Zurück

ctrl + law | Ausgabe 3/2025

ctrl + law – Der digital Omnibus ist offiziell vorgefahren | Gernot Fritz

Wer digitale Regulierung verfolgt, weiß: Zwischen Entwurf und Realität liegen oft Welten. Umso bemerkenswerter ist es, dass die Kommission den Digital Omnibus nun offiziell veröffentlicht hat – ein Legislativpaket, das an den Grundpfeilern von DSGVO, Data Act und AI Act rüttelt und die Spielregeln der digitalen Regulierung für die kommenden Jahre neu sortieren könnte.

In dieser dritten Ausgabe von ctrl + law greifen wir erste Brennpunkte heraus. Wir analysieren, wie der Digital Omnibus den Schutz von Geschäftsgeheimnissen im Data Act neu austariert, ob die vorgeschlagenen Änderungen tatsächlich zu einer Aushöhlung des Auskunftsrechts führen könnten, warum das KI-Training mit personenbezogenen Daten damit in einen völlig neuen Graubereich rutscht und welche neuen Anforderungen sich beim Online-Tracking und dem Einsatz von Cookies abzeichnen.

Daneben werfen wir einen Blick auf die Verbraucheragenda 2030 und den geplanten Digital Fairness Act, der Plattformregulierung und Verbraucherschutz in ein neues Verhältnis setzt. Ergänzend beleuchten wir, wie das EUIPO mit seinem neuen Copyright Knowledge Centre für mehr Transparenz im Urheberrecht sorgt – und welche praktischen Impulse dies für Unternehmen bietet.

Abgerundet wird die Ausgabe durch einen Überblick über drei aktuelle Entscheidungen zur Videoüberwachung, die (trotz unterschiedlicher Sachverhalte) bemerkenswert klare Leitlinien erkennen lassen.

Gemeinsam eint all diese Themen eine Frage: Wie findet man Orientierung, wenn sich das digitale Regelwerk nicht nur weiterentwickelt, sondern sichtbar neu zusammensetzt?

ctrl + law leistet dazu einen Beitrag – konzentriert, einordnend und mit einem Fokus auf das, was heute bereits zählt.

Auch zwischen den Ausgaben von ctrl + law bleibt es nicht ruhig. Wir verfolgen die Entwicklungen im digitalen Rechtsraum laufend und bereiten aktuelle Themen zeitnah auf. Auf dem E+H News Portal finden sich dazu bereits ausführliche Beiträge, etwa

Wir bleiben dran und halten Sie weiterhin auf dem Laufenden.

Trennstrich bunt

Digital Omnibus & Data Act: Mehr Spielraum beim Geschäftsgeheimnisschutz | Tanja Pfleger

Mit dem Digital-Simplification-Paket hat die EU Kommission eine zentrale Nachjustierung am Data Act angekündigt, die den Schutz sensibler Geschäftsgeheimnisse deutlich stärken soll.

Bei der verpflichtenden Bereitstellung von Nutzungsdaten an Nutzer vernetzter Produkte und deren benannte Datenempfänger sind grundsätzlich auch Geschäftsgeheimnisse erfasst. Deren Schutz erfolgt über technische und organisatorische Maßnahmen sowie über einen bislang sehr eng gefassten Ausnahmetatbestand. Eine Verweigerung der Datenbereitstellung ist daher nur in Ausnahmefällen zulässig – nämlich dann, wenn trotz solcher Schutzmaßnahmen mit hoher Wahrscheinlichkeit ein erheblicher wirtschaftlicher Schaden droht.

Der Digital Omnibus erweitert diesen Ausnahmetatbestand deutlich: Künftig kann ein Dateninhaber die Bereitstellung auch verweigern, wenn die Offenlegung ein hohes Risiko einer unrechtmäßigen Erlangung, Nutzung oder Weitergabe gegenüber Unternehmen in Drittstaaten (oder gegenüber in der EU ansässigen Unternehmen, die von solchen Drittstaatsunternehmen beherrscht werden) mit sich bringt, sofern dort kein gleichwertiger Schutz von Geschäftsgeheimnissen gewährleistet ist.

Ein einfaches “Nein” genügt nicht: Der Dateninhaber muss die Ablehnung schriftlich gegenüber dem Nutzer bzw. Datenempfänger erläutern und zusätzlich die zuständige Behörde informieren.

