Zurück

ctrl + law | Ausgabe 17

16.06.2026

ctrl + law – Verantwortung wird operativ | Gernot Fritz

Mit der siebzehnten Ausgabe von ctrl + law rückt ein Thema in den Mittelpunkt, das sich durch Cybersicherheitsrecht, Plattformregulierung, KI-Transparenz, digitale Kommunikation und technologische Souveränität zieht: Verantwortung entsteht nicht erst im Streitfall. Sie muss vorher in Strukturen, Prozessen und Entscheidungen übersetzt werden.

Besonders deutlich zeigt das das NISG 2026. Die neuen FAQ der WKO und der NIS-Behörde schaffen keine verbindlichen neuen Regeln, machen aber klar, wo Unternehmen jetzt ansetzen müssen. Der Anwendungsbereich wird nicht durch eine vorgelagerte behördliche Einstufung geklärt, sondern durch die eigene Prüfung der Einrichtung. Scoping wird damit zur Compliance-Aufgabe. Wer in einem relevanten Sektor tätig ist, Nebentätigkeiten ausübt, konzerninterne IT-Leistungen erbringt oder Lieferketten steuert, muss genauer hinsehen. Cybersicherheits-Compliance beginnt bei Governance, Dokumentation, Schulung und vertraglicher Absicherung.

Auch der Digital Services Act wird zunehmend operativ. Der Entwurf der Trusted-Flagger-Guidelines zeigt, dass es nicht genügt, einen Meldekanal formal bereitzustellen. Plattformbetreiber müssen priorisierte Meldungen tatsächlich in ihre Notice-and-Action-Prozesse integrieren, dokumentieren und nachweisbar bearbeiten können. Zugleich erhalten Trusted Flaggers keinen Freibrief. Expertise, Unabhängigkeit und Qualitätssicherung werden zur Voraussetzung für einen privilegierten Zugang zu Plattformverfahren.

Dass digitale Interaktionen rechtlich nicht schematisch bewertet werden dürfen, zeigt auch die aktuelle OGH-Entscheidung zum Facebook-Like. Ein Like kann rechtlich relevant sein. Er bedeutet aber nicht automatisch uneingeschränkte Zustimmung zu einer fremden Aussage. Entscheidend bleibt der konkrete Kommunikationszusammenhang und das Verständnis eines durchschnittlichen Betrachters. Digitale Kommunikation braucht rechtliche Bewertung, aber keine reflexartige Überdehnung klassischer Erklärungsmuster.

Im Bereich KI-Transparenz verschiebt sich der Fokus ebenfalls von der Grundsatzfrage zur Umsetzung. Der veröffentlichte Code of Practice zur Kennzeichnung und zum Labelling KI-generierter Inhalte macht deutlich: Transparenz ist kein bloßer Hinweis irgendwo am Ende eines Outputs. Für Anbieter geht es um technische Markierungen, Metadaten und Wasserzeichen. Für Betreiber geht es um sichtbare Labels, Platzierung, menschliche Prüfung, redaktionelle Verantwortung und Korrekturprozesse. Wer KI-generierte Inhalte erstellt, veröffentlicht oder weiterverbreitet, muss künftig nicht nur entscheiden, ob gekennzeichnet wird, sondern auch wie, wo, wann und durch wen.

Eine andere Facette derselben Entwicklung zeigt die Entscheidung des LG München I zu KI-generierten Suchantworten. Unternehmen brauchen effektiven Schutz, wenn sie durch prominente KI-Antworten zu Unrecht mit Betrug, unseriösen Geschäftspraktiken oder ähnlichen Vorwürfen in Verbindung gebracht werden. Gleichzeitig stellt sich die Frage, wie weit die Zurechnung solcher KI-Antworten an Suchanbieter reichen darf. Wird aus jeder fehlerhaften KI-Zusammenfassung zu schnell eine eigene haftungsrechtliche Tatsachenbehauptung, droht eine faktische Wahrheitsgarantie, die nur begrenzt zur Funktionsweise generativer KI passt.

