Zurück

ctrl + law | Ausgabe 16

02.06.2026

ctrl + law – Formale Compliance reicht nicht | Gernot Fritz

Mit der sechzehnten Ausgabe von ctrl + law rückt ein Thema in den Mittelpunkt, das sich durch KI-Regulierung, Datenschutz, Plattformrecht, Urheberrecht und Markenrecht zieht: Rechtliche Bewertung orientiert sich immer stärker an der tatsächlichen Funktionsweise von Systemen, Prozessen und Geschäftsmodellen. Formale Dokumentation bleibt wichtig. Sie genügt aber nicht, wenn sie die Realität nicht belastbar abbildet.

Besonders deutlich zeigt das die Geldbuße der Europäischen Kommission gegen Temu. Risikobewertungen nach dem Digital Services Act sind keine abstrakten Pflichtübungen. Sehr große Online-Plattformen müssen konkret analysieren, welche Risiken gerade aus ihrem eigenen Geschäftsmodell, ihren Empfehlungssystemen, Verkaufsförderungsmechanismen und der tatsächlichen Nutzung ihrer Plattform entstehen. Allgemeine Aussagen zu den Gefahren des Onlinehandels reichen nicht. Compliance muss plattformspezifisch, evidenzbasiert und praktisch wirksam sein.

Auch bei der Einordnung von Hochrisiko-KI-Systemen kommt es zunehmend auf den konkreten Einsatzkontext an. Der Entwurf der neuen Leitlinien der Europäischen Kommission macht deutlich: Nicht jede KI-Anwendung in einem sensiblen Bereich ist automatisch hochriskant. Entscheidend ist, welche Funktion ein System erfüllt, welche Rolle es im Entscheidungsprozess spielt und ob es Ergebnisse wesentlich beeinflusst. Ein „Human in the Loop“ löst diese Fragen nicht automatisch. Unternehmen müssen ihre Use Cases verstehen, analysieren und nachvollziehbar dokumentieren.

Wie wichtig funktionierende interne Prozesse sind, zeigt auch eine aktuelle Entscheidung der Datenschutzbehörde. Sobald ein Auskunftsbegehren eingeht oder bereits ein Verfahren läuft, können routinemäßige Löschprozesse zum Problem werden. Wer relevante Daten vernichtet, obwohl gerade über den Umfang eines Auskunftsanspruchs gestritten wird, riskiert eine Verletzung von Art 15 DSGVO. Datenschutz-Compliance bedeutet daher nicht nur, Löschfristen festzulegen. Unternehmen müssen ebenso sicherstellen, dass Löschroutinen im richtigen Moment gestoppt werden können.

Der Streit zwischen Reddit und Anthropic erweitert den Blick auf KI-Trainingsdaten. Die rechtliche Diskussion dreht sich längst nicht mehr ausschließlich um das Urheberrecht. Ebenso relevant wird, woher Trainingsdaten stammen, auf welchem Weg sie beschafft wurden und ob dabei Nutzungsbedingungen oder technische Zugangsbeschränkungen umgangen wurden. Für KI-Anbieter entwickelt sich die Auswahl und Beschaffung von Trainingsdaten damit zunehmend zu einer umfassenden Compliance-Frage.

Auch im Markenrecht lohnt sich der Blick auf das Gesamtbild. Das EuG hat im Streit um die Marke „Obelix“ klargestellt, dass eine bekannte und besonders einprägsame Marke auch gegenüber völlig branchenfremden Produkten geschützt sein kann. Ob Verbraucher eine gedankliche Verbindung herstellen, lässt sich nicht allein anhand abstrakter Warenklassen oder unterschiedlicher Zielgruppen beantworten. Auch hier zählt die konkrete Wahrnehmung des Publikums.

Die gemeinsame Klammer dieser Ausgabe ist daher klar: Rechtliche Anforderungen lassen sich immer seltener mit Checklisten allein erfüllen. Wer KI-Systeme einsetzt, Plattformen betreibt, Trainingsdaten beschafft, Löschkonzepte umsetzt oder Marken schützt, muss die tatsächlichen Abläufe kennen. Entscheidend ist nicht nur, ob ein Dokument vorhanden ist. Entscheidend ist, ob es die Realität trifft und in der Praxis funktioniert.

