Künstliche Intelligenz erschließt dem Marketing bisher ungeahnte Möglichkeiten, etwa für kreative Kampagnen, die sich schnell und effizient umsetzen lassen. Prozesse werden neu gedacht und extrem beschleunigt. Doch gleichzeitig tauchen neue Fragen auf, insbesondere juristische. Lassen sich Testimonials einfach digital klonen, wer ist der Urheber eines Werks bei KI-Beteiligung, welche Rolle spielt der AI Act und wie etabliert man eine AI Governance, die zum Marketing passt?
Wir haben nachgefragt bei Simon Hembt und Oliver Belitz von der internationalen Anwaltskanzlei Bird & Bird. Gemeinsam beraten die beiden Juristen Unternehmen zum KI-Einsatz im Marketing.
Herr Belitz, Herr Hembt, welche regulatorischen Anforderungen muss das Marketing berücksichtigen, wenn es KI nutzen möchte?
Belitz: Das hängt sehr vom konkreten Anwendungsfall ab. In der Marketingbranche ist das Spektrum an Tools und Use Cases so breit, dass wir uns zunächst mit den Werbetreibenden zusammensetzen und eine Art Mosaik zusammenstellen, welche Rechtsgebiete relevant sind. Sind zum Beispiel personenbezogene Daten involviert? Dann ist die DSGVO natürlich ein großes Thema. Wenn nicht, spielt sie vielleicht gar keine Rolle. Verträge hingegen sind immer relevant – sowohl in Richtung Kunden als auch zu IT-Lieferanten. Governance-Fragen spielen ebenfalls eine Rolle. Wie wird KI gesteuert, was dürfen die Mitarbeitenden?
Hembt: Es ist kein simples Check-the-Box-System. Es genügt nicht, lediglich die Einhaltung gesetzlicher Vorschriften abzuhaken. Vielmehr ist es erforderlich, das jeweilige Unternehmen sowie den aktuellen Stand der Compliance im Detail zu betrachten. Viele Agenturen haben schon immer mit Urheberrechten oder Persönlichkeitsrechten zu tun – etwa bei Personal-Branding-Kampagnen oder wenn Mitarbeiterfotos verwendet wurden. Jetzt kommt durch KI eine weitere Ebene hinzu – aber vieles davon war auch vorher schon relevant. Das Urheberrecht ist dafür ein gutes Beispiel: Früher hat man vielleicht ein Stock-Foto genommen, heute ist es eine Collage aus Stock, KI-generiertem Material und eigenen Bildern. Das wird juristisch schnell komplex.
Was kommt durch den AI Act auf das Marketing zu, wie relevant ist er für Werbetreibende?
Belitz: Dafür muss man sich einmal genau ansehen, was der Werbetreibende konkret mit KI anstellt. Der AI Act hat verschiedene Ebenen: Es gibt zunächst die Ebene der verbotenen Praktiken. Sie ist in der Regel nicht relevant im Marketing. Die darunterliegende Ebene der High-Risk-KI-Systeme ist für das Marketing ebenfalls selten relevant. Eine weitere Kategorie, die oft übersehen wird, aber relevant ist, ist die sogenannte General-Purpose-AI. Dabei handelt es sich um eine Kategorie, die KI erfassen soll, die für eine Vielzahl von Aufgaben gemacht wurde, sogenannte Foundation Models. Oft kann man das gleichsetzen mit den Modellen, die hinter den generativen KI-Tools stehen, die wir täglich nutzen.
In dieser Kategorie richten sich die Verpflichtungen nur an ‚Provider‘, das heißt die Unternehmen, die KI-Modelle unter eigenem Namen in Betrieb setzen oder auf den Markt bringen. In vielen Fällen sind Werbetreibende davon nicht betroffen. Aber sie können manchmal auch unerkannt in die Rolle des Providers rutschen, zum Beispiel, wenn eine Agentur ein Modell modifiziert, etwa durch Finetuning. Dann kann sie unter bestimmten Umständen selbst zum Provider werden. Dann greifen plötzlich recht umfassende Verpflichtungen – ganz unabhängig davon, ob sich die Agentur ihrer Stellung bewusst ist oder nicht.
