GEMA vs. OpenAI: Wegweisendes Urteil zum Urheberrecht im KI-Zeitalter
Der Fall, der die KI-Branche erschüttert
Am 11. November 2025 fällte das Landgericht München eine wegweisende Entscheidung*, die weitreichende Folgen für die Entwicklung künstlicher Intelligenz haben könnte. Die GEMA, Deutschlands größte Verwertungsgesellschaft für Musikrechte, hatte gegen OpenAI geklagt – und gewonnen. Der Vorwurf: ChatGPT habe urheberrechtlich geschützte Songtexte ohne Lizenz genutzt und diese nahezu originalgetreu wiedergegeben.
*LG München I, Endurteil v. 11.11.2025 – 42 O 14139/24– zu finden unter gesetze-bayern.de
Die Kernfrage: Was ist Text & Data Mining?
OpenAI hatte sich in seiner Verteidigung auf das sogenannte Text & Data Mining (TDM) berufen. Diese im Urheberrecht verankerte Ausnahme erlaubt es grundsätzlich, geschützte Werke für die automatisierte Analyse großer Datenmengen zu nutzen. Die Idee dahinter: Wissenschaft und Forschung sollen Muster und Zusammenhänge in Texten erkennen können, ohne für jeden einzelnen Text eine Lizenz erwerben zu müssen.
Das Münchner Gericht stellte jedoch klar: Was OpenAI betrieben hat, geht über reines TDM hinaus. Der entscheidende Unterschied liegt in der Art der Nutzung. Während TDM typischerweise Daten analysiert und daraus neue Erkenntnisse gewinnt, hatte ChatGPT die Songtexte offenbar so verarbeitet, dass sie später fast wortgleich ausgegeben werden konnten.
Das Problem der „Memorisierung“
Ein zentraler Begriff in diesem Rechtsstreit ist die sogenannte „Memorisierung“. Darunter versteht man den Prozess, bei dem KI-Systeme Trainingsdaten nicht nur für das Lernen von Mustern nutzen, sondern diese Inhalte faktisch speichern und später reproduzieren können.
Bei großen Sprachmodellen wie ChatGPT kann dies geschehen, wenn bestimmte Texte während des Trainings so häufig verarbeitet werden oder so prägnant sind, dass das Modell sie quasi „auswendig lernt“. Das System entwickelt dann die Fähigkeit, diese Texte nahezu identisch wiederzugeben – ähnlich wie ein Mensch, der ein Gedicht auswendig gelernt hat.
Genau diese Memorisierung wurde OpenAI zum Verhängnis. Das Gericht argumentierte: Wenn eine KI urheberrechtlich geschützte Werke so stark internalisiert, dass sie diese originalgetreu wiedergeben kann, handelt es sich nicht mehr um eine zulässige Analyse, sondern um eine unerlaubte Vervielfältigung und öffentliche Wiedergabe.
Die rechtliche Einordnung
Das Landgericht München zog eine klare Grenze: Ein echtes Training, bei dem Inhalte dauerhaft gespeichert oder später sogar originalgetreu wiedergegeben werden, fällt nicht unter die TDM-Ausnahme. Diese Ausnahme sei nur für die reine Analyse gedacht, nicht für die Reproduktion geschützter Werke.
Die Entscheidung stellt klar: Nutzt eine KI-Anwendung Liedtexte ohne entsprechende Lizenz und kann diese wiedergeben, verletzt der Entwickler das deutsche Urheberrecht. Dies greift unmittelbar in die wirtschaftlichen Verwertungsinteressen der Urheber ein – schließlich könnten Nutzer die Texte dann über die KI abrufen, statt sie bei lizenzierten Anbietern zu erwerben.
Reaktionen und Ausblick
Dr. Tobias Holzmüller, CEO der GEMA, zeigte sich nach dem Urteil kämpferisch: Das Internet sei kein Selbstbedienungsladen und menschliche Kreativleistungen keine Gratisvorlagen. Man habe einen Präzedenzfall geschaffen, der klarstelle: Auch Betreiber von KI-Tools müssen sich an das Urheberrecht halten. Die GEMA sieht in dem Urteil eine erfolgreiche Verteidigung der Lebensgrundlage Musikschaffender. (Zitat: gema.de).
Allerdings ist das Urteil noch nicht rechtskräftig. OpenAI könnte in Berufung gehen, und es bleibt abzuwarten, ob höhere Instanzen die Einschätzung des Landgerichts teilen werden.
Was bedeutet das für die Zukunft?
Diese Entscheidung könnte tiefgreifende Auswirkungen auf die Entwicklung und den Einsatz von KI-Systemen haben. Unternehmen müssen möglicherweise ihre Trainingsmethoden überdenken und sicherstellen, dass ihre Modelle keine geschützten Inhalte memorisieren und wiedergeben können. Dies könnte zu technischen Anpassungen führen, etwa durch Filter, die verhindern, dass urheberrechtlich geschützte Texte ausgegeben werden.
Gleichzeitig wirft das Urteil grundsätzliche Fragen auf: Wie können KI-Entwickler sicherstellen, dass ihre Systeme keine Urheberrechte verletzen? Welche technischen Maßnahmen sind notwendig und praktikabel? Und wie lässt sich Innovation in der KI-Entwicklung mit dem Schutz kreativer Leistungen in Einklang bringen?
Das Münchner Urteil macht jedenfalls eines deutlich: Die Botschaft „Urheberrechte bleiben bestehen – auch im KI-Zeitalter“ ist bei den Gerichten angekommen. Songtexte und andere kreative Werke sind keine kostenlosen Trainingsressourcen für künstliche Intelligenz. Wer sie nutzen will, muss dafür zahlen – oder technische Wege finden, die eine Memorisierung und Wiedergabe ausschließen.
CRA vs AI-Act: Ein Leitfaden zur regulatorischen Überschneidung
Einführung
Mit der Verabschiedung der Cyberresilienz-Verordnung (CRA, Verordnung (EU) 2024/2847) und des Gesetzes über künstliche Intelligenz (AI Act, Verordnung (EU) 2024/1689) hat die Europäische Union zwei wegweisende Rechtsakte geschaffen, die die digitale Landschaft maßgeblich prägen werden.
Für Unternehmen, die Produkte entwickeln, die sowohl digitale Elemente als auch KI-Komponenten enthalten, stellt sich die entscheidende Frage:
Wie interagieren diese beiden Verordnungen miteinander?
Kurz gesagt:
Grundsätzlich hat der AI Act Vorrang. Produkte mit digitalen Elementen, die in den Anwendungsbereich der CRA fallen und zugleich als Hochrisiko-KI-Systeme im Sinne von Artikel 6 des AI Act gelten, müssen jedoch zusätzlich die grundlegenden Cybersicherheitsanforderungen der CRA erfüllen.
Erfüllen diese Hochrisiko-KI-Systeme die in Anhang I Teil I und II der CRA festgelegten Cybersicherheitsanforderungen, wird davon ausgegangen, dass sie auch die Anforderungen nach Artikel 15 des AI Act erfüllen.
Ausnahmsweise hat jedoch die CRA Vorrang – und zwar bei Produkten, die als „wichtige“ oder „kritische“ Produkte mit digitalen Elementen gemäß Anhang III bzw. IV der CRA eingestuft sind. Dieser Vorrang gilt allerdings ausschließlich in Bezug auf die Cybersicherheitsanforderungen.
Die zentrale Schnittstelle: Artikel 12 CRA
Die Hauptregelung zur Koordination zwischen beiden Verordnungen findet sich in Artikel 12 der CRA („Hochrisiko-KI-Systeme“). Ergänzt wird diese durch die Erwägungsgründe 63 bis 65 sowie Artikel 52 Absatz 14 CRA zur Marktüberwachung.
Der Gesetzgeber hat erkannt, dass viele Produkte gleichzeitig unter beide Verordnungen fallen können – insbesondere wenn es sich um Hochrisiko-KI-Systeme handelt, die zugleich als Produkte mit digitalen Elementen einzustufen sind.
Der Grundsatz der Konformitätsvermutung
Doppelte Anwendbarkeit
Produkte, die sowohl in den Anwendungsbereich der CRA fallen als auch als Hochrisiko-KI-Systeme gemäß Artikel 6 AI Act eingestuft werden, müssen grundsätzlich beide Regelwerke beachten. Die CRA etabliert jedoch eine wichtige Erleichterung durch das Prinzip der Konformitätsvermutung.
Die Konformitätsvermutung in der Praxis
Wenn ein Hochrisiko-KI-System:
die grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I der CRA erfüllt, und
die vom Hersteller festgelegten Verfahren den Anforderungen in Anhang I Teil II der CRA entsprechen,
dann wird automatisch davon ausgegangen, dass auch die Cybersicherheitsanforderungen gemäß Artikel 15 AI Act erfüllt sind. Diese Erfüllung muss in der EU-Konformitätserklärung nach CRA dokumentiert werden.
Praktischer Hinweis: Diese Regelung vermeidet doppelte Compliance-Arbeit und schafft rechtliche Klarheit für Hersteller.
Erweiterte Risikobewertung für KI-Systeme
KI-spezifische Bedrohungsszenarien
Bei der Durchführung der nach CRA erforderlichen Risikobewertung müssen Hersteller von Hochrisiko-KI-Systemen besondere Aufmerksamkeit auf KI-spezifische Cyberbedrohungen legen:
Data Poisoning: Manipulation der Trainingsdaten zur Verfälschung des KI-Verhaltens
Adversarial Attacks: Gezielte Eingaben zur Täuschung des KI-Systems
Model Extraction: Unbefugter Zugriff auf das trainierte Modell
Manipulation von Systemverhalten und -leistung
Grundrechtsschutz als Bewertungsmaßstab
Besonders hervorzuheben ist, dass die Risikobewertung auch potenzielle Auswirkungen auf die Grundrechte gemäß AI Act berücksichtigen muss. Dies stellt eine direkte Verbindung zwischen technischer Cybersicherheit und rechtlichem Grundrechtsschutz her.
Das Konformitätsbewertungsverfahren: Ein komplexes Regelungssystem
Grundregel: Vorrang des AI Act
Im Regelfall hat das Konformitätsbewertungsverfahren nach AI Act Vorrang. Dies bedeutet:
Das in Artikel 43 AI Act vorgesehene Verfahren gilt auch für die Bewertung der CRA-Cybersicherheitsanforderungen
Die nach AI Act notifizierten Stellen sind auch für die CRA-Konformität zuständig, sofern sie die Anforderungen des Artikel 39 CRA erfüllen
Die Ausnahme: Vorrang der CRA
Die CRA-Konformitätsbewertungsverfahren haben jedoch Vorrang, wenn alle folgenden Bedingungen kumulativ erfüllt sind:
Produktklassifikation nach CRA:
Das Produkt ist als „wichtiges Produkt mit digitalen Elementen“ (Anhang III CRA) eingestuft und unterliegt den Verfahren nach Artikel 32 Absätze 2 und 3 CRA, oder
Das Produkt ist als „kritisches Produkt mit digitalen Elementen“ (Anhang IV CRA) eingestuft und benötigt ein europäisches Cybersicherheitszertifikat oder unterliegt Artikel 32 Absatz 3 CRA
Gleichzeitig: Das Konformitätsbewertungsverfahren nach AI Act basiert auf interner Kontrolle gemäß Anhang VI AI Act
Wichtig: In diesen Ausnahmefällen gilt der CRA-Vorrang nur für Cybersicherheitsaspekte. Alle anderen AI Act-Anforderungen werden weiterhin nach dem internen Kontrollverfahren des AI Act bewertet.
