme, die explizit eingewilligte, First-Party-Daten verwenden — E-Mail-Adressen, deklarierte Präferenzen, Mitgliedschaften in Treueprogrammen —, um Personalisierung voranzutreiben, weisen ein deutlich geringeres regulatorisches Risiko auf als Systeme, die Merkmale aus Verhaltenssignalen ableiten.

Eine Trennung zwischen AI für den Netzwerkbetrieb und AI für das Marketing beibehalten. AI-Systeme für das Netzwerkmanagement — Bandbreitenzuweisung, Interferenzminderung, Lastverteilung — gelten im Rahmen des Gesetzes als Systeme mit minimalem Risiko. AI-Systeme, die für das Gäste-Profiling und die Marketing-Personalisierung eingesetzt werden, bergen ein höheres Risiko. Eine architektonische Trennung vereinfacht Ihre Risikoklassifizierung und begrenzt die Auswirkungen von Compliance-Problemen im Marketing-Stack.

IEEE 802.1X und WPA3 für die Authentifizierungsarchitektur heranziehen. Wenn eine biometrische Verifizierung am Captive Portal verwendet wird, stellen Sie sicher, dass die zugrunde liegende Authentifizierungsarchitektur den aktuellen Standards entspricht. IEEE 802.1X bietet eine portbasierte Netzwerkzugriffskontrolle mit starker Authentifizierung, und WPA3 bietet eine verbesserte Verschlüsselung für die Wireless-Ebene. Diese Standards sind herstellerunabhängig und werden sowohl in Sicherheits-Frameworks für Unternehmen als auch in den GDPR-Richtlinien zu geeigneten technischen Maßnahmen referenziert.

Ihre Compliance-Entscheidungen bezüglich des AI Acts dokumentieren. Selbst bei Systemen mit minimalem Risiko zeigt die Dokumentation Ihrer Klassifizierungsbegründung gegenüber den Regulierungsbehörden die gebotene Sorgfalt. Der AI Act verpflichtet Anbieter von Hochrisiko-Systemen, ihre Bewertung zu dokumentieren, bevor sie das System auf den Markt bringen; als Betreiber ist die Führung einer gleichwertigen Dokumentation für Ihre eigenen Risikobewertungen Best Practice.

Fehlerbehebung & Risikominderung

Risiko: Die AI-Praktiken der Anbieter sind intransparent. Viele Plattformen für Marketing-Automatisierung und WiFi-Analysen enthalten AI-Funktionen, die nicht klar dokumentiert sind. Abhilfe: Senden Sie einen formellen Fragebogen zur Einhaltung des AI Acts an alle Anbieter. Fordern Sie deren Systemklassifizierung, technische Dokumentation und Nachweise zur Vermeidung verbotener Praktiken an. Nehmen Sie die Compliance mit dem AI Act als vertragliche Anforderung in neue und verlängerte Vereinbarungen auf.

Risiko: Captive Portal Chatbot fehlt die Offenlegung nach Artikel 50. Dies ist die am häufigsten identifizierte Compliance-Lücke in aktuellen Implementierungen. Behebung: Überprüfen Sie Ihre Captive Portal UI. Wenn einer konversationellen KI-Schnittstelle eine klare Offenlegung vor der Interaktion fehlt, ist dies ein vorrangiges Problem. Die Behebung ist eine UI-Änderung, die innerhalb von Tagen implementiert werden kann.

Risiko: Die Analyseplattform erstellt individuelle Profile, die eine Einstufung als hohes Risiko auslösen. Wenn Ihre WiFi Analytics -Plattform dauerhafte individuelle Profile erstellt, die in automatisierte Marketingentscheidungen einfließen, betreiben Sie möglicherweise ein Hochrisikosystem ohne die erforderliche Konformitätsbewertung. Behebung: Überprüfen Sie das Datenmodell der Plattform. Wenn individuelle Profile erstellt und für automatisierte Entscheidungen verwendet werden, sprechen Sie Ihren Anbieter auf dessen Einstufung im Rahmen des AI Acts an und leiten Sie ein Konformitätsbewertungsverfahren ein.

Risiko: GDPR- und AI Act-Compliance werden als getrennte Arbeitsbereiche behandelt. Organisationen, die die Einhaltung der GDPR und des AI Acts in separaten Teams verwalten, riskieren Duplikate, Lücken und eine inkonsistente Dokumentation. Behebung: Etablieren Sie ein einheitliches AI-Governance-Framework, das beide regulatorischen Rahmenbedingungen abdeckt. Ein einziger integrierter DPIA/AI-Risikobewertungsprozess ist effizienter und rechtlich sicherer.