Hembt: Darüber hinaus gibt es noch die allgemeinen Irreführungsverbote – zum Beispiel, wenn KI-generierte Inhalte veröffentlicht werden, die Verbraucher adressieren. Agenturen nutzen zunehmend KI-Tools, um beispielsweise Produktabbildungen zu generieren. Diese abgebildeten Produkte können zwar authentisch wirken, aber zusätzliche Merkmale aufweisen, welche sich vom tatsächlichen Produkt unterscheiden und so möglicherweise Verbraucher irreführen. Eine Irreführung liegt also vor, wenn die Vorstellung des durchschnittlichen Verbrauchers, die etwa ein KI-Bild bei ihm hervorruft, von der Realität abweicht.
Könnten Sie bitte ein Beispiel nennen?
Hembt: Ein Beispiel hierfür wäre, wenn ein Kunde eine KI-generierte Werbung für einen Softdrink sieht, der die Zuckerfreiheit suggeriert und daraufhin das Produkt kauft, obwohl es in Wirklichkeit keine Änderung gegeben hat. In solchen Fällen kann eine Irreführung vorliegen. Und das war schon vor KI verboten. Neu unter dem EU AI Act ist die rechtliche Ebene, dass der Einsatz von KI selbst transparent sein muss. Dazu zählen auch Deepfake-Regelungen, die in der Werbung eine wichtige Rolle spielen können. Eine Agentur generiert zum Beispiel mit KI das Bild eines Prominenten, der angeblich für ein Produkt wirbt und die Verbraucher können nicht erkennen, ob das ‚echt‘ oder KI-generiert ist. In diesem Fall wäre das als Deepfake zu kennzeichnen – aber auch schon nach bisherigem Recht irreführend und aus mehreren Gründen angreifbar durch den Prominenten selbst, etwa im Persönlichkeitsrecht.
Apropos Testimonials, kann ein Werbetreibender digitale Zwillinge einsetzen, um nicht jedes Mal das Testimonial einfliegen zu lassen, wenn eine neue Kampagne starten soll?
Hembt: Prinzipiell ja, aber es gibt mehrere Stolpersteine. Persönlichkeitsrechte, Bildrechte, Datenschutz – alles muss rechtlich sauber geklärt werden. In der Praxis ist die wichtigste Frage: Wie weit geht das Model mit? Nur für eine Kampagne? Oder dauerhaft? In solchen Fällen wird und muss es viele Vertragsverhandlungen geben.
Um noch einmal auf den AI Act zurückzukommen: Neben den genannten juristischen Ebenen gibt es auch die sogenannten AI-Literacy – also die Erwartung, dass Unternehmen sich grundsätzlich mit KI auseinandersetzen und ein gewisses Verständnis entwickeln …
Belitz: Ja, der AI Act fordert eine solche AI-Literacy – zu Deutsch „KI-Kenntnis“. Diese Forderung ist derzeit jedoch weich formuliert und es ist noch unklar, ob und wie sie durchgesetzt werden wird. Aber ignorieren sollte man sie nicht. Kommt es zu einem Bußgeldverfahren wegen eines Verstoßes gegen den AI Act und es wird festgestellt, dass ein Unternehmen sich keine Gedanken zu AI-Literacy gemacht hat – keine interne Schulung, keine Policies, keine Zuständigkeiten – dann wird das bei der Bußgeldbemessung berücksichtigt werden. Allerdings gibt es aktuell Bestrebungen der EU-Kommission, über ein Omnibus-Paket diese Anforderungen abzuschwächen und eher den Behörden zuzuweisen, statt die Unternehmen in die Pflicht zu nehmen. Hier muss man die aktuellen gesetzgeberischen Entwicklungen in Brüssel genau beobachten und in die eigene KI Governance im Unternehmen einfließen lassen.
Hembt: Nichtsdestotrotz sollten Unternehmen intrinsisch motiviert sein, sich mit dem Thema KI auseinanderzusetzen – unabhängig vom wirtschaftlichen Druck oder der Branche. Selbst ohne KI-Themen muss man sich mit Datenschutz und Urheberrecht beschäftigen. Wer die Risiken nicht kennt oder Verträge veraltet lässt, läuft Gefahr, Gesetze zu verletzen. Es ist entscheidend, grundlegendes KI-Wissen aufzubauen, um rechtlich auf der sicheren Seite zu sein. Wer nicht versteht, was er tut, agiert komplett im Blindflug.
