Folge 254 – KI & Recht

KI & Recht im Marketing

Sprecher:

• Robin: Moderator
• Lev: Gast (Lev Lexow)

(Intro-Jingle)
Mehr Feuer für dein Online-Marketing mit Marketing on Fire.

Robin: Der deutsche Datenschutzreflex setzt wieder ein. Es gibt neue technische Möglichkeiten, für die Daten als Grundlage dienen, und schon wird die Möglichkeit an vielen Stellen mit einer Mischung aus Angst und vorauseilendem Gehorsam abgetan. So auch bei KI im Marketing. Heute sprechen wir darüber, wo die rechtlichen Grenzen sind und wie du es bei dir im Unternehmen schaffst, KI rechtssicher für deinen Marketing-Erfolg einzusetzen. Liebe Hörerinnen, liebe Hörer, ich bin Robin Heintze, Mitgründer und Geschäftsführer der Online-Marketing-Agentur Morefire. Und bei mir ist heute Lev Lexow. Er ist Rechtsanwalt und Datenschutzbeauftragter von der Kanzlei Siebert Lexow Lang aus Berlin. So, danke, dass du dir die Zeit nimmst.

Lev: Sehr gerne, ich freue mich, hier zu sein.

Robin: So, dann mal kurz zum deutschen Datenschutzreflex. Ich habe das jetzt einfach mal so getauft, weil irgendwie kommt er mir immer wieder unter. Können wir KI grundsätzlich im Marketing wirksam einsetzen oder ist das rechtlich unmöglich?

Lev: Es ist natürlich rechtlich möglich. Also, der deutsche Datenschutzreflex, wie du ihn so schön getauft hast, der ist natürlich immer da. Wir haben aber schon durch die Datenschutz-Grundverordnung gelernt, es wird alles nicht so heiß gegessen, wie es gekocht wird. Das heißt, im Endeffekt, es ist einsetzbar. Klar, wir haben eine hohe Regulationsdichte, wir müssen uns mit den Themen beschäftigen, das ist immer so, aber einsetzbar, ja, klares Ja.

Robin: Dann ist ja schon mal gut, da haben wir da schon mal einen Haken dran gemacht. Wie genau und wann vielleicht auch besser doch nicht, da gehen wir dann gleich ein bisschen tiefer drauf ein. Lass uns einmal etwas breiter auf das Thema schauen, nämlich so KI und rechtliche Regulation. Also das Thema Datenschutz ist natürlich sofort in aller Munde. Dann haben wir auch noch ganz oft das Thema Urheberrecht. Welche rechtlichen, sag mal, Themengebiete grob gesagt, sind überhaupt relevant beim Thema Einsatz von KI im Marketing?

Lev: Puh, also alle möglichen, muss man das so sagen. Also das Thema KI ist ein bisschen wie das Thema Datenschutz damals. Es betrifft halt wahnsinnig viele Lebensbereiche. Das heißt, alle möglichen gesetzlichen Anforderungen können betroffen sein. Wenn wir das Ganze aber ganz grob runterbrechen, also die Themen, die wahrscheinlich nach meiner Prognose relevant sein werden, dann haben wir natürlich das Thema Datenschutz zum einen. Wir werden das Thema Urheberrecht bekommen, Stichwort, inwieweit dürfen wir Trainingsdaten einsetzen? Inwieweit dürfen wir den Output von KI verwenden für Logos, für irgendwelche Werbematerialien, für ähnliches. Und das Thema Haftung. Das sind so die drei großen Themen, wo ich sage, dass das voraussichtlich mit die wichtigsten sein werden. Da kommen noch einige dazu, Stichwort Antidiskriminierung und so weiter, aber bleiben wir mal im Marketing bei den drei großen Themenblöcken.

Robin: So, dann gehen wir doch direkt mal in das Thema Datenschutz mit rein, weil so, wenn ich mit unseren Kunden spreche, das ist so das erste, wo die große Sorge besteht. Gehen wir mal in die Führungsperspektive. Also nehmen wir an, ich bin jetzt Head of Marketing, trage damit ja auch eine gewisse Verantwortung und habe vor allen Dingen auch ein Team dann bei mir, was sich operativ mit dem Thema KI irgendwie auseinandersetzen soll, aber wir jetzt nicht ganz sicher sind, was können wir, was dürfen wir? Was muss ich da als Führungskraft machen? Also Leute sensibilisieren, gibt es da jetzt schon auch irgendwie verpflichtende Schulungen oder sowas? Also, wie würdest du an das Thema da rangehen?

Lev: Also, ich würde das Thema an das Thema genauso rangehen, wie du es gesagt hast. Wir sind halt immer noch im Graubereich, wir segeln in unbekannten Gewässern und das Erste, was man dann an der Stelle tun muss, man muss für sich selber als Unternehmen festlegen, was möchte man. Also, was möchte man mit KI machen, was möchte man damit auch nicht machen und wenn man KI einsetzt, was soll diese KI eigentlich erfahren von dir und was soll sie nicht erfahren. Also das muss man für sich als Unternehmen erstmal relativ klar fixieren. Das hört sich jetzt erstmal relativ kompliziert an, läuft aber darauf hinaus, dass man einfach sich eine kurze Richtlinie macht. Also, wir haben als Kanzlei beispielsweise auf unserer Seite so eine Muster-Richtlinie erstellt, die man sich runterladen kann und wo man sich dann auch entscheiden kann, was davon möchte man jetzt einsetzen, was möchte man nicht einsetzen. Punkt eins. Wenn man diese Richtlinie hat, also die Compliance-Richtlinie hat, sollte man die irgendwie an die Mitarbeiter weitergeben. Also man sollte den Mitarbeitern mitteilen, was haben die zu tun, was haben die auch nicht zu tun, was dürfen die mit der KI machen, was vielleicht auch nicht. Also, erste Stufe wirklich für sich selber Compliance-Linien, dann die Mitarbeiter schulen. Verpflichtende Schulung gibt es jetzt noch nicht, aber ab dem 2. Februar 2025, KI-Verordnung, also sprich die KI-Verordnung Artikel 4, KI-Verordnung besagt, ab dem 2. Februar 2024 muss man eine KI-Kompetenz bei den Mitarbeitern entwickeln. Das läuft auf faktische Schulungen hinaus.

Robin: Okay, das heißt, ich habe noch ein bisschen Zeit, aber viel ist es eigentlich jetzt nicht mehr, wenn wir sagen zweiter Zweiter. So, wir haben jetzt Ausstrahlung ist Ende November, dann der Dezember existiert ja eigentlich beruflich fast kaum noch irgendwie, weil er voll ist. So, das heißt, wir müssen mal alle Gas geben.

Lev: So, so ungefähr genau. Auch hier an der Stelle, man muss gucken, man muss es alles vorbereiten, das ist auch alles klar. Es wird aber Schulungsangebote geben, also auch wir als Kanzlei bieten natürlich entsprechende Schulungsangebote für unsere Mandanten an. Das wird sozusagen Möglichkeiten geben, sich da vernünftig zu schulen. Also, Schulen und Belehren, das sind so die ersten Bürgerpflichten eines Unternehmers.