Risiko: Fehlklassifizierung des Bereichs der Emotionserkennung. Das Verbot der Emotionserkennung gilt am Arbeitsplatz und in Bildungseinrichtungen. Standorte, die auch Arbeitsplätze sind — wie Unternehmenscampus, Krankenhäuser, Co-Working-Spaces —, müssen das Verbot auf Systeme für Mitarbeiter anwenden, nicht nur auf Systeme für Gäste. Behebung: Erfassen Sie Ihre Nutzergruppen und wenden Sie das Verbot auf alle Kontexte an, in denen Mitarbeiter einer Emotionserkennung ausgesetzt sein könnten.

ROI & geschäftliche Auswirkungen

Die Einhaltung des EU AI Acts ist nicht nur ein Kostenfaktor. Organisationen, die AI-Governance-Frameworks im Vorfeld der Durchsetzung aufbauen, erlangen messbare Wettbewerbsvorteile.

Reduziertes regulatorisches Risiko. Die Geldbußen bei Verstößen gegen verbotene Praktiken — bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes — stellen ein erhebliches finanzielles Risiko für jede Organisation dar, die in größerem Umfang in EU-Mitgliedstaaten tätig ist. Eine proaktive Compliance-Haltung eliminiert dieses Risiko.

Differenzierung von Anbietern. Da die Compliance mit dem AI Act zu einer Beschaffungsanforderung wird, werden Plattformen, die eine klare Risikoklassifizierung, transparente AI-Praktiken und Artikel-50-konforme Schnittstellen nachweisen können, gegenüber anderen bevorzugt. Für Betreiber im Bereich Hospitality und Retail , die WiFi-Marketing-Plattformen bewerten, wird die Dokumentation der AI Act-Compliance zu einer Standardanforderung in Ausschreibungen.Gästevertrauen und Qualität der First-Party-Daten. Transparenzpflichten gemäß Artikel 50 erhöhen – bei guter Umsetzung – das Vertrauen der Gäste. Gäste, die verstehen, wie KI in ihrer Interaktion eingesetzt wird, interagieren eher authentisch und stellen qualitativ hochwertigere First-Party-Daten bereit. Dies verbessert direkt die Genauigkeit von Personalisierungsmodellen und den ROI von Marketingkampagnen.

Operative Effizienz durch einheitliche Governance. Organisationen, die ihre Compliance-Frameworks für die GDPR und den AI Act in einer einzigen Governance-Struktur zusammenführen, reduzieren den doppelten Aufwand in Rechts-, IT- und Marketingteams. Die Investition in den Aufbau dieses Frameworks zahlt sich aus, da sich die regulatorische Landschaft ständig weiterentwickelt – auf den AI Act werden weitere KI-spezifische Regulierungen folgen, und eine ausgereifte Governance-Struktur bietet ein stabiles Fundament.

Für Transportunternehmen und Organisationen des öffentlichen Sektors ist die Einhaltung des AI Act besonders wichtig, da KI-Systeme in öffentlich zugänglichen Räumen genauer unter die Lupe genommen werden. Eine proaktive Compliance demonstriert Verantwortungsbewusstsein sowohl gegenüber den Regulierungsbehörden als auch der Öffentlichkeit und unterstützt breitere Ziele im Bereich des digitalen Vertrauens.

Für weitere Informationen zu verwandten Compliance-Frameworks lesen Sie unseren Leitfaden zur PIPEDA-Compliance für Guest WiFi in Kanada , der analoge Einwilligungs- und Transparenzanforderungen im kanadischen Kontext abdeckt.

Listen: EU AI Act and Guest WiFi Podcast

Schlüsseldefinitionen

Anbieter (EU AI Act)

Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die ein KI-System oder ein universell einsetzbares KI-Modell entwickelt oder entwickeln lässt, mit dem Ziel, es unter dem eigenen Namen oder der eigenen Marke auf den Markt zu bringen oder in Betrieb zu nehmen, sei es gegen Entgelt oder unentgeltlich.

In einem Guest-WiFi-Kontext ist der Anbieter in der Regel der WiFi-Marketingplattform-Hersteller oder der Entwickler der KI-Personalisierungs-Engine. Anbieter von Hochrisiko-Systemen tragen die schwersten Compliance-Verpflichtungen im Rahmen des Gesetzes.

Betreiber (EU AI Act)

Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die ein KI-System in eigener Verantwortung nutzt, es sei denn, das KI-System wird im Rahmen einer persönlichen, nicht-beruflichen Tätigkeit verwendet.

