ctrl + law | Ausgabe 5

ctrl + law – zum Jahresende: Rückblick, Ausblick und digitale Realität | Gernot Fritz

Mit der fünften Ausgabe von ctrl + law schließen wir unser erstes Jahr ab. Die Zeit zwischen Weihnachten und Jahreswechsel ist traditionell ein Moment des Innehaltens, des Zurückblickens und des vorsichtigen Vorausdenkens. Was als Experiment begonnen hat – ein neues Format, ein neuer Ton, ein bewusster Blick auf die Schnittstellen von Recht, Technologie und Regulierung – hat sich schneller etabliert, als wir es erwartet hätten. ctrl + law ist in kurzer Zeit zu einem Ort geworden, an dem rechtliche Entwicklungen nicht nur erklärt, sondern eingeordnet, hinterfragt und miteinander verknüpft werden.

Der rote Faden war von Beginn an klar: Digitale Regulierung ist kein Nebenschauplatz. Sie prägt wirtschaftliche Realität, Geschäftsmodelle und rechtliche Verantwortung in immer mehr Bereichen – oft dort, wo klassische Kategorien an ihre Grenzen stoßen und neu gedacht werden müssen.

Die Beiträge dieser Ausgabe zeigen aus unterschiedlichen Perspektiven, wie sehr sich rechtliche Verantwortung in einer daten- und softwaregeprägten Realität verschiebt: von der BGH-Entscheidung zur zulässigen Weiterspeicherung von Bonitätsdaten über urheberrechtliche Grenzen bei öffentlich präsentierter (Weihnachts-)Kunst, neue Transparenzanforderungen für KI-generierte Inhalte, das im BGBl kurz vor Weihnachten veröffentlichte NISG 2026 und die sehr realen Risiken von Fake Shops bis hin zur Toy Safety Regulation, die smarte Spielzeuge (passend zur Weihnachtszeit) erstmals konsequent als digitale Produkte reguliert.

Und weil digitale Realität keine ctrl + law Pausen kennt, haben wir am E+H News Portal laufend nachgeschärft. In praxisnahen Beiträgen ging es – wenig überraschend – um Themen, die derzeit niemand ignorieren kann:

Wir haben zudem eine Umfrage zur Nutzung von Künstlicher Intelligenz im Unternehmensalltag durchgeführt. Die Ergebnisse zeichnen ein klares Bild: KI-Tools werden bereits breit eingesetzt, häufig pragmatisch und dezentral – während belastbare Governance-Strukturen, dokumentierte Compliance-Konzepte und gezielte Schulungen vielfach noch fehlen. Mit Blick auf den AI Act wird damit deutlich, dass diese Lücke kein theoretisches Thema ist, sondern ganz konkrete rechtliche und organisatorische Konsequenzen hat. Wer KI nutzt, muss Verantwortung organisieren – rechtlich, technisch und organisatorisch.

Diese fünfte Ausgabe steht exemplarisch für das, was ctrl + law sein will: ein Format, das nicht bei der Einzelentscheidung stehen bleibt, sondern Zusammenhänge sichtbar macht – und das rechtliche Entwicklungen in ihren praktischen, technischen und regulatorischen Kontext einordnet.

Wir freuen uns darauf, diesen Weg fortzusetzen. Für den Moment wünschen wir eine anregende Lektüre, erholsame Feiertage und einen guten Start in ein regulatorisch sicher nicht langweiliges neues Jahr.

BGH-Urteil zur SCHUFA: Keine „weiße Weste“ als vorgezogenes Weihnachtsgeschenk für betroffene Personen | Jakob Secklehner

Während sich dieser Tage viele von uns noch an den Weihnachtsgeschenken vom Heiligen Abend erfreuen, hat der Bundesgerichtshof (BGH) der SCHUFA bereits am 18.12.2025 ein vorgezogenes Fest beschert. In seiner Entscheidung Az. I ZR 97/25 stellte der I. Zivilsenat klar, dass Einträge über Zahlungsstörungen nicht sofort nach Begleichung einer Schuld gelöscht werden müssen.