Robin: So, und jetzt hast du vorhin gesagt, wir befinden uns im Graubereich, wir sind in unbekannten Gewässern. Also, es gibt dann die KI-Verordnung, die ein bisschen mehr Klarheit vielleicht schafft, aber eigentlich ist noch, wenn ich das richtig verstehe, dann der Großteil, was und wie Einsatzmöglichkeiten und und Regulatorik angeht, ist noch völlig ungeklärt.

Lev: Ja, also, man muss dazu sehen, es ist ein neues, also das Rechts, die Rechtsgebiete erneuern sich nur insoweit, dass man wirklich die KI-Verordnung bekommt, noch einige weitere Verordnungen kommen hinzu. Im Grunde aber müssen wir uns in der Praxis anschauen, wie reagiert das geltende Recht auf KI im Allgemeinen. KI-Verordnung, muss man sich so vorstellen, regelt zunächst mal generell riskante KI-Systeme. Also, wie werden die aufgebaut, was muss man da machen, was muss man da umsetzen. Es bleibt aber das Thema Datenschutz-Grundverordnung, es bleibt das Thema Urheberrechtsgesetz und diese Gesetze wurden ja bisher noch gar nicht an das Thema KI angepasst. Auch die Gerichte haben noch relativ wenige Entscheidungen zu dem Thema getroffen. In soweit unbekannte Gewässer, weil wir haben zwar eine neue KI-Verordnung, die bringt Klarheit in bestimmten Bereichen, reguliert aber auch sehr viel, und wir haben aber die ganzen alten Rechtsordnungen, die bisher, wo wir noch gar nicht so genau wissen, wie werden die angewendet werden auf dieses neue Feld, Themenfeld.

Robin: Also das heißt, es gibt jetzt aktuell auch noch keine neue Rechtsprechung dazu, es gibt jetzt nicht irgendwie laufende Verfahren, die man irgendwie schon mal im Blick behalten sollte, weil sie direkt eine Konsequenz dann auch haben könnten für alle.

Lev: Doch, doch, diese Verfahren gibt es natürlich. Also, gerade beim Thema Trainingsdaten ist das ein Thema, bei dem es schon viele Verfahren gibt. Also es gibt ein Urteil des LG Hamburg, was darüber entschieden hat, ob man z.B. Bilder aus bestimmten Datenbanken für Trainingszwecke von KI einsetzen darf. Es gibt ein laufendes Verfahren der GEMA beim Landgericht München, die genau das Gleiche, also sowas Ähnliches praktisch anprangert gegenüber OpenAI, nämlich, dass die ihre lizenzierte Musik unzulässigerweise für Trainingszwecke eingesetzt haben. In New York haben wir entsprechende Fälle. Wir haben auch ein schönes Urteil eines des Landgerichts Kiel zum Thema KI-Haftung. Also wann hafte ich eigentlich, wenn ich KI-generierte Inhalte veröffentliche? Es gibt durchaus Urteile. Die sind alle noch nicht der Weisheit letzter Schluss. Das sind Landgerichtsurteile bzw. bei der GEMA hat’s gerade erst angefangen. Bei der GEMA ist das Schöne, die werden es wahrscheinlich bis zum BGH treiben, das heißt, wir werden da wahrscheinlich eine verbindliche Rechtsauskunft bekommen von denen, mehr oder weniger, aber bisher ist es so, es gibt einige Landgerichtsurteile, die gewisse Tendenzen zeigen, aber man kann noch nicht sagen, ob das genauso bleiben wird und in welche Richtung sich das entwickelt, weil Landgerichte sind sehr unterschiedlich in ihren Traditionen, auch in ihren Auslegungen, wie bürgerfreundlich, wie wirtschaftsfreundlich, das gibt da durchaus unterschiedliche Richter und auch Kammern und da wird, das wird man beobachten müssen.

Robin: Okay, dann gehen wir da gar nicht mal tiefer in die aktuelle Rechtsprechung rein, weil, so wie ich es verstehe, da passiert noch eine ganze Menge und bis wir da wirklich Klarheit haben und bis halt eben auch dann die Anwendung von jetzt schon bestehenden Gesetzen dann halt eben genutzt wird für KI-Fälle, das beobachten wir dann einfach mal schön entspannt von der Seitenlinie, also wir zumindest. Und gehen wir doch lieber mal ins Operative rein. Also wir haben jetzt die Führungsperspektive, das heißt, ich muss meine Leute sensibilisieren, ich muss mir am besten auch unterschreiben lassen bzw. durch Trainings, dass sie halt eben da keinen Mist machen auf gut Deutsch. Dann gucken wir doch mal, was könnte denn, was sind denn so diese Fallstricke, was ist denn die so typische Fälle, wo man sagt, ah, das war jetzt nicht so ein Geniestreich, also sowas wie, ich habe jetzt mal unsere kompletten CRM-Daten bei ChatGPT hochgeladen. Also sowas in die Richtung. Was siehst du da an Fällen, wo Unternehmen und Mitarbeitende hochgradig sensibel sein sollten?

Lev: Ja, genau die Fälle, die du schon genannt hast. Gibt es für mich so zwei Fallgruppen, die man berücksichtigen sollte. Das eine Thema ist, was gibt man in so eine KI ein und was bekommt man aus der KI wieder raus. Was gibt man in eine KI ein? Das sind genau die Themen, die du gerade genannt hast. Ich lade jetzt einfach mal eine Liste von Kundendaten bei ChatGPT hoch und guck mal, was ChatGPT mir zu den Leuten so erzählen kann. Oder ich lade da meine Gehaltsdaten hoch oder Mitarbeiterdaten hoch oder irgendwelche minderjährigen Daten, die aus welchen Gründen auch immer bei mir im System liegen. Das sind alles so, das sind, das sind No-Gos. Also No-Gos, wohlgemerkt so lange, bis der Arbeitgeber dafür eine klare Richtlinie hat. Das kann ja durchaus sein, dass der Arbeitgeber bestimmte Richtlinien aufgestellt hat oder eine KI für sich selber so customized hat, dass er der Auffassung ist, ja, diese Daten dürfen da eingegeben werden. Dann kann man als Mitarbeiter die logischerweise eingeben. Solange der Arbeitgeber dazu nichts gesagt hat, also der Unternehmer selbst, sollte man auf keinen Fall sensible Daten eingeben. Also hier auch gesunden Menschenverstand einschalten. Man stelle sich vor, man hat einen neuen Mitarbeiter. Und der neue Mitarbeiter ist jetzt den zweiten Tag da, der hat seine Probezeit und man würde dem ja jetzt auch nicht alle vertraulichen Informationen des Unternehmens sofort auf den Tisch packen und sagen, du, guck dir das Ganze mal an, da steht der Kopierer, den darfst du zwar nicht benutzen, aber ich verlasse jetzt mal den Raum und guck mal, was passiert. Also würde man ja auch nicht machen, ist natürlich ein überzogenes Beispiel, läuft aber darauf hinaus. Immer sich tatsächlich Gedanken machen, was sollte eine KI sinnvollerweise wissen? Und da wir im Moment selber recht wenig über KI wissen, auch gerade OpenAI, wie nutzen sie die Daten, sollte man immer darauf achten, da nur Daten reinzugeben, von dem man nicht, von dem man, sagen wir mal, sich sicher ist, dass es kein Problem ist, wenn die KI oder der KI-Anbieter die kennt. Also der Input ist, glaube ich, wichtig. Und der zweite Punkt, der Output. Also hier ist auch wieder ein bisschen diese Managementkompetenz gefragt. Man muss die Mitarbeiter in die Lage versetzen zu verstehen, was KI ist und was KI kann und was KI auch nicht kann. Also jeder Mitarbeiter sollte wissen, wenn man eine KI, eine Textgenerierungs-KI beispielsweise was eingibt, kann die fabulieren. Das kann sich wunderbar realistisch anhören, was die schreiben, aber im Endeffekt ist es schlicht falsch. Und das muss man auch wissen. Und auch hier gucken, der Output, der daraus generiert wird, wofür wird der verwendet? Ist das jetzt ein schöner, blumiger Einleitungstext für irgendeinen internen Bericht, der dann im Schrank verschwindet, den keiner liest? Kann man vielleicht machen. Ist das eine Pressemitteilung? Ist das vielleicht eine Abmahnung für einen Mitarbeiter? Ist das vielleicht irgendwas anderes, was an die Öffentlichkeit kommt oder ein Social-Media-Post, der auch einen Shitstorm schnell auslösen kann? Da sollte man dann generell gucken und genauer hinschauen, was wirft die KI aus. Also bottom line, gucken, was, was gibt man rein und gucken, was macht man mit dem Output. Das sind so die beiden wichtigsten Punkte aus meiner Sicht.

