Zurück

ctrl + law | Ausgabe 10

10.03.2026

ctrl + law – KI im Alltag und neue Leitplanken im Verbraucherschutz | Gernot Fritz

Mit der zehnten Ausgabe erreicht ctrl + law ein kleines Jubiläum – zweistellig und weiterhin im Zwei-Wochen-Takt am Puls des digitalen Rechts.

Seit mittlerweile zehn Ausgaben ordnen wir alle 14 Tage aktuelle Entwicklungen im Digital-, IP- und Datenschutzrecht ein und beleuchten, was neue Entscheidungen, Leitlinien und Regulierungsvorhaben für die Praxis bedeuten.

Die aktuelle Ausgabe von ctrl + law zeigt zwei Entwicklungen, die das digitale Recht derzeit besonders prägen: Einerseits wird der Einsatz von KI immer alltäglicher – und damit auch rechtlich konkreter. Andererseits verschärfen Gerichte und Behörden weiterhin die Anforderungen im Verbraucherrecht.

Im ersten Themenblock steht KI in ihren praktischen Einsatzformen im Mittelpunkt. Die Beiträge zeigen, dass die rechtlichen Fragen längst nicht mehr nur theoretischer Natur sind. Voice-Transcription-Tools verdeutlichen, dass hinter scheinbar einfachen Funktionen komplexe Datenverarbeitungen stehen – insbesondere wenn Sprachdaten zusätzlich für Modelltraining genutzt werden. Gleichzeitig machen neue Leitlinien zur agentischen KI deutlich, dass autonome Systeme mit komplexen Datenflüssen neue Anforderungen an Governance, Dokumentation und menschliche Aufsicht stellen.

Auch im Immaterialgüterrecht bleibt der menschliche Beitrag zentral: Die US-Rechtsprechung bestätigt erneut, dass rein KI-generierte Inhalte ohne menschliche kreative Leistung keinen urheberrechtlichen Schutz genießen. Parallel dazu zeigt der neue Leitfaden der Wettbewerbszentrale, dass auch im Marketing der Einsatz generativer KI keine rechtliche „Abkürzung“ darstellt: Unternehmen bleiben für die Inhalte verantwortlich und müssen insbesondere Transparenz- und Irreführungsrisiken im Blick behalten.

Schließlich zeigt der Beitrag zur Vertragsgestaltung unter dem AI Act, dass sich viele Compliance-Anforderungen künftig unmittelbar in Vertrags­beziehungen entlang der KI-Wertschöpfungskette widerspiegeln werden.

Der zweite Themenblock widmet sich aktuellen Entwicklungen im Verbraucherrecht. Der EuGH präzisiert das Widerrufsrecht im Fernabsatz und zeigt, dass auch Nachtragsvereinbarungen per E-Mail neue Widerrufsrechte auslösen können. Der OGH wiederum macht deutlich, dass Bonus- und Loyalitätsprogramme rechtlich eng mit dem zugrunde liegenden Vertragsverhältnis verbunden sein können und daher strengen Transparenzanforderungen unterliegen.

Die Beiträge dieser Ausgabe zeigen damit eine gemeinsame Linie: Neue Technologien und Geschäftsmodelle bewegen sich weiterhin innerhalb bestehender rechtlicher Strukturen – doch deren praktische Anwendung wird zunehmend präzisiert.

ctrl + law ordnet ein, wo sich diese Leitplanken konkretisieren – und was das für Unternehmen bedeutet.

Wir wünschen eine anregende Lektüre.

Trennstrich bunt

KI-Transkription: Wenn Stimmen zu Daten werden | Tanja Pfleger

KI-basierte Voice-Transcription-Tools gehören inzwischen zum Standard vieler digitaler Arbeitsumgebungen: Meetings werden protokolliert, Abstimmungen zusammengefasst, Aufgaben automatisch verteilt. Genau deshalb lohnt der Blick auf die aktuelle Einordnung der spanischen Datenschutzbehörde (AEPD) zu “AI voice transcription”: In einem Blogbeitrag erinnert sie daran, dass bei solchen Systemen nicht nur Audio in Text umgewandelt wird, sondern regelmäßig eine Vielzahl personenbezogener Daten verarbeitet wird – darunter Kommunikationsinhalte, Sprachdaten und begleitende Metadaten.

Zentral ist der Ausgangspunkt der AEPD: Auch Sprachaufnahmen können personenbezogene Daten darstellen, wenn eine Person dadurch identifiziert werden kann oder identifizierbar wird (je nach Kontext, verfügbaren Mitteln und Stand der Technik).

