Zurück

ctrl + law | Ausgabe 11

24.03.2026

ctrl + law – Zwischen Regulierung und Umsetzung | Gernot Fritz

Mit der elften Ausgabe erreicht ctrl + law bleibt der Fokus klar: Die rechtlichen Leitplanken für den Einsatz von KI werden nicht nur dichter, sondern auch konkreter – und greifen zunehmend in bestehende Rechtsgebiete ein.

Die aktuelle Ausgabe zeigt dabei eine zentrale Entwicklung: Die Regulierung von KI verlagert sich von abstrakten Grundsatzfragen hin zu sehr konkreten Anforderungen entlang der gesamten Wertschöpfungskette. Besonders deutlich wird das im Zusammenspiel von KI und Urheberrecht. Der Initiativbericht des Europäischen Parlaments macht klar, dass Trainingsdaten, Transparenz und Vergütung künftig stärker in den Mittelpunkt rücken werden. Für Unternehmen bedeutet das vor allem eines: Die Frage, auf welcher Grundlage Modelle trainiert werden, wird rechtlich nicht länger im Hintergrund bleiben.

Parallel dazu konkretisieren sich die Vorgaben des AI Act weiter. Der zweite Entwurf des Transparenz-Code-of-Practice zeigt einen klaren Trend hin zu technisch umsetzbaren Lösungen – weniger abstrakte Anforderungen, mehr Fokus auf Kennzeichnung, Verifizierbarkeit und Interoperabilität. Gleichzeitig wird sichtbar, dass „Vereinfachung“ nicht gleichbedeutend mit weniger Regulierung ist: Gerade bei Deepfakes zeichnet sich eine deutlich strengere Linie ab, die von Transparenzpflichten hin zu konkreten Verbotstatbeständen reicht.

Auch jenseits der KI verdichten sich die Anforderungen. Der EuGH stärkt die praktische Durchsetzung von Betroffenenrechten und erhöht die haftungsrechtliche Relevanz von Auskunftsprozessen. Gleichzeitig zeigt die Rechtsprechung – etwa zur anwaltlichen Vertretung nach Art 80 DSGVO oder zum „Recht auf Vergessenwerden“ – dass neue Instrumente in bestehende prozessuale und materielle Strukturen eingebettet bleiben.

Im Immaterialgüterrecht bestätigt sich zudem ein bekanntes Muster: Technologische Entwicklungen verschieben die Konfliktlinien, ändern aber nicht die Grundmechaniken. Entscheidungen wie APPLE vs. OPPLE verdeutlichen, dass bekannte Marken weiterhin weitreichenden Schutz genießen – auch in neuen technologischen Kontexten.

Die Beiträge dieser Ausgabe zeigen damit eine klare Linie: Neue Technologien und digitale Geschäftsmodelle schaffen keine rechtsfreien Räume, sondern verstärken die Anwendung bestehender rechtlicher Prinzipien – ergänzt um neue, zunehmend technische und operative Anforderungen.

ctrl + law ordnet ein, wo diese Anforderungen konkret werden – und was das für Unternehmen bedeutet.

Wir wünschen eine anregende Lektüre.

Trennstrich bunt

KI-Transparenz-Praxisleitfaden 2.0: Weniger Komplexität, mehr Praxis | Amina Kovacevic

Mit dem zweiten Entwurf des Code of Practice on Transparency of AI-Generated Content konkretisiert die Europäische Kommission den künftigen Rahmen für die Kennzeichnung und Erkennbarkeit von KI-Inhalten nach Art 50 AI Act. Ziel bleibt es, Anbietern und Nutzern generativer KI-Systeme ein praktikables Instrument zur Umsetzung der Transparenzpflichten an die Hand zu geben. Der neue Entwurf ist dabei deutlich mehr als eine Überarbeitung: Er ist schlanker, näher am Gesetz und klar auf praktische Umsetzbarkeit ausgerichtet.

Die Grundidee bleibt unverändert: KI-generierte oder manipulierte Inhalte sollen über ihren gesamten Lebenszyklus hinweg erkennbar und überprüfbar sein. Während der erste Entwurf daraus ein sehr umfassendes Transparenz- und Provenance-Modell ableitete, setzt der zweite Entwurf stärker auf Verhältnismäßigkeit. Die Kommission reduziert Komplexität und vermeidet es, über den gesetzlichen Rahmen hinaus faktische Zusatzpflichten zu etablieren.

