Zurück

ctrl + law | Ausgabe 2/2025

ctrl + law – neue Entscheidungen, neue Unsicherheiten | Gernot Fritz

Wer digitale Regulierung und Entscheidungspraxis beobachtet, kennt das Grundgefühl: Kaum ist eine Frage geklärt, öffnen sich neue Baustellen.

Über die positive Resonanz zur ersten Ausgabe haben wir uns besonders gefreut. Es bestärkt uns darin, komplexe Themen weiterhin bewusst komprimiert und mit Blick aufs Wesentliche aufzubereiten.

In dieser zweiten Ausgabe beleuchten wir erneut eine breite Palette an Entwicklungen, die für Tech-, IP- und Datenrechtler:innen gleichermaßen relevant sind: von GEMA vs OpenAI vor dem LG München über die neue EuGH-Entscheidung zum Zusammenspiel von Art 6 DSGVO und der ePrivacy-RL bis hin zur NIS2-Roadmap des deutschen BSI. Dazu beleuchten wir eine aktuelle Entscheidung zu Preisanpassungsklauseln für Streaming-Angebote sowie einen Vorgeschmack darauf, wie effiziente Verfahrens­führung im KI-Zeitalter aussehen könnte, am Beispiel einer aktuellen Entscheidung des OLG Wien. Und wir zeigen, was Unternehmen beim AI Act schon heute im Blick haben sollten.

Der geleakte Entwurf des „Digital Omnibus“ (jenes Legislativpakets, das DSGVO, AI Act, Data Act, und andere EU-Digitalakte gleichzeitig deregulieren soll) sorgt bereits für Diskussionen. Wir haben bewusst keinen Beitrag dazu aufgenommen: Es handelt sich um einen inoffiziellen Entwurf, dessen Inhalte sich substanziell ändern können. Und selbst wenn die Kommission zeitnah einen offiziellen Vorschlag vorlegt, ist eines sicher: Verhandlungen dieser Größen­ordnung dauern erfahrungsgemäß Jahre. Ein schneller „Regulatory Rollback“ ist wohl nicht zu erwarten.

Trennstrich bunt

Gema vs OpenAI: LG München setzt klare Grenzen für KI-Training | Hannah Kercz

Die deutsche Verwertungsgesellschaft GEMA hat den US-amerikanischen KI-Entwickler OpenAI vor dem Landgericht München (42 O 14139/24) geklagt. Anders als ein UK-Gericht in der rezenten Getty-Entscheidung (wir haben dazu berichtet) geht das LG München davon aus, dass OpenAI geschützte Inhalte beim Training seiner KI-Modelle (GPT „4“ und „4o“) urheberrechtswidrig genutzt habe. Das Urteil ist nicht rechtskräftig.

Im Verfahren ging es um Liedtexte von neun bekannten deutschen Songs: darunter „Atemlos“ von Kristina Bach oder „Über den Wolken“ von Reinhard Mey. GEMA argumentierte damit, dass die Liedtexte in den KI-Modellen von OpenAI als Trainingsmaterial genutzt wurden, somit memorisiert seien und regelmäßig bei Anfragen von Nutzern zumindest teilweise als Outputs ausgegeben würden. OpenAI entgegnete, die KI-Modelle würden keine Trainingsdaten speichern und vervielfältigen, sondern lediglich reflektierten, was sie basierend auf dem gesamten Trainingsdatensatz erlernt hätten. Die Nutzer seien basierend auf ihren Eingaben (Prompts) für Outputs der KI-Modelle selbst verantwortlich.

Das Landgericht München folgte der Sichtweise von OpenAI nicht: Sowohl die Memorisierung als auch die Wiedergabe der Liedtexte in Outputs stellen urheberrechtswidrige Vervielfältigungen dar und verstoßen gegen die Schrankenbestimmungen des Text und Data Mining. Darüber hinaus handelt es sich bei den Outputs um eine öffentliche Zugänglichmachung der Liedtexte, welche OpenAI zuzurechnen sei.

