Zurück

ctrl + law | Ausgabe 7

ctrl + law – Sicherheit, Souveränität und neue Leitplanken | Gernot Fritz

Mit Ausgabe 7 von ctrl + law rücken strategische Fragen der europäischen Digitalpolitik noch stärker in den Vordergrund. Die Beiträge dieser Ausgabe zeigen, dass digitales Recht zunehmend sicherheits-, industrie- und geopolitisch geprägt ist – und damit weit über klassische Compliance hinausreicht.

Das neue EU-Cybersecurity-Paket der Kommission bringt mit dem vorgeschlagenen Rahmen für IKT-Lieferkettensicherheit einen deutlichen Kurswechsel: Hochrisiko-Lieferanten können EU-weit beschränkt werden, Telekommunikationsbetreiber müssen kritische Komponenten ersetzen, und Cybersicherheits-Zertifizierung soll künftig die gesamte „Cyber-Posture“ von Unternehmen abbilden. Harmonisierung und Entlastung gehen dabei mit deutlich höheren Transparenz- und Steuerungsanforderungen einher.

Eine aktuelle Entscheidung des OLG Linz unterstreicht, dass Unterlassungsansprüche im Wettbewerbsrecht keine Automatismen sind. Entscheidend kann vielmehr ein rasches und konsequentes vorprozessuales Handeln sein, ob ein Unterlassungsanspruch erfolgreich durchgesetzt werden kann.

Mit dem Digital Networks Act greift die Ausgabe zudem den geplanten Neustart der europäischen Telekomregulierung auf. Der Fokus verschiebt sich hin zu stärkerer Harmonisierung, Investitionsanreizen und industriepolitischer Steuerung – mit spürbaren Auswirkungen für Netzbetreiber ebenso wie für daten- und traffic-intensive Unternehmen.

Auch im KI-Recht bleibt Bewegung. Die Stellungnahme von EDPB und EDPS zum Digital Omnibus on AI zeigt die Spannung zwischen Vereinfachung und Grundrechtsschutz, etwa bei Bias Detection, Registrierungspflichten und verlängerten Übergangsfristen.

Abgerundet wird die Ausgabe durch einen Blick auf das Leitmotiv der technologischen Souveränität Europas. Die Entschließung des Europäischen Parlaments ist rechtlich unverbindlich, entfaltet aber erhebliche Signalwirkung für kommende Regulierung und Förderpolitik.

Wir wünschen eine anregende Lektüre.

Trennstrich bunt

EU-Cybersecurity-Paket: Die Kommission verschärft Lieferkettensicherheit | Tanja Pfleger

Die Europäische Kommission hat am 20. Jänner 2026 ein umfassendes Cybersecurity-Paket vorgestellt, das den EU-Cybersecurity Act von 2019 grundlegend überarbeiten soll. Das Paket reagiert auf die zunehmend aggressive Bedrohungslage – hybride Angriffe, Ransomware-Wellen und Lieferkettenangriffe auf kritische Infrastrukturen haben sich seit 2019 dramatisch verschärft. Die Kommission will die Cybersicherheit der Union stärken, die Fragmentierung im digitalen Binnenmarkt reduzieren und die Abhängigkeit von Hochrisiko-Lieferanten aus Drittstaaten verringern.

Im Zentrum des Entwurfs steht ein neuer Rahmen für IKT-Lieferkettensicherheit. Erstmals können die Kommission und Mitgliedstaaten koordinierte Risikoanalysen durchführen und Drittstaaten als „Länder mit Cybersicherheitsbedenken“ einstufen. Unternehmen aus solchen Staaten gelten im Rahmen dieses Mechanismus (für bestimmte Anwendungsfälle) als „Hochrisiko-Lieferanten“ und können insbesondere bei bestimmten EU-Finanzierungen/Programmen sowie in der öffentlichen Beschaffung für kritische IKT-Komponenten ausgeschlossen bzw. beschränkt werden.

Für Betreiber elektronischer Kommunikationsnetze gelten strikte Regeln: Komponenten von Hochrisiko-Lieferanten müssen aus Schlüssel-IKT-Assets schrittweise ersetzt bzw. aus dem Einsatz genommen werden. Für mobile Netze ist dafür eine Frist von bis zu 36 Monaten (ab Veröffentlichung der einschlägigen Liste) vorgesehen.

