Das Verarbeiten personenbezogener Daten zu Werbe- und Marketingzwecken ist in vielen Fällen nur mit vorheriger Einwilligung des Betroffenen zulässig, was für Unternehmen ein nicht unerhebliches Hindernis für die Vermarktung Ihrer Produkte und Dienstleistungen darstellt. Insbesondere die hohen Anforderungen an das wirksame Einholen einer Einwilligung von Verbrauchern ist nicht selten eine große Herausforderung, denn Fehler können schlimmstenfalls zu ihrer Unwirksamkeit und damit zu einem bußgeldbehafteten Datenschutzverstoß führen.
Von dem beschriebenen Grundsatz gibt es im Bereich des E-Mail-Marketings die sogenannte „Bestandskundenausnahme“, die in § 7 Abs. 3 UWG geregelt ist. In den engen Grenzen dieser Sondervorschrift ist es Unternehmen erlaubt, Werbe-Emails an ihre Kunden auch ohne vorherige Einwilligung zu senden.
OLG München: „Bestandskundenausnahme“ greift auch beim Anlegen eines kostenlosen Accounts
Genau mit dieser Ausnahme musste sich das OLG München in einem schon älteren, jedoch nach wie vor relevanten Urteil beschäftigten und darüber entscheiden, ob das Anlegen eines kostenlosen Accounts auf einer Online-Plattform (hier: einer Partnerbörse) durch einen Internetnutzer dazu berechtigt, diesen Kunden ohne separate Einwilligung Werbe-E-Mails zu versenden (Urteil vom 15.02.2018, Az. 29 U 2799/17). Kern des Urteils war die Frage, ob das Anlegen des kostenlosen Accounts einen „Verkauf einer Ware oder Dienstleistung“ nach § 7 Abs. 3 Nr. 1 UWG darstellt, was eine wesentliche Voraussetzung der Ausnahmeregelung ist.
Das OLG bejahte dies mit der Begründung, dass mit „Verkauf“ nicht nur der klassische Kaufvertrag – wie es das Wort andeuten würde –, sondern jeder Austauschvertrag gemeint ist. Um dies am vorliegenden Fall zu verdeutlichen:
Der Kunde erhält mit der Registrierung vom Plattformbetreiber (zumindest) die Möglichkeit, auf der Partnerbörse die Bilder anderer Mitglieder zu sehen, die ebenfalls auf Partnersuche sind.
Im Gegenzug erhält der Plattformbetreiber die Daten des Kunden wie dessen E-Mail-Adresse und weitere mittelbare „Vorteile“ (höhere Plattformattraktivität wegen größerer Zahl an Mitgliedern; Möglichkeit des Sendens von Werbebotschaften, wenn sich der Kunde auf der Plattform aufhält).
Auch die übrigen Anforderungen des § 7 Abs. 3 UWG sah das OLG München als erfüllt an, sodass eine Einwilligung für die Werbe-E-Mails nicht erforderlich war. Was bedeutet die Entscheidung für Unternehmen?
Das Urteil stellt im Bereich der Bestandskundenwerbung eine erhebliche Erleichterung für Unternehmen dar, die kostenlose „Austauschverhältnisse“ anbieten – vorausgesetzt, dass auch die übrigen Anforderungen des § 7 UWG erfüllt sind. Zudem sollten auch die weiteren gesetzlichen Vorschriften, insbesondere das Datenschutzrecht (und bei eHealth-Anwendungen die DiGA-Verordnung) nicht außer Acht gelassen werden.
Mit unserer langjährigen Erfahrung im Bereich des Onlinemarketingrechts beraten und unterstützen wir Sie gern.
KI-gestützte Anwendungen finden immer mehr Einzug in den Arbeitsalltag. Bereits jetzt sind sie flexibel und vielseitig einsetzbar und können auch komplizierte und langwierige Aufgaben schnell und zuverlässig bearbeiten. Unternehmen sollten sich allerdings vor der Verwendung von KI-Anwendungen in ihrem Betrieb über die möglichen rechtlichen Grenzen und daraus folgenden Risiken dieser Technologie bewusst sein.
Im Folgenden möchten wir Ihnen einen allgemeinen Überblick über die Funktionsweise und die hieraus nach aktuellem Stand resultierenden rechtlichen Risiken geben und Strategien beschreiben, mit denen Sie letztere minimieren können.
Wie funktionieren KI-Anwendungen?
