Logo
  • Home
  • Service
  • Über LLH
  • FAQ
  • Kontakt

  • POPIA und DSGVO: Datenschutz als Wachstumsstrategie für Startups in Südafrika

    19.02.2026

    Südafrika zählt zu den dynamischsten Wachstumsmärkten auf dem afrikanischen Kontinent – und Kapstadt entwickelt sich dabei zu einem echten Hub für Startups und Tech-Unternehmen. Doch wer in diesem Markt erfolgreich sein will, kommt an einem Thema nicht vorbei: Datenschutz. Mit dem Protection of Personal Information Act (POPIA) hat Südafrika ein Datenschutzgesetz etabliert, das in vielerlei Hinsicht an die europäische Datenschutz-Grundverordnung (DSGVO) erinnert – und internationale Unternehmen sowie lokale Gründer gleichermaßen vor neue Anforderungen stellt. Dieser Artikel beleuchtet, wie sich POPIA und DSGVO im direkten Vergleich unterscheiden, wo sie sich überschneiden und warum ein proaktiver Umgang mit Datenschutz gerade für die aufstrebende Startup-Szene rund um Kapstadt kein bürokratisches Hindernis, sondern ein echter strategischer Wettbewerbsvorteil sein kann.

    Kapstadt als Startup-Hub: Wenn Europa und Afrika aufeinandertreffen

    Wer in der Berliner Startup-Szene unterwegs ist, hat in den letzten Jahren eine bemerkenswerte Entwicklung beobachtet: Immer mehr Gründerinnen und Gründer, Investoren und Tech-Talente zieht es nach Kapstadt. Die südafrikanische Metropole hat sich zu einem ernstzunehmenden Startup-Ökosystem entwickelt mit einer wachsenden Tech-Community, günstigeren Lebenshaltungskosten im Vergleich zu europäischen Großstädten und einer Zeitzone, die Zusammenarbeit mit Europa problemlos erlaubt. Gleichzeitig entkommen viele dem grauen Berliner Winter, blühen im sonnigen Klima auf und berichten, dort motivierter und produktiver zu arbeiten.

    Datenschutz in Kapstadt

    Initiativen wie das Silicon Cape Initiative-Netzwerk, The Delta oder Programme wie Grindstone und LaunchLab sowie eine wachsende Zahl von Acceleratoren und Co-Working-Spaces haben Kapstadt auf die globale Startup-Landkarte gesetzt. Für deutsche Unternehmen, die mit südafrikanischen Nutzerinnen und Nutzern interagieren, sei es über eine App, einen Online-Shop oder eine SaaS-Plattform, stellt sich damit unweigerlich eine rechtliche Frage: Welche Datenschutzregeln gelten hier eigentlich?

    Die Antwort lautet: Das südafrikanische Datenschutzrecht hat in den letzten Jahren deutlich aufgeholt. Mit dem POPIA verfügt Südafrika seit 2021 über ein umfassendes Datenschutzgesetz – und wer glaubt, dass es sich dabei um eine schwache Kopie der DSGVO handelt, liegt falsch.

    Was ist POPIA und warum zieht Südafrika nach?

    Der Protection of Personal Information Act 4 of 2013 (POPIA) ist seit dem 1. Juli 2021 vollständig in Kraft. Er regelt, wie personenbezogene Daten von natürlichen und juristischen Personen in Südafrika verarbeitet werden dürfen. Begleitet wird POPIA vom Promotion of Access to Information Act 2 of 2000 (PAIA), der ein eigenständiges Recht auf Zugang zu Informationen gewährt – ein Aspekt, der im europäischen Recht so nicht existiert.

    POPIA ist kein Zufall und kein Luxusprojekt: Südafrika reagiert damit auf einen globalen Trend. Daten sind Wirtschaftsgut und Machtfaktor zugleich. Internationale Konzerne wie Google, Meta oder Amazon verarbeiten täglich Millionen südafrikanischer Datensätze und bislang mit wenig rechtlicher Rechenschaftspflicht gegenüber dem lokalen Gesetzgeber. POPIA setzt hier einen klaren Rahmen.

    Hinzu kommt der wirtschaftliche Druck: Wer mit der EU Handel treiben möchte, muss angemessene Datenschutzstandards nachweisen können. Südafrika arbeitet derzeit an seiner Anerkennung als sicheres Drittland im Sinne der DSGVO – ein Status, der den Datentransfer zwischen Europa und Südafrika erheblich vereinfachen würde.

    DSGVO und POPIA im direkten Vergleich

    Gemeinsamkeiten: Das gleiche Grundprinzip

    Wer die DSGVO kennt, findet in POPIA viele bekannte Konzepte. Beide Regelwerke basieren auf dem Prinzip der Zweckbindung, der Datenminimierung und der Rechenschaftspflicht. Beide verlangen eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Und in beiden Systemen haben Betroffene das Recht auf Auskunft, Berichtigung und mit Löschung ihrer Daten.

    Auch strukturell ähneln sich die Gesetze: POPIA kennt einen „Responsible Party“ (vergleichbar dem Verantwortlichen nach Art. 4 DSGVO) und einen „Operator“ (entspricht dem Auftragsverarbeiter). Verträge zwischen diesen Parteien sind vorgeschrieben, Datenschutz-Folgeabschätzungen bei risikoreichen Verarbeitungen ebenfalls.