In der Praxis wird das Risiko oft unterschätzt, weil Sprachdaten selten isoliert verarbeitet werden. Oft kommen weitere Informationen wie Telefonnummer, IP-Adresse oder App-Nutzungsdaten hinzu, sodass ein Personenbezug schnell hergestellt werden kann.

Besonders wichtig ist die von der AEPD betonte Unterscheidung der Verarbeitungszwecke: Viele Systeme beschränken sich nicht auf die reine Transkription – etwa für ein Meeting-Protokoll –, sondern verwenden Sprachdaten zusätzlich zur Verbesserung der zugrunde liegenden Modelle (etwa für Fine-Tuning oder Training). 

Eine solche Nutzung für Modelltraining ist datenschutzrechtlich nicht automatisch als Auftragsverarbeitung einzuordnen: Wer Sprachdaten für eigene Entwicklungs- oder Trainingszwecke verwendet, kann selbst (Mit-)Verantwortlicher sein; zudem können für Trainingsprozesse auch menschliche Annotatoren eingesetzt werden, die Audioaufnahmen anhören und manuell transkribieren.

Für Unternehmen ergibt sich daraus ein klassischer, oft vernachlässigter Pflichtenkatalog: Klarheit über zusätzliche Verarbeitungsvorgänge und Rollen, belastbare Vertraulichkeits- und Sicherheitsgarantien, Retention-Logik, Datenminimierung (insbesondere bei Metadaten), eingesetzter Sub-Auftragsverarbeiter und Datenstandorte. Auch vertragliche Regelungen zur Nutzung von Daten für Modelltraining können hier eine zentrale Rolle spielen.

Transparenzpflichten beschränken sich dabei nicht auf die Information über eine mögliche Aufzeichnung, sondern auch auf weitere Verarbeitungszwecke wie Analysefunktionen oder Modelltraining. Betroffene sollten daher nachvollziehen können, ob Gespräche transkribiert werden und ob gegebenenfalls auch (weitere) Menschen Zugriff auf die Audioaufnahmen haben.

Auch die Wahl der datenschutzrechtlichen Rechtsgrundlage hängt stark vom jeweiligen Einsatzszenario ab: Je nach Kontext können etwa Vertragserfüllung, berechtigtes Interesse oder Einwilligung in Betracht kommen; insbesondere im Arbeitsverhältnis können jedoch Fragen der Freiwilligkeit von Einwilligungen eine Rolle spielen.

Besondere Aufmerksamkeit erfordern zudem Konstellationen, in denen Systeme aus Sprachdaten weitergehende Rückschlüsse ziehen – etwa auf Emotionen, Gesundheitszustände oder andere sensible Informationen. Dann greifen strengere DSGVO-Vorgaben – und je nach Anwendung kann auch der AI Act relevant werden. So enthält der AI Act etwa Verbote für bestimmte Formen der Emotionserkennung im Arbeits- und Bildungsbereich.

Auch wenn synthetische oder ursprünglich anonymisierte Stimmen unter Umständen nicht in den Anwendungsbereich der DSGVO fallen, bleiben begleitende Metadaten und Kommunikationsinhalte in vielen Fällen weiterhin personenbezogen.

Key Take-Aways

  • Transkription und (Re-)Training sind rechtlich getrennte Zwecke: Rollen, Rechtsgrundlagen und Verträge sollten diese Unterscheidung klar abbilden.
  • Vendor-Check statt Tool-Hype: Datenminimierung, Speicherfristen, Sub-Auftragsverarbeiter, Datenstandorte und „kein Training für eigene Zwecke“ gehören in die Auswahl- und Vertragsprüfung.
  • Vorsicht bei „Insights“: Emotion-/Sentiment-Features können zusätzliche datenschutzrechtliche Anforderungen auslösen und im Arbeitskontext nach dem AI Act sogar gänzlich unzulässig sein.
Trennstrich bunt

Kein Copyright ohne menschliche Kreativität? US-Rechtsprechung bleibt auf Linie | Hannah Kercz

Die urheberrechtliche Einordnung von KI-generierten Inhalten gehört derzeit zu den meistdiskutierten Fragen im internationalen IP-Recht. Am 02. März 2026 entschied der U.S. Supreme Court, einen Fall zur Schutzfähigkeit eines vollständig von künstlicher Intelligenz erzeugten Werkes nicht zur Entscheidung anzunehmen. Ausgangspunkt des Verfahrens war der Informatiker Stephen Thaler, der versucht hatte, für ein von einem KI-System erzeugten Bild mit dem Titel “A Recent Entrance to Paradise” urheberrechtlichen Schutz zu erlangen. Das U.S. Copyright Office hatte die Registrierung abgelehnt, weil das Werk keinen menschlichen Urheber aufweist – eine Grundvoraussetzung des US-Urheberrechts.

