Zurück

ctrl + law | Ausgabe 15

19.05.2026

ctrl + law – Wenn Regulierung operativ wird | Gernot Fritz

Mit der fünfzehnten Ausgabe von ctrl + law rückt ein Thema in den Mittelpunkt, das sich durch KI-Regulierung, Datenschutz, Urheberrecht, Forschung und Wettbewerbsrecht zieht: Regulierung wird operativ. Es geht immer weniger nur um abstrakte rechtliche Einordnung, sondern zunehmend um konkrete Rollen, Fristen, Nachweise, Prozesse und Verantwortlichkeiten.

Besonders sichtbar wird das beim Digital Omnibus on AI. Die politische Einigung bringt zwar mehr Zeit für bestimmte Hochrisiko-KI-Systeme, aber keine Entwarnung. Neue Fristen verschieben Umsetzungsdruck, beseitigen ihn aber nicht. Transparenzpflichten, Kennzeichnung KI-generierter Inhalte, Verbote sexualisierter KI-Inhalte, Registrierung, Dokumentation und Bias-Kontrolle bleiben zentrale Compliance-Themen. Für Unternehmen bedeutet das: Die zusätzliche Zeit sollte nicht als Pause verstanden werden, sondern als Umsetzungsfenster.

Auch die Leitlinien der Kommission zu Art 50 KI-VO zeigen diese Richtung sehr klar. Transparenz ist kein bloßes Disclaimer-Thema. Unternehmen müssen wissen, welche KI-Systeme sie einsetzen, welche Outputs entstehen, wer Anbieter oder Betreiber ist und wie Nutzer rechtzeitig, sichtbar und verständlich informiert werden.

Im Datenschutz konkretisiert der VwGH die Abgrenzung der Verantwortlichkeit in Konzernstrukturen. Strategische Vorgaben, Konzernverbundenheit oder Finanzierung reichen für sich allein nicht aus. Entscheidend bleibt, wer tatsächlich über Zwecke und Mittel der Verarbeitung bestimmt. Auch hier geht es also um operative Einflussnahme, dokumentierte Entscheidungswege und klare Rollenverteilung.

Die neuen EDSA-Leitlinien zur wissenschaftlichen Forschung schärfen diesen Blick zusätzlich. Forschung bleibt privilegiert, aber nicht schrankenlos. Wer sich auf wissenschaftliche Forschung berufen will, muss Zweck, Methodik, Rechtsgrundlage, Betroffenenrechte, Garantien und Verantwortlichkeiten sauber einordnen. Gerade in KI-, Gesundheits- und Datenanalyse­projekten wird Datenschutz damit zur Governance-Frage.

Auch außerhalb des europäischen Digitalrechts zeigt sich dieselbe Entwicklung. Die Entscheidung des US Supreme Court zur Providerhaftung begrenzt zwar die sekundäre Haftung klassischer Internetzugangsanbieter, stellt aber zugleich klar, dass technische Infrastruktur, Kenntnis und gezielte Förderung von Rechtsverletzungen sorgfältig auseinanderzuhalten sind. Und der OGH erinnert im Wettbewerbsrecht daran, dass branchenübliche Gutscheinmodelle nicht schon deshalb zulässig sind, weil “es eh alle so machen”.

Die gemeinsame Klammer dieser Ausgabe ist daher klar: Rechtliche Anforderungen werden konkreter. Wer KI nutzt, Daten verarbeitet, Forschung organisiert, digitale Infrastruktur betreibt oder Geschäftsmodelle gestaltet, muss nicht nur wissen, was erlaubt ist. Er muss zeigen können, wer verantwortlich ist, welche Entscheidung getroffen wurde und wie diese praktisch umgesetzt wird.

Genau an dieser Schnittstelle setzt ctrl + law an: Dort, wo Regulierung nicht im Gesetzestext stehen bleibt, sondern in Strukturen, Prozesse und belastbare Entscheidungen übersetzt werden muss.

Und weil digitale Realität keine ctrl + law Pausen kennt, haben wir am E+H News Portal laufend nachgeschärft:

Wir wünschen eine anregende Lektüre.