Für Unternehmen ist das ein zweischneidiges Schwert. Einerseits stärkt die Neuerung den Schutz geschäftskritischen Know-hows in datengetriebenen Industrie-, IoT- und Automotive-Modellen. Andererseits steigen die Anforderungen an Governance und Compliance: Ohne klar definierte Prozesse zur Bewertung von Drittstaatenrisiken und zur sorgfältigen Dokumentation der Entscheidungsgrundlagen wird sich das neue Verweigerungsrecht in der Praxis nur eingeschränkt nutzen lassen.

Key Take-Aways:

  • Geschäftsgeheimnisse systematisch erfassen und klassifizieren, um klar begründen zu können, welche Informationen vom erweiterten Ausnahmetatbestand umfasst sind.
  • Bewertungsprozesse für Drittstaatenrisiken etablieren.
  • Einzelfallprüfungen sauber dokumentieren: pauschale Ablehnungen reichen nicht; Unternehmen müssen konkrete, nachvollziehbare Risiken darlegen können.
  • Interne Governance schärfen: Zuständigkeiten definieren, interne Guidelines zum Umgang mit Data Act Anfragen entwickeln und ein klares Eskalations- und Begründungsverfahren implementieren.
Trennstrich bunt

Verbraucherschutz auf Zukunftskurs: Die EU-Verbraucheragenda 2030 | Felix Hohenthanner

Mit der 2030 Consumer Agenda hat die EU-Kommission eine neue Leitlinie für den europäischen Verbraucherschutz vorgestellt. Ziel ist es, Verbraucher im digitalen Binnenmarkt besser zu schützen, Wettbewerbsverzerrungen zu beseitigen und nachhaltige Konsumentscheidungen zu fördern.

Zentrales Element hierfür ist der neue “Digital Fairness Act”, ein Gesetzgebungsvorhaben, das für fairere, transparentere und sicherere digitale Märkte sorgen soll. Damit geht die EU gezielt gegen manipulative Designs (Dark Patterns), intransparente Algorithmen, irreführendes Influencer-Marketing und mangelnden Schutz von Minderjährigen im Netz vor. Daneben soll der Binnenmarkt gestärkt werden, vor allem durch den Abbau grenzüberschreitender Barrieren im Online-Handel, bei Finanzdienstleistungen und im Reiseverkehr. Die Agenda fördert zudem nachhaltigen Konsum wie durch das oft in den Medien stehende “Right to Repair”, digitale Produktpässe und strengere Regeln gegen Greenwashing. Begleitet soll dies mit verstärkter Marktüberwachung und Sanktionen verabschiedet werden.

Key Take-Aways:

  • Digital Fairness wird rechtlich verbindlich: Unternehmen müssen irreführende Designs, unklare Empfehlungen oder altersunsichere Produkte vermeiden.
  • Nachhaltigkeitsversprechen stehen stärker unter Kontrolle: Green Claims und Reparierbarkeit müssen belegbar und transparent sein.
  • Digitale Verbraucherschutzregeln werden durchgesetzt: Verstöße im Online-Handel, bei Produktinformationen oder Nutzerdatenverarbeitung können künftig europaweit strenger geahndet werden.
Trennstrich bunt

Digital Omnibus: Aushöhlung des DSGVO-Auskunftsrechts? | Jakob Secklehner

Mit dem viel diskutierten Digital Omnibus plant die EU-Kommission deutliche Änderungen an den Auskunfts- und Informationsrechten der DSGVO. Während die Kommission das Gesetzespaket als notwendige Modernisierung darstellt, bemängeln Kritiker, dass mit den Änderungen das Fundament des europäischen Datenschutzes erschüttert würde. Ist die Aufregung berechtigt oder ist letzten Endes doch alles halb so wild?

Kern der Kritik ist die geplante Neufassung der „Missbrauch“-Klausel in Art 12 Abs 5 DSGVO. Aktuell müssen Auskunftsersuchen einen „offensichtlich unbegründeten oder exzessiven“ Charakter haben, damit Unternehmen diese ablehnen können. Künftig soll es genügen, wenn der Verantwortliche unter anderem “reasonable grounds” für die Annahme hat, das Recht werde für andere Zwecke als den Datenschutz missbraucht. Zwar soll die Beweislast beim Verantwortlichen bleiben, doch die Hürde für eine Ablehnung oder für die Forderung eines Entgelts würde damit wohl deutlich sinken.