Besonders deutlich zeigt sich das in Abschnitt 1 zu den Pflichten von Anbietern generativer KI-Systeme. Der Entwurf ist nun enger an Art 50 Abs 2 AI Act ausgerichtet. Maßnahmen, die zuvor wie verbindliche Anforderungen wirkten, werden zurückgenommen oder als freiwillige Best Practices eingeordnet. Damit reagiert die Kommission auf Kritik, wonach der erste Entwurf über den gesetzlichen Rahmen hinausging.

Technisch bleibt der mehrschichtige Kennzeichnungsansatz erhalten, wird aber klarer strukturiert. Im Zentrum steht ein Zwei-Ebenen-Modell aus gesicherten Metadaten und Wasserzeichen, ergänzt um optionale Instrumente wie Fingerprinting oder Logging. Gleichzeitig wird der Ansatz flexibler: Auch alternative Lösungen sind zulässig, sofern sie Effektivität, Robustheit und Interoperabilität gewährleisten. Fingerprinting und Logging sind dabei ausdrücklich keine Pflicht mehr, insbesondere nicht im Hinblick auf die Protokollierung von Nutzerinteraktionen.

Stärker hervorgehoben wird auch die Verifizierbarkeit. Anbieter sollen geeignete Tools oder Schnittstellen bereitstellen, mit denen die Herkunft von Inhalten überprüft werden kann. Der Entwurf konkretisiert dabei Anforderungen wie Datenschutz, nachvollziehbare Ergebnisse und technische Zugänglichkeit. Parallel dazu wird der Fokus auf offene Standards und Interoperabilität verstärkt. Transparenz soll nicht nur innerhalb einzelner Systeme funktionieren, sondern plattformübergreifend.

In Abschnitt 2 verfolgt der Entwurf einen deutlich pragmatischeren Ansatz für Betreiber, insbesondere bei Deepfakes und Inhalten im öffentlichen Interesse. Die zuvor vorgesehene komplexe Unterscheidung zwischen KI-generierten und KI-unterstützten Inhalten entfällt. Stattdessen rücken konkrete Anforderungen an Labels, Symbole und deren Platzierung in den Vordergrund. Ergänzt wird dies durch die Idee eines einheitlichen EU-Symbols für KI-generierte Inhalte.

Insgesamt steht der zweite Entwurf für einen klaren Kurswechsel: weniger Komplexität, mehr Anknüpfung an Art 50 AI Act und stärkere Ausrichtung an technischer und organisatorischer Umsetzbarkeit. Die finale Fassung wird nach Abschluss der Konsultation bis Juni 2026 erwartet. Bereits jetzt zeigt sich jedoch deutlich die Richtung der europäischen Transparenzregulierung: weg von bloßen Hinweisen und hin zu technischer Kennzeichnung, überprüfbarer Herkunft und konsistenter Nutzerkommunikation.

Key Take-Aways

  • Transparenz nach Art 50 AI Act wird technisch gedacht: Kennzeichnung, Verifizierbarkeit und Interoperabilität stehen im Zentrum.
  • Der zweite Entwurf reduziert Komplexität und grenzt gesetzliche Anforderungen klar von freiwilligen Best Practices ab.
  • Der Zwei-Ebenen-Ansatz (Metadaten und Wasserzeichen) bleibt zentral, ergänzt durch flexible und optionale Instrumente.
  • Für Betreiber wird der Ansatz praxisnäher, mit Fokus auf klare, konsistente Kennzeichnung statt komplexer Kategorien.
Trennstrich bunt

KI und Urheberrecht: EU-Parlament fordert strengere Regeln für Trainingsdaten | Hannah Kercz

Die Wechselwirkung zwischen generativer KI und Urheberrecht zählt weiterhin zu den zentralen Fragestellungen im Bereich des geistigen Eigentums. Das Europäische Parlament hat dazu Anfang März mit großer Mehrheit einen Initiativbericht verabschiedet. Der Bericht fordert die Europäische Kommission auf, die bestehenden urheberrechtlichen Rahmenbedingungen gezielt an die Herausforderungen der KI-Entwicklung anzupassen. Zwar handelt es sich nicht um verbindliche Gesetzgebung, der Bericht zeigt jedoch deutlich, in welche Richtung sich die europäische Regulierung entwickeln könnte.

