Datenschutz für Freelancer: Rechtliche Fallstricke vermeiden
Dein Unternehmen möchte nun mit den Freelancern, also mit freien Mitarbeitern arbeiten. Es hat mehrere Vorteile, wie flexibler Einsatz auf Rechnung ohne arbeitsrechtliche Verpflichtungen. Gleichzeitig gibt es dennoch rechtliche Fragen, die berücksichtigt und geklärt werden sollten. Denn je nachdem, wie eng ein Freelancer in dein Business eingebunden ist, gelten völlig unterschiedliche Spielregeln. Und die solltest du kennen – sonst drohen nicht nur Ärger mit der Datenschutzbehörde, sondern im schlimmsten Fall auch sozialversicherungsrechtliche Konsequenzen.
Nun dieser Artikel befasst sich insbesondere mit den datenschutzrechtlichen Hürden.
Freelancer ist nicht gleich Freelancer
Wenn du externes Fachpersonal ins Boot holst und dieses für dich oder mit dir personenbezogenen Daten verarbeitet, kann das rechtlich ganz verschiedene Formen annehmen. Die DSGVO kennt mehrere Modelle, wie freie Mitarbeiter beim Thema Datenschutz als Datenempfänger einzuordnen sind:
Eigenständiger Verantwortlicher (Art. 24 DSGVO)
Gemeinsam Verantwortliche (Art. 26 DSGVO)
Auftragsverarbeiter (Art. 28 DSGVO)
Unterstellte Person (Art. 29 DSGVO)
Welches Modell auf deine Situation zutrifft, hängt vom konkreten Arbeitsverhältnis ab. Und genau hier wird’s spannend.
Der entscheidende Faktor: Wie viel Kontrolle übst du als Auftraggeber gegenüber einem Freelancer aus?
Die zentrale Frage lautet: Wie stark gibst du dem Freelancer vor, was er wie zu tun hat?
Viel Eigenverantwortung Entscheidet der Freelancer selbst, zu welchem Zweck und auf welche Weise er Daten verarbeitet, agiert er als eigenständiger Verantwortlicher. Er ist dann datenschutzrechtlich ein Dritter und trägt selbst die volle Verantwortung. Falls ihr gemeinsam über Zweck und Art der Datenverarbeitung bestimmt, liegt eine gemeinsame Verantwortlichkeit vor. In beiden Fällen bedarf es eines Datenverarbeitungsvertrags – Data Processing Agreement, der klar die Verantwortlichkeiten sowie ihre Grenzen regelt.
Weisungsgebunden, aber organisatorisch selbstständig = Auftragsverarbeiter Allein der Begriff „weisungsgebunden“ ist im Kontext eines Freelancer-Vertrags schon knifflig. Doch sollte ein Freelancer in deinem Auftrag Daten verarbeiten und diese Arbeit auf deine Weisung gebunden sein, handelt es sich um eine Auftragsverarbeitung.
Achtung! Hier ist es jedoch wichtig zu beachten, dass obwohl jemand nach deinen inhaltlichen Vorgaben arbeitet, sollte er sich dennoch von deiner Organisation soweit wie möglich abgrenzen, z.B. durch Nutzung eigener Tools oder durch die eigenständige Entscheidung über Arbeitszeit und -ort. In diesem Fall brauchst du zwingend einen Auftragsverarbeitungsvertrag (AVV), der genau regelt, was wie zu tun ist und insb. dass die Weisungen sich ausschließlich auf die Datenverarbeitung beziehen.
Wann ist ein Freelancer wie ein Angestellter einzustufen?
Wenn dein Freelancer faktisch wie ein Angestellter arbeitet, kann er als „dem Verantwortlichen unterstellte Person“ i.S.v. Art. 29 DSGVO gelten. Das klingt erstmal praktisch, hat aber seine Tücken.
Folgende Punkte sprechen dafür, dass jemand rechtlich wie ein Mitarbeiter behandelt wird:
Arbeitet mit deiner Hard- und Software
Hat feste Arbeitszeiten in deinen Räumen
Nutzt deine Zeiterfassungssysteme
Trägt einen Mitarbeiterausweis
Liefert regelmäßige Projekt-Reports ab
Hat kaum eigenen Gestaltungsspielraum bei der Aufgabenerfüllung
Ist in Abläufe eingebunden wie deine Festangestellten
Achtung Scheinselbstständigkeit!
Jetzt wird’s heikel: Wenn jemand so eng eingebunden ist wie ein Angestellter – warum ist er dann überhaupt noch „selbstständig“? Hier lauert die Gefahr der Scheinselbstständigkeit, die für beide Seiten massive arbeits-, sozialversicherungs-, steuer- und sogar strafrechtliche Folgen haben kann.
Scheinselbstständigkeit liegt vor, wenn jemand formal als Selbstständiger beauftragt wird, faktisch aber abhängig beschäftigt ist und eigentlich sozialversicherungspflichtig angestellt sein müsste.
Zusätzliche Warnsignale sind:
Keine Tätigkeit für andere Auftraggeber
Wettbewerbs- und Nebentätigkeitsverbote
Kein Einsatz eigenen Kapitals oder eigener Ressourcen
Unmöglichkeit, Dritte für die Leistung einzusetzen
Wichtig zu verstehen: Die datenschutzrechtliche Einordnung ist nicht identisch mit der sozialversicherungsrechtlichen Beurteilung. Du kannst jemanden nach Art. 29 DSGVO als unterstellte Person einstufen, ohne dass automatisch Scheinselbstständigkeit vorliegt – aber die Bereiche überschneiden sich stark. Deshalb: Augen auf bei der Vertragsgestaltung!
So vermeidest du Fehler
Die unterschiedlichen Einordnungen erfordern eine genaue Einzelfallprüfung. Unser Tipp:
Analysiere die tatsächliche Zusammenarbeit – nicht nur, was im Vertrag steht
Unterscheide klar zwischen Auftragsverarbeitung und Art. 29 DSGVO – nutze Art. 29 nicht als Ausrede, um einen ordentlichen AVV zu umgehen
Dokumentiere alles sauber – präzise Verträge sind dein bester Schutz
Überprüfe regelmäßig – Arbeitsbeziehungen entwickeln sich, und damit auch die rechtliche Einordnung
Legal Living Hub übernimmt das für dich
Klingt kompliziert? Ist es auch. Aber dafür gibt es uns.
Bei Legal Living Hub unterstützen wir Kleinunternehmen wie deins dabei, rechtlich auf der sicheren Seite zu stehen. Wir analysieren deine Freelancer-Zusammenarbeit, ordnen sie datenschutzrechtlich korrekt ein und erstellen die passenden Verträge – ob AVV, Vereinbarung zur gemeinsamen Verantwortlichkeit oder Vertraulichkeitserklärungen.
So kannst du dich auf dein Business konzentrieren, während wir sicherstellen, dass du weder von der Datenschutzbehörde noch von der Rentenversicherung unangenehme Post bekommst.
Lass uns über deine Freelancer-Situation sprechen – gemeinsam finden wir die rechtlich saubere Lösung für dein Unternehmen.
POPIA und DSGVO: Datenschutz als Wachstumsstrategie für Startups in Südafrika
Südafrika zählt zu den dynamischsten Wachstumsmärkten auf dem afrikanischen Kontinent – und Kapstadt entwickelt sich dabei zu einem echten Hub für Startups und Tech-Unternehmen. Doch wer in diesem Markt erfolgreich sein will, kommt an einem Thema nicht vorbei: Datenschutz. Mit dem Protection of Personal Information Act (POPIA) hat Südafrika ein Datenschutzgesetz etabliert, das in vielerlei Hinsicht an die europäische Datenschutz-Grundverordnung (DSGVO) erinnert – und internationale Unternehmen sowie lokale Gründer gleichermaßen vor neue Anforderungen stellt. Dieser Artikel beleuchtet, wie sich POPIA und DSGVO im direkten Vergleich unterscheiden, wo sie sich überschneiden und warum ein proaktiver Umgang mit Datenschutz gerade für die aufstrebende Startup-Szene rund um Kapstadt kein bürokratisches Hindernis, sondern ein echter strategischer Wettbewerbsvorteil sein kann.
Kapstadt als Startup-Hub: Wenn Europa und Afrika aufeinandertreffen
Wer in der Berliner Startup-Szene unterwegs ist, hat in den letzten Jahren eine bemerkenswerte Entwicklung beobachtet: Immer mehr Gründerinnen und Gründer, Investoren und Tech-Talente zieht es nach Kapstadt. Die südafrikanische Metropole hat sich zu einem ernstzunehmenden Startup-Ökosystem entwickelt mit einer wachsenden Tech-Community, günstigeren Lebenshaltungskosten im Vergleich zu europäischen Großstädten und einer Zeitzone, die Zusammenarbeit mit Europa problemlos erlaubt. Gleichzeitig entkommen viele dem grauen Berliner Winter, blühen im sonnigen Klima auf und berichten, dort motivierter und produktiver zu arbeiten.
Initiativen wie das Silicon Cape Initiative-Netzwerk, The Delta oder Programme wie Grindstone und LaunchLab sowie eine wachsende Zahl von Acceleratoren und Co-Working-Spaces haben Kapstadt auf die globale Startup-Landkarte gesetzt. Für deutsche Unternehmen, die mit südafrikanischen Nutzerinnen und Nutzern interagieren, sei es über eine App, einen Online-Shop oder eine SaaS-Plattform, stellt sich damit unweigerlich eine rechtliche Frage: Welche Datenschutzregeln gelten hier eigentlich?
Die Antwort lautet: Das südafrikanische Datenschutzrecht hat in den letzten Jahren deutlich aufgeholt. Mit dem POPIA verfügt Südafrika seit 2021 über ein umfassendes Datenschutzgesetz – und wer glaubt, dass es sich dabei um eine schwache Kopie der DSGVO handelt, liegt falsch.
Was ist POPIA und warum zieht Südafrika nach?
Der Protection of Personal Information Act 4 of 2013 (POPIA) ist seit dem 1. Juli 2021 vollständig in Kraft. Er regelt, wie personenbezogene Daten von natürlichen und juristischen Personen in Südafrika verarbeitet werden dürfen. Begleitet wird POPIA vom Promotion of Access to Information Act 2 of 2000 (PAIA), der ein eigenständiges Recht auf Zugang zu Informationen gewährt – ein Aspekt, der im europäischen Recht so nicht existiert.
POPIA ist kein Zufall und kein Luxusprojekt: Südafrika reagiert damit auf einen globalen Trend. Daten sind Wirtschaftsgut und Machtfaktor zugleich. Internationale Konzerne wie Google, Meta oder Amazon verarbeiten täglich Millionen südafrikanischer Datensätze und bislang mit wenig rechtlicher Rechenschaftspflicht gegenüber dem lokalen Gesetzgeber. POPIA setzt hier einen klaren Rahmen.
Hinzu kommt der wirtschaftliche Druck: Wer mit der EU Handel treiben möchte, muss angemessene Datenschutzstandards nachweisen können. Südafrika arbeitet derzeit an seiner Anerkennung als sicheres Drittland im Sinne der DSGVO – ein Status, der den Datentransfer zwischen Europa und Südafrika erheblich vereinfachen würde.
DSGVO und POPIA im direkten Vergleich
Gemeinsamkeiten: Das gleiche Grundprinzip
Wer die DSGVO kennt, findet in POPIA viele bekannte Konzepte. Beide Regelwerke basieren auf dem Prinzip der Zweckbindung, der Datenminimierung und der Rechenschaftspflicht. Beide verlangen eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Und in beiden Systemen haben Betroffene das Recht auf Auskunft, Berichtigung und mit Löschung ihrer Daten.