Der Betreiber des Standorts — Hotelgruppe, Einzelhandelskette, Stadionbetreiber — ist der Betreiber (Deployer). Betreiber sind für die Transparenzpflichten nach Artikel 50 verantwortlich sowie dafür, dass die von ihnen genutzten KI-Systeme den Anforderungen des Gesetzes entsprechen, selbst wenn diese Systeme von Dritten bereitgestellt werden.

Biometrisches Kategorisierungssystem

Ein KI-System, das dazu dient, natürliche Personen auf der Grundlage ihrer biometrischen Daten wie Gesicht, Bewegung, Gang, Körperhaltung, Stimme, Aussehen, Verhalten oder anderer physiologischer oder verhaltensbezogener menschlicher Merkmale oder Eigenschaften bestimmten Kategorien zuzuordnen.

Relevant für Standortbetreiber, die kamerabasierte Analysen oder Device Fingerprinting in Kombination mit KI nutzen. Systeme, die sensible Merkmale (Rasse, Religion, politische Meinung) aus biometrischen Daten ableiten, sind nach Artikel 5 verboten. Systeme, die eine biometrische Kategorisierung ohne Ableitung sensibler Merkmale durchführen, können nach Anhang III als Hochrisiko eingestuft werden.

System zur Erkennung von Emotionen

Ein KI-System, das dazu dient, Emotionen oder Absichten natürlicher Personen auf der Grundlage ihrer biometrischen Daten zu identifizieren oder daraus abzuleiten.

Am Arbeitsplatz und in Bildungseinrichtungen gemäß Artikel 5 verboten. In anderen Standortkontexten (Einzelhandel, Gastgewerbe) sind Systeme zur Erkennung von Emotionen nach Anhang III als Hochrisiko reguliert und verpflichten Betreiber dazu, betroffene Personen gemäß Artikel 50 Absatz 3 zu informieren. Anbieter, die "stimmungsbasierte" Funktionen oder Features zur Bestimmung des "Interaktionsstatus" vermarkten, sollten anhand dieser Definition überprüft werden.

Erstellung von Personenprofilen

Jede Form der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

In Anhang III aufgeführte KI-Systeme gelten immer als Hochrisiko, wenn sie Profile von Personen erstellen. WiFi-Analyseplattformen, die persistente Profile einzelner Personen aufbauen und diese in automatisierte Marketingentscheidungen einfließen lassen, müssen anhand dieser Definition bewertet werden, um festzustellen, ob es sich um Hochrisiko-Systeme handelt.

Social Scoring

Die Bewertung oder Einstufung natürlicher Personen oder Personengruppen über einen bestimmten Zeitraum auf der Grundlage ihres Sozialverhaltens oder bekannter, abgeleiteter oder vorhergesagter persönlicher Merkmale oder Charaktereigenschaften, wobei die soziale Bewertung zu einer nachteiligen oder ungünstigen Behandlung dieser Personen oder Gruppen in sozialen Kontexten führt, die in keinem Zusammenhang mit den Kontexten stehen, in denen die Daten ursprünglich generiert oder erhoben wurden.

Verboten nach Artikel 5. Im Kontext von WiFi-Marketing betrifft dies KI-Systeme, die Gäste anhand von Verhaltensmustern bewerten und diese Bewertungen nutzen, um den Zugang zu beschränken, Angebote vorzuenthalten oder einen schlechteren Service bereitzustellen. Das entscheidende Element ist die nachteilige Behandlung — eine Personalisierung, die das Erlebnis für wertvolle Gäste verbessert, ist kein Social Scoring, es sei denn, sie benachteiligt gleichzeitig Gäste mit geringerer Bewertung.

Captive Portal

Eine Webseite oder ein Authentifizierungs-Gateway, das neu verbundenen Nutzern eines WiFi-Netzwerks präsentiert wird, bevor ihnen ein breiterer Zugang zum Internet gewährt wird. Wird von Standortbetreibern genutzt, um Gästedaten zu erfassen, Nutzungsbedingungen anzuzeigen und Marketinginhalte bereitzustellen.

Die primäre Bereitstellungsfläche für KI-gestütztes WiFi-Marketing. KI-Funktionen auf Captive Portals — Chatbots, personalisierte Splash-Pages, Empfehlungs-Engines — unterliegen den Transparenzpflichten nach Artikel 50. Das Captive Portal ist in der Regel auch der Ort, an dem die GDPR-Einwilligung zur Datenverarbeitung eingeholt wird.

