Editorial: ctrl + law – Das Update zu IP, IT & Digitalisierung | Andreas Zellhofer, Gernot Fritz
Wer in der digitalen Welt arbeitet, kennt den Reflex: ctrl + z für den schnellen Rückschritt, ctrl + f für den Überblick – und ab jetzt ctrl + law, wenn es um rechtliche Orientierung in einer zunehmend technisierten Welt geht.
Mit ctrl + law starten wir ein neues, zweiwöchentlich erscheinendes Update zu aktuellen Entwicklungen an der Schnittstelle von Technologie, Daten und Recht. Wir wählen aus, was wirklich relevant ist: von neuen Entscheidungen und Behördenleitlinien über Marktentwicklungen bis zu vertiefenden „Deep Dives“. Kurz, prägnant, praxisnah – und mit einem klaren Ziel: Komplexe Themen verständlich machen und Handlungsoptionen aufzeigen.
In dieser ersten Ausgabe spannen wir den Bogen vom Start des AI Act Service Desk und der Single Information Platform über die steigende Digital Enforcement-Praxis bis hin zu neuen Impulsen im Markenrecht, urheberrechtlichen Fragen beim Einsatz von KI, und einer aktuellen DSGVO-Entscheidung des BVwG. Unterschiedliche Themen – vereint durch eine gemeinsame Frage: Wie lässt sich rechtliche Klarheit in einem immer dichteren digitalen Umfeld schaffen?
ctrl + law soll dafür einen Beitrag leisten. Nicht mit Tastenkombinationen, sondern mit fundierter Orientierung.
EU startet AI Act Service Desk und Single Information Platform | Tanja Pfleger
Die Europäische Kommission hat am 8. Oktober 2025 den AI Act Service Desk und die Single Information Platform vorgestellt. Beide Instrumente sollen Unternehmen, Behörden und Forschungseinrichtungen beim Übergang in den neuen europäischen Rechtsrahmen für Künstliche Intelligenz unterstützen.
Der AI Act (Verordnung (EU) 2024/1689) trat am 1. August 2024 in Kraft. Manche Pflichten gelten bereits, der Großteil der neuen Verpflichtungen – insbesondere für Hochrisiko-KI-Systeme, Konformitätsbewertungen und Transparenzanforderungen – werden ab August 2026 anwendbar sein. In der Zwischenzeit stehen Orientierung und intensive Vorbereitung im Vordergrund. Genau hier setzen die neuen EU-Anlaufstellen an.
Die Single Information Platform bündelt offizielle Informationen, Leitfäden, FAQs und künftig auch delegierte Rechtsakte zum AI Act. Über ein interaktives Portal („AI Act Explorer“) lassen sich Artikel, Anhänge und Erwägungsgründe durchsuchen. Ein Compliance-Checker hilft Unternehmen einzuschätzen, ob ihr System in den Anwendungsbereich fällt.
Der AI Act Service Desk dient als Kontaktstelle der Kommission. Er soll Fragen zu Rollen (Anbieter, Betreiber, Importeur), Risikoklassifizierung, Pflichten oder Ausnahmen beantworten und Rückmeldungen aus der Praxis an das künftige AI Office weiterleiten. Damit entsteht erstmals ein strukturierter Kommunikationskanal zwischen Wirtschaft und EU-Verwaltung.
Die Kommission betont, dass die Plattform informativ, aber nicht rechtsverbindlich ist. Sie soll den Vollzug erleichtern, ersetzt jedoch keine eigene Compliance-Bewertung. Bis 2027 wird sie schrittweise um technische Standards, nationale Behördenportale und das Register für Hochrisiko-KI-Systeme erweitert.
Key Take-Aways
- Wichtige Tools für Unternehmen, um die eigenen Prozesse, Rollen und Risikoklassifizierungen vorzubereiten.
- Die Tools sind allerdings nur informativ, nicht rechtsverbindlich – die endgültige Verantwortung bleibt beim Unternehmen.
Markenschutz neu denken – Form und Klang gewinnen an Bedeutung | Hannah Kercz
Marken sind heute vielfältiger denn je – und das Markenrecht zieht nach: Zwei aktuelle Entscheidungen zeigen, dass längst nicht mehr nur Worte und Logos geschützt werden können, sondern auch Formen und Klänge. Für Unternehmen eröffnet das neue Möglichkeiten ihre Markenidentität umfassend abzusichern.