Trennstrich bunt

Digital Omnibus on AI: Neue Fristen und Pflichten, alte Sorgfalt | Tanja Pfleger

Mit dem Digital Omnibus on AI nimmt die Reform des AI Act konkrete Form an. Am 7. Mai 2026 haben Rat und Europäisches Parlament eine vorläufige politische Einigung erzielt. Formal beschlossen ist der Rechtsakt noch nicht; Parlament und Rat müssen den Text noch annehmen.

Der wichtigste Punkt für die Praxis sind die aktualisierten Fristen. Für eigenständige Hochrisiko-KI-Systeme (etwa in den Bereichen Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Strafverfolgung sowie Migration und Grenzmanagement) sollen die Pflichten künftig erst ab 2. Dezember 2027 gelten. Für Hochrisiko-KI-Systeme, die in regulierte Produkte integriert sind, etwa in Spielzeug oder in Aufzügen, soll der neue Stichtag der 2. August 2028 sein. Begründet wird dies damit, dass technische Standards und praktische Umsetzungshilfen rechtzeitig verfügbar sein sollen.

Auch die Transparenzpflichten bleiben ein eigenes Thema: Für technische Kennzeichnungen bzw. Watermarking von KI-generierten Inhalten sieht die Einigung nun den 2. Dezember 2026 vor.

Die Einigung bei sexualisierten KI-Inhalten sieht ein Verbot von KI-Systemen vor, die nicht einvernehmliche sexualisierte oder intime Inhalte sowie Material über sexuellen Missbrauch von Kindern erzeugen. Erfasst werden nicht nur Systeme, die gerade zu diesem Zweck in Verkehr gebracht werden, sondern auch Systeme ohne angemessene Sicherheitsmaßnahmen gegen solche Nutzungen sowie Betreiber, die solche Systeme gezielt dafür einsetzen. Unternehmen sollen ihre Systeme bis 2. Dezember 2026 in Einklang bringen.

Gleichzeitig wurden bei einigen der ursprünglich geplanten Entlastungen wieder zurückgerudert. Die Registrierungspflicht für Anbieter soll wieder gelten, wenn sie ein System trotz Nennung in einer Hochrisiko-Kategorie als nicht hochriskant einstufen. Auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten zur Bias-Erkennung und -Korrektur bleibt es beim strengeren Maßstab der „strict necessity”. Es gibt zwar eine Vereinfachung – aber nicht ohne Dokumentation, Rechenschaft und belastbare Begründung.

Weitere Änderungen betreffen die Zuständigkeit des AI Office für bestimmte KI-Systeme auf Basis von General-Purpose-AI-Modellen, den Zugang zu Reallaboren, die Ausweitung einzelner KMU-Erleichterungen auf Small Mid-Caps sowie das Zusammenspiel des AI Act mit sektoralem Produktsicherheitsrecht. Im Maschinenbereich sieht die Einigung eine gezielte Ausnahme vor: Systeme, die unter die Maschinenverordnung fallen, werden von der unmittelbaren Anwendbarkeit des AI Act ausgenommen – allerdings nur unter der Bedingung gleichwertiger Schutzniveaus. Andere Produktkategorien, etwa Aufzüge unter der Aufzugsrichtlinie, bleiben dem AI Act weiterhin unterworfen. Ziel ist es, Doppelregulierung zu vermeiden, ohne Sicherheitsstandards abzusenken.

Für Unternehmen ist die Botschaft daher klar: Der Digital Omnibus verschafft mehr Zeit, aber keine Entwarnung. Wer Hochrisiko-KI entwickelt oder einsetzt, sollte die zusätzliche Zeit für Klassifizierung, Gap-Analyse, technische Dokumentation, Vertragsprüfung und Governance nutzen. Wer generative KI anbietet oder verwendet, muss Transparenz- und Kennzeichnungspflichten schon deutlich früher operativ umsetzen.