Genau an dieser Schnittstelle setzt ctrl + law an: Dort, wo rechtliche Anforderungen nicht im Gesetzestext stehen bleiben, sondern einem Realitätstest standhalten müssen.

Und weil digitale Realität keine ctrl + law Pausen kennt, haben wir am E+H News Portal laufend nachgeschärft:

Wir wünschen eine anregende Lektüre.

Trennstrich bunt

"Obelix" für Schusswaffen statt Hinkelsteine? – EuG sagt: So einfach geht das nicht | Helmut Liebel

“Obelix” – der Name steht für den liebenswerten Gallier aus der berühmten Comic-Reihe. Doch ein polnisches Unternehmen hat genau diesen Namen als EU-Marke für Schusswaffen und Munition eintragen lassen. Der Verlag Les Éditions Albert René – Rechteinhaber der Asterix-Reihe – wehrte sich dagegen und scheiterte zunächst vor dem EU-Markenamt (EUIPO). Nun hat das Gericht der Europäischen Union (EuG) mit Urteil vom 13.05.2026 (T-24/25) diese Entscheidung aufgehoben und es muss neu verhandelt werden.

Der Asterix-Verlag wollte die Marke “Obelix” für Waffen löschen lassen. Sein Argument: Die Marke “Obelix” ist seit Jahrzehnten in der EU bekannt. Wenn jemand anderer diesen Namen auf Schusswaffen und Munition klebt, schadet das dem guten Ruf der Marke.

Das EUIPO sah das anders und wies den Antrag ab. Begründung: Erstens sei die Bekanntheit der Marke nicht ausreichend bewiesen. Zweitens würden Verbraucher beim Anblick von “Obelix” auf einer Waffe gar nicht an den Comic-Charakter denken – es fehle an einer gedanklichen Verbindung zwischen den Marken. Die Waren seien zu unterschiedlich, die Zielgruppen hätten nichts miteinander zu tun.

Das EuG korrigierte das EUIPO in zwei Punkten:

Erstens: Die Beweise zur Bekanntheit der Marke wurden möglicherweise falsch bewertet. Das EUIPO hatte den Großteil der Nachweise ignoriert, weil sie die Kombination “Asterix & Obelix” betrafen – und nicht “Obelix” allein. Das EuG stellte klar: Eine Marke muss nicht isoliert verwendet werden, um ihre Bekanntheit zu beweisen. Wenn “Obelix” gemeinsam mit “Asterix” auf Produkten erscheint und beide Namen jeweils das ®-Symbol tragen, erkennt der Verbraucher: Das sind zwei eigenständige Marken. Also kann auch die gemeinsame Nutzung die Bekanntheit jeder einzelnen Marke belegen.

Zweitens: Das EUIPO prüfte zu oberflächlich, ob Verbraucher eine gedankliche Verbindung zwischen den Marken herstellen. Es schaute nur auf zwei Faktoren – die Waren sind völlig verschieden, und die Zielgruppen überschneiden sich nicht – und schloss daraus: Kein Zusammenhang. Das EuG hielt dagegen: So einfach ist es nicht. Man muss alle relevanten Umstände berücksichtigen. Besonders wichtig ist die Frage, wie einzigartig und einprägsam die ältere Marke ist. “Obelix” ist ein reines Fantasiewort, das in keiner Sprache eine Bedeutung hat. Bei solch unverwechselbaren Marken kann eine gedankliche Verbindung auch dann entstehen, wenn die Produkte aus völlig verschiedenen Welten stammen: Comics hier, Waffen dort.

Das Ergebnis: Die EUIPO-Entscheidung wurde aufgehoben. Die Sache geht zurück an die Beschwerdekammer, die nun die Beweise vollständig würdigen und alle relevanten Faktoren prüfen muss. Ob die Marke “Obelix” für Waffen am Ende tatsächlich gelöscht wird, bleibt offen – aber die Chancen des Asterix-Verlags sind deutlich gestiegen.