Die Kommission nennt zwar extreme Beispiele wie Erpressung oder die mutwillige Provokation von Ablehnungen für spätere Schadensersatzforderungen, die Praxis dürfte aber komplexer sein. Nutzt ein Arbeitnehmer das Auskunftsrecht, um Beweise für einen Kündigungsschutzprozess zu erhalten, oder ein Versicherungsnehmer für einen Deckungsstreit, könnte das bei enger Auslegung als zweckfremd gewertet werden.

Unternehmen könnten die Herausgabe unter Verweis auf Art 12 Abs 5 DSGVO verweigern oder erschweren, was die faktische Kontrolle umkehren würde. Damit würde die geplante Änderung in spürbarem Spannungsverhältnis zur bisherigen EuGH-Rechtsprechung stehen, die die Betroffenenrechte traditionell weit auslegt.

Parallel sieht der Entwurf Erleichterungen bei Informationspflichten für nicht-datenintensive Tätigkeiten vor. Was den Erwägungsgründen zufolge etwa Handwerker entlasten soll, ist nicht unkritisch: Der unbestimmte Rechtsbegriff „nicht-datenintensiv“ schafft Rechtsunsicherheit und Interpretationsspielräume für Unternehmen weit über das Handwerk hinaus. Faktisch wird die Transparenz zur Holschuld: Bürger müssen künftig selbst erahnen, wer ihre Daten verarbeiten könnte, statt proaktiv informiert zu werden. Hervorzuheben ist die geplante Einführung maschinenlesbarer Rechteausübungen durch Art 88b DSGVO, etwa über Browser-Signale, wobei bislang unklar bleibt, wie sich diese Neuerung zur vorgesehenen Anpassung in Art 12 Abs 5 verhält. Offene technische Fragen und Umsetzungsfristen dämpfen (noch) die Erwartungen.

Es bleibt also abzuwarten, wie “wild” die geplanten Änderungen tatsächlich werden.

Key Take-Aways:

  • Senkung der Ablehnungsschwelle: Statt "exzessiv" sollen künftig "vernünftige Gründe" für die Annahme eines Missbrauchs genügen, um Auskünfte zu verweigern oder ein Entgelt zu verrechnen.
  • Zweckbindung des Antrags: Erstmals wird relevant, warum eine Auskunft verlangt wird (z.B. Beweisführung vs. Datenschutz).
  • Verzögerte Transparenz: Während die Automatisierung der Rechteausübung (Browser-Signale) noch Jahre dauern kann, könnten Informationspflichten zeitnah eingeschränkt werden.
Trennstrich bunt

KI-Training im Graubereich? Wie sich der Digital Omnibus neu ausrichtet | Gernot Fritz

Mit dem Digital Simplifikation Package schlägt die Kommission einen tiefen Eingriff in das Herzstück des europäischen Datenschutzrechts vor. KI-Training mit personenbezogenen Daten soll erstmals ausdrücklich im Normtext legitimiert werden: einerseits durch einen neuen Art 9 Abs 2 lit k DSGVO für „residual“ vorhandene besondere Kategorien personenbezogener Daten (also „sensible Daten“, die eigentlich nicht benötigt werden, aber dennoch im Datensatz auftauchen können), andererseits durch einen neuen Art 88c DSGVO, der die Entwicklung und den Betrieb von KI-Systemen pauschal als „berechtigtes Interesse“ einstuft.

Die vorgeschlagenen Änderungen sind tiefgreifend: Art 9 lit k DSGVO verpflichtet zwar dazu, sensible Daten grundsätzlich zu vermeiden, entfernen oder technisch abzuschotten, öffnet aber dennoch die Möglichkeit ihrer Verarbeitung, wenn eine Entfernung nur mit unverhältnismäßigem Aufwand realisierbar ist. Art 88c wiederum erklärt die KI-Entwicklung als legitimes Interesse des Verantwortlichen, verknüpft dies jedoch mit erweiterten Transparenzpflichten, strikter Datenminimierung, technischen Schutzmaßnahmen und einem unbedingten Widerspruchsrecht.

