Künstliche Intelligenz (KI) dominiert derzeit die mediale Berichterstattung. Für Unternehmen birgt die Nutzung von KI-Tools viele Chancen. Diesen stehen komplexe rechtliche Anforderungen gegenüber. Wie ist der aktuelle Stand und welche rechtlichen Aspekte gilt es zu berücksichtigen, wenn man KI im Business, zum Beispiel auch im Marketing, einsetzen will? Jonas Puchel und Dr. Patrick Grosmann, beide Rechtsanwälte bei der Kanzlei FPS Rechtsanwälte, haben das Thema für die marketingScout.com Redaktion beleuchtet.
Befeuert durch den enormen Erfolg diverser KI-Tools, wie zum Beispiel ChatGPT, drängen immer neue KI-Tools auf den Markt – sie erstellen Bilder, werten Tonaufnahmen aus oder erkennen und verarbeiten menschliche Sprache. Unternehmen, die solche KI-Systeme nutzen möchten, müssen bewerten, ob und wie sie KI einsetzen wollen und welche Prozesse sich mit ihr abbilden und optimieren lassen. In verschiedenen Abteilungen wie Marketing, Support und Vertrieb bietet die Nutzung von KI viele Vorteile. Zum Beispiel können KI-basierte Sprach- und Text-Verarbeitungssysteme für die Content-Erstellung, für Übersetzungen oder auch für die Beantwortung von Kundenanfragen verwendet werden. Branchenübergreifend trägt KI zum Beispiel zur Qualitätskontrolle und zur Entdeckung und Behebung von Fehlern bei.
Doch welche rechtlichen Aspekte sind von den Unternehmen, die KI-Tool einsetzen möchten, zu beachten?
Relevant sind in diesem Zusammenhang zunächst einmal der Datenschutz und das Urheberrecht.
Sobald ein KI-Tool Daten von natürlichen Personen (z.B. von Kunden) verarbeitet, muss man sich an die Vorgaben der Datenschutz-Grundverordnung (DSGVO) halten. Es ist dabei essenziell, Datenschutz nicht als Hindernis für den Einsatz von KI zu sehen. Eine proaktive und detaillierte Auseinandersetzung mit Datenschutzfragen ermöglicht eine effektive Nutzung. Unternehmen sollten vor dem Einsatz eines KI-Tools klären, welche Datenschutz-Anforderungen gelten, wohin die Daten fließen und ob sie zur Weiterentwicklung des jeweiligen KI-Algorithmus verwendet werden. Zudem ist es wichtig, die klassischen Datenschutz-Anforderungen wie die vertragliche Vereinbarungen zur Datenverarbeitung, die Einrichtung von Prozessen zum Schutz von Personenrechten, die Einhaltung von Informationspflichten und die Durchführung von Datenschutz-Folgenabschätzungen zu beachten.
Häufig liegt die Herausforderung allerdings nicht (nur) in der Verarbeitung personenbezogener Daten. Ein ebenso relevantes Thema ist die Nutzung von urheberrechtlich geschütztem Material, das KI-Systeme aus dem Internet "scrapen". Denn Verstöße gegen das Urheberrecht können immer rechtliche Folgen nach sich ziehen.
Zudem wirft die urheberrechtliche Einordnung des Outputs von KI weitgehend ungeklärte Fragen auf, da das deutsche Recht vorrangig menschliche Werke und nicht die Schöpfungen eines Computers schützt. Ob zum Beispiel die menschliche Eingabe in ein KI-Modell – der sogenannte "Prompt" – so kreativ sein kann, dass Urheberechte entstehen, wird sich erst noch entscheiden. Ein US-amerikanisches Gericht verneinte dies vor kurzem.
Rechtlich relevant für den KI-Einsatz in Unternehmen ist zudem die neue KI-Verordnung der EU.
Die Verordnung regelt umfassend den Marktzugang für und die Produktanforderungen an KI-Systeme. Sie differenziert im Kern zwischen KI-Anbietern und -Nutzern, wobei die exakte Abgrenzung noch zu klären ist. Anbieter müssen gegenüber Nutzern eine Reihe zusätzlicher Pflichten erfüllen.