Diese Einschätzung war bereits zuvor von zwei Instanzen bestätigt worden. Ein Bundesgericht in Washington (2023) sowie das U.S. Court of Appeals for the District of Columbia Circuit (2025) hielten fest, dass der Copyright Act auf menschliche Urheberschaft zugeschnitten ist und daher rein maschinell erzeugte Werke nicht unter den urheberrechtlichen Schutz fallen. Das U.S. Court of Appeals for the District of Columbia Circuit betonte, dass zentrale Bestimmungen des Gesetzes (etwa zu Autorschaft, Schutzdauer oder Rechteübertragung) ausdrücklich auf natürliche Personen Bezug nehmen und daher eine menschliche kreative Leistung voraussetzen.

Mit der Ablehnung der Fallannahme bleibt diese Rechtsauffassung bestehen. Zwar bedeutet diese Entscheidung keine inhaltliche Stellungnahme zur zugrunde liegenden Rechtsfrage, faktisch bleibt damit jedoch die bisherige Linie der US-Rechtsprechung maßgeblich: Rein KI-generierte Werke genießen derzeit keinen urheberrechtlichen Schutz, solange kein menschlicher kreativer Beitrag erkennbar ist.

Offen bleibt damit weiterhin die praktisch besonders relevante Abgrenzungsfrage, in welchen Konstellationen der Einsatz von KI mit einer ausreichenden menschlichen kreativen Mitwirkung verbunden ist. Gerade bei generativer KI entstehen Inhalte häufig in einem Zusammenspiel zwischen menschlicher Steuerung und maschineller Generierung – etwa durch Prompts, Auswahlentscheidungen, Bearbeitung oder kuratorische Zusammenstellung der Ergebnisse. In solchen Fällen kann nach bisheriger Praxis durchaus Urheberrechtsschutz entstehen, sofern ein hinreichender menschlicher schöpferischer Beitrag vorliegt.

Die Entscheidung verdeutlicht damit vor allem eines: Das bestehende Urheberrecht bleibt weiterhin auf menschliche Kreativität ausgerichtet. Angesichts der zunehmenden Entwicklung generativer KI dürfte jedoch die Frage nach der Rolle menschlicher Mitwirkung im Urheberrecht auch künftig Gegenstand gerichtlicher Entscheidungen und möglicher gesetzgeberischer Anpassungen bleiben.

Key Take-Aways

  • Rein KI-generierte Werke ohne menschlichen kreativen Beitrag genießen nach aktueller US-Rechtsprechung keinen Urheberrechtsschutz.
  • Der U.S. Supreme Court hat die Fallannahme abgelehnt und damit die bisherige Rechtsprechung faktisch bestehen lassen.
  • Entscheidend bleibt die menschliche Mitwirkung: Wird KI lediglich als Werkzeug eingesetzt und trifft der Mensch die maßgeblichen kreativen Entscheidungen, kann weiterhin Urheberrechtsschutz entstehen.
Trennstrich bunt

EuGH: Widerruf nach erbrachter Arbeit(?) | Helmut Liebel, Florian Sagmeister

Eine Berliner Grundstückseigentümerin beauftragte über ihren Architekten ein Gerüstbauunternehmen, ließ das Gerüst monatelang stehen, widerrief beide Verträge erst, als die Arbeiten längst abgeschlossen waren und forderte geleistete Zahlungen zurück. Eine Widerrufsbelehrung hatte sie nie erhalten.

Der EuGH hat dazu am 5. März 2026 (C-564/24Eisenberger Gerüstbau / JK) drei Fragen geklärt, die für die Praxis relevant sind:

Verbraucherstatus entfällt nicht bei Hilfe eines Unternehmers: Wer sich beim Vertragsschluss von einem selbst beauftragten Unternehmer (z.B. einem Architekten) unterstützen lässt, bleibt Verbraucher – und behält sein Widerrufsrecht. Auch dann, wenn dieser den Kontakt angebahnt und den Vertragsinhalt beeinflusst hat.