    Unterschied 1: POPIA schützt auch Unternehmen

    Ein zentraler Unterschied liegt im materiellen Schutzbereich. Die DSGVO schützt ausschließlich natürliche Personen. Juristische Personen wie GmbHs oder AGs fallen explizit aus dem Schutzbereich heraus. POPIA hingegen erstreckt seinen Schutz ausdrücklich auch auf juristische Personen (Sec. 1 POPIA). Das hat praktische Konsequenzen: Auch Unternehmensdaten können in Südafrika POPIA-relevant sein, wenn sie sich auf identifizierbare juristische Personen beziehen.

    Unterschied 2: Das duale System – POPIA und PAIA

    Während die DSGVO ein integriertes Modell verfolgt, in dem Transparenzpflichten ausschließlich zwischen Verantwortlichen und Betroffenen geregelt sind, kennt Südafrika ein duales System. POPIA regelt den Datenschutz. PAIA regelt den Informationszugang, nicht nur gegenüber staatlichen Stellen, sondern auch gegenüber privaten Unternehmen, sofern der Zugang zur Ausübung oder zum Schutz eines Rechts erforderlich ist (Sec. 50 PAIA).

    Das bedeutet: In Südafrika kann unter Umständen nicht nur die betroffene Person, sondern auch ein Dritter Zugang zu bestimmten Informationen verlangen, wenn er dafür ein rechtliches Interesse geltend machen kann. Für Unternehmen, die in Südafrika operieren, bedeutet das eine zusätzliche Compliance-Schicht, die in Europa so nicht existiert.

    Unterschied 3: Strafrechtliche Haftung

    Während die DSGVO ausschließlich auf administrative Bußgelder setzt (bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes nach Art. 83 DSGVO), geht POPIA einen Schritt weiter: Bestimmte Verstöße können in Südafrika mit Freiheitsstrafen von bis zu zehn Jahren geahndet werden (Sec. 109 POPIA). Das ist kein theoretischer Extremfall – es ist geltendes Recht.

    Rechte im Überblick

    Beide Systeme gewähren Betroffenen das Recht auf Auskunft über ihre gespeicherten Daten sowie das Recht auf Berichtigung und Löschung. Die DSGVO geht mit dem Recht auf Datenübertragbarkeit (Art. 20 DSGVO) noch einen Schritt weiter als POPIA. PAIA ergänzt das Gesamtbild durch ein eigenständiges Informationszugangsrecht, das keine direkte europäische Entsprechung hat.

    Was müssen Unternehmen nach POPIA beachten, wenn sie in Südafrika Kundendaten verarbeiten?

    Für deutsche Unternehmen, die südafrikanische Nutzer ansprechen, Daten von Personen in Südafrika verarbeiten oder dort Geschäftspartner haben, ergeben sich konkrete Handlungspflichten. Hier sind die wichtigsten Punkte:

    1. Anwendbarkeit prüfen

    POPIA gilt für jeden Verantwortlichen, der personenbezogene Informationen in Südafrika verarbeitet, unabhängig davon, ob das Unternehmen dort ansässig ist. Wer eine südafrikanische Nutzerbasis hat, Daten über südafrikanische Server routet oder Dienstleistungen an Personen in Südafrika erbringt, kann in den Anwendungsbereich fallen.

    2. Information Officer benennen 

    POPIA verlangt, dass jedes Unternehmen, das in den Anwendungsbereich fällt, einen sogenannten „Information Officer“ benennt und beim Information Regulator (der südafrikanischen Aufsichtsbehörde) registriert. Diese Rolle ähnelt dem Datenschutzbeauftragten nach DSGVO mit einem entscheidenden Unterschied: Wer diese Funktion übernehmen darf.

    Unter POPIA ist der Information Officer per Gesetz automatisch der CEO oder die ranghöchste Führungsperson des Unternehmens – sofern keine andere Person ausdrücklich benannt wird (Sec. 1 und Sec. 55 POPIA). Das heißt: Handelt ein Unternehmen nicht, trägt die Geschäftsführung persönlich die volle rechtliche Verantwortung für die POPIA-Compliance, inklusive der persönlichen Haftung bei Verstößen.

    Die DSGVO funktioniert hier grundlegend anders. Der Datenschutzbeauftragte nach Art. 37 DSGVO muss ausdrücklich unabhängig sein, er darf keine Weisungen zu seinen Aufgaben entgegennehmen (Art. 38 Abs. 3 DSGVO) und darf insbesondere nicht in Personalunion auch Entscheidungsträger über Zwecke und Mittel der Datenverarbeitung sein. Ein CEO, COO oder IT-Leiter, der gleichzeitig als Datenschutzbeauftragter fungiert, verstößt nach europäischem Recht gegen das Prinzip der Interessenkonfliktvermeidung. Genau das ist unter POPIA nicht nur erlaubt, sondern der gesetzliche Standardfall.