Key Take-Aways

  • Mehr Zeit für Hochrisiko-KI: Eigenständige Hochrisiko-Systeme sollen erst ab 2. Dezember 2027, produktintegrierte Systeme ab 2. August 2028 erfasst sein.
  • Keine Pause bei Transparenz: Kennzeichnung und technische Erkennbarkeit KI-generierter Inhalte bleiben ein kurzfristiges Umsetzungsthema – mit Blick auf den 2. Dezember 2026.
  • Neue rote Linie: Nicht einvernehmliche sexualisierte KI-Inhalte und KI-generiertes Missbrauchsmaterial werden ausdrücklich als KI-Compliance Thema adressiert.
  • Vereinfachung bleibt begrenzt: Registrierung, Dokumentation und strenge Anforderungen bei Bias Detection bleiben zentrale Compliance-Themen.
Trennstrich bunt

VwGH: Kein Verantwortlicher ohne tatsächliche Einflussnahme | Fabian Duschnig

Der Verwaltungsgerichtshof (VwGH) hat mit Beschluss vom 14. April 2026 (Ra 2024/04/0375‑12) eine Amtsrevision der Datenschutzbehörde (DSB) zurückgewiesen und damit eine wichtige Klarstellung für Konzernstrukturen getroffen. Im Zentrum stand die Frage, ob eine Konzernmutter datenschutzrechtlich als (gemeinsam) Verantwortliche im Sinne der DSGVO einzustufen ist, wenn sie ein Kundenbindungsprogramm strategisch konzipiert, die konkrete Datenverarbeitung jedoch vollständig von einem konzerneigenen Handelsunternehmen umgesetzt wird. Der entschiedene Fall betrifft ein großes Kundenbindungsprogramm in Österreich.

Ausgangspunkt war eine von der Datenschutzbehörde verhängte Geldbuße von 8 Millionen Euro gegen die Konzernmutter. Die Behörde vertrat die Auffassung, die Konzernmutter sei in einer Weise in die datenschutzrelevanten Abläufe des Kundenbindungs­programms eingebunden gewesen, die eine gemeinsame Verantwortlichkeit mit der operativ tätigen Tochtergesellschaft begründen würde. Insbesondere habe sie für die Ausgestaltung der Einwilligungsmechanismen zum Profiling mitverantwortlich gehandelt, die nach Ansicht der Behörde nicht den Anforderungen der DSGVO entsprachen. Da die darauf aufbauenden Profiling‑Verarbeitungen auf diesen Einwilligungen beruhten, sollte auch dies der Konzernmutter zugerechnet werden.

Das Bundesverwaltungsgericht (BVwG) hob das Straferkenntnis auf. Es stellte fest, dass die Konzernmutter ab 2017 die strategische Ausrichtung des Kundenbindungsprogramms festlegte und über die relevante Tochtergesellschaft gründete und mit den notwendigen Ressourcen ausstattete. Die Konzernmutter selbst als Alleingesellschafterin an der operativ tätigen Tochter beteiligt.

Ab dem operativen Start im Mai 2019 habe jedoch ausschließlich die Tochtergesellschaft über sämtliche datenschutzrelevanten Maßnahmen entschieden: über die Gestaltung der Formulare und Einwilligungserklärungen, der allgemeinen Geschäftsbedingungen, der technischen und organisatorischen Maßnahmen sowie des Verarbeitungsverzeichnisses. Die Tochtergesellschaft sei in diese operativen Entscheidungen nicht eingebunden gewesen. Eine bewusst gewollte gemeinsame Festlegung von Zweck und Mittel der Datenverarbeitung habe daher nicht vorgelegen. Maßgeblich sei der tatsächliche Einfluss auf die Festlegung der Zwecke und Modalitäten einer Verarbeitung oder Weiterverarbeitung von Daten – und dieser habe allein bei der operativen Tochter gelegen.

Der VwGH schloss sich dieser Beurteilung an und wies die Revision der DSB zurück. Die maßgeblichen Rechtsfragen sind aus Sicht des VwGH durch die Rechtsprechung des EuGH bereits geklärt – insbesondere durch die Entscheidungen in den Rechtssachen Fashion ID (C‑40/17), IAB Europe (C‑604/22) und Nacionalinis visuomenės sveikatos centras (C‑683/21).