Nachtragsvereinbarung per E-Mail ist eigener Fernabsatzvertrag: Wird eine Nachtragsvereinbarung über Zusatzleistungen per E-Mail geschlossen, kann sie einen eigenständigen Fernabsatzvertrag darstellen – selbst wenn der Hauptvertrag keiner war (und somit auch kein Widerrufsrecht bestand). Wer also Nachträge über Zusatzleistungen per E-Mail abschließt und keine gesonderte Widerrufsbelehrung erteilt, könnte in die “Widerrufsfalle” tappen.

Widerruf kann Rechtsmissbrauch sein: Zielt ein Verbraucher mit dem Widerruf darauf ab, sich auf Kosten des Unternehmers einen Vorteil zu verschaffen, kann das Rechtsmissbrauch sein. Allein die Ausübung gegen Ende der verlängerten Frist reicht dafür nicht aus. Hierzu ist die Gesamtheit aller objektiven Umstände im konkreten Einzelfall zu prüfen.

Key Take-Aways

  • Architekteneinschaltung beseitigt den Verbraucherstatus nicht – selbst wenn der Architekt auf den Inhalt des Vertrages Einfluss genommen hat.
  • Nachtragsvereinbarung per E-Mail: sorgfältig prüfen, ob der Kunde über das Widerrufsrecht zu belehren ist.
  • Rechtsmissbrauch beim Widerruf ist möglich – aber nur, wenn konkrete Anhaltspunkte dafür vorliegen, dass der Verbraucher die erbrachte Leistung gezielt kostenfrei erlangen wollte.
Trennstrich bunt

AI Act und Vertragsgestaltung – Welche Punkte Anbieter und Betreiber jetzt regeln sollten | Amina Kovacevic

Mit dem AI Act hat die Europäische Union einen umfassenden regulatorischen Rahmen für künstliche Intelligenz geschaffen. Für Unternehmen stellt sich dabei rasch eine praktische Frage: Welche Auswirkungen hat der AI Act auf bestehende und zukünftige Vertragsbeziehungen? Zwar zielen viele Bestimmungen auf interne Compliance-Strukturen ab, zahlreiche Anforderungen betreffen jedoch unmittelbar die Zusammenarbeit verschiedener Akteure entlang der KI-Wertschöpfungskette. In der Praxis wird ein erheblicher Teil der regulatorischen Anforderungen daher über Vertragsbeziehungen umgesetzt werden müssen. Auch wenn viele Verpflichtungen – insbesondere für Hochrisiko-KI-Systeme – erst ab 2. August 2026 gelten, kann es bei längerfristigen Technologie-, Lizenz- oder Integrationsverträgen sinnvoll sein, diese Anforderungen bereits jetzt zu berücksichtigen.

Zentral ist dabei die regulatorische Rollenverteilung. Der AI Act unterscheidet insbesondere zwischen Anbietern und Betreibern von KI-Systemen. Viele der zentralen Verpflichtungen – etwa im Zusammenhang mit Risikomanagement, technischer Dokumentation oder Konformitätsbewertungen – knüpfen an die Rolle des Anbieters an. Gerade bei komplexen Projekten sind jedoch häufig mehrere Unternehmen an Entwicklung, Integration oder Betrieb eines Systems beteiligt. In solchen Konstellationen gewinnt die Frage, wer im Sinne des AI Act tatsächlich als Anbieter gilt und damit die entsprechenden Compliance-Pflichten trägt, erhebliche praktische Bedeutung.

Besonders relevant ist in diesem Zusammenhang Art 25 AI Act. Die Bestimmung trägt dem Umstand Rechnung, dass Anbieter von Hochrisiko-KI-Systemen häufig auf Komponenten, Dienste oder technische Unterstützung Dritter angewiesen sind. Um die Einhaltung der regulatorischen Anforderungen dennoch sicherzustellen, verlangt der AI Act eine schriftliche Vereinbarung zwischen dem Anbieter und den beteiligten Dritten. Diese muss insbesondere regeln, welche Informationen, technischen Zugänge und Unterstützungsleistungen erforderlich sind, damit der Anbieter seine Pflichten erfüllen kann. Kooperationen entlang der KI-Wertschöpfungskette werden daher künftig regelmäßig detaillierte Regelungen zu Informationsflüssen, Dokumentation und Mitwirkungspflichten enthalten müssen.