    Für Unternehmen, die in beiden Rechtssystemen operieren, entsteht damit ein strukturelles Spannungsfeld: Was in Südafrika die Regel ist, wäre in der EU ein Compliance-Verstoß.

    Warum es sich lohnt, den Information Officer auszulagern

    Obwohl POPIA es erlaubt, dass der CEO die Funktion des Information Officers übernimmt, ist das in der Praxis selten sinnvoll und aus denselben Gründen, die auch in der DSGVO-Welt für die Auslagerung des Datenschutzbeauftragten sprechen.

    Erstens: Fachliche Tiefe. Datenschutzrecht ist komplex, entwickelt sich ständig weiter und erfordert spezialisiertes Wissen. Ein CEO oder Geschäftsführer hat in der Regel weder Zeit noch juristische Expertise, um POPIA-Anforderungen, Meldepflichten gegenüber dem Information Regulator und PAIA-Compliance dauerhaft zuverlässig zu managen.

    Zweitens: Haftungsminimierung. Wer den Information Officer auslagert, überträgt damit nicht automatisch die Verantwortung aber er schafft eine strukturelle Trennung, die im Streitfall nachweisbar macht, dass das Unternehmen die Compliance aktiv und professionell organisiert hat. Das wirkt sich strafmildernd aus.

    Drittens: Interessenkonflikt. Auch wenn POPIA keine formelle Unabhängigkeitspflicht wie die DSGVO kennt, ist es faktisch problematisch, wenn dieselbe Person Datenschutzentscheidungen trifft und gleichzeitig prüft, ob diese Entscheidungen rechtmäßig waren. Ein externer Information Officer kann unbefangen und ohne Rücksicht auf interne Hierarchien agieren.

    Für wachsende Startups – gerade in einem Ökosystem wie Kapstadt, wo Ressourcen knapp und Skalierungsgeschwindigkeit hoch ist – bietet die Auslagerung des Information Officers an spezialisierte Kanzleien oder Beratungsunternehmen einen klaren Vorteil: professionelle Compliance ohne den Aufbau einer eigenen internen Datenschutzabteilung.

    3. Rechtsgrundlage für die Verarbeitung sicherstellen

    Wie unter der DSGVO braucht jede Verarbeitung eine Rechtsgrundlage. In Südafrika sind dies die sogenannten „Conditions for Lawful Processing“ (Secs. 8–25 POPIA): Accountability, Processing Limitation, Purpose Specification, Further Processing Limitation, Information Quality, Openness, Security Safeguards und Data Subject Participation. Einwilligungen müssen freiwillig, informiert und spezifisch sein.

    4. Datenschutzhinweise anpassen

    Datenschutzerklärungen, die rein auf DSGVO ausgerichtet sind, reichen für den südafrikanischen Markt nicht aus. Insbesondere Hinweise zu den Rechten aus PAIA, zur Rolle des Information Officers und zu den spezifischen südafrikanischen Rechtsgrundlagen müssen ergänzt werden.

    5. Drittlandtransfers im Blick behalten

    POPIA enthält Regelungen zum grenzüberschreitenden Datentransfer (Sec. 72 POPIA), die denen der DSGVO ähneln. Wer Daten aus Südafrika in ein anderes Land überträgt – etwa auf europäische Cloud-Server muss sicherstellen, dass das Empfängerland ein angemessenes Schutzniveau bietet oder geeignete Garantien vorhanden sind.

    6. Incident-Response-Prozesse aufbauen

    POPIA verlangt die Meldung von Datenpannen an den Information Regulator und an die betroffenen Personen – ähnlich wie Art. 33 und 34 DSGVO. Wer bereits DSGVO-konforme Prozesse hat, ist gut aufgestellt, muss diese aber auf südafrikanische Spezifika anpassen.

    7. PAIA-Pflichten nicht vergessen

    Neben POPIA müssen Unternehmen, die in Südafrika tätig sind, auch PAIA-Pflichten erfüllen. Das beinhaltet die Erstellung und Veröffentlichung eines sogenannten „PAIA Manual“. Dies ist ein Dokument, das beschreibt, welche Informationen das Unternehmen hält und wie Zugangsanfragen gestellt werden können.

    POPIA vs. DSGVO – Kein Grund zur Panik aber Handlungsbedarf

    Datenschutz in Kapstadt

    POPIA ist kein bürokratisches Regelwerk ohne Zähne. Es ist ein modernes Datenschutzgesetz, das von einer aktiven Aufsichtsbehörde durchgesetzt wird und strafrechtliche Konsequenzen mit sich bringt. Gleichzeitig ist es für Unternehmen, die bereits DSGVO-konform aufgestellt sind, kein Neuland, denn die konzeptionelle Ähnlichkeit erleichtert den Einstieg erheblich.

    Der entscheidende Unterschied liegt in den Details: das duale System aus POPIA und PAIA, der breitere Schutzbereich (inklusive juristischer Personen) und die strafrechtliche Dimension machen eine sorgfältige rechtliche Analyse unumgänglich. Wer Südafrika als Wachstumsmarkt ernst nimmt und das sollte man angesichts der dynamischen Startup-Szene in Kapstadt tun, sollte Datenschutz-Compliance von Anfang an mitdenken.