Der Unterschied zu Getty: GEMA gelangt der Nachweis, dass die Outputs seitens der KI-Modelle von OpenAI auch dann generiert werden, wenn die “Websuche-Funktion” vor der Abfrage ausgestellt wurde und das KI-System demnach keinen Zugriff zum Internet hatte. Dies konnte Getty im Verfahren gegen einen anderen KI-Anbieter nicht belegen.

Das Urteil des Landgericht München zeigt deutlich, dass KI-Anbieter für urheberrechtlich geschützte Trainingsdaten und deren Wiedergabe in Outputs verantwortlich bleiben. Die Entscheidung macht klar, dass Memorisierung nicht als bloßer technischer Vorgang gilt, sondern als urheberrechtliche Vervielfältigung mit klaren Rechtsfolgen. Für KI-Entwickler bedeutet das: Transparenz und insbesondere Lizenzierung werden wohl unverzichtbar.

Key Take-Aways

  • Trainingsdaten prüfen: Wer KI-Modelle trainiert, muss sicherstellen, dass keine urheberrechtlich geschützten Werke im Modell „festhängen“ und später reproduzierbar sind.
  • Outputs monitoren: Unternehmen sollten systematisch testen, ob ihre KI-Modelle geschützte Inhalte wiedergeben – sonst drohen Unterlassung, Auskunfts- und Schadenersatzansprüche.
  • Unternehmen sollten nachvollziehbar festhalten, welche Daten im Training verwendet wurden und wie KI-Modelle auf bestimmte Eingaben reagieren – das reduziert rechtliche Risiken erheblich.
Trennstrich bunt

Neue Umsetzungs‑Roadmap des BSI zur NIS‑2‑Richtlinie | Felix Hohenthanner

Mit der Umsetzung der NIS-2-Richtlinie (RL (EU) 2022/2555) stehen viele Unternehmen vor erheblichen organisatorischen und technischen Herausforderungen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun ein praxisnahes Tool vorgestellt: eine sechsphasige Roadmap, die Unternehmen strukturiert durch die Umsetzungspflichten führt. Auch für österreichische Unternehmen ist dieses Instrument hilfreich, um die nationalen Vorgaben aus dem derzeit in Verhandlung befindlichen Netz- und Informationssystemsicherheitsgesetz systematisch umzusetzen. Die sechs Phasen im Überblick:

  1. Analyse & Grundsatzklärung: Feststellung, ob und in welchem Umfang das Unternehmen unter die NIS-2-Vorgaben fällt; Klärung strategischer Fragen auf Geschäftsführungsebene.
  2. Organisation & Verantwortung: Aufbau eines interdis­ziplinären Projektteams, Festlegung interner Verantwort­lichkeiten und Rollen.
  3. Ist-Zustand & Risikobewertung: Erhebung und Bewer­tung der kritischen Systeme, Analyse bestehender Sicherheits­maßnahmen, Identifikation von Lücken.
  4. Ressourcen sichern & Umsetzung vorbereiten: Definition von Projektzielen, Zeitplan und Budget; Auswahl passender Technologien und Partner.
  5. Umsetzung & Nachweisführung: Einführung der tech­nischen und organisatorischen Maßnahmen; Erstellung der not­wendigen Dokumentationen für Behördennachweise.
  6. Kontinuierlicher Betrieb & Verbesserung: Integration in den Regelbetrieb, regelmäßige Überprüfung und Aktualisierung der Maßnahmen sowie Reaktion auf neue Bedrohungen.