Im Mittelpunkt steht die Nutzung urheberrechtlich geschützter Werke für das Training großer KI-Modelle. Nach Ansicht des Europäischen Parlaments müssen bestehende rechtliche Schutzmechanismen auch im digitalen Umfeld wirksam bleiben. Kritisiert wird insbesondere, dass viele KI-Systeme mit großen Mengen geschützter Inhalte trainiert wurden, ohne dass die jeweiligen Rechteinhaber ihre Zustimmung erteilt haben oder angemessen vergütet wurden. In diesem Zusammenhang wird mehr Transparenz über Trainingsdaten, aber auch die Prüfung möglicher Lizenz- und Vergütungsmodelle gefordert, um eine faire Beteiligung der Rechteinhaber sicherzustellen. Gleichzeitig wird betont, dass neue Regeln Innovation nicht verhindern dürfen und ein ausgewogenes Verhältnis zwischen technologischem Fortschritt und Schutz kreativer Leistungen gewahrt bleiben muss.

Der Bericht ist rechtlich nicht bindend, macht jedoch deutlich, dass auf europäischer Ebene mit weiteren regulatorischen Maßnahmen zu rechnen ist. Die Europäische Kommission wird aufgefordert, die bestehenden urheberrechtlichen Regelungen im Hinblick auf generative KI weiterzuentwickeln und insbesondere Fragen der Nutzung geschützter Inhalte für Trainingszwecke näher zu regeln. Für Unternehmen, die KI-Systeme einsetzen oder entwickeln, könnte dies künftig strengere Anforderungen bei der Rechteklärung und Dokumentation nach sich ziehen.

Die Diskussion zeigt zugleich, dass sich das Urheberrecht derzeit in einer Phase grundlegender Anpassung befindet. Mit der zunehmenden Verbreitung generativer KI wächst der Bedarf an klaren rechtlichen Leitlinien, die sowohl Innovation ermöglichen als auch den Schutz kreativer Leistungen sicherstellen. Unternehmen sind daher gut beraten, den Einsatz von KI-Systemen frühzeitig auch unter urheberrechtlichen Gesichtspunkten zu prüfen und interne Prozesse entsprechend auszurichten bzw. bestehende Compliance-Strukturen anzupassen.

Key Take-Aways

  • EU-Parlament fordert einen stärkeren Schutz von Urheberrechten: Trainingsdaten generativer KI und die Nutzung geschützter Werke sollen künftig stärker reguliert werden.
  • Transparenz und Vergütung im Fokus: Diskutiert werden strengere Offenlegungspflichten sowie mögliche Lizenz- und Vergütungsmodelle für Rechteinhaber.
  • Weitere Regulierung absehbar: Auch wenn der Bericht nicht bindend ist, sollten Unternehmen mit strengeren Vorgaben beim Einsatz von KI-Systemen rechnen.
Trennstrich bunt

BGH: Art 80 DSGVO durchbricht keine Anwaltspflicht | Gernot Fritz

Ein rezentes Urteil des deutschen Bundesgerichtshof (BGH) (I ZB 36/25) befasst sich mit der Rolle “berechtigter Einrichtungen” nach Art 80 DSGVO und deren prozessualen Befugnissen im Zivilverfahren.

Ausgangspunkt war ein Verfahren, in dem eine qualifizierte Einrichtung datenschutzrechtliche Ansprüche im Namen betroffener Personen geltend machen wollte. Streitentscheidend war die Frage, ob sich eine solche Einrichtung auf Art 80 DSGVO berufen kann, um auch dort ohne anwaltliche Vertretung aufzutreten, wo das nationale Prozessrecht eine Anwaltspflicht vorsieht.

Der BGH verneint dies klar. Art 80 DSGVO eröffnet zwar die Möglichkeit, dass betroffene Personen ihre Rechte durch qualifizierte Einrichtungen wahrnehmen lassen. Die Bestimmung regelt jedoch nicht die prozessuale Ausgestaltung dieser Vertretung im Detail. Insbesondere enthält sie keine Aussage dazu, ob nationale Vorschriften über die anwaltliche Vertretung verdrängt werden.

Nach Auffassung des BGH bleibt das nationale Verfahrensrecht daher maßgeblich. Besteht nach nationalem Recht Anwaltszwang, gilt dieser auch für berechtigte Einrichtungen nach Art 80 DSGVO. Die Norm ist nicht dahin auszulegen, dass sie diesen Einrichtungen eine eigenständige, vom nationalen Prozessrecht losgelöste Vertretungsbefugnis ohne Anwalt einräumt.

Auch unionsrechtliche Grundsätze, insbesondere der Effektivitätsgrundsatz, führen zu keinem anderen Ergebnis. Der BGH sieht in der Anwaltspflicht keine unverhältnismäßige Erschwerung der Rechtsdurchsetzung. Vielmehr handle es sich um eine allgemein geltende prozessuale Anforderung, die auch im Kontext der DSGVO Anwendung findet.