Eng damit verbunden ist das Risiko von Rollenverschiebungen. Unternehmen können nach dem AI Act auch dann zum Anbieter eines Hochrisiko-KI-Systems werden, wenn sie das System ursprünglich nicht selbst entwickelt haben – etwa wenn sie es unter eigener Marke vertreiben, wesentlich verändern oder seine Zweckbestimmung ändern. In solchen Fällen gehen die Anbieterpflichten auf dieses Unternehmen über. Gerade bei Kooperationen zwischen Technologieanbietern, Integratoren und Anwendern wird es daher entscheidend sein, regulatorische Rollen und Verantwortlichkeiten bereits vertraglich klar festzulegen.

Auch Transparenz- und Betreiberpflichten wirken sich auf die Vertragsgestaltung aus. Anbieter müssen umfangreiche Informationen über Funktionsweise, Leistungsgrenzen und Risiken eines Systems bereitstellen, damit Betreiber ihre eigenen Pflichten erfüllen können. Betreiber wiederum müssen sicherstellen, dass ein System entsprechend der Betriebsanleitung verwendet wird, menschliche Aufsicht gewährleistet ist und bestimmte Protokolle oder Vorfälle dokumentiert werden. In der Praxis werden diese Anforderungen häufig durch vertragliche Nutzungs-, Dokumentations- und Mitwirkungspflichten abgesichert.

Der AI Act wirkt sich damit nicht nur auf technische und organisatorische Compliance-Strukturen aus, sondern auch auf die vertragliche Gestaltung von KI-Projekten. Gerade bei Kooperationen entlang der KI-Wertschöpfungskette wird es zunehmend wichtig sein, regulatorische Rollen, Informationspflichten und Unterstützungsleistungen klar vertraglich zu definieren.

Key Take-Aways

  • AI-Compliance wird zunehmend vertraglich umgesetzt: Viele Anforderungen des AI Act betreffen mehrere Akteure entlang der KI-Wertschöpfungskette und müssen daher auch über Vertragsbeziehungen geregelt werden.
  • Die Rolle des „Anbieters“ ist zentral: Unternehmen können auch durch Re-Branding, wesentliche Änderungen oder Zweckänderungen eines Systems zum Anbieter werden – mit allen damit verbundenen Pflichten.
  • Art 25 AI Act verlangt Kooperation entlang der Wertschöpfungskette: Anbieter und beteiligte Dritte müssen vertraglich regeln, welche Informationen, technischen Zugänge und Unterstützungsleistungen für die Einhaltung der Verordnung erforderlich sind.
  • Transparenz- und Betreiberpflichten wirken sich unmittelbar auf Verträge aus: Dokumentation, bestimmungsgemäße Nutzung, menschliche Aufsicht sowie Melde- und Mitwirkungspflichten werden künftig regelmäßig Gegenstand vertraglicher Regelungen sein.
Trennstrich bunt

Agentische KI und Datenschutz: Leitlinien der AEPD | Fabian Duschnig

Die spanische Datenschutzbehörde (AEPD) veröffentlichte jüngst als eine der ersten europäischen Aufsichtsbehörden umfassende Leitlinien zur agentischen KI (Agentic AI) und nimmt damit eine Vorreiterrolle in der datenschutzrechtlichen Auseinandersetzung mit dieser Technologie ein.

Agentische KI beschreibt Systeme, die typischerweise auf Large Language Models (LLMs) basieren und darauf ausgelegt sind, ein bestimmtes Ziel autonom zu erreichen. Anders als klassische generative KI reagieren solche Systeme nicht nur auf Eingaben, sondern können eigenständig planen, Aufgaben in strukturierte Teilschritte zerlegen und Aktionen über verschiedene Systeme und Dienste hinweg ausführen. Sie nehmen ihre Umgebung wahr, passen ihr Verhalten dynamisch an neue Informationen an und können über längere Zeiträume hinweg aktiv bleiben. Häufig greifen sie dabei auf externe Dienste oder interne Unternehmenssysteme zu und nutzen Memory-Mechanismen, um Erfahrungen zu speichern und daraus zu lernen.

Die AEPD weist darauf hin, dass gerade diese Eigenschaften – Autonomie, Vernetzung, kontinuierliche Interaktion mit der Umgebung sowie adaptive Memory-Funktionen – die Komplexität von Datenverarbeitungen erheblich erhöhen. Agentische Systeme können Daten aus verschiedenen Quellen kombinieren, über mehrere Verarbeitungsschritte hinweg weiterverarbeiten und dabei auch mit externen Dienstleistern oder Webdiensten interagieren. Dadurch entstehen neue Risiken, etwa unkontrollierte Datenflüsse, die Weitergabe personenbezogener Daten an externe Dienste, die Nutzung ungenauer oder veralteter Informationen sowie Manipulations- oder Sicherheitsrisiken.