Das European Cybersecurity Certification Framework (ECCF) wird gestrafft und erweitert. Künftig kann erstmals auch die gesamte „Cyber-Posture“ eines Unternehmens zertifiziert werden. Unternehmen können damit ihre Cybersicherheitsreife ganzheitlich nachweisen und Compliance-Nachweise mit NIS2, Cyber Resilience Act und anderen EU-Vorschriften unterstützen. Sofern der jeweilige Rechtsakt dies vorsieht, können Zertifikate zudem eine Konformitätsvermutung auslösen. ENISA übernimmt als Scheme-Manager die Verantwortung für Entwicklung und Wartung der Zertifizierungsschemata.

Gezielte Änderungen an der NIS2-Richtlinie sollen den Compliance-Aufwand für rund 28.700 Unternehmen – darunter 6.200 Kleinstunternehmen – reduzieren. Eine neue Kategorie für kleine Mid-Cap-Unternehmen soll die Kosten für weitere 22.500 Betriebe senken.

ENISA erfährt als Agentur für Cybersicherheit eine gravierende Aufwertung: Das Budget soll um über 75 Prozent steigen. Die Agentur wird zur zentralen Schaltstelle – von der Verwaltung der EU-Cybersecurity-Reserve über die zentrale Meldeplattform für Cybersicherheitsvorfälle bis zur Entwicklung technischer Spezifikationen für europäische Cybersicherheits-Zertifizierungssysteme.

Für Unternehmen bedeutet das Paket eine doppelte Bewegung: Compliance wird durch Harmonisierung erleichtert, doch die Anforderungen an Lieferkettentransparenz steigen erheblich.

Das Paket durchläuft nun das ordentliche Gesetzgebungsverfahren. Nach Inkrafttreten gelten die vorgeschlagenen Verordnungen unmittelbar in allen Mitgliedstaaten; Änderungen an Richtlinien müssen von den Mitgliedstaaten umgesetzt werde.

Key Take-Aways

  • Hochrisiko-Lieferanten aus Drittstaaten können EU-weit beschränkt bzw. ausgeschlossen werden (insbesondere bei kritischen IKT-Komponenten und in bestimmten Förder-/Beschaffungs-Kontexten).
  • Telekommunikationsbetreiber müssen kritische Komponenten in mobilen Netzen binnen bis zu 36 Monaten aus Schlüssel-IKT-Assets schrittweise ersetzen bzw. aus dem Einsatz nehmen.
  • Das neue Zertifizierungsrahmenwerk ermöglicht es Unternehmen erstmals, ihre gesamte Cyber-Posture zertifizieren zu lassen und damit als Nachweis zu dienen; eine Konformitätsvermutung greift – sofern der jeweilige EU-Rechtsakt dies vorsieht.
  • Präzisierungen reduzieren den Aufwand für viele Unternehmen bei (NIS2-)Compliance-Anforderungen.
Trennstrich bunt

OLG Linz: Keine Wiederholungsgefahr bei einmaliger Nutzung | Hannah Kercz

Mit Urteil vom 15.10.2025 (4 R 129/25f) hat das Oberlandesgericht Linz klargestellt, unter welchen Voraussetzungen ein Unterlassungsanspruch nach dem UWG besteht, wenn ein Wettbewerbsverstoß nur einmalig begangen und bereits vorprozessual abgestellt wurde.

Im konkreten Fall hatte die beklagte Partei Fotos genutzt, an denen die klagende Partei die Werknutzungsrechte hielt, um für ihr eigenes – konkurrierendes – Unternehmen zu werben. Nach Beanstandung entfernte die beklagte Partei die Fotos, gab eine Unterlassungserklärung ab und leistete eine entsprechende Zahlung. Die klagende Partei begehrte dennoch Unterlassung sowie Urteilsveröffentlichung. Das Erstgericht wies die Klage ab; das OLG Linz bestätigte diese Entscheidung.