  • Künstliche Intelligenz & Recht

    15.01.2026

    Rechtliche Entwicklungen und Risiken

    Stand Januar 2026

    Der Einsatz von Künstlicher Intelligenz (KI) ist inzwischen fester Bestandteil unternehmerischer, medialer und kreativer Prozesse. Parallel dazu nimmt die rechtliche Relevanz des Themas deutlich zu. Aktuelle Gerichtsentscheidungen zeigen, dass KI-Nutzung erhebliche urheberrechtliche, persönlichkeitsrechtliche, datenschutzrechtliche und haftungsrechtliche Risiken mit sich bringt.

    Urheberrechtliche Risiken bei der KI-Nutzung

    Der Einsatz von KI-Systemen ist rechtlich nur dann zulässig, wenn ausschließlich eigene Inhalte oder Inhalte verwendet werden, für die eine ausreichende Lizenz besteht. In der Praxis entstehen besondere Risiken durch sogenannte Memorisationseffekte. KI-Modelle können urheberrechtlich geschützte Texte, Bilder oder Programmiercode wörtlich oder in wesentlichen Teilen wiedergeben. Wird ein solcher Output weiterverbreitet oder kommerziell genutzt, kann dies zu einer Urheberrechtsverletzung führen.

    Besonders risikobehaftet ist der KI-Einsatz im Journalismus, wie unter anderem die Klage der New York Times gegen einen KI-Anbieter zeigt. Auch im Bereich der Werbetexte, im Grafik- und Designbereich sowie bei der Programmierung bestehen erhebliche Gefahren, da urheberrechtlich relevante Übernahmen häufig schwer erkennbar sind.

    Unternehmen sollten daher klare organisatorische Maßnahmen ergreifen. Dazu gehört die Einführung verbindlicher KI-Richtlinien, die Sensibilisierung und Schulung der Mitarbeitenden sowie eine verpflichtende Endkontrolle von KI-generierten Inhalten in risikoreichen Bereichen. Ergänzend empfiehlt sich die Einführung eines Vier-Augen-Prinzips, um Rechtsverletzungen frühzeitig zu vermeiden.

    Persönlichkeitsrecht und Voice Cloning

    (LG Berlin II, Urt. v. 20.08.2025 – 2 O 202/ 24 „KI-Stimme“ (Berufung anhängig)

    Das Landgericht Berlin hat entschieden, dass auch die Stimme als Ausfluss des allgemeinen Persönlichkeitsrechts rechtlich geschützt ist. In dem zugrunde liegenden Fall klagte ein bekannter Synchronsprecher, der unter anderem als deutsche Stimme von Bruce Willis und Kurt Russell bekannt ist, gegen einen YouTube-Kanal mit rund 190.000 Abonnenten. Der Kanal nutzte KI-Software zur Stimmerzeugung, ohne die Zustimmung des Sprechers einzuholen, und veröffentlichte politisch rechtsgerichtete Inhalte. In den Kommentaren erkannten zahlreiche Nutzer die Stimme eindeutig wieder.

    Das Gericht stellte klar, dass bereits eine Zuordnungsverwirrung beim Publikum ausreicht, um eine Persönlichkeitsrechtsverletzung anzunehmen. Eine vollständige Identitätsübernahme sei nicht erforderlich. Dem Kläger wurde ein Schadensersatz in Höhe von 2.000 Euro pro veröffentlichter Audiodatei zugesprochen.

    Die Entscheidung reiht sich in eine internationale Entwicklung ein. Bereits 2023 führten KI-bezogene Streitigkeiten zu monatelangen Streiks der US-Schauspielergewerkschaft. In Deutschland wurden Ende 2024 erstmals Tarifverträge mit expliziten KI-Regelungen abgeschlossen. Besonders im Games-Bereich und bei der Lokalisierung von Inhalten gewinnt das Thema zunehmend an Bedeutung.

    Datenschutz und KI-Training

    (OLG Köln – Meta Beschl. Vo. 23.05.2025, Az. 15 Ukl. 2725)

    Das Oberlandesgericht Köln hatte über die Frage zu entscheiden, ob Meta öffentlich zugängliche Inhalte von Facebook und Instagram für das Training eigener KI-Modelle verwenden darf. Die Verbraucherzentrale Nordrhein-Westfalen hatte gegen dieses Vorhaben geklagt, blieb jedoch erfolglos. Das Gericht verneinte sowohl einen kartellrechtlichen Verstoß als auch einen datenschutzrechtlichen Verstoß und erkannte ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO an.

    Nach Auffassung des Gerichts verarbeitete Meta ausschließlich Inhalte, die für andere Nutzer öffentlich sichtbar waren. Die betroffenen Personen hätten diese Daten bewusst öffentlich zugänglich gemacht. Zudem habe Meta die Nutzer vorab informiert und eine Widerspruchsmöglichkeit eingeräumt. Das Argument, es würden gezielt Gesundheitsdaten verarbeitet, wies das Gericht zurück, da keine gezielte Suche nach sensiblen Informationen erfolge und die bloße Verarbeitung großer Datenmengen datenschutzrechtlich nicht per se unzulässig sei.