Schließlich zeigt das Technological Sovereignty Package der Europäischen Kommission, dass digitale Verantwortung längst auch eine industrie- und standortpolitische Dimension hat. Computerchips, Cloud, KI, Open Source und digitale Infrastrukturen werden nicht mehr nur als technische Ressourcen verstanden, sondern als strategische Grundlagen europäischer Handlungsfähigkeit. Für Unternehmen bedeutet das: Abhängigkeiten bei kritischen Technologien sowie digitalen Lieferketten werden stärker in Risiko-, Beschaffungs- und Compliance-Entscheidungen einfließen müssen.

Die gemeinsame Klammer dieser Ausgabe ist daher klar: Digitalrecht wird konkreter. Es fragt nicht nur, ob eine Pflicht besteht, sondern wer organisatorisch dafür verantwortlich ist, wie sie technisch umgesetzt wird, wie Prozesse dokumentiert werden und wie Unternehmen reagieren, wenn etwas schiefläuft. Ob NISG, DSA, AI Act, KI-Suche oder technologische Souveränität – rechtliche Verantwortung lässt sich immer weniger von der tatsächlichen Gestaltung digitaler Systeme trennen.

Genau an dieser Schnittstelle setzt ctrl + law an: Dort, wo Regulierung nicht bei Begriffen stehen bleibt, sondern in Abläufe, Verträge, Governance und Produktentscheidungen übersetzt werden muss.

Und weil digitale Realität keine ctrl + law Pausen kennt, haben wir am E+H News Portal laufend nachgeschärft:

Wir wünschen eine anregende Lektüre.

Trennstrich bunt

FAQ zum NISG 2026 – Von der Orientierung zur Umsetzung | Tanja Pfleger

Die WKO hat gemeinsam mit der NIS-Behörde im BMI am 2. Juni 2026 umfangreiche FAQ zum NISG 2026 veröffentlicht. Die FAQ sind, wenngleich rechtlich nicht verbindlich, ein wichtiger Reality-Check für Unternehmen, die gerade prüfen, ob und wie sie unter das neue Cybersicherheitsregime fallen.

Das NISG 2026 tritt am 1. Oktober 2026 vollständig in Kraft. Ab diesem Zeitpunkt müssen die Vorgaben erfüllt sein – insbesondere Risikomanagementmaßnahmen, Schulungen für Leitungsorgane und Mitarbeitende sowie die organisatorischen Pflichten rund um Registrierung, Nachweise und Vorfallsmeldungen.

Für den Anwendungsbereich gilt grundsätzlich, wer in einem NIS-relevanten Sektor tätig ist und zumindest mittlere Unternehmens­größe erreicht, kann erfasst sein. Hinzu kommen Sonderfälle, etwa bei digitaler Infrastruktur, sowie größenunabhängige Einstufungen. Die Prüfung erfolgt nicht durch eine vorgelagerte behördliche Einstufung, sondern durch die Einrichtung selbst. Der Scope-Check wird damit zur eigenen Compliance-Aufgabe von Unternehmen und Organisationen.

Die WKO-FAQ machen auch deutlich, dass Österreich keine allgemeine Bagatellausnahme kennt. Auch untergeordnete oder „vernachlässigbare“ Tätigkeiten können zur NISG-Betroffenheit führen. Gerade bei Konzernen, Nebentätigkeiten, internen IT-Dienstleistern oder ausgelagerten Services kann die Prüfung daher deutlich komplexer sein als auf den ersten Blick vermutet. Konzerninterne IT-Dienstleister können etwa als Managed Service Provider erfasst sein, wenn sie mit administrativem Zugriff operative Leistungen an Netz- und Informationssystemen anderer Konzerngesellschaften erbringen.

Das Leitungsorgan ist typischerweise Geschäftsführung oder Vorstand. Diese müssen die Einhaltung der Risikomanagementmaßnahmen sicherstellen und beaufsichtigen, an spezifischen Cybersicherheitsschulungen teilnehmen und regelmäßige Schulungen für Mitarbeitende ermöglichen. Allgemeine Awareness-Schulungen reichen für Leitungsorgane nicht aus.

Wesentliche und wichtige Einrichtungen müssen sich ab 1. Oktober 2026 bis spätestens 31. Dezember 2026 über das Unternehmensserviceportal registrieren. Die Selbstdeklaration zu umgesetzten Risikomanagementmaßnahmen ist bis 30. September 2027 zu übermitteln. Wer die Registrierungspflicht nicht einhält, riskiert empfindliche Geldstrafen bis EUR 50.000, im Wiederholungsfall bis EUR 100.000.

