ctrl + law | Ausgabe 19

14.07.2026

ctrl + law – Dynamik braucht Kontrolle | Gernot Fritz

Mit der neunzehnten Ausgabe von ctrl + law rückt eine Entwicklung in den Mittelpunkt, die alle Bereiche des Digitalrechts prägt: Digitale Systeme werden schneller und schwerer vorhersehbar. Umso wichtiger werden klare Prozesse, Dokumentation und wirksame Kontrolle.

Das zeigen die neuen EDSA-Leitlinien zum Web Scraping für generative KI. Öffentlich zugängliche Daten sind kein rechtsfreier Rohstoff. Wer sie für KI-Training nutzt, muss Auswahlkriterien, Datenminimierung, Transparenz und Rechtsgrundlage mitdenken.

Im Bereich Cybersecurity erhöht KI den Takt. Der neue Aktionsplan der EU-Kommission schafft keine unmittelbar neuen Pflichten, zeigt aber die Richtung: Schwachstellenmanagement, Incident Response und Lieferkettenkontrolle müssen mit automatisierten Angriffen Schritt halten.

Beim DMA bestätigt das EuG den weiten Spielraum der Kommission. Apples App Stores bilden trotz gerätespezifischer Unterschiede einen einheitlichen zentralen Plattformdienst. Für Gatekeeper bleibt wenig Raum, Pflichten durch technische Aufspaltung zu begrenzen.

Der EuGH stellt zudem klar, dass der Rückforderungsanspruch eines Unternehmers nach einem unwirksamen Vertrag bereits ab der ersten Beanstandung durch den Verbraucher verjähren kann. Beschwerden sind daher als möglicher Fristenauslöser zu dokumentieren.

Besonders sichtbar wird der Kontrollverlust bei Deepfakes. Das OLG Wien zieht eine klare Grenze: Realistisch wirkende, nicht gekennzeichnete KI-Bilder können den Bildnisschutz verletzen.

Schließlich zeigt die Sky-Entscheidung des EuGH, dass digitale Angebote nach ihrer tatsächlichen Funktionsweise zu beurteilen sind. Dynamische Streaming-Abonnements sind regelmäßig digitale Dienstleistungen. Das Widerrufsrecht entfällt daher nicht automatisch mit der ersten Nutzung.

Die gemeinsame Klammer dieser Ausgabe lautet: Je dynamischer digitale Geschäftsmodelle, Datenverarbeitungen und Angriffs­szenarien werden, desto weniger reichen statische Klauseln und formale Checklisten. Gefragt sind Governance-Strukturen, die Risiken früh erkennen, Entscheidungen dokumentieren und Prozesse laufend anpassen.

Und weil digitale Realität keine ctrl + law Pausen kennt, haben wir am E+H News Portal laufend nachgeschärft:

Wir wünschen eine anregende Lektüre.

Trennstrich bunt

Web Scraping für generative KI: EDSA zeigt erstmals einen DSGVO-Compliance-Pfad | Amina Kovacevic

Mit der neuen Guidelines 03/2026 zum Web Scraping im Kontext generativer KI hat der Europäische Datenschutzausschuss (EDSA) erstmals umfassend Stellung dazu genommen, wie personenbezogene Daten aus öffentlich zugänglichen Internetquellen für das Training generativer KI-Modelle datenschutzkonform verarbeitet werden können.

Die Leitlinien sind rechtlich nicht bindend. Sie dürften jedoch erheblichen Einfluss auf die zukünftige Auslegung der DSGVO durch Datenschutzbehörden und Gerichte haben. Für Unternehmen, die generative KI entwickeln oder entsprechende Datensätze nutzen, geben sie erstmals einen konkreten Rahmen vor, wie Web Scraping datenschutzrechtlich ausgestaltet werden sollte.

Dass Informationen öffentlich im Internet abrufbar sind, bedeutet nach Auffassung des EDSA nämlich gerade nicht, dass sie beliebig für KI-Trainingszwecke verwendet werden dürfen. Auch öffentlich zugängliche Daten bleiben personenbezogene Daten, sofern einzelne Personen identifizierbar sind. Die DSGVO gilt daher von der Datenerhebung über die Speicherung bis hin zum Training des KI-Modells.