Konformitätsbewertung

Das Verfahren zur Überprüfung, ob ein Hochrisiko-KI-System den im EU AI Act festgelegten Anforderungen entspricht, einschließlich Risikomanagement, Daten-Governance, technischer Dokumentation, Transparenz, menschlicher Aufsicht, Genauigkeit, Robustheit und Cybersicherheit.

Erforderlich für Hochrisiko-KI-Systeme, bevor sie in Verkehr gebracht oder in Betrieb genommen werden. Für die meisten Hochrisiko-Systeme nach Anhang III können Anbieter eine Selbstbewertung durchführen. Für biometrische Identifikationssysteme ist eine Bewertung durch Dritte erforderlich. Standortbetreiber, die Hochrisiko-KI-Systeme einsetzen, müssen sicherstellen, dass ihre Anbieter die erforderliche Konformitätsbewertung abgeschlossen haben und die Dokumentation vorlegen können.

DPIA (Datenschutz-Folgenabschätzung)

Ein nach GDPR Artikel 35 vorgeschriebenes Verfahren für Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Die DPIA muss die Verarbeitung beschreiben, die Notwendigkeit und Verhältnismäßigkeit bewerten sowie Risiken identifizieren und mindern.

Erforderlich unter der GDPR für die Verarbeitung von Daten mit hohem Risiko, einschließlich großflächiger Profilerstellung und systematischer Überwachung öffentlich zugänglicher Bereiche. Im Kontext des AI Acts sollte die DPIA so erweitert werden, dass sie auch die Risikomanagement-Anforderungen für KI-Systeme abdeckt, um eine einheitliche Bewertung zu schaffen, die beiden regulatorischen Rahmenbedingungen gerecht wird.

Transparenzverpflichtung nach Artikel 50

Die Anforderung gemäß Artikel 50 des EU AI Acts, dass Anbieter sicherstellen, dass KI-Systeme, die für die Interaktion mit natürlichen Personen bestimmt sind, so konzipiert sind, dass diese Personen darüber informiert werden, dass sie mit einem KI-System interagieren, es sei denn, dies ist aus dem Kontext offensichtlich. Betreiber müssen sicherstellen, dass diese Offenlegung aktiv ist.

Die am schnellsten umzusetzende Compliance-Verpflichtung für Standortbetreiber, die KI-Chatbots oder dialogorientierte Schnittstellen auf ihren Captive Portals nutzen. Die Offenlegung muss klar und im Voraus erfolgen — bevor die Interaktion beginnt — und darf nicht in den Nutzungsbedingungen versteckt sein. Gilt für alle dialogorientierten KI-Systeme, unabhängig von der Risikostufe.

Ausgearbeitete Beispiele

A 450-room hotel group operating across five EU member states has deployed an AI-driven chatbot on its captive portal to handle guest check-in queries, restaurant recommendations, and WiFi troubleshooting. The chatbot is powered by a third-party LLM platform. The marketing team also uses a WiFi analytics platform that builds individual guest profiles — including visit history, dwell time by venue area, and inferred demographic segments — to serve personalised promotional offers via the captive portal splash page. The CTO needs to assess the AI Act compliance posture of both systems before the next board meeting.

Schritt 1 — Klassifizierung des Chatbots. Der KI-gestützte Chatbot ist ein konversationelles KI-System, das mit natürlichen Personen interagiert. Er fällt unter Artikel 50(1) als System mit begrenztem Risiko (Limited Risk). Die sofortige Maßnahme besteht darin, einen klaren Hinweis vor der Interaktion auf der Benutzeroberfläche des Captive Portal zu implementieren: „Sie chatten mit einem KI-Assistenten.“ Dies ist eine Anpassung des Frontends. Die Hotelgruppe ist als Betreiber für diese Offenlegung verantwortlich, auch wenn das zugrunde liegende LLM von einem Drittanbieter bereitgestellt wird. Prüfen Sie den Vertrag mit dem Anbieter, um dessen Klassifizierung nach dem AI Act zu bestätigen, und fordern Sie dessen technische Dokumentation an.