Key Take-Aways:

  • Die praxisnahe Roadmap erleichtert Koordination, Verantwortlichkeiten und prüfsichere Dokumentation – besonders für Unternehmen, die erstmals unter die NIS-Regeln fallen.
  • Strategischer Vorteil: Frühe, strukturierte Vorbereitung schafft nicht nur Compliance, sondern stärkt langfristig Sicherheit und Governance.
Trennstrich bunt

E-Mail-Marketing im Fokus: EuGH verschärft Anforderungen | Gernot Fritz

Mit einem aktuellen Urteil (C-654/23) stärkt der Europäische Gerichtshof die E-Privacy-Regeln für Direktwerbung im digitalen Geschäftsmodell. Ausgangspunkt war ein Freemium-Portal, das Nutzer:innen eines kostenlosen Kontos täglich Newsletter mit Artikelzusammenfassungen und Links zu Premium-Inhalten schickte. Die rumänische Datenschutzbehörde sah darin unzulässige Werbe-E-Mails ohne Einwilligung.

Der EuGH bestätigt: Auch scheinbar neutrale Newsletter gelten als „Direktwerbung“, wenn sie auf den Absatz kostenpflichtiger Angebote abzielen. Gleichzeitig konkretisiert der Gerichtshof, wann die Ausnahme des Art 13 Abs 2 ePrivacy-RL („Bestandskundenausnahme“) greift. Eine E‑Mail-Adresse wird bereits dann „im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung“ erlangt, wenn ein Freemium-Modell wirtschaftlich darauf angelegt ist, kostenpflichtige Angebote zu bewerben. Die kostenlose Registrierung reicht bereits aus.

Für die Praxis digitaler Geschäftsmodelle bedeutet das: Viele Newsletter-Setups, insbesondere Conversion-Funnel im Freemium-Umfeld, fallen strukturell unter das Direkt­werbungsregime – mit strengeren Anforderungen als oft angenommen.

Spannend ist auch die Überschneidung mit der DSGVO: Liegen die Voraussetzungen des Art 13 Abs 2 E-Privacy-RL vor, ist keine zusätzliche Rechtsgrundlagenprüfung nach Art 6 DSGVO erforderlich. Die ePrivacy-Regel ist in diesen Fällen die „besondere Pflicht“ iSd Art 95 DSGVO und geht den allgemeinen DSGVO-Rechtsgrundlagen-Regeln vor. Das bedeutet zugleich: Es muss auch keine Interessenabwägung nach Art 6 Abs 1 lit f DSGVO dokumentiert werden.

Key Take-Aways:

  • Direktwerbung: Auch informativ wirkende Newsletter können Werbung sein, wenn sie Premium-Angebote fördern.
  • Freemium als „Verkauf“: Die kostenlose Registrierung kann genügen, um die Bestandskundenausnahme auszulösen.
  • DSGVO tritt (teilweise) zurück: Wenn Art 13 Abs 2 ePrivacy-RL erfüllt ist, entfällt die zusätzliche Prüfung nach Art 6 DSGVO.
Trennstrich bunt

Unzulässige Preisanpassungsklauseln bei Streaming-Diensten | Jakob Secklehner

Neues Urteil, alte Problematik: Die Auseinandersetzungen um Preiserhöhungen bei Streaming-Diensten gehen in die nächste Runde. Nun hat das OLG Düsseldorf (20 U 19/25) die Amazon-Prime-Klausel aus 2022 für unzulässig erklärt.

Bei im Jahr 2022 vorgenommenen Preiserhöhungen (vorgenommen ohne Zustimmung der Kunden) stützte sich Amazon auf eine Klausel, die „Anpassungen“ des Abo-Preises „nach billigem Ermessen und sachlich gerechtfertigten sowie objektiven Kriterien“ vorsah. Das OLG bestätigte das Urteil der Vorinstanz: Zwar besteht bei Dauerschuldverhältnissen ein berechtigtes Interesse an Preisanpassungen, doch Klauseln müssen transparent, ausreichend bestimmt und ausgewogen formuliert sein. Allgemeine Verweise auf inflationsbedingte Kostenänderungen und eine bloße Mitteilung über Preisänderungen genügen nicht. Das OLG ließ die Revision an den BGH zu.

