Mit KI auf der sicheren Seite – Tipps von Dr. Martin Schirmbacher und Marlene Schreiber

Erschienen in Mar II 2024 | Künstliche Intelligenz
Level: Beginner

Wie kannst du KI rechtssicher für deine Online-Marketing-Aktivitäten nutzen? Wir bringen dich auf den neuesten Stand rund um Content, Online-Shops, Chatbots, generelle Haftungsrisiken und die neue KI-Verordnung. Marlene Schreiber und unser Referent für Recht im Online Marketing Dr. Martin Schirmbacher geben dir einen umfassenden Einblick in die vielfältigen rechtlichen Aspekte, die du beim Einsatz von KI im Marketing beachten solltest.

Rechtliche Rahmenbedingungen

Schauen wir uns erst einmal an, welche rechtlichen Aspekte bei der Nutzung einer KI wie beispielsweise ChatGPT in Deutschland berührt werden. Marlene Schreiber und Dr. Martin Schirmbacher von der Rechtsanwaltskanzlei HÄRTING haben uns im Rahmen ihres Vortrags auf der SMX einen guten Überblick gegeben:

• Datenschutz: Hier geht es um die DSGVO. Sie ist das zentrale Datenschutzgesetz in der EU und Deutschland. Sie regelt den Umgang mit personenbezogenen Daten und betrifft KI-Anwendungen, die solche Daten verarbeiten. Wichtig sind hier insbesondere die Prinzipien der Datenminimierung, Zweckbindung und Transparenz sowie das Recht auf Erklärung von automatisierten Entscheidungen.
• Urheberrechtsgesetz (UrhG): Dieses Gesetz ist wichtig, wenn es um KI-generierte Werke oder die Nutzung urheberrechtlich geschützter Daten in Trainingsdatensätzen geht. Es regelt die Rechte von Urheber:innen und die zulässige Nutzung von urheberrechtlich geschützten Werken.
• Haftung: Wenn durch KI-Anwendungen gesteuerte Produkte Schäden verursachen, können Fragen der Produkthaftung nach dem Produkthaftungsgesetz (ProdHaftG) aufkommen.
• Vertragsrecht: Im geschäftlichen Kontext, wo eine KI für das Vertragsmanagement oder ähnliche Aufgaben genutzt wird, müssen die rechtlichen Aspekte des Vertragsrechts beachtet werden.
• Persönlichkeitsrecht: Bei allem was du mit der KI erstellst oder wenn eine KI zur Konversation genutzt wird, musst du sicherstellen, dass keine Persönlichkeitsrechtsverletzung stattfindet.
• (noch) kein KI-Recht: Die KI-Verordnung (AI Act) steht aber schon in den Startlöchern. Mehr dazu erfährst du am Ende dieses Artikels.

Spannend ist für dich sicher der rechtssichere KI-Einsatz für alltägliche Aufgaben im Online Marketing. Schließlich möchten wir alle diese Tools so nutzen, dass sie unseren Alltag erleichtern. Marlene und Martin zeigen dir daher konkrete Beispiele und Tipps aus den folgenden Anwendungsgebieten:

• Content-Erstellung
• Personalisierter Shop auf Basis von KI
• Chatbot im Kundenportal
• Ausblick: AI Act

Content-Erstellung

Wenn du Inhalte mit KI erstellst, dann bezieht sich die KI auf Trainingsdaten (häufig mit geschützten Daten in Form von Texten, Bildern, Videos etc.), du gibst Input ins Tool (Prompting und ggf. Upload von Daten oder Inhalten) und erhältst einen Output (generierter Text oder ein Bild).

Beachte: dein Output ist nicht geschützt:

• Dein erstellter Inhalt fällt nicht unter Urheberschutz, weil keine eigenschöpferische Leistung erfolgt ist. Es sei denn, du als Mensch bearbeitest das Ergebnis deutlich nach.
• Die Schutzfähigkeit des Inputs entspricht nicht automatisch einer Schutzfähigkeit des Outputs
• Vergleiche es mit einer Software -> Code = Prompt, Ergebnis = Darstellung des Programms, was auch nicht geschützt ist.