Für Unternehmensgruppen bedeutet diese Entscheidung eine wertvolle Präzisierung der Abgrenzung gemeinsamer Verantwortlichkeit: Strategische Vorgaben, Konzernverbundenheit oder die Gründung und Finanzierung konzerneigener Unternehmen begründen für sich allein (noch) keine Verantwortlichkeit im Sinne der DSGVO. Entscheidend bleibt, ob ein tatsächlicher operativer Einfluss auf die Festlegung von Zweck und Mittel der Verarbeitung besteht – eine Frage, die stets anhand der konkreten Strukturen des Einzelfalls zu beurteilen ist.

Key Take-Aways

  • Gemeinsame Verantwortlichkeit setzt echte operative Einflussnahme voraus: Maßgeblich ist, wer tatsächlich über Zwecke und Mittel der Verarbeitung entscheidet – nicht wer ein Projekt strategisch initiiert.
  • Operative Umsetzung entscheidend: Maßgeblich ist, wer konkret Einwilligungen, Prozesse, technische Maßnahmen und Datenverarbeitungen ausgestaltet.
  • Klare Dokumentation schützt Unternehmen: Rollen, Entscheidungswege und Verantwortlichkeiten bei Datenverarbeitungen sollten präzise festgehalten werden, um Fehlzuschreibungen (und Geldbußen) zu vermeiden.
Trennstrich bunt

US Supreme Court begrenzt Providerhaftung im Urheberrecht | Hannah Kercz

Die Haftung von Internetprovidern für Urheberrechtsverletzungen ihrer Nutzer zählt seit Jahren zu den zentralen Fragen des digitalen Urheberrechts. Mit einer aktuellen Entscheidung (Cox Communications v. Sony Music Entertainment, No. 24-171) hat der US Supreme Court nun ein Grundsatzurteil gefällt und die Haftung von Internet Service Providern deutlich eingeschränkt. Der US Supreme Court stellte klar: Wer lediglich Internetzugang bereitstellt, haftet nicht automatisch für Urheberrechts­verletzungen seiner Nutzer. Dies selbst dann nicht, wenn bekannt ist, dass einzelne Nutzer den Dienst für illegales Filesharing verwenden.

Ausgangspunkt des Verfahrens war ein langjähriger Rechtsstreit zwischen dem Internetprovider Cox Communications und mehreren Musikunternehmen rund um Sony Music. Rechteinhaber hatten Cox wiederholt darauf hingewiesen, dass über bestimmte Kundenanschlüsse urheberrechtswidrig Musikdateien geteilt würden. Zwar leitete Cox Warnungen weiter und sperrte vereinzelt Nutzerkonten, aus Sicht der Musikindustrie geschah dies jedoch nicht konsequent genug. Eine Jury sprach Sony daher zunächst Schadenersatz in Höhe von einer Milliarde US-Dollar zu. Während ein Berufungsgericht die sogenannte “vicarious liability” (stellvertretende Haftung) bereits ablehnte, hielt es eine Haftung als “contributory infringer” (Beitragstäter) weiterhin für möglich.

Der US Supreme Court widersprach nun auch dieser Haftungstheorie. Nach Ansicht des US Supreme Court reicht bloße Kenntnis darüber, dass einzelne Nutzer Urheberrechtsverletzungen begehen, nicht aus, um eine Haftung des Internet Service Providers zu begründen. Erforderlich sei vielmehr, dass der Internet Service Provider beabsichtigt habe, dass seine Dienstleistung für Rechtsverletzungen genutzt wird. Dies könne etwa dann vorliegen, wenn ein Dienst gezielt auf Urheberrechtsverletzungen zugeschnitten sei oder Nutzer aktiv dazu angestiftet würden. Cox habe jedoch lediglich Internetzugang bereitgestellt – einen Dienst mit zahlreichen legitimen und wirtschaftlich bedeutenden Nutzungsmöglichkeiten. Gerade deshalb fehle die notwendige “Intention”, um eine Haftung als Beitragstäter zu begründen.

Die Entscheidung ist weit über den Einzelfall hinaus bedeutsam. Der US Supreme Court grenzt damit die sekundäre Haftung digitaler Dienstleister deutlich ein und stärkt die Position klassischer Zugangsprovider. Rechteinhaber werden künftig stärker darauf verwiesen, direkt gegen die eigentlichen Verletzer vorzugehen, anstatt Infrastrukturbetreiber in Anspruch zu nehmen. Für Internet Service Provider bedeutet das Urteil mehr Rechtssicherheit, gleichzeitig dürfte die Entscheidung aus Sicht der Rechteinhaber kritisch gesehen werden, da die praktische Durchsetzung von Ansprüchen gegen einzelne Nutzer oftmals erheblich schwieriger ist.