Synergieeffekte und praktische Vorteile
KI-Reallabore
Ein wichtiger Vorteil für Innovatoren: Hersteller von Produkten, die unter beide Verordnungen fallen, können an den KI-Reallaboren gemäß Artikel 57 AI Act teilnehmen. Dies ermöglicht kontrollierte Testumgebungen für innovative Entwicklungen.
Koordinierte Marktüberwachung
Die Marktüberwachung erfolgt koordiniert:
AI Act-Behörden sind auch für CRA-Aspekte bei Hochrisiko-KI-Systemen zuständig
Enge Zusammenarbeit mit CRA-Marktüberwachungsbehörden, CSIRTs und ENISA
Informationsaustausch über relevante Erkenntnisse zwischen den Behörden
Praktische Handlungsempfehlungen
Frühzeitige Klassifizierung: Bestimmen Sie frühzeitig, ob Ihr Produkt unter beide Verordnungen fällt
Integrierte Compliance-Strategie: Entwickeln Sie eine ganzheitliche Compliance-Strategie, die beide Regelwerke berücksichtigt
Dokumentation: Nutzen Sie die Konformitätsvermutung durch sorgfältige Dokumentation der CRA-Compliance
Risikomanagement: Implementieren Sie ein umfassendes Risikomanagement, das sowohl klassische Cybersecurity als auch KI-spezifische Bedrohungen abdeckt
Mit Legal Living Hub bekommst Du moderne Datenschutzberatung und KI-Compliance auf Augenhöhe
Die Überschneidungsregelungen zwischen CRA und AI Act zeigen den Willen des europäischen Gesetzgebers, trotz komplexer Regulierung praktikable Lösungen zu schaffen. Die Konformitätsvermutung und die koordinierte Marktüberwachung sind wichtige Instrumente zur Vermeidung von Doppelbelastungen.
Gleichzeitig bleibt die praktische Anwendung komplex und erfordert sorgfältige Analyse im Einzelfall. Unternehmen sollten frühzeitig rechtliche Beratung einholen und ihre Compliance-Prozesse entsprechend ausrichten.
Die erfolgreiche Navigation durch diese regulatorische Landschaft wird zunehmend zum Wettbewerbsvorteil – sowohl in Bezug auf rechtliche Sicherheit als auch hinsichtlich des Vertrauens von Kunden und Partnern in die Sicherheit und Rechtskonformität der angebotenen Produkte.
Datenschutz und Dokumentation
Datenschutz mit Legal Living Hub: Dein Partner für rechtssichere eCom-Business-Lösungen
Datenschutz ist in der heutigen digitalen Welt von entscheidender Bedeutung, besonders für Unternehmen im E-Commerce. Bei Legal Living Hub unterstütze ich Dich dabei, alle rechtlichen Anforderungen gemäß DSGVO, BDSG und anderen datenschutzrechtlichen Vorschriften einzuhalten.
Warum auch Kleinunternehmer und Startups die Anforderungen aus der DSGVO einhalten müssen:
Selbst Kleinunternehmer und Startups müssen die Vorschriften der DSGVO beachten, da diese Regelungen den Schutz personenbezogener Daten aller Bürger innerhalb der Europäischen Union sicherstellen sollen. Die Einhaltung dieser Vorschriften trägt nicht nur zum Schutz der persönlichen Daten Deiner Kunden bei, sondern stärkt auch das Vertrauen und die Glaubwürdigkeit Deines Unternehmens.
Wann benötigen Unternehmen in Deutschland einen Datenschutzbeauftragten?
Gemäß der DSGVO müssen Unternehmen einen Datenschutzbeauftragten benennen, wenn sie regelmäßig und systematisch personenbezogene Daten in großem Umfang verarbeiten. Dies betrifft in der Regel Unternehmen ab einer bestimmten Größe (ab 20 Mitarbeitern) oder solche, die besonders sensible Daten verarbeiten, wie Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen und Straftaten. Bei Legal Living Hub stehe ich Dir zur Seite, um sicherzustellen, dass Dein E-Commerce-Geschäft nicht nur rechtlich konform ist, sondern auch den höchsten Standards im Datenschutz entspricht. Kontaktiere mich noch heute, um mehr darüber zu erfahren, wie ich Dich unterstützen kann.
Hier sind einige der angebotenen Services:
Workshops zum Datenschutz
Bei mir kannst Du maßgeschneiderte Datenschutz-Workshops buchen, entweder vor Ort oder remote. Ich biete Schulungen sowohl zu den Grundlagen des Datenschutzes als auch spezifisch auf die Bedürfnisse einzelner Abteilungen zugeschnitten an, wahlweise auf Deutsch, Englisch oder Russisch.
Compliance- und Datenschutz-Beauftragter
Interessierst Du Dich für meine umfassenden Pakete? Möchtest Du Legal Living Hub als Deinen Compliance- und Datenschutzbeauftragten einsetzen? Kontaktiere mich gerne über unser Kontaktformular, um mehr über meine Dienstleistungen in diesem Bereich zu erfahren. Hier können wir je nach Bedarf entscheiden, wie du Legal Living Hub einsetzt, bspw. kannst du LLH in deinen Datenschutzhinweisen als Datenschutzbeauftragten angeben und regelmäßigen Austausch mit mir auf monatlicher oder gar wöchentlicher Basis in Anspruch nehmen.
Erstellung interner Datenschutz-Dokumentation
Die Erstellung von Verfahrensverzeichnissen oder Verarbeitungsdokumentationen kann komplex sein. Ich unterstütze Dich mit verständlichen Vorlagen, biete Schulungen zum Ausfüllen dieser Dokumente an und helfe Dir bei Bedarf bei der Erstellung der Dokumentation.
Prüfung vorhandener Datenschutz-Dokumentation
Hast Du bereits Datenschutz-Dokumente erstellt, bist Dir aber unsicher über deren Richtigkeit oder Aktualität? Ich übernehme gerne die Überprüfung Deiner bestehenden Unterlagen und gebe Dir wertvolle Tipps zur Optimierung.
Erstellung von Datenschutzhinweisen, Einwilligungen, Auftragsverarbeitungsvereinbarungen und weiteren Datenschutztexten
Ich helfe Dir bei der Erstellung und Anpassung rechtlicher Texte wie Datenschutzhinweisen, Einwilligungserklärungen und Auftragsverarbeitungsvereinbarungen, um sicherzustellen, dass sie den aktuellen gesetzlichen Anforderungen entsprechen.
Ein Unternehmen im Jahr 2025 aufzubauen bedeutet, von Anfang an auf Vertrauen zu setzen. Gründer:innen, die Datenschutz, Sicherheit und KI-Governance als zentrale Produktmerkmale begreifen, wachsen schneller, vermeiden teure Nachbesserungen und schaffen Vertrauen bei Investor:innen.
Dieser Artikel fasst unsere Masterclass zu einem praxisnahen Leitfaden zusammen, den du sofort umsetzen kannst.
Compliance ist keine Bürokratie – sie ist deine Wachstumsstrategie. Investor:innen, Partner und Kund:innen erwarten von Anfang an Transparenz, Verantwortlichkeit und Bereitschaft. Wer früh die Grundlagen legt, vermeidet teure Korrekturen und Verzögerungen in der Produktentwicklung.
Sanktionen und Geschäftsrisiken
Das Verständnis der Risiken mangelnder Compliance ist für Gründer:innen entscheidend. Regulatorische Rahmenwerke wie die DSGVO und der EU AI Act sollen Individuen schützen und verantwortungsvolle Innovation fördern – Verstöße können jedoch teuer werden. Neben finanziellen Strafen drohen Reputationsverluste, Produktverzögerungen und Vertrauensverlust bei Investor:innen und Kund:innen.
DSGVO: Geldbußen bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes. Häufige Auslöser sind Datenmissbrauch, unzureichende Sicherheit und unrechtmäßige Verarbeitung.
Unzulässiges Marketing: Unerwünschte Werbung kann zu Schadensersatzansprüchen (ca. 5.000 € pro Person) und zusätzlichen Rechtskosten führen.
EU AI Act: Verstöße gegen Transparenz-, Risiko- oder Data-Governance-Pflichten können Bußgelder bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes nach sich ziehen. Hochrisiko-KI unterliegt den strengsten Regeln.
Erste Schritte: Dein rechtliches Fundament
1. Geschäftsmodell prüfen
Stelle sicher, dass deine Tätigkeit in allen Zielmärkten rechtlich zulässig ist. Prüfe, ob dein Produkt oder Service Lizenzen, Zertifikate oder Genehmigungen benötigt. Kläre außerdem, ob du verpflichtet bist, einen Datenschutzbeauftragten (DPO) zu benennen – das ist bei datengetriebenen oder kundennahen Unternehmen oft erforderlich.
2. Online-Auftritt rechtssicher gestalten
Deine Website ist das rechtliche Aushängeschild deines Unternehmens. Sie sollte ein vollständiges Impressum, eine verständliche und aktuelle Datenschutzerklärung sowie ein faires Cookie-Banner enthalten. Ergänze klar formulierte AGB und alle Pflichtinformationen für Verbraucher:innen – so schützt du dich und deine Nutzer:innen.
3. Kund:innen rechtskonform kontaktieren
Bevor du Newsletter oder Werbe-E-Mails verschickst, kläre, wen du ansprechen darfst und auf welcher Rechtsgrundlage. Marketing muss nicht nur DSGVO-konform sein, sondern auch nationale Anti-Spam- und E-Privacy-Vorschriften beachten. Eine saubere Kommunikationsstrategie stärkt Vertrauen und schützt deine Marke.
DSGVO-Grundlagen für Startups
Warum die DSGVO 2025 noch wichtig ist
Seit Mai 2018 setzt die Datenschutz-Grundverordnung (DSGVO) weltweit Maßstäbe für Datenschutz und Rechenschaftspflicht. Sie hat Gesetze von Kalifornien bis Südafrika beeinflusst und prägt, wie Startups weltweit mit personenbezogenen Daten umgehen.
Für Gründer:innen ist die DSGVO sowohl Pflicht als auch Chance: Richtig umgesetzt wird sie zum Fundament für Vertrauen, Transparenz und Skalierbarkeit – ignoriert man sie, drohen Reputationsschäden, Verzögerungen und hohe Risiken.