Der BGH hatte zu beurteilen, ob die Speicherung von Daten über verspätet beglichene Forderungen aus einer Schadenersatzklage noch rechtmäßig ist, nachdem die Forderungen vollständig bezahlt wurden. Der Kläger sah in der fortgeführten Speicherung eine unzulässige Belastung für seine wirtschaftliche Zukunft, da sein SCHUFA-Score auch nach der vollständigen Bezahlung auf “sehr kritisch” stand. Die SCHUFA berief sich dagegen auf ihr berechtigtes Interesse an der Speicherung, da auch erledigte Forderungen für eine aussagekräftige Bonitätsbewertung relevant seien.

Nachdem die Vorinstanz dem Kläger teilweise Recht gab, folgte der BGH der Revision der SCHUFA. In seiner Urteilsbegründung betonte der Senat, dass eine verlässliche Bonitätsprüfung über die Begleichung einer Schuld hinaus funktionieren muss. Die Interessenabwägung nach Art 6 Abs 1 lit f DSGVO fällt daher zugunsten von Auskunfteien wie der SCHUFA aus: Das berechtigte Interesse potenzieller Gläubiger an einer Prognose des künftigen Zahlungsverhaltens überwiegt das Interesse Betroffener an einer sofortigen Bereinigung der eigenen Historie. Der BGH grenzte den Fall zudem vom EuGH-Urteil “SCHUFA Holding (Restschuldbefreiung)” ab, da es konkret nicht um Daten aus öffentlichen Registern ging, sondern um Einmeldungen von Vertragspartnern der SCHUFA.

Der Senat bestätigte damit die grundsätzliche Zulässigkeit einer dreijährigen Speicherung, gleichzeitig ist aber ein „Entgegenkommen“ für jene verpflichtend, die Reue zeigen: Wird die Forderung binnen 100 Tagen nach Einmeldung beglichen und folgen 18 Monate ohne neue Negativdaten, endet die Frist bereits nach diesen anderthalb Jahren. Letztlich bleibt aber der Einzelfall entscheidend: Betroffene können atypische Umstände vorbringen, die im Ausnahmefall eine noch kürzere Speicherung rechtfertigen.

Für Auskunfteien bringt dieses Urteil aus Karlsruhe damit willkommene Rechtssicherheit zum Jahresausklang. Betroffene müssen sich dagegen damit abfinden, dass der Schatten alter Schulden nicht sofort im winterlichen Schneegestöber verschwindet, sondern spätestens nach Ablauf der dreijährigen Frist.

Key Take-Aways

Kein automatisches Lösch-Wunder: Die Begleichung einer fälligen Forderung führt nicht zu einem Anspruch auf sofortige Löschung des entsprechenden Eintrags.
Drei Jahre Besinnungszeit: Der BGH bestätigt die dreijährige Speicherdauer nach Forderungsausgleich als ange-messenen Zeitraum für die Bonitätsbewertung.
Transparenz vor Einzelinteressen: Das Informationsbedürfnis der Wirtschaft an einer vollständigen Zahlungshistorie überwiegt das Löschungsinteresse der Betroffenen.

Vom Christbaumschmuck zur Rechtsverletzung: Snow v Eaton Centre | Hannah Kercz

Der kanadische Klassiker Snow v Eaton Centre Ltd. (Snow v The Eaton Centre Ltd. (1982) 70 C.P.R. (2d) 105) zeigt auf wunderbar anschauliche Weise, dass Kunst zwar öffentlich präsentiert und ausgehängt, aber dennoch nicht beliebig “dekoriert” werden kann. Michael Snow hatte 1979 für das Toronto Eaton Centre seine Skulptur Flight Stop geschaffen: 60 kanadische Wildgänse im Formationsflug, kunstvoll, naturalistisch, vielfach gefeiert. Zur Weihnachtszeit 1982 kam das Center-Management jedoch auf die Idee, den Gänsen dekorative rote Schleifen umzuhängen – und sie ebenfalls werblich und weihnachtlich zu verwerten. Snow erfuhr davon erst im Nachhinein und war wenig begeistert: Seiner Ansicht nach zerstörten die Schleifen die Harmonie seines Werks, machten es kitschig und schadeten seinem künstlerischen Ruf. Er reichte Klage ein.

Das Gericht folgte Snows Rechtsansicht – und zwar ziemlich konsequent: Die Schleifen stellten nach dessen Ansicht eine unzulässige “distortion or modification” des Werks dar und verletzten Snows Urheberpersönlichkeitsrecht nach dem kanadischen Copyright Act. Besonders interessant: Entscheidend für das zuständige Gericht war die Sicht des Künstlers selbst. Die Schleifen mussten umgehend entfernt werden.