Key Take-Aways

  • Markenbekanntheit lässt sich auch mit Nachweisen belegen, die eine gemeinsame Verwendung mit einer anderen Marke zeigen. Die Marke muss nicht isoliert benutzt worden sein.
  • Ob Verbraucher eine gedankliche Verbindung zwischen zwei Marken herstellen, hängt nicht allein davon ab, ob die Produkte ähnlich sind. Es zählt das Gesamtbild; einschließlich der Frage, wie einprägsam und einzigartig die ältere Marke ist.
  • Je einzigartiger ein Markenname, desto stärker der Schutz – selbst gegenüber Produkten aus einer völlig anderen Branche.
  • Das ®-Symbol auf Produkten kann als Beweis für die Markenwahrnehmung durch das Publikum dienen.
  • Praxistipp für Markeninhaber: Bei Löschungsanträgen gegen branchenfremde Marken gezielt Nachweise zur Einzigartigkeit des Markennamens und auch zur kombinierten Markennutzung vorlegen.
Trennstrich bunt

Wann ist KI "hochriskant"? Neue Guidelines bringen mehr Klarheit und neue Fragen | Amina Kovacevic

Die Europäische Kommission hat am 19. Mai 2026 den Entwurf ihrer neuen Guidelines zur Einstufung  von Hochrisiko-KI-Systemen nach der KI-Verordnung veröffentlicht. Sie betreffen eine der praktisch wichtigsten Fragen der KI-Regulierung: Wann ist ein KI-System tatsächlich “hochriskant”?

Die Guidelines sind zwar rechtlich nicht bindend, werden aber in der Praxis erhebliches Gewicht haben. Sie zeigen, wie die Kommission Art 6 AI Act versteht, und sollen Anbieter, Betreiber und Marktüberwachungsbehörden bei einer einheitlichen Anwendung unterstützen. Besonders hilfreich: Die Kommission arbeitet mit zahlreichen Beispielen, wann KI-Systeme unter die Regeln für Hochrisiko-KI-Systeme fallen – und wann nicht.

Der AI Act verfolgt bekanntlich einen risikobasierten Ansatz. Nicht jede KI-Anwendung unterliegt denselben Anforderungen. Die strengsten Pflichten treffen vor allem Hochrisiko-KI-Systeme. Die neuen Leitlinien machen diese Einordnung nun deutlich greifbarer.

Im Kern bleibt es bei zwei großen Gruppen:

Erstens KI-Systeme, die als Sicherheitsbauteil eines regulierten Produkts eingesetzt werden oder selbst ein solches Produkt sind, etwa im Zusammenhang mit Medizinprodukten, Maschinen, Fahrzeugen oder industriellen Anlagen.

Zweitens KI-Systeme, die in den in Anhang III genannten sensiblen Bereichen eingesetzt werden, etwa Biometrie, kritische Infrastruktur, allgemeine und berufliche Bildung, Beschäftigung, Strafverfolgung, Migration, Asyl und Grenzkontrolle oder Kreditwürdigkeitsprüfung.

Für Unternehmen besonders wichtig ist die Klarstellung, dass nicht jede KI-Funktion automatisch ein Hochrisiko-KI-System ist. Entscheidend ist nicht das Etikett „KI“, sondern die konkrete Zweckbestimmung und die tatsächliche Rolle des Systems. Werden mehrere KI-Komponenten gemeinsam eingesetzt und beeinflussen sie zusammen eine Entscheidung wesentlich, soll das Gesamtsystem als Hochrisiko-KI gelten. Ein KI-System ist vor allem dann hochriskant, wenn es erhebliche Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte haben kann.

Damit rücken alltägliche oder bloß unterstützende KI-Anwendungen stärker aus dem Fokus. Systeme, die Dokumente sortieren, Duplikate erkennen, Daten strukturieren oder vorbereitende Tätigkeiten übernehmen, werden nicht schon deshalb hochriskant, weil sie in einem sensiblen Umfeld eingesetzt werden. Entscheidend bleibt aber, ob sie das Ergebnis einer Entscheidungsfindung wesentlich beeinflussen.

Genau hier setzt der sogenannte Filtermechanismus des Art 6 Abs 3 KI-VO an. Danach kann ein in Anhang III genanntes KI-System unter bestimmten Voraussetzungen dennoch nicht als hochriskant gelten: etwa wenn es nur eine eng gefasste Verfahrensaufgabe erfüllt, eine zuvor abgeschlossene menschliche Tätigkeit verbessert oder eine vorbereitende Aufgabe für eine spätere Bewertung übernimmt.

