Dieser Artikel wurde ursprünglich von The Drum veröffentlicht.

Das EU-Gesetz zur künstlichen Intelligenz, kurz KI-Gesetz, hat viele Ähnlichkeiten mit der DSGVO. Auch hier sollten sich Marketingfachleute nicht so viele Sorgen machen, sagt Dr. Sachiko Scheuing, European Privacy Officer bei Acxiom und Vorsitzende der Federation of European Data and Marketing Association (FEDMA).

Ich werde oft von Marketingfachleuten gefragt, wie sich das KI-Gesetz, das im März vom Europäischen Parlament verabschiedet wurde und am 1. August 2024 in Kraft tritt, auf sie auswirken wird. Viele sind verunsichert und sogar besorgt, weil sie nicht wissen, wie sie die gesetzlichen Anforderungen zur Datennutzung heute und in Zukunft erfüllen können. Das erinnert mich sehr an 2018, als die Datenschutz-Grundverordnung (DSGVO) in Kraft trat und Unternehmen das Ende des datengesteuerten Marketings befürchteten.

Eine weitere Parallele zwischen dem KI-Gesetz und der DSGVO ist, dass ich Marketingfachleuten heute im Großen und Ganzen dasselbe raten würde wie damals. Wahrscheinlich lesen Sie in den Medien viel darüber, welcher Aufwand Unternehmen durch derartige Vorschriften entsteht und welche Strafen bei Verstößen drohen. Sensationelle Berichte über ein restriktives Gesetz gehen aber an der Realität der meisten Unternehmen vorbei und verfehlen den eigentlichen Sinn solcher Verordnungen.

Regulierung fördert Wachstum

Die Datenschutz-Grundverordnung entstand aus einer optimistischen Vision von Wachstum durch die sichere Nutzung personenbezogener Daten. Sie soll die Ansätze in den verschiedenen Ländern vereinheitlichen, die Wettbewerbsbedingungen in Europa angleichen und die Zusammenarbeit zwischen allen Beteiligten vereinfachen und zugleich den Einzelnen und seine Daten schützen. Das Gleiche gilt für das europäische KI-Gesetz.

Ein risikobasierter Ansatz für technologiegetriebenes Wachstum

Sowohl die DSGVO als auch das KI-Gesetz verfolgen einen sogenannten risikobasierten Ansatz zum Schutz von Personen und deren Daten. Das KI-Gesetzes unterscheidet vier Risikostufen mit entsprechenden Verpflichtungen für Unternehmen:

Inakzeptables Risiko

Hier geht es um Anwendungen von künstlicher Intelligenz (KI), die mit den Grundrechten des Einzelnen in der EU unvereinbar und daher verboten sind. Dazu gehören KI-Systeme, die menschliches Verhalten manipulieren oder Schwachstellen ausnutzen, wie z.B. der Einsatz von KI zur Emotionserkennung am Arbeitsplatz.

Hohes Risiko

Dies ist die risikoreichste in der EU zugelassene Kategorie. Sie unterliegt den strengsten Vorschriften. Ein Beispiel ist der Einsatz von KI zur Bearbeitung von Notrufen bei Polizei, Rettungsdienst oder Feuerwehr.

Begrenztes Risiko

Der Einsatz von KI-Systemen mit begrenztem Risiko wird weniger streng reguliert. Für diese Anwendungen gelten Transparenzverpflichtungen, um Manipulation oder Täuschung zu verhindern. So ist es beispielsweise verpflichtend, die Nutzer darüber zu informieren, dass sie mit einem Chatbot und nicht mit einem Menschen interagieren.

Geringes Risiko

Die meisten derzeit verfügbaren KI-Anwendungen für den Marketingbereich stellen ein geringes Risiko dar. Für diese Kategorie gibt es keine verbindlichen Vorschriften, sondern lediglich Best-Practice-Empfehlungen. Gängige Beispiele sind der Einsatz von Spam-Filtern und KI-gestützte Videospiele.

Marketingexperten haben es leicht

Die gute Nachricht für Marketingfachleute ist, dass Marketing im Grunde genommen eine ziemlich risikoarme Angelegenheit ist. Daher fallen die Anwendungsfälle von KI im Marketing – wie die Unterstützung von Unternehmen bei der Ansprache und Bindung von Konsumenten oder die Entscheidung, welche Werbung für ein bestimmtes Zielgruppensegment geeignet ist – zum Großteil in die Kategorie mit dem geringsten Risiko.

Das kann man von anderen Fachgebieten nicht behaupten. Wenn beispielsweise im Gesundheitswesen nicht auf Datenhygiene geachtet wird, kann ein einfacher Fehler, wie der Abgleich falscher Felder in einem Datensatz, dazu führen, dass eine Person ein falsches Rezept oder falsche Anweisungen erhält. Dies kann für die betroffene Person ernsthafte Folgen haben.

Im Gegensatz dazu müssen die meisten Marketingfachleute in den meisten Branchen weder ihre Nutzung von KI einschränken noch mit zwingenden Verpflichtungen rechnen.

Aber nur weil es keine verbindlichen Verpflichtungen gibt, heißt das nicht, dass Marketingfachleute nicht proaktiv sein sollten.

Mein Rat an Marketingexperten

Wieder einmal muss ich an die Anfänge der DSGVO denken, als ich Unternehmen bei der Einrichtung von Corporate-Governance-Strukturen für den Datenschutz beraten habe. Einer der Eckpfeiler dieser Arbeit war – und ist – die Datenschutz-Folgenabschätzung (DSFA).

Im Hinblick auf künstliche Intelligenz ist die Situation heute sehr ähnlich. Auch das KI-Gesetz hat eine Art DSFA – bei künstlicher Intelligenz spricht man von der Grundrechte-Folgenabschätzung. Das bedeutet, dass Sie ein Dokument erstellen müssen, in dem Sie festhalten, wie Sie KI nutzen, wie Sie die möglichen Auswirkungen einschätzen und welche entsprechenden Maßnahmen Sie ergreifen. Das ist vergleichbar mit dem Verzeichnis von Verarbeitungstätigkeiten für die DSGVO. Wenn Sie also ein Tool zur Prognose der Kundenabwanderung oder zur Optimierung von Kampagnen nutzen, können Sie sagen, dass Sie es geprüft und festgestellt haben, dass das Risiko sehr gering ist. Noch besser ist es, wenn Sie diese Evaluation schriftlich festhalten.

Jetzt haben Sie Ihr Dokument. Es wird regelmäßig aktualisiert und an einem sicheren Ort aufbewahrt. Wenn Sie es für eine Prüfung oder einen Audit vorlegen müssen, sind Sie vorbereitet. Zudem hilft es, bewährte Verfahren und Governance für die Zukunft zu etablieren, denn die Vorschriften werden sich zweifellos weiterentwickeln und möglicherweise verschärfen.

Damit ist der Due-Diligence-Aufwand vergleichsweise gering, um das erstaunliche Potenzial von KI für Ihr Unternehmen zu erschließen.

Erfahren Sie mehr über die Prozesse von Acxiom für Datenschutz, Data Governance und Datenethik.

Dieser Artikel wurde ursprünglich von The Drum veröffentlicht.