Die Entscheidung stellt damit klar, dass Art 80 DSGVO zwar die kollektive Rechtsdurchsetzung stärkt, diese jedoch in die bestehenden nationalen Verfahrensstrukturen eingebettet bleibt. Eine „prozessuale Privilegierung“ berechtigter Einrichtungen gegenüber anderen Parteien lässt sich aus der DSGVO nicht ableiten.

Auch aus österreichischer Sicht führt kein Weg an diesem Ergebnis vorbei. Art 80 DSGVO ermöglicht die Vertretung durch Einrichtungen, ohne jedoch die nationalen Prozessregeln zu verdrängen. Insbesondere die Anwaltspflicht in höheren Instanzen (etwa vor dem Obersten Gerichtshof, dem Verwaltungsgerichtshof und dem Verfassungsgerichtshof) bleibt unberührt.

Die praktische Konsequenz ist klar: Auch berechtigte Einrichtungen müssen sich dort, wo das nationale Recht es verlangt, anwaltlich vertreten lassen. Art 80 DSGVO erweitert die Aktivlegitimation – nicht aber die prozessuale Autonomie.

Key Take-Aways

  • Art 80 DSGVO begründet keine Ausnahme von nationalen Vorschriften über die anwaltliche Vertretung.
  • Berechtigte Einrichtungen können DSGVO-Rechte geltend machen, bleiben aber an das jeweilige Prozessrecht gebunden.
  • Der Effektivitätsgrundsatz steht allgemeinen Anforderungen wie der Anwaltspflicht nicht entgegen.
  • Die Entscheidung ist auf Österreich übertragbar: Auch hier bleiben anwaltliche Vertretungspflichten unberührt.
Trennstrich bunt

Auskunft, Missbrauch und Schadenersatz: EuGH konkretisiert DSGVO | Tanja Pfleger

Der EuGH hat mit Urteil vom 19. März 2026 (C-526/24, Brillen Rottler) zentrale Fragen zum Zusammenspiel von Auskunftsrecht, Missbrauchseinwand und Schadenersatz nach der DSGVO geklärt. Die Entscheidung ist für die Praxis besonders relevant, weil sie einerseits die Hürden für die Zurückweisung von Auskunftsanträgen hoch hält, andererseits aber bestätigt, dass auch die Verletzung des Auskunftsrechts selbst einen Schadenersatzanspruch nach Art 82 DSGVO auslösen kann.

Ausgangspunkt war ein Fall, in dem sich eine betroffene Person zunächst zu einem Newsletter anmeldete, kurz darauf ein Auskunftsersuchen nach Art 15 DSGVO stellte und anschließend immateriellen Schadenersatz geltend machte. Das betroffene Unternehmen verweigerte die Auskunft mit dem Argument, der Antrag sei missbräuchlich gestellt worden, um gezielt Schadenersatzansprüche zu provozieren.

Der EuGH stellt zunächst klar, dass auch ein erster Auskunftsantrag ausnahmsweise als „exzessiv“ iSv Art 12 Abs 5 DSGVO qualifiziert werden kann. Das ist bemerkenswert, weil die Bestimmung exzessive Anträge insbesondere im Fall häufiger Wiederholung nennt. Der Gerichtshof betont aber, dass häufige Wiederholung nur ein Beispiel ist. Auch ein erstmaliger Antrag kann exzessiv sein, wenn der Verantwortliche unter Berücksichtigung aller Umstände des Einzelfalls nachweist, dass der Antrag nicht zur Überprüfung der Datenverarbeitung gestellt wurde, sondern in missbräuchlicher Absicht, etwa um künstlich die Voraussetzungen für einen Vorteil aus der DSGVO – insbesondere einen Schadenersatzanspruch – zu schaffen.

Gleichzeitig macht der EuGH deutlich, dass diese Ausnahme eng auszulegen ist. Die Schwelle für die Annahme eines missbräuchlichen ersten Auskunftsantrags ist hoch, und die Beweislast liegt beim Verantwortlichen. Öffentlich zugängliche Informationen, wonach eine Person mehrfach ähnlich vorgegangen ist und nach Auskunftsersuchen jeweils Schadenersatzforderungen gegenüber verschiedenen Verantwortlichen erhoben hat, können dabei zwar ein Indiz sein. Für sich allein genügen sie aber nicht zwingend; entscheidend bleibt die Gesamtwürdigung aller relevanten Umstände des Einzelfalls.