Die Leitlinien machen aber ebenso deutlich: Dieser Mechanismus ist keine einfache Ausweichroute. Anbieter müssen ihre Einstufung dokumentieren, bevor das System in Verkehr gebracht oder in Betrieb genommen wird. Außerdem gilt ein Anhang-III-System immer als hochriskant, wenn es Profiling natürlicher Personen vornimmt.

Wichtig ist auch die Klarstellung zur menschlichen Aufsicht. Ein „Human in the Loop“ macht ein KI-System nicht automatisch weniger riskant. Menschliche Aufsicht ist ein zentrales Gestaltungselement der KI-Verordnung, ersetzt aber nicht die vorgelagerte Einstufung. Entscheidend bleibt, welche Funktion das KI-System im konkreten Prozess erfüllt und wie stark es die Entscheidung tatsächlich prägt.

Besonders relevant wird das bei komplexen Systemlandschaften. Werden mehrere KI-Komponenten gemeinsam eingesetzt und beeinflussen sie zusammen eine Entscheidung wesentlich, wird sich die Einstufung nicht isoliert an jedem einzelnen Modul festmachen lassen. Die Kommission schaut auf den tatsächlichen Einsatzkontext – nicht nur auf technische Einzelbausteine.

Parallel dazu bringt der politische Kompromiss zum sogenannten AI Omnibus eine angepasste Timeline. Für KI-Systeme in bestimmten Hochrisiko-Bereichen (etwa Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Migration, Asyl und Grenzkontrolle) sollen die Regeln ab 2. Dezember 2027 gelten. Für KI-Systeme, die in regulierte Produkte wie Robotik, Maschinen oder andere Produktkategorien integriert sind, ist der 2. August 2028 vorgesehen.

Der zusätzliche zeitliche Spielraum sollte jedoch nicht darüber hinwegtäuschen, dass die praktische Vorbereitung jetzt beginnt. Die Leitlinien zeigen klar, wohin sich die Anwendung der KI-Verordnung bewegt: weg von abstrakten Systemkategorien, hin zu konkreten Use Cases, Funktionsanalysen und tatsächlichen Auswirkungen auf Menschen und Grundrechte.

Für Unternehmen bedeutet das: Die Frage „Nutzen wir KI?“ reicht nicht mehr aus. Entscheidend wird sein, welche Rolle ein KI-System im jeweiligen Entscheidungsprozess spielt, welche Zweckbestimmung es hat und ob es Ergebnisse wesentlich beeinflusst.

Key Take-Aways

  • Nicht jede KI-Anwendung fällt automatisch unter die strengen High-Risk-Regeln: entscheidend sind tatsäch¬liche Auswirkungen auf Sicherheit und Grundrechte.
  • Menschliche Kontrolle („Human Oversight“) allein verhindert keine High-Risk-Einstufung.
  • Der „Filtermechanismus“ kann bestimmte unterstützende oder vorbereitende KI-Systeme von der High-Risk-Klassifizierung ausnehmen.
  • Besonders im Fokus stehen künftig komplexe und kombinierte KI-Systeme, die gemeinsam Entscheidungen beeinflussen.
  • Der Entwurf befindet sich noch in Konsultation; Stellungnahmen sind bis 23. Juni 2026 möglich.
Trennstrich bunt

UDSB: Keine Löschung während Beschwerdeverfahren | Fabian Duschnig

Mit einer aktuellen Entscheidung (2025-0.566.415) hat die Datenschutzbehörde (DSB) klargestellt, dass personenbezogene Daten während eines laufenden Auskunfts- oder Beschwerde­verfahrens nicht einfach gelöscht werden dürfen. Wer Daten vernichtet, obwohl gerade über den Umfang eines Auskunftsanspruchs gestritten wird, kann das Recht auf Auskunft nach Art 15 DSGVO verletzen.

Der Entscheidung lag ein Fall aus dem Umfeld des AMS zugrunde. Die Beschwerdeführerin war einer externen Beratungseinrichtung zugeteilt worden und musste dort im Rahmen einer Informationsveranstaltung einen Fragebogen ausfüllen. Im Zeitpunkt der Stellung ihres Auskunftsbegehren nach Art 15 DSGVO an das AMS war der ausgefüllte Erhebungsbogen bereits vernichtet worden.