Nach Ansicht des OLG Linz begründet eine einmalige, bereits eingestellte Handlung für sich allein noch keine Wiederholungsgefahr. Maßgeblich ist, ob konkrete Umstände vorliegen, die auf eine zukünftige Wiederholung schließen lassen. Eine ernsthafte und umfassende vorprozessuale Unterlassungserklärung sowie die Entfernung der beanstandeten Inhalte sprechen vielmehr gegen das Fortbestehen einer Wiederholungsgefahr. Auch eine spürbare Wettbewerbs­beeinträchtigung iSv § 1 UWG konnte das zuständige Gericht nicht erkennen. Folgerichtig verneinte das OLG Linz auch die Voraussetzungen für eine Urteilsveröffentlichung: Ohne bestehende Wiederholungsgefahr und ohne fortdauernde Rechtsverletzung fehlt es an einem berechtigten Informations­interesse der Öffentlichkeit.

Die Entscheidung verdeutlicht, dass Unterlassungsansprüche keineswegs automatisch greifen. Bei einer rechtswidrigen Nutzung fremder Inhalte ist vielmehr sorgfältig zu prüfen, ob tatsächlich eine konkrete Gefahr künftiger Verletzungen besteht. Gerade das vorprozessuale Verhalten – insbesondere das rasche und vollständige Einstellen der beanstandeten Nutzung – kann dabei ausschlaggebend sein.

Key Take-Aways

  • Keine automatische Wiederholungsgefahr: Eine einmalige Wettbewerbsverletzung reicht nicht aus, wenn sie bereits eingestellt wurde und keine Anhaltspunkte für eine Wiederholung bestehen.
  • Unterlassungserklärung wirkt: Ernsthafte vorprozessuale Unterlassungserklärungen und Entfernung der Inhalte können einen Unterlassungsanspruch zu Fall bringen.
  • Urteilsveröffentlichung nur bei Bedarf: Ohne fortdauernde Rechtsverletzung oder Informationsinteresse der Öffent¬lichkeit ist sie nicht gerechtfertigt.
Trennstrich bunt

Digital Networks Act: Neustart für Europas Telekomregulierung | Gernot Fritz

Mit dem Vorschlag für einen Digital Networks Act (DNA) legt die Europäische Kommission einen neuen Ordnungsrahmen für elektronische Kommunikationsnetze vor. Ziel ist es, die bestehenden, teils fragmentierten Regelungen zu modernisieren, Investitionen in Hochleistungsnetze zu erleichtern und die europäische Wettbewerbsfähigkeit im digitalen Infrastruktur­bereich zu stärken. Der DNA ist dabei weniger als punktuelle Reform gedacht, sondern als strategischer Neustart der Telekomregulierung im Binnenmarkt.

Ausgangspunkt ist die Beobachtung, dass der Ausbau von Glasfaser- und 5G-Netzen in Europa hinter den Erwartungen zurückbleibt, während gleichzeitig der Datenverkehr – getrieben durch Cloud-Dienste, Streaming, KI-Anwendungen und industrielle Vernetzung – rasant wächst. Der bisherige Regulierungsrahmen, insbesondere das Zusammenspiel aus EU-Vorgaben und nationaler Umsetzung, wird von der Kommission als zu komplex, zu langsam und zu wenig investitionsfreundlich eingeschätzt.

Der Digital Networks Act setzt daher an mehreren Stellschrauben an. Zentrales Element ist eine stärkere Harmonisierung der Marktregulierung auf EU-Ebene. Nationale Besonderheiten sollen zurückgedrängt, Verfahren vereinheitlicht und Genehmigungsprozesse beschleunigt werden. Gleichzeitig will die Kommission den regulatorischen Fokus stärker auf Investitionsanreize und langfristige Planungssicherheit verlagern, insbesondere für kapitalintensive Netzinfrastrukturen.

Ein weiterer Schwerpunkt liegt auf der Überprüfung der bestehenden Zugangs- und Entgeltregulierung. Der DNA sieht vor, regulatorische Verpflichtungen stärker zu differenzieren und dort zurückzunehmen, wo wettbewerbliche Strukturen als ausreichend angesehen werden oder kooperative Ausbauformen bestehen. Damit soll insbesondere der gemeinsame Netzausbau – etwa bei Glasfaser – erleichtert werden, ohne die wettbewerbsrechtlichen Leitplanken vollständig aufzugeben.

