ctrl + law | Ausgabe 9

24.02.2026

ctrl + law – KI, Plattformen und Durchsetzung | Gernot Fritz

Ausgabe 9 von ctrl + law zeigt, wie stark sich das digitale Recht derzeit über konkrete Entscheidungen weiterentwickelt. Im Fokus stehen KI-gestützte Kreativprozesse, Plattformverantwortung und die praktische Durchsetzung bestehender Regelwerke.

Das AG München stellt klar: Maßgeblich KI-generierte Logos genießen nicht automatisch urheberrechtlichen Schutz. Entscheidend ist ein objektiv erkennbarer, prägender menschlicher Beitrag. Für Unternehmen heißt das: Wer mit generativer KI arbeitet, sollte Schutzstrategien breiter aufstellen – insbesondere über Marken- und Designrecht sowie vertragliche Absicherung.

Der OGH stärkt zugleich die Rechtsdurchsetzung bei Hass im Netz. Der Auskunftsanspruch nach § 13 Abs 3 ECG kann eine eigene deliktische Grundlage bilden. Betroffene können Plattformen unter bestimmten Voraussetzungen am eigenen Wohnsitz klagen – auch wenn diese in einem anderen EU-Staat niedergelassen sind. Plattformbetreiber müssen internationale Zuständigkeitsrisiken daher stärker mitdenken.

Zwei Jahre DSA zeigen zudem: Transparenz-, Beschwerde- und Governance-Pflichten sind operativer Alltag geworden. Erste Geldbußen und verbindliche Zusagen belegen, dass die Kommission die neuen Instrumente aktiv nutzt.

Mit der ersten veröffentlichten Entscheidung des Parlamentarischen Datenschutzkomitees wird schließlich klar, dass auch parlamentarische Datenverarbeitungen der DSGVO unterliegen. Transparenz entbindet nicht von einer strukturierten Verhältnismäßigkeitsprüfung.

Digitale Regulierung wird damit spürbar konkret – in Designprozessen, auf Plattformen und selbst im parlamentarischen Raum.

ctrl + law ordnet ein, wo sich die Leitplanken verschieben – und was das für Unternehmen bedeutet.

Wir wünschen eine anregende Lektüre.

AG München: Kein Urheberrechtsschutz für maßgeblich KI-generierte Logos | Hannah Kercz

Mit Endurteil vom 13.02.2026 (142 C 9786/25) hat das AG München klargestellt, dass Logos, die maßgeblich mit generativer KI erstellt werden, regelmäßig keinen Werkcharakter im Sinne des deutschen Urheberrechtsgesetzes erreichen. In der Folge können darauf gestützte Unterlassungs- oder Löschungsansprüche aus nicht erfolgreich geltend gemacht werden.

Ausgangspunkt der Entscheidung war ein Streit zwischen zwei Bekannten: Die klagende Partei hatte drei Logos mittels generativer KI erzeugt und auf ihrer Website verwendet. Die beklagte Partei übernahm diese Logos für ihre eigene Website. Daraufhin begehrte die klagende Partei Unterlassung und Löschung und argumentierte, ihr iteratives Prompting sei mit einem schöpferischen Arbeitsprozess vergleichbar; die Logos seien daher als Werke der angewandten Kunst urheberrechtlich geschützt.

Das AG München stellt den Prüfungsmaßstab klar auf den objektiv identifizierbaren menschlich-schöpferischen Einfluss ab. KI-Outputs können grundsätzlich schutzfähig sein, wenn sich im Ergebnis die Persönlichkeit des “Promptenden” durch freie kreative Entscheidungen widerspiegelt. Erforderlich ist jedoch, dass dieser menschliche Beitrag den konkreten Output prägt und sich im Ergebnis als eigene originelle Schöpfung manifestiert.

Nicht ausreichend sind nach Ansicht des AG München die bloße Auswahl aus mehreren KI-Vorschlägen, allgemein gehaltene oder ergebnisoffene Prompts oder ein “sorgfältig getestetes” Prompting, sofern die eigentliche gestalterische Entscheidung der KI überlassen bleibt. Ebenso wenig sind Zeitaufwand, technische Komplexität oder die Nutzung einer kostenpflichtigen “Premium”-Version relevante Kriterien. Das (deutsche) Urheberrecht schützt nicht Investition oder Mühe, sondern allein die kreative geistige Leistung.