Auch wenn die Entscheidung auf US-amerikanischem Urheberrecht beruht, dürfte sie international aufmerksam verfolgt werden. Die Frage, in welchem Umfang Plattformen und technische Dienstleister für Rechtsverletzungen Dritter haften, beschäftigt derzeit Rechtsordnungen weltweit – insbesondere vor dem Hintergrund zunehmender Plattformökonomie, KI-Anwendungen und digitaler Content-Nutzung.

Key Take-Aways

  • Bloße Kenntnis genügt nicht: Internetprovider haften nicht allein deshalb, weil sie wissen, dass einzelne Nutzer Urheberrechtsverletzungen begehen.
  • Haftung erfordert gezielte Förderung: Eine Beitragstäterschaft setzt voraus, dass die Dienstleistung gezielt auf Rechtsverletzungen ausgerichtet ist oder diese aktiv gefördert werden.
  • Mehr Schutz für Infrastrukturbetreiber: Das Urteil stärkt die Position von ISPs und begrenzt die sekundäre Haftung digitaler Dienstleister in den USA deutlich.
Trennstrich bunt

EDSA: Leitlinien zur Datenverarbeitung für wissenschaftliche Forschung vor | Amina Kovacevic

Mit den neuen Guidelines 1/2026 on processing of personal data for scientific research purposes hat der Europäische Datenschutzausschuss (EDSA) jüngst einen zentralen Baustein für die Anwendung der DSGVO im Forschungsumfeld vorgelegt. Das 66‑seitige Dokument (derzeit in öffentlicher Konsultation bis zum 25. Juni) präzisiert zahlreiche offene Fragen an der Schnittstelle zwischen Datenschutz und Wissenschaft und wird die Praxis von Forschungseinrichtungen, Pharmaunternehmen und Technologieentwicklern gleichermaßen prägen.

Erstmals grenzt der EDSA detailliert ab, wann eine Verarbeitung tatsächlich unter das Forschungsprivileg der DSGVO fällt. Dafür formuliert er sechs Schlüsselindikatoren: ein methodisch-systematisches Vorgehen, Einhaltung ethischer Standards, Verifizierbarkeit der Ergebnisse, wissenschaftliche Unabhängigkeit, ein Erkenntnisinteresse zum gesellschaftlichen Wohlergehen und wissenschaftlichen Mehrwert.

Nur wenn diese Faktoren erfüllt sind, liegt “genuine scientific research” vor. Nicht erfasst sind zB Marketing- oder Produkt­analysen, die nicht auf Erkenntnisgewinn, sondern auf Marktverhalten abzielen. Die Definition schafft damit mehr Rechtssicherheit und zugleich mehr Verantwortung für Verantwortliche, ihre Projekte datenschutzrechtlich sauber einzuordnen.

Die Leitlinien bestätigen zudem, dass die Weiterverarbeitung personenbezogener Daten zu Forschungszwecken grundsätzlich als mit dem ursprünglichen Zweck vereinbar ist. Eine gesonderte Zweckkompatibilitätsprüfung ist nicht erforderlich.

Doch der EDSA betont: Zweckvereinbarkeit ist nicht gleich Rechtmäßigkeit. Für jede neue Forschungsnutzung muss eine tragfähige Rechtsgrundlage bestehen – häufig eine Einwilligung, ein berechtigtes Interesse oder die Wahrnehmung einer Aufgabe im öffentlichen Interesse. Die ursprüngliche Rechtsgrundlage reicht nicht automatisch aus, wenn Daten etwa ursprünglich auf Basis einer spezifischen Einwilligung erhoben wurden.

Besondere Aufmerksamkeit widmet der EDSA der seit Jahren kontrovers diskutierten Frage der Einwilligung im Forschungskontext.