Inhaltlich bleibt das Risikomanagement der Kernbereich der NISG 2026 Compliance: Risikoanalyse, Incident Response, Business Continuity, Lieferkettensicherheit, sichere Beschaffung und Wartung von IT-Systemen, Wirksamkeitskontrollen, Cyberhygiene, Kryptografie, Zugriffskontrolle und Multi-Faktor-Authentifizierung. Eine ISO-27001-Zertifizierung kann hilfreich sein, ersetzt aber nicht automatisch die gesetzlichen Anforderungen.

Besonders wichtig ist auch die Lieferkette. Erfasst sind nicht pauschal alle Lieferanten, aber auch nicht nur klassische IT-Dienstleister. Maßgeblich ist, ob ein Anbieter Netz- und Informationssysteme unterstützt oder ermöglicht. Verträge müssen daher konkrete, überprüfbare Cybersicherheits­anforderungen enthalten – ein bloßer Hinweis auf das NISG 2026 in AGB oder Einkaufsbedingungen wird nicht genügen.

Die FAQ nehmen dem NISG 2026 nicht die Komplexität, machen aber sichtbar, wo die Arbeit beginnen muss: beim Scoping, bei der Governance, bei der Dokumentation und bei den Verträgen entlang der Lieferkette.

Key Take-Aways

  • Scope ansehen: Unternehmen sollten spätestens jetzt prüfen, ob sie (ggf. nur mit minimalen Nebentätigkeiten) unter das NISG 2026 fallen.
  • Geschäftsleitung einbinden: NISG-Compliance ist keine reine IT-Aufgabe. Geschäftsführung und Vorstand brauchen spezifische Schulungen und müssen Risikomanagement¬maßnahmen aktiv beaufsichtigen.
  • Nachweise vorbereiten: Registrierung bis 31. Dezember 2026 und Selbstdeklaration bis 30. September 2027.
  • Lieferkette vertraglich absichern: Pauschale NISG-Klauseln reichen nicht.
Trennstrich bunt

OGH: Wann ein „Like“ rechtlich relevant wird | Amina Kovacevic

Mit Entscheidung vom 26. Mai 2026 (6 Ob 26/26f) hatte sich der OGH mit einer Frage auseinanderzusetzen, die angesichts sozialer Medien zunehmend praktische Relevanz gewinnt: Welche rechtliche Bedeutung kommt einem “Facebook-Like” zu? Konkret ging es darum, ob das “Liken” eines beleidigenden Kommentars selbst als Persönlichkeitsverletzung nach § 1330 ABGB qualifiziert werden kann.

Ausgangspunkt des Verfahrens war ein privater Facebook-Post des Klägers über eine Familienfeier. Der Kläger veröffentlichte dabei ein Foto sowie einen positiven Kommentar über seine Ehe und bezeichnete sich selbst als “Glückspilz”, mit seiner Frau verheiratet zu sein. Darauf reagierte ein anderer Nutzer mit einem abwertenden Kommentar. Die Beklagte reagierte auf diesen Kommentar mit der “Facebook-Like”-Funktion.

Der Kläger sah darin eine Unterstützung der beleidigenden Aussagen und begehrte im Wege einer einstweiligen Verfügung die Unterlassung solcher Reaktionen. Das Rekursgericht folgte dieser Argumentation zunächst und qualifizierte den “Like” als Beteiligung an der Ehrverletzung.

Der OGH hob diese Entscheidung jedoch auf und nahm erstmals grundlegend zur rechtlichen Einordnung von “Likes” in sozialen Netzwerken Stellung.

Zunächst stellte der OGH klar, dass auch ein “Like” grundsätzlich eine rechtlich relevante Äußerung darstellen kann. Gedankliche Inhalte würden nämlich auch durch grafische Symbole kommuniziert werden. Entscheidend sei jedoch stets, welchen Bedeutungsinhalt ein durchschnittlicher Betrachter der konkreten Reaktion im jeweiligen Kommunikationszusammenhang beimisst.