Schritt 2 — Klassifizierung der Analyseplattform. Die WiFi-Analyseplattform erstellt individuelle Gästeprofile und nutzt diese, um über automatisierte Entscheidungen personalisierte Angebote auszuspielen. Die Schlüsselfrage ist, ob dies ein individuelles Profiling gemäß Anhang III darstellt — eine automatisierte Verarbeitung personenbezogener Daten zur Bewertung von Präferenzen, Interessen, Verhalten und Standort. Wenn ja, ist das System als hochriskant einzustufen. Fordern Sie die Dokumentation zur Klassifizierung des Anbieters nach dem AI Act an. Wenn der Anbieter das System als System mit minimalem Risiko eingruppiert, verlangen Sie dessen schriftliche Begründung und prüfen Sie, ob diese vertretbar ist. Falls das System hochriskant ist, beginnen Sie mit der Planung der Konformitätsbewertung vor Ablauf der Frist im August 2026.

Schritt 3 — Prüfung der abgeleiteten demografischen Segmente. Wenn die Analyseplattform mithilfe von KI-Modellen demografische Segmente ableitet, die sensible Merkmale umfassen — wie Altersgruppe, Geschlecht, Nationalität —, prüfen Sie, ob dies eine biometrische Kategorisierung sensibler Merkmale gemäß Artikel 5 darstellt. Basiert die Segmentierung auf deklarierten Daten (Mitgliedschaft im Treueprogramm, explizit angegebene Präferenzen) statt auf einer KI-gestützten Ableitung aus Verhaltenssignalen, ist das Risiko geringer. Wird sie mittels KI aus Verhaltenssignalen abgeleitet, ist eine sorgfältige rechtliche Prüfung erforderlich.

Schritt 4 — Abstimmung mit der GDPR. Stellen Sie sicher, dass die Datenschutzerklärung der Hotelgruppe die KI-gestützte Verarbeitung und die Informationen nach Artikel 50 widerspiegelt. Prüfen Sie die Rechtsgrundlage für die Analyseverarbeitung gemäß GDPR Artikel 6. Basiert die Verarbeitung auf berechtigten Interessen, führen Sie eine Interessenabwägung (Legitimate Interests Assessment) durch, die die Risikoklassifizierung nach dem AI Act berücksichtigt. Aktualisieren Sie die DPIA, um sowohl die Risikoaspekte der GDPR als auch die des AI Act abzudecken.

Kommentar des Prüfers: Dieses Szenario ist repräsentativ für die Mehrheit der Implementierungen im Enterprise-Hospitality-Bereich. Die Compliance-Anpassung des Chatbots ist unkompliziert und sollte sofort priorisiert werden — sie ist die Compliance-Maßnahme mit dem geringsten Aufwand und der größten Sichtbarkeit. Die Klassifizierung der Analyseplattform ist die komplexere Frage und erfordert die Einbindung des Anbieters. Die wichtigste Erkenntnis ist, dass sich der Betreiber (die Hotelgruppe) nicht einfach auf die Zusicherungen des Anbieters verlassen kann; der Betreiber hat eigenständige Compliance-Verpflichtungen und muss dokumentierte Nachweise über die Klassifizierung des Anbieters nach dem AI Act einholen. Die Frage der abgeleiteten demografischen Segmentierung ist eine Grauzone, die eine spezifische rechtliche Beratung zum Datenmodell der Plattform erfordert — genau diese Art von Frage sollte durch einen DPIA- und KI-Risikobewertungsprozess aufgedeckt werden.

A national retail chain with 120 stores across Germany, France, and the Netherlands is evaluating a new WiFi marketing platform that includes an AI feature described by the vendor as 'mood-based personalisation' — the system analyses the speed and pattern of a guest's captive portal interactions to infer their 'engagement state' and adjusts the promotional content served on the splash page accordingly. The IT director needs to assess whether this feature is permissible under the EU AI Act.

Schritt 1 — Identifizierung der KI-Praxis. Das Feature zur „stimmungsbasierten Personalisierung“ analysiert Verhaltenssignale (Geschwindigkeit und Muster der Interaktion) zur Ableitung eines „Engagement-Status“ — was funktional einem emotionalen oder psychologischen Zustand entspricht. Dies ist eine Emotionserkennung (Emotion Inference).

Schritt 2 — Anwendung der Verbotsprüfung nach Artikel 5. Artikel 5 verbietet Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen. Ein Einzelhandelsgeschäft ist für den Gast kein Arbeitsplatz, daher gilt dieses spezifische Verbot nicht für die Gästepopulation im Einzelhandelskontext. Die Funktion kann jedoch dennoch nach Artikel 5(1)(a) verboten sein, wenn sie manipulative Techniken einsetzt, um das Verhalten zu verzerren und eine fundierte Entscheidungsfindung zu beeinträchtigen, was zu erheblichem Schaden führt. Die Nutzung des abgeleiteten emotionalen Zustands zur Ausspielung manipulativer Werbeinhalte — beispielsweise das gezielte Ansprechen eines als „frustriert“ erkannten Gasts mit einem zeitlich begrenzten Dringlichkeitsangebot — fällt sehr wahrscheinlich unter dieses Verbot.