Ebenso praxisrelevant ist der zweite Kernpunkt der Entscheidung: Nach Ansicht des EuGH setzt Art 82 Abs 1 DSGVO nicht voraus, dass der geltend gemachte Schaden unmittelbar aus einer eigenständigen Verarbeitung personenbezogener Daten resultiert. Vielmehr kann auch die Verletzung des Auskunftsrechts nach Art 15 Abs 1 DSGVO selbst einen ersatzfähigen Schaden begründen. Damit stärkt der Gerichtshof die praktische Wirksamkeit der Betroffenenrechte. Würde man Art 82 DSGVO nur auf Schäden aus Verarbeitungsvorgängen im engeren Sinn beschränken, würden Verstöße gegen zentrale Betroffenenrechte haftungsrechtlich weitgehend leer laufen.

Schließlich befasst sich der EuGH auch mit der Frage des immateriellen Schadens. Er bestätigt seine bisherige Linie, wonach der Verlust der Kontrolle über personenbezogene Daten oder auch die Ungewissheit, ob diese Daten verarbeitet wurden, grundsätzlich einen immateriellen Schaden darstellen können. Ein DSGVO-Verstoß führt jedoch nicht automatisch zu einem Schadenersatzanspruch. Die betroffene Person muss einen tatsächlich eingetretenen Schaden und den Kausalzusammenhang zwischen Verstoß und Schaden nachweisen. Zudem weist der EuGH darauf hin, dass ein Anspruch ausscheiden kann, wenn das Verhalten der betroffenen Person selbst die entscheidende Ursache des behaupteten Schadens war.

Die Entscheidung bringt damit ein differenziertes Bild: Der Missbrauchseinwand bleibt möglich, aber nur unter engen Voraussetzungen. Gleichzeitig erhöht sich die haftungsrechtliche Relevanz sauberer Prozesse im Umgang mit Betroffenenrechten – insbesondere bei Auskunftsersuchen.

Key Take-Aways

  • Auch ein erster Auskunftsantrag kann ausnahmsweise „exzessiv“ iSv Art 12 Abs 5 DSGVO sein, wenn er missbräuchlich gestellt wurde.
  • Die Hürden dafür bleiben hoch: Der Verantwortliche muss anhand aller Umstände des Einzelfalls eine Missbrauchsabsicht nachweisen.
  • Öffentlich zugängliche Informationen über ein systematisches Vorgehen der betroffenen Person können ein Indiz sein, reichen aber nicht automatisch aus.
  • Die Verletzung des Auskunftsrechts nach Art 15 DSGVO kann selbst einen Schadenersatzanspruch nach Art 82 DSGVO auslösen.
  • Ein Verlust der Kontrolle über personenbezogene Daten oder Ungewissheit über deren Verarbeitung kann einen immateriellen Schaden darstellen – allerdings nur bei Nachweis eines tatsächlichen Schadens und des Kausalzusammenhangs.
Trennstrich bunt

Der Apfel fiel nicht zu weit vom Stamm – APPLE vs. OPPLE vor dem EUIPO | Helmut Liebel

Die 4. Beschwerdekammer des EUIPO (R 40/2025-4) hat einem Widerspruch von Apple Inc. gegen die Registrierung der Bildmarke “OPPLE” (Opple Lighting Co., Ltd.) stattgegeben. Die Erstinstanz hatte den Widerspruch zuvor noch vollständig abgewiesen.

Worum ging es? Opple Lighting meldete am 28.10.2022 die Marke “OPPLE” als Unionsmarke an – für Dienstleistungen der Klasse 35 rund um Werbung, Marketing und Unternehmensberatung, jeweils beschränkt auf Beleuchtungslösungen. Apple legte im April 2023 Widerspruch ein.

Die Erstinstanz wies den Widerspruch ab. Ihre Begründung: Der unterschiedliche Anfangsbuchstabe führe dazu, dass die Zeichen nur unterdurchschnittlich ähnlich seien.

Die Beschwerdekammer sah das anders: Die Zeichen teilen vier von fünf Buchstaben in identischer Reihenfolge. Der unterschiedliche Anfangsbuchstabe allein reicht nicht aus, um diese visuelle Ähnlichkeit zu kompensieren. Auch phonetisch bestehen deutliche Übereinstimmungen – beide Zeichen haben zwei Silben, teilen die Lautfolge “PPLE” und werden mit gleichem Rhythmus und gleicher Betonung gesprochen. Die Zeichenähnlichkeit ist daher zumindest als durchschnittlich einzustufen.