Einem “Like” kommt gerade kein automatisch eindeutiger Aussagegehalt zu. Nutzer sozialer Netzwerke würden “Likes” nicht als individuell formulierte Erklärung verstehen, sondern vielmehr als Teil eines allgemeinen Stimmungsbilds. Die Intensität der Zustimmung bleibe dabei häufig offen: Ein “Like” könne Zustimmung zu einzelnen Aspekten, bloße Sympathie, allgemeines Interesse oder auch lediglich eine diffuse Antipathie gegenüber einer Person ausdrücken.

Maßgeblich ist dabei nicht der subjektive Wille der likenden Person, sondern das Verständnis eines unbefangenen Durchschnittsbetrachters. Der OGH überträgt damit seine ständige Rechtsprechung zur Auslegung von Äußerungen nach § 1330 ABGB auf digitale Kommunikationsformen.

Im konkreten Fall wertete der OGH den “Like” nicht als Zustimmung zu den konkreten Vorwürfen des kommentierenden Nutzers. Aus Sicht eines durchschnittlichen Betrachters bringe die Reaktion vielmehr bloß eine allgemeine Ablehnung bzw. Antipathie gegenüber dem Kläger oder dessen Darstellung privaten Eheglücks zum Ausdruck. Dass sich die Beklagte damit die Aussagen zu angeblicher “Falschheit”, mangelnder Ehrlichkeit oder fehlendem Anstand des Klägers vollinhaltlich zu eigen gemacht hätte, könne dem “Like” hingegen nicht entnommen werden.

Eine Verletzung der Ehre oder des wirtschaftlichen Rufs iSd § 1330 ABGB liege daher nicht vor. Die beantragte einstweilige Verfügung wurde abgewiesen.

Die Entscheidung verdeutlicht, dass digitale Kommunikationsformen nicht schematisch bewertet werden dürfen. Auch scheinbar banale Interaktionen wie Likes, Emojis oder Reaktionen können rechtlich relevant sein, ihre Bedeutung erschließt sich jedoch erst aus dem konkreten Kontext. Der OGH erteilt damit einer pauschalen Gleichsetzung von “Like” und uneingeschränkter Zustimmung eine Absage.

Key Take-Aways

  • Ein "Facebook-Like" kann grundsätzlich eine rechtlich relevante Äußerung darstellen und Ansprüche nach § 1330 ABGB auslösen.
  • Entscheidend ist, wie ein Durchschnittsbetrachter die konkrete Reaktion im jeweiligen Kommunikationskontext versteht.
  • Ein „Like“ bedeutet nicht automatisch, dass sich der Nutzer den Inhalt einer fremden Aussage vollinhaltlich zu eigen macht. Bei digitalen Reaktionen bleibt eine Einzelfallbetrachtung erforderlich.
Trennstrich bunt

Trusted Flagger: Kommission schärft DSA-Meldekanal | Gernot Fritz

Die Europäische Kommission hat den Entwurf ihrer Guidelines zu Trusted Flaggers unter dem Digital Services Act (DSA) veröffentlicht und zur Konsultation gestellt. Damit wird ein Mechanismus konkretisiert, der für die operative Durchsetzung des DSA deutlich wichtiger werden dürfte, als es der eher technische Begriff vermuten lässt.

Trusted Flagger sind spezialisierte Organisationen, die rechtswidrige Inhalte an Online-Plattformen melden können. Ihre Meldungen müssen von Plattformbetreibern prioritär behandelt und ohne unangemessene Verzögerung geprüft werden. Die Entscheidung, ob ein Inhalt tatsächlich rechtswidrig ist und entfernt oder beschränkt wird, bleibt aber beim Plattformbetreiber. Genau darin liegt der zentrale Balanceakt: Trusted Flagger sollen Verfahren beschleunigen, ohne zu einer ausgelagerten Löschinstanz zu werden.

Der Entwurf setzt daher an mehreren Stellen an. Erstens präzisiert er die Kriterien für die Zuerkennung des Trusted-Flagger-Status durch die Digital Services Coordinators. Erforderlich sind insbesondere besondere Expertise im jeweiligen Bereich rechtswidriger Inhalte, Unabhängigkeit von Online-Plattformen sowie eine sorgfältige, genaue und objektive Arbeitsweise. Zweitens enthält der Entwurf Vorgaben zu technischen und organisatorischen Abläufen: Plattformbetreiber müssen Trusted-Flagger-Meldungen so in ihre Notice-and-Action-Prozesse integrieren, dass eine echte Priorisierung praktisch funktioniert. Drittens werden Transparenz, Berichtspflichten und die Möglichkeit der Suspendierung oder des Widerrufs des Status geschärft.