Zentrale Prinzipien der DSGVO
Rechtmäßigkeit: Jede Datenverarbeitung braucht eine gültige Rechtsgrundlage (z. B. Vertrag, Einwilligung oder berechtigtes Interesse).
Fairness & Transparenz: Nutzer:innen müssen verstehen, wie und warum ihre Daten verarbeitet werde
Datenminimierung: Erhebe nur die Daten, die du wirklich brauchst – weniger ist mehr.
Zweckbindung: Verwende Daten nur für den angegebenen Zweck.
Richtigkeit & Speicherbegrenzung: Halte Daten aktuell und lösche sie, wenn sie nicht mehr benötigt werden.
Integrität & Vertraulichkeit: Schütze Daten mit technischen und organisatorischen Sicherheitsmaßnahmen.
Praktische Schritte zur Umsetzung
Datenflüsse dokumentieren: Welche Daten erhebst du, wo werden sie gespeichert, wer hat Zugriff, wofür werden sie genutzt?
Zugriffsrechte verwalten: Nur Personen mit Bedarf sollten Zugriff auf personenbezogene Daten haben.
Technische Sicherheit stärken: Verschlüsselung, Backups und Notfallpläne sind Pflicht.
Verträge mit Dienstleistern regeln: Schließe Auftragsverarbeitungsverträge (AVV) und prüfe Sicherheitsstandards.
Datenübertragungen absichern: Bei Tools außerhalb der EU Standardvertragsklauseln (SCCs) verwenden und Transfer Impact Assessments durchführen.
Incident Response planen: Bei Datenschutzverletzungen muss die Behörde ggf. binnen 72 Stunden informiert werden.
Häufige Fehler
Veraltete oder unklare Datenschutzerklärungen
Zu starke Fokussierung auf Einwilligungen
Irreführende Cookie-Banner
Überflüssige Formularfelder
Unterschätzte kleine Datenschutzvorfälle
Tipp: Betrachte Datenschutz als Teil deines Produktdesigns – nicht als Nachtrag.
Die EU-Digitalstrategie: Der größere Rahmen
Die EU-Digitalstrategie ergänzt die DSGVO und den AI Act und bildet das Rückgrat der europäischen Datenökonomie. Ihr Ziel ist es, Innovation zu fördern, während Fairness, Verantwortung und Widerstandsfähigkeit im Mittelpunkt stehen.
Für Startups ist sie keine zusätzliche Hürde, sondern ein Fahrplan für nachhaltiges Wachstum in Europa. Sie umfasst Schlüsselinitiativen wie den Data Governance Act, den Digital Markets Act und den Digital Services Act, die klare Regeln für Datenzugang, Plattformen und fairen Wettbewerb schaffen.
Kurz gesagt: Europa will mutige Innovation aber mit Transparenz, Nutzer:innenschutz und ethischer Datennutzung als Kernprinzipien.
EU AI Act verstehen
Der EU Artificial Intelligence Act (AI Act) ist eines der ersten umfassenden Regelwerke für künstliche Intelligenz weltweit. Er gilt für Entwickler:innen, Anbieter:innen und Nutzer:innen von KI-Systemen mit EU-Bezug – auch außerhalb Europas.
Der AI Act folgt einem risikobasierten Ansatz: Je höher das Risiko für Menschen oder die Gesellschaft, desto strenger die Anforderungen. Niedrigrisiko-Anwendungen unterliegen nur geringen Pflichten, während Hochrisiko-KI (z. B. in Medizin, Personalwesen oder kritischer Infrastruktur) umfassende Dokumentations- und Governancepflichten erfüllen muss.
Die Umsetzung erfolgt schrittweise, um insbesondere Startups und KMU Zeit zur Anpassung zu geben:
Zeitplan
August 2024: Verordnung tritt in Kraft
Februar 2025: Verbot „inakzeptabler“ KI-Systeme (z. B. manipulative oder Social-Scoring-Anwendungen)
August 2025: Pflichten zu Governance und Transparenz treten in Kraft
2026–2027: Vollständige Anforderungen für Hochrisiko-KI gelten
Was Gründer:innen jetzt tun sollten
Prüfe, ob dein Produkt unter den AI Act fällt und welche Rolle du einnimmst (Entwickler:in, Anbieter:in, Nutzer:in).
Bewerte das Risiko deines Systems (minimal, begrenzt, hoch, verboten).
Dokumentiere Daten und Prozesse: Trainingsdaten, Nachvollziehbarkeit und menschliche Kontrolle sind entscheidend.
Sichere Datenqualität: Hochwertige und faire Datensätze vermeiden Diskriminierung und stärken Rechenschaftspflicht.
Integriere KI-Compliance in deine Digitalstrategie – zusammen mit Datenschutz, Ethik und IT-Sicherheit.
Mach Compliance zu deiner DNA
Compliance ist kein Hindernis, sondern ein Wettbewerbsvorteil. Startups, die Datenschutz, Sicherheit und Governance ernst nehmen, gewinnen Vertrauen, reduzieren Risiken und überzeugen Investor:innen.
Early Stage: Fokus auf Datenschutz, Impressum, NDAs, Cookie-Banner und AGB.
Seed Stage: Erweiterung auf Mitarbeitendendatenschutz, Vertragsrahmen und DSGVO-Dokumentation.
Growth Stage: Vorbereitung auf internationale Datenübertragungen, AI-Act-Readiness und Due Diligence.
Wer Compliance in seine DNA integriert, zeigt: Dieses Unternehmen ist reif, vertrauenswürdig und zukunftsfähig.
Fazit
Der Weg zu nachhaltigem Wachstum führt heute über Vertrauen, Transparenz und Verantwortung. Compliance ist kein Selbstzweck, sondern ein strategischer Baustein für erfolgreiche Unternehmen. Wer Datenschutz, IT-Sicherheit und KI-Governance von Anfang an in sein Geschäftsmodell integriert, spart langfristig Zeit, Kosten und Risiken und gewinnt das Vertrauen von Kund:innen, Partnern und Investor:innen.
Startups, die rechtliche und ethische Standards als Teil ihrer DNA verstehen, schaffen nicht nur ein solides Fundament, sondern gestalten aktiv die digitale Zukunft Europas mit.
Wenn Du Dir nicht sicher bist und rechtliche Unterstützung bei der Umsetzung brauchst, wende dich an uns.
Pseudonymisierte Daten und ihre Weitergabe an Dritte
Mehr Rechtsklarheit im Datenschutz durch europäische Rechtsprechung
Ein wegweisendes EuGH-Urteil (Rechtssache C-413/23 P) schafft endlich Rechtsklarheit im Datenschutzrecht. Mit seiner Entscheidung vom 4. September 2025 legt der Europäische Gerichtshof (EuGH) fest, wie pseudonymisierte Daten im Rahmen der DSGVO zu behandeln sind – und wann ihre Weitergabe an Dritte ohne zusätzliche Datenschutzpflichten möglich ist.
Das Urteil definiert präzise, wann pseudonymisierte Daten nicht mehr als personenbezogen gelten und welche rechtlichen Konsequenzen sich daraus für Unternehmen ergeben. Dadurch wird deutlich, unter welchen Bedingungen die DSGVO bei der Datenweitergabe an Dritte nicht greift.
Für Startups, Unternehmen und Datenschutzbeauftragte ist das Urteil ein entscheidender Leitfaden für rechtssichere Datenverarbeitung – insbesondere beim Umgang mit pseudonymisierten oder anonymisierten Datensätzen im europäischen Rechtsraum.
Kurz gesagt:
Meinungsäußerungen sind personenbezogenen Daten
Pseudonymisierte Daten sind nicht immer personenbezogen
Zeitpunkt entscheidet über die Informationspflicht
Kernaussagen des Urteils: Eine Zusammenfassung
Personenbezug von Meinungsäußerungen
Persönliche Meinungen und Sichtweisen konstituieren personenbezogene Daten. Diese müssen nicht in jedem Fall hinsichtlich ihres Inhalts, Verwendungszwecks oder ihrer Auswirkungen geprüft werden, um ihren Personenbezug zu erkennen.
Pseudonymisierung bedeutet nicht automatisch, dass Daten für jede andere Person als den Verantwortlichen identifizierbar sind. Ausschließlich wenn Dritte über die Mittel verfügen, die betroffene Person zu identifizieren, gelten die Daten auch für sie als personenbezogen.
Zeitpunkt der Informationspflicht
Die Informationspflicht nach Art. 15 Abs. 1 Buchst. d ist bereits zum Zeitpunkt der Erhebung personenbezogener Daten durch den Verantwortlichen zu erfüllen. Dies ist unabhängig davon, wie der Drittempfänger die Daten beim Empfang klassifiziert – ob als anonymisiert oder personenbezogen.
Hintergrund: Die Abwicklung der Banco Popular Español
Der Ausgangssachverhalt
Der Rechtsstreit nimmt seinen Ursprung in der Abwicklung der Banco Popular Español SA. Am 7. Juni 2017 beschloss das Single Resolution Board (SRB) – ein europäisches Gremium für Bankenabwicklungen – die Abwicklung der Bank, nachdem die gesetzlichen Voraussetzungen hierfür erfüllt waren. Im Zuge dessen wurden die Geschäftsanteile an einen Erwerber übertragen sowie bestimmte Kapitalinstrumente herabgeschrieben oder konvertiert. Die Europäische Kommission genehmigte diesen Abwicklungsplan am selben Tag.
Die Bewertungsprüfung durch Deloitte
Nach Vollzug der Abwicklung mandatierte das SRB die Wirtschaftsprüfungsgesellschaft Deloitte mit einer umfassenden Bewertung. Deren Aufgabe bestand darin zu evaluieren, ob die Aktionäre und Gläubiger der Bank im Vergleich zu einem regulären Insolvenzverfahren besser oder schlechter gestellt wurden. Diese Bewertungsprüfung fand ihren Abschluss im Juni 2018.
Im August 2018 publizierte das SRB eine vorläufige Entscheidung und forderte die betroffenen Aktionäre sowie Gläubiger auf, ihr Interesse an einer Anhörung zu bekunden, um abschließend über potenzielle Entschädigungsansprüche zu entscheiden.
Datenverarbeitung: Das technische Verfahren im Detail
Registrierungsphase und Zugriffsberechtigungen
Während der Registrierungsphase wurden die personenbezogenen Daten der betroffenen Aktionäre und Gläubiger sowie Nachweise über deren Kapitalinstrumente ausschließlich einem limitierten Kreis von SRB-Mitarbeitern zugänglich gemacht. Diese autorisierten Personen mussten die Informationen verarbeiten, um über mögliche Kompensationsansprüche zu befinden.