Besonders deutlich wird dies bei den Anforderungen an Zweckbindung und Datenminimierung. Der EDSA verlangt, dass Unternehmen bereits vor Beginn des Scrapings genau festlegen, welche Daten für den jeweiligen Zweck tatsächlich benötigt werden. Untargeted Scraping, also das weitgehend unkontrollierte Durchsuchen großer Teile des Internets, birgt nach Ansicht des EDSA erhebliche Risiken, weil häufig nicht mehr nachvollziehbar ist, welche personenbezogenen Daten letztlich erfasst werden. Stattdessen sollen möglichst präzise Auswahlkriterien definiert und unnötige Daten bereits vor der Erhebung ausgeschlossen werden.

Auch bei der Transparenz verfolgt der EDSA einen pragmatischen Ansatz: Zwar besteht grundsätzlich eine Informationspflicht gegenüber den betroffenen Personen, bei großflächigem Web Scraping kann eine individuelle Information jedoch unmöglich oder mit unverhältnismäßigem Aufwand verbunden sein. In solchen Fällen kann eine öffentlich zugängliche Datenschutzerklärung ausreichen. Diese sollte möglichst detailliert erläutern, aus welchen Quellen Daten erhoben werden, zu welchen Zwecken sie verarbeitet werden und wie Betroffene ihre Rechte ausüben können.

Besonders praxisrelevant sind die Ausführungen zur Datenminimierung. Das EDSA empfiehlt Unternehmen unter anderem, soweit möglich synthetische Daten zu verwenden, sensible Datenkategorien technisch herauszufiltern, Websites mit überwiegend besonders schutzwürdigen Inhalten für Minderjährige auszuschließen sowie Internetseiten vom Scraping auszuschließen, die sich mittels robots.txt, ai.txt oder CAPTCHA ausdrücklich gegen automatisiertes Scraping aussprechen. Nach der Datenerhebung sollen personenbezogene Daten anonymisiert oder zumindest pseudonymisiert werden.

Als Rechtsgrundlage wird in der Praxis häufig das berechtigte Interesse nach Art 6 (1) lit f DSGVO herangezogen. Der EDSA macht jedoch deutlich, dass dies keine pauschale Rechtfertigung für Web Scraping darstellt. Vielmehr ist eine sorgfältige Interessenabwägung erforderlich. Dabei spielen insbesondere die berechtigten Erwartungen der betroffenen Personen, die Art der Quelle, die Sensibilität der Daten sowie die vorgesehenen technischen und organisatorischen Schutzmaßnahmen eine zentrale Rolle. Je stärker Unternehmen Risiken durch geeignete Maßnahmen reduzieren, desto eher kann die Interessenabwägung zugunsten des Verantwortlichen ausfallen.

Schließlich erinnern die Guidelines daran, dass für besondere Kategorien personenbezogener Daten zusätzlich ein Ausnahmetatbestand nach Art 9 DSGVO erforderlich ist. Die bloß zufällige Erhebung sensibler Daten entbindet Unternehmen nicht von ihren datenschutzrechtlichen Pflichten. Vielmehr sollen technische Maßnahmen bereits verhindern, dass solche Daten überhaupt in Trainingsdatensätze aufgenommen werden.

Die Leitlinien verdeutlichen damit den regulatorischen Maßstab: Nicht das Web Scraping als solches steht im Fokus der Datenschutzbehörden, sondern dessen konkrete Ausgestaltung. Unternehmen müssen künftig nachvollziehbar dokumentieren können, warum bestimmte Daten erhoben werden, welche Schutzmaßnahmen implementiert wurden und weshalb die Verarbeitung datenschutzrechtlich gerechtfertigt ist. Wer generative KI entwickelt oder entsprechende Datensätze nutzt, sollte Web Scraping daher als eigenständigen Compliance-Prozess in seine KI-Governance integrieren.