Gibt es spezifische Fallstricke für den Einsatz von KI in der Werbung?
Hembt: Nein. Die üblichen Werberechtsprobleme bleiben – aber KI intensiviert sie. Man darf weiterhin nicht irreführen. Wenn ein KI-generiertes Bild wie ein echtes Produktbild aussieht und Kunden dadurch eine falsche Vorstellung bekommen, wird es kritisch.
Belitz: Es ist nicht so, dass man sagen könnte, der KI-Einsatz ist in einem bestimmten Fall grundsätzlich erlaubt oder verboten. Man muss – mit rechtlichem und technischem Sachverstand – genau hinschauen, welche rechtlichen Fragestellungen relevant sind und dann risikobasierte Entscheidungen treffen. Diese Gedanken muss ein Unternehmen sich bereits möglichst frühzeitig machen – nicht erst, wenn die KI bereits im Einsatz oder die Kampagne live ist.
Was ist aktuell ein typisches Thema, mit dem Werbetreibende auf Sie zukommen?
Hembt: Nutzungsrechte sind momentan das größte Thema. Klassische Agenturverträge verschaffen dem Kunden oft exklusive Rechte an allen Arbeitsergebnissen. Wenn aber jetzt 90 Prozent der Kampagne von KI erstellt wurden, kann die Agentur diese Rechte vielleicht gar nicht einräumen. Denn der Schutz durch das Urheberrecht setzt – vereinfacht gesagt – voraus, dass ein Mensch den kreativen Entstehungsprozess eines Bildes oder Textes beherrscht. Bei nahezu autonom erstellten Arbeiten mit minimalem menschlichem Input, etwa lediglich sehr kurzen Prompts, dürfte das regelmäßig nicht der Fall sein und der Schutz entfallen. In diesem Fall verpflichtet sich die Agentur möglicherweise zu einer Rechteübertragung, die sie nicht erfüllen kann. Das wiederum kann zu Auseinandersetzungen mit dem Auftraggeber führen. Um das sauber zu lösen, müssen die Parteien die Verträge überarbeiten.
Welche Probleme können noch auftauchen, wenn ich mit einer Agentur zusammenarbeite und diese KI nutzt?
Belitz: Häufig spielen neben den zuvor genannten Rechtsgebieten die Verträge immer eine Rolle – egal ob mit Kunden oder Zulieferern. Die Vertragswerke entstammen in der Regel immer einer Zeit, in der KI-Einsatz keine Rolle gespielt hat. Daher berücksichtigen sie diesen auch nicht. Ein Rahmenvertrag, der vor zehn Jahren abgeschlossen wurde, deckt die aktuellen Entwicklungen und Möglichkeiten rund um den Einsatz generativer KI in der Werbung gar nicht ab. Angenommen, wir arbeiten für ein großes Unternehmen, das Marketingleistungen von einer Agentur bezieht: Dann setzen wir uns erst einmal zusammen und klären, wie stark das Unternehmen den KI-Einsatz seines Auftragnehmers steuern möchte.
Mögliche Regelungsinhalte können sein: Will ich als Kunde wissen, welche Tools die Agentur nutzt? Erlaube ich den Einsatz von KI überhaupt? In welchem Maße? Welche Teile der Leistung dürfen KI-generiert sein? Muss das dokumentiert werden? Ein Unternehmen muss sich diese und weitere Fragen stellen und sie beantworten – anschließend ist zu prüfen, wie groß die Gap zum aktuellen Vertragswerk ist – und wie man diese schließen kann. Hier gibt es keine ‚One-Size-Fits-All‘-Empfehlung. Bei einer Vertragsgestaltung kommt es immer auf die individuelle Beziehung zwischen Agentur und Unternehmen, die konkrete Leistung, den Risikoappetit, den bisherigen Vertrag und den angestrebten Technikeinsatz an.