Pseudonymisierung durch alphanumerische Codes
Die Mitarbeiter, welche in der nachfolgenden Phase die eingereichten Stellungnahmen aus der Konsultationsphase bearbeiteten, verfügten über keinerlei Zugriff auf diese personenbezogenen Daten. Jede einzelne Stellungnahme war mit einem 33-stelligen, randomisiert generierten alphanumerischen Code versehen, der die Identität der Verfasser verschlüsselte und anonymisierte.
Systematische Bearbeitung der Stellungnahmen
In einem ersten Verarbeitungsschritt sortierte das SRB die 23.822 eingereichten Stellungnahmen von 2.855 Beteiligten und identifizierte dabei 20.101 Duplikate. Ausschließlich die Erstversion jeder identischen Stellungnahme wurde einer inhaltlichen Prüfung unterzogen.
Im zweiten Verarbeitungsschritt erfolgte eine thematische Kategorisierung der relevanten Stellungnahmen: 3.730 Stellungnahmen wurden identifiziert, die entweder die vorläufige Entscheidung des SRB oder die Bewertungsprüfung von Deloitte betrafen. Während das SRB die Stellungnahmen zur vorläufigen Entscheidung eigenständig bearbeitete, wurden die 1.104 Stellungnahmen zur Bewertung am 17. Juni 2019 über einen gesicherten Server an Deloitte übermittelt. Lediglich eine limitierte Anzahl autorisierter Deloitte-Mitarbeiter konnte auf diese Dokumente zugreifen.
Informationsseparierung bei Deloitte
Deloitte erhielt ausschließlich die Stellungnahmen mit alphanumerischem Identifikationscode, ohne jeglichen Zugriff auf die ursprünglichen Registrierungsdaten oder Identifizierungsinformationen. Duplikate wurden eliminiert, sodass Deloitte nicht rekonstruieren konnte, ob mehrere Personen identische Stellungnahmen eingereicht hatten. Der Code diente lediglich der Nachvollziehbarkeit und Beweissicherung. Deloitte verfügte zu keinem Zeitpunkt über Zugang zu den personenbezogenen Daten der Beteiligten.
Die datenschutzrechtliche Beschwerde
Im Oktober und Dezember 2019 reichten betroffene Aktionäre und Gläubiger beim Europäischen Datenschutzausschuss (EDSB) fünf Beschwerden ein. Der zentrale Vorwurf lautete: Sie seien nicht darüber informiert worden, dass ihre im Fragebogen erhobenen Daten an Deloitte und Banco Santander weitergegeben würden. Die Beschwerdeführer beriefen sich auf die Datenschutz-Grundverordnung (DSGVO) und sahen einen Verstoß gegen deren Art. 15 Abs. 1 Buchst. d.
Der EDSB kam in seiner Entscheidung zu dem Schluss, dass das SRB gegen Art. 15 der Verordnung 2018/1725 verstoßen hatte, da die Betroffenen nicht über die potenzielle Weitergabe ihrer personenbezogenen Daten an Deloitte informiert wurden.
Als Konsequenz verwarnte der EDSB das SRB gemäß Art. 58 Abs. 2 Buchst. b DSGVO für diesen Verstoß. Der EDSB qualifizierte die vom SRB an Deloitte übermittelten Daten als pseudonymisiert, da die Stellungnahmen personenbezogene Daten enthielten und über einen alphanumerischen Code verknüpft werden konnten, obwohl Deloitte keine direkten Identifikationsangaben erhielt. Deloitte wurde nach Auffassung des EDSB dennoch als Empfänger personenbezogener Daten im Sinne von Art. 3 Nr. 13 der Verordnung 2018/1725 eingestuft.
Das Verfahren vor dem EuGH
Beanstandung durch das SRB
Das SRB beanstandete diese Entscheidung vor dem Europäischen Gerichtshof. Folgende zwei zentrale Punkte seien nach Ansicht des SRB fehlerhaft ausgelegt worden:
Voraussetzung gemäß Art. 3 Nr. 1 der Verordnung 2018/1725, dass sich die Informationen auf eine natürliche Person „beziehen“
Voraussetzung gemäß Art. 3 Nr. 1 der Verordnung 2018/1725, dass sich die Informationen auf eine „identifizierbare“ natürliche Person beziehen
Personenbezug von Meinungsäußerungen
Der EDSB argumentierte, dass die an Deloitte übermittelten Stellungnahmen personenbezogene Daten darstellten, da sie persönliche Meinungen und Sichtweisen der betroffenen Anteilseigner und Gläubiger enthielten. Datenschutzbehörden müssten nicht in jedem Fall den spezifischen Inhalt, Verwendungszweck oder die konkreten Auswirkungen prüfen, um zu erkennen, dass es sich um personenbezogene Daten handelt, da die Stellungnahmen eindeutig mit identifizierbaren Personen verbunden seien.
Das vorinstanzliche Gericht hatte hingegen gefordert, dass Inhalt, Zweck und Auswirkungen der Stellungnahmen geprüft werden müssten, um deren Personenbezug festzustellen.
Klarstellung des Gerichtshofs
Der Gerichtshof stellt unmissverständlich klar, dass persönliche Meinungen oder Sichtweisen automatisch personenbezogene Daten konstituieren, weil sie untrennbar mit der Person verbunden sind, die sie äußert. Daher stellte es einen Rechtsfehler des Gerichts dar zu fordern, der EDSB hätte zusätzliche Prüfungen vornehmen müssen. Dem ersten Teil des Rechtsmittelgrundes war stattzugeben.
Identifizierbarkeit pseudonymisierter Daten
Der EDSB beanstandete, dass das vorinstanzliche Gericht fälschlicherweise entschieden habe, die an Deloitte übermittelten Stellungnahmen seien nicht auf eine „identifizierbare“ Person bezogen. Er argumentierte, dass pseudonymisierte Daten stets personenbezogen seien, wenn sie mit zusätzlichen Informationen einer Person zugeordnet werden könnten.
Entscheidende Differenzierung des Gerichtshofs
Der Gerichtshof stellt jedoch unmissverständlich klar, dass Pseudonymisierung nicht automatisch bedeutet, dass Daten für jede andere Person als den Verantwortlichen identifizierbar sind. Ausschließlich wenn Dritte über die Mittel verfügen, die betroffene Person zu identifizieren, gelten die Daten auch für sie als personenbezogen. Daher muss nicht jede pseudonymisierte Information automatisch als personenbezogen qualifiziert werden. Die Rüge des EDSB wurde in diesem Punkt zurückgewiesen.
Informationspflicht des Verantwortlichen
Der zweite Teil des ersten Rechtsmittelgrundes betrifft die Auslegung der Voraussetzung der „Identifizierbarkeit“ nach Art. 3 Nr. 1 der Verordnung 2018/1725. Der EDSB rügte, dass das Gericht die Identifizierbarkeit der betroffenen Personen aus der Perspektive des Empfängers (Deloitte) hätte evaluieren müssen.
Der Gerichtshof stellt hingegen eindeutig klar, dass die Informationspflicht nach Art. 15 Abs. 1 Buchst. d bereits zum Zeitpunkt der Erhebung personenbezogener Daten durch den Verantwortlichen (SRB) zu erfüllen ist und sich daher auf die Perspektive des Verantwortlichen bezieht. Es ist dabei unerheblich, ob ein späterer Empfänger die Daten als personenbezogen einstuft oder pseudonymisiert verarbeitet.
Die Pflicht, die betroffene Person über potenzielle Empfänger zu informieren, dient dem Zweck, dass diese in vollständiger Kenntnis aller relevanten Umstände über die Datenverarbeitung entscheiden und ihre Betroffenenrechte wahrnehmen kann. Der Gerichtshof hält daher die Rüge des EDSB für begründet, dass es ein Rechtsfehler war, die Identifizierbarkeit aus der Perspektive von Deloitte zu prüfen.
Implikationen für Unternehmen und Organisationen
Neue Spielräume bei der Datenverarbeitung
Die Entscheidung eröffnet Unternehmen neue Möglichkeiten: Daten lassen sich in pseudonymisierter Form an Dritte ohne den „Entschlüsselungsmechanismus“ weiterleiten und analysieren, ohne dass der Drittempfänger unmittelbar in die Regelungen der DSGVO fällt. Dies eröffnet die Möglichkeit, solche Datensätze relativ frei zu analysieren, ohne dass die DSGVO bzw. Verordnung 2018/1725 direkt greift – solange Dritte die Identifizierbarkeit nicht wiederherstellen können.
Dies ermöglicht weitreichende Möglichkeiten für innovative Geschäftsmodelle und Forschungsprojekte. Wie Unternehmen diese neuen Erkenntnisse in Zukunft handhaben werden und wie dieses EuGH-Urteil wegweisenden Einfluss auf zukünftige Datenanalysen nimmt, wird sich in der Praxis zeigen.
Auswirkungen auf Datenanalyse und Künstliche Intelligenz
KI-Modelle und Machine-Learning-Algorithmen, die auf pseudonymisierten Datensätzen trainiert werden, könnten künftig reichhaltige Informationen und Erkenntnisse gewinnen, ohne dass Unternehmen oder Forschungseinrichtungen direkt datenschutzrechtlich haften, sofern der Zugang zu Identifikationsinformationen fehlt. Dies könnte innovative Anwendungen und technologische Entwicklungen beschleunigen, etwa:
Personalisierte Dienste und Empfehlungssysteme
Risikobewertungen und Predictive Analytics
Marktanalysen und Business Intelligence
Medizinische Forschung und Diagnostik
All dies wird möglich, ohne dass die Datenbetroffenen unmittelbar tangiert sind.
Gleichzeitig verbleibt die datenschutzrechtliche Verantwortung beim ursprünglichen Datensammler: Wenn der Entschlüsselungsmechanismus existiert, sind die Daten weiterhin als personenbezogen zu qualifizieren, und der Umgang damit muss DSGVO-konform erfolgen.
Risiken und ethische Fragestellungen
Gefahr der Re-Identifikation
Unternehmen könnten in Versuchung geraten, sehr detaillierte Analysen auf pseudonymisierten Daten durchzuführen und daraus indirekt Profile zu erstellen, die die Identifizierbarkeit wiederherstellen könnten – dies ist rechtlich hochgradig problematisch und darf nicht außer Acht gelassen werden.
KI-spezifische Herausforderungen
KI-Modelle und neuronale Netze lernen oft komplexe Muster, die Rückschlüsse auf Einzelpersonen zulassen können (sogenannte Re-Identifikation über Inferenz oder Linking Attacks). Selbst pseudonymisierte Daten können durch KI-Algorithmen und externe Datenquellen potenziell deanonymisiert werden.
Technische und organisatorische Schutzmaßnahmen
Unternehmen müssen daher robuste technische und organisatorische Maßnahmen implementieren, um diese Risiken effektiv minimieren zu können:
Differential Privacy-Techniken: Diese mathematischen Verfahren fügen den Daten kontrolliertes statistisches Rauschen hinzu, sodass einzelne Datenpunkte nicht mehr eindeutig identifizierbar sind, während die Gesamtstatistik weitgehend erhalten bleibt. Dies ermöglicht aussagekräftige Analysen, ohne dass individuelle Personen rekonstruiert werden können.