Aus europäischer – und insbesondere österreichischer – Sicht ist der Fall bemerkenswert aktuell. Das österreichische Urheberrechtsgesetz schützt den Urheber ebenfalls vor Entstellungen oder anderen Beeinträchtigungen des Werks, die seine geistigen Interessen gefährden. Snow v Eaton Centre illustriert anschaulich, dass kommerzielle Nutzungsinteressen dort ihre Grenze finden, wo die künstlerische Integrität berührt wird – selbst im öffentlichen Raum und selbst bei temporären Eingriffen “zu Dekorationszwecken”.

Key Take-Aways

Nicht jede Weihnachtsdeko ist urheberrechtlich erlaubt: So gut Schleifen, Lichter, etc. gemeint sind – selbst vorübergehende "Festtagsverschönerungen" können rechtlich als unzulässige Entstellung eines Kunstwerks gelten.
Der Künstler hat das letzte Wort: Entscheidend ist, wie der Urheber sein Werk wahrnimmt – solange diese Sicht nachvollziehbar ist und von fachkundigen Stimmen geteilt wird.
Das Christkind ist kein Marketingdirektor: Verkaufsförderung und Weihnachtsstimmung rechtfertigen nicht jeden Eingriff. Wo die künstlerische Integrität beginnt, endet der kommerzielle Gestaltungsspielraum.

Transparenz als Neujahrsvorsatz: Kennzeichnungs-pflichten unter dem AI Act werden konkreter | Tanja Pfleger

Am 17.12.2025 hat die EU-Kommission den ersten Entwurf eines
Code of Practice zur Kennzeichnung und Erkennbarkeit KI-generierter Inhalte veröffentlicht. Zwar handelt es sich dabei nicht um verbindliches Recht, der Entwurf zeigt jedoch sehr konkret, wie die Transparenzpflichten des AI Act (anwendbar ab August 2026) praktisch umgesetzt werden sollen.

Vorgesehen ist die Kombination mehrerer technischer Ebenen – etwa maschinenlesbarer Metadaten bzw. Provenance-Informationen, kryptografischer Signaturen sowie (unsichtbarer) Wasserzeichen, die sich teilweise sogar gegenseitig referenzieren können. Ziel ist es, dass KI-generierte Outputs auch nach typischen Weiterverarbeitungen (z.B. Komprimierung, Zuschnitt oder Weiterleitung) zuverlässig erkennbar bleiben – robust, interoperabel und am Stand der Technik orientiert.

Die Kennzeichnung kann dabei entlang der gesamten Wertschöpfungskette erfolgen, einschließlich Unterstützungsmechanismen für nachgelagerte Entwickler. Für KMU und Start-ups betont der Entwurf ausdrücklich proportionale und vereinfachte Umsetzungsoptionen.

Kurz gesagt: Marking wird als Produktfeature verstanden, nicht als bloßer Footer-Hinweis.

Für Betreiber (also berufliche Nutzer, etwa in Marketing oder PR) steht dagegen das Labelling im Vordergrund. Insbesondere Deepfakes müssen offengelegt werden. Darüber hinaus adressiert der Entwurf KI-generierte Texte zu Angelegenheiten von öffentlichem Interesse. Hier enthält er einen praxisnahen “Rettungsanker”: Eine Offenlegung kann entfallen, wenn eine menschliche Prüfung erfolgt und redaktionelle Verantwortung übernommen wird.

Flankierend ist die Einführung eines gemeinsamen Icons vorgesehen. Bis zu dessen Finalisierung soll ein Interim-Icon mit Kürzel (AI/KI/IA) verwendet werden. Gleichzeitig stellt der Entwurf klar, dass kreative, satirische oder fiktionale Kontexte nicht „zugepflastert“ werden sollen: Kennzeichnung ja – aber dezent und zurückhaltend platziert. Der Feedback-Zeitraum läuft bis 23.01.2026, ein überarbeiteter Entwurf ist für Mitte März 2026, die Finalisierung für Juni 2026 geplant.

Und ja: Die Grußkarte mit dem CEO als Weihnachtsmann braucht nächstes Jahr ein Label – natürlich nur, sofern sie auch tatsächlich ein Fake ist.