Robin: Also das heißt, die rechtliche Komponente, ich glaube, die wird noch zu, bei mir zumindest zu wenig aufgetaucht noch ist tatsächlich dieses, was mache ich mit dem Output? Das heißt, wenn ich da halt eben sage, Sachen dann veröffentliche, die die KI geschrieben hat, gehe ich ja vermutlich dann auch mit in die Haftung, wenn da halt eben tatsächlich eine Halluzination von der KI vorlag.

Lev: Korrekt. Da gibt es auch tatsächlich ein schönes Urteil vom Landgericht Kiel zu, ein folgerichtiges Urteil aus meiner Sicht, indem es genau darum ging. Das war ein Plattformbetreiber, der hat Unternehmensinformationen veröffentlicht, also wann wurde es gegründet, wer sind die Geschäftsführer, wann ist es insolvent gegangen. Und da hat der Plattformbetreiber eine Information über einen Unternehmer veröffentlicht und gesagt, der ist jetzt insolvent oder die Gesellschaft befindet sich in der Abwicklung. Das war aber leider ein Fehler, eine fehlerhafte Analyse der KI. Die hat sich das Handelsregister genommen und da einfach was verwechselt, also irgendwelche Nummern verwechselt und deswegen kam da dieser Output raus und der Unternehmer hat logischerweise dagegen geklagt, weil er fand das nicht gut, dass er dafür insolvent erklärt wird, obwohl es nicht ist. Kann man verstehen. Und hat auf Unterlassung geklagt und auf Ersatz der Anwaltskosten und hat Recht bekommen. Also das Unternehmen musste eine Unterlassungserklärung abgeben, musste die Anwaltskosten von knapp, in dem Fall war es für dieses Unternehmen wahrscheinlich nicht so viel, 1000 € zahlen, aber da merkt man schon sozusagen, man kann jetzt nicht einfach sagen, hey, das ist schön, wir haften da nicht für, die KI hat da irgendwas generiert und ja, schön, wie gesagt, wir wissen gar nicht, was da passiert ist. Also sprich, da wird’s auch Haftungsfälle zu geben. Das war jetzt so einer der ersten, auch tatsächlich in der Rechtswelt relativ laut geworden, vor kurzem übrigens erst.

Robin: Das heißt, das Thema, du hast es angesprochen, gesunder Menschenverstand, also die KI entbindet uns nicht davon.

Lev: Leider nicht. Leider noch nicht.

Robin: Noch nicht. So, du hast jetzt gerade auch schon angesprochen, also was bei uns natürlich super spannend ist aus einer Marketing-Perspektive ist halt das Verwenden von Kundendaten immer, in jeglicher Form, weil die ja für Kampagnen, für Targeting wertvoll sind, die Auswertung von Kundendaten, also dass ich irgendwie Kundenkohorten bilden kann, dass ich daraus Ableitungen treffen kann, welche Kunden sind eigentlich meine Zielkunden etc. Dafür muss ich ja meine CRM-Daten bestmöglich dann auch irgendwie auswerten. Jetzt hast du schon angeschnitten, also ja, bei ChatGPT einfach pauschal hochladen, das ist dann vielleicht kein Geniestreich. Vielleicht ist es aber möglich in einem, sage ich mal, customized GPT, sowas dann zu machen. Wie kann ich da vorgehen, was muss ich berücksichtigen?

Lev: Also wichtig ist folgendes: Sobald man personenbezogene Daten analysiert werden, das ist jetzt KI-unabhängig, das war vor KI schon genau das Gleiche, wenn wir mit Google Analytics unsere Daten analysiert haben von unseren Webseitenbesuchern, waren wir auch in einem Bereich, den man, sagen wir mal, mit sehr, sehr viel Wohlwollen im Endeffekt auch als KI bezeichnen kann. Das wurde bloß nie so bezeichnet, weil der Begriff vor ChatGPT mehr oder weniger verpönt war. Am besten ist es tatsächlich, man anonymisiert die Daten vorher. Also es machen tatsächlich auch viele meiner Kunden, gerade für große Kundenprojekte, also im wissenschaftlichen Bereich habe ich das sehr viel oder bei großen Marketingprojekten, wo man einfach eine große Menge von Daten nimmt, die vorweg anonymisiert, also die anonymisierten Parameter entfernt und die Daten erst dann auswertet. Das ist natürlich das perfekte, was man machen kann. Also das ist das Beste, was man machen kann, weil wenn da keine personenbezogenen Daten da sind, greift die Datenschutz-Grundverordnung nicht und man kann mit den Daten sehr viel machen. Also dann, dann greift einfach sozusagen das strengste Regularium nicht. Das empfehle ich immer, dass man das zunächst mal prüft. Ist es vielleicht möglich tatsächlich? Also, wie sind die Daten strukturiert, die man hat und ist es dann vielleicht möglich, die auch zu anonymisieren. Wenn das nicht möglich ist, dann gibt es halt verschiedene Wege, die man gehen kann. Also der gängigste und wahrscheinlich der häufigste, auch der, den ich am häufigsten empfehle, ist tatsächlich, informiert die Kunden vorab und holt eine Einwilligung für das Thema ein. Also sprich, holt eine Einwilligung dafür ein, dass die Daten entsprechend analysiert werden dürfen. Jetzt höre ich schon den Gegeneinwand, das ist aber nicht immer möglich, weil wir wollen ja auch vergangenheitsbezogen, retrospektiv haben wir sowieso super viele Daten schon gesammelt, möchten die jetzt auswerten. Dann ist es tatsächlich so, kann ich nur empfehlen, mit dem Datenschutzbeauftragten zusammenzusetzen, der wird vermutlich erstmal nein sagen in vielen Fällen, und dann mit einem Rechtsanwalt zusammensetzen und sich überlegen, wie kann man es vielleicht doch machen, weil es geht nicht in jedem Fall, aber es gibt durchaus Konstellationen bzw. auch Settings, in dem man das machen kann. Da hängt dann ein Rattenschwanz mit dran, also man muss dann Datenschutzfolgenabschätzung machen, man muss sich überlegen, macht man vielleicht ein geschlossenes System, in dem man das Ganze auswertet, anonymisiert man die Daten möglichst schnell nach der Analyse und schießt die vielleicht wirklich nur sehr kurzzeitig in die KI, löscht die auch wieder raus, wenn man natürlich sicherstellen kann, dass die KI dann nichts damit macht. Also es gibt da durchaus viele, viele verschiedene, würde ich mal sagen, Settings, in denen man das machen kann, mit einem Restrisiko wohlgemerkt. Also es ist eine Sache, da kann kein Rechtswissenschaftler die Hand für uns Feuer legen, dass bei einer Prüfung durch eine Datenschutzbehörde oder ähnliches, das tatsächlich akzeptiert wird, aber je nach Wichtigkeit, je auch nach Finanzstärke und je nach Relevanz des Projekts kann und sollte man das machen. Also so in der, in der Gemengelage befinden wir uns. Du siehst jetzt gerade Grauzone, ich kann es nicht genau beantworten, typische Juristen Antwort, es kommt drauf an.