Daneben adressiert der Vorschlag auch die Rolle großer datenintensiver Dienste. Zwar enthält der Digital Networks Act keine unmittelbare „Fair-Share“-Abgabe, er schafft jedoch einen Rahmen für mehr Transparenz und für künftige regulatorische Maßnahmen im Verhältnis zwischen Netzbetreibern und großen Inhalte- und Plattformanbietern. Die Kommission hält sich hier bewusst Spielräume offen.

Schließlich verfolgt der DNA auch industriepolitische Ziele. Der europäische Telekommarkt soll konsolidierungsfähiger werden, grenzüberschreitende Tätigkeiten erleichtert und Skaleneffekte besser nutzbar gemacht werden. Die langfristige Vision ist ein stärker integrierter Markt für digitale Netze als Grundlage für KI, Cloud, Edge Computing und weitere datenintensive Zukunfts­technologien.

Ob der Digital Networks Act dieses ambitionierte Ziel erreicht, wird maßgeblich von der konkreten Ausgestaltung im Gesetzgebungs­verfahren abhängen. Klar ist aber bereits jetzt: Der Vorschlag markiert eine Verschiebung des regulatorischen Paradigmas – weg von reiner Marktöffnung, hin zu stärkerer Investitions- und Infrastrukturorientierung.

Key Take-Aways

  • Unternehmen im Telekom- und Infrastrukturbereich müssen sich auf stärker harmonisierte EU-Vorgaben und weniger nationale Spielräume einstellen, insbesondere bei Genehmigungen und Marktregulierung.
  • Für Netzbetreiber kann der DNA neue Investitionsanreize schaffen, etwa durch flexiblere Zugangsregeln und bessere Rahmenbedingungen für kooperative Ausbauprojekte.
  • Daten- und traffic-intensive Unternehmen sollten die weitere Entwicklung genau beobachten, da der DNA mittelfristig neue regulatorische Anforderungen im Verhältnis zu Netzbetreibern vorbereiten könnte.
  • Insgesamt signalisiert der Vorschlag einen strategischen Kurswechsel der Europäische Kommission hin zu mehr industriepolitischer Steuerung im digitalen Binnenmarkt.
Trennstrich bunt

EDPB und EDPS äußern Kritik am Digital Omnibus on Artificial Intelligence | Jakob Secklehner

Mit dem am 19. November 2025 vorgelegten Digital Omnibus on AI (Digital Omnibus) beabsichtigt die EU-Kommission, die Umsetzung des AI-Act zu vereinfachen und administrative Lasten zu reduzieren (zu den Details siehe ctrl + law Ausgabe 3). Am 20. Januar 2026 veröffentlichten European Data Protection Board (EDPB) und den European Data Protection Supervisor (EDPS) nach formeller Konsultation ihre gemeinsame Stellungnahme, in der sie zu den geplanten Änderungen Stellung nehmen. Während EDPB und EDPS das Ziel der Kommission unterstützen, Umsetzungsherausforderungen des AI-Act anzugehen, mahnen sie zur sorgfältigen Abwägung zwischen Vereinfachung und Grundrechtsschutz.

Besondere Aufmerksamkeit widmen EDPB und EDPS der geplanten Ausweitung der Verarbeitung besonderer Kategorien personen­bezogener Daten für Bias Detection. Der Digital Omnibus würde es Anbietern und Betreibern aller KI-Systeme erlaubt, besondere Kategorien personenbezogener Daten zu verarbeiten – nicht nur bei Hochrisiko-Systemen. EDPB und EDPS regen an, die Fälle klar einzugrenzen und auf ausreichend schwerwiegende Risiken zu beschränken. Besonders hervorgehoben wird, dass Art 10 Abs 5 AI-Act den Maßstab “strictly necessary” als Voraussetzung für die Verarbeitung vorsieht, während die neue Regelung lediglich “necessary” verlangt. Während beim Maßstab “strictly necessary” die Verarbeitung besonderer Kategorien personenbezogener Daten das einzig mögliche Mittel darstellen muss, eröffnet “necessary” (auch mangels weiterer Klarstellungen der Kommission zur Auslegung des Begriffs) den Unternehmen einen größeren Spielraum bei der Entwicklung fairer und diskriminierungsfreier KI-Systeme.