In Österreich ist die ikonische Almdudler-Glasflasche nun offiziell als 3D-Marke beim Österreichischen Patentamt registriert. Was wie eine Formalität klingt, ist tatsächlich bemerkenswert: Nur selten wird einer Verpackungsform Markenschutz gewährt, da dafür deutliche Unterscheidungskraft nachzuweisen ist. Durch ein umfangreiches Gutachten konnte belegt werden, dass die leere, unbedruckte Glasflasche von einer breiten Mehrheit der Befragten spontan mit Almdudler assoziiert wird. Das verdeutlicht, wie stark durchdachtes Produktdesign zur Wiedererkennbarkeit beiträgt, und wie sich konsequente Markenpflege letztlich auch rechtlich auszahlt.
Parallel dazu hat das Europäische Gericht (EuG) eine Entscheidung getroffen, die den Schutz kreativer Markenformen erweitert. Dieses erkannte einer Klangmarke im Verkehrssektor – nämlich dem aus einer kurzen Melodie mit vier aufeinanderfolgenden Tönen bestehenden Jingle der Berliner Verkehrsbetriebe – Unterscheidungskraft zu. Die Beschwerdekammer des Europäischen Amtes für geistiges Eigentum hatte Markenschutz noch verweigert. Nach Auffassung des EuG genügt bereits ein Mindestmaß an Eigenständigkeit, damit ein Klang markenfähig ist – vorausgesetzt, er kann die betriebliche Herkunft kennzeichnen. Das EuG unterstrich, dass sich Markenkommunikation verändert hat: Kurze Jingles seien heute im Transportsektor gängig, um eine akustische Identität zu schaffen. Selbst eine einfache Tonfolge kann also markenrechtlich geschützt sein, wenn sie originell und einprägsam ist.
Zwei Entscheidungen, eine klare Botschaft: Markenrecht entwickelt sich weiter. Wer Markenidentität ganzheitlich denkt (von der Form bis zum Klang), schafft nachhaltige Differenzierung und ist dem Wettbewerb einen Schritt voraus.
Key Take-Aways:
- Weiter denken: Marken sind mehr als Logos – auch Formen oder Klänge können geschützt werden.
- Einprägsamkeit zählt: Was Unterscheidungskraft schafft, kann Markenschutz genießen.
- Jetzt aktiv werden: Wer seine kreative Handschrift schützen lässt, sichert auch seinen Wettbewerbsvorteil.
Urheberrecht vs. KI: Getty verliert vor dem High Court | Hannah Kercz, Tanja Pfleger
Mit einem brandaktuellen Urteil des High Court of England and Wales vom 4. November 2025 in der Rs Getty Images (US) Inc & Others v Stability AI Limited liegt eine der ersten großen Entscheidungen zum Verhältnis von Urheberrecht und generativer KI vor. Getty hatte Stability AI vorgeworfen, ihre Bilder ohne Zustimmung zum Training von Stable Diffusion verwendet zu haben. Mangels Nachweis, dass das Training im Vereinigten Königreich stattfand, musste ein Großteil der Ansprüche (darunter jene auf Urheber- und Datenbankrechtsverletzung) zurückgezogen werden.
Der High Court prüfte schließlich nur noch, ob die generierten Inhalte unzulässige Kopien der Getty-Bilder darstellen. Ergebnis: nein. Stable Diffusion speichert keine Bilder, sondern nur statistische Muster – damit fehlt es an einer Vervielfältigung geschützter Werke.
Aus österreichischer Sicht wäre das Ergebnis wohl ähnlich: Eine Urheberrechtsverletzung liegt nur vor, wenn eine KI urheberrechtlich geschützte Werke speichert, wiedergibt oder in relevanter Weise nutzt. Zwar sind auch flüchtige Vervielfältigungen (etwa im Arbeitsspeicher oder Zwischenspeicher) grundsätzlich urheberrechtsrelevant, können aber unter engen Voraussetzungen (z. B. rein technisch bedingt und vorübergehend) zulässig sein. Fehlende Transparenz im Trainingsprozess bleibt das größte Risiko für Rechteinhaber: Ohne Nachvollziehbarkeit kann nicht ausgeschlossen werden, dass KI-generierte Inhalte Rechte Dritter verletzen.
Das Urteil zeigt zugleich den Regelungsbedarf auf internationaler Ebene. Während der High Court keine umfassende Einsicht in Trainingsdaten oder -architektur hatte, verpflichtet der EU AI Act Anbieter sogenannter General-Purpose-AI-Modelle künftig zu Transparenz: technische Dokumentation, Copyright-Policy, öffentliche Trainingszusammenfassung und Angaben zu Datenquellen. Zusammen mit der DSGVO entsteht damit ein Rahmen, der Urheber- und Datenschutzrechte strukturell besser absichern soll – und das, was im britischen Getty-Fall noch fehlte, künftig einfordern lässt: Nachvollziehbarkeit.