Robin: Okay, also das heißt, wer hundertprozentige Sicherheit haben will, sollte einfach nicht mit Daten arbeiten oder person-

Lev: Personenbezogenen wohlgemerkt, also Daten schon, aber da sollte halt nirgendwo dein oder mein Name da mit dranstehen oder irgendwelche Sozialversicherungsnummern, mit dem man uns identifizieren kann.

Robin: Okay, so und ansonsten, genau, die rechtlichen Konsequenzen grob abwägen auch gegenüber dem wirtschaftlichen Vorteil, den man vielleicht dann davon hat und dann auf der Basis dann doch auch entscheiden und das Restrisiko halt eben entsprechend dann so ein bisschen austarieren.

Lev: Korrekt, machen auch viele tatsächlich. Also ich hatte es auch, dass ich mal so Erstberatung mit Kunden hatte, die dann relativ klein waren, so eine Stunde Erstberatung oder was ähnliches am Telefon, wo ich den Kunden das erklärt habe, was ich dir gerade auch erklärt habe, was man da so alles tun muss und was der Kunde so alles tun müsste und der Kunde dann gesagt hat, naja, Herr Lexow, ist alles schön, ich habe das Gefühl, das Risiko, dass ich erwischt werde, ist recht klein, ich mache es jetzt trotzdem, ich melde mich bei Ihnen, wenn es was braucht. Auch okay, kann ich mit arbeiten, aber das ist halt genau das, wo man sich bewegt. Es gibt Leute, die sind Risiko-affin, es gibt Leute, die können nachts nicht schlafen, wenn sie das Gefühl haben, sie verstoßen gegen die DSGVO. Das sollte man alles berücksichtigen auch.

Robin: Okay, kein Kläger, da kein Richter.

Lev: Genauso.

Robin: Gefällt mir gut. So, du hattest jetzt auch gesagt, das Thema Einwilligung abholen, macht es Sinn, dass jetzt auch Datenschutzbestimmungen auf der Webseite dann entsprechend angepasst werden, dass ich mir da halt eben auch schon direkt die Einwilligung mit abhole, dass ich die Daten per KI analysieren kann oder ist das durch bestehende Datenschutzregulierungen, oder Datenschutzbestimmungen auf der Webseite schon oft mit abgedeckt?

Lev: Das sollte man durchaus machen. Also es gibt, es gibt ja ein zweiteiliges System. Zum einen sollte man natürlich in der Datenschutzerklärung konkret darüber informieren, was macht man mit den Daten, also man setzt jetzt Tool ABC ein, um Daten zu analysieren, Kundendaten. Zum einen das Thema Einwilligung, was mit das, sagen wir mal, einfachste ist, was man machen kann, dass man beispielsweise über ein Cookie-Banner eine Einwilligung einholt. Also es geht nicht in der Datenschutzerklärung, man kann es nicht in der Datenschutzerklärung sagen, hey, ihr habt jetzt hier mit eingewilligt, dass wir eure Daten verarbeiten, das muss man schon aktiv machen über ein Cookie-Banner. Man muss sich immer ein bisschen überlegen, wie das in der Praxis aussieht, weil in der Praxis muss ein Kunde seine Datenschut, seine Einwilligung auch jederzeit widerrufen können. Und da muss man sich fragen, was für eine KI setzt man ein. Also wenn man irgendwas innerhalb von Google einsetzt, wo alles automatisiert abläuft und der Kunde willigt ein, man analysiert den Kunden, der Kunde widerruft seine Einwilligung, Google hört halt auf mit der Anonymisierung des Kunden, weil es dafür die Technologie hat. Funktioniert das. Wenn man die, wenn man aber natürlich personenbezogene Daten nimmt, die man in ein Drittsystem überträgt, da muss man sich auch überlegen, wie kann man dann solche Einwilligungen wieder transferieren und synchronisieren. Aber grundsätzlich, zweiklang, Einwilligung aktiv über Cookie-Banner oder in vergleichbarer Weise mit Checkbox und dann die Information in der Datenschutzerklärung, das ist das Entscheidende.

Robin: Und dann dann ist natürlich die Frage, wie finde ich heraus, bei welchem System, wie mit den Daten umgegangen wird. Also, was macht Google da, was macht ChatGPT da? Wem kann ich jetzt meine Daten geben, wem nicht? Wie kann ich sowas rausfinden?

Lev: Faktisch überhaupt nicht. Also, man kann da nicht reingucken. Das ist, was, was Google und Co geben natürlich, die geben natürlich Informationen darüber raus, wie die mit personenbezogenen Daten arbeiten. Das machen die in der Regel immer im Rahmen von Auftragsverarbeitungsverträgen, also sprich diese klassischen AV-Verträge, von denen vielleicht einige schon mal was gehört haben. Da steht ein bisschen was drin, wie werden die Daten gesichert, wo gehen die hin, was passiert grob mit den Daten. Viel mehr wird man vermutlich aber nicht mehr rausfinden können. Das heißt, im Endeffekt muss man es einfach gucken, kann man sich auf den Anbieter halbwegs verlassen. Also, wenn man z.B. ein Unternehmen wie Google nimmt, man weiß, Google ist durchaus kritisch, was den Umgang mit Daten angeht. Man weiß aber auch, es wird von Millionen von Menschen und Unternehmen eingesetzt. Also ist das Risiko beim Einsatz von Google somit mittel bis niedrig. Wenn man sich natürlich einen Anbieter nimmt, den man nicht kennt, kleines Unternehmen, von dem man vielleicht noch nie was gehört hat, ein Anbieter aus den USA, auch immer ein Thema, also gucken, ist der Anbieter aus der Europäischen Union, ist der Anbieter nicht aus der Europäischen Union, weil dann wird es wieder unsicher datenschutzrechtlich. Das sind so Aspekte, die man die man berücksichtigen könnte. Also, sitzen die in Deutschland, EU oder Drittstaaten, ist es ein großes bekanntes Unternehmen, haben die entsprechende AV-Verträge vorrätig, stehen da Sachen drin? Auf die Weise kann man es bewerten. Hundertprozentige Sicherheit hat man da an der Stelle nicht. Also, es gibt doch Urteile, wo Unternehmen, das ist aber sehr vereinzelt, tatsächlich dann zur Verantwortung gezogen wurden dafür, was die für Unternehmen eingesetzt haben, also was für Subdienstleister die eingesetzt haben. Das passiert natürlich, es kann passieren, aber das ist nicht die Regel. Und wenn man, sagen wir mal, die Sorgfalt eines ordentlichen Kaufmanns, sagt man immer im Recht, einsetzt, mehr kann man eigentlich nicht machen.