Anders lag es bei den übrigen Projektdaten. Diese wurden erst nach Stellung des Auskunftsbegehrens durch die externe Beratungseinrichtung gelöscht. Zu diesem Zeitpunkt lief das Verfahren vor der DSB bereits. Eine vollständige Auskunft war danach nicht mehr möglich.

Die DSB nahm die Entscheidung zum Anlass, die Rollenverteilung zwischen Verantwortlichem und Auftragsverarbeiter zu präzisieren. Der Auftragsverarbeiter agiert lediglich als „verlängerter Arm“ des Verantwortlichen. Er ist daher nicht selbst Adressat eines Auskunftsbegehrens. Die Beschwerde gegen die externe Beratungseinrichtung wurde daher mangels Verantwort­licheneigenschaft abgewiesen.

Gegenüber dem AMS gab die DSB der Beschwerde hingegen teilweise statt. Hinsichtlich jener Projektdaten, die während des bereits laufenden Verfahrens gelöscht wurden, sah sie eine Verletzung des Auskunftsrechts.

Zwar enthält die DSGVO kein ausdrückliches Löschverbot ab Eingang eines Auskunftsbegehrens. Die DSB hält aber in ständiger Spruchpraxis fest, dass die Löschung relevanter Daten nach Eingang eines Auskunftsbegehrens (und erst recht während eines laufenden Beschwerdeverfahrens) gegen den Grundsatz von Treu und Glauben verstoßen kann. Dadurch kann zugleich das Recht auf Auskunft nach Art 15 DSGVO verletzt werden.

Besonders wichtig ist die praktische Konsequenz: Auch wenn der Verantwortliche der Ansicht ist, bestimmte Daten nicht beauskunften zu müssen, darf er eine behördliche Prüfung nicht durch Löschung vereiteln. Die Frage, ob ein Auskunftsanspruch besteht und wie weit er reicht, soll im Verfahren geklärt und nicht durch faktische Datenvernichtung vorweggenommen werden.

Inhaltlich betont die Behörde erneut: Art 15 DSGVO begründet keinen pauschalen Anspruch auf Herausgabe vollständiger Dokumente. Der Verantwortliche muss jedoch eine vollständige, verständliche und nachvollziehbare Auskunft erteilen. Wie diese Auskunft im Einzelfall gestaltet wird, liegt in seiner Verantwortung.

Für Unternehmen ist die Entscheidung ein deutlicher Hinweis auf die Bedeutung sauberer interner Prozesse. Sobald ein Auskunftsbegehren eingeht (und erst recht, wenn bereits ein Verfahren vor der DSB läuft), sollten routinemäßige oder automatisierte Löschprozesse für die betroffenen Daten gestoppt werden. Das gilt auch dann, wenn das Unternehmen davon ausgeht, dass einzelne Daten nicht herauszugeben sind.

Key Take-Aways

  • Die Löschung relevanter Daten nach Eingang eines Auskunftsbegehrens (und während dem laufenden Beschwerdeverfahren) kann gegen den Grundsatz von Treu und Glauben verstoßen und das Recht auf Auskunft nach Art 15 DSGVO verletzen.
  • Das Handeln des Auftragsverarbeiters wird dem Verantwortlichen dabei zugerechnet.
  • Art 15 DSGVO gewährt keinen generellen Anspruch auf Herausgabe vollständiger Dokumente, verlangt aber eine vollständige, verständliche und nachvollziehbare Auskunft.
  • Unternehmen sollten bei Auskunftsbegehren und DSB-Verfahren bestehende Löschroutinen unverzüglich prüfen und für relevante Daten aussetzen.
Trennstrich bunt

Reddit vs. Anthropic: Neue Angriffsflächen für KI-Anbieter | Hannah Kercz

Die rechtlichen Auseinandersetzungen rund um das Training generativer KI-Modelle nehmen weiter zu. Während bislang vor allem urheberrechtliche Fragen im Mittelpunkt standen, zeigt ein aktuelles Verfahren zwischen der Plattform Reddit und dem KI-Unternehmen Anthropic, dass die rechtlichen Risiken für KI-Anbieter deutlich weiter reichen können.