Key Take-Aways

Für Anbieter: Multi-Layer-Markierung (Metadaten, Signaturen, Wasserzeichen) jetzt in Roadmap und Produktdesign verankern – nicht erst auf den letzten Metern vor August 2026.
Für Marketing/PR (Betreiber): Icon- und Labelling-Workflows samt Freigabeprozessen frühzeitig „feiertagsfest“ aufsetzen. Deepfakes und KI-Texte zu Angelegenheiten von öffentlichem Interesse sind die klaren Hotspots.
Für alle: Rollen klären (Anbieter vs. Betreiber) und dort, wo die Ausnahme wegen menschlicher Prüfung und redaktioneller Verantwortung genutzt werden soll, eine belastbare Dokumentation etablieren.

Fake-Shops: Warnung vor Online-Betrug – nicht nur zur Weihnachtszeit | Felix Hohenthanner

In der Vorweihnachtszeit wurde ein besonders brisanter Betrugsfall bekannt: Über ein gefälschtes Online-Portal wurden Tickets für den Tiergarten Schönbrunn zu deutlich reduzierten Preisen angeboten, offenbar unter Verwendung gestohlener Kreditkarteninformationen. Die Website wirkte täuschend echt. Zwar erhielten Betroffene ihr Geld zurück, der Fall zeigt jedoch deutlich, wie real und allgegenwärtig die Gefahr von Fake-Shops ist – und dass sie nicht nur Konsumenten, sondern auch Unternehmen und Markeninhaber betrifft.

Fake-Shops sind betrügerische Webseiten, die seriösen Online-Shops zum Verwechseln ähnlich sehen. Häufig werden Logos, Bilder und Produktbeschreibungen kopiert, um Vertrauen zu erzeugen und Nutzer zur Eingabe sensibler Daten zu verleiten. Auffällig sind meist ungewöhnlich günstige Preise, die schnelle Kaufentscheidungen begünstigen. Die Ware wird entweder gar nicht geliefert oder entspricht nicht der Beschreibung. Gleichzeitig werden personenbezogene Daten wie Kreditkarteninformationen, Passwörter oder Adressdaten abgegriffen und weiterverwendet, teilweise auch im Rahmen größerer Phishing- oder Malware-Kampagnen.

Verbraucher können sich vor solchen Betrugsmaschen schützen, indem sie Angebote kritisch prüfen und besonders bei stark reduzierten Preisen aufmerksam sind. Fehlende oder unvollständige Impressumsangaben, verdächtige Domain-Endungen oder ausschließlich angebotene Vorkasse-Zahlungen sind typische Warnsignale. Hilfreich ist oft bereits eine kurze Online-Recherche zum jeweiligen Shop. Zudem sollten bevorzugt Zahlungsmethoden genutzt werden, die einen Käuferschutz oder Rückbuchungsmöglichkeiten vorsehen. Verdächtige Webseiten können etwa über www.fakeshop.at überprüft und gemeldet werden, einem Service des österreichischen Internetsicherheits-Portals, der auch aktuelle Warnlisten und praktische Hinweise zur Erkennung von Fake-Shops bereitstellt. Kommt es dennoch zu einem Betrugsfall, ist rasches Handeln entscheidend: Kreditkarten sollten sofort gesperrt, Anzeige erstattet und die eigene Bank kontaktiert werden, da in vielen Fällen noch eine Rückerstattung möglich ist.

Auch für Unternehmen stellen Fake-Shops ein erhebliches Risiko dar. Markeninhaber und Onlinehändler sind betroffen, wenn ihre Logos, Produkttexte oder ihr gesamter Webauftritt missbräuchlich verwendet werden. Neben unmittelbaren wirtschaftlichen Schäden drohen erhebliche Reputationsverluste. Regelmäßige Online-Recherchen nach dem eigenen Markennamen, Domain-Überwachungen und technische Hilfsmittel wie Reverse-Image-Suchen können helfen, Missbrauch frühzeitig zu erkennen. Wird ein Fake-Shop entdeckt, sollte rasch rechtlich reagiert und die Zusammenarbeit mit Hosting-Providern, Domainregistraren und Plattformbetreibern gesucht werden, um betrügerische Seiten offline zu nehmen. Ebenso wichtig ist eine aktive Kommunikation gegenüber Kunden, etwa durch klare Hinweise auf offizielle Vertriebskanäle und Maßnahmen zur sicheren Online-Bestellung. Meldungen an Verbraucherschutzstellen, Zahlungsdienstleister und Plattformen tragen dazu bei, Schäden möglichst gering zu halten.