Robin: Okay. Und da hattest du auch schon das Thema angesprochen, Customized GPT aufzubauen, um da halt eben mehr Hoheit dann auch selber zu haben. Kannst du da ein bisschen mehr Kontext geben? Wie sind so deine Erfahrungen, Wert halt eben auch, worauf muss man da achten, welche Anbieter kann man nehmen? Kannst du da vielleicht Namen nennen, so damit man ein bisschen mehr Orientierung jetzt für die Hörerinnen und Hörer hat?

Lev: Namen wird relativ schwierig, weil tatsächlich, ich sag mal so, es werden ja verschiedene KI-Systeme eingesetzt, die in verschiedenen Tools laufen. Also Microsoft hat sein Copilot, in Salesforce werden entsprechende Tools eingesetzt, ChatGPT selbst bzw. auch die verschiedenen Unternehmen, die ChatGPT im Hintergrund einsetzen. Vieles von dem, was wir heute als KI verstehen oder was auch als KI verkauft wird, ist ja im Hintergrund ChatGPT. Das heißt, man würde im Endeffekt gucken müssen, wie ist das Design des Unternehmens, das dieses ChatGPT einsetzt oder was dieses, was die entsprechende KI einsetzt. Beispiel Salesforce ist ein großes Unternehmen, hat sich immer relativ viel um Datenschutz gekümmert, ist aus meiner Sicht gut einsetzbar, gerade sozusagen den Kreislauf von dem musste ich kürzlich erst prüfen. Das ist, das ist ein gut einsetzbares Tool. Das ist das eine. Was eigenständige Prompts angeht bzw. diese ganzen Customized GPT, man muss halt darauf achten, dass man auch hier wieder die datenschutzrechtlichen Aspekte berücksichtigt. Also schaut, wo werden da personenbezogene Daten in dem Prozess verarbeitet und am besten, dass die möglichst sparsam verarbeitet werden, also es ist gerade der Personenbezug möglichst minimiert wird. Worauf man künftig wird achten müssen, in der KI-Verordnung gibt es eine Klausel, die faktisch andeutet, dass wenn man beispielsweise jetzt von ChatGPT ausgeht, da kann man ja auch selber sozusagen Customized Prompts für sich selber eingeben, dass man eventuell dann sozusagen als Betreiber oder als Anbieter einer KI, also als Entwickler praktisch einer KI eingestuft wird und dementsprechend auch erhöhte Pflichten hat, was diese konkreten Customized Prompts angeht. Also, ist wie gesagt erstmal nur eine Andeutung in der KI-Verordnung, wird man noch gucken müssen, wohin sich das entwickelt, aber das Wichtige ist, glaube ich, dass man zu jeder Zeit nachvollziehen kann, was setzt man worum im Unternehmen ein. Das ist, glaube ich, das Entscheidende. Und ansonsten auf verlässliche Unternehmen setzen. Im Hintergrund nutzen die meisten zwei, drei, die zwei, drei selben Technologien, die jetzt gerade groß geworden sind.

Robin: Und auch da dann wieder möglichst mit anonymisierten Daten zu arbeiten, um einfach Risikominimierung zu betreiben.

Lev: Wenn es möglich ist, immer, ja.

Robin: So, und jetzt haben wir die KI-Verordnung angesprochen und dann gibt’s, wenn ich das richtig verstanden habe, von der EU auch noch den AI Act, der da auf uns zukommt. Was steckt dahinter oder stimmt das überhaupt so?

Lev: Das stimmt so, aber das sind beides die, die, die gleichen Verordnungen. Also der AI Act ist der Artificial Intelligence Act und die KI-Verordnung ist die deutsche Übersetzung, die künstliche Intelligenz-Verordnung. Also beides das Gleiche. Es kommt tatsächlich einiges auf uns zu. Die KI-Verordnung wird im Endeffekt vor allem das Thema KI-Technologien als solches regulieren. Also es geht auch ein bisschen um den Output, aber in der Regel geht es darum, dass die KI-Verordnung besonders riskante KI-Technologien, also, man muss dazu sagen, der Gesetzgeber geht davon aus, dass KI relativ kritisch ist und relativ gefährlich sein kann. Und die KI-Verordnung möchte genau das regulieren. Also je, je riskanter die KI, die man einsetzt, also je riskanter das, was sie tut, desto höher sind die Anforderungen der KI-Verordnung bis hin zum Verbot. Also es gibt bestimmte Verordnungen, KI-Systeme, z.B. Social Scoring Systeme, die jetzt beispielsweise in China eingesetzt werden, die sind in Deutschland schlicht verboten bzw. nach der KI-Verordnung in der Europäischen Union verboten.

Robin: Und dann machen wir mal eine wirtschaftliche Perspektive da drauf. Du bist ja nicht nur Rechtsanwalt und Datenschutzbeauftragter, sondern auch Unternehmer. Wie, wie schaust du da drauf, dass da kommt eine neue Technologie und das erste, was dann Deutschland und die EU machen, ist erstmal eine Regulierung da drüber zu stülpen, bevor man das System überhaupt so erst richtig in die Anwendung bringt. Was hältst du da eigentlich so persönlich von?

Lev: Ja, jetzt wird es ein bisschen politisch. Genau. Ja, also, ich sag mal so, wir haben natürlich die unternehmerische Perspektive, wo ich zu dem Thema wunderbar beraten kann und auch beraten werde. Persönlich ist es so, dass ich es teilweise ein bisschen schwierig finde, dass wir Bereiche regulieren, in denen wir als EU überhaupt nichts mitzureden haben. Also stand jetzt ist es so, in der Europäischen Union haben wir nicht die großen Player im Bereich KI und wir sind auch nicht die großen Player im Bereich KI. Ich hoffe, wir werden es. Also das hoffe ich wirklich inständig. Ich glaube, der Zug dafür ist auch noch nicht ganz abgefahren, da bin ich ganz optimistisch. Ich glaube aber tatsächlich, dass wir hier, wie gesagt, vielleicht ein bisschen übers Ziel hinausschießen, auch verbunden ein bisschen mit der deutschen und europäischen Mentalität, dass man ungern Risiken eingeht. Also, vielleicht wäre so eine KI-Verordnung in den USA mit American Dream ganz anders aufgefasst worden, die hätten gesagt, ja ja, klar, ich stehe jetzt zwar mit einem Bein im Knast, aber ist mir völlig egal, ich mache es trotzdem, weil ich damit Geld verdienen kann. In Deutschland ist man dann natürlich einfach kritischer aufgestellt. Auch durchaus, ist ja auch durchaus eine positive Eigenschaft, aber ich sag mal so, es könnte passieren, dass das Ganche die KI-Entwicklung ein bisschen ausbremst. Wir sehen das im Bereich Datenschutz-Grundverordnung, wo die, wo die Datenschutz-Grundverordnung das Thema Big Data bei Medizin ausbremst. Nicht, weil die Datenschutz-Grundverordnung das nicht zulässt, sondern weil die Leute natürlich diese Regularien nicht überblicken können und daher auch nicht wissen, wie sie die legal machen können. Und deswegen sehe ich das auf der einen Seite nachvollziehbar, also auf der einen Seite nachvollziehbar vor dem Aspekt, was wollen wir eigentlich sozusagen für eine Gesellschaft sein, auf der anderen Seite auch kritisch, weil wir vielleicht hier wieder mal eine etwas überschießende Verordnung erlassen haben. Gar nicht so sehr inhaltlich, sondern eher, man hätte vielleicht mal gucken können, was, wie entwickelt sich das Ganze noch.