Im konkreten Fall verneinte das AG München bei allen drei Logos den Werkcharakter. Die Prompts seien überwiegend allgemein, teilweise technisch geprägt oder auf Fehlerkorrekturen beschränkt gewesen. Eine hinreichend prägende, freie kreative Entscheidung der klagenden Partei sei im Output nicht objektiv erkennbar gewesen. Mangels Werkqualität fehlte es somit an der Grundlage für Unterlassungs- und Löschungsansprüche.

Für die Praxis ist die Entscheidung als deutlicher Hinweis zu verstehen, dass KI-gestützte Gestaltungsprozesse urheberrechtlich nicht automatisch zu geschützten Ergebnissen führen. Unternehmen sollten Schutzstrategien daher nicht primär auf das Urheberrecht stützen, sondern ergänzend auf Marken-, Design- und vertragliche Absicherung setzen (etwa durch Markenanmeldungen, klare Rechteketten bei beauftragten Agenturen sowie dokumentierte eigenständige Nachbearbeitungsschritte).

Key Take-Aways

Werkqualität setzt prägenden menschlichen Einfluss voraus: Nur wenn sich freie kreative Entscheidungen objektiv im Output widerspiegeln, kommt Urheberrechtsschutz in Betracht.
Prompting allein genügt nicht: Allgemeine, ergebnisoffene oder bloß iterative Anweisungen sowie die Auswahl unter KI-Vorschlägen begründen keinen Werkcharakter.
Schutz strategisch denken: Bei KI-generierten Logos frühzeitig Marken-, Design- und vertragliche Absicherung prüfen.

Hass im Netz – Identitätsauskunft auch gegen EU-Plattformen am Wohnsitzgericht | Amina Kovacevic

Mit Beschluss vom 18.12.2025 (6 Ob 186/25h) hat der Oberste Gerichtshof (OGH) eine für die Praxis zentrale Frage geklärt: Können Betroffene von Online-Hass eine in Irland oder einem anderen EU-Staat niedergelassene Plattform vor einem österreichischen Gericht auf Identitätsauskunft nach § 13 Abs 3 ECG klagen? Die Antwort des OGH ist klar: ja, unter bestimmten Voraussetzungen schon.

Ausgangspunkt war ein leider typischer Sachverhalt: Die Antragstellerin war über Monate hinweg massiven, sexualisierten Beschimpfungen und Drohungen durch mehrere Nutzer einer großen Kommunikationsplattform ausgesetzt. Um zivilrechtlich gegen die Verfasser vorgehen zu können – insbesondere mit Unterlassungsansprüchen –, benötigte sie deren Identität. Gestützt auf § 13 Abs 3 ECG begehrte sie daher Auskunft über Namen und Adressen, hilfsweise E-Mail-Adressen sowie sonstige zur Identifizierung geeignete Daten.

Das Erstgericht bejahte die internationale Zuständigkeit nach Art 7 Z 2 EuGVVO (Deliktsgerichtsstand) und gab dem Antrag teilweise statt. Das OLG Linz sah das anders: Die eigentliche Persönlichkeitsverletzung gehe von den „Postern“ aus, nicht von der Plattform. Der Auskunftsanspruch sei nur ein Hilfsanspruch zur Durchsetzung deliktischer Ansprüche gegen Dritte und könne daher keinen eigenen Deliktsgerichtsstand begründen. Folge: Zurückweisung mangels internationaler Zuständigkeit.