Nicht zufällig baut die Kommission auf einer vorbereitenden Studie auf, die bestehende freiwillige Trusted-Flagger-Systeme und erste Umsetzungsfragen untersucht hat. Deren Befund: Entscheidend sind weniger große Grundsatzfragen als klare Verfahren, verlässliche Daten, ausreichende Ressourcen und vergleichbare Berichtspflichten.

Für Unternehmen ist der Entwurf aus zwei Perspektiven relevant. Plattformbetreiber müssen ihre Meldekanäle, Priorisierungslogik, Dokumentation und Eskalationsprozesse auf robuste Trusted-Flagger-Verfahren ausrichten. Gleichzeitig kann der Status für spezialisierte Akteure (etwa im Bereich IP-Verletzungen, Betrug, Produktsicherheit, Minderjährigenschutz oder Online-Harassment) ein wirksames Instrument werden, um rechtswidrige Inhalte schneller adressieren zu lassen.

Der Entwurf zeigt aber auch die Grenzen des Mechanismus. Trusted Flagger erhalten keinen Freibrief. Wer ungenaue, unsubstantiierte oder missbräuchliche Meldungen erstattet, riskiert Untersuchung, Suspendierung und Widerruf. Umgekehrt dürfen Plattformbetreiber die Priorisierung nicht nur formal abbilden, sondern müssen nachweisen können, dass Trusted-Flagger-Meldungen tatsächlich effizient und rechtskonform behandelt werden.

Der Trusted-Flagger-Mechanismus wird damit zu einem weiteren Beispiel dafür, wie der DSA Regulierung in operative Prozesse übersetzt: Governance, Meldewege, Qualitätssicherung, Reporting und Nachweisbarkeit werden zum Maßstab. Für Plattformbetreiber bedeutet das mehr Prozessdisziplin. Für spezialisierte Organisationen eröffnet es einen privilegierten Zugang zu Plattformverfahren – allerdings nur, wenn Expertise, Unabhängigkeit und Sorgfalt dauerhaft belastbar sind.

  • Plattformbetreiber sollten ihre Notice-and-Action-Prozesse darauf prüfen, ob Trusted-Flagger-Meldungen tatsächlich priorisiert, dokumentiert und nachvollziehbar bearbeitet werden können.
  • Unternehmen und Verbände mit besonderer Expertise (etwa in IP, Betrug, Produktsicherheit oder Minderjährigenschutz) sollten prüfen, ob der Trusted-Flagger-Status ein sinnvolles Instrument zur effizienteren Rechtsdurchsetzung sein kann.
  • Trusted Flagger müssen auf belastbare interne Qualitätssicherung setzen: ungenaue oder missbräuchliche Meldungen gefährden nicht nur einzelne Verfahren, sondern auch den Status selbst.
Trennstrich bunt

EU Technological Sovereignty Package: Was die Kommission plant | Fabian Duschnig

Am 3. Juni 2026 präsentierte die Europäische Kommission ein umfangreiches Maßnahmenpaket zur Stärkung der digitalen Autonomie Europas – das sogenannte Technological Sovereignty Package. Zur Erläuterung der wesentlichen Inhalte veröffentlichte die Kommission ein Q&A-Dokument, das zentrale Fragen zum Paket beantwortet und dessen Zielsetzung erläutert. Das Paket umfasst zwei Legislativvorschläge (den Chips Act 2.0 und den Cloud and AI Development Act), die EU Open Source Strategy sowie einen Strategischen Fahrplan für Digitalisierung und KI im Energiesektor.

Im Q&A-Dokument beschreibt die Kommission technologische Souveränität als Europas Fähigkeit, seine kritischen Technologien, Infrastrukturen, Dienste und Daten selbst zu entwickeln, zu kontrollieren und zu skalieren – jene Elemente also, die nach Ansicht der Kommission Wirtschaft, Sicherheit und Gesellschaft tragen. Das Paket markiere einen entscheidenden Wandel: weg von Abhängigkeiten, hin zum Aufbau eigener Kapazitäten. Europas Stärken, von seiner führenden Rolle bei der Herstellung von Maschinen für die Chipproduktion über erstklassige Forschungseinrichtungen bis hin zu einer starken Open-Source-Community, würden bislang nicht vollständig genutzt werden.