Schritt 3 — Bewertung der GDPR-Auswirkungen. Das Ableiten des emotionalen Zustands aus Verhaltensdaten stellt eine Verarbeitung personenbezogener Daten zum Zwecke des Profilings gemäß GDPR dar. Die Rechtsgrundlage für diese Verarbeitung muss geprüft werden. Berechtigte Interessen sind als vertretbare Grundlage für eine zu Marketingzwecken eingesetzte Emotionserkennung unwahrscheinlich. Eine ausdrückliche Einwilligung ist die am besten geeignete Grundlage, aber der Einwilligungsmechanismus muss spezifisch und feingranular sein — die Einwilligung in den WiFi-Zugang stellt keine Einwilligung in die Emotionserkennung dar.

Schritt 4 — Empfehlung. Implementieren Sie die Funktion zur „stimmungsbasierten Personalisierung“ nicht ohne eine detaillierte rechtliche Prüfung. Das Risiko eines Verstoßes gegen Artikel 5 — insbesondere das Manipulationsverbot — ist erheblich. Fordern Sie vom Anbieter die rechtliche Analyse der Klassifizierung dieser Funktion nach dem AI Act an. Kann der Anbieter keine vertretbare Klassifizierung vorlegen, behandeln Sie die Funktion als verboten und aktivieren Sie sie nicht. Eine standardmäßige Verhaltenspersonalisierung auf Basis objektiver Kennzahlen (Besuchshäufigkeit, Tageszeit, deklarierte Präferenzen) ist zulässig und birgt ein wesentlich geringeres regulatorisches Risiko.

Kommentar des Prüfers: Dieses Szenario veranschaulicht eine gängige Marketingtaktik von Anbietern: die Emotionserkennung als „Analyse des Engagement-Status“ oder „stimmungsbasierte Personalisierung“ umzubenennen, um das regulatorische Risiko zu verschleiern. IT-Leiter und Compliance-Beauftragte müssen hinter die Marketing-Sprache blicken und die zugrunde liegende technische Funktion bewerten. Wenn das System psychologische oder emotionale Zustände aus Verhaltenssignalen ableitet, um das Verhalten zu beeinflussen, handelt es sich um Emotionserkennung — unabhängig davon, wie der Anbieter es nennt. Das Manipulationsverbot nach Artikel 5(1)(a) ist hier das Hauptrisiko, und es gilt unabhängig von der Art des Standorts. Die Empfehlung, die rechtliche Analyse des Anbieters einzufordern, ist wichtig: Ein Anbieter, der für ein Feature keine vertretbare Klassifizierung nach dem AI Act vorlegen kann, hat seine Hausaufgaben in Sachen Compliance nicht gemacht.

Übungsfragen

Q1. Der Anbieter der WiFi-Marketingplattform Ihres Standorts hat gerade eine neue Funktion namens „Visitor Sentiment Scoring“ veröffentlicht, die die Geschwindigkeit, Abfolge und Zögerlichkeit der Interaktionen eines Gastes mit dem Captive Portal analysiert, um einen Sentiment-Score (positiv, neutral, frustriert) zuzuweisen und die ausgespielten Werbeinhalte entsprechend anzupassen. Die Dokumentation des Anbieters beschreibt dies als „Verhaltensanalyse“ und nicht als „Emotionserkennung“. Wie bewerten Sie als IT-Director den Konformitätsstatus dieser Funktion mit dem EU AI Act und welche Maßnahmen ergreifen Sie?

Hinweis: Konzentrieren Sie sich auf die technische Funktion des Systems, nicht auf die Marketing-Formulierungen des Anbieters. Fragen Sie sich: Was tut das System tatsächlich? Leitet es aus Verhaltenssignalen einen emotionalen oder psychologischen Zustand ab? Wenden Sie dann den Verbotsprüfungstest nach Artikel 5 und den Transparenzprüfungstest nach Artikel 50 an.