Achtung: dein Output könnte sogar Rechte verletzen:

• Wenn dein Ergebnis eine Kopie eines geschützten Werks ist, liegt ein Plagiatsvorwurf nahe -> Tipp: Prüfe deinen Output immer. Z.B. durch das 4-Augen-Prinzip, einen Plagiatsprüfer oder suche bei Google, ob es deinen Text so schon gibt.
• Die Beweislast trägst im Zweifel du als der oder die Verwender:in

Wenn es um das Urheberrecht geht, hilft dir dieses Schaubild von Marlene und Martin, um einen guten Überblick zu erhalten:

Wenn du noch tiefer in das Thema “KI-Einsatz und Risiken von IP-Verletzungen” einsteigen möchtest, dann empfehlen wir den Podcast der Anwaltskanzlei:

Tipp: Schau dir die Lizenzbestimmungen der KI-Anbieter an!

• Prüfe den Umfang der Lizenz: Meist hast du mit der kostenfreien Lizenz einen vollständigen Haftungsausschluss des Anbieters
• Vereinbare einen Ausschluss deiner Daten aus den Trainingsdaten
• Schau auf die Zugriffskontrolle: Kläre wer (Unternehmen & Anbieter) auf welche Informationen zugreifen kann.
• Kümmere dich um Datenschutz & Datensicherheit: Lass Daten verschlüsseln, schließe einen Auftragsverarbeitungsvertrags (AVV) ab und lösche nicht benötigte Daten.

Kennzeichnungspflicht
Vielleicht fragst du dich momentan auch, ob es eine Kennzeichnungspflicht für KI generierte Inhalte gibt? Martin, unser Referent für Online-Marketing-Recht antwortet darauf klar:

“Nein, aktuell nach geltendem Recht nicht. Beachte ggf. Vorgaben von Anbietern und Plattformen, die du nutzt. Es gibt einen Entwurf der KI-Verordnung der Europäischen Union (AI Act), die beinhaltet z.B. Transparenzpflicht für Interaktion mit KI-Systemen und bei Deepfakes, Informationspflichten bei Emotionserkennung/ biometrischen Identifizierung und eine Kennzeichnungspflicht für synthetische Audio-, Bild-, Video- oder Textinhalte.”

 

Fazit für deine Content-Erstellung
Du hast als Ersteller oder Erstellerin die volle Verantwortlichkeit für Inhalte! Die Nutzung von KI ist auf jeden Fall keine Entschuldigung für Verstöße, wenn dies nicht transparent ist.

Du haftest für:

• Urheberrechtsverletzungen
• Wettbewerbsverstöße
• falschen Rat
• Persönlichkeitsrechtsverletzungen
• Verstöße gegen Datenschutzvorgaben

Personalisierter Shop auf Basis von KI

Klar, der Traum eines jeden Vollblut-Marketers ist es, einen personalisierten Shop zu betreiben. Und die KI soll es nun endlich möglich machen. Doch auch hierbei gibt es einiges zu beachten, wenn du lange und straffrei etwas von deinem Shop haben möchtest.

Schaue dir deine Shop-Systeme gut mit Hinblick auf eventuelle Datenschutzprobleme an:

• Die personenbezogenen Daten benötigen eine klare Herkunft
• Die herangezogenen Daten müssen DSGVO-konform erhoben worden sein
• Du musst den Werbezweck schon bei Erhebung festlegen
• Deine Kundinnen und Kunden müssen schon vor Datenerhebung über spätere Selektion zu Werbezwecken (Optimierung des Shops) informiert werden
• In den meisten Fällen ist eine Einwilligung erforderlich

Beachte auch die Vorgaben der DSGVO:

• Verbotsprinzip: Die Verarbeitung personenbezogener Daten ist verboten, es sei denn, sie ist ausdrücklich erlaubt (Vertrag, berechtigtes Interesse oder Einwilligung)
• Zusammenarbeit mit Dienstleistern: Achte auf eine vertraglich Absicherung, einen Joint Controllership oder die Auftragsverarbeitung
• Komme deinen Informationspflichten nach
• Behalte ggf. eine Datenschutzfolgenabschätzung im Auge