    Praktisch bedeutet diese Entscheidung, dass Social-Media-Inhalte rechtlich weitgehend als öffentlich anzusehen sind. Gleichzeitig ist zu berücksichtigen, dass viele internationale KI-Anbieter ihre Modelle ohne vergleichbare europäische Schutzmechanismen trainieren. KI-Technologien erweitern die Möglichkeiten des Zugriffs, der Verknüpfung und der Analyse von Daten erheblich.

    Haftung für „halluzinierende“ KI

    (LG Hamburg – Grok Beschl. Az.324 O 461/25)

    Das Landgericht Hamburg hatte sich mit der Haftung für fehlerhafte KI-Aussagen zu befassen. In dem Verfahren klagte Campact e. V. gegen den KI-Bot „Grok“, der auf der Plattform X betrieben wird. Der Bot hatte fälschlich behauptet, Campact erhalte erhebliche finanzielle Mittel aus dem Bundeshaushalt.

    Das Gericht wendete die Grundsätze der Störerhaftung an und ging davon aus, dass sich der Betreiber die Aussagen der KI zu eigen mache. Daraus folge ein verschuldensunabhängiger Unterlassungsanspruch. Die Entscheidung fiel im Eilverfahren und enthält lediglich eine sehr knappe Begründung, ohne eine differenzierte Auseinandersetzung mit KI-spezifischen Besonderheiten. Auch die praktische Umsetzbarkeit der Anforderungen an Betreiber bleibt offen.

    Für Anbieter von KI-Systemen ergeben sich daraus erhebliche Konsequenzen. Erforderlich sind mehrstufige Kontroll- und Freigabeprozesse sowie technische Maßnahmen wie Content-Filter oder eine stärkere Quellenverifikation. Zusätzlich kann der Abschluss eines Versicherungsschutzes sinnvoll sein. Aktuelle Vorfälle, etwa die Generierung sexualisierter Darstellungen von Kindern durch KI-Systeme oder KI-basierte Werbeempfehlungen im öffentlich-rechtlichen Rundfunk ohne Sendungsbezug, verdeutlichen den bestehenden Handlungsbedarf.

    Fazit

    Künstliche Intelligenz eröffnet erhebliche wirtschaftliche und kreative Potenziale, bewegt sich rechtlich jedoch keineswegs in einem rechtsfreien Raum. Unternehmen, Plattformbetreiber und Kreative sollten frühzeitig klare Governance-Strukturen, juristische Prüfprozesse und technische Sicherungsmechanismen etablieren, um Haftungsrisiken und Reputationsschäden zu vermeiden.

  • KI-Verordnung in der Praxis: unser AI Act Quick Check als unternehmerische Stütze

    05.01.2026

    Die EU-KI-Verordnung ((EU) 2024/1689) ist seit August 2024 in Kraft – und viele Unternehmen stehen vor derselben Frage:

    Betrifft uns das überhaupt? Und wenn ja: Was müssen wir konkret tun?

    Genau hier setzen wir an. Wir übersetzen komplexe KI-Regulierung in klare, umsetzbare Handlungsschritte für dein Unternehmen. Keine theoretischen Gutachten, sondern praxisnahe Entscheidungsgrundlagen.

    Unser AI Act Quick Check haben wir speziell für Unternehmen entwickelt, die rechtssicher KI-Tools nutzen oder auch anbieten wollen.

    Nun wollen wir mal herausfinden, ob dein Unternehmen unter die Vorschriften der KI Verordnung fallen.

    Wer fällt unter die KI-Verordnung?

    Die KI-Verordnung gilt für deutlich mehr Unternehmen, als viele zunächst denken. Betroffen bist du, wenn du:

    • KI-Systeme entwickelst oder bereitstellst (auch wenn du selbst nicht als „Tech-Unternehmen“ auftrittst)
    • KI-Systeme unter eigenem Namen in Verkehr bringst (z.B. White-Label-Lösungen)
    • KI-Systeme geschäftlich nutzst – etwa in HR, Kundenservice, Produktion oder Marketing
    • KI-Systeme importierst oder vertreibst

    Entscheidend ist: Auch die bloße Nutzung von KI kann dich zum Adressaten der Verordnung machen – insbesondere bei Hochrisiko-Anwendungen.

    Typische Beispiele aus der Praxis:

    • Mittelständische Produktionsbetriebe mit KI-gestützter Qualitätskontrolle
    • Personaldienstleister, die KI-basierte Bewerbungsscreenings einsetzen
    • Online-Händler mit KI-gesteuerten Empfehlungssystemen
    • Unternehmen, die Chatbots im Kundenservice verwenden
    • Firmen, die KI für Bonitätsprüfungen oder Vertragsanalysen nutzen

    Die vier Risikokategorien: Deine Pflichten auf einen Blick

    Die KI-Verordnung arbeitet mit einem risikobasierten Ansatz. Je höher das Risiko, desto strenger die Anforderungen:

    1. Verbotene KI-Systeme (Art. 5 AI Act)

    Verbotene KI-Systemen nutzt du eher unwahrscheinlich in deinem Unternehmen. Darunter fällt die KI-Nutzung, die folgende Zwecke verfolgt: z.B. Social Scoring durch Behörden, biometrische Echtzeit-Fernidentifikation im öffentlichen Raum (mit Ausnahmen), manipulative Techniken, die Schaden verursachen oder Ausnutzung von Schutzbedürftigkeit.