Fake-Shops sind damit kein saisonales Randphänomen, sondern ein dauerhaftes Risiko der digitalen Wirtschaft. Wachsamkeit, sichere Zahlungsprozesse und ein aktives Risikomanagement sind zentrale Voraussetzungen, um sich wirksam vor Online-Betrug zu schützen.

Key Take-Aways

Fake-Shops sind kein bloßes Verbraucherproblem, sondern ein reales Risiko auch für Unternehmen – mit Folgen von Datenmissbrauch über Zahlungsbetrug bis hin zu erheblichen Reputationsschäden.
Angebote wie www.fakeshop.at leisten einen wichtigen Beitrag zur Früherkennung und Meldung betrügerischer Online-Shops.
Wachsamkeit, sichere Zahlungsprozesse und ein aktives Risiko- und Markenmanagement sind zentrale Instrumente, um Online-Betrug wirksam zu begrenzen.

Smarte Spielzeuge unterm Weihnachtsbaum – und im Zentrum der EU-Digitalregulierung | Gernot Fritz

Weihnachten ist Spielzeugzeit. Und 2025 ist das Jahr, in dem Spielzeug endgültig digital geworden ist: sprechende Puppen, vernetzte Teddybären, lernfähige Roboter. Dass die EU ausgerechnet das Spielzeugrecht zu einem Kernpunkt ihrer Digitalregulierung macht, ist daher kein Zufall.

Mit der neuen Toy Safety Regulation wird die bisherige Spielzeugrichtlinie durch einen unmittelbar geltenden Rechtsrahmen ersetzt, der klassisches Produktsicherheitsrecht erstmals systematisch mit KI-Regulierung, Cybersecurity-Vorgaben und datenrechtlichen Anforderungen verzahnt. Spielzeug wird damit zu einem Anschauungsbeispiel für das Zusammenspiel zentraler Digitalgesetze.

Besonders deutlich zeigt sich dies im Verhältnis zum AI Act. Enthält ein Spielzeug ein KI-System, unterliegt es parallel den Anforderungen der Toy Safety Regulation und des AI Act. Spielzeuge mit KI-Systemen als Sicherheitskomponenten gelten als Hochrisiko-KI, sofern sie grundsätzlich einer Drittstellen-Konformitätsbewertung zugänglich sind. Zugleich verlangt die Toy Safety Regulation, dass Sicherheitsbewertungen bei KI-Spielzeug ausdrücklich die besonderen Verwundbarkeiten von Kindern berücksichtigen. Die abstrakten Risikokategorien des AI Act werden damit erstmals konsequent mit kindlicher Schutzbedürftigkeit verknüpft.

Sobald Spielzeug mit dem Internet verbunden ist, treten Data Act und Cyber Resilience Act hinzu. Die Toy Safety Regulation verzichtet bewusst auf eigene Cybersecurity-Vorgaben und verweist auf den Cyber Resilience Act. Internetfähige Spielzeuge mit sozialen Interaktionsfunktionen wie Sprechen, Filmen oder Standortverfolgung gelten dort als „important products with digital elements“ der Klasse I. Diese Einstufung zieht strukturierte Cybersecurity-Pflichten nach sich, etwa zu Schwachstellen-management, Sicherheitsupdates und – je nach Ausgestaltung – Drittstellenprüfungen.

Zentral für die neue Systematik ist der digitale Produktpass. Er ersetzt die klassische EU-Konformitätserklärung und kann zugleich als Nachweisinstrument für Pflichten aus anderen Rechtsakten wie dem AI Act oder dem Cyber Resilience Act dienen, sofern die jeweils erforderlichen Informationen enthalten sind. Der Produktpass wird damit zum zentralen Compliance-Anker.