K-Anonymität und L-Diversität: Bei der K-Anonymität wird sichergestellt, dass jede Person in einem Datensatz mindestens k-1 andere Personen mit identischen Attributen hat, wodurch die Zuordnung zu einer spezifischen Person erschwert wird. L-Diversität geht noch weiter und gewährleistet, dass sensible Attribute innerhalb dieser Gruppen ausreichend divers sind, um Rückschlüsse auf Einzelpersonen zu verhindern.
Strikte Zugriffskontrollen: Implementierung eines mehrstufigen Berechtigungskonzepts mit dem Need-to-Know-Prinzip, bei dem nur autorisierte Mitarbeiter mit nachgewiesenem berechtigtem Interesse Zugriff auf pseudonymisierte Datensätze erhalten. Dies umfasst technische Zugriffsbeschränkungen, Authentifizierungsverfahren und Protokollierung aller Datenzugriffe.
Regelmäßige Privacy Impact Assessments: Systematische Datenschutz-Folgenabschätzungen sollten in regelmäßigen Intervallen durchgeführt werden, um potenzielle Risiken für die Rechte und Freiheiten der Betroffenen frühzeitig zu identifizieren. Diese Assessments evaluieren die Verhältnismäßigkeit der Datenverarbeitung und identifizieren Schwachstellen im Datenschutzkonzept.
Monitoring von Re-Identifikationsrisiken: Kontinuierliche Überwachung und Bewertung der Re-Identifikationswahrscheinlichkeit durch technische Tools und Experten-Reviews. Dies beinhaltet die Analyse, ob durch Kombination mit externen Datenquellen oder durch fortgeschrittene Analysetechniken eine Wiederherstellung der Identifizierbarkeit möglich wäre, sowie die proaktive Anpassung der Schutzmaßnahmen bei erkannten Risiken.
Ausblick und Fazit
Trend zur Pseudonymisierung und neue Rahmenbedingungen
Das EuGH-Urteil könnte den Einsatz pseudonymisierter Daten in Wirtschaft und Forschung deutlich stärken. Für KI-Entwicklung bedeutet das: mehr verfügbare Trainingsdaten, aber auch strengere Verantwortung bei der Vermeidung von Re-Identifikation. Zugleich setzt die Entscheidung Maßstäbe für die Regulierung von KI-Systemen – etwa bei Transparenz, Erklärbarkeit, Fairness und technischen Sicherheitsstandards.
Fazit
Das Urteil eröffnet neue Spielräume für Datenanalyse und KI, betont aber zugleich die Verantwortung der Datenverarbeiter. Unternehmen müssen sorgfältig abwägen, wie weit Analysen gehen dürfen, um Datenschutzrisiken zu vermeiden. Die Herausforderung bleibt, Innovation und Datenschutz in ein ausgewogenes Verhältnis zu bringen.
Was ist ein KI-System?
KI-Systeme nach der EU-KI-Verordnung: Ein umfassender Leitfaden
Einführung in die KI-System-Definition
Die EU-KI-Verordnung (EU AI Act) stellt einen bahnbrechenden Regulierungsrahmen dar, der globale Standards für die Governance von Künstlicher Intelligenz etabliert. Während sich Organisationen weltweit auf die Einhaltung dieser Vorschriften vorbereiten, stellt sich eine grundlegende Frage: Was genau gilt als KI-System nach diesem umfassenden rechtlichen Rahmenwerk? Der Europäische Datenschutzausschuss (EDSA) hat entscheidende Klarheit in dieser Angelegenheit geschaffen und eine präzise KI-System-Definition bereitgestellt, die Rechtssicherheit mit der notwendigen Flexibilität für schnelle technologische Entwicklungen in Einklang bringt.
Einführung in die KI-System-Definition
Die EU-KI-Verordnung (EU AI Act) stellt einen bahnbrechenden Regulierungsrahmen dar, der globale Standards für die Governance von Künstlicher Intelligenz etabliert. Während sich Organisationen weltweit auf die Einhaltung dieser Vorschriften vorbereiten, stellt sich eine grundlegende Frage: Was genau gilt als KI-System nach diesem umfassenden rechtlichen Rahmenwerk? Der Europäische Datenschutzausschuss (EDSA) hat entscheidende Klarheit in dieser Angelegenheit geschaffen und eine präzise KI-System-Definition bereitgestellt, die Rechtssicherheit mit der notwendigen Flexibilität für schnelle technologische Entwicklungen in Einklang bringt.
Die KI-System-Definition nach der EU-KI-Verordnung unterscheidet Künstliche Intelligenz von herkömmlicher Software durch eine kritische Fähigkeit. Während traditionelle Programme vorbestimmte, von Menschen geschriebene Regeln und Anweisungen ausführen, besitzen KI-Systeme die grundlegende Fähigkeit, eigenständige Schlussfolgerungen zu ziehen. Das bedeutet, sie können Vorhersagen generieren, Empfehlungen aussprechen, originäre Inhalte erstellen oder autonome Entscheidungen treffen, die sowohl physische als auch digitale Umgebungen direkt beeinflussen.
Wesentliche Eigenschaften von KI-Systemen
Die regulatorische KI-System-Definition umfasst mehrere Schlüsselmerkmale, die Organisationen für die Compliance verstehen müssen:
Inferenz- und Lernfähigkeiten: KI-Systeme demonstrieren die Fähigkeit, Modelle, Algorithmen oder Muster direkt aus Daten abzuleiten, anstatt einfach vorprogrammierte statische Regeln zu befolgen. Diese Lernkapazität stellt einen fundamentalen Wandel gegenüber traditionellen rechnerischen Ansätzen dar.
Maschinenbasierte Operationen: Die KI-System-Definition betont die Automatisierung durch maschinenbasierte Verarbeitung und hebt die technologische Infrastruktur hervor, die Funktionalitäten der Künstlichen Intelligenz ermöglicht.
Zielorientiertes Verhalten: KI-Systeme arbeiten auf spezifische Ziele hin, unabhängig davon, ob diese Ziele explizit programmiert oder implizit durch Trainingsprozesse erlernt wurden. Dieses zweckmäßige Verhalten unterscheidet KI von zufälligen rechnerischen Prozessen.
Autonome Funktionalität: Ein entscheidender Aspekt der KI-System-Definition beinhaltet verschiedene Grade der Unabhängigkeit von direkten menschlichen Eingriffen. KI-Systeme können mit unterschiedlichen Autonomieebenen operieren, von menschlich überwachten bis hin zu vollständig autonomen Entscheidungsprozessen.
Adaptive Evolution: Viele KI-Systeme besitzen die Fähigkeit, sich weiterzuentwickeln und ihre Leistung im Laufe der Zeit durch das Lernen aus neuen Dateneingaben und Erfahrungen zu verbessern, wodurch sie zu dynamischen anstatt statischen technologischen Lösungen werden.
Implementierungsflexibilität
Die KI-System-Definition ermöglicht erhebliche Implementierungsflexibilität. KI-Systeme können als eigenständige Anwendungen fungieren oder in größere Produkte und Dienstleistungen eingebettet werden, wodurch dieser regulatorische Rahmen über diverse Branchen und Anwendungsfälle hinweg anwendbar wird.
Regulatorische Auswirkungen und Compliance-Anforderungen
Auswirkungen der rechtlichen Klassifizierung
Das Verständnis der KI-System-Definition hat erhebliche regulatorische Konsequenzen für Unternehmen und Organisationen. Unternehmen müssen sorgfältig bewerten, ob ihre technologischen Lösungen die in der KI-Verordnung definierten Kriterien erfüllen und anschließend entsprechende rechtliche Verpflichtungen einhalten. Dieser Klassifizierungsprozess bestimmt das Niveau der regulatorischen Prüfung und der Compliance-Anforderungen, die für spezifische KI-Implementierungen gelten.
Hochrisiko-KI-System-Kategorien
Die KI-System-Definition wird besonders kritisch bei der Identifizierung von Hochrisiko-Anwendungen. KI-Systeme, die in sensiblen Bereichen wie Gesundheitsdiagnostik, Strafverfolgungsaktivitäten, Beschäftigungsscreening und Bildungsbewertung eingesetzt werden, unterliegen wesentlich strengeren regulatorischen Anforderungen. Organisationen, die in diesen Bereichen tätig sind, müssen umfassende Risikomanagement-Frameworks implementieren, Transparenz in KI-Entscheidungsprozessen gewährleisten und detaillierte Dokumentationen der Systemleistung führen.
Praktische Implementierung und Risikobewertung
Entwicklung von Compliance-Frameworks
Organisationen, die die komplexe Landschaft der KI-System-Definition navigieren möchten, sollten die Entwicklung umfassender Compliance-Playbooks in Betracht ziehen. Diese Frameworks sollten bestehende KI-Implementierungen systematisch gegen regulatorische Definitionen abbilden, gründliche Risikobewertungen durchführen und kontinuierliche Überwachungsverfahren etablieren, um eine fortlaufende Compliance sicherzustellen, während sich sowohl Technologie als auch Vorschriften weiterentwickeln.
Strategischer Ansatz für KI-Governance
Erfolgreiche Compliance mit der KI-System-Definition erfordert einen strategischen Ansatz, der technisches Verständnis mit rechtlicher Expertise kombiniert. Organisationen profitieren davon, funktionsübergreifende Teams zu schaffen, die Datenwissenschaftler, Rechtsprofessionals und Compliance-Spezialisten einschließen, um eine umfassende Abdeckung aller regulatorischen Anforderungen zu gewährleisten.
Zukunftsbetrachtungen und Branchenauswirkungen
Globaler regulatorischer Einfluss
Die KI-System-Definition der EU-KI-Verordnung wird wahrscheinlich regulatorische Frameworks weltweit beeinflussen, da internationale Organisationen und Regierungen das europäische Modell als Orientierung betrachten. Unternehmen, die global operieren, sollten berücksichtigen, wie diese Definition zukünftige regulatorische Anforderungen in anderen Rechtsordnungen prägen könnte.
Technologische Evolution und regulatorische Anpassung
Da sich die Technologie der Künstlichen Intelligenz weiterhin rasant entwickelt, bietet die durch die EU-KI-Verordnung etablierte KI-System-Definition eine Grundlage, die zukünftige Innovationen aufnehmen kann, während sie gleichzeitig regulatorische Aufsicht aufrechterhält. Dieses Gleichgewicht zwischen Innovation und Regulierung stellt eine kritische Errungenschaft in der Technologie-Governance dar.