Auch strukturell ähneln sich die Gesetze: POPIA kennt einen „Responsible Party“ (vergleichbar dem Verantwortlichen nach Art. 4 DSGVO) und einen „Operator“ (entspricht dem Auftragsverarbeiter). Verträge zwischen diesen Parteien sind vorgeschrieben, Datenschutz-Folgeabschätzungen bei risikoreichen Verarbeitungen ebenfalls.
Unterschied 1: POPIA schützt auch Unternehmen
Ein zentraler Unterschied liegt im materiellen Schutzbereich. Die DSGVO schützt ausschließlich natürliche Personen. Juristische Personen wie GmbHs oder AGs fallen explizit aus dem Schutzbereich heraus. POPIA hingegen erstreckt seinen Schutz ausdrücklich auch auf juristische Personen (Sec. 1 POPIA). Das hat praktische Konsequenzen: Auch Unternehmensdaten können in Südafrika POPIA-relevant sein, wenn sie sich auf identifizierbare juristische Personen beziehen.
Unterschied 2: Das duale System – POPIA und PAIA
Während die DSGVO ein integriertes Modell verfolgt, in dem Transparenzpflichten ausschließlich zwischen Verantwortlichen und Betroffenen geregelt sind, kennt Südafrika ein duales System. POPIA regelt den Datenschutz. PAIA regelt den Informationszugang, nicht nur gegenüber staatlichen Stellen, sondern auch gegenüber privaten Unternehmen, sofern der Zugang zur Ausübung oder zum Schutz eines Rechts erforderlich ist (Sec. 50 PAIA).
Das bedeutet: In Südafrika kann unter Umständen nicht nur die betroffene Person, sondern auch ein Dritter Zugang zu bestimmten Informationen verlangen, wenn er dafür ein rechtliches Interesse geltend machen kann. Für Unternehmen, die in Südafrika operieren, bedeutet das eine zusätzliche Compliance-Schicht, die in Europa so nicht existiert.
Unterschied 3: Strafrechtliche Haftung
Während die DSGVO ausschließlich auf administrative Bußgelder setzt (bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes nach Art. 83 DSGVO), geht POPIA einen Schritt weiter: Bestimmte Verstöße können in Südafrika mit Freiheitsstrafen von bis zu zehn Jahren geahndet werden (Sec. 109 POPIA). Das ist kein theoretischer Extremfall – es ist geltendes Recht.
Rechte im Überblick
Beide Systeme gewähren Betroffenen das Recht auf Auskunft über ihre gespeicherten Daten sowie das Recht auf Berichtigung und Löschung. Die DSGVO geht mit dem Recht auf Datenübertragbarkeit (Art. 20 DSGVO) noch einen Schritt weiter als POPIA. PAIA ergänzt das Gesamtbild durch ein eigenständiges Informationszugangsrecht, das keine direkte europäische Entsprechung hat.
Was müssen Unternehmen nach POPIA beachten, wenn sie in Südafrika Kundendaten verarbeiten?
Für deutsche Unternehmen, die südafrikanische Nutzer ansprechen, Daten von Personen in Südafrika verarbeiten oder dort Geschäftspartner haben, ergeben sich konkrete Handlungspflichten. Hier sind die wichtigsten Punkte:
1. Anwendbarkeit prüfen
POPIA gilt für jeden Verantwortlichen, der personenbezogene Informationen in Südafrika verarbeitet, unabhängig davon, ob das Unternehmen dort ansässig ist. Wer eine südafrikanische Nutzerbasis hat, Daten über südafrikanische Server routet oder Dienstleistungen an Personen in Südafrika erbringt, kann in den Anwendungsbereich fallen.
2. Information Officer benennen
POPIA verlangt, dass jedes Unternehmen, das in den Anwendungsbereich fällt, einen sogenannten „Information Officer“ benennt und beim Information Regulator (der südafrikanischen Aufsichtsbehörde) registriert. Diese Rolle ähnelt dem Datenschutzbeauftragten nach DSGVO mit einem entscheidenden Unterschied: Wer diese Funktion übernehmen darf.
Unter POPIA ist der Information Officer per Gesetz automatisch der CEO oder die ranghöchste Führungsperson des Unternehmens – sofern keine andere Person ausdrücklich benannt wird (Sec. 1 und Sec. 55 POPIA). Das heißt: Handelt ein Unternehmen nicht, trägt die Geschäftsführung persönlich die volle rechtliche Verantwortung für die POPIA-Compliance, inklusive der persönlichen Haftung bei Verstößen.
Die DSGVO funktioniert hier grundlegend anders. Der Datenschutzbeauftragte nach Art. 37 DSGVO muss ausdrücklich unabhängig sein, er darf keine Weisungen zu seinen Aufgaben entgegennehmen (Art. 38 Abs. 3 DSGVO) und darf insbesondere nicht in Personalunion auch Entscheidungsträger über Zwecke und Mittel der Datenverarbeitung sein. Ein CEO, COO oder IT-Leiter, der gleichzeitig als Datenschutzbeauftragter fungiert, verstößt nach europäischem Recht gegen das Prinzip der Interessenkonfliktvermeidung. Genau das ist unter POPIA nicht nur erlaubt, sondern der gesetzliche Standardfall.
Für Unternehmen, die in beiden Rechtssystemen operieren, entsteht damit ein strukturelles Spannungsfeld: Was in Südafrika die Regel ist, wäre in der EU ein Compliance-Verstoß.
Warum es sich lohnt, den Information Officer auszulagern
Obwohl POPIA es erlaubt, dass der CEO die Funktion des Information Officers übernimmt, ist das in der Praxis selten sinnvoll und aus denselben Gründen, die auch in der DSGVO-Welt für die Auslagerung des Datenschutzbeauftragten sprechen.
Erstens: Fachliche Tiefe. Datenschutzrecht ist komplex, entwickelt sich ständig weiter und erfordert spezialisiertes Wissen. Ein CEO oder Geschäftsführer hat in der Regel weder Zeit noch juristische Expertise, um POPIA-Anforderungen, Meldepflichten gegenüber dem Information Regulator und PAIA-Compliance dauerhaft zuverlässig zu managen.
Zweitens: Haftungsminimierung. Wer den Information Officer auslagert, überträgt damit nicht automatisch die Verantwortung aber er schafft eine strukturelle Trennung, die im Streitfall nachweisbar macht, dass das Unternehmen die Compliance aktiv und professionell organisiert hat. Das wirkt sich strafmildernd aus.
Drittens: Interessenkonflikt. Auch wenn POPIA keine formelle Unabhängigkeitspflicht wie die DSGVO kennt, ist es faktisch problematisch, wenn dieselbe Person Datenschutzentscheidungen trifft und gleichzeitig prüft, ob diese Entscheidungen rechtmäßig waren. Ein externer Information Officer kann unbefangen und ohne Rücksicht auf interne Hierarchien agieren.
Für wachsende Startups – gerade in einem Ökosystem wie Kapstadt, wo Ressourcen knapp und Skalierungsgeschwindigkeit hoch ist – bietet die Auslagerung des Information Officers an spezialisierte Kanzleien oder Beratungsunternehmen einen klaren Vorteil: professionelle Compliance ohne den Aufbau einer eigenen internen Datenschutzabteilung.
3. Rechtsgrundlage für die Verarbeitung sicherstellen
Wie unter der DSGVO braucht jede Verarbeitung eine Rechtsgrundlage. In Südafrika sind dies die sogenannten „Conditions for Lawful Processing“ (Secs. 8–25 POPIA): Accountability, Processing Limitation, Purpose Specification, Further Processing Limitation, Information Quality, Openness, Security Safeguards und Data Subject Participation. Einwilligungen müssen freiwillig, informiert und spezifisch sein.
4. Datenschutzhinweise anpassen
Datenschutzerklärungen, die rein auf DSGVO ausgerichtet sind, reichen für den südafrikanischen Markt nicht aus. Insbesondere Hinweise zu den Rechten aus PAIA, zur Rolle des Information Officers und zu den spezifischen südafrikanischen Rechtsgrundlagen müssen ergänzt werden.
5. Drittlandtransfers im Blick behalten
POPIA enthält Regelungen zum grenzüberschreitenden Datentransfer (Sec. 72 POPIA), die denen der DSGVO ähneln. Wer Daten aus Südafrika in ein anderes Land überträgt – etwa auf europäische Cloud-Server muss sicherstellen, dass das Empfängerland ein angemessenes Schutzniveau bietet oder geeignete Garantien vorhanden sind.
6. Incident-Response-Prozesse aufbauen
POPIA verlangt die Meldung von Datenpannen an den Information Regulator und an die betroffenen Personen – ähnlich wie Art. 33 und 34 DSGVO. Wer bereits DSGVO-konforme Prozesse hat, ist gut aufgestellt, muss diese aber auf südafrikanische Spezifika anpassen.
7. PAIA-Pflichten nicht vergessen
Neben POPIA müssen Unternehmen, die in Südafrika tätig sind, auch PAIA-Pflichten erfüllen. Das beinhaltet die Erstellung und Veröffentlichung eines sogenannten „PAIA Manual“. Dies ist ein Dokument, das beschreibt, welche Informationen das Unternehmen hält und wie Zugangsanfragen gestellt werden können.
POPIA vs. DSGVO – Kein Grund zur Panik aber Handlungsbedarf
POPIA ist kein bürokratisches Regelwerk ohne Zähne. Es ist ein modernes Datenschutzgesetz, das von einer aktiven Aufsichtsbehörde durchgesetzt wird und strafrechtliche Konsequenzen mit sich bringt. Gleichzeitig ist es für Unternehmen, die bereits DSGVO-konform aufgestellt sind, kein Neuland, denn die konzeptionelle Ähnlichkeit erleichtert den Einstieg erheblich.
Der entscheidende Unterschied liegt in den Details: das duale System aus POPIA und PAIA, der breitere Schutzbereich (inklusive juristischer Personen) und die strafrechtliche Dimension machen eine sorgfältige rechtliche Analyse unumgänglich. Wer Südafrika als Wachstumsmarkt ernst nimmt und das sollte man angesichts der dynamischen Startup-Szene in Kapstadt tun, sollte Datenschutz-Compliance von Anfang an mitdenken.
Künstliche Intelligenz & Recht
Rechtliche Entwicklungen und Risiken
Stand Januar 2026
Der Einsatz von Künstlicher Intelligenz (KI) ist inzwischen fester Bestandteil unternehmerischer, medialer und kreativer Prozesse. Parallel dazu nimmt die rechtliche Relevanz des Themas deutlich zu. Aktuelle Gerichtsentscheidungen zeigen, dass KI-Nutzung erhebliche urheberrechtliche, persönlichkeitsrechtliche, datenschutzrechtliche und haftungsrechtliche Risiken mit sich bringt.
Urheberrechtliche Risiken bei der KI-Nutzung
Der Einsatz von KI-Systemen ist rechtlich nur dann zulässig, wenn ausschließlich eigene Inhalte oder Inhalte verwendet werden, für die eine ausreichende Lizenz besteht. In der Praxis entstehen besondere Risiken durch sogenannte Memorisationseffekte. KI-Modelle können urheberrechtlich geschützte Texte, Bilder oder Programmiercode wörtlich oder in wesentlichen Teilen wiedergeben. Wird ein solcher Output weiterverbreitet oder kommerziell genutzt, kann dies zu einer Urheberrechtsverletzung führen.