Robin: So, jetzt haben wir in erster Linie auch das Thema Datenschutz angesprochen. Beim Thema Urheberrecht sind wir noch ein bisschen so an der an der Oberfläche geblieben. Da sehe ich halt eben auch, dass, dass, das natürlich für viele Unternehmen ein kritisches Thema ist. Also wenn ich da irgendwie meine eigenen Markenelemente schützen will, wenn ich irgendwie beim Thema GEMA eigene Musik, eigene Songs irgendwie schützen will, eigene Bilder, Grafikwelten etc., die ich kreiert habe. So, wo, wie, wie ist da die Rechtslage eigentlich, was das Thema Urheberrecht angeht?

Lev: Das ist in Deutschland ein sehr spannender Punkt, weil in Deutschland haben wir das Urheberrechtsgesetz, das schützt persönliche geistige Schöpfung, also menschliche geistige Schöpfung. Das heißt, wenn ich selber als Mensch irgendein kreatives Werk vollbracht habe, ist das erstmal urheberrechtlich geschützt. Das ist mein Werk, egal ob das jetzt das Foto ist, was ich da gemacht habe, das Gedicht, was ich erstellt habe, oder ein Bild, was ich gesketcht habe oder entworfen habe auf dem Computer. Wenn natürlich eine KI erstmal etwas erstellt, ist das nicht geschützt, zumindest nach herrschender Meinung nicht, weil es ja kein menschliches Werk. Das hat irgendeine Maschine geschaffen, das haben irgendwelche Algorithmen geschaffen. Das heißt, in Deutschland per se nicht geschützt. Gibt auch durchaus Rechtsordnungen, in denen das ein bisschen anders ist, beispielsweise in Großbritannien ist das anders, aber in Deutschland ist das genauso. Wenn man jetzt diese Werke schützen möchte, dann kann man mehrere Dinge tun. Das Wichtigste ist, man sollte wieder das KI-Werk nicht einfach so übernehmen, sondern im Idealfall passt man das für sich an. Also sprich, man legt da irgendeine eigene kreative Leistung in das Thema rein. Das kann, das macht auch Sinn, weil man dadurch auch, sagen wir mal, ein bisschen vermeiden kann, dass man eventuell Urheberrechte von Dritten verletzt, indem die das KI-Werk einfach dem zu ähnlich ist, was es schon gibt. Das ist der eine Punkt. Möglich sind auch Marken- oder Designanmeldungen. Da muss man ein bisschen aufpassen, was auch die Nutzungsbedingungen der jeweiligen KI sagen. Also, ob die das zulassen, darf man so den Output z.B. als Marke anmelden. Viele Nutzungsbedingungen werden das vermutlich verhindern. Und man muss sich einfach die Frage stellen, wie wichtig ist dieser Schutz eigentlich? Den Aspekt darf man auch nicht übersehen. Natürlich kann man KI-generierte Werke im Marketing einsetzen und wir nehmen jetzt zwei extrem Beispiele. Ich erstelle ein Logo für meinen Kunden. Das sollte bitte geschützt sein. Also sollte kein, der Kunde möchte sich mit dem Logo im Markt abgrenzen. Es ist, muss geschützt sein, weil anderenfalls kann jedes andere Unternehmen sich das auch auf seine Produkte pappen und dann bringt das Logo gar nichts. Also muss initial sein. Nehmen wir mal das andere Thema, Black Friday steht vor der Tür. Wenn ich für Black Friday eine Kampagne entwickle mit einer KI, die dann nicht geschützt ist, die dann aber vier, fünf Tage läuft. Naja, was soll groß passieren? Die kann natürlich auch jemand kopieren in der Zeit, wie groß ist das Risiko, vermutlich nicht allzu groß. Also, da kann man durchaus auch mal aus meiner Sicht mit einem ungeschützten Werk in die Welt gehen. Es kommt halt wirklich drauf an, wofür man es verwenden möchte.

Robin: Und das heißt, wenn ich dann hingehe und sage, ich lasse von der KI z.B. ein neues Logo für ein Produkt von mir entwickeln, gehe dann hin, passe das in bestimmten Maße an, dann kann ich es schützen lassen. Wenn ich das eins zu eins von aus der KI übernehme und schützen lassen will, kann es sein, dass das durch die AGBs quasi des KI-Anbieters unterbunden wird.

Lev: Theoretisch ja. Also, ich, ich muss dazu auch sagen, ich kenne keine einschlägigen AGB, bei denen das so ist. Habe die aber auch in der in dem Hinblick nicht genug studiert, um das zu wissen, aber ich kann mir das gut vorstellen, dass die sich da bestimmte Nutzungsrechte einräumen bzw. bestimmte Nutzungsrechte auch unterbinden und das sollte man immer prüfen für jedes KI-Angebot.

Robin: So, und das heißt aus einer, so, wir sind eine Agentur, wir machen, nutzen natürlich auch KI, um Inhalte, Grafiken vorbereiten zu lassen, Text-Ideen entwickeln zu lassen für Kampagnen, um die dann halt eben auch entsprechend, ich nenne jetzt, also wir, wir nehmen, soweit ich weiß, bisher nicht eins zu eins den Output der KI und machen das als Input für Kampagnen, weil dafür ist der Output meistens auch einfach nicht gut genug. Aber wie ist da die rechtliche Lage dann auch entsprechend für in der Zusammenarbeit von Agenturen und Kunden, auch was die Haftung angeht?