Allgemein werden KI-Anwendungen durch die Eingaben von Nutzern (so genannte „Prompts“) gesteuert. Ein Prompt kann beispielsweise darin bestehen, die KI-Anwendung aufzufordern, ein Bild mit bestimmten Charakteristiken zu erstellen:
„Erstelle ein Bild einer Blumenvase im Stil von Andy Warhol.“
Möglich ist aber auch, dass eine KI-Anwendungen aufgefordert wird, Texte zu erstellen oder bestehende Texte zu überarbeiten:
„Bitte prüfe den folgenden Text und verbessere Fehler in der Grammatik und der Kommasetzung.“
Die KI-Anwendung verarbeitet diese Prompts und liefert dann das fertige Ergebnis in der Ausgabe aus.
Woher beziehen KI-Anwendungen ihr „Wissen“?
Der hinter KI-Anwendungen stehende Algorithmus wird im ersten Schritt durch die Vernetzung von Datenmaterial aus verschiedenen Quellen („Crawling“) und im zweiten Schritt häufig auch durch jeden späteren Prompt von Nutzern und jede hochgeladene Datei weiter angelernt („trainiert“). Die zumeist öffentlich zugänglichen Quellen sind etwa Websites und die dortigen Inhalte Dritter und können Texte, Bilder, Musikdateien und vieles mehr umfassen. KI-Anwendungen steht somit ein potenziell endloser Datenschatz zur Verfügung, auf dessen Grundlage sie Nutzern antworten können.
Welche Risiken muss ich beim Einsatz von KI-Anwendungen beachten?
Die Funktionsweise von KI-Anwendungen begegnet aufgrund der beschriebenen Funktionsweise Risiken, die durch das nutzende Unternehmen identifiziert und mitigiert werden sollten. Diese Risiken lassen sich im Wesentlichen wie folgt zusammenfassen:
Schutz von Geschäftsgeheimnissen: Durch die Eingabe unbedachter Prompts besteht das Risiko, das Geschäftsgeheimnisse (beispielsweise der Name oder die Spezifikationen von unveröffentlichten Produkten) in den Algorithmus eingespeist und dauerhaft in ihm gespeichert und so anderen Nutzern preisgegeben werden.
Datenschutz: Im Bereich des Datenschutzes ist insbesondere die Einspeisung von personenbezogenen Daten über Prompts oder Trainingsmaterial ein Risikofaktor. Wie bei Geschäftsgeheimnissen können dann personenbezogene Daten (z.B. das Bildnis oder der Name einer Person) in der Ausgabe auftauchen. Für solch eine Nutzung dieser Daten, aber auch für ihre Weiternutzung aus der Ausgabe der KI-Anwendung heraus fehlt es in der Regel an einer wirksamen Rechtsgrundlage, konkret der Einwilligung des Betroffenen. Sowohl Hersteller von KI-Anwendungen als auch ihre Nutzer können hierdurch Datenschutzverstöße begehen.
Es sei erwähnt, dass auch eine vorherige „Anonymisierung“ von Daten in der Regel nicht weiterhilft. So sind die Anforderungen an eine wirksame Anonymisierung nach der DSGVO sehr hoch und werden im Regelfall nicht erfüllt.
Urheberrecht und Markenrecht: Urheberrechtlich geschützte Werke können über Trainingsmaterial, aber auch über Prompts dem Algorithmus zugeführt werden (z.B. urheberrechtlich geschützte Texte und Bilder), die abermals in den Ausgaben von Nutzern landen können. Gleiches gilt für markenrechtlich geschützte Begriffe und Zeichen. Auch hier laufen Hersteller und Nutzer Gefahr, Rechtsverletzungen zu begehen.
Weitere Risikofelder bei der Nutzung von KI-Anwendungen
Es ist an Fälle möglicher Diskriminierung durch KI-gestützte Entscheidungen (so genannter AI-Bias) zu denken, die Haftungsrisiken nach dem Allgemeinem Gleichbehandlungsgesetz (AGG) bedeuten können. Es sind zum Beispiel schon Fälle bekannt, in denen Unternehmen in der Folge des Einsatzes von KI-gestützten Systemen wegen rassistischer Geschäftspraktiken haftbar gemacht wurden. Grund dafür war, dass die eingesetzten KI-Dienste keine Vorkehrungen zum Schutz vor rassistischen Entscheidungen enthielten.
Auch beauftragte Drittdienstleister können sich entscheiden, für die Durchführung eines Auftrags ohne Wissen und Wollen des Auftraggebers auf KI-Anwendungen zurückzugreifen, sodass sich der Auftraggeber unbemerkt den oben geschilderten Risiken ausgesetzt sehen kann.
Nicht zuletzt bestehen auch die allgemeinen vertraglichen Haftungsrisiken gegenüber Vertragspartnern, die beispielsweise mangelhafte Produkte des Unternehmens abnehmen, die unter Zuhilfenahme von KI-Anwendungen erstellt wurden.
Was können Unternehmen tun, um diese Risiken zu verringern?