Besonders risikobehaftet ist der KI-Einsatz im Journalismus, wie unter anderem die Klage der New York Times gegen einen KI-Anbieter zeigt. Auch im Bereich der Werbetexte, im Grafik- und Designbereich sowie bei der Programmierung bestehen erhebliche Gefahren, da urheberrechtlich relevante Übernahmen häufig schwer erkennbar sind.
Unternehmen sollten daher klare organisatorische Maßnahmen ergreifen. Dazu gehört die Einführung verbindlicher KI-Richtlinien, die Sensibilisierung und Schulung der Mitarbeitenden sowie eine verpflichtende Endkontrolle von KI-generierten Inhalten in risikoreichen Bereichen. Ergänzend empfiehlt sich die Einführung eines Vier-Augen-Prinzips, um Rechtsverletzungen frühzeitig zu vermeiden.
Persönlichkeitsrecht und Voice Cloning
(LG Berlin II, Urt. v. 20.08.2025 – 2 O 202/ 24 „KI-Stimme“ (Berufung anhängig)
Das Landgericht Berlin hat entschieden, dass auch die Stimme als Ausfluss des allgemeinen Persönlichkeitsrechts rechtlich geschützt ist. In dem zugrunde liegenden Fall klagte ein bekannter Synchronsprecher, der unter anderem als deutsche Stimme von Bruce Willis und Kurt Russell bekannt ist, gegen einen YouTube-Kanal mit rund 190.000 Abonnenten. Der Kanal nutzte KI-Software zur Stimmerzeugung, ohne die Zustimmung des Sprechers einzuholen, und veröffentlichte politisch rechtsgerichtete Inhalte. In den Kommentaren erkannten zahlreiche Nutzer die Stimme eindeutig wieder.
Das Gericht stellte klar, dass bereits eine Zuordnungsverwirrung beim Publikum ausreicht, um eine Persönlichkeitsrechtsverletzung anzunehmen. Eine vollständige Identitätsübernahme sei nicht erforderlich. Dem Kläger wurde ein Schadensersatz in Höhe von 2.000 Euro pro veröffentlichter Audiodatei zugesprochen.
Die Entscheidung reiht sich in eine internationale Entwicklung ein. Bereits 2023 führten KI-bezogene Streitigkeiten zu monatelangen Streiks der US-Schauspielergewerkschaft. In Deutschland wurden Ende 2024 erstmals Tarifverträge mit expliziten KI-Regelungen abgeschlossen. Besonders im Games-Bereich und bei der Lokalisierung von Inhalten gewinnt das Thema zunehmend an Bedeutung.
Das Oberlandesgericht Köln hatte über die Frage zu entscheiden, ob Meta öffentlich zugängliche Inhalte von Facebook und Instagram für das Training eigener KI-Modelle verwenden darf. Die Verbraucherzentrale Nordrhein-Westfalen hatte gegen dieses Vorhaben geklagt, blieb jedoch erfolglos. Das Gericht verneinte sowohl einen kartellrechtlichen Verstoß als auch einen datenschutzrechtlichen Verstoß und erkannte ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO an.
Nach Auffassung des Gerichts verarbeitete Meta ausschließlich Inhalte, die für andere Nutzer öffentlich sichtbar waren. Die betroffenen Personen hätten diese Daten bewusst öffentlich zugänglich gemacht. Zudem habe Meta die Nutzer vorab informiert und eine Widerspruchsmöglichkeit eingeräumt. Das Argument, es würden gezielt Gesundheitsdaten verarbeitet, wies das Gericht zurück, da keine gezielte Suche nach sensiblen Informationen erfolge und die bloße Verarbeitung großer Datenmengen datenschutzrechtlich nicht per se unzulässig sei.
Praktisch bedeutet diese Entscheidung, dass Social-Media-Inhalte rechtlich weitgehend als öffentlich anzusehen sind. Gleichzeitig ist zu berücksichtigen, dass viele internationale KI-Anbieter ihre Modelle ohne vergleichbare europäische Schutzmechanismen trainieren. KI-Technologien erweitern die Möglichkeiten des Zugriffs, der Verknüpfung und der Analyse von Daten erheblich.
Haftung für „halluzinierende“ KI
(LG Hamburg – Grok Beschl. Az.324 O 461/25)
Das Landgericht Hamburg hatte sich mit der Haftung für fehlerhafte KI-Aussagen zu befassen. In dem Verfahren klagte Campact e. V. gegen den KI-Bot „Grok“, der auf der Plattform X betrieben wird. Der Bot hatte fälschlich behauptet, Campact erhalte erhebliche finanzielle Mittel aus dem Bundeshaushalt.
Das Gericht wendete die Grundsätze der Störerhaftung an und ging davon aus, dass sich der Betreiber die Aussagen der KI zu eigen mache. Daraus folge ein verschuldensunabhängiger Unterlassungsanspruch. Die Entscheidung fiel im Eilverfahren und enthält lediglich eine sehr knappe Begründung, ohne eine differenzierte Auseinandersetzung mit KI-spezifischen Besonderheiten. Auch die praktische Umsetzbarkeit der Anforderungen an Betreiber bleibt offen.
Für Anbieter von KI-Systemen ergeben sich daraus erhebliche Konsequenzen. Erforderlich sind mehrstufige Kontroll- und Freigabeprozesse sowie technische Maßnahmen wie Content-Filter oder eine stärkere Quellenverifikation. Zusätzlich kann der Abschluss eines Versicherungsschutzes sinnvoll sein. Aktuelle Vorfälle, etwa die Generierung sexualisierter Darstellungen von Kindern durch KI-Systeme oder KI-basierte Werbeempfehlungen im öffentlich-rechtlichen Rundfunk ohne Sendungsbezug, verdeutlichen den bestehenden Handlungsbedarf.
Fazit
Künstliche Intelligenz eröffnet erhebliche wirtschaftliche und kreative Potenziale, bewegt sich rechtlich jedoch keineswegs in einem rechtsfreien Raum. Unternehmen, Plattformbetreiber und Kreative sollten frühzeitig klare Governance-Strukturen, juristische Prüfprozesse und technische Sicherungsmechanismen etablieren, um Haftungsrisiken und Reputationsschäden zu vermeiden.
KI-Verordnung in der Praxis: unser AI Act Quick Check als unternehmerische Stütze
Die EU-KI-Verordnung ((EU) 2024/1689) ist seit August 2024 in Kraft – und viele Unternehmen stehen vor derselben Frage:
Betrifft uns das überhaupt? Und wenn ja: Was müssen wir konkret tun?
Genau hier setzen wir an. Wir übersetzen komplexe KI-Regulierung in klare, umsetzbare Handlungsschritte für dein Unternehmen. Keine theoretischen Gutachten, sondern praxisnahe Entscheidungsgrundlagen.
Unser AI Act Quick Check haben wir speziell für Unternehmen entwickelt, die rechtssicher KI-Tools nutzen oder auch anbieten wollen.
Nun wollen wir mal herausfinden, ob dein Unternehmen unter die Vorschriften der KI Verordnung fallen.
Wer fällt unter die KI-Verordnung?
Die KI-Verordnung gilt für deutlich mehr Unternehmen, als viele zunächst denken. Betroffen bist du, wenn du:
KI-Systeme entwickelst oder bereitstellst (auch wenn du selbst nicht als „Tech-Unternehmen“ auftrittst)
KI-Systeme unter eigenem Namen in Verkehr bringst (z.B. White-Label-Lösungen)
KI-Systeme geschäftlich nutzst – etwa in HR, Kundenservice, Produktion oder Marketing
KI-Systeme importierst oder vertreibst
Entscheidend ist: Auch die bloße Nutzung von KI kann dich zum Adressaten der Verordnung machen – insbesondere bei Hochrisiko-Anwendungen.
Typische Beispiele aus der Praxis:
Mittelständische Produktionsbetriebe mit KI-gestützter Qualitätskontrolle
Personaldienstleister, die KI-basierte Bewerbungsscreenings einsetzen
Online-Händler mit KI-gesteuerten Empfehlungssystemen
Unternehmen, die Chatbots im Kundenservice verwenden
Firmen, die KI für Bonitätsprüfungen oder Vertragsanalysen nutzen
Die vier Risikokategorien: Deine Pflichten auf einen Blick
Die KI-Verordnung arbeitet mit einem risikobasierten Ansatz. Je höher das Risiko, desto strenger die Anforderungen:
1. Verbotene KI-Systeme (Art. 5 AI Act)
Verbotene KI-Systemen nutzt du eher unwahrscheinlich in deinem Unternehmen. Darunter fällt die KI-Nutzung, die folgende Zwecke verfolgt: z.B. Social Scoring durch Behörden, biometrische Echtzeit-Fernidentifikation im öffentlichen Raum (mit Ausnahmen), manipulative Techniken, die Schaden verursachen oder Ausnutzung von Schutzbedürftigkeit.
Deine Pflicht, solltest du tatsächlich mit deinem Unternehmen solche Zwecke bei der KI-Nutzung verfolgen: Sofortige Einstellung solcher Systeme. Bußgelder bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes.
2. Hochrisiko-KI-Systeme (Art. 6, Anhang III)
Hochrisiko KI-Systeme kommen schon eher in der Praxis vor. Da müsstest du auf die KI-Nutzungen und ihre Zwecke in deinem Unternehmen genauer schauen.
Typische Anwendungsfälle:
Personalauswahl und Mitarbeiterüberwachung
Zugang zu Bildung und Berufsbildung
Kreditwürdigkeitsprüfungen
Biometrische Identifikation
Kritische Infrastruktur
Notfalleinsätze
Must-have To-dos:
Risikomanagementsystem einrichten (Art. 9)
Datengovernance sicherstellen – Trainings- und Testdaten dokumentieren (Art. 10)
Technische Dokumentation erstellen und pflegen (Art. 11)
Transparenz schaffen – Nutzer müssen informiert werden (Art. 13)
Menschliche Aufsicht gewährleisten (Art. 14)
Konformitätsbewertung durchführen (Art. 43)
CE-Kennzeichnung anbringen (Art. 49)
EU-Konformitätserklärung ausstellen
Zeitachse: Vollständige Anwendbarkeit ab 2. August 2026
Bußgeldrisiko: Bis zu 15 Mio. EUR oder 3% des Jahresumsatzes
3. KI mit begrenztem Risiko (Art. 50)
Solche Systemen finden sich mittlerweile in sehr vielen Unternehmen. Sie betreffen vor allem Chatbots und Conversational AI, Emotionserkennungssysteme, Deepfakes und synthetische Inhalte.
Must-have To-dos:
Transparenzpflichten erfüllen – Nutzer müssen wissen, dass sie mit KI interagieren Bei synthetischen Inhalten: Kennzeichnungspflicht Dokumentation der Nutzungsbedingungen
Zeitachse: Größtenteils bereits ab 2. Februar 2025 anwendbar
4. Minimales Risiko
Die meisten KI-Anwendungen fallen in diese Kategorie – etwa einfache Spam-Filter oder Empfehlungssysteme ohne sensible Entscheidungen.
Viele Unternehmen wissen nicht, wo sie stehen. Genau dafür haben wir den AI Act Quick Check entwickelt.
Was du bekommst:
1. Bestandsaufnahme deiner KI-Nutzung Wir identifizieren gemeinsam, wo in deinem Unternehmen KI-Systeme zum Einsatz kommen – oft mehr, als auf den ersten Blick ersichtlich.
2. Klare Risikoeinstufung Jeder Use Case wird präzise kategorisiert:
3. Konkrete Handlungsempfehlungen Für jeden identifizierten Anwendungsfall bekommst du
die relevanten Pflichten und Risiken im Überblick
Priorisierung nach Dringlichkeit
4. Ergebnis-Memo Kompakt aufbereitet für deine Geschäftsführung – keine 50-seitigen Gutachten, sondern handlungsorientierte Entscheidungsvorlagen.