Fazit
Die durch die EU-KI-Verordnung etablierte KI-System-Definition repräsentiert einen umfassenden Rahmen für das Verständnis und die Regulierung von Anwendungen der Künstlichen Intelligenz. Durch den Fokus auf die Fähigkeit, Schlussfolgerungen zu ziehen und autonome Outputs zu generieren, bietet diese Definition klare Orientierung für Organisationen, während sie gleichzeitig die Flexibilität beibehält, die für technologische Weiterentwicklungen benötigt wird. Während sich Unternehmen auf die Compliance vorbereiten, wird das Verständnis dieser KI-System-Definition für die erfolgreiche Navigation der sich entwickelnden regulatorischen Landschaft unerlässlich.
Organisationen, die diese Anforderungen proaktiv durch umfassende Risikobewertungs-Frameworks und Compliance-Playbooks angehen, werden besser positioniert sein, um KI-Technologie zu nutzen und gleichzeitig regulatorische Verpflichtungen zu erfüllen. Der zukünftige Erfolg von KI-Implementierungen wird zunehmend davon abhängen, Innovation mit verantwortungsvoller Governance in Einklang zu bringen, wodurch die KI-System-Definition zu einem Eckpfeiler moderner Strategien für Künstliche Intelligenz wird.
Wenn Du Dir nicht sicher bist und rechtliche Unterstützung bei der Umsetzung brauchst, wende dich an uns.
Der EU Data Act revolutioniert den Umgang mit Daten
Der Data Act der Europäischen Union stellt eine der bedeutendsten Änderungen im europäischen Datenrecht dar und betrifft nahezu jedes Unternehmen, das mit vernetzten Produkten oder digitalen Diensten arbeitet.
Der Data Act ist eine EU-Verordnung, die den fairen Zugang zu und die Nutzung von Daten in der gesamten Europäischen Union regelt. Die Verordnung schafft einen rechtlichen Rahmen, der es Nutzern ermöglicht, auf die von ihren vernetzten Produkten und Diensten generierten Daten zuzugreifen und diese zu nutzen.
Der Data Act zielt darauf ab, das Ungleichgewicht bei der Datennutzung zwischen großen Technologieunternehmen und Verbrauchern sowie kleineren Unternehmen zu beseitigen. Er stärkt die Rechte der Nutzer und schafft neue Möglichkeiten für Innovation und Wettbewerb in der digitalen Wirtschaft.
Ab wann gilt der Data Act? Wichtige Fristen für dein Unternehmen
Der Data Act tritt stufenweise in Kraft. Die Verordnung ist bereits am 11. Januar 2024 in Kraft getreten, jedoch gelten verschiedene Übergangsfristen:
Für neue Produkte: Ab dem 12. September 2025 müssen alle neuen vernetzten Produkte die Anforderungen des Data Act erfüllen
Für bestehende Produkte: Unternehmen haben bis zum 12. September 2027 Zeit, um ihre bereits auf dem Markt befindlichen Produkte anzupassen
Diese Fristen solltest du unbedingt in deiner Compliance-Planung berücksichtigen.
Vernetzte Produkte und verbundene Dienste: Definition und Beispiele
Der Data Act unterscheidet zwischen „vernetzten Produkten“ und „verbundenen Diensten“. Vernetzte Produkte sind physische Gegenstände, die Daten sammeln können und über eine elektronische Kommunikationsverbindung verfügen. Dazu gehören beispielsweise:
Smart-Home-Geräte wie intelligente Thermostate oder Sicherheitskameras
Fitness-Tracker und Smartwatches
Vernetzte Fahrzeuge und deren Bordsysteme
Industrielle IoT-Geräte und Sensoren
Verbundene Dienste sind digitale Services, die in Verbindung mit diesen Produkten stehen, wie mobile Apps zur Gerätesteuerung oder Cloud-basierte Analyseplattformen.
Welche Daten müssen Unternehmen nach dem Data Act bereitstellen?
Der Data Act verpflichtet Unternehmen zur Bereitstellung verschiedener Datenkategorien. Diese umfassen alle Daten, die durch die Nutzung vernetzter Produkte oder verbundener Dienste generiert werden.
Produktdaten und ihre Bedeutung
Produktdaten umfassen alle Informationen, die direkt durch die Nutzung eines vernetzten Produkts entstehen. Bei einem Smart-Thermostat wären das beispielsweise Temperaturmessungen, Heizzyklen oder Energieverbrauchsdaten. Diese Daten müssen dem Nutzer in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden.
Dienstdaten richtig verstehen
Dienstdaten entstehen durch die Nutzung verbundener Dienste und können Nutzungsstatistiken, Präferenzen oder Interaktionsmuster umfassen. Ein praktisches Beispiel wären die Nutzungsdaten einer Fitness-App, die mit einem Wearable-Gerät verbunden ist.
Software und Apps im Data Act
Auch Software-Updates, App-Funktionalitäten und deren Nutzung fallen unter den Anwendungsbereich des Data Act. Unternehmen müssen sicherstellen, dass Nutzer Zugang zu den durch ihre Software generierten Daten erhalten.
Datenweitergabe verweigern: Wann ist das erlaubt?
Grundsätzlich dürfen Unternehmen die Datenweitergabe nur in begründeten Ausnahmefällen verweigern. Der Data Act sieht vor, dass eine Verweigerung nur bei berechtigten Sicherheitsbedenken zulässig ist.
Berechtigte Sicherheitsbedenken liegen vor, wenn die Datenweitergabe die Sicherheit des Produkts, des Dienstes oder der Nutzer gefährden würde. Dazu gehören beispielsweise Situationen, in denen sensible Sicherheitsinformationen preisgegeben werden könnten oder die Weitergabe zu Cybersicherheitsrisiken führen würde.
Dürfen Nutzer ihre Daten an Dritte weitergeben?
Ein wichtiger Aspekt des Data Act ist die Portabilität der Daten. Nutzer haben das Recht, ihre Daten an Dritte weiterzugeben, einschließlich Konkurrenten des ursprünglichen Anbieters. Dies soll den Wettbewerb fördern und Innovation vorantreiben.
Du als Unternehmen musst technische und organisatorische Maßnahmen implementieren, die es Nutzern ermöglichen, ihre Daten einfach und sicher an Dritte zu übertragen. Dabei müssen angemessene Sicherheitsvorkehrungen getroffen werden, um Missbrauch zu verhindern.
Welche Pflichten haben Händler und Online-Shop-Betreiber?
Als Händler oder Online-Shop-Betreiber triffst du verschiedene Verpflichtungen nach dem Data Act. Diese hängen davon ab, ob du als Hersteller, Importeur oder Händler von vernetzten Produkten fungierst.
Informationspflichten für Händler
Du musst deine Kunden klar und verständlich über ihre Datenrechte informieren. Dazu gehört die Aufklärung darüber, welche Daten gesammelt werden, wie sie genutzt werden und wie Kunden auf ihre Daten zugreifen können.
Technische Umsetzung der Datenportabilität
Online-Shop-Betreiber müssen sicherstellen, dass die von ihnen verkauften vernetzten Produkte die technischen Anforderungen für Datenportabilität erfüllen. Das bedeutet, dass entsprechende APIs oder andere technische Schnittstellen implementiert werden müssen.
Pflichten nach dem Data Act im Überblick
Die wichtigsten Verpflichtungen für Unternehmen nach dem Data Act lassen sich wie folgt zusammenfassen:
Bereitstellungspflicht: Du musst Nutzern kostenlos Zugang zu ihren Daten gewähren und diese in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen.
Informationspflicht: Klare und transparente Information der Nutzer über Datensammlung, -verarbeitung und -rechte ist obligatorisch.
Technische Implementierung: Die notwendigen technischen Systeme zur Datenportabilität müssen bis zu den genannten Fristen umgesetzt werden.
Sicherheitspflicht: Angemessene Sicherheitsmaßnahmen zum Schutz der übertragenen Daten müssen implementiert werden.
Dokumentationspflicht: Die Compliance mit dem Data Act muss nachweisbar dokumentiert werden.
Data Act Compliance: Lass dich professionell beraten
Die Umsetzung des Data Act kann komplex sein und erfordert sowohl rechtliches als auch technisches Know-how. Falls du dir unsicher bist, wie du die Anforderungen in deinem Unternehmen umsetzen sollst, stehen wir dir als erfahrene Rechtsberater gerne zur Seite.
Wir helfen dir dabei, eine maßgeschneiderte Compliance-Strategie zu entwickeln, die rechtlichen Anforderungen zu verstehen und die notwendigen technischen und organisatorischen Maßnahmen zu implementieren. Kontaktiere uns für eine individuelle Beratung – gemeinsam sorgen wir dafür, dass dein Unternehmen optimal auf den Data Act vorbereitet ist.
Barrierefreiheit nach BFSG: Ist Deine Webseite rechtssicher?
Seit dem 28. Juni 2025 hat sich die digitale Landschaft in Deutschland grundlegend verändert. Das Barrierefreiheitsstärkungsgesetz (BFSG) ist in Kraft getreten und verpflichtet Unternehmen dazu, ihre digitalen Angebote barrierefrei zu gestalten. Was für viele zunächst wie eine weitere bürokratische Hürde erscheint, ist in Wahrheit eine der weitreichendsten Veränderungen im deutschen Digitalrecht der letzten Jahre. BFSG findest Du hier: https://bfsg-gesetz.de/11-bfsg/
Die Auswirkungen sind bereits spürbar: Erste Abmahnungen sind verschickt, Marktüberwachungsbehörden haben ihre Kontrollen intensiviert, und Verbraucherschutzverbände bereiten sich auf eine neue Klagewelle vor. Unternehmen, die ihre Webseiten noch nicht entsprechend angepasst haben, bewegen sich auf rechtlich dünnem Eis.
Legal Living Hub hat die wichtigsten Punkte des BFSG für Dich geprüft und hier zusammengefasst. Wenn Du Dir nicht sicher bist und rechtliche Unterstützung bei der Umsetzung brauchst, wende dich an uns.
Die Reichweite des BFSG ist beeindruckend und erfasst weit mehr Unternehmen, als viele zunächst vermuteten. Wenn Du einen Online-Shop betreibst, Bankdienstleistungen anbietest, E-Books verkaufst oder auch nur eine Unternehmenswebseite mit Buchungsfunktionen hast, bist Du und Dein Unternehmen höchstwahrscheinlich betroffen. Auch Personenbeförderungsunternehmen mit Online-Buchungssystemen, Telekommunikationsanbieter und viele weitere Branchen müssen ihre digitalen Angebote überarbeiten.
Besonders interessant: Das Gesetz macht keinen Unterschied zwischen großen Konzernen und kleineren Unternehmen. Auch der lokale Handwerksbetrieb mit Online-Terminbuchung oder das mittelständische Unternehmen mit E-Commerce-Funktionen unterliegen den neuen Bestimmungen. Eine Bagatellgrenze existiert nicht.