Im Bereich Halbleiter betont die Kommission, dass Computerchips unverzichtbare Bausteine moderner Technologie seien – von Smartphones und Autos bis hin zu KI sowie kritischer Infrastruktur in Gesundheit, Energie und Verteidigung. Den globalen Chipmarkt schätzt die Kommission für 2025 auf rund 595 Milliarden Euro. Bis 2030 solle die Billion-Euro-Schwelle überschritten werden, wobei KI-bezogene Komponenten über 70 Prozent des weltweiten Halbleitermarkts ausmachen würden. Ohne eigene Kapazitäten zur Entwicklung und Herstellung fortschrittlicher Chips bleibe die EU stark von Drittstaaten abhängig und anfällig für Versorgungsunterbrechungen. Dem soll der Chips Act 2.0 entgegenwirken.

Zum Thema Cloud und KI erläutert die Kommission im Q&A-Dokument, dass Europa derzeit zu stark auf Nicht-EU-Anbieter angewiesen sei. Viele Anbieter würden mit Begriffen wie „sicher” oder „souverän” werben, ohne dass hierfür ein klarer Bewertungsrahmen bestehe. Der Cloud and AI Development Act solle diesem Problem durch eine klare Definition von EU-Cloud- und KI-Souveränität begegnen und Nutzern mit hohem Sicherheitsbedarf helfen, vertrauenswürdige EU-Dienste zu identifizieren und auszuwählen.

In Bezug auf die Open Source Strategy hält die Kommission fest, dass Open-Source-Software bereits heute einen Großteil der weltweiten digitalen Infrastruktur bildet, darunter Betriebssysteme, Cloud-Technologien, Webplattformen und KI-Frameworks. Die Strategie soll Marktzutrittsbarrieren senken, Abhängigkeiten reduzieren und die Wiederverwendung digitaler Bausteine fördern, um die Wettbewerbsfähigkeit europäischer Unternehmen (insbesondere kleiner und mittlerer Unternehmen) zu stärken. Darüber hinaus sollen Open-Source-Unternehmen und Start-ups beim Wachstum und der Skalierung unterstützt werden, unter anderem durch digitale Business-Akzeleratoren, Mentoring und rechtliche Beratung.

Zudem kündigt die Kommission einen strategischen Fahrplan für Digitalisierung und KI im Energiesektor an, dessen Ziel es ist, das Potenzial digitaler und KI-basierter Lösungen zu nutzen und zugleich deren Auswirkungen auf das Energiesystem zu steuern.

Welche Neuerungen sich aus den einzelnen Rechtsakten letztlich ergeben, bleibt jedoch abzuwarten und wird sich erst im Zuge der jeweiligen weiteren Gesetzgebungsverfahren konkretisieren.

  • Unternehmen sollten Abhängigkeiten bei Chips, Cloud-, KI- und digitalen Infrastrukturen stärker in ihre Risiko- und Lieferkettenstrategie einbeziehen.
  • Bei Cloud- und KI-Diensten werden Souveränitäts- und Sicherheitskriterien künftig an Bedeutung gewinnen – besonders bei erhöhtem Schutzbedarf.
  • Open Source kann für Unternehmen ein wichtiger Hebel werden, um Abhängigkeiten zu reduzieren und digitale Lösungen schneller zu skalieren.
Trennstrich bunt

AI-Content: Der Transparenz-Code ist veröffentlicht | Tanja Pfleger

Schon in ctrl + law Ausgabe 5 haben wir über den ersten Entwurf des Code of Practice zur Kennzeichnung und Erkennbarkeit KI-generierter Inhalte berichtet. Die Europäische Kommission hat am 10. Juni 2026 den Code of Practice zur Kennzeichnung und zum Labelling KI-generierter Inhalte veröffentlicht. Damit wird aus einem Orientierungspapier im Entwurfsstadium ein praktischer Referenzrahmen für die Transparenzpflichten des AI Act, die ab 2. August 2026 gelten sollen.