Marlene und Martin haben für dich eine Checkliste zum Datenschutz für den KI-Einsatz im Unternehmen zusammengestellt:

Fazit für deine KI-gestützte Individualisierung von Online-Shops

• Erhebung der Daten: Lege den Zweck der Datenverarbeitung jeweils im Voraus fest und definiere den Zweck so konkret wie möglich, aber so weit wie möglich (vermeide den Zielkonflikt bei der Zweckdefinition)
• Erfülle deine Informationspflichten bei der Erhebung
• Nutzung der Daten für die Individualisierung: verarbeite nur solche Daten, die für den jeweiligen Zweck erforderlich sind und arbeite mit Pseudonymen, wo immer es möglich ist
• Kennzeichne deinen Shop als KI-gestützt
• Achte auf eine saubere Dokumentation

Du brauchst weitere Infos zum Werbescoring und Datenschutz? Dann lies dir den Artikel von Dr. Martin Schirmbacher zum Thema “Bußgeldfalle Werbescoring: Wann bedarf das Profiling einer Einwilligung?” durch.

Chatbot im Kundenportal

Sei dir bitte bewusst, dass du auch bei einer Ki-gesteuerten Konversation die volle Verantwortung trägst!

• Dein Unternehmen ist für den Chat-Inhalt voll verantwortlich
• Pass auf, dass dein Bot keine Verträge abschließt!
• Achte darauf, dass du bzw. dein Unternehmen für Urheberrechtsverletzungen, Wettbewerbsverstöße, falschen Rat, Persönlichkeitsrechtsverletzungen und Verstöße gegen Datenschutzvorgaben haftet.

Schau dir als Beispiel gerne den aktuellen Fall der Air Canada, wo die Airline für die Falschinformationen ihres Chatbots zahlen muss.

Wenn du KI bei Chatbots einsetzt, hast du automatisch ein Datenschutzthema. Denn hier ist die Datenverarbeitung besonders intensiv und es ist denkbar, dass Daten zur Trainingsfunktion genutzt werden. Auch in puncto Datenschutzaufsicht hast du durch den Einsatz KI-gestützter Chatbots ein höheres Risiko. Deswegen brauchst du eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO. Bisher gibt es hier noch keine spezielle Gesetzgebung, aber es könnte eine Kennzeichnungspflicht nach dem AI Act entstehen.

Fazit für deinen Einsatz eines KI-gestützten Chatbots

• Halte Datenschutz relevante Aspekte ein.
• Wenn du Dienstleister einbeziehst: Haben sie Datenzugriff? Dann brauchst du in der Regel einen AVV. Kläre, ob ein Drittlandtransfer vorliegt. Wähle z.B. eine pseudonyme Verarbeitung, sodass die Zuordnung konkreter Kundinnen und Kunden nur beim bzw. bei der Website-Betreiber:in möglich ist.
• Hast du keine Einwilligung, dann beachte die Löschfristen: Die Daten dürfen (höchstens) 3 Jahre (§ 195 BGB) zum Zweck der Rechtsverteidigung gespeichert werden. Prüfe ansonsten, ob ein berechtigtes Interesse, gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO vorliegt.
• Füge deiner Datenschutzinformation eine Passage zum Chat bei und aktualisiere sie fortlaufend.

Auch für dieses Thema stellt dir die Anwaltskanzlei HÄRTING eine Aufzeichnung des Webinars “Chat Funktionen auf Websites – Datenschutz, AI und Verträge” auf Youtube zur Verfügung:

Wie sicherst du dich jetzt am besten in deinem Unternehmen ab?

Unsere KI-Recht-Expert:innen Marlene und Martin raten ganz klar dazu, verbindliche Regeln einzuführen. Und das kannst du üblicherweise über eine KI-Richtlinie und eine KI-Governance machen.