Key Take-Aways

Trennstrich bunt

KI und Cybersecurity: Europas neuer Wettlauf gegen die Zeit | Tanja Pfleger

Die Europäische Kommission hat am 7. Juli 2026 ihren Action Plan on Cybersecurity and Artificial Intelligence vorgestellt. Der Aktionsplan reagiert auf eine Entwicklung, die Unternehmen längst spüren: Künstliche Intelligenz verändert die Cybersicherheit in beide Richtungen: Sie hilft bei der Schwachstellenerkennung, Angriffserkennung und Incident Response, kann sogleich aber Angriffe automatisieren, skalieren und beschleunigen. Die Kommission macht deutlich, dass bestehende Cybersecurity-Pflichten künftig vor dem Hintergrund KI-gestützter Angriffsszenarien verstanden und umgesetzt werden müssen.

Der Aktionsplan baut auf dem bestehenden EU-Rechtsrahmen auf – insbesondere auf dem AI Act, dem Cyber Resilience Act, der NIS2-Richtlinie, DORA und dem Cyber Solidarity Act.

Im Zentrum stehen drei Stoßrichtungen. Erstens will die EU fortgeschrittene KI-Modelle auf Cybersecurity-Risiken prüfen und zugleich für legitime Sicherheitszwecke leichter zugänglich machen. Dafür soll eine europäische Evaluierungskapazität für KI-Modelle aufgebaut werden, die auch Cybersecurity-Risiken umfasst. Kommission und ENISA sollen bis Ende 2026 eine europäische Blaupause mit Kriterien und sicheren Verfahren für einen solchen Zugang entwickeln.

Zweitens soll die EU-Cyberlandschaft auf KI-gestützte Angriffe vorbereitet werden. Besonders deutlich wird das beim Schwachstellenmanagement: Wenn KI Sicherheitslücken schneller findet, müssen Unternehmen ihre Prozesse zur Bewertung, Priorisierung und Behebung von Schwachstellen deutlich beschleunigen. ENISA soll dazu ab dem dritten Quartal 2026 Leitlinien, Empfehlungen und Best Practices für den Schutz vor KI-gestützten Bedrohungen sowie für die sichere Integration von KI in Cybersecurity-Prozesse bereitstellen.

Drittens will die Kommission europäische KI-Lösungen für die Cybersicherheit schneller in die Praxis bringen. Im Mittelpunkt steht eine EU Grand Challenge zur KI-gestützten Schwachstellenbehebung: Unternehmen, Forschungs­einrich­tungen, Betreiber kritischer Infrastruktur und Open-Source-Communities sollen gemeinsam Lösungen entwickeln und unter realistischen Bedingungen testen. Zusätzlich sollen AI Factories und künftige Gigafactories Rechenkapazität bereitstellen, um fortgeschrittene KI-Modelle auf europäischer Infrastruktur zu testen, zu trainieren und einzusetzen.

Für Unternehmen bedeutet das vor allem: Cybersecurity muss mit der Geschwindigkeit KI-gestützter Angriffe Schritt halten. Risikomanagement, Schwachstellenbehebung, Lieferketten­kontrolle, Secure-by-Design und Incident Response müssen daher stärker auf automatisierte Angriffsszenarien ausgerichtet werden. Wer künftig Cyberrisiken bewertet, muss auch Prompt Injection, adversarial attacks, Daten- und Modellvergiftung sowie automatisierte Schwachstellensuche berücksichtigen. Besonders relevant ist das für Unternehmen in kritischen Sektoren, Finanzunternehmen, Hersteller digitaler Produkte, Anbieter digitaler Infrastruktur und Unternehmen mit einem hohem Open-Source-Anteil.

Key Take-Aways

Trennstrich bunt

EuG: Gatekeeper-Status von Apple bestätigt – App Store und iOS unterliegen dem DMA | Fabian Duschnig

Mit Urteil vom 8. Juli 2026 hat das Gericht der Europäischen Union (EuG) in den verbundenen Rechtssachen T-1079/23, T-1080/23 und T-214/24 sämtliche Klagen von Apple gegen seine Benennung als Torwächter (Gatekeeper) im Sinne des Digital Markets Act (DMA) sowie gegen die Beschlüsse der Europäischen Kommission zur iMessage-Marktuntersuchung abgewiesen bzw. als unzulässig verworfen.