Warum gerade jetzt handeln?
2. Februar 2025: Verbotene KI-Systeme müssen eingestellt sein
2. August 2025: Erste Pflichten für Hochrisiko-Systeme greifen
2. August 2026: Vollständige Anwendbarkeit der Hochrisiko-Anforderungen
2. August 2027: Auch bestehende Hochrisiko-Systeme müssen compliant sein
Unternehmen, die jetzt die Weichen stellen, vermeiden:
Hohe Bußgelder und Reputationsschäden
Hektische Last-Minute-Maßnahmen
Wettbewerbsnachteile gegenüber regulierungskonformen Mitbewerbern
Für wen ist der AI Act Quick Check ideal?
Mittelständische Unternehmen, die KI nutzen, aber keine eigene Rechtsabteilung haben
Geschäftsführungen, die schnell Entscheidungssicherheit brauchen
Unternehmen in der Digitalisierung, die ihre KI-Strategie absichern wollen
Alle, die wissen wollen: Sind wir betroffen – und wenn ja, wie sehr?
Der Unterschied zu IT-Beratern
IT-Berater können Ihnen Systeme implementieren. Wir übersetzen die rechtlichen Anforderungen in technische und organisatorische Maßnahmen – und umgekehrt. Wir sprechen beide Sprachen: Jura und Business.
Aus Unsicherheit wird Handlungsfähigkeit
Die KI-Verordnung mag komplex sein – deine Antwort darauf muss es nicht sein. Mit dem AI Act Quick Check erhältst du in kurzer Zeit die Klarheit, die du für fundierte unternehmerische Entscheidungen brauchst.
Lassen Sie uns gemeinsam aus regulatorischer Unsicherheit unternehmerische Klarheit machen. Buche jetzt einen ersten Termin über Calendly.
Cybersicherheit neu geregelt: NIS-2 startet in Deutschland
Am 5. Dezember 2025 wurde das Gesetz zur Integration der NIS-2-Richtlinie sowie zur Festlegung grundlegender Standards für das Informationssicherheitsmanagement innerhalb der Bundesverwaltung offiziell verkündet. Bereits einen Tag später, am 6. Dezember, erfolgt das Inkrafttreten dieser tiefgreifenden Reform des deutschen Cybersicherheitsrechts. Die neuen Regelungen verschärfen die Sicherheitsanforderungen sowohl für Behörden des Bundes als auch für zahlreiche privatwirtschaftliche Organisationen.
Organisationen sind eigenverantwortlich dazu angehalten, zu evaluieren, ob sie unter den Geltungsbereich der NIS-2-Richtlinie fallen.
Damit werden sie möglicherweise Teil der künftig etwa 29.500 Einrichtungen, die der Aufsicht des BSI unterliegen und für die neue IT-Sicherheitsverpflichtungen bestehen. Bisher unterlagen lediglich rund 4.500 Organisationen den Regelungen des BSI-Gesetzes – darunter insbesondere KRITIS-Betreiber, Diensteanbieter im digitalen Sektor (DSP) sowie Organisationen von besonderem öffentlichem Interesse (UBI).
Durch das NIS-2-Umsetzungsgesetz erfährt der Anwendungsbereich des BSIG (Bundesamt für Sicherheit in der Informationstechnik) eine erhebliche Ausweitung: Organisationen, die in spezifischen Branchen operieren und dabei die gesetzlich definierten Schwellenwerte hinsichtlich Beschäftigtenzahl, Jahresumsatz und Bilanzsumme erreichen, werden zukünftig den neuen Klassifizierungen „wichtige Einrichtungen“ sowie „besonders wichtige Einrichtungen“ zugeordnet.
Wann ist Ihr Unternehmen von der NIS-2 betroffen?
Ein Unternehmen unterliegt der NIS-2-Regelung, wenn zwei Voraussetzungen gleichzeitig erfüllt sind: Erstens muss es in einem der in § 28 sowie in Anlage 1 des NIS-2-Umsetzungsgesetzes definierten Sektoren tätig sein.
Zweitens muss es bestimmte Größenschwellenwerte erreichen oder überschreiten.
Die Größenschwellenwerte orientieren sich an der EU-Empfehlung für die Definition von Kleinstunternehmen sowie kleinen und mittleren Unternehmen. Ein Unternehmen gilt als mittelgroß und fällt damit unter NIS-2, wenn es mindestens 50 Beschäftigte hat oder einen Jahresumsatz beziehungsweise eine Jahresbilanzsumme von mindestens 10 Millionen Euro aufweist. Dabei genügt es, wenn eines dieser beiden finanziellen Kriterien erfüllt ist.
Unternehmen, die diese Schwellenwerte nicht erreichen, fallen grundsätzlich nicht unter die NIS-2-Pflichten. Allerdings gibt es Ausnahmen für besonders kritische Bereiche. KRITIS-Betreiber sind unabhängig von ihrer Größe immer als besonders wichtige Einrichtungen einzustufen. Auch bestimmte Anbieter digitaler Dienste können unabhängig von Schwellenwerten erfasst werden, wenn ihre Dienste für die Gesellschaft oder Wirtschaft besonders relevant sind.
Betroffene Sektoren und Anbieter nach NIS-2 und BSIG
Die neuen Regelungen erfassen unter anderem Betreiber von Online-Marktplätzen. Darüber hinaus fallen folgende Anbieter in den Anwendungsbereich: DNS-Dienstleister, TLD-Namenregister, Cloud-Computing-Anbieter, Rechenzentrumsdienstleister, Betreiber von Content-Delivery-Networks, Managed-Service-Provider, Managed-Security-Service-Provider, Suchmaschinenanbieter, Social-Media-Plattformen sowie Vertrauensdiensteanbieter.
Mittelbare Betroffenheit von Softwareanbietern
Softwareanbieter, die Lösungen an NIS-2-regulierte Unternehmen liefern, sollten den neuen Vorschriften ebenfalls besondere Aufmerksamkeit schenken. Obwohl sie möglicherweise nicht selbst direkt unter die NIS-2-Richtlinie fallen, können sie als integraler Bestandteil beispielsweise eines KRITIS-Unternehmens relevant werden. In diesem Kontext werden sie bei Audits oder der Bewertung der Risikolage der regulierten Einrichtung in Betracht gezogen. Für diesen Fall ist es erforderlich, dass auch Softwareanbieter sämtliche relevanten Dokumentationen und Nachweise bereithalten können.
Zentrale Verpflichtungen für betroffene Unternehmen
Die betroffenen Organisationen müssen drei Hauptverpflichtungen erfüllen:
Registrierungspflicht: Eine gesetzliche Verpflichtung zur Registrierung als NIS-2-regulierte Organisation besteht.
Meldepflicht: Signifikante IT-Sicherheitsvorfälle müssen dem BSI gemeldet werden.
Risikomanagement: Die Implementierung sowie Dokumentation von Maßnahmen zum Risikomanagement ist erforderlich.
Betreiber Kritischer Infrastrukturen werden automatisch der Kategorie „besonders wichtige Einrichtungen“ zugeordnet.
Registrierungsprozess: Besondere Bedeutung der BSI-Portal-Anmeldung
Das BSI führt für NIS-2-pflichtige Organisationen mit deutscher Steuernummer ein zweistufiges Registrierungsverfahren ein. Zunächst müssen sich Unternehmen über „Mein Unternehmenskonto“ (MUK) anmelden. Dieses dient als zentrales Nutzerkonto für digitale Verwaltungsdienste und basiert technisch auf ELSTER. Bestehende ELSTER-Zertifikate können dafür genutzt werden.
Das BSI empfiehlt, die Registrierung im MUK bis Ende 2025 abzuschließen. Ab Januar 2026 erfolgt dann die Anmeldung im neuen BSI-Portal, das am 6. Januar 2026 startet. Über dieses Portal werden künftig unter anderem relevante Sicherheitsvorfälle gemeldet. Bis zur Registrierung im BSI-Portal können Vorfälle über ein Online-Formular gemeldet werden. KRITIS-Betreiber und Bundesbehörden nutzen weiterhin ihre bisherigen Meldewege.
Definition erheblicher Sicherheitsvorfälle
Ein erheblicher Sicherheitsvorfall liegt nach dem BSI-Gesetz vor, wenn ein Ereignis den Betrieb oder die Finanzen einer Organisation erheblich stört oder schädigt – oder wenn dadurch andere Personen erheblich materiell oder immateriell beeinträchtigt werden können (§ 2 Nr. 11 BSIG).
Für bestimmte digitale Dienste (z. B. Cloud-Anbieter, Rechenzentren, Online-Marktplätze, Suchmaschinen, soziale Netzwerke, Managed Service Provider) gilt zusätzlich die EU-Verordnung 2024/2690. Danach ist ein Vorfall insbesondere dann erheblich, wenn zum Beispiel:
ein finanzieller Schaden von über 500.000 Euro oder 5 % des Jahresumsatzes droht oder entsteht,
Geschäftsgeheimnisse abfließen,
Menschen sterben oder schwer verletzt werden,
ein erfolgreicher, böswilliger Hackerangriff mit gravierenden Betriebsstörungen stattfindet,
oder weitere in der Verordnung konkret benannte Auswirkungen eintreten.
Geplante Wartungen und angekündigte Ausfälle gelten ausdrücklich nicht als erhebliche Sicherheitsvorfälle.
Was Unternehmen jetzt tun sollten
Unternehmen sollten zunächst prüfen, ob sie unter die NIS-2-Richtlinie fallen. Dann sollten sie sich noch 2025 bei „Mein Unternehmenskonto“ registrieren. Die Registrierung im BSI-Portal sollte ab dem 6. Januar 2026 vorbereitet werden. Parallel dazu müssen Unternehmen Risikomanagementmaßnahmen implementieren und alle getroffenen Maßnahmen sorgfältig dokumentieren. Außerdem müssen sie sicherstellen, dass sie Sicherheitsvorfälle erkennen und ordnungsgemäß melden können.
Weitere Informationen finden Sie auf der Website des BSI.
Wir stehen Dir bei der Umsetzung der neuen NIS2-Anforderungen zur Seite:
Prüfung der Anwendbarkeit: Wir prüfen, ob Dein Unternehmen unter die NIS2-Richtlinie fällt.
Gap-Analyse: Vergleich zwischen dem aktuellen Sicherheitsniveau und den Anforderungen von NIS2.
Umsetzungsfahrplan: Entwicklung eines konkreten Plans mit Prioritäten, Maßnahmen und Zeitrahmen.
Schulungen: Workshops für Management und Mitarbeitende zu NIS2-Pflichten und Meldeprozessen.
CRA vs AI-Act: Ein Leitfaden zur regulatorischen Überschneidung
Einführung
Mit der Verabschiedung der Cyberresilienz-Verordnung (CRA, Verordnung (EU) 2024/2847) und des Gesetzes über künstliche Intelligenz (AI Act, Verordnung (EU) 2024/1689) hat die Europäische Union zwei wegweisende Rechtsakte geschaffen, die die digitale Landschaft maßgeblich prägen werden.
Für Unternehmen, die Produkte entwickeln, die sowohl digitale Elemente als auch KI-Komponenten enthalten, stellt sich die entscheidende Frage:
Wie interagieren diese beiden Verordnungen miteinander?
Kurz gesagt:
Grundsätzlich hat der AI Act Vorrang. Produkte mit digitalen Elementen, die in den Anwendungsbereich der CRA fallen und zugleich als Hochrisiko-KI-Systeme im Sinne von Artikel 6 des AI Act gelten, müssen jedoch zusätzlich die grundlegenden Cybersicherheitsanforderungen der CRA erfüllen.