Inhaltlich bleibt die Grundlogik gleich: Anbieter generativer KI-Systeme müssen technische Markierungen ermöglichen, Betreiber müssen bestimmte Inhalte sichtbar offenlegen. Für Anbieter geht es weiterhin um maschinenlesbares Marking, insbesondere bei synthetischen oder manipulierten Audio-, Bild-, Video- und Textinhalten. Der Code setzt dabei grundsätzlich auf einen mehrschichtigen Ansatz mit digital signierten Metadaten und unsichtbaren Wasserzeichen. Marking ist kein bloßer Hinweis am Ende des Outputs, sondern Teil des Produktdesigns.

Für Betreiber steht das Labelling im Vordergrund. Deepfakes müssen klar offengelegt werden. Gleiches gilt für KI-generierte oder KI-manipulierte Texte, die zur Information der Öffentlichkeit über Angelegenheiten von öffentlichem Interesse veröffentlicht werden, sofern keine menschliche Prüfung oder redaktionelle Kontrolle stattgefunden hat und keine redaktionelle Verantwortung übernommen wird.

Der Code ist freiwillig, aber nach positiver Bewertung durch die Kommission und das AI Board wird er zum wichtigen Compliance-Benchmark: Wer ihn unterzeichnet und umsetzt, kann sich darauf stützen, um die Einhaltung der Transparenzpflichten nachzuweisen. Wer einen anderen Weg wählt, muss darlegen können, dass die eigenen Maßnahmen gleichwertig und ausreichend sind.

Auch das Icon-Thema ist konkreter geworden. Die EU stellt nun ein eigenes Icon-Set zur Verfügung, etwa für allgemein KI-beteiligte Inhalte, vollständig KI-generierte Inhalte und teilweise KI-modifizierte Inhalte. Die Icons sind freiwillig und kostenlos nutzbar. Entscheidend bleibt dennoch, ob die Offenlegung im konkreten Fall klar, unterscheidbar, rechtzeitig und barrierefrei erfolgt.

Besonders praxisrelevant sind die Platzierungsregeln. Labels sollen spätestens beim ersten Kontakt mit dem Inhalt wahrnehmbar sein, nicht durch andere Elemente überdeckt werden und möglichst direkt im Inhalt oder über ein gleichwertiges Interface angezeigt werden. Bei weiterverbreiteten Inhalten soll die Kennzeichnung möglichst erhalten bleiben. Für Audio-Deepfakes kann ein kurzer hörbarer Hinweis am Beginn erforderlich sein.

Damit verschiebt sich der Fokus: Es geht nicht mehr nur darum, ob ein KI-Label irgendwo vorhanden ist. Unternehmen müssen konkret definieren, wann gelabelt wird, welches Label verwendet wird, wo es erscheint, wer es prüft und wie fehlerhafte oder fehlende Kennzeichnungen korrigiert werden. Gerade Marketing, Kommunikation, Medien, Plattformen und Anbieter generativer KI-Tools sollten ihre Workflows daher jetzt finalisieren.

  • Code ist freiwillig, Pflichten sind verbindlich: Unterzeichner können den Code nach positiver Bewertung als Nachweisrahmen nutzen.
  • EU-Icons sind da: Sie schaffen einen einheitlichen Kennzeichnungsstandard, ersetzen aber keine Prüfung, ob die Offenlegung im konkreten Fall ausreicht.
  • Labelling braucht Governance: Unternehmen sollten Icon-Auswahl, Platzierung, Freigaben, menschliche Prüfung, redaktionelle Verantwortung und Korrekturprozesse dokumentieren.
Trennstrich bunt

KI-Antworten unter Wahrheitsdruck | Gernot Fritz

Das LG München I hat eine der ersten Entscheidungen zur Haftung für KI-generierte Suchantworten getroffen. Im Ergebnis untersagte das Gericht einem Suchanbieter, bestimmte Aussagen aus einer „Übersicht mit KI“ weiterzuverbreiten. Die KI-Antwort hatte zwei Verlagsunternehmen unter anderem mit Betrugsmaschen, unseriösen Geschäftspraktiken und Abo-Fallen in Verbindung gebracht.