Unternehmen, die zentrale Plattformdienste betreiben und aufgrund ihrer Größe und Marktstellung als wichtiges Zugangstor zwischen gewerblichen Nutzern und Endnutzern fungieren, können von der Europäischen Kommission als Torwächter benannt werden. Mit der Benennung sind umfangreiche Verhaltenspflichten verbunden, die faire und bestreitbare digitale Märkte gewährleisten sollen. Hierzu zählen unter anderem Interoperabilitätsverpflichtungen, Transparenzanforderungen sowie das Verbot bestimmter Formen der Selbstbevorzugung.

Die Europäische Kommission hatte Apple am 5. September 2023 als Torwächter für den App Store, das Betriebssystem iOS und den Browser Safari benannt. Gleichzeitig leitete sie eine Marktuntersuchung ein, um zu prüfen, ob iMessage einen nummernunabhängiger interpersoneller Kommunikationsdienst (NIICS) als zentraler Plattformdienst im Sinne des DMA darstellt. Im Februar 2024 entschied die Kommission, iMessage nicht als zentralen Plattformdienst und damit Apple insoweit nicht als Torwächter zu benennen, hielt jedoch an der Einstufung von iMessage als NIICS fest. Apple erhob daraufhin Klage gegen den Benennungsbeschluss sowie gegen die Beschlüsse über die Einleitung und den Abschluss der Marktuntersuchung.

Das EuG bestätigte die Auffassung der Kommission, dass die fünf App Stores von Apple einen einzigen zentralen Plattformdienst darstellen. Ungeachtet gerätespezifischer Unterschiede verfolgten sämtliche App-Store-Varianten denselben Zweck, nämlich Softwareentwickler und Endnutzer zusammenzuführen und den Vertrieb von Anwendungen zu ermöglichen.. Die von Apple geltend gemachten Unterschiede seien lediglich gerätebezogener Natur und rechtfertigten keine Aufspaltung in mehrere eigenständige Plattformdienste.

Auch die von Apple erhobene Rechtswidrigkeitseinrede gegen Art 6 Abs 7 DMA, der Torwächtern Interoperabilitätsverpflichtungen auferlegt, erklärte das Gericht für unzulässig. Die Vorschrift bilde weder die Rechtsgrundlage des Benennungsbeschlusses noch bestehe zwischen ihr und dem angefochtenen Beschluss ein hinreichender rechtlicher Zusammenhang.

Die Klagen gegen die Beschlüsse zur iMessage-Marktuntersuchung verwarf das Gericht ebenfalls als unzulässig. Die Einstufung von iMessage als NIICS entfalte keine verbindlichen Rechtswirkungen, da iMessage nicht als zentraler Plattformdienst benannt worden sei und daraus keine unmittelbaren Verpflichtungen nach dem DMA folgten.

Mit der Entscheidung bestätigt das EuG den weiten Beurteilungsspielraum der Europäischen Kommission bei der Anwendung des DMA, insbesondere bei der Abgrenzung zentraler Plattformdienste. Für Unternehmen schafft das Urteil  zusätzliche Klarheit über die Kriterien der Gatekeeper-Benennung nach dem DMA. Gegen das Urteil kann innerhalb von zwei Monaten und zehn Tagen nach Zustellung ein auf Rechtsfragen beschränktes Rechtsmittel beim Gerichtshof der Europäischen Union eingelegt werden.

Key Take-Aways

Trennstrich bunt

EuGH: Verjährung nach unwirksamem Verbrauchervertrag | Florian Krumpl

Wann beginnt die Verjährungsfrist für den Rückforderungsanspruch eines Unternehmers, wenn ein Verbrauchervertrag wegen missbräuchlicher Klauseln nichtig ist? Mit Urteil vom 2. Juli 2026 in der Rechtssache Ścierbek (C-261/25 und C-262/25) hat der Europäische Gerichtshof (EuGH) diese Frage unionsrechtlich eingeordnet.