    Deine Pflicht, solltest du tatsächlich mit deinem Unternehmen solche Zwecke bei der KI-Nutzung verfolgen: Sofortige Einstellung solcher Systeme. Bußgelder bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes.

    2. Hochrisiko-KI-Systeme (Art. 6, Anhang III)

    Hochrisiko KI-Systeme kommen schon eher in der Praxis vor. Da müsstest du auf die KI-Nutzungen und ihre Zwecke in deinem Unternehmen genauer schauen.

    Typische Anwendungsfälle:

    • Personalauswahl und Mitarbeiterüberwachung
    • Zugang zu Bildung und Berufsbildung
    • Kreditwürdigkeitsprüfungen
    • Biometrische Identifikation
    • Kritische Infrastruktur
    • Notfalleinsätze

    Must-have To-dos:

    • Risikomanagementsystem einrichten (Art. 9)
    • Datengovernance sicherstellen – Trainings- und Testdaten dokumentieren (Art. 10)
    • Technische Dokumentation erstellen und pflegen (Art. 11)
    • Automatische Protokollierung implementieren (Art. 12)
    • Transparenz schaffen – Nutzer müssen informiert werden (Art. 13)
    • Menschliche Aufsicht gewährleisten (Art. 14)
    • Konformitätsbewertung durchführen (Art. 43)
    • CE-Kennzeichnung anbringen (Art. 49)
    • EU-Konformitätserklärung ausstellen

    Zeitachse: Vollständige Anwendbarkeit ab 2. August 2026

    Bußgeldrisiko: Bis zu 15 Mio. EUR oder 3% des Jahresumsatzes

    3. KI mit begrenztem Risiko (Art. 50)

    Solche Systemen finden sich mittlerweile in sehr vielen Unternehmen. Sie betreffen vor allem Chatbots und Conversational AI, Emotionserkennungssysteme, Deepfakes und synthetische Inhalte.

    Must-have To-dos:

    Transparenzpflichten erfüllen – Nutzer müssen wissen, dass sie mit KI interagieren
    Bei synthetischen Inhalten: Kennzeichnungspflicht
    Dokumentation der Nutzungsbedingungen

    Zeitachse: Größtenteils bereits ab 2. Februar 2025 anwendbar

    4. Minimales Risiko

    Die meisten KI-Anwendungen fallen in diese Kategorie – etwa einfache Spam-Filter oder Empfehlungssysteme ohne sensible Entscheidungen.

    Pflichten: Weitgehend freiwillige Verhaltenskodizes (Art. 95)

    Mehr zu den KI-Systemen haben wir in unserem Artikel „Was ist ein KI-System? „

    Dein konkreter Fahrplan: Der AI Act Quick Check

    Viele Unternehmen wissen nicht, wo sie stehen. Genau dafür haben wir den AI Act Quick Check entwickelt.

    Was du bekommst:

    1. Bestandsaufnahme deiner KI-Nutzung
    Wir identifizieren gemeinsam, wo in deinem Unternehmen KI-Systeme zum Einsatz kommen – oft mehr, als auf den ersten Blick ersichtlich.

    2. Klare Risikoeinstufung
     Jeder Use Case wird präzise kategorisiert:

    • Verboten? → Sofortmaßnahmen erforderlich
    • Hochrisiko? → Compliance-Roadmap notwendig
    • Begrenztes Risiko? → Transparenzpflichten beachten
    • Minimales Risiko? → Keine unmittelbaren Pflichten

    3. Konkrete Handlungsempfehlungen
     Für jeden identifizierten Anwendungsfall bekommst du

    • die relevanten Pflichten und Risiken im Überblick
    • Priorisierung nach Dringlichkeit

    4. Ergebnis-Memo
    Kompakt aufbereitet für deine Geschäftsführung – keine 50-seitigen Gutachten, sondern handlungsorientierte Entscheidungsvorlagen.

    AI Act Quick Check

    Warum gerade jetzt handeln?

    • 2. Februar 2025: Verbotene KI-Systeme müssen eingestellt sein
    • 2. August 2025: Erste Pflichten für Hochrisiko-Systeme greifen
    • 2. August 2026: Vollständige Anwendbarkeit der Hochrisiko-Anforderungen
    • 2. August 2027: Auch bestehende Hochrisiko-Systeme müssen compliant sein

    Unternehmen, die jetzt die Weichen stellen, vermeiden:

    • Hohe Bußgelder und Reputationsschäden
    • Hektische Last-Minute-Maßnahmen
    • Wettbewerbsnachteile gegenüber regulierungskonformen Mitbewerbern

    Für wen ist der AI Act Quick Check ideal?

    • Mittelständische Unternehmen, die KI nutzen, aber keine eigene Rechtsabteilung haben
    • Geschäftsführungen, die schnell Entscheidungssicherheit brauchen
    • Unternehmen in der Digitalisierung, die ihre KI-Strategie absichern wollen
    • Alle, die wissen wollen: Sind wir betroffen – und wenn ja, wie sehr?