Hinzu kommt, dass zumindest ein nicht vernachlässigbarer Teil des relevanten Publikums “OPPLE” als bewusste Abwandlung von “APPLE” wahrnehmen dürfte.

Schon die Erstinstanz hatte Apple eine hohe Bekanntheit zuerkannt – insbesondere für Klasse 9 (Computer, Mobiltelefone, Software) und Klasse 42 (Hard- und Softwareentwicklung).

Für den Schutz bekannter Marken nach Art 8 Abs 5 EUTMR müssen die Waren und Dienstleistungen nicht ähnlich sein. Es genügt, wenn das neu angemeldete Zeichen beim Publikum eine gedankliche Verbindung zur bekannten Marke auslöst. Genau das bejahte die Beschwerdekammer: Smart-Lighting-Lösungen werden häufig über Apple-Software wie HomeKit oder Siri gesteuert. Über iPhones lassen sich also Produkte nutzen, die unter die von Opple beanspruchten Dienstleistungen fallen.

Dass Apple bislang nicht durch Verwechslungen geschädigt wurde, ist für die Beschwerdekammer unerheblich. Ein Markeninhaber muss keinen bereits eingetretenen Schaden nachweisen – das ernsthafte Risiko einer künftigen Beeinträchtigung genügt. Auf die Absicht des Anmelders kommt es dabei nicht an. Im konkreten Fall besteht insbesondere die Gefahr, dass Opple das Ansehen und die Bekanntheit von Apple auf unlautere Weise ausnutzt.

Im Ergebnis gab die Beschwerdekammer Apples Widerspruch vollumfänglich statt. Die Registrierung von “OPPLE” wurde zurückgewiesen.

Key Take-Aways

  • Der Anfangsbuchstabe ist nicht alles: Vier von fünf identischen Buchstaben in gleicher Reihenfolge können eine Zeichenähnlichkeit begründen – auch bei kurzen Zeichen.
  • Bekannte Marken wirken über Branchengrenzen hinaus: Art 8 Abs 5 EUTMR setzt keine Ähnlichkeit der Waren oder Dienstleistungen voraus – eine gedankliche Verbindung reicht aus.
  • Kein Schaden erforderlich: Es genügt das ernsthafte Risiko einer künftigen Beeinträchtigung. Fehlende Absicht des Anmelders schützt nicht vor dem Widerspruch.
Trennstrich bunt

BVwG: Löschungsanspruch bei Suchmaschinen | Fabian Duschnig

Ein aktuelles Erkenntnis des Bundesverwaltungsgerichts (BVwG) (W258 2242389-1) präzisiert die Voraussetzungen für Löschungs­ansprüche gegenüber Suchmaschinen und konkretisiert die Grenzen des „Rechts auf Vergessenwerden“ im Spannungsfeld mit der Informationsfreiheit.

Dem Verfahren lag ein Begehren auf Entfernung mehrerer Suchergebnisse zugrunde, die bei Eingabe des Namens des Beschwerdeführers auf einen Medienbericht sowie ergänzende Online-Inhalte verwiesen. Die Suchmaschinenbetreiberin verweigerte die De-Referenzierung. Auch die Datenschutzbehörde (DSB) wies die Beschwerde mit der Begründung ab, dass das öffentliche Interesse an Information überwiege. Im Verfahren vor dem BVwG stellte sich heraus, dass ein Großteil der ursprünglich beanstandeten Links bereits nicht mehr abrufbar war, sodass sich die Entscheidung im Ergebnis auf einen einzelnen verbleibenden Treffer konzentrierte.

Das BVwG stellt zunächst klar, dass Suchmaschinenbetreiber im Hinblick auf die Anzeige von Suchergebnissen eigenständige Verantwortliche im Sinne von Art 4 Z 7 DSGVO sind. Das Crawlen, Indexieren, Speichern und Bereitstellen von Informationen erfüllt den Begriff der Verarbeitung personenbezogener Daten nach Art 4 Z 2 DSGVO. Als Rechtsgrundlage kommt regelmäßig Art 6 Abs 1 lit f DSGVO in Betracht, der jedoch eine konkrete Interessenabwägung erfordert.