Besonders kritisch diskutiert wird die gleichzeitige „relativierte“ Definition personenbezogener Daten, die künftig stärker an die Identifizierbarkeit durch den jeweiligen Verantwortlichen anknüpfen soll. Dies könnte dazu führen, dass große Teile heute typischer Trainingsdaten leichter aus dem DSGVO-Regime herausfallen. Damit entsteht ein Spannungsfeld zwischen Wettbewerbsfähigkeit, Innovationsdruck und rechtsstaatlichen Schutzstandards. Ob der Digital Omnibus dieses Spannungsfeld tatsächlich ausbalanciert oder weiter öffnet, entscheidet sich im Trilog.

Key Take-Aways:

  • Rechtsgrundlagen für KI-Training müssten neu priorisiert werden: Art 88c verlangt eine strukturierte Interessenabwägung, aktualisierte Datenschutzhinweise und robuste Prozesse für Widersprüche.
  • KI-Projekte brauchen ein eigenes, konsistentes Konzept zum Umgang mit besonderen Kategorien: automatisierte Filter, Klassifizierungslogiken, klare Governance-Mechanismen und nachvollziehbare Entscheidungen zwischen Löschung und Abschottung.
  • Verträge entlang der gesamten KI-Wertschöpfungskette müssen die neue Logik reflektieren, insbesondere hinsichtlich Zuständigkeiten, Maßnahmen für den Umgang mit Residualdaten und Anforderungen an technische Schutzmaßnahmen.
Trennstrich bunt

EUIPO stärkt Transparenz im Urheberrecht: Launch des Copyright Knowledge Centre | Hannah Kercz

Am 20. November 2025 hat das Amt der Europäischen Union für geistiges Eigentum (EUIPO) im Rahmen der EUIPO Copyright Conference sein neues Copyright Knowledge Centre vorgestellt. Dieses soll künftig als zentrale Wissensplattform dienen und einen einheitlichen Zugang zu Informationen rund um urheberrechtsbezogene Themen in der Europäischen Union bieten.

Die Initiative reagiert auf die fragmentierte Urheberrechtslandschaft in der Europäischen Union und den technologischen Wandel durch generative KI. Während kreative Inhalte heute einfacher erstellt und genutzt werden können, wächst der Bedarf an klaren Informationen zu Schutz und rechtskonformer Nutzung. Das Copyright Knowledge Centre soll genau diese Orientierung bieten.

Das EUIPO bündelt im Copyright Knowledge Centre zentrale Ressourcen: nationale Rechtsgrundlagen, Rechtsprechung, Studien, Schulungsmaterialien und Datenbanken. Kernstück ist eine interaktive EU-Urheberrechtskarte, die Rechtslage, Behörden und Lizenzierungsmodelle aller Mitgliedstaaten übersichtlich darstellt. Ein besonderer Fokus liegt auf Fragen rund um Urheberrecht und generative KI. Das EUIPO will hier verstärkt informieren, Best Practices entwickeln und die Kreativwirtschaft bei der Rechteklärung unterstützen.

Als Schlüsselprojekt des EUIPO Strategic Plan 2030 soll das Copyright Knowledge Centre zu einem langfristigen Kooperationsforum ausgebaut werden und mehr Transparenz, Vernetzung und Harmonisierung im Bereich des europäischen Urheberrechts schaffen.

Key Take-Aways:

  • One-Stop-Shop: Ein zentraler Zugangspunkt reduziert Rechercheaufwand und beschleunigt urheberrechtsbezogene Entscheidungen in Unternehmen.
  • EU-weiter Rechtsvergleich: Die interaktive Karte ermöglicht schnellen Überblick über nationale Vorgaben und erleichtert Compliance bei grenzüberschreitenden Projekten.
  • KI-Praxisnutzen: Klare Guidance zu KI-Training und automatisierter Content-Erstellung schafft mehr Rechtssicherheit für digitale und KI-getriebene Geschäftsmodelle in der Kreativwirtschaft.
Trennstrich bunt