Ausgangspunkt waren polnische Fremdwährungskreditverträge, insbesondere sogenannte CHF-Kredite. Polnische Gerichte hatten solche Verträge wegen missbräuchlicher Klauseln für nichtig erklärt. In der Folge verlangten die betroffenen Banken von den Verbrauchern die Rückzahlung der ursprünglich ausgezahlten Kreditbeträge. Strittig war dabei nicht nur, ob ein solcher Rückforderungsanspruch besteht, sondern vor allem, ab wann seine Verjährungsfrist zu laufen beginnt.

Der EuGH stellt klar: Art 6 Abs 1 und Art 7 Abs 1 der Klauselrichtlinie stehen einer nationalen Auslegung nicht entgegen, nach der die Verjährungsfrist für den Rückforderungsanspruch des Unternehmers bereits zu jenem Zeitpunkt beginnt, zu dem der Verbraucher gegenüber dem Unternehmer erstmals die Bindung an die beanstandeten Klauseln in Frage stellt. Die Frist muss also nicht erst mit der gerichtlichen Nichtigerklärung des Vertrags beginnen.

Entscheidend ist für den EuGH, dass der Unternehmer ab der ersten Beanstandung weiß oder jedenfalls wissen kann, dass der Vertrag möglicherweise wegen missbräuchlicher Klauseln nichtig ist und daraus Rückabwicklungsansprüche entstehen können. Ab diesem Zeitpunkt ist es ihm zumutbar, seine Rechte zu prüfen und gegebenenfalls geltend zu machen. Eine spätere Anknüpfung erst an die gerichtliche Nichtigerklärung wäre unionsrechtlich nicht zwingend geboten.

Damit balanciert der EuGH mehrere Interessen: Einerseits darf der Verbraucherschutz nicht dadurch ausgehöhlt werden, dass Verbraucher über unbestimmte Zeiträume hinweg Rückforderungsansprüchen des Unternehmers ausgesetzt bleiben. Andererseits wird dem Unternehmer nicht von vornherein die Möglichkeit genommen, eigene Ansprüche aus der Rückabwicklung eines nichtigen Vertrags geltend zu machen. Maßgeblich bleibt, dass die nationalen Verjährungsregeln die Grundsätze der Effektivität, Äquivalenz, Verhältnismäßigkeit und Rechtssicherheit wahren.

Die Entscheidung fügt sich in die umfangreiche EuGH-Judikatur zu den Rechtsfolgen nichtiger Verbraucherverträge ein, die in den letzten Jahren stark durch CHF-Kredit-Fälle in Mittel- und Osteuropa geprägt wurde. Im Mittelpunkt stand dabei häufig die Perspektive der Verbraucher: Wann verjähren ihre Rückforderungsansprüche und welche Folgen hat die Nichtigkeit des Vertrags für sie? Nun beleuchtet der EuGH stärker die Unternehmerseite und bestätigt, dass auch deren Ansprüche verjährungsrechtlich früh an die erste konkrete Beanstandung des Verbrauchers geknüpft werden dürfen.

Für die österreichische Praxis ist die Entscheidung vor allem mittelbar relevant. Sie zeigt, wie der EuGH im Kontext der Rückabwicklung nichtiger Verbraucherverträge das Spannungsverhältnis zwischen effektivem Verbraucherschutz, Rechtssicherheit und unternehmerischem Rechtsschutz austariert. Unternehmen sollten Verbraucherbeanstandungen daher nicht nur als Compliance-Signal verstehen, sondern auch als möglichen verjährungsrechtlichen Startpunkt. Wer Einwände gegen Vertragsklauseln erhält, sollte diese dokumentieren, rechtlich prüfen und mögliche Folgeansprüche frühzeitig mitdenken.