Wer genau muss handeln? – das beantwortet §1 Abs. 2 BFSG. Im Grunde sind es alle Unternehmen, die: – ihre Produkte oder Dienstleistungen online oder digital an EU-Verbraucher anbieten – und deren Angebote unter die betroffenen Kategorien fallen (aufgelistet im BFSG) – ab dem 28. Juni 2025 in der EU geschäftlich tätig sind
Was bedeutet Barrierefreiheit konkret für deine Webseite?
Barrierefreiheit geht weit über das hinaus, was viele Unternehmen bisher darunter verstanden haben. Es reicht nicht mehr aus, einfach etwas größere Schriftarten zu verwenden oder ein paar Alternativtexte bei Bildern zu ergänzen. Das BFSG verlangt eine umfassende Überarbeitung der Art, wie wir digitale Inhalte konzipieren und programmieren.
Deine Webseite muss vollständig mit der Tastatur bedienbar sein. Das bedeutet, dass ein Nutzer, der keine Maus verwenden kann, jeden Button erreichen, jedes Formular ausfüllen und jede Funktion nutzen können muss. Screenreader müssen alle Inhalte sinnvoll erfassen und wiedergeben können. Kontraste müssen den strengen WCAG-Richtlinien entsprechen, und die gesamte Seitenstruktur muss logisch und verständlich aufgebaut sein.
Diese Anforderungen betreffen nicht nur die Oberflächengestaltung, sondern erfordern oft tiefgreifende technische Anpassungen im Code. Moderne Webseiten mit komplexen JavaScript-Anwendungen, dynamischen Inhalten oder interaktiven Elementen stellen dabei besondere Herausforderungen dar.
Barrierefreiheitsanforderungen für Produkte und Dienstleistungen
Die wesentlichen und detaillierten BARRIEREFREIHEITSANFORDERUNGEN FÜR PRODUKTE UND DIENSTLEISTUNGEN findest du im Anhang I der Richtlinie 2019/882. Die Web Content Accessibility Guidelines (WCAG), auf denen das deutsche Recht basiert, umfassen Hunderte weitere Kriterien, deren korrekte Interpretation und Umsetzung spezielles Fachwissen erfordert.
Hinzu kommt, dass sich die Anforderungen je nach Art der Webseite und den angebotenen Dienstleistungen unterscheiden. Ein Online-Shop hat andere Herausforderungen als eine Banking-Plattform oder eine Buchungswebseite für Reisedienstleistungen. Diese Nuancen zu verstehen und entsprechende Lösungen zu entwickeln, ist eine Aufgabe für Spezialisten.
Wenn du festgestellt hast, dass diese Anforderungen dein Unternehmen betreffen, wende dich gerne an uns – wir haben eine Checkliste für die Erfüllung dieser Anforderungen vorbereitet, die wir gern angepasst an Dein Produkt/ Deine Dienstleistung Dir gerne zur Verfügung stellen. Frag dies über unser Kontaktformular an.
Unser Ansatz: Rechtssicherheit durch systematische Prüfung
In unserem Team haben wir uns darauf spezialisiert, Unternehmen durch den komplexen Prozess der BFSG-Compliance zu führen. Wir beginnen mit einer umfassenden Analyse deiner bestehenden Webseite, die weit über automatisierte Tests hinausgeht. Mit unserer Expertise prüfen wir jeden Aspekt deiner digitalen Präsenz mit denselben Hilfstechnologien, die auch deine Nutzer verwenden.
Dabei identifizieren wir nicht nur Probleme, sondern entwickeln konkrete, praxistaugliche Lösungsansätze. Wir verstehen, dass jedes Unternehmen individuelle Anforderungen und Budgetbeschränkungen hat. Deshalb erstellen wir für jeden Kunden einen maßgeschneiderten Compliance-Plan, der rechtliche Sicherheit mit wirtschaftlicher Vernunft verbindet.
Unsere Prüfung umfasst alle relevanten Aspekte des BFSG: von der technischen Umsetzung über die inhaltliche Gestaltung bis hin zur ordnungsgemäßen Dokumentation und den erforderlichen Erklärungen zur Barrierefreiheit. Wir sorgen dafür, dass du nicht nur den Buchstaben des Gesetzes erfüllst, sondern auch vor zukünftigen rechtlichen Herausforderungen geschützt bist.
Warum du jetzt handeln solltest
Die Zeiten, in denen Barrierefreiheit als „nice to have“ betrachtet werden konnte, sind definitiv vorbei. Das BFSG ist geltendes Recht, und die Durchsetzung hat bereits begonnen. Unternehmen, die jetzt noch zögern, riskieren nicht nur rechtliche Konsequenzen, sondern verpassen auch die Chance, sich als verantwortungsvolle und zukunftsorientierte Organisation zu positionieren.
Lass uns gemeinsam dafür sorgen, dass deine Webseite nicht nur den aktuellen rechtlichen Anforderungen entspricht, sondern auch zukunftssicher aufgestellt ist. Kontaktiere uns für eine erste Einschätzung deiner Situation. Wir zeigen dir, wo deine Webseite steht, welche Risiken bestehen und wie du diese schnell und effizient beseitigen kannst.
Wann brauchst du einen Datenschutzbeauftragten?
Du fragst dich, ob dein Unternehmen einen Datenschutzbeauftragten braucht? Diese Frage stellen sich viele Geschäftsführer und Unternehmer. Die gute Nachricht: Es gibt klare Regeln, die dir dabei helfen, diese Entscheidung zu treffen.
Die Datenschutzkonferenz (DSK), die unabhängigen Datenschutzbehörden von Bund und Ländern, hat ein Kurzpapier veröffentlicht, das als erste Orientierungshilfe dient. Es richtet sich besonders an Organisationen außerhalb des öffentlichen Sektors und erläutert, wann nach Ansicht der DSK ein Datenschutzbeauftragter (DSB) erforderlich ist. Gleichzeitig zeigt es, welche Regeln dabei sowohl für Verantwortliche als auch für Auftragsverarbeiter gelten.
Schreib uns eine Email an [email protected] und erhalte eine Checkliste „Braucht mein Unternehmen einen Datenschutzbeauftragten?“
Die drei wichtigsten Situationen, in denen du handeln musst
In Deutschland gibt es drei konkrete Fälle, in denen du einen Datenschutzbeauftragten ernennen musst – unabhängig davon, was die EU-Datenschutzgrundverordnung (DSGVO) vorschreibt:
1. Du hast mindestens 20 Mitarbeiter mit Datenzugriff
Sobald du regelmäßig 20 oder mehr Personen beschäftigst, die automatisiert mit personenbezogenen Daten arbeiten, wird ein Datenschutzbeauftragter zur Pflicht.
Wichtig zu wissen: Der Begriff „Personen“ ist dabei sehr weit gefasst. Es zählen nicht nur deine Vollzeitangestellten, sondern auch:
Teilzeitkräfte
Leiharbeiter
Freie Mitarbeiter
Auszubildende
Deine Geschäftsführung zählst du allerdings nicht mit – diese Personen sind ja nicht „beschäftigt“ im eigentlichen Sinne, sondern leiten das Unternehmen.
Was bedeutet „automatisierte Verarbeitung“? Das ist einfacher erreicht, als viele denken. Schon wenn deine Mitarbeiter geschäftliche E-Mails schreiben, arbeiten sie mit personenbezogenen Daten. Das betrifft typischerweise Bereiche wie:
Kundenbetreuung und Vertrieb
IT-Abteilung
Personalabteilung
Buchhaltung
2. Du führst riskante Datenverarbeitungen durch
Wenn dein Unternehmen Datenverarbeitungen durchführt, die eine Datenschutz-Folgenabschätzung erfordern, brauchst du ebenfalls einen Datenschutzbeauftragten. Das kann schon bei einer einzigen solchen Verarbeitung der Fall sein.
Eine Datenschutz-Folgenabschätzung wird nötig, wenn deine Datenverarbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen mit sich bringt. Das passiert besonders häufig in diesen Bereichen:
Automatisierte Bewertungen und Profile Wenn du systematisch Profile von Personen erstellst oder sie automatisch bewertest – zum Beispiel durch Scoring-Systeme oder automatisierte Entscheidungen über Kreditvergaben oder Jobauswahl.
Umfangreiche Verarbeitung sensibler Daten Hierzu gehören besonders schützenswerte Informationen wie:
Gesundheitsdaten
Informationen zur ethnischen Herkunft
Religiöse oder politische Überzeugungen
Daten zu Straftaten oder Verurteilungen
Systematische Überwachung öffentlicher Bereiche Video- oder Tonüberwachung in öffentlich zugänglichen Bereichen fällt in diese Kategorie. Auch der Einsatz von Sensoren, die ihre Umgebung systematisch beobachten, kann dazugehören.
3. Du handelst geschäftsmäßig mit Daten
Wenn du personenbezogene Daten geschäftsmäßig verarbeitest, um sie zu übertragen, anonym zu übermitteln oder für Markt- und Meinungsforschung zu nutzen, benötigst du einen Datenschutzbeauftragten.
Wann wird es besonders kritisch?
Die Wahrscheinlichkeit, dass du eine Datenschutz-Folgenabschätzung durchführen musst (und damit einen Datenschutzbeauftragten brauchst), steigt erheblich, wenn deine Datenverarbeitung mindestens zwei dieser Kriterien erfüllt:
Du bewertest oder stufst Personen ein
Du triffst automatisierte Entscheidungen mit rechtlichen Folgen
Du überwachst systematisch
Du verarbeitest besonders vertrauliche oder persönliche Daten
Du verarbeitest Daten in großem Umfang
Du führst verschiedene Datensätze zusammen
Du verarbeitest Daten von besonders schutzbedürftigen Personen (z.B. Kindern)
Du nutzt innovative oder neue Technologien
Deine Verarbeitung hindert Betroffene daran, ihre Rechte auszuüben oder Dienstleistungen zu nutzen
Du bist dir nicht sicher, ob Du einen DSB brauchst? Kontaktiere uns und wir ermitteln gemeinsam, ob Du und Dein Unternehmen unter diese Pflicht fallen.
Mit Legal Living Hub bekommst Du moderne Datenschutzberatung und KI-Compliance auf Augenhöhe
Die Entscheidung, ob du einen Datenschutzbeauftragten brauchst, ist in den meisten Fällen ziemlich eindeutig. Prüfe einfach, ob eine der drei Hauptsituationen auf dein Unternehmen zutrifft. Im Zweifel ist es besser, einen Experten zu konsultieren – denn die Bußgelder bei Verstößen können empfindlich sein.
Denk daran: Ein Datenschutzbeauftragter ist nicht nur eine Pflichterfüllung, sondern kann dir dabei helfen, Datenschutzrisiken zu minimieren und das Vertrauen deiner Kunden zu stärken.
Die KI kann mithören aber DU musst mitdenken
Der Einsatz von Künstlicher Intelligenz (KI) zur automatischen Transkription von Besprechungen wird in Unternehmen und Organisationen immer häufiger genutzt – vor allem zur Steigerung der Effizienz und zur besseren Dokumentation. Dabei wandeln KI-Systeme die gesprochenen Inhalte eines Meetings entweder in Echtzeit oder im Nachhinein in schriftliche Form um.