Reddit wirft Anthropic vor, Inhalte von Reddit-Nutzern ohne Zustimmung automatisiert ausgelesen und für das Training des KI-Chatbots Claude verwendet zu haben. Bemerkenswert ist dabei, dass Reddit seine Klage nicht primär auf Urheberrechtsverletzungen stützt. Stattdessen macht das Unternehmen unter anderem Vertragsverletzungen, ungerechtfertigte Bereicherung, Eingriffe in technische Systeme, Beeinträchtigungen vertraglicher Beziehungen zu seinen Nutzern sowie unlauteren Wettbewerb geltend. Anthropic argumentierte rein prozessrechtlich dagegen, dass es sich um urheberrechtliche Ansprüche handle und daher ausschließlich Bundesgerichte zuständig seien.

Dieser Auffassung folgte das zuständige US-Gericht jedoch nicht (3:25-cv-05643). Zwar stellte es fest, dass die auf Reddit veröffentlichten Inhalte grundsätzlich in den Schutzbereich des Urheberrechts fallen können, die von Reddit geltend gemachten Ansprüche beträfen jedoch zusätzliche Aspekte, die über das Urheberrecht hinausgehen. Insbesondere die behauptete Umgehung technischer Schutzmaßnahmen, Verstöße gegen die Nutzungsbedingungen der Plattform sowie Eingriffe in die technische Infrastruktur und den Datenschutz der Nutzer seien eigenständige rechtliche Fragestellungen. Gerade diese “zusätzlichen Elemente” unterscheiden die Klage nach Ansicht des zuständigen US-Gerichts von einer klassischen Urheberrechtsverletzung.

Die Entscheidung ist Teil einer größeren Entwicklung im Zusammenhang mit KI-Trainingsdaten. Weltweit sehen sich Anbieter generativer KI mit einer wachsenden Zahl von Verfahren konfrontiert, in denen Verlage, Plattformbetreiber, Kreative und Rechteinhaber die Nutzung ihrer Inhalte hinterfragen. Während sich die öffentliche Diskussion häufig auf das Urheberrecht konzentriert, zeigt der Reddit-Fall, dass die Auseinandersetzung zunehmend auch auf Vertragsrecht, Wettbewerbsrecht und technische Zugangsbeschränkungen verlagert wird. Für Plattformbetreiber eröffnet dies zusätzliche Möglichkeiten, gegen die Nutzung ihrer Inhalte vorzugehen – selbst dort, wo urheberrechtliche Ansprüche unsicher erscheinen.

Auch wenn über die materielle Berechtigung der Vorwürfe noch nicht entschieden wurde, könnte das Verfahren erhebliche Signalwirkung entfalten. Sollte sich diese Linie in der Rechtsprechung durchsetzen, wird für KI-Unternehmen künftig nicht nur entscheidend sein, welche Daten für das Training verwendet werden, sondern auch auf welchem Weg diese Daten beschafft wurden und ob dabei Nutzungsbedingungen oder technische Schutzmechanismen eingehalten wurden. Die Diskussion um KI-Training entwickelt sich damit zunehmend von einer reinen Urheberrechtsdebatte zu einer umfassenden Compliance-Frage.

Key Take-Aways

  • KI-Training betrifft nicht nur das Urheberrecht: Auch Vertrags-, Wettbewerbs- und Datenschutzaspekte können rechtliche Risiken begründen.
  • Nutzungsbedingungen gewinnen an Bedeutung: Plattformregeln und technische Zugangsbeschränkungen können eigenständige Anspruchsgrundlagen schaffen.
  • Herkunft der Daten wird entscheidend: Für KI-Anbieter rückt zunehmend die Frage in den Fokus, wie Trainingsdaten beschafft wurden und nicht nur, welche Inhalte verwendet werden.
Trennstrich bunt

DSA: Risikobewertung ist kein Papiertiger | Gernot Fritz

Die Europäische Kommission hat gegen Temu eine Geldbuße von EUR 200 Mio verhängt. Der Vorwurf: Die Plattform habe die systemischen Risiken illegaler Produkte auf ihrem Marktplatz nicht ausreichend identifiziert, analysiert und bewertet.