Key Take-Aways:
- Fehlende Transparenz im KI-Trainingsprozess bleibt das zentrale Risiko für Rechteinhaber.
- Der AI Act schafft erstmals Strukturen, um Urheber- und Datenschutzrechte bei KI-Modellen durchsetzbarer zu machen.
Digitalgesetze: Sanktionen erreichen neue Dimensionen | Felix Hohenthanner
Die europäische und internationale Behördenpraxis zieht deutlich an: auch in Österreich. Jüngst verhängte die Datenschutzbehörde (DSB) gegen IKEA Österreich ein Bußgeld von EUR 1,5 Millionen wegen übermäßiger Videoüberwachung – eine der bislang höchsten DSGVO-Strafen hierzulande.
Während in Österreich bislang nur vereinzelt Bußgelder in Millionenhöhe ausgesprochen wurden (etwa EUR 16 Millionen gegen die Österreichische Post oder EUR 8 Millionen gegen REWE) zeigt der Blick nach Europa: Das Niveau steigt. In anderen Mitgliedstaaten sind dreistellige Millionenbeträge gegen große Tech-Unternehmen längst keine Ausnahme mehr.
Zudem greifen zunehmend auch die neuen Digitalregulierungen wie der Digital Markets Act (DMA) und der Digital Services Act (DSA). Diese erweitern den Anwendungsbereich und verschärfen die Risiken erheblich. So wurde Apple 2025 mit einer Strafe von EUR 500 Millionen wegen eingeschränkter App-Store-Wahlfreiheit belegt, Meta musste EUR 200 Millionen für sein „Consent-or-Pay“-Modell zahlen, und gegen X/Twitter läuft ein DSA-Verfahren wegen Versäumnissen bei der Moderation illegaler Inhalte mit einer drohenden Strafe von bis zu EUR 1 Milliarde.
Auch klassische Datenschutzverstöße bleiben im Fokus. Experian NL wurde mit EUR 2,7 Millionen wegen fehlender Rechtsgrundlage bestraft, Capita UK mit EUR 9,18 Millionen wegen Sicherheitsmängeln und Carrefour FR mit EUR 1,5 Millionen wegen technischer Defizite.
Selbst außerhalb der EU nimmt der Druck zu: Unter der UK-GDPR und auch in Australien wurden zuletzt mehrfach empfindliche Millionenstrafen verhängt.
Key Take-Aways:
- Die Ära moderater Bußgelder ist vorbei.
- Unternehmen sollten ihre Compliance-Strukturen nicht nur auf die DSGVO, sondern auch auf die neuen digitalen Regulierungen wie DMA, DSA oder den kommenden AI Act ausrichten.
BVwG: Informelle Anfrage kann Auskunftsbegehren sein | Gernot Fritz
Mit einer kürzlich veröffentlichten Entscheidung stellte das Bundesverwaltungsgericht klar: Schon eine informelle Anfrage kann ein Auskunftsbegehren nach Art. 15 DSGVO darstellen – selbst wenn sie nicht ausdrücklich als solches bezeichnet wird.
Im konkreten Fall hatte ein Rechtsanwalt im Namen seines Mandanten per E-Mail gefragt, ob dieser von einem öffentlich bekannt gewordenen Datenleck betroffen sei und welche Daten betroffen wären. Der Verantwortliche antwortete, es liege keine Meldung an die Datenschutzbehörde vor, die betroffene Person sei daher nicht betroffen. Eine weitergehende Auskunft nach Art 15 DSGVO erteilte er nicht. Die Datenschutzbehörde sah darin kein formelles Auskunftsbegehren und wies die Beschwerde ab.
Das BVwG beurteilte dies anders: Maßgeblich sei, wie ein objektiver Empfänger die Anfrage verstehen müsse. Wer nach der Betroffenheit und den betroffenen Daten frage, wolle Auskunft über die Verarbeitung personenbezogener Daten – und löse damit die Pflichten nach Art 15 DSGVO aus. Der Verantwortliche hätte daher binnen der gesetzlichen Frist Auskunft erteilen müssen.
Die Entscheidung zeigt: Nicht die Form, sondern der Inhalt und erkennbare Zweck der Anfrage sind entscheidend. Schon eine sachlich formulierte Nachfrage kann den Fristenlauf nach Art 12 Abs 3 DSGVO auslösen – auch wenn sie von einem Rechtsanwalt stammt und nicht das Wort „Auskunftsbegehren“ enthält.
Key Take-Aways:
- Kein Formzwang: Auch ohne die Bezeichnung „Auskunftsbegehren“ kann eine Anfrage ein solches darstellen. Entscheidend ist der Inhalt bzw. der erkennbare Zweck der Anfrage, nicht deren Bezeichnung oder Wortwahl.