    Der Unterschied zu IT-Beratern

    IT-Berater können Ihnen Systeme implementieren. Wir übersetzen die rechtlichen Anforderungen in technische und organisatorische Maßnahmen – und umgekehrt. Wir sprechen beide Sprachen: Jura und Business.

    Aus Unsicherheit wird Handlungsfähigkeit

    Die KI-Verordnung mag komplex sein – deine Antwort darauf muss es nicht sein. Mit dem AI Act Quick Check erhältst du in kurzer Zeit die Klarheit, die du für fundierte unternehmerische Entscheidungen brauchst.

    Lassen Sie uns gemeinsam aus regulatorischer Unsicherheit unternehmerische Klarheit machen. Buche jetzt einen ersten Termin über Calendly.

    Achtung, nicht nur DSGVO überschneidet sich stark mit der KI-Verordnung. Hier lernst du, dass auch Cyber Resilience Act einen Einfluss auf dein Unternehmen haben könnte – unser Artikel „CRA vs AI-Act: Ein Leitfaden zur regulatorischen Überschneidung„.

  • CRA vs AI-Act: Ein Leitfaden zur regulatorischen Überschneidung

    13.11.2025

    Einführung

    Mit der Verabschiedung der Cyberresilienz-Verordnung (CRA, Verordnung (EU) 2024/2847) und des Gesetzes über künstliche Intelligenz (AI Act, Verordnung (EU) 2024/1689) hat die Europäische Union zwei wegweisende Rechtsakte geschaffen, die die digitale Landschaft maßgeblich prägen werden.

    Für Unternehmen, die Produkte entwickeln, die sowohl digitale Elemente als auch KI-Komponenten enthalten, stellt sich die entscheidende Frage:

    Wie interagieren diese beiden Verordnungen miteinander?

    Kurz gesagt:

    Grundsätzlich hat der AI Act Vorrang. Produkte mit digitalen Elementen, die in den Anwendungsbereich der CRA fallen und zugleich als Hochrisiko-KI-Systeme im Sinne von Artikel 6 des AI Act gelten, müssen jedoch zusätzlich die grundlegenden Cybersicherheitsanforderungen der CRA erfüllen.

    Erfüllen diese Hochrisiko-KI-Systeme die in Anhang I Teil I und II der CRA festgelegten Cybersicherheitsanforderungen, wird davon ausgegangen, dass sie auch die Anforderungen nach Artikel 15 des AI Act erfüllen.

    Ausnahmsweise hat jedoch die CRA Vorrang – und zwar bei Produkten, die als „wichtige“ oder „kritische“ Produkte mit digitalen Elementen gemäß Anhang III bzw. IV der CRA eingestuft sind. Dieser Vorrang gilt allerdings ausschließlich in Bezug auf die Cybersicherheitsanforderungen.

    Die zentrale Schnittstelle: Artikel 12 CRA

    Die Hauptregelung zur Koordination zwischen beiden Verordnungen findet sich in Artikel 12 der CRA („Hochrisiko-KI-Systeme“). Ergänzt wird diese durch die Erwägungsgründe 63 bis 65 sowie Artikel 52 Absatz 14 CRA zur Marktüberwachung.

    Der Gesetzgeber hat erkannt, dass viele Produkte gleichzeitig unter beide Verordnungen fallen können – insbesondere wenn es sich um Hochrisiko-KI-Systeme handelt, die zugleich als Produkte mit digitalen Elementen einzustufen sind.

    Der Grundsatz der Konformitätsvermutung

    Doppelte Anwendbarkeit

    Produkte, die sowohl in den Anwendungsbereich der CRA fallen als auch als Hochrisiko-KI-Systeme gemäß Artikel 6 AI Act eingestuft werden, müssen grundsätzlich beide Regelwerke beachten. Die CRA etabliert jedoch eine wichtige Erleichterung durch das Prinzip der Konformitätsvermutung.

    Die Konformitätsvermutung in der Praxis

    Wenn ein Hochrisiko-KI-System:

    • die grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I der CRA erfüllt, und
    • die vom Hersteller festgelegten Verfahren den Anforderungen in Anhang I Teil II der CRA entsprechen,

    dann wird automatisch davon ausgegangen, dass auch die Cybersicherheitsanforderungen gemäß Artikel 15 AI Act erfüllt sind. Diese Erfüllung muss in der EU-Konformitätserklärung nach CRA dokumentiert werden.

    Praktischer Hinweis: Diese Regelung vermeidet doppelte Compliance-Arbeit und schafft rechtliche Klarheit für Hersteller.

    Erweiterte Risikobewertung für KI-Systeme

    KI-spezifische Bedrohungsszenarien

    Bei der Durchführung der nach CRA erforderlichen Risikobewertung müssen Hersteller von Hochrisiko-KI-Systemen besondere Aufmerksamkeit auf KI-spezifische Cyberbedrohungen legen:

    • Data Poisoning: Manipulation der Trainingsdaten zur Verfälschung des KI-Verhaltens
    • Adversarial Attacks: Gezielte Eingaben zur Täuschung des KI-Systems
    • Model Extraction: Unbefugter Zugriff auf das trainierte Modell
    • Manipulation von Systemverhalten und -leistung

    Grundrechtsschutz als Bewertungsmaßstab

    Besonders hervorzuheben ist, dass die Risikobewertung auch potenzielle Auswirkungen auf die Grundrechte gemäß AI Act berücksichtigen muss. Dies stellt eine direkte Verbindung zwischen technischer Cybersicherheit und rechtlichem Grundrechtsschutz her.