Key Take-Aways

Trennstrich bunt

Deepfakes vor Gericht | Hannah Kercz

Die Nutzung künstlicher Intelligenz ermöglicht mittlerweile die Erstellung täuschend echt wirkender Bilder realer Personen: Sogenannte “Deepfakes” stellen das Persönlichkeits- und Urheberrecht damit regelmäßig vor neue Herausforderungen. Mit Urteil vom 29. April 2026 (2 R 178/25y) hatte das OLG Wien erstmals Gelegenheit, sich mit dem rechtlichen Rahmen solcher KI-generierten Bildnisse auseinanderzusetzen.

Dem Verfahren lagen mehrere von einem Medienunternehmen mittels KI erzeugte Bildmontagen zugrunde, die einen bekannten Publizisten mit künstlich veränderten Gesichtsausdrücken zeigten und im Zusammenhang mit einer Berichterstattung genutzt wurden. Die Bilder vermittelten den Eindruck echter Fotografien, waren jedoch künstlich erstellt und nicht als KI-generiert gekennzeichnet. Das Medienunternehmen berief sich unter anderem auf die Meinungs-, Presse- und Kunstfreiheit sowie darauf, dass es sich lediglich um satirische Darstellungen gehandelt habe.

Dieser Argumentationslinie folgte das Oberlandesgericht Wien nicht. Es stellte klar, dass die veröffentlichten Bilder weder erkennbare Satire noch eine erkennbare Karikatur darstellen. Für den durchschnittlichen Betrachter sei vielmehr nicht ersichtlich, dass die Gesichtszüge des Abgebildeten künstlich verändert wurden. Gerade darin liege die Besonderheit von Deepfakes: Sie vermitteln den Eindruck authentischer Aufnahmen und können dadurch die Kontrolle einer Person über ihr eigenes Erscheinungsbild erheblich beeinträchtigen. Nach Auffassung des Oberlandesgerichts Wien verletzt bereits die Veröffentlichung eines realistisch wirkenden und nicht gekennzeichneten KI-Bildes die berechtigten Interessen des Abgebildeten nach § 78 UrhG. Einer umfassenden Interessenabwägung zwischen Persönlichkeitsschutz und Meinungsfreiheit bedürfe es in einem solchen Fall grundsätzlich nicht.

Besondere Bedeutung misst das Oberlandesgericht Wien auch dem europäischen AI Act bei. Dieser sieht künftig eine Kennzeichnungspflicht für realistisch wirkende KI-generierte oder manipulierte Inhalte vor. Zwar war diese Verpflichtung im Anlassfall noch nicht anwendbar, das Oberlandesgericht Wien wertete sie jedoch bereits als Ausdruck des unionsrechtlichen Grundgedankens, wonach Deepfakes für die Öffentlichkeit erkennbar sein müssen. Die fehlende Kennzeichnung verstärke das Risiko einer Täuschung und unterstreiche die Rechtswidrigkeit der Veröffentlichung.

Die Entscheidung zählt zu den ersten österreichischen Urteilen, die sich ausdrücklich mit KI-generierten Deepfakes befassen, und dürfte für Medienunternehmen ebenso wie für Unternehmen mit Marketing- oder Social-Media-Aktivitäten richtungsweisend sein. Sie verdeutlicht, dass der Einsatz künstlicher Intelligenz bei der Bildbearbeitung keine rechtliche Sonderstellung begründet. Wer realistisch wirkende KI-Bilder von Personen veröffentlicht, sollte daher nicht nur die Vorgaben des AI Acts im Blick behalten, sondern insbesondere sorgfältig prüfen, ob dadurch Persönlichkeitsrechte verletzt werden.

Key Take-Aways

Trennstrich bunt

EuGH: Streaming-Abos sind digitale Dienstleistungen | Gernot Fritz

Der EuGH hat eine für Streaminganbieter und andere digitale Abonnementmodelle zentrale Frage geklärt: Ein Streamingdienst ist regelmäßig keine bloße Bereitstellung „digitaler Inhalte“, sondern eine „digitale Dienstleistung“, wenn das Angebot einen dynamischen Charakter aufweist, der über die zuverlässige Bereitstellung bestimmter Inhalte hinausgeht (C-234/25Sky Österreich). Die Einordnung entscheidet darüber, ob Verbraucher ihr Widerrufsrecht bereits mit Beginn der Nutzung verlieren können.