Der OGH hob diese Entscheidung auf – mit einer Begründung, die für Betroffene wie für Plattformbetreiber erhebliche praktische Bedeutung hat. Entscheidend sei nicht, gegen wen sich die ursprüngliche Ehrverletzung richtet. Gegenstand des konkreten Verfahrens sei vielmehr die behauptete Verletzung einer eigenständigen gesetzlichen Pflicht der Plattform: die Pflicht zur Identitätsauskunft nach § 13 Abs 3 ECG. Diese Verpflichtung bestehe unabhängig von einem Vertrag und treffe den Plattformbetreiber unmittelbar. Wird sie rechtswidrig verweigert, kann darin selbst eine „unerlaubte Handlung“ im Sinn von Art 7 Z 2 EuGVVO liegen.

Der OGH betont dabei, dass Art 7 Z 2 EuGVVO unionsrechtlich autonom und weit auszulegen ist. Erfasst sind nicht nur klassische Schadenersatzansprüche, sondern sämtliche Ansprüche, die auf der Verletzung gesetzlicher Pflichten beruhen. Für die Praxis bedeutet das: Auch ein gesetzlicher Auskunftsanspruch kann deliktischen Charakter haben – mit allen zuständigkeitsrechtlichen Konsequenzen.

Zentral war daher die Frage nach dem „Ort des schädigenden Ereignisses“. Der OGH knüpft an die EuGH-Rechtsprechung zu Persönlichkeitsrechtsverletzungen im Internet an und stellt auf den Erfolgsort ab. Der konkrete Nachteil der Auskunftsverweigerung besteht darin, dass die Betroffene ihre Rechte gegen die Verfasser der Hasspostings nicht effektiv durchsetzen kann. Dieser Nachteil tritt dort ein, wo sich ihr soziales und berufliches Leben entfaltet – regelmäßig also am Mittelpunkt ihrer Interessen. Im konkreten Fall war das der Wohnsitz im Sprengel des angerufenen österreichischen Gerichts. Damit war die internationale Zuständigkeit gegeben.

Auch das häufig ins Treffen geführte Herkunftslandprinzip des ECG stand dem nicht entgegen. Zwar unterliegen Diensteanbieter grundsätzlich dem Recht ihres Niederlassungsstaats. § 22 ECG sieht jedoch Ausnahmen vor, insbesondere zum Schutz der Würde einzelner Menschen. Angesichts der massiven, sexualisierten Beschimpfungen bejahte der OGH einen ausreichend schweren Eingriff in die Menschenwürde, der ein Abweichen vom Herkunftslandprinzip rechtfertigt. Österreichisches Recht konnte daher angewendet werden.

Für die Rechtsdurchsetzung bei Hass im Netz ist die Entscheidung ein deutlicher Schritt nach vorne. Betroffene müssen nicht zwingend im Sitzstaat großer Plattformen – etwa in Irland – prozessieren, sondern können unter bestimmten Voraussetzungen ihr Wohnsitzgericht anrufen. Das senkt die faktische Hürde zur Rechtsverfolgung erheblich.

Für Plattformbetreiber bedeutet die Entscheidung umgekehrt: Die Verweigerung einer Identitätsauskunft ist kein rein „technischer“ oder vorgelagerter Akt, sondern kann eigenständige prozessuale Risiken auslösen – einschließlich Klagen im Ausland.

Key Take-Aways

Der Auskunftsanspruch nach § 13 Abs 3 ECG ist eigenständig durchsetzbar und kann als „unerlaubte Handlung“ im Sinn des Art 7 Z 2 EuGVVO qualifiziert werden. Plattformen müssen daher mit Klagen am Erfolgsort rechnen.
Bei Online-Persönlichkeitsrechtsverletzungen liegt der Erfolgsort regelmäßig am Mittelpunkt der Interessen der betroffenen Person – oft also am Wohnsitz. Das erleichtert die Rechtsdurchsetzung erheblich.
Auch große Plattformen mit Sitz in anderen EU-Staaten können vor österreichischen Gerichten auf Identitätsauskunft in Anspruch genommen werden, wenn die gesetzlichen Voraussetzungen erfüllt sind.
Das Herkunftslandprinzip ist kein Freibrief. Bei schwerwiegenden Eingriffen in die Menschenwürde kann nach § 22 ECG österreichisches Recht zur Anwendung kommen – mit entsprechenden Compliance-Implikationen für Plattformbetreiber.