Beide Modelle (Broad Consent für einen definierten Forschungsbereich und Dynamic Consent für einzelne Projekte) werden anerkannt, allerdings an klare Bedingungen geknüpft: Eine hinreichende Eingrenzung des Forschungszwecks (“medizinische Forschung im Bereich Onkologie” statt bloß “für Forschungszwecke”) sowie begleitende Schutzmaßnahmen wie laufende Information, ethische Kontrolle oder technische Consent-Dashboards.

Die Praxis profitiert von dieser Klarstellung, muss aber Investitionen in Governance‑Strukturen und transparente Kommunikationsmechanismen einplanen.

Die Leitlinien machen deutlich: Betroffenenrechte gelten auch im Forschungskontext fort und bilden die Grenze der Privilegierungen.

Einschränkungen wie beispielsweise beim Recht auf Löschung oder Widerspruch, sind nur zulässig, wenn deren Ausübung die Forschungsziele unmöglich macht oder ernsthaft beeinträchtigt. Eine pauschale Berufung auf Forschungszwecke genügt nicht. Verantwortliche müssen diese Abwägungen dokumentieren und durch geeignete Garantien wie Pseudonymisierung, Datenminimierung oder sichere Verarbeitungsumgebungen nach Art 89 DSGVO flankieren.

In Verbundforschung und Public‑Private‑Partnerships schafft der EDSA mehr Klarheit: Wer an der Festlegung der Forschungszwecke und wesentlichen Mittel mitwirkt, ist regelmäßig (gemeinsam) Verantwortlicher, unabhängig davon, ob er selbst Daten verarbeitet. Damit rückt die vertragliche Gestaltung nach Art 26 DSGVO stärker in den Fokus. Förderstellen oder reine Prüfinstitutionen bleiben dagegen in der Regel außerhalb der Verantwortlichkeit.

Über klassische Anonymisierung und Pseudonymisierung hinaus nennt der EDSA eine Reihe von Best‑Practice‑Maßnahmen: Privacy‑Enhancing Technologies, föderierte Datenbanken, vertragliche Re‑Identifikationsverbote, Ethik‑Reviews sowie spezielle Umgebungen für sichere Datenverarbeitung. Besonders bei genetischen oder biometrischen Daten gelten erhöhte Anforderungen, weil auch Familienangehörige mittelbar betroffen sein können.

Der Entwurf der Guidelines 1/2026 schafft Klarheit über Reichweite und Grenzen der datenschutzrechtlichen Privilegierungen und bringen eine neue Systematik in zentrale Auslegungsfragen.

Für Forschungseinrichtungen und Unternehmen bedeutet das mehr strukturelle Prüf‑ und Dokumentationspflichten, aber auch eine belastbare Grundlage für innovative Projekte, insbesondere im Bereich KI, Gesundheitsforschung und Datenanalyse.

Die öffentliche Konsultation läuft bis zum 25. Juni 2026. Danach wird der EDSA eine finale Fassung verabschieden, die voraussichtlich als maßgeblicher Referenzrahmen für die Forschungspraxis dienen wird.

Key Take-Aways

  • Unternehmen sollen klare Kriterien definieren, wann "wissenschaftliche Forschung" im Sinne der DSGVO vorliegt.
  • Kein Automatismus bei Zweckvereinbarkeit: Rechtmäßigkeit bleibt eigenständig zu prüfen.
  • Broad Consent und Dynamic Consent sind zulässig, aber nur mit flankierenden Schutzmaßnahmen.
  • Betroffenenrechte bleiben zentrales Korrektiv: Einschränkungen nur mit Nachweis der Notwendigkeit und passenden Garantien.
Trennstrich bunt

Selbstbehalt-Gutscheine in der Kfz-Werkstatt – OGH sagt: unlauterer Wettbewerb | Helmut Liebel

Darf eine Kfz-Werkstatt ihren Kunden den Selbstbehalt aus der Kaskoversicherung mittels Gutschein erlassen? Und darf eine Mitbewerberin dagegen klagen, die es vielleicht selbst gar nicht besser macht? Der OGH hat beides mit Beschluss vom 26.03.2026 (4 Ob 115/25b) beantwortet.