Einige KI-Anwendungen werden nach der neuen Verordnung verboten, so z.B. das sogenannte "Social Scoring". Erlaubte KI-Systeme werden in Risikokategorien eingeteilt. Für die initiale Klassifizierung von KI-Systemen nach der KI-Verordnung bieten die Autoren einen kostenlosen "KI-Check" an (s. Link). Neben der Risikoklassifizierung zeigt das Tool auf, welche konkreten Pflichten nach der KI-Verordnung für das bewertete KI-System zu erfüllen sind.
Die Einhaltung der Vorschriften der KI-Verordnung wird von nationalen und EU-Behörden mit umfangreichen Befugnissen überwacht. Unternehmen müssen ihre KI-Nutzung analysieren und Maßnahmen ergreifen, um den Anforderungen der Verordnung gerecht zu werden.
Verstöße gegen die Verordnung können rechtliche Konsequenzen nach sich ziehen, insbesondere Geldbußen. Diese richten sich nach der Art des Verstoßes. Bei Verstößen gegen die Bestimmungen zu verbotenen KI-Systemen können sie z.B. bis zu 7 % des weltweiten jährlichen Umsatzes oder (falls höher) 35 Millionen Euro betragen. Andere Verstöße können mit bis zu 3 % oder 15 Millionen Euro sanktioniert werden.
Daneben haben Aufsichtsbehörden noch weitere Befugnisse, um auf Verstöße zu reagieren. Sie können beispielsweise anordnen, KI-Systeme zu ändern, ihren Einsatz stoppen, den Quellcode herausverlangen oder Korrekturen an den Systemen durchsetzen. Diese Eingriffe können Unternehmen stark beeinträchtigen und zu Betriebs-Unterbrechungen bzw. Reputationsverlust führen.
Defizite bei der Umsetzung der KI-Verordnung können Unternehmen somit empfindlich treffen. Dafür steht natürlich auch die Geschäftsführung gerade, weil sie ggf. ihren Aufsichts- und Überwachungspflichten nicht ausreichend nachkam. Führungskräfte müssen sich deshalb der potenziellen rechtlichen, finanziellen und reputationsbezogenen Risiken der KI-Nutzung bewusst sein und frühzeitig entsprechende Strategien zur Umsetzung rechtlicher Vorgaben entwickeln. Dies kann auch bedeuten, interne Prozesse zu überarbeiten und Mitarbeitende über die Anforderungen und Best Practices im Umgang mit KI zu schulen.
Titelbild: Jonas Puchelt (li), Dr. Patrick Grosmann (re), beide Rechtsanwälte bei der Kanzlei FPS Rechtsanwälte in Frankfurt a.M.
Über die Autoren:
Jonas Puchelt ist Fachanwalt für Informationstechnologierecht, Zertifizierter Datenschutzbeauftragter (DSC) und Associate Partner bei der Kanzlei FPS Rechtsanwälte in Frankfurt. Er ist auf die Beratung technologischer Themenbereiche spezialisiert. Sein Beratungsschwerpunkt liegt im IT- und Datenschutzrecht mit einem besonderen Fokus auf IT-Projektgeschäft, dem rechtskonformen Umgang mit künstlicher Intelligenz und der juristischen Aufarbeitung von Data Breaches.
Dr. Patrick Grosmann ist Rechtsanwalt bei der Kanzlei FPS Rechtsanwälte in Frankfurt. Studium der Rechts- & Politikwissenschaft (M.A.). Promotion im Datenschutzrecht. Er ist zertifizierter Datenschutzbeauftragter (TÜV®), Datenschutz-Auditor (DGI®) und Dozent für Datenschutzbeauftragte. Er ist auf die Beratung von Unternehmen zum Einsatz von KI-Anwendungen sowie im Datenschutz- und IT-Recht spezialisiert. Ein besonderer Fokus seiner bisherigen Beratung liegt auf dem Datenschutz im Gesundheitswesen.
Verwandte Themen:
KI im Marketing, KI und Recht, erlaubte KI-Systeme, KI-Verordnung der EU, Datenschutz, Urheberrecht, rechtliche Aspekte der KI-Nutzung im Marketing und Business, ChatGPT, Fachbeitrag, Expertenbeitrag, FPS Rechtsanwälte
Zusammenfassung: Rechtliche Rahmenbedingungen für den Einsatz von KI im Marketing und im Business allgemein – FPS Rechtsanwälte veröffentlichen kostenlosen KI-Check
Keinen Marketing-Trend mehr verpassen? marketingScout Newsletter