Im Zentrum der Entscheidung steht die Anwendung von Art 17 DSGVO. Das BVwG betont unter Bezugnahme auf die Rechtsprechung des Europäischer Gerichtshof (insb. Rs C-655/23, Quirin Privatbank AG), dass der Löschungsanspruch auf die Entfernung konkret verarbeiteter Daten gerichtet ist und keinen darüber hinausgehenden Anspruch auf Unterlassung begründet. Soweit Inhalte bereits nicht mehr abrufbar sind, ist das Löschungsbegehren daher als erfüllt anzusehen. Für die weggefallenen Suchergebnisse bestand folglich kein weiterer Anspruch.

Für den verbliebenen Suchtreffer nahm das BVwG hingegen eine vertiefte Interessenabwägung vor. Dabei stellte das Gericht insbesondere darauf ab, dass die zugrunde liegende Berichterstattung teilweise verzerrende oder irreführende Zusammenhänge herstellte, der Beschwerdeführer keine Person des öffentlichen Lebens war und seit der Veröffentlichung ein erheblicher Zeitraum vergangen war. Hinzu kam, dass die fortdauernde Auffindbarkeit der Inhalte konkrete negative Auswirkungen – einschließlich wirtschaftlicher Nachteile – für den Beschwerdeführer hatte. Unter diesen Umständen überwogen die Interessen des Beschwerdeführers gegenüber dem grundsätzlich bestehenden Informationsinteresse der Öffentlichkeit.

Das BVwG qualifizierte die weitere Anzeige des Suchergebnisses daher als unrechtmäßige Verarbeitung personenbezogener Daten und verpflichtete die Suchmaschinenbetreiberin zur Löschung der entsprechenden Verlinkung.

Key Take-Aways

  • Suchmaschinenbetreiber sind für die Anzeige von Suchergebnissen eigenständige Verantwortliche im Sinne der DSGVO.
  • Art 17 DSGVO vermittelt ein Recht auf Löschung konkret verarbeiteter Daten, jedoch keinen Anspruch auf Unterlassung von Datenverarbeitungen.
  • Bereits entfernte Inhalte führen grundsätzlich dazu, dass ein Löschungsbegehren als erfüllt anzusehen ist.
Trennstrich bunt

Digital Omnibus on AI: schärfere Linie bei Deepfakes | Tanja Pfleger

Der Digital Omnibus on AI soll die Umsetzung des AI Act praktikabler machen und mehr Rechtssicherheit schaffen (zu weiteren Details zum Digital-Simplification-Paket siehe  ctrl + law Ausgabe 3 und ctrl + law Ausgabe 7). Gleichzeitig zeigt sich aber, dass „Vereinfachung“ nicht mit Entwarnung gleichzusetzen ist. Gerade bei sexualisierten Deepfakes will das Europäische Parlament eine zusätzliche rote Linie einziehen.

Die zuständigen Ausschüsse des Parlaments haben am 18. März 2026 ihre Position angenommen; das Plenum soll am 26. März 2026 abstimmen. Vorgesehen ist insbesondere eine spätere Anwendbarkeit zentraler High-Risk-Pflichten sowie der Kennzeichnung KI-generierter Inhalte.

Der eigentliche neue Akzent liegt bei Deepfakes. Nach der derzeitigen Systematik des AI Act sind diese vor allem ein Transparenzthema. Künftig soll aber ausdrücklich verboten sein, KI-Systeme in Verkehr zu bringen, in Betrieb zu nehmen oder zu nutzen, die ohne Einwilligung sexuell explizite oder intime Darstellungen identifizierbarer realer Personen erzeugen oder manipulieren. Das Parlament zielt dabei vor allem auf sogenannte „nudifier“ systems ab. Ausgenommen sein sollen Systeme mit wirksamen Schutzmaßnahmen. Auch der Rat vertritt hier eine ähnliche Linie.

Politischer Hintergrund dieser Verschärfung ist vor allem das KI-Tool “Grok”. Die Kommission hat am 26. Jänner 2026 ein förmliches DSA-Verfahren gegen X eröffnet. Untersucht wird unter anderem, ob Risiken rund um manipulierte sexuell explizite Bilder vor dem Roll-out in der EU ausreichend bewertet und mitigiert wurden. Der Fall hat die Debatte sichtbar beschleunigt.

Für Unternehmen ist die Botschaft damit klar: Der Omnibus bringt zwar mehr Zeit und Flexibilität, bei sexualisierten Deepfakes verschiebt sich der Fokus aber deutlich auf Safety-by-Design, belastbare Safeguards und Missbrauchsprävention.