Typische Inhalte von KI-Richtlinien:

• Lege einzusetzende Tools fest (unter Einbeziehung von Legal und Datenschutz)
• Definiere erlaubte und verbotene Einsatzfelder von KI
• Bestimme Verantwortlichkeiten
• Verbiete grundsätzlich die Eingabe von Geschäftsgeheimnissen
• Das Eingeben von personenbezogenen Daten sollte imme überdacht werden
• Führe eine Pflicht zur Prüfung der Ergebnisse und ggf. den Einsatz eines oder einer Plagiatsprüfer:in ein
• Sorge für einen „Not-aus-Schalter“
• Sei transparent gegenüber deiner Kundschaft
• Dokumentiere die Prozesse und Abläufe

Typische Inhalte der KI-Governance:

• Evaluiere alle KI Anwendungen im Unternehmen
• Teile sie in Risikoklassen ein
• Führe eine Risiko- & Gap-Analyse durch
• Setze bestehende Transparenzpflichten um
• Richte interne Kontrollsysteme ein
• Binde die KI-Richtlinien ein
• Führe Schulungen durch oder lasse schulen
• Sorge für eine saubere Dokumentation

Ausblick: AI Act

Im Februar 2024 haben die EU-Mitgliedstaaten im Ausschuss der Ständigen Vertreter den AI Act, also die neue KI-Verordnung, abgesegnet. Damit legt die EU einen klaren Rechtsrahmen für Künstliche Intelligenz fest. Ziel ist es, Innovationen anzukurbeln und gleichzeitig das Vertrauen in KI zu stärken. Die Verordnung sorgt dafür, dass KI-Technologien die Grundrechte und Sicherheit der EU-Bürger:innen achten.

Bevor die KI-Verordnung in Kraft treten kann, ist noch die formelle Zustimmung des Europäischen Parlaments sowie einer entsprechenden Formation des Rates erforderlich.
Mehr Infos zur KI-Verordnung liest du beim Bundesministerium.

Nach Marlene und Martins Aussagen teilen sich die beiden folgenden Behörden die Aufsicht über den AI Act:

EU AI-Office

Aufgaben:

• Überwachung der Einführung des AI-Acts auf EU-Ebene -> Aufsicht über KI-Systeme
• Beobachtung der KI-Märkte und –Technologien
• Abstimmung mit anderen Kommissionsdienststellen, EU-Agenturen, Unternehmen und den EU Mitgliedstaaten
• Unterstützung der nationalen KI-Aufsicht, z.B durch Leitlinien

Stand März 2024:

• geplant für Q2
• angesiedelt im GD Connect (Kommissar für Digitale Wirtschaft & Gesellschaft)

Nationale KI-Aufsichtsbehörde

Aufgaben:

• Überwachung der Anwendung und Umsetzung des AI Acts
• Aufsicht über KI-Modelle

Stand März 2024:

• Zeitpunkt der Einrichtung: unklar

Der AI Act teilt künstliche Intelligenz in drei Risikostufen (unannehmbar, hoch und gering) ein. Unser Experte Martin zeigt dir die Einteilung auf der folgenden Grafik:

Fazit für deinen KI-Einsatz im Online Marketing

Habe keine Angst beim Einsatz und Ausprobieren der KI, gehe aber gewissenhaft vor. Wähle deine Anbieter sorgfältig aus und achte auf die Vertragsgestaltung, besonders im Hinblick auf Haftungsfragen und Nutzungsrechte. Behalte stets die Kontrolle über die Ergebnisse, um Genauigkeit und die Einhaltung rechtlicher Vorgaben zu gewährleisten.
Schütze deine eigenen Erkenntnisse, halte Datenschutz und -sicherheit hoch und entwickle interne Richtlinien für den Umgang mit KI. Bleibe außerdem über Entwicklungen beim AI Act informiert und dokumentiere deine Prozesse sorgfältig.

Als Quelle dienen uns der Live-Vortrag von Marlene Schreiber und Dr. Martin Schirmbacher (HÄRTING Anwaltskanzlei) im Rahmen der SMX München und die im Nachgang zur Verfügung gestellten Folien.