Eine große Kfz-Werkstättenkette bot Kunden mit einer Kaskoversicherung einen Gutschein über EUR 150 auf den Selbstbehalt an; einlösbar ab EUR 750 Rechnungssumme bei Lack- und Karosseriereparaturen sowie bei Tausch der Windschutzscheibe. Eine Mitbewerberin klagte auf Unterlassung nach § 1 UWG.

Zwei Fragen standen im Raum: Ist das unlauterer Wettbewerb? Und darf klagen, wer uU selbst nicht sauber agiert?

Kaskoversicherungen ersetzen zumeist die tatsächlich angefallenen Reparaturkosten. Bekommt der Kunde einen Rabatt, sinkt auch die Leistung des Versicherers. Die Werkstatt kann daran nichts ändern: Sie kann weder den Versicherungsvertrag abändern noch den Selbstbehalt einseitig kürzen – das wäre ein unzulässiger Vertrag zulasten des Versicherers.

Der OGH ging im konkreten Fall davon aus, dass Reparaturrechnungen über tatsächlich nicht geschuldete Beträge an Kunden ausgestellt wurden, weil diese den Selbstbehalt-Rabatt nicht enthielten. Dabei erblickte der OGH ein unlauteres Ausnutzen fremden Vertragsbruchs, weil die Kunden sich dadurch den im Kasko-Versicherungsvertrag geregelten Selbstbehalt teilweise ersparen.

Und der Einwand „Die anderen machen es doch auch”? Dieser zieht nicht: Selbst wenn der Beklagte die Branchenüblichkeit der Selbstbehalt-Gutscheine belegen hätte können, ändert dies nichts an der Klagslegitimation des Mitbewerbers. Das UWG schützt den fairen Wettbewerb als solchen. Auch wer selbst nicht makellos ist, kann daher auf Unterlassung klagen. Der „unclean hands”-Einwand läuft ins Leere.

  • Auch ein Mitbewerber, der selbst nicht sauber agiert, kann auf Unterlassung klagen.
  • Branchenüblichkeit ist kein Rechtfertigungsgrund; selbst wenn sie belegt werden könnte, hindert das die Untersagung nicht.
  • Gutscheine, die den Selbstbehalt verdeckt erlassen, sind unlauteres Ausnutzen fremden Vertragsbruchs.
  • Unternehmen sollten diese und vergleichbare Gutscheinmodelle jetzt überprüfen.
Trennstrich bunt

KI-Transparenz: Die Kommission wird konkret | Gernot Fritz

Die Europäische Kommission hat am 8. Mai 2026 den Entwurf ihrer Leitlinien zu den Transparenzpflichten nach Art 50 KI-VO veröffentlicht. Noch sind die Leitlinien nicht final und rechtlich nicht verbindlich. Praktisch zeigen sie aber sehr deutlich, wie die Kommission die neuen Pflichten versteht.

Im Kern geht es um vier Fälle: direkte Interaktionen mit KI-Systemen, KI-generierte oder manipulierte Inhalte, Emotionserkennung und biometrische Kategorisierung sowie Deepfakes und bestimmte KI-generierte Texte zu Themen von öffentlichem Interesse. Die Leitlinien machen daraus kein bloßes „Labeling-Thema“. Transparenz wird als operative Pflicht verstanden: technisch, organisatorisch und entlang der Wertschöpfungskette.

Besonders wichtig ist die Trennung zwischen Anbietern und Betreibern. Anbieter müssen vor allem bei interaktiven KI-Systemen und bei der technischen Kennzeichnung KI-generierter Inhalte ansetzen. Betreiber stehen insbesondere bei Emotionserkennung, biometrischer Kategorisierung, Deepfakes und bestimmten Textveröffentlichungen im Fokus. Ein KI-System kann daher mehrere Transparenzpflichten auslösen und unterschiedliche Akteure gleichzeitig betreffen.

Bei interaktiven KI-Systemen wird die Kommission deutlich: Wer mit einem KI-System spricht, schreibt oder sonst unmittelbar interagiert, muss grundsätzlich darüber informiert werden. Das betrifft etwa Chatbots, Voice Assistants, AI Agents, KI-Avatare oder Social Bots. Hinweise nur in AGB, Dokumentationen oder versteckten Menüs reichen nicht. Die Information muss im Nutzungskontext erfolgen, klar erkennbar sein und spätestens bei der ersten Interaktion bereitgestellt werden.