Auch andere Anbieter waren bereits betroffen. In Deutschlande klagte der Verbraucherzentrale Bundesverband (vbvz) Netflix und Spotify wegen Preisanpassungen „nach billigem Ermessen“ ohne Zustimmung der Kunden. Das Kammergericht Berlin (23 U 15/22 zu Netflix, 23 U 112/22 zu Spotify) erklärte die Klauseln mangels berechtigten Interesses der Anbieter am einseitigen Eingriff für unzulässig. Die jeweils erhobenen Rechtsmittel wurden vom BGH verworfen – die Urteile sind damit rechtskräftig.

In Österreich erhielten viele Netflix-Nutzer im Mai 2024 eine E-Mail über Rückerstattungen bis zu EUR 30. Während manche Betroffene zunächst an einen Betrugsversuch dachten, war der tatsächliche Grund ein Vergleich zwischen Netflix und der Arbeiterkammer zu Preiserhöhungen der Jahre 2019 und 2020.

Ebenfalls hierzulande sah sich der Sport-Streaming-Anbieter DAZN mit einer Klage des VKI konfrontiert. Der OGH (8 Ob 145/24t) beurteilte 13 Klauseln als rechtswidrig, darunter die Preisanpassungsklausel: Zum einen sind Lizenzkosten, die maßgeblich für die Preiserhöhungen waren, keine taugliche Rechtfertigung, da DAZN sie durch eigene Gebote beeinflussen kann, zum anderen müssen Preisanpassungsklauseln zweiseitig sein – die beanstandete Klausel schloss eine Preissenkung bei sinkendem Verbraucherpreisindex faktisch aus.

Key Take-Aways:

  • Preisanpassungsklauseln sind grundsätzlich zulässig, müssen aber transparent, verständlich und ausgewogen sein.
  • Unternehmen brauchen ein berechtigtes Interesse an einseitigen Preisanpassungen.
  • Vom Unternehmen selbst beeinflussbare Faktoren (z.B. Lizenzkosten) eigenen sich nicht als Grundlage für Preisanpassungen.
Trennstrich bunt

OLG Wien weist Befangenheitsantrag in Google-Fonts-Verfahren ab | Helmut Liebel

Mit einer aktuellen Entscheidung (10 R 58/25k) zeigt das OLG Wien: Die „Google-Fonts“-Thematik ist auch 2025 keineswegs abgeschlossen. Zwar musste das Gericht keine inhaltliche Aussage zu Rechtsgrundlage oder zu internationalen Datenübermittlungen treffen. Die Entscheidung drehte sich „nur“ um einen Befangenheitsantrag. Dennoch macht sie deutlich, wie präsent dieser Verfahrenskomplex weiterhin ist und wie herausfordernd dessen prozessuale Abwicklung zwischenzeitig geworden ist.

Der Hintergrund ist bekannt: Ein Rechtsanwalt versendete namens seiner Mandantin zahlreiche Abmahnschreiben wegen der Verwendung von Google Fonts auf Webseiten und brachte entsprechende Klagen ein. Im vorliegenden Fall machte die Klägerin Unterlassung, (immateriellen) Schadenersatz und Feststellung künftiger Haftung geltend. Die zuständige Richterin führte eine straffe vorbereitende Tagsatzung durch. Sie schloss das Verfahren mit der Begründung, es handle sich „überwiegend um Rechtsfragen”. Daraufhin stellte der Klagevertreter einen Befangenheitsantrag. Das OLG Wien wies diesen Antrag ab: Weder eine kurze Verhandlung noch die Entscheidung, ein bestimmtes Beweisvideo nicht vorzuspielen, begründeten Befangenheit. Ferner sind Meinungsverschiedenheiten in Rechtsfragen nicht im Ablehnungsverfahren auszutragen. Auch die Vertretung einer bestimmten Rechtsmeinung durch das Gericht bildet keinen Ablehnungsgrund. Dies gilt selbst dann, wenn die Rechtsansicht von der herrschenden Rechtsprechung abweicht.