Vor diesem Hintergrund betont die AEPD, dass der Einsatz agentischer KI eine strukturierte Governance und ein systematisches Risikomanagement erfordert. Organisationen müssen insbesondere die Datenflüsse innerhalb eines agentischen Systems nachvollziehbar dokumentieren, Rollen und Verantwortlichkeiten nach der DSGVO klar bestimmen und bereits in der Designphase prüfen, welche Verarbeitungsschritte tatsächlich erforderlich sind. Auch klassische datenschutzrechtliche Instrumente – etwa Transparenzpflichten, Betroffenenrechte, Verzeichnisse von Verarbeitungstätigkeiten oder Datenschutz-Folgenabschätzungen – müssen an die spezifischen Eigenschaften agentischer Systeme angepasst werden.

Besondere Bedeutung misst die AEPD der menschlichen Aufsicht über agentische Systeme bei. Je nach Einsatzszenario müssen Organisationen festlegen, in welchen Phasen menschliche Kontrolle vorgesehen ist und wie diese effektiv ausgestaltet werden kann. Gleichzeitig fordert die Behörde Mechanismen zur Nachvollziehbarkeit und Auditierbarkeit der durch Agenten ausgeführten Aktionen, etwa durch Logging- und Monitoring-Systeme.

Schließlich unterstreichen die Leitlinien, dass der Einsatz agentischer KI ein interdisziplinäres Verständnis der zugrunde liegenden Technologie erfordert. Verantwortliche und Auftragsverarbeiter müssen die Funktionsweise, Fähigkeiten und Grenzen solcher Systeme verstehen, um fundierte Entscheidungen über ihren Einsatz treffen zu können. Datenschutzbeauftragte spielen hierbei eine zentrale Rolle: Sie müssen nicht nur die rechtlichen Anforderungen bewerten, sondern auch die technische Architektur und die praktischen Risiken solcher Systeme nachvollziehen können.

Eines wird dadurch deutlich: Agentische KI befindet sich noch in einer frühen Entwicklungsphase, bringt jedoch das Potenzial mit sich, komplexe Prozesse weitgehend autonom zu steuern. Gerade deshalb ist eine frühzeitige Auseinandersetzung mit ihren datenschutzrechtlichen Implikationen erforderlich, um Risiken zu beherrschen und gleichzeitig die Chancen dieser Technologie verantwortungsvoll zu nutzen.

Key Take-Aways

  • Agentische KI verändert Datenarchitekturen: Durch Autonomie, Memory-Funktionen und die Interaktion mit externen Diensten entstehen komplexe Datenflüsse und neue Risiken für Transparenz, Datenminimierung und Kontrolle.
  • Governance wird zentral: Organisationen müssen Datenflüsse dokumentieren, Rollen nach der DSGVO klären, menschliche Aufsicht definieren und Monitoring- sowie Audit-Mechanismen implementieren.
  • Datenschutz als Designfrage: Die Leitlinien betonen, dass Datenschutz bei agentischer KI bereits in der Architektur- und Designphase berücksichtigt werden muss – insbesondere durch klare Zweckdefinition, Minimierung der Datenverarbeitung und strukturierte Risikoanalysen.
Trennstrich bunt

Unzulässige Klauseln in Kundenbindungsprogramm eines Versicherungsunternehmens | Laurin Lutz

Der OGH hat sich in einer aktuellen Entscheidung (7 Ob 115/25z) mit mehreren Klauseln eines Kundenbindungsprogramms eines Versicherungsunternehmens befasst. Gegenstand des Verbandsverfahrens war ein Bonusprogramm, das Versicherungsnehmern einen jährlichen Schadenfreibonus auf Basis der gezahlten Versicherungsprämien aus Schaden- und Unfallversicherungen einräumt. Der Bonus betrug – abhängig vom Alter des Versicherungsnehmers – 5 % oder 10 % der relevanten Prämien und war mit einem jährlichen Höchstbetrag begrenzt. Er konnte entweder mit Versicherungsprämien gegengerechnet oder an den Kunden ausbezahlt werden.