Erfüllen diese Hochrisiko-KI-Systeme die in Anhang I Teil I und II der CRA festgelegten Cybersicherheitsanforderungen, wird davon ausgegangen, dass sie auch die Anforderungen nach Artikel 15 des AI Act erfüllen.
Ausnahmsweise hat jedoch die CRA Vorrang – und zwar bei Produkten, die als „wichtige“ oder „kritische“ Produkte mit digitalen Elementen gemäß Anhang III bzw. IV der CRA eingestuft sind. Dieser Vorrang gilt allerdings ausschließlich in Bezug auf die Cybersicherheitsanforderungen.
Die zentrale Schnittstelle: Artikel 12 CRA
Die Hauptregelung zur Koordination zwischen beiden Verordnungen findet sich in Artikel 12 der CRA („Hochrisiko-KI-Systeme“). Ergänzt wird diese durch die Erwägungsgründe 63 bis 65 sowie Artikel 52 Absatz 14 CRA zur Marktüberwachung.
Der Gesetzgeber hat erkannt, dass viele Produkte gleichzeitig unter beide Verordnungen fallen können – insbesondere wenn es sich um Hochrisiko-KI-Systeme handelt, die zugleich als Produkte mit digitalen Elementen einzustufen sind.
Der Grundsatz der Konformitätsvermutung
Doppelte Anwendbarkeit
Produkte, die sowohl in den Anwendungsbereich der CRA fallen als auch als Hochrisiko-KI-Systeme gemäß Artikel 6 AI Act eingestuft werden, müssen grundsätzlich beide Regelwerke beachten. Die CRA etabliert jedoch eine wichtige Erleichterung durch das Prinzip der Konformitätsvermutung.
Die Konformitätsvermutung in der Praxis
Wenn ein Hochrisiko-KI-System:
die grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I der CRA erfüllt, und
die vom Hersteller festgelegten Verfahren den Anforderungen in Anhang I Teil II der CRA entsprechen,
dann wird automatisch davon ausgegangen, dass auch die Cybersicherheitsanforderungen gemäß Artikel 15 AI Act erfüllt sind. Diese Erfüllung muss in der EU-Konformitätserklärung nach CRA dokumentiert werden.
Praktischer Hinweis: Diese Regelung vermeidet doppelte Compliance-Arbeit und schafft rechtliche Klarheit für Hersteller.
Erweiterte Risikobewertung für KI-Systeme
KI-spezifische Bedrohungsszenarien
Bei der Durchführung der nach CRA erforderlichen Risikobewertung müssen Hersteller von Hochrisiko-KI-Systemen besondere Aufmerksamkeit auf KI-spezifische Cyberbedrohungen legen:
Data Poisoning: Manipulation der Trainingsdaten zur Verfälschung des KI-Verhaltens
Adversarial Attacks: Gezielte Eingaben zur Täuschung des KI-Systems
Model Extraction: Unbefugter Zugriff auf das trainierte Modell
Manipulation von Systemverhalten und -leistung
Grundrechtsschutz als Bewertungsmaßstab
Besonders hervorzuheben ist, dass die Risikobewertung auch potenzielle Auswirkungen auf die Grundrechte gemäß AI Act berücksichtigen muss. Dies stellt eine direkte Verbindung zwischen technischer Cybersicherheit und rechtlichem Grundrechtsschutz her.
Das Konformitätsbewertungsverfahren: Ein komplexes Regelungssystem
Grundregel: Vorrang des AI Act
Im Regelfall hat das Konformitätsbewertungsverfahren nach AI Act Vorrang. Dies bedeutet:
Das in Artikel 43 AI Act vorgesehene Verfahren gilt auch für die Bewertung der CRA-Cybersicherheitsanforderungen
Die nach AI Act notifizierten Stellen sind auch für die CRA-Konformität zuständig, sofern sie die Anforderungen des Artikel 39 CRA erfüllen
Die Ausnahme: Vorrang der CRA
Die CRA-Konformitätsbewertungsverfahren haben jedoch Vorrang, wenn alle folgenden Bedingungen kumulativ erfüllt sind:
Produktklassifikation nach CRA:
Das Produkt ist als „wichtiges Produkt mit digitalen Elementen“ (Anhang III CRA) eingestuft und unterliegt den Verfahren nach Artikel 32 Absätze 2 und 3 CRA, oder
Das Produkt ist als „kritisches Produkt mit digitalen Elementen“ (Anhang IV CRA) eingestuft und benötigt ein europäisches Cybersicherheitszertifikat oder unterliegt Artikel 32 Absatz 3 CRA
Gleichzeitig: Das Konformitätsbewertungsverfahren nach AI Act basiert auf interner Kontrolle gemäß Anhang VI AI Act
Wichtig: In diesen Ausnahmefällen gilt der CRA-Vorrang nur für Cybersicherheitsaspekte. Alle anderen AI Act-Anforderungen werden weiterhin nach dem internen Kontrollverfahren des AI Act bewertet.
Synergieeffekte und praktische Vorteile
KI-Reallabore
Ein wichtiger Vorteil für Innovatoren: Hersteller von Produkten, die unter beide Verordnungen fallen, können an den KI-Reallaboren gemäß Artikel 57 AI Act teilnehmen. Dies ermöglicht kontrollierte Testumgebungen für innovative Entwicklungen.
Koordinierte Marktüberwachung
Die Marktüberwachung erfolgt koordiniert:
AI Act-Behörden sind auch für CRA-Aspekte bei Hochrisiko-KI-Systemen zuständig
Enge Zusammenarbeit mit CRA-Marktüberwachungsbehörden, CSIRTs und ENISA
Informationsaustausch über relevante Erkenntnisse zwischen den Behörden
Praktische Handlungsempfehlungen
Frühzeitige Klassifizierung: Bestimmen Sie frühzeitig, ob Ihr Produkt unter beide Verordnungen fällt
Integrierte Compliance-Strategie: Entwickeln Sie eine ganzheitliche Compliance-Strategie, die beide Regelwerke berücksichtigt
Dokumentation: Nutzen Sie die Konformitätsvermutung durch sorgfältige Dokumentation der CRA-Compliance
Risikomanagement: Implementieren Sie ein umfassendes Risikomanagement, das sowohl klassische Cybersecurity als auch KI-spezifische Bedrohungen abdeckt
Mit Legal Living Hub bekommst Du moderne Datenschutzberatung und KI-Compliance auf Augenhöhe
Die Überschneidungsregelungen zwischen CRA und AI Act zeigen den Willen des europäischen Gesetzgebers, trotz komplexer Regulierung praktikable Lösungen zu schaffen. Die Konformitätsvermutung und die koordinierte Marktüberwachung sind wichtige Instrumente zur Vermeidung von Doppelbelastungen.
Gleichzeitig bleibt die praktische Anwendung komplex und erfordert sorgfältige Analyse im Einzelfall. Unternehmen sollten frühzeitig rechtliche Beratung einholen und ihre Compliance-Prozesse entsprechend ausrichten.
Die erfolgreiche Navigation durch diese regulatorische Landschaft wird zunehmend zum Wettbewerbsvorteil – sowohl in Bezug auf rechtliche Sicherheit als auch hinsichtlich des Vertrauens von Kunden und Partnern in die Sicherheit und Rechtskonformität der angebotenen Produkte.
Datenschutz und Dokumentation
Datenschutz mit Legal Living Hub: Dein Partner für rechtssichere eCom-Business-Lösungen
Datenschutz ist in der heutigen digitalen Welt von entscheidender Bedeutung, besonders für Unternehmen im E-Commerce. Bei Legal Living Hub unterstütze ich Dich dabei, alle rechtlichen Anforderungen gemäß DSGVO, BDSG und anderen datenschutzrechtlichen Vorschriften einzuhalten.
Warum auch Kleinunternehmer und Startups die Anforderungen aus der DSGVO einhalten müssen:
Selbst Kleinunternehmer und Startups müssen die Vorschriften der DSGVO beachten, da diese Regelungen den Schutz personenbezogener Daten aller Bürger innerhalb der Europäischen Union sicherstellen sollen. Die Einhaltung dieser Vorschriften trägt nicht nur zum Schutz der persönlichen Daten Deiner Kunden bei, sondern stärkt auch das Vertrauen und die Glaubwürdigkeit Deines Unternehmens.
Wann benötigen Unternehmen in Deutschland einen Datenschutzbeauftragten?
Gemäß der DSGVO müssen Unternehmen einen Datenschutzbeauftragten benennen, wenn sie regelmäßig und systematisch personenbezogene Daten in großem Umfang verarbeiten. Dies betrifft in der Regel Unternehmen ab einer bestimmten Größe (ab 20 Mitarbeitern) oder solche, die besonders sensible Daten verarbeiten, wie Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen und Straftaten. Bei Legal Living Hub stehe ich Dir zur Seite, um sicherzustellen, dass Dein E-Commerce-Geschäft nicht nur rechtlich konform ist, sondern auch den höchsten Standards im Datenschutz entspricht. Kontaktiere mich noch heute, um mehr darüber zu erfahren, wie ich Dich unterstützen kann.
Hier sind einige der angebotenen Services:
Workshops zum Datenschutz
Bei mir kannst Du maßgeschneiderte Datenschutz-Workshops buchen, entweder vor Ort oder remote. Ich biete Schulungen sowohl zu den Grundlagen des Datenschutzes als auch spezifisch auf die Bedürfnisse einzelner Abteilungen zugeschnitten an, wahlweise auf Deutsch, Englisch oder Russisch.
Compliance- und Datenschutz-Beauftragter
Interessierst Du Dich für meine umfassenden Pakete? Möchtest Du Legal Living Hub als Deinen Compliance- und Datenschutzbeauftragten einsetzen? Kontaktiere mich gerne über unser Kontaktformular, um mehr über meine Dienstleistungen in diesem Bereich zu erfahren. Hier können wir je nach Bedarf entscheiden, wie du Legal Living Hub einsetzt, bspw. kannst du LLH in deinen Datenschutzhinweisen als Datenschutzbeauftragten angeben und regelmäßigen Austausch mit mir auf monatlicher oder gar wöchentlicher Basis in Anspruch nehmen.
Erstellung interner Datenschutz-Dokumentation
Die Erstellung von Verfahrensverzeichnissen oder Verarbeitungsdokumentationen kann komplex sein. Ich unterstütze Dich mit verständlichen Vorlagen, biete Schulungen zum Ausfüllen dieser Dokumente an und helfe Dir bei Bedarf bei der Erstellung der Dokumentation.
Prüfung vorhandener Datenschutz-Dokumentation
Hast Du bereits Datenschutz-Dokumente erstellt, bist Dir aber unsicher über deren Richtigkeit oder Aktualität? Ich übernehme gerne die Überprüfung Deiner bestehenden Unterlagen und gebe Dir wertvolle Tipps zur Optimierung.
Erstellung von Datenschutzhinweisen, Einwilligungen, Auftragsverarbeitungsvereinbarungen und weiteren Datenschutztexten
Ich helfe Dir bei der Erstellung und Anpassung rechtlicher Texte wie Datenschutzhinweisen, Einwilligungserklärungen und Auftragsverarbeitungsvereinbarungen, um sicherzustellen, dass sie den aktuellen gesetzlichen Anforderungen entsprechen.