Key Take-Aways

  • Deepfakes neu einordnen: Bei sexualisierten Deepfakes soll aus einem reinen Transparenzthema teilweise ein Verbotsfall werden.
  • Schutzmechanismen zählen: Im Fokus stehen vor allem „nudifier“-ähnliche Systeme ohne wirksame technische und organisatorische Safeguards.
  • Omnibus heißt nicht Entwarnung: Mehr Zeit bei Fristen ändert nichts daran, dass der Regulierungsdruck bei missbrauchsanfälliger generativer KI steigt.
  • "Grok" als Beschleuniger: Der Fall X/Grok hat die Debatte sichtbar in Richtung Prävention, Missbrauchsverhinderung und Anbieterverantwortung verschoben.
Trennstrich bunt

EDPB/EDPS zu CSA2 und NIS 2: Datenschutz bleibt Leitplanke | Gernot Fritz

Mit der Joint Opinion 4/2026 nehmen EDPB und EDPS zum Vorschlag für einen Cybersecurity Act 2 (CSA2) und zu den begleitenden Änderungen der NIS-2-Richtlinie Stellung. Die Grundbotschaft ist klar: Die Stärkung der europäischen Cybersicherheitsarchitektur wird begrüßt, muss aber datenschutzrechtlich sauber eingehegt bleiben.

EDPB und EDPS unterstützen insbesondere die stärkere Rolle von ENISA, die Förderung europäischer Cybersicherheitszertifizierung sowie den geplanten Single-Entry-Point für Vorfallsmeldungen. Letzterer soll den Meldeaufwand für Unternehmen senken, ohne das Schutzniveau für betroffene Personen zu beeinträchtigen. Zugleich betonen die Aufsichtsbehörden, dass auch Cybersicherheitsmaßnahmen selbst Grundrechtseingriffe bewirken können und daher nicht nur effektiv, sondern auch erforderlich und verhältnismäßig sein müssen.

Besonderes Augenmerk legen EDPB und EDPS auf neue Aufgaben von ENISA. Soweit diese mit einer substanziellen Verarbeitung personenbezogener Daten verbunden wären, müsse dies im Rechtsakt selbst ausdrücklich geregelt und mit klaren Schutzvorkehrungen versehen werden. Auch bei der Zusammenarbeit zwischen ENISA und Datenschutzaufsicht fordern sie klarere Zuständigkeitsregeln und eine ausdrückliche Einbindung des EDPS.

Im Bereich der Cybersicherheitszertifizierung sehen EDPB und EDPS zwar Synergien mit der DSGVO, betonen aber, dass Cybersicherheitszertifizierung und Datenschutz-Zertifizierung nicht gleichgesetzt werden dürfen. Zertifizierungsschemata sollten jedoch so ausgestaltet sein, dass sie – soweit möglich – auch die Einhaltung datenschutzrechtlicher Anforderungen unterstützen.

Insgesamt macht die Stellungnahme deutlich: CSA2 und NIS 2 sind nicht nur Security-Regulierung. Wo neue Meldepflichten, Zertifizierungen oder operative Funktionen mit personenbezogenen Daten verbunden sind, müssen Datenschutz, Erforderlichkeit und Verhältnismäßigkeit von Anfang an mitgedacht werden.

EDPB und EDPS unterstützen CSA2 und die NIS-2-Änderungen grundsätzlich, verlangen aber klarere datenschutzrechtliche Leitplanken.

Der Single-Entry-Point für Vorfallsmeldungen wird begrüßt, soll aber selbst hohen Sicherheits- und Datenschutzstandards genügen.

Cybersicherheitszertifizierung und DSGVO-Zertifizierung sind zu unterscheiden, können aber sinnvoll aufeinander abgestimmt werden.

Für Unternehmen wird Cybersecurity-Compliance noch stärker zu einem Schnittstellenthema zwischen Security, Governance und Datenschutz.

Key Take-Aways

  • EDPB und EDPS unterstützen CSA2 und die NIS-2-Änderungen grundsätzlich, verlangen aber klarere datenschutzrechtliche Leitplanken.
  • Der Single-Entry-Point für Vorfallsmeldungen wird begrüßt, soll aber selbst hohen Sicherheits- und Datenschutzstandards genügen.
  • Cybersicherheitszertifizierung und DSGVO-Zertifizierung sind zu unterscheiden, können aber sinnvoll aufeinander abgestimmt werden.
  • Für Unternehmen wird Cybersecurity-Compliance noch stärker zu einem Schnittstellenthema zwischen Security, Governance und Datenschutz.
Trennstrich bunt

ctrl + law – ordnet ein, was rechtlich relevant wird.

Klar, kompakt, praxisnah.

Jetzt abonnieren und dranbleiben.