Lev: Zwei Aspekte. Also zum einen muss man sich überlegen, je nachdem wie stark man das Werk bearbeitet hat, kann man daran Nutzungsrechte übertragen oder auch nicht. Also z.B. wenn man wirklich ein KI-Output eins zu eins übernimmt oder da zwei, drei Punkte und Kommas ändert, dann ist es ja immer noch kein urheberrechtlich geschütztes Werk, weil es muss ja eine signifikante kreative Leistung sein. Das heißt, man muss, man kann eventuell gar keine Urheberrechte an dem Werk übertragen, also auch keine Nutzungsrechte übertragen. Der Kunde kann es trotzdem nutzen, man kann aber nichts daran übertragen. Und hier muss man sich die Frage stellen, ist das ein Problem? Kommuniziert man das auch mit dem Kunden? Also das ist so ein bisschen immer die Frage, die man sich stellen muss. Vermutlich würde ich schon machen, weil die Kunden kennen das, die Kunden erwarten das auch ein Stück weit. Und im Endeffekt ist es dann so, man kommuniziert das mit dem Kunden, man muss sich dann überlegen, gibt’s irgendwelche Restriktionen, z.B. irgendwelche Upload-Filter bei YouTube oder Google, die jetzt mal angekündigt wurden seinerzeit für KI-generierte Inhalte. Das sind so Sachen, auf die man achten muss. Verwenden kann man die Inhalte, kommt auf für mich auf die Kommunikation den Einsatzzweck an. Haftung, hier ist es relativ einfach. Also, wenn man ein Output an den Kunden verkauft und wird von dem Kunden dafür bezahlt, dann haftet man dafür. Das, da gibt’s auch keine Beschränkung, man kann sich da auch nicht exkulpieren, indem man KI einsetzt. Also, indem man sagt, man setzt KI ein. Man kann den Leistungsgegenstand allenfalls begrenzen und sagen, also, was auf, wir generieren dir hier jetzt jeden Tag 400 Outputs und du weißt, dass es nicht Menschen generiert und wir gehen jetzt davon aus, dass die KI vernünftig arbeitet, wir haften aber wirklich nur ganz minimal für ABC. Da gibt’s vertragliche Konstellationen, wie man das machen kann, also indem man das begrenzt, aber grundsätzlich, wenn man etwas an den Kunden verkauft und dafür Geld bekommt, haftet man dafür.

Robin: Okay, also da, wenn ich das dann jetzt richtig weiterführe gedanklich, heißt das in erster Linie, das, was wir eh schon machen, ist eine klare Kommunikation mit den Kunden, wo setzen wir KI ein, was, so, wir prüfen den Output, bevor er dann halt eben auch in eine Kampagne mit reingeht, um da halt eben dann entsprechend auch in erster Linie mal ein transparentes Verhalten auch zu haben, weil intransparent und wir machen KI-Kram und sagen dem Kunden, wir hätten selber kreiert, ist grundsätzlich A moralisch und B so in der Zusammenarbeit halt nicht, nicht unbedingt förderlich. Und dann auch entsprechend verstehe ich das richtig, dass du sagst, vertraglich regeln, was, wie wird KI eingesetzt in der Kundenzusammenarbeit oder sagst du, das, das ist gar nicht nötig.

Lev: Kommt auf die Konstellation an. Also erstens, ich sehe es genauso wie du, transparent machen, weil, sagen wir mal ganz ehrlich, die Kunden wissen doch, dass wir alle KI einsetzen in bestimmten Bereichen. Also Juristen vielleicht noch sehr eingeschränkt, weil der Output dafür zu schlecht ist, aber selbst in unserem Bereich geht das langsam los. Das heißt, Transparenz herstellen, ja, das ist ein wichtiger Aspekt. Und das andere, da kommt es ein bisschen darauf an. Also, ich würde tatsächlich immer gucken, dass man genau definiert, was man vertraglich eigentlich schuldet. Also was will man dem Kunden bereitstellen? Weil man kann, es gibt ja auf die eine Seite die Möglichkeit, die Haftung in AGB zu begrenzen, also dann macht man meistens so, begrenzt man die Haftung so weit, wie es geht. Was man aber häufig mal übersieht, es geht ja nicht nur um die Haftung, sondern es geht auch darum, was schulde ich eigentlich? Und das kann man schon definieren einmal über Allgemeine Geschäftsbedingungen, aber auch übers Angebot. Also auch im Angebot kann man ja genau hinschreiben, wir schulden ABC und machen in dem Kontext ABC, aber nicht mehr als das. Und auf die Weise kann man dann durchaus auch schon indirekt die Haftung begrenzen, indem man sagt, naja Moment, das war jetzt überhaupt nicht geschuldet. Jetzt mal ganz im Extrem gesprochen, dass wir jeden dieser 400 Outputs, den wir dir da pro Tag liefern, wirklich händisch prüfen, sondern wir sind geschuldet, dass wir sie dir liefern und das Risiko, was da drin steckt, das gehen wir gemeinsam ein. Ob das juristisch so trägt, wie gesagt, das ist jetzt einfach nur ein fiktives Beispiel, aber einfach um mal zu zeigen, dass es dann natürlich vertragliche Möglichkeiten gibt, um Dinge auch zu regeln, zu seinen Gunsten.

Robin: Okay, so, dann haben wir jetzt aus meiner Sicht eine ganze Menge hier an Themen schon durchdekliniert. Das Thema Haftung haben wir jetzt angerissen, wir haben Urheberrecht besprochen, wir haben Datenschutz besprochen. Gibt es noch einen wichtigen rechtlichen Punkt, den ich beim Einsatz von KI im Marketing auf dem Schirm haben muss oder sagst du so, wenn, wenn die besprochenen Punkte jetzt erstmal so sauber durchgespielt werden bei uns, dann kann man recht, einigermaßen rechtssicher KI sinnvoll im Marketing einsetzen. Oder gibt’s noch irgendwelche anderen Punkte, die wir da jetzt auf dem Schirm haben müssen?

Lev: Also grundsätzlich sind das die wesentlichen Punkte aus meiner Sicht. Das sind jetzt die Punkte, die wir, die vor allem nach außen gehen. Ich würde nach innen halt immer nachschauen, dass man ein vernünftiges KI-Management für sich aufbaut. Also sprich, dass man für sich selber weiß, wo setze ich KI ein, welche KI-Anwendungen setze ich ein, oder auch meine Mitarbeiter. Wie setze ich diese KI-Anwendungen ein? Und im Idealfall weiß man auch, welchen Output man mit welcher KI generiert hat. Ich weiß, das ist in der Dokumentation das schwierig, aber so ein bisschen dieses Management, auch dieses Risk Management, dass man eigentlich zu jedem Zeitpunkt sagen kann, wir stehen jetzt hier und das entspricht unserer Geschäftsstrategie und entspricht ihr halt auch eben nicht. Und ich glaube, dann ist man gerade in der jetzigen Phase auf der sicheren Seite. Wir sind, wir sind, wie gesagt, in einer neuen technischen Entwicklung, mit der daran anknüpfenden rechtlichen Entwicklung. Wenn man da seine Basis Hausaufgaben gemacht hat, steht man da wahrscheinlich schon besser da als 90 % seiner Konkurrenten und hat eventuell seine Ruhe oder hat in dem Fall seine Ruhe.