Mehr Tracking, weniger Einwilligung im Digital Omnibus? | Tanja Pfleger

Mit den neuen Art 88a und 88b DSGVO schlägt die Kommission im Digital Omnibus eine echte Neuausrichtung des europäischen Cookie- und Tracking-Regimes vor. Der Vorschlag zielt darauf ab, die DSGVO als primären Rechtsrahmen für Online-Tracking zu etablieren und die bestehenden ePrivacy-Regeln teilweise zu ersetzen oder jedenfalls zu überlagern. Kernidee: Weg von der allgegenwärtigen Cookie-Banner-Einwilligung, hin zu einem stärker bereichsspezifischen, risikobasierten Ansatz, der „Interessen der Endnutzer“ schützen soll, aber formuliert in einer Weise, die gleichzeitig Tracking-Optionen für Anbieter erweitert. Die Vorschriften beziehen sich dabei nicht nur auf klassische Cookies, sondern auf jede Technologie zur Speicherung oder zum Zugriff auf Informationen im Endgerät, unabhängig vom technischen Mechanismus. Damit greift der Vorschlag unmittelbar in die österreichische TKG-Umsetzung der ePrivacy-Richtlinie ein und würde zentrale Tracking-Regeln faktisch neu justieren.

Art 88a des Entwurfs skizziert erstmals einen Katalog zulässiger Zwecke, bei denen keine Einwilligung erforderlich sein soll, darunter Sicherheitsmaßnahmen, Betrugsprävention, Software-Updates oder bestimmte Mess- und Statistikzwecke, jeweils unter engen Bedingungen. Art 88b des Entwurfs geht weiter: Er eröffnet ein bereichsspezifisches „berechtigtes Interesse“ für bestimmte Formen der Speicherung oder Auslese von Informationen aus Endgeräten. Zugleich verlangt die Norm zusätzliche Safeguards wie klare Zweckbegrenzung, Datenminimierung und umfassende Transparenz, inklusive leicht zugänglicher Widerspruchsmöglichkeiten. Die Kommission bestätigt damit, dass Tracking nicht mehr ausschließlich unter die ePrivacy-Einwilligung fallen soll, sondern in strukturierten Fällen auch ohne Banner möglich sein kann.

Genau diese Neujustierung sorgt für erhebliche Diskussionen. Während manche die Vorschläge als dringend notwendige Entlastung gegenüber dem “consent overload”, der Nutzer überfordert und Unternehmen rechtlich kaum noch handhabbare Einwilligungsarchitekturen aufzwingt, begrüßen, warnen andere dagegen vor einem “tracking through the backdoor”. Ein risikobasiertes “berechtigtes Interesse” könne faktisch neue Graubereiche öffnen, insbesondere wenn Anbieter argumentieren, dass bestimmte Mess- oder Optimierungsprozesse “unerlässlich” seien. Bestimmte Tracking-Verfahren (insbesondere gerätebasierte Identifikatoren, Fingerprinting-ähnliche Mechanismen oder App-SDK-Tracking) könnten fortan leichter legitimiert werden, sofern sie unter einen der neuen Zweckkataloge subsumiert werden.

Besonders sensibel ist das Zusammenspiel mit der parallel vorgeschlagenen Neudefinition personenbezogener Daten. Wenn die Identifizierbarkeit künftig stärker auf den jeweiligen Verantwortlichen abstellt, könnten geräte- oder sessionbasierte Identifikatoren (das Fundament vieler Tracking-Technologien) seltener als personenbezogene Daten gelten, was den tatsächlichen Schutzumfang weiter relativieren würde. Ob der Digital Omnibus damit tatsächlich ein moderneres, nutzerzentriertes Tracking-Regime schafft oder primär wirtschaftspolitische Ziele verfolgt, wird maßgeblich vom Trilog abhängen.