Pseudonymisierte Daten und ihre Weitergabe an Dritte
Mehr Rechtsklarheit im Datenschutz durch europäische Rechtsprechung
Ein wegweisendes EuGH-Urteil (Rechtssache C-413/23 P) schafft endlich Rechtsklarheit im Datenschutzrecht. Mit seiner Entscheidung vom 4. September 2025 legt der Europäische Gerichtshof (EuGH) fest, wie pseudonymisierte Daten im Rahmen der DSGVO zu behandeln sind – und wann ihre Weitergabe an Dritte ohne zusätzliche Datenschutzpflichten möglich ist.
Das Urteil definiert präzise, wann pseudonymisierte Daten nicht mehr als personenbezogen gelten und welche rechtlichen Konsequenzen sich daraus für Unternehmen ergeben. Dadurch wird deutlich, unter welchen Bedingungen die DSGVO bei der Datenweitergabe an Dritte nicht greift.
Für Startups, Unternehmen und Datenschutzbeauftragte ist das Urteil ein entscheidender Leitfaden für rechtssichere Datenverarbeitung – insbesondere beim Umgang mit pseudonymisierten oder anonymisierten Datensätzen im europäischen Rechtsraum.
Kurz gesagt:
Meinungsäußerungen sind personenbezogenen Daten
Pseudonymisierte Daten sind nicht immer personenbezogen
Zeitpunkt entscheidet über die Informationspflicht
Kernaussagen des Urteils: Eine Zusammenfassung
Personenbezug von Meinungsäußerungen
Persönliche Meinungen und Sichtweisen konstituieren personenbezogene Daten. Diese müssen nicht in jedem Fall hinsichtlich ihres Inhalts, Verwendungszwecks oder ihrer Auswirkungen geprüft werden, um ihren Personenbezug zu erkennen.
Pseudonymisierung bedeutet nicht automatisch, dass Daten für jede andere Person als den Verantwortlichen identifizierbar sind. Ausschließlich wenn Dritte über die Mittel verfügen, die betroffene Person zu identifizieren, gelten die Daten auch für sie als personenbezogen.
Zeitpunkt der Informationspflicht
Die Informationspflicht nach Art. 15 Abs. 1 Buchst. d ist bereits zum Zeitpunkt der Erhebung personenbezogener Daten durch den Verantwortlichen zu erfüllen. Dies ist unabhängig davon, wie der Drittempfänger die Daten beim Empfang klassifiziert – ob als anonymisiert oder personenbezogen.
Hintergrund: Die Abwicklung der Banco Popular Español
Der Ausgangssachverhalt
Der Rechtsstreit nimmt seinen Ursprung in der Abwicklung der Banco Popular Español SA. Am 7. Juni 2017 beschloss das Single Resolution Board (SRB) – ein europäisches Gremium für Bankenabwicklungen – die Abwicklung der Bank, nachdem die gesetzlichen Voraussetzungen hierfür erfüllt waren. Im Zuge dessen wurden die Geschäftsanteile an einen Erwerber übertragen sowie bestimmte Kapitalinstrumente herabgeschrieben oder konvertiert. Die Europäische Kommission genehmigte diesen Abwicklungsplan am selben Tag.
Die Bewertungsprüfung durch Deloitte
Nach Vollzug der Abwicklung mandatierte das SRB die Wirtschaftsprüfungsgesellschaft Deloitte mit einer umfassenden Bewertung. Deren Aufgabe bestand darin zu evaluieren, ob die Aktionäre und Gläubiger der Bank im Vergleich zu einem regulären Insolvenzverfahren besser oder schlechter gestellt wurden. Diese Bewertungsprüfung fand ihren Abschluss im Juni 2018.
Im August 2018 publizierte das SRB eine vorläufige Entscheidung und forderte die betroffenen Aktionäre sowie Gläubiger auf, ihr Interesse an einer Anhörung zu bekunden, um abschließend über potenzielle Entschädigungsansprüche zu entscheiden.
Datenverarbeitung: Das technische Verfahren im Detail
Registrierungsphase und Zugriffsberechtigungen
Während der Registrierungsphase wurden die personenbezogenen Daten der betroffenen Aktionäre und Gläubiger sowie Nachweise über deren Kapitalinstrumente ausschließlich einem limitierten Kreis von SRB-Mitarbeitern zugänglich gemacht. Diese autorisierten Personen mussten die Informationen verarbeiten, um über mögliche Kompensationsansprüche zu befinden.
Pseudonymisierung durch alphanumerische Codes
Die Mitarbeiter, welche in der nachfolgenden Phase die eingereichten Stellungnahmen aus der Konsultationsphase bearbeiteten, verfügten über keinerlei Zugriff auf diese personenbezogenen Daten. Jede einzelne Stellungnahme war mit einem 33-stelligen, randomisiert generierten alphanumerischen Code versehen, der die Identität der Verfasser verschlüsselte und anonymisierte.
Systematische Bearbeitung der Stellungnahmen
In einem ersten Verarbeitungsschritt sortierte das SRB die 23.822 eingereichten Stellungnahmen von 2.855 Beteiligten und identifizierte dabei 20.101 Duplikate. Ausschließlich die Erstversion jeder identischen Stellungnahme wurde einer inhaltlichen Prüfung unterzogen.
Im zweiten Verarbeitungsschritt erfolgte eine thematische Kategorisierung der relevanten Stellungnahmen: 3.730 Stellungnahmen wurden identifiziert, die entweder die vorläufige Entscheidung des SRB oder die Bewertungsprüfung von Deloitte betrafen. Während das SRB die Stellungnahmen zur vorläufigen Entscheidung eigenständig bearbeitete, wurden die 1.104 Stellungnahmen zur Bewertung am 17. Juni 2019 über einen gesicherten Server an Deloitte übermittelt. Lediglich eine limitierte Anzahl autorisierter Deloitte-Mitarbeiter konnte auf diese Dokumente zugreifen.
Informationsseparierung bei Deloitte
Deloitte erhielt ausschließlich die Stellungnahmen mit alphanumerischem Identifikationscode, ohne jeglichen Zugriff auf die ursprünglichen Registrierungsdaten oder Identifizierungsinformationen. Duplikate wurden eliminiert, sodass Deloitte nicht rekonstruieren konnte, ob mehrere Personen identische Stellungnahmen eingereicht hatten. Der Code diente lediglich der Nachvollziehbarkeit und Beweissicherung. Deloitte verfügte zu keinem Zeitpunkt über Zugang zu den personenbezogenen Daten der Beteiligten.
Die datenschutzrechtliche Beschwerde
Im Oktober und Dezember 2019 reichten betroffene Aktionäre und Gläubiger beim Europäischen Datenschutzausschuss (EDSB) fünf Beschwerden ein. Der zentrale Vorwurf lautete: Sie seien nicht darüber informiert worden, dass ihre im Fragebogen erhobenen Daten an Deloitte und Banco Santander weitergegeben würden. Die Beschwerdeführer beriefen sich auf die Datenschutz-Grundverordnung (DSGVO) und sahen einen Verstoß gegen deren Art. 15 Abs. 1 Buchst. d.
Der EDSB kam in seiner Entscheidung zu dem Schluss, dass das SRB gegen Art. 15 der Verordnung 2018/1725 verstoßen hatte, da die Betroffenen nicht über die potenzielle Weitergabe ihrer personenbezogenen Daten an Deloitte informiert wurden.
Als Konsequenz verwarnte der EDSB das SRB gemäß Art. 58 Abs. 2 Buchst. b DSGVO für diesen Verstoß. Der EDSB qualifizierte die vom SRB an Deloitte übermittelten Daten als pseudonymisiert, da die Stellungnahmen personenbezogene Daten enthielten und über einen alphanumerischen Code verknüpft werden konnten, obwohl Deloitte keine direkten Identifikationsangaben erhielt. Deloitte wurde nach Auffassung des EDSB dennoch als Empfänger personenbezogener Daten im Sinne von Art. 3 Nr. 13 der Verordnung 2018/1725 eingestuft.
Das Verfahren vor dem EuGH
Beanstandung durch das SRB
Das SRB beanstandete diese Entscheidung vor dem Europäischen Gerichtshof. Folgende zwei zentrale Punkte seien nach Ansicht des SRB fehlerhaft ausgelegt worden:
Voraussetzung gemäß Art. 3 Nr. 1 der Verordnung 2018/1725, dass sich die Informationen auf eine natürliche Person „beziehen“
Voraussetzung gemäß Art. 3 Nr. 1 der Verordnung 2018/1725, dass sich die Informationen auf eine „identifizierbare“ natürliche Person beziehen
Personenbezug von Meinungsäußerungen
Der EDSB argumentierte, dass die an Deloitte übermittelten Stellungnahmen personenbezogene Daten darstellten, da sie persönliche Meinungen und Sichtweisen der betroffenen Anteilseigner und Gläubiger enthielten. Datenschutzbehörden müssten nicht in jedem Fall den spezifischen Inhalt, Verwendungszweck oder die konkreten Auswirkungen prüfen, um zu erkennen, dass es sich um personenbezogene Daten handelt, da die Stellungnahmen eindeutig mit identifizierbaren Personen verbunden seien.
Das vorinstanzliche Gericht hatte hingegen gefordert, dass Inhalt, Zweck und Auswirkungen der Stellungnahmen geprüft werden müssten, um deren Personenbezug festzustellen.
Klarstellung des Gerichtshofs
Der Gerichtshof stellt unmissverständlich klar, dass persönliche Meinungen oder Sichtweisen automatisch personenbezogene Daten konstituieren, weil sie untrennbar mit der Person verbunden sind, die sie äußert. Daher stellte es einen Rechtsfehler des Gerichts dar zu fordern, der EDSB hätte zusätzliche Prüfungen vornehmen müssen. Dem ersten Teil des Rechtsmittelgrundes war stattzugeben.
Identifizierbarkeit pseudonymisierter Daten
Der EDSB beanstandete, dass das vorinstanzliche Gericht fälschlicherweise entschieden habe, die an Deloitte übermittelten Stellungnahmen seien nicht auf eine „identifizierbare“ Person bezogen. Er argumentierte, dass pseudonymisierte Daten stets personenbezogen seien, wenn sie mit zusätzlichen Informationen einer Person zugeordnet werden könnten.
Entscheidende Differenzierung des Gerichtshofs
Der Gerichtshof stellt jedoch unmissverständlich klar, dass Pseudonymisierung nicht automatisch bedeutet, dass Daten für jede andere Person als den Verantwortlichen identifizierbar sind. Ausschließlich wenn Dritte über die Mittel verfügen, die betroffene Person zu identifizieren, gelten die Daten auch für sie als personenbezogen. Daher muss nicht jede pseudonymisierte Information automatisch als personenbezogen qualifiziert werden. Die Rüge des EDSB wurde in diesem Punkt zurückgewiesen.
Informationspflicht des Verantwortlichen
Der zweite Teil des ersten Rechtsmittelgrundes betrifft die Auslegung der Voraussetzung der „Identifizierbarkeit“ nach Art. 3 Nr. 1 der Verordnung 2018/1725. Der EDSB rügte, dass das Gericht die Identifizierbarkeit der betroffenen Personen aus der Perspektive des Empfängers (Deloitte) hätte evaluieren müssen.
Der Gerichtshof stellt hingegen eindeutig klar, dass die Informationspflicht nach Art. 15 Abs. 1 Buchst. d bereits zum Zeitpunkt der Erhebung personenbezogener Daten durch den Verantwortlichen (SRB) zu erfüllen ist und sich daher auf die Perspektive des Verantwortlichen bezieht. Es ist dabei unerheblich, ob ein späterer Empfänger die Daten als personenbezogen einstuft oder pseudonymisiert verarbeitet.