EDPB und EDPS äußern sich weiters zu der geplanten Abschaffung der Registrierungspflicht für bestimmte Hochrisiko-KI-Systeme. Sie empfehlen, die Registrierungsverpflichtung auch dann beizubehalten, wenn der Anbieter zu dem Ergebnis gelangt ist, dass das System – trotz Erwähnung in Anhang III AI-Act – keine Hochrisiko-KI ist. Die vorgeschlagene Streichung würde nach EDPB und EDPS die Rechenschaftspflicht erheblich beeinträchtigen und einen unerwünschten Anreiz schaffen, diese Ausnahme unangemessen in Anspruch zu nehmen, während das anvisierte Einsparungspotenzial bei weniger als EUR 150.000 im Jahr liege. Für Unternehmen würde der Wegfall dieser Pflicht dagegen administrative Entlastung bringen und den Compliance-Aufwand reduzieren.

EDPB und EDPS befassen sich zudem mit der geplanten Abschwächung der AI Literacy-Verpflichtung in Art 4 AI-Act. Der Digital Omnibus sieht vor, die bestehende Pflicht für Anbieter und Betreiber von KI-Systemen, für ein ausreichendes Maß an KI-Kompetenz ihres Personals zu sorgen, in eine Verpflichtung der Kommission und die Mitgliedstaaten umzuwandeln, sodass diese die Unternehmen lediglich dazu ermutigen müssen, entsprechende Maßnahmen zu setzen. EDPB und EDPS betonen, dass AI Literacy eine Schlüsselrolle beim Schutz der Grundrechte spielt, da sie ein Verständnis von KI-Konzepten sicherstellt und das ethische sowie soziale Bewusstsein für Chancen und Risiken von KI schärft. Die vorgeschlagene Umwandlung in eine unverbindliche Förderungspflicht würde das Ziel des AI Act erheblich untergraben.

Schließlich nehmen EDPB und EDPS Stellung zu der geplanten Verschiebung der Anwendbarkeit der Regeln für Hochrisiko-KI-Systeme. Der Digital Omnibus sieht vor, dass die Regeln erst sechs oder zwölf Monate nach einer Bestätigung der Kommission über verfügbare Compliance-Maßnahmen gelten sollen, spätestens aber am 2. August 2027 (Anhang III) bzw. 2. August 2028 (Anhang I) – statt aktuell 2. August 2026 bzw. 2. August 2027. Zwar gebe es einige zumindest teilweise gerechtfertigte Gründe für die Verschiebung, die Datenschutzbehörden zeigen sich jedoch besorgt über die möglichen Auswirkungen auf den Grundrechtsschutz und die Rechtssicherheit.

Darüber hinaus äußern sich EDPB und EDPS in ihrer Stellungnahme zu weiteren Aspekten des Digital Omnibus – teils mit Kritik, teils mit Empfehlungen: Zur Einrichtung von KI-Reallaboren (AI Regulatory Sandboxes) auf EU-Ebene und der Rolle der Datenschutzbehörden in diesem Zusammenhang, zur Aufsicht und Durchsetzung durch das AI Office bei KI-Systemen, die auf General-Purpose AI-Modellen basieren, sowie zu den Befugnissen von Behörden zum Schutz der Grundrechte und deren Zusammenarbeit mit Marktüberwachungsbehörden.

Es bleibt abzuwarten, inwieweit der Gesetzgeber die Stellungnahme der Datenschutzbehörden in seine Abwägung einbeziehen wird. Für Unternehmen bietet der Digital Omnibus jedenfalls die Chance auf spürbare Erleichterungen bei der Umsetzung des AI-Act – von reduzierten Dokumentationspflichten über flexiblere Schulungsanforderungen bis hin zu verlängerten Übergangsfristen.

Key Take-Aways

  • Flexibilisierung bei Bias Detection: EDPB und EDPS sehen die Ausweitungen durch den Digital Omnibus äußerst kritisch.
  • Entfall der Registrierungspflicht: Die geplante Abschaffung reduziert den administrativen Aufwand, EDPB und EDPS warnen jedoch vor einer Verringerung der Rechenschafts¬pflicht.
  • Verlängerte Fristen für Hochrisiko-KI: Die Verschiebung auf 2027 bzw. 2028 birgt laut EDPB und EDPS aber Grundrechtsrisiken.
Trennstrich bunt

Technologische Souveränität: Europas Anspruch auf digitale Kontrolle | Gernot Fritz

Mit seiner Entschließung zur technologischen Souveränität Europas vom 22. Januar 2026 formuliert das Europäische Parlament einen klaren politischen Anspruch: Europa soll bei Schlüsseltechnologien nicht nur regulieren, sondern wieder stärker selbst gestalten können. Die Entschließung versteht technologische Souveränität dabei nicht als Abschottung, sondern als Fähigkeit, strategische Entscheidungen eigenständig zu treffen, Abhängigkeiten zu reduzieren und kritische Infrastrukturen resilient auszugestalten.