Robin: So, wunderbar. Ich fasse mal zusammen, was ich von Lev Lexow heute über das Thema KI und Recht im Marketing gelernt habe. Also, erster wichtigster Punkt: Man kann KI sauber einsetzen, ohne dass man sofort mit einem Bein im Knast steht. Fangen wir aber erstmal damit an, intern unsere Hausaufgaben zu machen. Das heißt, ein vernünftiges KI-Management aufzusetzen und zu gucken, was setze ich überhaupt ein, wer setzt was ein und was erwarte ich von den einzelnen Tools. Also da sich einfach diesen Überblick zu verschaffen und intern das Team entsprechend zu sensibilisieren, mit Schulungen vorzubereiten, sich gegebenenfalls halt eben dann auch unterschreiben zu lassen, dass die Leute halt auch da sich an meine Vorgaben, meine internen Vorgaben halten, damit ich hier erstmal auch diese Verbindlichkeit nach innen schaffe und die Leute einfach auch wissen, was sie tun sollen und dürfen und was entsprechend halt auch nicht. Denn wir sind rechtlich an einigen Stellen noch im Graubereich mit drin. Es gibt zwar erste Urteile, aber wie dann halt eben auch entsprechend Regulierungen wie die DSGVO dann im Bereich KI angewandt werden, das werden wir noch schauen und es gibt halt eben auch einige laufende Verfahren im Bereich der Nutzung von Trainingsdaten. Dementsprechend müssen wir uns da noch so ein bisschen gedulden und er hat ein schönes Wort da in den Mund genommen und zwar das Thema gesunder Menschenverstand. Und der ist halt eben da dann auch einfach wichtig und zu zu überlegen, was, was mache ich denn da und ist das denn jetzt sauber oder nicht. Da kann man, glaube ich, mit mit, ja, gesunden Menschenverstand schon eine ganze Menge machen. Wichtigster Punkt: Lad keine Daten hoch, die personenbezogen sind. Bester Weg ist, das Ganze zu anonymisieren, also mit anonymisierten Daten die KI zu füttern, um diese Daten dann entsprechend für Marketing-Maßnahmen dann auch einzusetzen. Wenn die Anonymisierung so nicht möglich ist aus welchen Gründen auch immer, dann halt eben entsprechend schauen, dass man das in einem geschützten Bereich macht, in einem Custom GPT von einem Anbieter, der möglichst dann halt eben auch entsprechend Serverstandort in der EU, kein US-Anbieter, reiner US-Anbieter, am besten auch einen namhaften und nicht irgendwie einen Startup, von dem man vorher noch nie was gehört hat, mit entsprechend sitzt in den USA, dann könnte das Ganze halt eben entsprechend auch kritisch werden. Bei allem, was du da machst, rechtlich wird es immer ein gewisses Restrisiko geben. Da ist dann halt eben entsprechend die Frage der Risikoabwägung, hol da den Datenschutzbeauftragten und am besten auch einen Juristen mit ins Boot. Datenschutzbeauftragte sind eher immer dagegen, es dann zu machen, Juristen dann häufiger vielleicht sogar dafür, weil sie halt eben bei den Konsequenzen daraus dann auch noch Vorteile rausziehen, sage ich mal freundlich formuliert. Und Datenschutzbeauftragte sind halt eher darauf geeicht, dass sie ihre Ruhe haben. Was ja auch völlig menschlich nachvollziehbar ist und wir wollen ja auch die Datenschutz, die Notwendigkeit des Datenschutzes ist ja auch gegeben und wir wollen halt eben auch nur da so ein bisschen auch gucken, dass wir die Grenzen ausgereizt kriegen, im moralisch vernünftigen Bereich, damit wir halt eben auch gutes Marketing machen können. Datenschutzerklärung anpassen, Consent einholen bei den Nutzerinnen und Nutzern, damit man mit den Daten arbeiten kann. Da halt eben auch entsprechend schauen, ob man da jetzt KI-orientierte Anpassungen machen kann. Und dann ist man zwar bei allem nicht rechtlich sicher, aber schon in einem vernünftigen Risikorahmen unterwegs und muss nicht einfach sagen, ja, wir können leider keinen KI-Kram machen, weil Datenschutz. So, das genau dieser Aussage, der wollte ich jetzt gerne irgendwie, sage ich mal, den Boden entziehen und bzw. Lev hat das wunderbar für mich übernommen. Dementsprechend, eigenes GPT aufsetzen kann da super hilfreich sein und da dann halt eben auch entsprechend gucken, dass man das rechtlich so gut es geht abklopft, denn die Anbieter lassen sich da natürlich nicht so sehr in die Karten schauen, wie wir das bräuchten, um zu wissen, was sie dann mit den Daten machen. Anderes wichtiges Thema oder Themen: Urheberrecht und Haftung. Und auch hier gucken, dass man mit gesundem Menschenverstand arbeitet. Das heißt, alles, was ihr im Netz veröffentlicht, wenn das Output eins zu eins von der KI übernommen wurde und die Sachen sind nicht richtig, dann haftet ihr dafür. Und halt eben dementsprechend auch ist das Thema Urheberrecht betroffen. Das heißt, wenn ihr Input eins zu eins aus der KI veröffentlicht, dann könnt ihr kein Urheberrecht daran erwerben. Dementsprechend, erstens, Output sorgfältig prüfen und zweitens, gegebenenfalls dann entsprechend menschlich anpassen, damit ihr halt eben auch rechtlich als Urheber dafür gelten solltet. Gilt auch insbesondere für die Zusammenarbeit von Agenturen und Kunden. Das heißt, auch als Agentur transparent sein in der Kommunikation, klar sagen, was macht ihr, wie geht ihr da vor, weil die Kunden gehen eh davon aus, dass ihr KI verwendet, dann könnt ihr es auch transparent machen und müsst nicht so tun, als wäre der Output von euch selber generiert. Und dann entsprechend halt eben auch in der Zusammenarbeit von Agenturen und Kunden, da das einmal schriftlich vielleicht auch klären, wie wird da vorgegangen, so dass da dann halt eben auch in Sachen Haftung und in Sachen auch, was ich immer sehr wichtig finde, Vertrauen, ja, keine Unklarheit besteht. So, das habe ich jetzt alles mitgenommen, das ist meine Kurzzusammenfassung. Wahrscheinlich habe ich ein paar Punkte vergessen, ist dir was Wichtiges aufgefallen?

Lev: Besser hätte ich es nicht sagen können, das war eine wunderbare Zusammenfassung dessen, was ich gesagt habe.

Robin: Wunderbar, das freut mich doch zu hören. Ich verlinke auch mal Materialien von euch, du hattest da ja auch gesagt, ihr habt auch schöne Vorlagen auf der Webseite, Checklisten waren es glaube ich auch mit. Packe ich einfach in die Shownotes mit rein, packe auch deinen LinkedIn Kontakt, Kontaktdaten mit rein, das heißt, wer da jetzt sagt, okay, der Herr hört sich durchaus kompetent an und da kann ich dann mal gucken, wie ich die Grenzen des Möglichen ausreize, dann einfach mit dir in Kontakt treten. Und dann würde ich sagen, machen wir für heute hier mal Schluss. Wenn es neue Urteile gibt, wenn es neue, ja, wichtige Dinge in diesem Kontext gibt, werde ich dich wieder ans Mikrofon zerren, damit wir da dann auch direkt das Update machen können.

Lev: Sehr gerne. Mich hat es sehr gefreut heute dabei zu sein. Spannende Fragen, hoffentlich auch spannende Antworten und ich glaube, da kommt noch einiges auf uns zu aus rechtlicher, aber auch als faktischer Sicht.

Robin: Ich fürchte auch, für dich wirtschaftlich glaube ich auch eine ganz schöne Geschichte, für alle anderen eine schöne Herausforderung. Ich danke dir für deine Zeit, für die kompetenten und unterhaltsamen Antworten. Es hat mir ein großes Fest gemacht und dann sage ich einfach mal bis zum nächsten Mal. Ciao, ciao.

Lev: Ciao, ciao. Danke auch.