Musterlösung anzeigen

Die Funktion ist unabhängig von der Kennzeichnung durch den Anbieter funktional ein System zur Emotionserkennung. Die Analyse von Interaktionsmustern zur Ableitung von „Frustration“ oder „positiver Stimmung“ ist eine Emotionsinferenz. Der erste Schritt besteht darin, den Verbotsprüfungstest nach Artikel 5 anzuwenden: Wird dieses System an einem Arbeitsplatz oder in einer Bildungseinrichtung eingesetzt? Wenn es sich bei dem Standort um ein Einzelhandelsgeschäft oder ein Hotel handelt, gilt das Verbot für Arbeitsplätze nach Artikel 5 nicht für Gäste. Das Manipulationsverbot gemäß Artikel 5 Absatz 1 Buchstabe a kann jedoch Anwendung finden, wenn das System die abgeleitete Stimmung nutzt, um manipulative Inhalte bereitzustellen – beispielsweise indem es einen „frustrierten“ Gast mit einem dringlichkeitsbasierten Angebot anspricht. Der zweite Schritt besteht darin, zu prüfen, ob das System unter Anhang III als Emotionserkennungssystem fällt, was es zu einem Hochrisiko-System machen würde. Der dritte Schritt ist die Anforderung der schriftlichen Einstufung nach dem AI Act und der Rechtsanalyse des Anbieters. Wenn der Anbieter keine vertretbare Einstufung vorlegen kann, aktivieren Sie die Funktion nicht. Dokumentieren Sie Ihre Bewertung unabhängig vom Ergebnis.

Q2. Ein Stadionbetreiber, der eine Arena mit einer Kapazität von 60.000 Zuschauern betreibt, nutzt die Guest WiFi-Plattform von Purple, um bei Veranstaltungen First-Party-Daten zu erfassen. Das Marketing-Team möchte einen KI-Chatbot auf dem Captive Portal bereitstellen, um Fragen von Fans zu Einrichtungen, Fanartikeln und bevorstehenden Veranstaltungen zu beantworten. Der Chatbot wird über eine LLM API eines Drittanbieters betrieben. Das Rechtsteam des Stadions fragt: Was sind die Pflichten nach Artikel 50, wer ist für die Einhaltung verantwortlich und wie sieht die Umsetzung in der Praxis aus?

Hinweis: Identifizieren Sie den Betreiber (Deployer), den Anbieter (Provider) und das anwendbare Szenario nach Artikel 50. Legen Sie dann fest, wie der Hinweis aussehen muss und wann er erscheinen muss.

Musterlösung anzeigen

Der Stadionbetreiber ist der Betreiber (Deployer); der Anbieter der LLM API ist der Anbieter (Provider). Gemäß Artikel 50 Absatz 1 ist der Betreiber dafür verantwortlich, sicherzustellen, dass die Gäste vor Beginn der Interaktion darüber informiert werden, dass sie mit einem KI-System interagieren. Die Umsetzung erfordert einen klaren Hinweis auf der Benutzeroberfläche des Captive Portals – beispielsweise ein Badge oder eine einführende Nachricht wie „Sie chatten mit einem KI-Assistenten“ –, die vor dem Senden der ersten Nachricht angezeigt wird. Dies ist eine Änderung am Front-End des Captive Portal-Templates. Der Hinweis muss explizit und im Voraus erfolgen; er darf nicht in den Nutzungsbedingungen versteckt werden. Der LLM-Anbieter hat seine eigenen Pflichten als Anbieter (technische Dokumentation, Gebrauchsanweisung), aber der Betreiber kann sich nicht darauf verlassen, dass der Anbieter die Transparenzpflichten des Betreibers erfüllt. Darüber hinaus muss der Stadionbetreiber sicherstellen, dass die Datenverarbeitung des Chatbots der GDPR entspricht – die Rechtsgrundlage für die Verarbeitung aller im Chat geteilten personenbezogenen Daten muss festgelegt werden, und die Datenschutzerklärung muss die KI-gestützte Verarbeitung widerspiegeln.

Q3. Die WiFi-Analytics-Plattform einer Einzelhandelskette erstellt seit zwei Jahren individuelle Gästeprofile, indem sie WiFi-Sitzungsdaten (MAC-Adresse des Geräts, Verweildauer, Besuchshäufigkeit, Standort im Geschäft) mit CRM-Daten (Kaufhistorie, Status im Treueprogramm) kombiniert, um ein KI-Modell zu speisen, das automatisierte Entscheidungen darüber trifft, welche Werbeangebote dem jeweiligen Gast im Captive Portal angezeigt werden. Der neue Compliance-Verantwortliche der Kette wurde gebeten, zu prüfen, ob dieses System gemäß der Bestimmung zur individuellen Profilerstellung in Anhang III des EU AI Act als Hochrisiko-System einzustufen ist. Wie sieht die Bewertungsmethodik und das voraussichtliche Ergebnis aus?