Die Entscheidung zeigt sehr deutlich, wie die Kommission die Risikobewertung nach dem Digital Services Act (DSA) versteht. Es reicht nicht, allgemeine Risiken des Onlinehandels zu beschreiben. Sehr große Online-Plattformen müssen konkret untersuchen, welche Risiken sich gerade aus ihrem eigenen Geschäftsmodell, ihrer technischen Architektur und der tatsächlichen Nutzung ihres Dienstes ergeben.

Genau daran fehlte es nach Ansicht der Kommission. Temus Risikobewertung sei zu allgemein geblieben und habe sich wesentlich auf branchenbezogene Informationen gestützt, anstatt die spezifische Situation auf der eigenen Plattform belastbar abzubilden. Dadurch sei unterschätzt worden, wie häufig Verbraucher in der EU mit rechtswidrigen oder unsicheren Produkten konfrontiert werden.

Die Kommission beließ es dabei nicht bei einer abstrakten Analyse. Im Rahmen eines „Mystery Shopping“-Verfahrens wurden Produkte testweise gekauft und untersucht. Bei einem sehr hohen Anteil der ausgewählten Ladegeräte wurden grundlegende Sicherheitsstandards nicht erfüllt. Auch bei getesteten Babyspielzeugen wurden erhebliche Risiken festgestellt, etwa durch Chemikalien oberhalb der zulässigen Grenzwerte oder ablösbare Kleinteile mit Erstickungsgefahr.

Besonders relevant ist, dass die Kommission nicht nur auf einzelne Produkte blickt. Auch die Funktionsweise der Plattform selbst wird Teil der Risikobewertung. Temu habe nicht ausreichend untersucht, wie Empfehlungssysteme und Verkaufsförderungsprogramme mit Influencern dazu beitragen können, die Verbreitung illegaler Produkte zusätzlich zu verstärken.

Damit wird deutlich: DSA-Compliance lässt sich nicht auf einzelne Meldeprozesse oder Händlerprüfungen reduzieren. Risikomanagement betrifft die gesamte Plattformarchitektur. Wer Produkte empfiehlt, Reichweite gezielt verstärkt oder Anreize für bestimmte Verkaufsmechanismen setzt, muss auch analysieren, welche Risiken dadurch entstehen und wie diese wirksam begrenzt werden können.

Die Entscheidung folgt einer Entwicklung, die sich bereits in anderen DSA-Verfahren abzeichnet. Compliance wird zunehmend funktional verstanden. Entscheidend ist nicht, ob ein Dokument vorhanden ist, sondern ob die Risikobewertung auf belastbaren Daten beruht, die tatsächlichen Risiken realistisch abbildet und zu wirksamen Maßnahmen führt.

Temu muss nun bis 28. August 2026 einen Maßnahmenplan vorlegen. Dieser muss darlegen, wie die festgestellten Mängel bei der Risikobewertung behoben werden sollen. Bei mangelnder Umsetzung drohen weitere Bußgelder.

Für Online-Plattformen ist die Botschaft klar: Risikobewertungen dürfen nicht als formale Pflichtübung behandelt werden. Sie müssen laufend aktualisiert, mit konkreten Daten unterlegt und eng mit Produktdesign, Empfehlungssystemen und Vertriebsmechanismen verknüpft werden.

  • Risikobewertungen nach dem DSA müssen plattformspezifisch und evidenzbasiert sein. Allgemeine Aussagen zu Risiken des Onlinehandels reichen nicht aus.
  • Die Kommission prüft zunehmend, ob Compliance-Maßnahmen in der Praxis funktionieren. Testkäufe, externe Datenquellen und konkrete Produkttests können dabei eine zentrale Rolle spielen.
  • Auch Empfehlungssysteme und Affiliate-Programme werden zum Compliance-Thema. Plattformen müssen untersuchen, ob ihre eigenen Mechanismen die Verbreitung rechtswidriger oder unsicherer Produkte verstärken.
Trennstrich bunt

ctrl + law – ordnet ein, was rechtlich relevant wird.

Klar, kompakt, praxisnah.

Jetzt abonnieren und dranbleiben.