Das Programm wurde formal getrennt von den einzelnen Versicherungsverträgen abgeschlossen. Der OGH ging dennoch von einem engen wirtschaftlichen Zusammenhang zwischen dem Bonusprogramm und den zugrunde liegenden Versicherungsverträgen aus. Maßgeblich war insbesondere, dass sich der Bonus unmittelbar an der Höhe der Versicherungsprämien orientierte und eine bestimmte Mindestprämie voraussetzte. Nach Ansicht des Gerichts stellt das Bonusprogramm damit einen wirtschaftlichen Anreiz dar, Versicherungsverträge beim jeweiligen Anbieter abzuschließen oder zu halten. Vor diesem Hintergrund behandelte der OGH das Bonusprogramm und die Versicherungsverträge im Ergebnis als funktionale Einheit.

Eine der beanstandeten Klauseln knüpfte die Teilnahme am Bonusprogramm daran, dass sich der Versicherungsnehmer im Kundenportal registriert und der elektronischen Kommunikation über ein elektronisches Postfach zustimmt. Ohne diese Zustimmung war eine Teilnahme am Programm nicht möglich. Der OGH sah darin einen Verstoß gegen § 5a Abs 1 VersVG, wonach Versicherungsnehmer grundsätzlich frei entscheiden können müssen, ob sie elektronisch oder in Papierform kommunizieren möchten. Die Entscheidung lässt jedoch ausdrücklich offen, ob eine andere Gestaltung (etwa ein Bonus oder Vorteil für Kunden, die sich freiwillig für elektronische Kommunikation entscheiden) zulässig sein könnte.

Eine weitere Klausel sah vor, dass das Unternehmen das Bonusprogramm mit einer Frist von zwölf Wochen zum Monatsletzten kündigen kann. Der OGH qualifizierte dieses uneingeschränkte Kündigungsrecht als problematisch im Hinblick auf § 6 Abs 2 Z 3 KSchG, weil damit eine wesentliche Leistungs­änderung ohne sachliche Voraussetzungen möglich wäre. Entscheidend war dabei auch, dass das Programm unabhängig von den zugrunde liegenden Versicherungsverträgen beendet werden konnte.

Schließlich beanstandete der OGH eine Klausel, die eine Anpassung des Bonus um “maximal 1 %” vorsah. Das Gericht sah darin einen Verstoß gegen das Transparenzgebot des § 6 Abs 3 KSchG, weil unklar blieb, ob damit eine Änderung um einen Prozentwert oder um einen Prozentpunkt gemeint ist. Bei kundenfeindlichster Auslegung wäre auch eine Absenkung um einen Prozentpunkt denkbar, was bezogen auf einen Bonus von 5 % einer Reduktion um 20 % entsprechen würde. Eine solche mögliche Interpretation überschreitet nach Ansicht des Gerichts den Rahmen einer bloß geringfügigen Anpassung.

Die Entscheidung zeigt einmal mehr, dass Bonus- und Loyalitätsprogramme, die an bestehende Vertragsverhältnisse anknüpfen, rechtlich häufig nicht isoliert betrachtet werden, sondern im Zusammenhang mit dem jeweiligen Grundprodukt beurteilt werden. Für die Praxis bedeutet dies vor allem, dass solche Programme sorgfältig mit den zugrunde liegenden Vertragsbeziehungen abgestimmt und insbesondere Anpassungs- oder Kündigungsklauseln klar und transparent formuliert werden sollten.

Key Take-Aways

  • Bonus- und Loyalitätsprogramme können rechtlich eng mit dem zugrunde liegenden Vertragsverhältnis verbunden sein, auch wenn sie formal in separaten Vereinbarungen geregelt sind.
  • Eine Teilnahme an solchen Programmen darf nicht zwingend an die Zustimmung zu elektronischer Kommunikation geknüpft werden (§ 5a Abs 1 VersVG).
  • Einseitige Kündigungs- oder Anpassungsrechte müssen sachlich begründet und ausreichend eingeschränkt sein, um nicht gegen § 6 Abs 2 Z 3 KSchG zu verstoßen.
  • Anpassungsklauseln müssen klar formuliert sein; insbesondere sollte eindeutig zwischen Prozent und Prozentpunkten unterschieden werden, um Transparenzanforderungen zu erfüllen.
Trennstrich bunt

Wettbewerbszentrale veröffentlicht Leitfaden zu KI-generierten Inhalten | Gernot Fritz

Die deutsche Wettbewerbszentrale hat im Februar 2026 einen Leitfaden zu KI-generierten Inhalten veröffentlicht. Ziel des Dokuments ist es, Unternehmen eine praxisnahe Orientierung für den rechtssicheren Einsatz generativer KI insbesondere im Marketing- und Kommunikationsbereich zu geben. Der Leitfaden macht deutlich, dass KI-Tools zwar neue Möglichkeiten für Content-Erstellung, Werbung und Kundenkommunikation eröffnen, ihre Nutzung jedoch weiterhin den allgemeinen Regeln des Lauterkeitsrechts, des Verbraucherrechts und angrenzender Rechtsgebiete unterliegt.