Zwei Jahre DSA | Tanja Pfleger

Seit rund zwei Jahren ist der Digital Services Act (DSA) voll anwendbar – und er hat die Spielregeln für Online-Dienste spürbar verändert. Betroffen sind nicht nur klassische Social-Media-Plattformen, sondern auch Online-Marktplätze, App-Stores, Buchungs- und Vermittlungsplattformen sowie Hosting-Dienste. Der DSA versteht sich als Grundrechtsgesetz für den digitalen Raum: Er soll Meinungsfreiheit sichern, Nutzer vor illegalen Inhalten schützen und zugleich Transparenz über Moderation und Werbung schaffen.

Für Plattformen bedeutet das vor allem eines: Struktur statt Einzelfallreaktion. Es reicht nicht mehr, problematische Inhalte punktuell zu löschen. Gefordert sind klar dokumentierte Melde- und Abhilfeverfahren, nachvollziehbare Moderationsregeln, transparente Werbesysteme und – bei sehr großen Online-Plattformen und Suchmaschinen mit mehr als 45 Mio. monatlichen Nutzer in der EU – ein systematisches Risikomanagement. Diese „Very Large Online Platforms“ (VLOPs) müssen regelmäßig analysieren, welche systemischen Risiken von ihren Diensten ausgehen, etwa im Hinblick auf Desinformation, Grundrechtsbeeinträchtigungen oder Manipulationsrisiken, und geeignete Minderungsmaßnahmen implementieren. Dazu gehört auch Transparenz über Empfehlungssysteme sowie eine Opt-out-Möglichkeit für personalisierte Feeds.

Ein Blick auf die Zahlen zeigt, wie stark die neuen Instrumente genutzt werden. Nach Angaben der Europäischen Kommission wurden seit Anwendbarkeit des DSA rund 165 Millionen Moderationsentscheidungen intern angefochten. In fast 50 Millionen Fällen – also rund 30 % – wurden diese Entscheidungen nach Beschwerde wieder aufgehoben. Das verdeutlicht zweierlei: Zum einen werden interne Beschwerdemechanismen tatsächlich genutzt; zum anderen sind Moderationsentscheidungen keineswegs unangreifbar.

Auffällig ist zudem, dass im ersten Halbjahr 2025 rund 99 % der Moderationsentscheidungen auf die Durchsetzung eigener Nutzungsbedingungen der Plattformen zurückgingen – und nicht primär auf die Entfernung als „illegal“ gemeldeter Inhalte. Für die Praxis bedeutet das: Die Ausgestaltung und Anwendung der Community Guidelines ist regulatorisch ebenso relevant wie die Einhaltung straf- oder verwaltungsrechtlicher Vorgaben.

Neben internen Beschwerdeverfahren gewinnen auch außergerichtliche Streitbeilegungsstellen an Bedeutung. Im ersten Halbjahr 2025 prüften sie über 1.800 Fälle zu Inhalten auf Facebook, Instagram und TikTok; in 52 % der abgeschlossenen Verfahren wurden die ursprünglichen Plattformentscheidungen aufgehoben. Diese Verfahren sind typischerweise schneller und kostengünstiger als Gerichtsverfahren, jedoch nicht zwingend bindend. Der Rechtsweg bleibt offen – was zusätzlichen Druck auf Plattformen erzeugt, bereits im internen Verfahren sauber zu arbeiten.

Für Transparenz sorgt die DSA-Transparenzdatenbank, in der Moderationsentscheidungen nahezu in Echtzeit dokumentiert werden. Sie enthält mittlerweile über 3,6 Milliarden „statements of reasons“. Bemerkenswert ist dabei, dass etwa die Hälfte der Entscheidungen vollautomatisiert erfolgt. Für Compliance-Verantwortliche stellt sich daher nicht nur die Frage nach der materiellen Rechtmäßigkeit einzelner Maßnahmen, sondern auch nach der Governance automatisierter Systeme.