Die Möglichkeiten und die zur Verfügung stehenden Tools verleiten dazu, Neues auszuprobieren. Wie gehe ich als CMO in meiner Marketingabteilung mit dem Thema „Schatten-KI“ um – also, wenn Mitarbeiter private KI-Tools nutzen, um kleine Aufgaben schneller zu erledigen?
Belitz: Das hängt eng mit der KI-Governance zusammen, die wir bereits besprochen haben. Wir als Juristen helfen eine rechtliche KI-Governance im Unternehmen aufzustellen, die klare Leitlinien zur KI-Nutzung gibt – und die relevanten Rechtsgebiete abdeckt, zum Beispiel Datenschutz, Urheberrecht, Regulierung. Auch hier gibt es keine pauschale Lösung, sondern ein Unternehmen muss entscheiden, in welchen Bereichen es welche Risiken eingehen möchte. Neben diesem rechtlichen Teil der Governance sind jedoch auch Maßnahmen nötig, um diese Regeln durchzusetzen. Ein Unternehmen muss sich rein faktisch mit Monitoring und Enforcement seiner Governance beschäftigen.
Hembt: Ich möchte an dieser Stelle noch etwas herauszoomen. Schatten-IT beziehungsweise Schatten-KI meint üblicherweise, dass Mitarbeitende privat genutzte KI-Tools im Arbeitskontext einsetzen – unkontrolliert und oft unbemerkt. Aber das Thema zieht größere Kreise. Auch Werbekunden fragen zunehmend, welche Tools Agenturen verwenden. Unternehmen definieren für sich immer mehr, welche Tools mit ihrer eigenen Compliance vereinbar sind.
Wenn Agenturen für Unternehmen tätig werden, verlangen diese Unternehmen mitunter, dass die Agenturen sich an diese Kataloge zulässiger Tools halten. Schließlich möchte man möglichst reibungslos zusammenarbeiten. So entsteht eine Art Stufenmodell: Die Marke beziehungsweise der Anbieter schreibt eine Guideline, welche KI-Tools für welche Zwecke erlaubt sind. Diese gibt sie an die Agentur weiter. Und die Agentur muss dies intern an ihre Mitarbeitenden weitergeben.
Das Stichwort Governance ist jetzt schon einige Male gefallen: Wie schafft man es, für das Marketing eine KI-Governance zu etablieren?
Belitz: Im ersten Schritt muss geklärt werden, wie ein Unternehmen KI einsetzen und wie es mit den daraus entstehenden rechtlichen Herausforderungen umgehen möchte. Darauf basierend kann ein grundlegender Regelkatalog in Form einer KI-Policy erstellt werden. Wir definieren beispielsweise zunächst Basisregeln, die immer gelten – zum Beispiel, was Mitarbeiter bei jedem KI-Einsatz zu beachten haben oder was sie nie tun dürfen. Aber dabei bleiben wir nicht stehen. Wir gehen dann dazu über, das Ganze deutlich differenzierter aufzusetzen. Der Schlüssel liegt dabei in der Trennung nach Use Cases und/oder Tools.
Unterschiedliche Anwendungsfälle brauchen unterschiedliche Regeln. Es ist aufgrund der vertraglichen und technischen Rahmenbedingungen durchaus möglich, dass Mitarbeiter mit Tool A deutlich weniger restriktiv umgehen dürfen als mit Tool B. Ein Use Case zur Texterstellung dient der rein internen Weiterverwendung. Daher bedarf er anderer Regeln als eine Bilderstellung, die letztlich entgeltlich an einen Kunden weitergegeben wird. Auch hier gilt: Ein „One-Size-Fits-All“-Ansatz ergibt keinen Sinn.
Herr Hembt, klare Regeln sind das eine – und worauf kommt es organisatorisch an?
Hembt: Das Thema Compliance löst in Agenturen und Unternehmen oft ein Unbehagen aus. Viele denken: Müssen wir uns jetzt auch noch mit weiteren Compliance-Themen belasten? Aber das greift zu kurz. Es geht vielmehr darum, wie sich die Jobs durch KI verändern. Ein Designer zum Beispiel fotografiert oder zeichnet heute oft nicht mehr alles von null auf. Er bedient sich aus KI-Tools, mischt das mit Stock-Fotos und weiteren Elementen – er wird also eher zum Kurator und Kontrolleur der Ergebnisse. Um eine sinnvolle KI-Governance aufzusetzen, darf man KI also nicht einfach nur regulieren. Man muss verstehen, dass sie die Rollen im Team verändert.