- Organisation: Ein klarer interner Prozess zur Erkennung solcher Begehren verhindert Fristversäumnisse und Beschwerden.
Künstliche Intelligenz in der Softwareentwicklung: Zwischen Innovation und Urheberrecht | Hannah Kercz
Künstliche Intelligenz (KI) ist längst fixer Bestandteil der Softwareentwicklung. Systeme wie ChatGPT oder GitHub Copilot schreiben Code, optimieren Programme und liefern in Sekunden Lösungsvorschläge, für welche Menschen oftmals Stunden brauchen würden. Aus rechtlicher Sicht lautet die zentrale Frage in diesem Zusammenhang: “Wem stehen die Rechte am von einer KI generierten Code zu?”
Nach dem österreichischen Urheberrechtsgesetz (UrhG) ist ein Werk nur schutzfähig, sofern es eine eigentümliche geistige Schöpfung einer natürlichen Person darstellt. KI kann als technisches System demnach kein Werk im Sinne des UrhG schaffen. Wer also Code mittels KI generiert, hält in den meisten Fällen an diesem wohl kein Urheberrecht, da kein urheberrechtlich geschütztes Werk entsteht. Wer auf KI-generierten Code setzt, kann sich daher nicht auf urheberrechtlichen Schutz berufen.
Ein besonderes Augenmerk sollte außerdem auf jene Daten gelegt werden, auf welche KI-Systeme bei der Erzeugung ihrer Inhalte zurückgreifen: Ob und in welchem Umfang diese Daten seitens der KI rechtmäßig verwendet wurden, ist nämlich häufig unklar. Dadurch entsteht das hohe Risiko, dass KI-Systeme urheberrechtlich geschützte Fragmente oder markante, bereits bestehende oder, wenn auch nur durch Zufall ähnliche, Codezeilen reproduzieren und dem jeweiligen Nutzer als “neues” Ergebnis liefern. In den meisten Fällen informieren KI-Systeme den Nutzer nicht abschließend die Quellen der von ihnen genutzten Daten – und genau darin besteht das erhebliche rechtliche Risiko: Wird ein von einem KI-System generierter Code vom Nutzer in weiterer Folge ohne weitere Prüfung verwendet, besteht die Gefahr, dass dabei in fremde Urheberrechte, Lizenzen oder sonstige Schutzrechte Dritter rechtswidrig eingegriffen wird. Unternehmen, die KI-Ergebnisse ungeprüft übernehmen, laufen daher Gefahr, unwissentlich gegen Rechte Dritter zu verstoßen – mit potenziell weitreichenden haftungsrechtlichen Konsequenzen.
Genau aus diesen Gründen sollten Unternehmen den Einsatz von KI in der Softwareentwicklung klar regeln. Es ist sinnvoll, klare interne Richtlinien zu erarbeiten, die insbesondere festlegen (i) welche KI-Systeme im Unternehmen genutzt werden dürfen, (ii) wie mit generiertem Code umzugehen ist und (iii) welche Prüf- und Freigabeprozesse vor einer Nutzung von Code erforderlich sind. Ebenso wichtig ist es, den Einsatz von KI auch vertraglich gegenüber sämtlichen Vertragspartnern (Kunden, etc.) offenzulegen und Haftungs- und Gewährleistungsklauseln entsprechend anzupassen. Nur wer den Umgang mit KI intern steuert und extern absichert, kann die Vorteile dieser Technologie nutzen, ohne erhebliche rechtliche Risiken einzugehen.
Künstliche Intelligenz revolutioniert die Softwareentwicklung. Das entbindet Unternehmen jedoch nicht von ihrer rechtlichen Sorgfaltspflicht. Nur wer die urheberrechtlichen Risiken kennt und gezielt adressiert, kann KI rechtssicher einsetzen.
Key Take-Aways:
- Rechtliche Grenzen kennen: KI-generierter Code ist in der Regel nicht urheberrechtlich geschützt – und kann gleichzeitig bestehende Rechte Dritter verletzen.
- Organisation: Interne Richtlinien, Prüf- und Freigabeprozesse sind entscheidend, um Risiken zu erkennen und Haftung zu vermeiden.
- Verträge anpassen: Der Einsatz von KI sollte auch in externen Verträgen transparent offengelegt und durch passende Haftungs- und Gewährleistungsklauseln abgesichert werden.
ctrl + law – Ausgabe 1 war nur der Anfang.
Mehr Insights, mehr Kontext, mehr Klarheit folgen in Kürze.
Jetzt anmelden und informiert bleiben.