Die Europäische Kommission zieht insgesamt eine positive Zwischenbilanz. Das Verbot gezielter Werbung gegenüber Minderjährigen gilt seit 2024. Online-Marktplätze müssen Händler besser identifizierbar machen („Know Your Business Customer“) und Käufer informieren, wenn sie illegale Produkte erworben haben. Gleichzeitig erhalten Forschende und Zivilgesellschaft deutlich erweiterten Zugang zu Daten über Moderationspraktiken und Systemdesigns – ein Aspekt, der für VLOPs mit erheblichen organisatorischen und technischen Anforderungen verbunden ist.

Dass der DSA kein „zahnloser Tiger“ ist, zeigen erste Durchsetzungsmaßnahmen. Gegen X wurde im Dezember 2025 eine Geldbuße von EUR 120 Mio verhängt, unter anderem wegen Verstößen gegen Transparenzpflichten (irreführendes „blaues Häkchen“, Mängel im Werbearchiv, unzureichender Datenzugang für Forschende). X hat dagegen Rechtsmittel eingelegt. Auch gegenüber TikTok wurde die Kommission aktiv: Verbindliche Zusagen zur umfassenderen Werbetransparenz wurden akzeptiert. Künftig sollen unter anderem vollständige Werbeinhalte, schnellere Aktualisierungen sowie zusätzliche Such- und Filteroptionen bereitgestellt werden. Zudem verpflichtet sich TikTok, die von Werbetreibenden gewählten Targeting-Kriterien gemeinsam mit aggregierten Nutzerdaten (etwa Geschlecht, Altersgruppe, Mitgliedstaat) offenzulegen, um Forschung zur gezielten Ausspielung von Werbung zu ermöglichen.

Zwei Jahre DSA zeigen damit klar: Die Verordnung wirkt – organisatorisch, technisch und finanziell.

Key Take-Aways

Der DSA verlangt ganzheitliche Compliance: Neben Notice-and-Takedown-Prozessen müssen auch Moderationsregeln, interne Beschwerdeverfahren, Reporting und Governance automatisierter Systeme strukturiert und dokumentiert sein.
Transparenzpflichten sind kein „Soft Law“. Unklare Begründungen, lückenhafte Werbearchive oder unzureichende Datenzugänge können erhebliche Bußgelder nach sich ziehen – auch für international tätige Plattformen.
Interne Beschwerdeverfahren und außergerichtliche Streitbeilegung sind echte Kontrollmechanismen. Unternehmen sollten sicherstellen, dass Prozesse fristgerecht, nachvollziehbar und personell ausreichend ausgestattet sind.
Für werbetreibende Unternehmen und Marktplatz-betreiber bedeutet der DSA mehr Offenlegung und strengere Anforderungen an Targeting, Händler-identifikation und Informationspflichten – mit unmittelbaren Auswirkungen auf Marketing- und Vertriebsmodelle.

Parlamentarisches Datenschutzkomitee: Erste Entscheidung mit Signalwirkung | Gernot Fritz

Mit der jüngst veröffentlichten Entscheidung des Parlamentarischen Datenschutzkomitees (PDK) liegt erstmals eine öffentlich zugängliche Sachentscheidung dieses neuen Organs vor. Inhaltlich betrifft sie die Veröffentlichung eines wörtlichen Protokolls eines parlamentarischen Untersuchungsausschusses, konkret die namentliche Nennung eines verdeckten Ermittlers im online abrufbaren Protokoll.

Institutionell markiert sie jedoch weit mehr: Sie ist der erste belastbare Praxistest für die datenschutzrechtliche Kontrolle parlamentarischer Datenverarbeitungen in Österreich.

Ausgangspunkt des Verfahrens war die Veröffentlichung des vollständigen Vor- und Nachnamens eines Zeugen in einem öffentlich zugänglichen Protokoll auf der Website des Parlaments. Der Betroffene machte geltend, dass die Namensnennung angesichts seiner Tätigkeit als verdeckter Ermittler seine schutzwürdigen Geheimhaltungsinteressen verletze und begehrte die Entfernung bzw. Anonymisierung.