Bemerkenswert ist der prozessuale Blick hinter die Kulissen. Die Entscheidung zeigt, wie die Gerichte versuchen, mit der Vielzahl an gleichgelagerten Verfahren umzugehen – und wie sensibel die Grenze zwischen „konzentrierter Verfahrensführung“ und dem Vorwurf mangelnder Unvoreingenommenheit ist.

Key Take-Aways:

  • Straff geführte Verfahren sind zulässig: Eine kurze Tagsatzung, das Unterlassen der Vorführung einzelner Beweise oder eine zügige Verfahrensleitung haben daher wenig Aussicht auf Erfolg eines entsprechenden Ablehnungsantrags.
  • KI-gestützte Massenverfahren werden die Justiz immer stärker fordern: prozessuale Effizienz vs. stetig steigende Komplexität und Umfang von Schriftsätzen.
Trennstrich bunt

AI Act – Die Pflichten, die schon heute gelten | Tanja Pfleger

Der AI Act wirkt längst: Mehrere Pflichten greifen bereits. Und Unternehmen sollten sie bereits in ihre Governance integriert haben.

Seit Februar 2025 sind besonders risikoreiche Praktiken verboten: etwa das massenhafte Sammeln von Gesichtern aus dem Internet, der Einsatz von Emotionserkennung zur Leistungs- oder Verhaltensbewertung in Schule oder Arbeitsumfeld (mit nur sehr engen Ausnahmen), die biometrische Kategorisierung nach sensiblen Merkmalen sowie Systeme, die gezielt Schwächen besonders verletzlicher Personen (wie Kindern) ausnutzen.

Unternehmen müssen außerdem seit Februar 2025 sicherstellen, dass Mitarbeiter:innen über ausreichende KI-Kompetenz verfügen: von Funktionsweise, Grenzen und Risiken von KI-Systemen über Datenschutz- und Diskriminierungsrisiken bis hin zu klaren Regeln, wann menschlich einzugreifen ist.

Für Anbieter von KI-Basismodellen („General Purpose AI Models“) gelten seit August 2025 zusätzliche Pflichten: technische und transparente Dokumentation, eine Urheberrechts-Compliance-Policy (inkl. TDM-Opt-outs) sowie eine „hinreichend detaillierte Zusammenfassung“ der Trainingsdatenquellen. KI-Modelle mit systemischem Risiko müssen zudem Evaluierungen, Red-Team-Tests, Sicherheitsmaßnahmen und Incident-Meldungen durch­führen.

Parallel arbeitet die Kommission zwar am „Digital Omnibus“, der zahlreiche Digitalakte (vom AI Act über DSGVO bis zum Data Act) entschlacken soll. Doch wer auf schnelle Erleichterungen hofft, dürfte enttäuscht werden. Bis Brüssel „vereinfacht“, ist der AI Act längst auswendig gelernt. Für die Praxis heißt das: Die geltenden AI Act-Pflichten greifen jetzt – unabhängig davon, ob Brüssel irgendwann „aufräumt“.

Key Take-Aways:

  • Jetzt prüfen, ob bestehende KI-Anwendungen unter verbotene Praktiken fallen (und Schulungs- sowie Governance-Strukturen anpassen), und Mitarbei-ter:innen jetzt zur KI-Kompetenz verhelfen.
  • Bei Einkauf und Einsatz von GPAI-Tools auf dokumentierte Transparenz, Urheberrechts-Compliance und robuste Sicherheitsprozesse der Anbieter achten.
  • Und bereits 2025 eine Roadmap für die ab August 2026 kommenden Hauptpflichten entwickeln, damit neue KI-Projekte von Beginn an AI Act-konform geplant werden.
Trennstrich bunt

ctrl + law – Ausgabe 2 schärft den Blick.

Mehr Orientierung folgt in Kürze.

Jetzt anmelden und informiert bleiben.

Trennstrich bunt