Eine gute Governance setzt genau da an. Sie reguliert nicht um des Regulierens willen, sondern klärt die Spielregeln: Welche Rolle spielt der Mensch? Wenn wir Urheberrechtsschutz wollen, muss der Mensch den Prozess dominieren. Wenn wir Geschwindigkeit wollen, nutzen wir die KI aggressiver. Das sind keine reinen Rechtsfragen, sondern Entscheidungen darüber, wie sich eine Marketing-Organisation in Zukunft aufstellen möchte. Die Compliance schreibt diese Strategie nur fest.
Mit Agentic AI hat der KI-Einsatz die nächste Entwicklungsstufe erreicht. Drohen jetzt neue rechtliche Risiken?
Belitz: Hier stellt sich zunächst die Frage, was der Unterschied zu den generativen KI-Tools ist, die wir schon lange nutzen und rechtlich bereits beleuchtet haben. Agentic AI ist aktuell ein großes Buzzword. Als Juristen müssen wir quasi den Teppich anheben und analysieren, was sich wirklich darunter verbirgt. Es handelt sich um keine neue rechtliche Kategorie. Sie führt also nicht zur Anwendbarkeit eines neuen Gesetzes. Agentic AI unterscheidet sich vielmehr durch „Reasoning“ und „Tool Use“. Beides führt zu einer Autonomie, die bisherigen generativen KI-Tools fremd war. In der Regel führt das zu einer Intensivierung jener Risiken. Diese Risiken beschäftigen uns beim allgemeinen Einsatz von generativer KI schon jetzt.
Hembt: Es hilft, sich diese KI – vereinfacht und untechnisch gesprochen – als Teil einer ‚Digital Workforce‘ vorzustellen. Und diese brauchen Regeln. Die große Aufgabe ist es, unsere menschliche Compliance in eine Art maschinelle Compliance zu übersetzen. Wir müssen dem Agenten nicht nur sagen, was er tun soll, sondern vor allem, was er nicht darf – etwa Kunden beleidigen. Wir müssen ihn an die sprichwörtliche Leine nehmen. Deshalb wird der Mensch auch nicht ersetzt. Seine Rolle wandelt sich vom Ausführenden zum Überwacher, zum ‚Human in the Loop‘, der die Leitplanken setzt, innerhalb derer die KI autonom agieren darf.
Hat der Gesetzgeber den Rahmen bereits ausreichend abgesteckt oder muss sich die Branche auf weitere juristische Anpassungen einstellen?
Belitz: KI-Einsatz ist aktuell umfassend durch KI-spezifische – zum Beispiel durch den AI Act – und technologie-agnostische Regulierung wie die DSGVO oder das Urheberrecht abgedeckt. Der Gesetzgeber wird zukünftig wohl dennoch noch einmal tätig werden, aber ich erwarte hier keine Revolution im Sinne neuer KI-Gesetze, sondern vielmehr ein Feinjustieren bereits vorhandener. Ein konkretes Beispiel sind die Diskussionen rund um das Urheberrecht – dort wird es möglicherweise durch Gesetzesanpassung und/oder neue Rechtsprechung zu feinen Anpassungen kommen.
Hembt: Genau, ein ganz wichtiger Faktor wird die Rechtsprechung sein. Richter werden entscheiden müssen, wie bestehende Gesetze auf neue Fälle anzuwenden sind. Wie vorhin schon erwähnt – wir haben bereits starke Gesetze, die technologieunabhängig funktionieren. Das meiste ist schon geregelt. Die spezifischen KI-Gesetze wie der AI Act sind quasi nur die Puzzleteile, die das Bild jetzt komplettieren.
(kaz) ist Fachjournalist für digitales Marketing. Seit Mitte der Nullerjahre begleitet er mit seinen Artikeln die rasanten Entwicklungen der Online-Werbebranche. Der Maschinenraum der Marketing-Technologien fasziniert ihn dabei ebenso wie kreativ umgesetzte Kampagnen. Der freie Autor lebt und arbeitet in Berlin.