Hinweis: Wenden Sie den Test zur individuellen Profilerstellung nach Anhang III an: Führt das KI-System eine automatisierte Verarbeitung personenbezogener Daten durch, um Aspekte der Präferenzen, Interessen, des Verhaltens oder des Standorts einer Person zu bewerten? Prüfen Sie dann, ob die automatisierten Entscheidungen weitreichend genug sind, um die Einstufung als Hochrisiko-System auszulösen.

Musterlösung anzeigen

Die Bewertungsmethodik erfolgt in drei Schritten. Bestätigen Sie erstens, dass es sich um ein KI-System handelt (und nicht um ein einfaches regelbasiertes System) – wenn die Entscheidung über das Werbeangebot von einem Modell für maschinelles Lernen und nicht von einem deterministischen Regelsystem getroffen wird, handelt es sich um ein KI-System. Wenden Sie zweitens den Test zur individuellen Profilerstellung nach Anhang III an: Das System verarbeitet personenbezogene Daten (WiFi-Sitzungsdaten, CRM-Daten), um individuelle Präferenzen, Interessen, Verhalten und Standort zu bewerten. Dies entspricht der Definition der individuellen Profilerstellung. Prüfen Sie drittens, ob das System unter die in Anhang III aufgeführten Anwendungsfälle fällt – die relevanteste Kategorie ist der „Zugang zu und die Inanspruchnahme von wesentlichen privaten und öffentlichen Dienstleistungen“, wozu auch KI-Systeme gehören, die zur Bewertung der Berechtigung für Dienstleistungen verwendet werden. Ob Entscheidungen über Werbeangebote einen „Zugang zu Dienstleistungen“ darstellen, ist eine Grauzone; wenn das KI-System einem Gast den Zugang zu einem Werbeangebot verweigern kann, das seine Kaufentscheidung erheblich beeinflusst, könnten Aufsichtsbehörden dies als wesentlich ansehen. Das voraussichtliche Ergebnis ist, dass das System als potenziell hochriskant eingestuft und eine formelle Bewertung durchgeführt werden sollte. Die Kette sollte sich an den Plattform-Anbieter wenden, um dessen AI Act-Einstufung zu erhalten, eine DPIA/KI-Risikobewertung einleiten und mit der Planung für die Einhaltung der Konformitätsbewertung vor dem Stichtag im August 2026 beginnen.

Weiterlesen in dieser Reihe

So konfigurieren Sie SCEP für die automatisierte Zertifikatsregistrierung für Enterprise WiFi

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte Zertifikatsregistrierung für Enterprise WiFi konfigurieren. Er deckt die gesamte Architektur von PKI und NDES bis hin zur MDM-Profilbereitstellung und RADIUS-Validierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien, Konferenzzentren und Organisationen des öffentlichen Sektors, die über Pre-Shared Keys hinausgehen und eine skalierbare, identitätsbasierte 802.1X EAP-TLS-Authentifizierung implementieren müssen. Die hardwareunabhängige Cloud-Overlay-Plattform von Purple lässt sich direkt in diese Architektur integrieren und bietet die Guest- und BYOD-WiFi-Ebene, die parallel zu Ihrem zertifikatsauthentifizierten Mitarbeiternetzwerk läuft.

Leitfaden lesen →

The Enterprise Guide to SCEP: Deploying Simple Certificate Enrollment Protocol for Automated Campus WiFi Security

Dieser technische Leitfaden bietet einen definitiven Architektur-Entwurf und eine schrittweise Implementierungsstrategie für die Bereitstellung von WiFi-Zertifikaten in Unternehmen mittels SCEP. Er behandelt die entscheidenden Unterschiede zwischen SCEP und PKCS, die für den Erfolg erforderliche genaue Bereitstellungsreihenfolge sowie praxiserprobte Strategien zur Risikominderung für IT-Verantwortliche.

Leitfaden lesen →

So implementieren Sie SCEP für die automatisierte WiFi-Zertifikatsregistrierung

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte WiFi-Zertifikatsregistrierung in Unternehmensstandorten implementieren. Er deckt den gesamten architektonischen Entwurf ab – vom PKI-Design und der MDM-Integration bis hin zur obligatorischen dreistufigen Bereitstellungssequenz – und zeigt IT-Managern und Netzwerkarchitekten, wie sie gemeinsame Anmeldeinformationen eliminieren, das Lebenszyklusmanagement von Zertifikaten automatisieren und PCI DSS- und GDPR-Anforderungen in großem Maßstab erfüllen.

Leitfaden lesen →