Key Take-Aways:

  • Die Reform verschiebt den Fokus weg von reinen Consent-Bannern hin zu einem risikobasierten Modell, in dem bestimmte Tracking-Zwecke ohne Einwilligung zulässig sind.
  • Für Anbieter eröffnet Art 88b eine neue Option: Tracking kann unter einem bereichsspezifischen „berechtigten Interesse“ erfolgen, verlangt aber strikte Safeguards.
  • Unternehmen sollten bestehende Consent-Management-Setups kritisch überprüfen: Viele heute per Einwilligung abgesicherte Prozesse könnten künftig auf eine andere Rechtsgrundlage umgestellt werden – mit potenziell weniger Friktion im Nutzerfluss.
  • Gleichzeitig steigt die Verantwortung: Einwilligung entfällt nur dort, wo die Zwecke präzise eingehalten, Risiken minimiert und technische Schutzmaßnahmen konsequent umgesetzt werden.
Trennstrich bunt

Videoüberwachung im Fokus: Drei aktuelle Entscheidungen, drei klare Linien | Gernot Fritz

Drei neue Entscheidungen präzisieren die datenschutzrechtlichen Grenzen der Videoüberwachung. Die DSB (2024-0.739.833) hatte zunächst einen Fall zu beurteilen, in dem ein Beschwerdeführer beim Wenden in einer Sackgasse kurzfristig gefilmt wurde, weil er dabei beim Wenden in einerSackgasse einen klar und unmissverständlich als „Privat“ gekennzeichneten Grundstücksbereich befuhr. Die DSB bestätigte, dass hier das Eigentumsschutzinteresse überwiegt und die Verarbeitung zulässig war, insbesondere weil die betroffene Person vernünftigerweise damit rechnen muss, gefilmt zu werden, und die Kamera im Wesentlichen nur das eigene Grundstück erfasste. Zudem greift ein Informationsdefizit nicht durch, wenn die betroffene Person erst durch ein von der Rechtsordnung nicht gebilligtes Verhalten in den Aufnahmebereich gelangt.

Das OLG Wien (7 Ra 17/25h) hatte einen gänzlich anderen Kontext zu beurteilen: Eine Verkäuferin wurde im Geschäftslokal in einem Moment dokumentiert, in dem sie – statt zu arbeiten – über längere Zeit mit ihrem Smartphone beschäftigt war und sich über den Verkaufstisch lehnte. Die Arbeitgeberin fertigte zu Beweiszwecken Screenshots aus einer Live-Ansicht an. Das Gericht sah darin keine unzulässige Leistungsüberwachung, weil die Mitarbeiterin schriftlich über die Kameras informiert worden war, keine dauerhafte Aufzeichnung stattfand und die Screenshots ausschließlich zur Dokumentation der konkreten Pflichtverletzung dienten, ohne dass die Mitarbeiterin von vorne erkennbar gewesen wäre.

Der VwGH (Ra 2023/04/0075) wiederum hob ein Erkenntnis des BVwG zur Überwachung eines überdachten Hauseingangs in einer größeren Wohnanlage auf. Der Zugang zu mehreren Stiegenhäusern wurde vollständig erfasst und die Aufnahmen wurden gespeichert. Der VwGH stellte klar, dass § 12 DSG auch im Anwendungsbereich der DSGVO weiterhin Bedeutung hat, allerdings nicht im Sinn einer gesetzlich vorweggenommenen Interessenabwägung, die Art 6 Abs 1 lit f DSGVO ersetzen könnte. Nationale Regeln dürfen diese Abwägung nicht ersetzen, können aber berechtigte Interessen konkretisieren. Die Gerichte müssen die Beurteilung jedenfalls selbst und einzelfallbezogen vornehmen.

Key Take-Aways:

  • Privatgrund kennzeichnen: Je klarer die Markierung, desto eher hält die Abwägung.
  • Arbeitsplatzkameras nur moderat einsetzen: Sicherheitszweck okay, Leistungsüberwachung nicht. Live-Monitoring bleibt ein Graubereich, kann aber zulässig sein, wenn eng begrenzt.
  • Wohn- und Hauseingänge bleiben „High-Risk-Zonen“: Vollerfassende Kameras dort sind besonders prüfungsintensiv.
  • § 12 DSG ist nicht tot: Aber darf die Art-6-Abwägung nicht ersetzen – wichtig für künftige Verfahren.
  • Aufnahmewinkel, Speicherdauer, Identifizierbarkeit, Zweckbindung: jedes Detail zählt.
Trennstrich bunt

ctrl + law – Ausgabe 3 bringt Struktur in die Regelungsflut.

Mehr Orientierung kommt demnächst.

Jetzt anmelden und am Ball bleiben.

Trennstrich bunt