Doch mit der technischen Innovation gehen erhebliche datenschutzrechtliche Anforderungen einher, insbesondere im Geltungsbereich der Datenschutz-Grundverordnung (DSGVO). Auch mit dem Inkrafttreten der KI-Verordnung der EU (AI-Act) rückt eine weitere Ebene ins Spiel: Wer KI-gestützte Tools zur Aufzeichnung und Transkription nutzt, muss nicht nur die DSGVO im Griff haben, sondern auch die KI-Compliance.
In diesem Beitrag erhältst Du einen 360°-Überblick über die datenschutzrechtlichen Voraussetzungen sowie regulatorische Pflichten nach der KI-Verordnung, ergänzt um konkrete Empfehlungen für eine rechtssichere Umsetzung in der Unternehmenspraxis.
Die gute Nachricht zuerst: Du musst das nicht allein stemmen. Mit Legal Living Hub bekommst Du moderne Datenschutzberatung und KI-Compliance auf Augenhöhe. Wende Dich direkt an uns
Transkription als Verarbeitung personenbezogener Daten
Die Transkription von Gesprächen, unabhängig davon, ob diese durch Software, KI oder manuell erfolgt, stellt stets eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO dar. Denn sobald eine Identifizierbarkeit von Personen möglich ist – egal ob im Zoom-Call, beim Kundentermin, im wöchentlichen Teammeeting mit Führungskräften oder bei einem Bewerbungsgespräch, dessen Inhalte automatisiert verschriftlicht werden – fließen personenbezogene Daten.
Typische Beispiele:
In einem Videocall wird erwähnt, dass eine Mitarbeiterin abwesend ist, weil sie sich in psychologischer Behandlung befindet → Gesundheitsdaten nach Art. 9 DSGVO.
Ein Meetingprotokoll enthält namentlich zuordenbare Aussagen zu Projektverzögerungen oder Leistungsbewertungen → personenbezogene Leistungsdaten.
Im HR-Gespräch werden Gehaltswünsche und familiäre Hintergründe eines Bewerbers thematisiert → personenbezogene und potenziell sensible Informationen.
In einem Sales-Call mit einem Kunden nennt dieser seine geschäftliche Position, Rufnummer oder Feedback zu anderen Personen im Unternehmen → personenbeziehbare Geschäftsdaten.
Rechtsgrundlage für die Verarbeitung
Egal ob Du ein Tool wie Otter, Fireflies, Sally AI oder ein internes KI-System nutzt: Sobald Du Sprache in Text verwandelst und die sprechende Person identifizierbar ist oder über andere identifizierbare Personen spricht, ist das eine Verarbeitung personenbezogener Daten nach der DSGVO.
Die Verarbeitung personenbezogener Daten im Rahmen von Meeting-Transkriptionen bedarf einer Rechtsgrundlage nach Art. 6 DSGVO. In der Praxis kommen zwei Konstellationen in Betracht:
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die sicherste Variante, insbesondere bei internen oder externen Gesprächen mit Beteiligten, die nicht dem Unternehmen angehören. Die Einwilligung muss freiwillig, informiert und widerrufbar sein.
Tipp: Keine stillschweigende Zustimmung! Die Voraussetzung der Freiwilligkeit ist im Beschäftigungsverhältnis schwer zu sichern. Die “gefühlte Abhängigkeit” im Verhältnis Arbeitnehmer zu Arbeitgeber kann dazu führen, dass die Einwilligung rechtlich unwirksam ist. Nur wenn sie tatsächlich freiwillig und widerruflich ist, zählt sie.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Möglich, wenn ein sachlicher Zweck, z. B. Nachvollziehbarkeit von Beschlüssen besteht, die Interessen der betroffenen Personen nicht überwiegen und angemessene Schutzmaßnahmen getroffen werden. Hierbei ist eine Interessenabwägung aber auch schriftlich zu dokumentieren und auf Anfrage der Aufsichtsbehörde vorzulegen.
Wenn ein Betriebsrat existiert, ist die Betriebsvereinbarung meist das Mittel der Wahl (vgl. § 87 Abs. 1 Nr. 6 BetrVG). Damit können Rechtsgrundlagen im Beschäftigungsverhältnis geschaffen werden, um:
bestimmte Meetings pauschal freizugeben,
Bedingungen und Grenzen definieren,
die angewendeten Tools freizugeben,
die Einwilligungspflicht entfallen lassen.
Aber: Eine zu weitreichende, pauschale Verpflichtung aller Mitarbeitenden ist nicht zulässig. Betriebsvereinbarungen müssen ausgewogen und differenziert gestaltet sein.
Sondervorschriften gelten bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, Art. 9 DSGVO). Deren Verarbeitung ist grundsätzlich untersagt, sofern keine ausdrückliche Einwilligung oder eine spezielle gesetzliche Grundlage vorliegt. Gesundheitsdaten können schnell in Gesprächen über Mitarbeitende fallen und transkribiert und somit verarbeitet werden, ohne dass es den Sprechenden überhaupt auffällt.
Transparenz: Information ist Pflicht!
Niemand mag böse Überraschungen – schon gar nicht, wenn die eigene Stimme ungefragt mitprotokolliert wurde. Deshalb gilt: Karten auf den Tisch legen, bevor die Transkription startet. Bevor das Mikro an ist, müssen alle Beteiligten wissen, was mit ihren Worten passiert.
Was muss also rein in den Datenschutzhinweis?
Wer ist verantwortlich?
Warum wird transkribiert?
Welche Tools kommen zum Einsatz?
Wie lange wird gespeichert?
Welche Rechte haben die Teilnehmenden?
Best Practice: Klare Information z. B. per Kalendereinladung oder Pop-up vor dem Meetingstart, kombiniert mit einem Link zur DSGVO-konformen Datenschutzerklärung. Entscheidend ist, dass sie vor Beginn der Aufzeichnung oder Transkription bereitgestellt werden.
KI-Dienstleister? Nur mit Vertrag!
Viele Tools arbeiten cloudbasiert, oft mit Servern außerhalb der EU. Deshalb: Wähle deine Anbieter mit Datenschutz-Brille!
Du brauchst:
Einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
Klare Verpflichtungen zum Datenschutz (kein Eigengebrauch der Daten!)
Transparenz über Serverstandorte und Sicherheitsstandards
Wenn Daten in die USA oder Drittstaaten fließen: Nur mit Zertifizierung, Standardvertragsklauseln oder anderen Schutzmaßnahmen!
Der Schutz der Transkriptionsdaten muss durch geeignete technische und organisatorische Maßnahmen sichergestellt sein (Art. 32 DSGVO). Dazu zählen:
Zugriffsbeschränkungen auf Transkripte
Verschlüsselung bei Übertragung und Speicherung
Löschfristen und automatisierte Löschmechanismen
Auditierung und Protokollierung der Zugriffe
Gerade bei sensiblen Inhalten wie HR-Gesprächen oder internen Strategie-Meetings ist besondere Sorgfalt geboten.
Nach Art. 15 DSGVO können Mitarbeitende im Rahmen von Auskunftsersuchen die Herausgabe von Transkripten verlangen – vor allem dann, wenn sie zur Kontextualisierung der Datenverarbeitung notwendig sind, etwa im Streitfall mit Vorgesetzten.
Das kann bedeuten:
Gespräche mit Vorgesetzten werden herausverlangt.
Auch andere Gesprächsteilnehmer sind betroffen.
Geschäftsgeheimnisse müssen ggf. geschwärzt werden.
Verzeichnis von Verarbeitungstätigkeiten
KI-Transkriptionen stellen regelmäßig eine systematische Verarbeitung personenbezogener Daten dar und müssen daher im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert werden – einschließlich der Schutzmaßnahmen, Löschfristen und Kategorien betroffener Personen.
KI-Verordnung: Mehr als nur Datenschutz
Mit der neuen EU-KI-Verordnung (KI-VO) bekommen wir neue Spielregeln, zusätzlich zur DSGVO. Wenn Du KI-Systeme zur Aufzeichnung und/oder Transkription nutzt, gelten folgende Anforderungen:
Verbotene Praktiken (Art. 5 KI-VO) Systeme, die z. B. Emotionen erkennen sollen (Stimmungslage von Mitarbeitenden, Anrufern etc.), können verboten sein, etwa wegen übermäßiger Überwachung oder Manipulation.
Hochrisiko-KI (Art. 6 Abs. 2 KI-VO) Je nach Einsatzkontext (z. B. HR-Auswahlverfahren, Mitarbeiterbewertung) kann Dein Transkriptionssystem als Hochrisiko-KI eingestuft werden – mit deutlich höheren Anforderungen an:
Risikobewertung
Dokumentation
menschliche Aufsicht
Transparenzpflichten
In jedem Fall musst Du dafür sorgen, dass jeder Beteiligte sofort erkennen kann, dass er/sie
Best Practices: So setzt Du KI-Transkription sauber um
Vorab prüfen, ob wirklich eine Transkription nötig ist – nicht jedes Meeting muss schriftlich dokumentiert werden (Stichwort: Datenminimalisierung)
Betriebsrat frühzeitig einbinden: Betriebsvereinbarung gemeinsam und differenziert gestalten
KI-Tools transparent kennzeichnen: Hinweis wie: „Dieses Meeting wird durch ein KI-System XY transkribiert“
Keine Emotionserkennung einsetzen: Diese Funktion birgt hohes Risiko unter der KI-VO
Rollen und Zugriffsrechte klar regeln: Wer darf Transkripte einsehen, ändern oder löschen?
Automatische Löschfristen einführen: z. B. Löschung nach 30 Tagen, wenn kein berechtigter Zweck mehr besteht
Auftragsverarbeiter DSGVO- und KI-VO-konform auswählen – inklusive Vertrag, TOMs und Transparenz zur Datenverarbeitung
Mitarbeitende schulen über Rechte, Pflichten und Umgang mit Transkriptionstechnologie
Fazit: KI kann mitschreiben, aber sie braucht klare Regeln
KI-Transkription ist ein echter Gamechanger – wenn Du sie verantwortungsvoll einsetzt. Datenschutz ist kein Blocker, sondern ein Qualitätsmerkmal. Denn wer transparent arbeitet, Rechte respektiert und Technik bewusst einsetzt, schafft Vertrauen. Vertrauen ist in Zeiten von KI, Remote Work und Data Overload ein echter Wettbewerbsvorteil.
Legal Living Hub verwendet Cookies, damit die Webseite zuverlässig funktioniert und wir Informationen für statistische Auswertungen sammeln können. Du kannst deine Cookie-Einstellungen jederzeit im Footer der Webseite ändern. Mehr Informationen findest du in unseren Datenschutzhinweisen.