Die Pflicht, die betroffene Person über potenzielle Empfänger zu informieren, dient dem Zweck, dass diese in vollständiger Kenntnis aller relevanten Umstände über die Datenverarbeitung entscheiden und ihre Betroffenenrechte wahrnehmen kann. Der Gerichtshof hält daher die Rüge des EDSB für begründet, dass es ein Rechtsfehler war, die Identifizierbarkeit aus der Perspektive von Deloitte zu prüfen.
Implikationen für Unternehmen und Organisationen
Neue Spielräume bei der Datenverarbeitung
Die Entscheidung eröffnet Unternehmen neue Möglichkeiten: Daten lassen sich in pseudonymisierter Form an Dritte ohne den „Entschlüsselungsmechanismus“ weiterleiten und analysieren, ohne dass der Drittempfänger unmittelbar in die Regelungen der DSGVO fällt. Dies eröffnet die Möglichkeit, solche Datensätze relativ frei zu analysieren, ohne dass die DSGVO bzw. Verordnung 2018/1725 direkt greift – solange Dritte die Identifizierbarkeit nicht wiederherstellen können.
Dies ermöglicht weitreichende Möglichkeiten für innovative Geschäftsmodelle und Forschungsprojekte. Wie Unternehmen diese neuen Erkenntnisse in Zukunft handhaben werden und wie dieses EuGH-Urteil wegweisenden Einfluss auf zukünftige Datenanalysen nimmt, wird sich in der Praxis zeigen.
Auswirkungen auf Datenanalyse und Künstliche Intelligenz
KI-Modelle und Machine-Learning-Algorithmen, die auf pseudonymisierten Datensätzen trainiert werden, könnten künftig reichhaltige Informationen und Erkenntnisse gewinnen, ohne dass Unternehmen oder Forschungseinrichtungen direkt datenschutzrechtlich haften, sofern der Zugang zu Identifikationsinformationen fehlt. Dies könnte innovative Anwendungen und technologische Entwicklungen beschleunigen, etwa:
Personalisierte Dienste und Empfehlungssysteme
Risikobewertungen und Predictive Analytics
Marktanalysen und Business Intelligence
Medizinische Forschung und Diagnostik
All dies wird möglich, ohne dass die Datenbetroffenen unmittelbar tangiert sind.
Gleichzeitig verbleibt die datenschutzrechtliche Verantwortung beim ursprünglichen Datensammler: Wenn der Entschlüsselungsmechanismus existiert, sind die Daten weiterhin als personenbezogen zu qualifizieren, und der Umgang damit muss DSGVO-konform erfolgen.
Risiken und ethische Fragestellungen
Gefahr der Re-Identifikation
Unternehmen könnten in Versuchung geraten, sehr detaillierte Analysen auf pseudonymisierten Daten durchzuführen und daraus indirekt Profile zu erstellen, die die Identifizierbarkeit wiederherstellen könnten – dies ist rechtlich hochgradig problematisch und darf nicht außer Acht gelassen werden.
KI-spezifische Herausforderungen
KI-Modelle und neuronale Netze lernen oft komplexe Muster, die Rückschlüsse auf Einzelpersonen zulassen können (sogenannte Re-Identifikation über Inferenz oder Linking Attacks). Selbst pseudonymisierte Daten können durch KI-Algorithmen und externe Datenquellen potenziell deanonymisiert werden.
Technische und organisatorische Schutzmaßnahmen
Unternehmen müssen daher robuste technische und organisatorische Maßnahmen implementieren, um diese Risiken effektiv minimieren zu können:
Differential Privacy-Techniken: Diese mathematischen Verfahren fügen den Daten kontrolliertes statistisches Rauschen hinzu, sodass einzelne Datenpunkte nicht mehr eindeutig identifizierbar sind, während die Gesamtstatistik weitgehend erhalten bleibt. Dies ermöglicht aussagekräftige Analysen, ohne dass individuelle Personen rekonstruiert werden können.
K-Anonymität und L-Diversität: Bei der K-Anonymität wird sichergestellt, dass jede Person in einem Datensatz mindestens k-1 andere Personen mit identischen Attributen hat, wodurch die Zuordnung zu einer spezifischen Person erschwert wird. L-Diversität geht noch weiter und gewährleistet, dass sensible Attribute innerhalb dieser Gruppen ausreichend divers sind, um Rückschlüsse auf Einzelpersonen zu verhindern.
Strikte Zugriffskontrollen: Implementierung eines mehrstufigen Berechtigungskonzepts mit dem Need-to-Know-Prinzip, bei dem nur autorisierte Mitarbeiter mit nachgewiesenem berechtigtem Interesse Zugriff auf pseudonymisierte Datensätze erhalten. Dies umfasst technische Zugriffsbeschränkungen, Authentifizierungsverfahren und Protokollierung aller Datenzugriffe.
Regelmäßige Privacy Impact Assessments: Systematische Datenschutz-Folgenabschätzungen sollten in regelmäßigen Intervallen durchgeführt werden, um potenzielle Risiken für die Rechte und Freiheiten der Betroffenen frühzeitig zu identifizieren. Diese Assessments evaluieren die Verhältnismäßigkeit der Datenverarbeitung und identifizieren Schwachstellen im Datenschutzkonzept.
Monitoring von Re-Identifikationsrisiken: Kontinuierliche Überwachung und Bewertung der Re-Identifikationswahrscheinlichkeit durch technische Tools und Experten-Reviews. Dies beinhaltet die Analyse, ob durch Kombination mit externen Datenquellen oder durch fortgeschrittene Analysetechniken eine Wiederherstellung der Identifizierbarkeit möglich wäre, sowie die proaktive Anpassung der Schutzmaßnahmen bei erkannten Risiken.
Ausblick und Fazit
Trend zur Pseudonymisierung und neue Rahmenbedingungen
Das EuGH-Urteil könnte den Einsatz pseudonymisierter Daten in Wirtschaft und Forschung deutlich stärken. Für KI-Entwicklung bedeutet das: mehr verfügbare Trainingsdaten, aber auch strengere Verantwortung bei der Vermeidung von Re-Identifikation. Zugleich setzt die Entscheidung Maßstäbe für die Regulierung von KI-Systemen – etwa bei Transparenz, Erklärbarkeit, Fairness und technischen Sicherheitsstandards.
Fazit
Das Urteil eröffnet neue Spielräume für Datenanalyse und KI, betont aber zugleich die Verantwortung der Datenverarbeiter. Unternehmen müssen sorgfältig abwägen, wie weit Analysen gehen dürfen, um Datenschutzrisiken zu vermeiden. Die Herausforderung bleibt, Innovation und Datenschutz in ein ausgewogenes Verhältnis zu bringen.
Was ist ein KI-System?
KI-Systeme nach der EU-KI-Verordnung: Ein umfassender Leitfaden
Einführung in die KI-System-Definition
Die EU-KI-Verordnung (EU AI Act) stellt einen bahnbrechenden Regulierungsrahmen dar, der globale Standards für die Governance von Künstlicher Intelligenz etabliert. Während sich Organisationen weltweit auf die Einhaltung dieser Vorschriften vorbereiten, stellt sich eine grundlegende Frage: Was genau gilt als KI-System nach diesem umfassenden rechtlichen Rahmenwerk? Der Europäische Datenschutzausschuss (EDSA) hat entscheidende Klarheit in dieser Angelegenheit geschaffen und eine präzise KI-System-Definition bereitgestellt, die Rechtssicherheit mit der notwendigen Flexibilität für schnelle technologische Entwicklungen in Einklang bringt.
Einführung in die KI-System-Definition
Die EU-KI-Verordnung (EU AI Act) stellt einen bahnbrechenden Regulierungsrahmen dar, der globale Standards für die Governance von Künstlicher Intelligenz etabliert. Während sich Organisationen weltweit auf die Einhaltung dieser Vorschriften vorbereiten, stellt sich eine grundlegende Frage: Was genau gilt als KI-System nach diesem umfassenden rechtlichen Rahmenwerk? Der Europäische Datenschutzausschuss (EDSA) hat entscheidende Klarheit in dieser Angelegenheit geschaffen und eine präzise KI-System-Definition bereitgestellt, die Rechtssicherheit mit der notwendigen Flexibilität für schnelle technologische Entwicklungen in Einklang bringt.
Die KI-System-Definition nach der EU-KI-Verordnung unterscheidet Künstliche Intelligenz von herkömmlicher Software durch eine kritische Fähigkeit. Während traditionelle Programme vorbestimmte, von Menschen geschriebene Regeln und Anweisungen ausführen, besitzen KI-Systeme die grundlegende Fähigkeit, eigenständige Schlussfolgerungen zu ziehen. Das bedeutet, sie können Vorhersagen generieren, Empfehlungen aussprechen, originäre Inhalte erstellen oder autonome Entscheidungen treffen, die sowohl physische als auch digitale Umgebungen direkt beeinflussen.
Wesentliche Eigenschaften von KI-Systemen
Die regulatorische KI-System-Definition umfasst mehrere Schlüsselmerkmale, die Organisationen für die Compliance verstehen müssen:
Inferenz- und Lernfähigkeiten: KI-Systeme demonstrieren die Fähigkeit, Modelle, Algorithmen oder Muster direkt aus Daten abzuleiten, anstatt einfach vorprogrammierte statische Regeln zu befolgen. Diese Lernkapazität stellt einen fundamentalen Wandel gegenüber traditionellen rechnerischen Ansätzen dar.
Maschinenbasierte Operationen: Die KI-System-Definition betont die Automatisierung durch maschinenbasierte Verarbeitung und hebt die technologische Infrastruktur hervor, die Funktionalitäten der Künstlichen Intelligenz ermöglicht.
Zielorientiertes Verhalten: KI-Systeme arbeiten auf spezifische Ziele hin, unabhängig davon, ob diese Ziele explizit programmiert oder implizit durch Trainingsprozesse erlernt wurden. Dieses zweckmäßige Verhalten unterscheidet KI von zufälligen rechnerischen Prozessen.
Autonome Funktionalität: Ein entscheidender Aspekt der KI-System-Definition beinhaltet verschiedene Grade der Unabhängigkeit von direkten menschlichen Eingriffen. KI-Systeme können mit unterschiedlichen Autonomieebenen operieren, von menschlich überwachten bis hin zu vollständig autonomen Entscheidungsprozessen.
Adaptive Evolution: Viele KI-Systeme besitzen die Fähigkeit, sich weiterzuentwickeln und ihre Leistung im Laufe der Zeit durch das Lernen aus neuen Dateneingaben und Erfahrungen zu verbessern, wodurch sie zu dynamischen anstatt statischen technologischen Lösungen werden.
Implementierungsflexibilität
Die KI-System-Definition ermöglicht erhebliche Implementierungsflexibilität. KI-Systeme können als eigenständige Anwendungen fungieren oder in größere Produkte und Dienstleistungen eingebettet werden, wodurch dieser regulatorische Rahmen über diverse Branchen und Anwendungsfälle hinweg anwendbar wird.
Regulatorische Auswirkungen und Compliance-Anforderungen
Auswirkungen der rechtlichen Klassifizierung
Das Verständnis der KI-System-Definition hat erhebliche regulatorische Konsequenzen für Unternehmen und Organisationen. Unternehmen müssen sorgfältig bewerten, ob ihre technologischen Lösungen die in der KI-Verordnung definierten Kriterien erfüllen und anschließend entsprechende rechtliche Verpflichtungen einhalten. Dieser Klassifizierungsprozess bestimmt das Niveau der regulatorischen Prüfung und der Compliance-Anforderungen, die für spezifische KI-Implementierungen gelten.