Zunächst ist festzuhalten, dass die Anbieter von KI-Diensten im Regelfall keine Maßnahmen zur Vermeidung der genannten Risiken treffen und in ihren AGB jegliche Haftung ausschließen. Deshalb müssen Unternehmer in diesem Bereich selbst aktiv werden:
Im Betrieb sollte der Arbeitgeber klare Regeln für die Nutzung von KI-Anwendungen aufstellen, beispielsweise in welchen Bereichen, für welche Arbeitsprozesse und mit welchen Daten sie eingesetzt werden dürfen.
Bei Geschäftsgeheimnissen besteht zurzeit nur die Möglichkeit, ihre Eingabe in KI-Anwendungen zu verhindern/zu untersagen. Im Idealfall könnte beim Hersteller der KI-Anwendung eine Vereinbarung erreicht werden, dass die Prompts nicht für das Training des Algorithmus verwendet werden – dies ist nach jetzigem Stand aber bei den verbreiteten Produkten nur in wenigen Einzelfällen der Fall.
Auch beim Datenschutz sowie beim Urheberrecht und Markenrecht bleibt – vorbehaltlich des (seltenen) Falls, dass hier in der Tat eine gesetzliche oder vertragliche Erlaubnis vorliegt – zurzeit ebenfalls nur die Option, entsprechende Eingaben in KI-Anwendungen zu verhindern/zu untersagen, um jedenfalls von eigener Seite die oben aufgezeigten Risiken zu verringern. Allerdings verbleibt hier das Restrisiko, dass Daten oder geschützte Werke oder Zeichen (bereits) über das Trainingsmaterial in den Algorithmus gelangt sind und entsprechend in Ausgaben auftauchen können.
Bei der Beauftragung von Drittdienstleistern (gemeint sind nicht die Hersteller der KI-Anwendungen) sollten Unternehmen außerdem vertraglich regeln, ob diese Drittdienstleister KI-Anwendungen überhaupt nutzen dürfen und welche Grenzen dafür bestehen (z.B. Offenlegungspflicht, welche Bestandteile des Produkts KI-generiert sind; Geschäftsgeheimnisschutz). Besonders wichtig ist sodann die Regelung der Haftung, etwa für den Fall, dass in dem Produkt des Dienstleisters KI-generierte Inhalte gegen Rechte Dritter verstößt.
Muss ein Unternehmen Dritte (z.B. Kunden) darüber aufklären, wenn KI-Anwendungen genutzt werden?
Eigentlich bestehen nach geltendem Recht keine Kennzeichnungspflichten für KI-generierte oder mit KI-Anwendungen bearbeitete Inhalte und Produkte.
Allerdings kann es Situationen geben, in denen eine Offenlegungspflicht besteht. Dies sind vor allem Fälle, in denen die berechtigte Erwartung späterer Nutzer besteht, dass ein Inhalt „menschlicher“ Herkunft ist. Dies ist insbesondere denkbar in folgenden Fällen:
Fotografie im Journalismus (für Zeitungen, Verlage, etc.): Hier besteht die berechtigte Erwartung, dass Fotografien die Realität so abbilden, wie sie ist.
Eine Offenlegungspflicht kann sich auch aus einer vertraglichen Nebenpflicht ergeben, zum Beispiel in einem Arbeitsverhältnis.
Im Übrigen müssen nach der DSGVO Betroffene – z.B. in der Datenschutzerklärung – über das Bestehen einer „automatisierten Entscheidungsfindung“ informiert werden. Klassisches Beispiel ist das Kredit-Scoring.
Ausblick
Dedizierte regulatorische Leitplanken für den Einsatz von KI-Anwendungen, welche sich unter anderem mit zulässigen oder unzulässigen Einsatzfeldern von KI beschäftigen, sind zurzeit noch nicht vorhanden. Der sich noch im Gesetzgebungsprozess befindende Entwurf einer KI-Verordnung der EU-Kommission dürfte allerdings in Zukunft mehr Aufschluss bringen. Interessant ist hier insbesondere die Einteilung von KI-Anwendungen nach Risikoklassen. Mit einem Inkrafttreten der Verordnung ist aber erst 2024 zu rechnen, Änderungen am Entwurf (auch wesentlicher Art) sind bis dahin noch sehr wahrscheinlich.
Stand jetzt sollten Unternehmen die oben aufgezeigten rechtlichen Risiken berücksichtigen, wenn sie KI-gestützte Anwendungen in ihrem Betrieb verwenden wollen. Dies macht eine konkrete Prüfung erforderlich, welche Risiken besonderer Beachtung bedürfen, und welche Strategien angewendet werden, um diese zu minimieren.
Gern unterstützen und beraten wir Sie, wenn Sie KI-gestützte Anwendungen in Ihrem Betrieb verwenden bzw. verwenden möchten.