Dass Unternehmen gegen solche Aussagen effektiven Rechtsschutz brauchen, steht außer Frage. Wer in einer prominent ausgespielten KI-Antwort zu Unrecht mit Betrugsvorwürfen in Verbindung gebracht wird, kann erheblichen Reputationsschaden erleiden. Gerade deshalb ist die Entscheidung praktisch wichtig.

Kritischer zu sehen ist aber, wie weit die Zurechnung KI-generierter Aussagen an den Suchanbieter reichen soll. Das LG München I behandelt die „Übersicht mit KI“ nicht als bloßes Suchergebnis, sondern als eigenständig zurechenbare Äußerung. Der Suchanbieter zeige nicht nur Links oder Snippets an, sondern formuliere eine eigene zusammenfassende Antwort mit eigenem Aussagegehalt.

Dieser Ansatz ist nachvollziehbar, soweit KI-Antworten besonders prominent und autoritativ präsentiert werden. Er birgt aber auch erhebliche Risiken. Suchanbieter verarbeiten enorme Mengen dynamischer Drittinhalte. KI-gestützte Zusammenfassungen sind gerade darauf ausgelegt, Informationen aus verschiedenen Quellen nutzerfreundlich aufzubereiten. Wird daraus zu schnell eine eigene haftungsrechtliche Tatsachenbehauptung des Anbieters, verschiebt sich der Maßstab deutlich: Aus einem Vermittlungs- und Orientierungssystem wird rechtlich beinahe ein redaktioneller Garant für die Richtigkeit jeder generierten Aussage.

Das passt nur begrenzt zur Funktionsweise generativer KI. Solche Systeme geben keine klassisch redaktionell geprüften Erklärungen ab, sondern erzeugen probabilistische Ausgaben auf Basis von Quellen, Mustern und Modelllogik. Fehler, Verkürzungen und unzutreffende Verknüpfungen lassen sich trotz Sicherheitsmechanismen nicht vollständig ausschließen. Eine Haftung, die faktisch auf eine Wahrheitsgarantie hinausläuft, könnte daher dazu führen, dass Suchanbieter KI-Funktionen bei sensiblen Themen stark einschränken oder gar nicht erst anbieten.

Der bessere Weg liegt in einem abgestuften Maßstab. Entscheidend sollte sein, wie die KI-Antwort präsentiert wird, wie sensibel das Thema ist, ob Quellen transparent gemacht werden, welche Warnhinweise bestehen und vor allem, wie der Anbieter nach einem substantiierten Hinweis reagiert. Wer trotz konkreter Beanstandung untätig bleibt, muss sich die weitere Verbreitung eher zurechnen lassen. Wer dagegen nachvollziehbare Prüf-, Beschwerde- und Korrekturprozesse etabliert, sollte nicht schon wegen jeder fehlerhaften KI-Zusammenfassung wie ein klassischer Herausgeber behandelt werden.

Die Entscheidung ist damit ein wichtiges Signal, sollte aber nicht vorschnell als Blaupause für eine umfassende Anbieterhaftung verstanden werden. KI-Suche verändert die Rollenverteilung zwischen Suchmaschine, Quelle und Nutzer. Gerade deshalb braucht es rechtliche Maßstäbe, die Reputationsschutz ernst nehmen, ohne KI-gestützte Informationsaufbereitung durch überzogene Haftungsrisiken praktisch auszubremsen.

  • KI-Antworten erhöhen das Haftungsrisiko von Suchanbietern, sollten aber nicht automatisch wie redaktionelle Inhalte behandelt werden. Entscheidend bleibt die konkrete Ausgestaltung des Dienstes.
  • Für Suchanbieter werden transparente Quellenanzeige, klare Nutzerhinweise und belastbare Notice-and-Action-Prozesse zentral. Besonders wichtig ist die Reaktion auf substantiierte Beschwerden.
  • Unternehmen erhalten einen wichtigen Hebel gegen KI-generierte Reputationsschäden. Zugleich sollte die weitere Rechtsprechung vermeiden, aus jeder fehlerhaften KI-Antwort eine faktische Wahrheitsgarantie des Anbieters abzuleiten.
Trennstrich bunt

ctrl + law – ordnet ein, was rechtlich relevant wird.

Klar, kompakt, praxisnah.

Jetzt abonnieren und dranbleiben.