Ausgangspunkt der Wettbewerbszentrale ist dabei eine einfache, aber praxisrelevante Feststellung: Der Einsatz von KI entbindet Unternehmen nicht von ihren rechtlichen Verantwortlichkeiten. Auch wenn Inhalte automatisiert erzeugt werden, bleibt das Unternehmen für deren rechtliche Zulässigkeit verantwortlich. Gerade im Wettbewerbsrecht können sich Risiken insbesondere aus irreführenden Aussagen, unklarer Herkunft von Inhalten oder intransparenten Kommunikationsformen ergeben.

Ein Schwerpunkt des Leitfadens liegt auf der Transparenz gegenüber Verbraucherinnen und Verbrauchern. Werden Inhalte vollständig oder maßgeblich durch KI erzeugt, kann eine Kennzeichnung erforderlich sein, wenn andernfalls ein falscher Eindruck über die Herkunft oder Authentizität der Inhalte entsteht. Dies kann etwa bei automatisiert generierten Produktbewertungen, Testimonials oder scheinbar persönlichen Erfahrungsberichten relevant werden. Maßgeblich ist dabei stets, ob die konkrete Darstellung geeignet ist, Verbraucher über den tatsächlichen Ursprung oder die Art der Kommunikation zu täuschen.

Der Leitfaden weist außerdem darauf hin, dass KI-generierte Inhalte auch inhaltliche Risiken bergen können. Generative Systeme können fehlerhafte, ungenaue oder unbelegte Aussagen produzieren. Werden solche Inhalte ungeprüft in Werbung oder Unternehmenskommunikation übernommen, können sich daraus schnell lauterkeitsrechtliche Probleme ergeben – etwa wenn Produkteigenschaften übertrieben dargestellt oder objektiv falsche Informationen verbreitet werden.

Darüber hinaus erinnert die Wettbewerbszentrale daran, dass beim Einsatz generativer KI regelmäßig auch weitere Rechtsgebiete berührt werden können. Dazu zählen insbesondere urheberrechtliche Fragen, etwa wenn KI-generierte Inhalte auf geschützten Trainingsdaten beruhen oder bestehende Werke nachahmen, sowie datenschutzrechtliche Anforderungen, wenn personenbezogene Daten in die Erstellung von Inhalten einfließen.

Für die Praxis empfiehlt der Leitfaden daher insbesondere klare interne Prozesse beim Einsatz von KI-Tools. Dazu gehören etwa menschliche Kontrollmechanismen für generierte Inhalte, transparente Kommunikationsformen gegenüber Verbraucherinnen und Verbrauchern sowie klare Verantwortlichkeiten für den Einsatz entsprechender Systeme.

Der Leitfaden versteht sich damit weniger als neue Rechtsquelle, sondern als praxisorientierte Zusammenfassung bestehender rechtlicher Anforderungen für den Einsatz generativer KI. Für Unternehmen bietet er vor allem einen strukturierten Überblick über typische Risiken und zeigt auf, welche Punkte bei der Nutzung KI-generierter Inhalte im Wettbewerb besonders beachtet werden sollten.

Key Take-Aways

  • KI ändert nichts an der Verantwortlichkeit: Unternehmen bleiben auch bei automatisiert erzeugten Inhalten für deren rechtliche Zulässigkeit verantwortlich.
  • Transparenz kann erforderlich sein: KI-generierte Inhalte sollen gekennzeichnet werden, wenn sonst ein falscher Eindruck über Herkunft oder Authentizität entsteht.
  • Generative KI erfordert Kontrolle: Fehlerhafte oder irreführende Inhalte können lauterkeitsrechtliche Risiken auslösen – menschliche Prüfung bleibt daher zentral.
Trennstrich bunt

ctrl + law – ordnet ein, was rechtlich relevant wird.

Klar, kompakt, praxisnah.

Jetzt abonnieren und dranbleiben.