Datenschutzrechtlich zieht die Toy Safety Regulation dabei klare Grenzen. Der digitale Produktpass darf keine personenbezogenen Nutzungsdaten enthalten, sofern keine tragfähige DSGVO-Rechtsgrundlage besteht. Tracking und Nutzungsanalyse sind auf das absolut Erforderliche zu beschränken. Datenschutz wird damit integraler Bestandteil des Sicherheitskonzepts, insbesondere bei KI-gestütztem Spielzeug.

Schließlich reicht die Regulierung bis in den Online-Vertrieb hinein. Angebote von Spielzeug, das nicht den Anforderungen der Toy Safety Regulation entspricht, gelten als illegale Inhalte im Sinne des Digital Services Act. Online-Marktplätze müssen entsprechende Notice-and-Action-Mechanismen vorhalten und nicht-konforme Produkte effektiv vom Markt fernhalten. Produktsicherheit wird damit zugleich zu einem Plattform-Compliance-Thema.

Die eigentliche Bedeutung der Toy Safety Regulation liegt daher weniger im Spielzeugrecht selbst als in der gewählten Regulierungstechnik. Sozial interaktive KI wird erstmals unionsrechtlich greifbar reguliert; sektorspezifisch und dort, wo die Schutzinteressen besonders hoch sind: bei Kindern, physischen Produkten und vorhersehbaren Nutzungsszenarien. Die Verordnung zeigt damit sehr klar, wie die EU digitale Risiken künftig adressiert – und warum diese Logik kaum auf Spielzeug beschränkt bleiben dürfte.

Key Take-Aways

AI Act: KI-Spielzeuge sind regelmäßig Hochrisiko-KI, unabhängig vom gewählten Konformitätsverfahren.
Cyber Resilience Act: Vernetzte, sozial interaktive Spielzeuge gelten als Class-I-Produkte mit erhöhten Cybersecurity-Pflichten.
Datenschutz: Tracking und Nutzungsanalyse sind nur in engsten Grenzen zulässig; Privacy by Design ist zwingend.
Digital Services Act: Nicht-konformes Spielzeug stellt illegale Inhalte dar und zieht Plattformpflichten nach sich.

NISG 2026: Bundesrat-Beschluss & Kundmachung – der Countdown ist jetzt konkret | Tanja Pfleger

Nach dem Nationalrat (12.12.2025) hat auch der Bundesrat am 18.12.2025 dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) zugestimmt. Mit der Kundmachung im
Bundesgesetzblatt ist der Gesetzgebungsprozess abgeschlossen.

Im Fokus stehen „wesentliche“ und „wichtige Einrichtungen“ in bestimmten Sektoren und Teilsektoren; wie etwa Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), Post-/ Kurierdienste, Chemie, Lebensmittel, verarbeitendes Gewerbe und öffentliche Verwaltung.

Im Vergleich zum bisherigen NISG-Regime fallen Unternehmen künftig spürbar schneller und häufiger unter das NIS-System, weil NIS2/NISG 2026 den Anwendungsbereich deutlich breiter fasst und die Einstufung stärker an Sektoren und Unternehmensgröße anknüpft. Das Gesetz unterscheidet im Regelfall nicht, ob eine kritische Tätigkeit die primäre Einnahmequelle ist oder nur ein Nebengeschäft darstellt.

Die zentralen Bestimmungen treten am 01.10.2026 in Kraft. Einrichtungen, die zu diesem Zeitpunkt erfasst sind, müssen sich binnen drei Monaten registrieren (also bis 01.01.2027). Die Selbstdeklaration zu umgesetzten Risikomanagementmaßnahmen ist binnen zwölf Monaten ab Eintritt der Registrierungspflicht fällig (bei Start am 01.10.2026 typischerweise bis 30.9.2027). Zuständige Behörde ist das Bundesamt für Cybersicherheit, eine dem BMI unmittelbar nachgeordnete Behörde.

Verwaltungsstrafen werden durch die Bezirksverwaltungsbehörden verhängt. Für wesentliche Einrichtungen drohen bis zu EUR 10 Mio oder 2% des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu EUR 7 Mio oder 1,4% des weltweiten Jahresumsatzes (jeweils je nachdem welche Schwelle jeweils höher ist). Für bestimmte Verstöße gibt es eine Maximalstrafe bis EUR 50.000 bzw. 100.000 im Wiederholungsfall.

Wir haben das NISG 2026 auf unserem E+H News Portal bereits umfassend analysiert.

Key Take-Aways