    Das Konformitätsbewertungsverfahren: Ein komplexes Regelungssystem

    Grundregel: Vorrang des AI Act

    Im Regelfall hat das Konformitätsbewertungsverfahren nach AI Act Vorrang. Dies bedeutet:

    • Das in Artikel 43 AI Act vorgesehene Verfahren gilt auch für die Bewertung der CRA-Cybersicherheitsanforderungen
    • Die nach AI Act notifizierten Stellen sind auch für die CRA-Konformität zuständig, sofern sie die Anforderungen des Artikel 39 CRA erfüllen

    Die Ausnahme: Vorrang der CRA

    Die CRA-Konformitätsbewertungsverfahren haben jedoch Vorrang, wenn alle folgenden Bedingungen kumulativ erfüllt sind:

    1. Produktklassifikation nach CRA:
      • Das Produkt ist als „wichtiges Produkt mit digitalen Elementen“ (Anhang III CRA) eingestuft und unterliegt den Verfahren nach Artikel 32 Absätze 2 und 3 CRA, oder
      • Das Produkt ist als „kritisches Produkt mit digitalen Elementen“ (Anhang IV CRA) eingestuft und benötigt ein europäisches Cybersicherheitszertifikat oder unterliegt Artikel 32 Absatz 3 CRA
    2. Gleichzeitig: Das Konformitätsbewertungsverfahren nach AI Act basiert auf interner Kontrolle gemäß Anhang VI AI Act

    Wichtig: In diesen Ausnahmefällen gilt der CRA-Vorrang nur für Cybersicherheitsaspekte. Alle anderen AI Act-Anforderungen werden weiterhin nach dem internen Kontrollverfahren des AI Act bewertet.

    Synergieeffekte und praktische Vorteile

    KI-Reallabore

    Ein wichtiger Vorteil für Innovatoren: Hersteller von Produkten, die unter beide Verordnungen fallen, können an den KI-Reallaboren gemäß Artikel 57 AI Act teilnehmen. Dies ermöglicht kontrollierte Testumgebungen für innovative Entwicklungen.

    Koordinierte Marktüberwachung

    Die Marktüberwachung erfolgt koordiniert:

    • AI Act-Behörden sind auch für CRA-Aspekte bei Hochrisiko-KI-Systemen zuständig
    • Enge Zusammenarbeit mit CRA-Marktüberwachungsbehörden, CSIRTs und ENISA
    • Informationsaustausch über relevante Erkenntnisse zwischen den Behörden

    Praktische Handlungsempfehlungen

    1. Frühzeitige Klassifizierung: Bestimmen Sie frühzeitig, ob Ihr Produkt unter beide Verordnungen fällt
    2. Integrierte Compliance-Strategie: Entwickeln Sie eine ganzheitliche Compliance-Strategie, die beide Regelwerke berücksichtigt
    3. Dokumentation: Nutzen Sie die Konformitätsvermutung durch sorgfältige Dokumentation der CRA-Compliance
    4. Risikomanagement: Implementieren Sie ein umfassendes Risikomanagement, das sowohl klassische Cybersecurity als auch KI-spezifische Bedrohungen abdeckt

    Mit Legal Living Hub bekommst Du moderne Datenschutzberatung und KI-Compliance auf Augenhöhe

    kostenlose 30-minütige Erstberatung sichern

    Fazit

    Die Überschneidungsregelungen zwischen CRA und AI Act zeigen den Willen des europäischen Gesetzgebers, trotz komplexer Regulierung praktikable Lösungen zu schaffen. Die Konformitätsvermutung und die koordinierte Marktüberwachung sind wichtige Instrumente zur Vermeidung von Doppelbelastungen.

    Gleichzeitig bleibt die praktische Anwendung komplex und erfordert sorgfältige Analyse im Einzelfall. Unternehmen sollten frühzeitig rechtliche Beratung einholen und ihre Compliance-Prozesse entsprechend ausrichten.

    Die erfolgreiche Navigation durch diese regulatorische Landschaft wird zunehmend zum Wettbewerbsvorteil – sowohl in Bezug auf rechtliche Sicherheit als auch hinsichtlich des Vertrauens von Kunden und Partnern in die Sicherheit und Rechtskonformität der angebotenen Produkte.

© 2025 Olga Weidenkeller | Legal Living Hub

  • Impressum
  • Datenschutzhinweise
Cookie-Einstellungen
Legal Living Hub verwendet Cookies, damit die Webseite zuverlässig funktioniert und wir Informationen für statistische Auswertungen sammeln können. Du kannst deine Cookie-Einstellungen jederzeit im Footer der Webseite ändern. Mehr Informationen findest du in unseren Datenschutzhinweisen.