Ausgangspunkt war ein Verfahren zwischen Sky Österreich und dem Verein für Konsumenteninformation. Sky verlangte beim Online-Abschluss die Zustimmung, bereits während der 14-tägigen Widerrufsfrist mit der Vertragserfüllung zu beginnen, verbunden mit der Bestätigung, dass dadurch das Widerrufsrecht verloren gehe.

Diese Gestaltung ist bei Verträgen über digitale Inhalte nach Art 16 Abs 1 lit m der Richtlinie 2011/83/EU (Verbraucherrechte-Richtlinie) grundsätzlich möglich. Für digitale Dienstleistungen gilt diese Ausnahme jedoch nicht. Bei ihnen bleibt das Widerrufsrecht während der Widerrufsfrist grundsätzlich bestehen.

Für die Abgrenzung kommt es nach dem EuGH weder auf die Übertragungstechnik noch auf die Vertragsdauer an. Streaming, Download und fortlaufender Zugang können sowohl bei digitalen Inhalten als auch bei digitalen Dienstleistungen vorkommen. Entscheidend ist vielmehr, wie stark der Anbieter während der Vertragslaufzeit an der konkreten Leistungserbringung beteiligt bleibt.

Für eine digitale Dienstleistung sprechen insbesondere ein laufend veränderter Inhaltskatalog, personalisierte Empfehlungen, Wiedergabe- oder Favoritenlisten sowie Funktionen, die sich am Nutzerverhalten orientieren. Ein Streaming-Abonnement ist daher nicht als Summe einzelner Filme oder Sendungen zu betrachten. Maßgeblich ist das Gesamtangebot aus Inhalten, technischer Infrastruktur und fortlaufender Anpassung.

Für Anbieter hat das unmittelbare praktische Konsequenzen. Checkout-Prozesse und Widerrufsbelehrungen dürfen nicht pauschal davon ausgehen, dass das Widerrufsrecht bereits mit dem ersten Stream entfällt. Auch eine ausdrückliche Zustimmung des Verbrauchers zum sofortigen Leistungsbeginn reicht bei einer digitalen Dienstleistung nicht aus, um das Widerrufsrecht vollständig auszuschließen.

Das bedeutet jedoch nicht, dass Verbraucher den Dienst während der Widerrufsfrist kostenlos nutzen können. Haben sie ausdrücklich verlangt, dass die Leistung sofort beginnt, kann der Anbieter bei einem späteren Widerruf nach Art 14 Abs 3 der Verbraucherrechte-Richtlinie eine verhältnismäßige Vergütung verlangen.

Diese Vergütung muss nicht in jedem Fall rein zeitanteilig berechnet werden. Wer ein Abonnement gezielt abschließt, um während der Widerrufsfrist ein besonders wertvolles Sportereignis oder eine neue Serienstaffel anzusehen, kann auch nach dem wirtschaftlichen Wert der tatsächlich genutzten Inhalte belastet werden. Als Orientierung kann etwa der Marktpreis eines vergleichbaren Einzelabrufs dienen.

Anbieter sollten daher nicht nur ihre Vertragsbedingungen, sondern auch ihre Abrechnungs- und Nachweissysteme überprüfen. Sie müssen nachvollziehen können, wann der Verbraucher den sofortigen Leistungsbeginn verlangt hat, welche Inhalte genutzt wurden und wie eine dafür verlangte Vergütung sachlich und verhältnismäßig berechnet wird.

Die Entscheidung betrifft nicht nur klassische Streamingplattformen. Auch andere digitale Abonnements mit laufend aktualisierten Inhalten, Personalisierung oder interaktiven Funktionen können als digitale Dienstleistungen einzustufen sein. Je dynamischer und nutzerbezogener das Angebot ausgestaltet ist, desto weniger lässt sich ein sofortiger Verlust des Widerrufsrechts rechtfertigen.

Key Take-Aways