Hochrisiko-KI-System-Kategorien
Die KI-System-Definition wird besonders kritisch bei der Identifizierung von Hochrisiko-Anwendungen. KI-Systeme, die in sensiblen Bereichen wie Gesundheitsdiagnostik, Strafverfolgungsaktivitäten, Beschäftigungsscreening und Bildungsbewertung eingesetzt werden, unterliegen wesentlich strengeren regulatorischen Anforderungen. Organisationen, die in diesen Bereichen tätig sind, müssen umfassende Risikomanagement-Frameworks implementieren, Transparenz in KI-Entscheidungsprozessen gewährleisten und detaillierte Dokumentationen der Systemleistung führen.
Praktische Implementierung und Risikobewertung
Entwicklung von Compliance-Frameworks
Organisationen, die die komplexe Landschaft der KI-System-Definition navigieren möchten, sollten die Entwicklung umfassender Compliance-Playbooks in Betracht ziehen. Diese Frameworks sollten bestehende KI-Implementierungen systematisch gegen regulatorische Definitionen abbilden, gründliche Risikobewertungen durchführen und kontinuierliche Überwachungsverfahren etablieren, um eine fortlaufende Compliance sicherzustellen, während sich sowohl Technologie als auch Vorschriften weiterentwickeln.
Strategischer Ansatz für KI-Governance
Erfolgreiche Compliance mit der KI-System-Definition erfordert einen strategischen Ansatz, der technisches Verständnis mit rechtlicher Expertise kombiniert. Organisationen profitieren davon, funktionsübergreifende Teams zu schaffen, die Datenwissenschaftler, Rechtsprofessionals und Compliance-Spezialisten einschließen, um eine umfassende Abdeckung aller regulatorischen Anforderungen zu gewährleisten.
Zukunftsbetrachtungen und Branchenauswirkungen
Globaler regulatorischer Einfluss
Die KI-System-Definition der EU-KI-Verordnung wird wahrscheinlich regulatorische Frameworks weltweit beeinflussen, da internationale Organisationen und Regierungen das europäische Modell als Orientierung betrachten. Unternehmen, die global operieren, sollten berücksichtigen, wie diese Definition zukünftige regulatorische Anforderungen in anderen Rechtsordnungen prägen könnte.
Technologische Evolution und regulatorische Anpassung
Da sich die Technologie der Künstlichen Intelligenz weiterhin rasant entwickelt, bietet die durch die EU-KI-Verordnung etablierte KI-System-Definition eine Grundlage, die zukünftige Innovationen aufnehmen kann, während sie gleichzeitig regulatorische Aufsicht aufrechterhält. Dieses Gleichgewicht zwischen Innovation und Regulierung stellt eine kritische Errungenschaft in der Technologie-Governance dar.
Fazit
Die durch die EU-KI-Verordnung etablierte KI-System-Definition repräsentiert einen umfassenden Rahmen für das Verständnis und die Regulierung von Anwendungen der Künstlichen Intelligenz. Durch den Fokus auf die Fähigkeit, Schlussfolgerungen zu ziehen und autonome Outputs zu generieren, bietet diese Definition klare Orientierung für Organisationen, während sie gleichzeitig die Flexibilität beibehält, die für technologische Weiterentwicklungen benötigt wird. Während sich Unternehmen auf die Compliance vorbereiten, wird das Verständnis dieser KI-System-Definition für die erfolgreiche Navigation der sich entwickelnden regulatorischen Landschaft unerlässlich.
Organisationen, die diese Anforderungen proaktiv durch umfassende Risikobewertungs-Frameworks und Compliance-Playbooks angehen, werden besser positioniert sein, um KI-Technologie zu nutzen und gleichzeitig regulatorische Verpflichtungen zu erfüllen. Der zukünftige Erfolg von KI-Implementierungen wird zunehmend davon abhängen, Innovation mit verantwortungsvoller Governance in Einklang zu bringen, wodurch die KI-System-Definition zu einem Eckpfeiler moderner Strategien für Künstliche Intelligenz wird.
Wenn Du Dir nicht sicher bist und rechtliche Unterstützung bei der Umsetzung brauchst, wende dich an uns.
Der EU Data Act revolutioniert den Umgang mit Daten
Der Data Act der Europäischen Union stellt eine der bedeutendsten Änderungen im europäischen Datenrecht dar und betrifft nahezu jedes Unternehmen, das mit vernetzten Produkten oder digitalen Diensten arbeitet.
Der Data Act ist eine EU-Verordnung, die den fairen Zugang zu und die Nutzung von Daten in der gesamten Europäischen Union regelt. Die Verordnung schafft einen rechtlichen Rahmen, der es Nutzern ermöglicht, auf die von ihren vernetzten Produkten und Diensten generierten Daten zuzugreifen und diese zu nutzen.
Der Data Act zielt darauf ab, das Ungleichgewicht bei der Datennutzung zwischen großen Technologieunternehmen und Verbrauchern sowie kleineren Unternehmen zu beseitigen. Er stärkt die Rechte der Nutzer und schafft neue Möglichkeiten für Innovation und Wettbewerb in der digitalen Wirtschaft.
Ab wann gilt der Data Act? Wichtige Fristen für dein Unternehmen
Der Data Act tritt stufenweise in Kraft. Die Verordnung ist bereits am 11. Januar 2024 in Kraft getreten, jedoch gelten verschiedene Übergangsfristen:
Für neue Produkte: Ab dem 12. September 2025 müssen alle neuen vernetzten Produkte die Anforderungen des Data Act erfüllen
Für bestehende Produkte: Unternehmen haben bis zum 12. September 2027 Zeit, um ihre bereits auf dem Markt befindlichen Produkte anzupassen
Diese Fristen solltest du unbedingt in deiner Compliance-Planung berücksichtigen.
Vernetzte Produkte und verbundene Dienste: Definition und Beispiele
Der Data Act unterscheidet zwischen „vernetzten Produkten“ und „verbundenen Diensten“. Vernetzte Produkte sind physische Gegenstände, die Daten sammeln können und über eine elektronische Kommunikationsverbindung verfügen. Dazu gehören beispielsweise:
Smart-Home-Geräte wie intelligente Thermostate oder Sicherheitskameras
Fitness-Tracker und Smartwatches
Vernetzte Fahrzeuge und deren Bordsysteme
Industrielle IoT-Geräte und Sensoren
Verbundene Dienste sind digitale Services, die in Verbindung mit diesen Produkten stehen, wie mobile Apps zur Gerätesteuerung oder Cloud-basierte Analyseplattformen.
Welche Daten müssen Unternehmen nach dem Data Act bereitstellen?
Der Data Act verpflichtet Unternehmen zur Bereitstellung verschiedener Datenkategorien. Diese umfassen alle Daten, die durch die Nutzung vernetzter Produkte oder verbundener Dienste generiert werden.
Produktdaten und ihre Bedeutung
Produktdaten umfassen alle Informationen, die direkt durch die Nutzung eines vernetzten Produkts entstehen. Bei einem Smart-Thermostat wären das beispielsweise Temperaturmessungen, Heizzyklen oder Energieverbrauchsdaten. Diese Daten müssen dem Nutzer in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden.
Dienstdaten richtig verstehen
Dienstdaten entstehen durch die Nutzung verbundener Dienste und können Nutzungsstatistiken, Präferenzen oder Interaktionsmuster umfassen. Ein praktisches Beispiel wären die Nutzungsdaten einer Fitness-App, die mit einem Wearable-Gerät verbunden ist.
Software und Apps im Data Act
Auch Software-Updates, App-Funktionalitäten und deren Nutzung fallen unter den Anwendungsbereich des Data Act. Unternehmen müssen sicherstellen, dass Nutzer Zugang zu den durch ihre Software generierten Daten erhalten.
Datenweitergabe verweigern: Wann ist das erlaubt?
Grundsätzlich dürfen Unternehmen die Datenweitergabe nur in begründeten Ausnahmefällen verweigern. Der Data Act sieht vor, dass eine Verweigerung nur bei berechtigten Sicherheitsbedenken zulässig ist.
Berechtigte Sicherheitsbedenken liegen vor, wenn die Datenweitergabe die Sicherheit des Produkts, des Dienstes oder der Nutzer gefährden würde. Dazu gehören beispielsweise Situationen, in denen sensible Sicherheitsinformationen preisgegeben werden könnten oder die Weitergabe zu Cybersicherheitsrisiken führen würde.
Dürfen Nutzer ihre Daten an Dritte weitergeben?
Ein wichtiger Aspekt des Data Act ist die Portabilität der Daten. Nutzer haben das Recht, ihre Daten an Dritte weiterzugeben, einschließlich Konkurrenten des ursprünglichen Anbieters. Dies soll den Wettbewerb fördern und Innovation vorantreiben.
Du als Unternehmen musst technische und organisatorische Maßnahmen implementieren, die es Nutzern ermöglichen, ihre Daten einfach und sicher an Dritte zu übertragen. Dabei müssen angemessene Sicherheitsvorkehrungen getroffen werden, um Missbrauch zu verhindern.
Welche Pflichten haben Händler und Online-Shop-Betreiber?
Als Händler oder Online-Shop-Betreiber triffst du verschiedene Verpflichtungen nach dem Data Act. Diese hängen davon ab, ob du als Hersteller, Importeur oder Händler von vernetzten Produkten fungierst.
Informationspflichten für Händler
Du musst deine Kunden klar und verständlich über ihre Datenrechte informieren. Dazu gehört die Aufklärung darüber, welche Daten gesammelt werden, wie sie genutzt werden und wie Kunden auf ihre Daten zugreifen können.
Technische Umsetzung der Datenportabilität
Online-Shop-Betreiber müssen sicherstellen, dass die von ihnen verkauften vernetzten Produkte die technischen Anforderungen für Datenportabilität erfüllen. Das bedeutet, dass entsprechende APIs oder andere technische Schnittstellen implementiert werden müssen.
Pflichten nach dem Data Act im Überblick
Die wichtigsten Verpflichtungen für Unternehmen nach dem Data Act lassen sich wie folgt zusammenfassen:
Bereitstellungspflicht: Du musst Nutzern kostenlos Zugang zu ihren Daten gewähren und diese in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen.
Informationspflicht: Klare und transparente Information der Nutzer über Datensammlung, -verarbeitung und -rechte ist obligatorisch.
Technische Implementierung: Die notwendigen technischen Systeme zur Datenportabilität müssen bis zu den genannten Fristen umgesetzt werden.
Sicherheitspflicht: Angemessene Sicherheitsmaßnahmen zum Schutz der übertragenen Daten müssen implementiert werden.
Dokumentationspflicht: Die Compliance mit dem Data Act muss nachweisbar dokumentiert werden.
Data Act Compliance: Lass dich professionell beraten
Die Umsetzung des Data Act kann komplex sein und erfordert sowohl rechtliches als auch technisches Know-how. Falls du dir unsicher bist, wie du die Anforderungen in deinem Unternehmen umsetzen sollst, stehen wir dir als erfahrene Rechtsberater gerne zur Seite.
Wir helfen dir dabei, eine maßgeschneiderte Compliance-Strategie zu entwickeln, die rechtlichen Anforderungen zu verstehen und die notwendigen technischen und organisatorischen Maßnahmen zu implementieren. Kontaktiere uns für eine individuelle Beratung – gemeinsam sorgen wir dafür, dass dein Unternehmen optimal auf den Data Act vorbereitet ist.
Legal Living Hub verwendet Cookies, damit die Webseite zuverlässig funktioniert und wir Informationen für statistische Auswertungen sammeln können. Du kannst deine Cookie-Einstellungen jederzeit im Footer der Webseite ändern. Mehr Informationen findest du in unseren Datenschutzhinweisen.