Eng versteht die Kommission auch die Ausnahme für „offensichtliche“ KI-Interaktionen. Entscheidend ist nicht, ob technisch versierte Nutzer die KI erkennen könnten. Maßgeblich sind Nutzungskontext und Zielgruppe. Bei realistischen Avataren, KI-Companions oder immersiven Anwendungen wird man sich daher nicht leicht auf Offensichtlichkeit stützen können.

Technischer wird es bei KI-generierten oder manipulierten Inhalten. Anbieter entsprechender Systeme müssen Outputs maschinenlesbar kennzeichnen und zugleich deren Erkennbarkeit ermöglichen. Beides gehört zusammen: Ein Wasserzeichen ohne praktikable Erkennung genügt ebenso wenig wie ein Erkennungstool ohne entsprechende Markierung. Die Lösung muss effektiv, interoperabel, robust und zuverlässig sein. Gleichzeitig erkennt die Kommission an, dass es derzeit keine Einzellösung gibt, die diese Anforderungen in jedem Fall erfüllt.

Nicht jede Bearbeitung löst aber eine Kennzeichnungspflicht aus. Reine Standardbearbeitungen wie Rechtschreibkorrekturen, Formatkonvertierungen, technische Kompression oder kleinere Farbkorrekturen sollen grundsätzlich nicht erfasst sein. Anders ist es bei substantiellen Änderungen, etwa bei KI-generierten Übersetzungen und Zusammenfassungen, dem Hinzufügen oder Entfernen wesentlicher Bildinhalte oder sonstigen Änderungen, die Bedeutung, Stil oder Aussage wesentlich beeinflussen.

Für künstlerische, kreative, satirische oder fiktionale Inhalte bleibt die Transparenzpflicht bestehen, wird aber abgeschwächt. Der Hinweis auf den KI-Ursprung muss dann so erfolgen, dass Darstellung und Genuss des Werks nicht unangemessen beeinträchtigt werden. Das ist vor allem für Film, Werbung, Gaming, Kunst und Satire relevant. Ein Freibrief ist das aber nicht: Persönlichkeitsrechte, Datenschutz, Urheberrecht und sonstige Rechte Dritter bleiben zu beachten.

Praktisch relevant ist auch die Ausnahme für KI-generierte oder manipulierte Texte, die die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse informieren. Keine Offenlegungspflicht des KI-Ursprungs besteht, wenn der Text einer echten menschlichen Prüfung oder redaktionellen Kontrolle unterzogen wurde und eine natürliche oder juristische Person redaktionelle Verantwortung übernimmt. Reine Rechtschreibprüfung oder oberflächliches Abnicken genügt der Kommission nicht.

Die Leitlinien zeigen damit eine klare Richtung: Art 50 KI-VO verlangt nicht „irgendwo“ einen Disclaimer. Unternehmen müssen prüfen, wo KI-Systeme eingesetzt werden, welche Outputs entstehen, wer Anbieter oder Betreiber ist und wie Transparenz rechtzeitig, sichtbar, verständlich und technisch belastbar umgesetzt wird.

Key Take-Aways

  • Unternehmen sollten ihre KI-Anwendungen jetzt darauf prüfen, ob Art 50 KI-VO überhaupt ausgelöst wird: Chatbots, AI Agents, Deepfakes, KI-generierte Texte und biometrische Systeme sind besonders relevant.
  • Transparenz muss dort erfolgen, wo Nutzer sie wahrnehmen. Hinweise nur in AGB, Datenschutzhinweisen oder technischen Dokumentationen werden in der Regel nicht genügen.
  • Für Medien, Marketing und Kommunikation ist die Ausnahme für redaktionell geprüfte KI-Texte besonders wichtig. Sie setzt aber echte menschliche Kontrolle und klare Verantwortlichkeit voraus.
Trennstrich bunt

ctrl + law – ordnet ein, was rechtlich relevant wird.

Klar, kompakt, praxisnah.

Jetzt abonnieren und dranbleiben.