Ausgangspunkt ist eine ernüchternde Bestandsaufnahme. In zentralen digitalen Wertschöpfungsketten – von Halbleitern über Cloud- und KI-Infrastrukturen bis hin zu Betriebssystemen und Plattformdiensten – ist Europa in hohem Maß von Drittstaaten abhängig. Diese Abhängigkeiten werden vom Parlament zunehmend als wirtschaftliches, sicherheitspolitisches und geopolitisches Risiko verstanden, insbesondere vor dem Hintergrund globaler Spannungen, extraterritorialer Rechtsdurchsetzung und strategischer Industriepolitik anderer Wirtschaftsräume.

Die Entschließung knüpft an bestehende Initiativen wie den Chips Act, den Digital Services Act, den Digital Markets Act und den AI Act an, fordert aber eine stärkere strategische Verzahnung dieser Instrumente. Regulierung allein sei nicht ausreichend, vielmehr müsse sie durch gezielte Investitionen, industriepolitische Leitlinien und eine koordinierte Beschaffungs- und Förderpolitik ergänzt werden. Besonders betont wird die Rolle öffentlicher Aufträge als Hebel zur Stärkung europäischer Anbieter und Technologien.

Ein weiterer Schwerpunkt liegt auf Daten, Cloud und KI. Das Parlament spricht sich für den Ausbau vertrauenswürdiger, interoperabler europäischer Daten- und Cloud-Infrastrukturen aus und verweist auf Initiativen wie GAIA-X. Gleichzeitig wird betont, dass technologische Souveränität nur erreicht werden könne, wenn Datenzugang, Cybersicherheit und Grundrechtsschutz gemeinsam gedacht werden. Digitale Souveränität wird damit explizit mit Rechtsstaatlichkeit und europäischen Werten verknüpft.

Auch die internationale Dimension nimmt breiten Raum ein. Europa soll weiterhin offen für Handel und Kooperation bleiben, jedoch kritische Abhängigkeiten systematisch identifizieren und reduzieren. Strategische Partnerschaften, Diversifizierung von Lieferketten und klare Regeln für den Einsatz ausländischer Technologien in sensiblen Bereichen werden als zentrale Instrumente genannt. Die Entschließung enthält damit auch eine deutliche geopolitische Komponente.

Rechtlich ist die Entschließung nicht verbindlich, sie entfaltet jedoch erhebliche Signalwirkung. Sie richtet sich ausdrücklich an die Europäisches Parlament, die Europäische Kommission und die Mitgliedstaaten und setzt einen politischen Rahmen für kommende Gesetzgebungsvorhaben, Förderprogramme und strategische Weichenstellungen. Für Unternehmen ist sie ein Frühindikator dafür, wohin sich die europäische Digital- und Industriepolitik in den nächsten Jahren bewegen wird.

Key Take-Aways

  • Technologische Souveränität wird als strategisches Ziel der EU weiter an Bedeutung gewinnen und zunehmend regulatorische, förderpolitische und vergaberechtliche Entscheidungen prägen.
  • Unternehmen in Schlüsseltechnologiebereichen sollten mit stärkerer politischer Steuerung, aber auch mit neuen Förder- und Kooperationsmöglichkeiten rechnen.
  • Cloud-, Daten- und KI-Anbieter müssen sich darauf einstellen, dass europäische Herkunft, Interoperabilität und Sicherheitsstandards stärker in den Fokus rücken.
  • Auch nicht verbindliche Entschließungen können faktisch Leitplanken setzen und frühzeitig anzeigen, welche regulatorischen und industriepolitischen Initiativen folgen werden.
Trennstrich bunt

ctrl + law – ordnet ein, was rechtlich relevant wird.

Klar, kompakt, praxisnah.

Jetzt abonnieren und dranbleiben.