Das PDK stellte eine Verletzung des verfassungsgesetzlich gewährleisteten Rechts auf Geheimhaltung gemäß § 1 DSG sowie des Rechts auf Löschung nach Art 17 DSGVO fest und verpflichtete den Nationalrat, den vollständigen Namen binnen vier Wochen aus dem veröffentlichten Protokoll zu entfernen. Im Übrigen wurde die Beschwerde abgewiesen. Bemerkenswert ist dabei weniger das konkrete Ergebnis als die dogmatische Klarstellung: Auch parlamentarische Untersuchungsausschüsse unterliegen grundsätzlich dem Anwendungsbereich der DSGVO, sofern sie personenbezogene Daten verarbeiten und keine spezifische Ausnahme greift.

Die Entscheidung knüpft an die Rechtsprechung des EuGH an, wonach nicht die institutionelle Einordnung – Legislative oder Exekutive – entscheidend ist, sondern die Art der konkreten Tätigkeit. Die Veröffentlichung eines Protokolls ist eine Verarbeitung personenbezogener Daten. Sie bedarf einer tragfähigen Rechtsgrundlage und unterliegt den Grundsätzen der Verhältnismäßigkeit, Datenminimierung und Zweckbindung. Das demokratische Transparenzinteresse des Parlaments ist dabei ein gewichtiges Argument, entbindet jedoch nicht von einer einzelfallbezogenen Abwägung.

Das PDK führt diese Abwägung ausdrücklich durch. Einerseits wird das hohe öffentliche Interesse an Transparenz parlamentarischer Kontrolle anerkannt. Andererseits wird betont, dass bei besonders schutzwürdigen Funktionen – hier: verdeckte Ermittlungstätigkeit – eine uneingeschränkte Namensnennung unverhältnismäßig sein kann. Die Entscheidung verlangt daher keine Entfernung des gesamten Dokuments, sondern eine gezielte Anpassung: Anonymisierung des Namens bei fortbestehender Veröffentlichung des Protokolls.

Strukturell bedeutsam ist zudem, dass das PDK seine Zuständigkeit bejaht und damit die datenschutzrechtliche Kontrolle der Legislative nicht als unzulässigen Eingriff in die Gewaltenteilung versteht. Datenschutzrechtliche Bindungen gelten auch für parlamentarische Organe, wenn diese personenbezogene Daten verarbeiten. Damit wird klargestellt, dass das Grundrecht auf Datenschutz kein „exekutives Sonderrecht“, sondern ein allgemeines Grundrecht mit horizontaler Reichweite ist.

Die Entscheidung ist auch ein Signal für die künftige Praxis parlamentarischer Veröffentlichungen. Wörtliche Protokolle, Ausschussunterlagen und sonstige Dokumente mit Personenbezug werden sich künftig einer klar strukturierten datenschutzrechtlichen Prüfung stellen müssen. Insbesondere bei sensiblen Funktionen, sicherheitsrelevanten Tätigkeiten oder erhöhten Gefährdungslagen ist eine differenzierte Betrachtung geboten.

Key Take-Aways

Die DSGVO gilt grundsätzlich auch für parlamentarische Datenverarbeitungen. Unternehmen mit Public-Affairs-Bezug oder in parlamentarischen Verfahren sollten daher davon ausgehen, dass ihre personenbezogenen Daten nicht „automatisch“ schrankenlos veröffentlicht werden dürfen.
Transparenzinteressen rechtfertigen nicht jede Form der Namensnennung. Auch im öffentlichen Kontext ist eine konkrete Verhältnismäßigkeitsprüfung erforderlich. Das ist für Unternehmen relevant, deren Organe oder Mitarbeitende in Ausschüssen oder öffentlichen Anhörungen auftreten.
Das Recht auf Löschung kann auch bei bereits veröffentlichten amtlichen Dokumenten durchgreifen – zumindest in Form gezielter Anonymisierung. Unternehmen sollten prüfen, ob vergleichbare Konstellationen auch bei eigenen Veröffentlichungen (z.B. Compliance-Reports, Whistleblowing-Berichte, Untersuchungsprotokolle) bestehen.
Die Entscheidung unterstreicht die Grundrechtsdimension des Datenschutzes. Für die unternehmerische Praxis bedeutet das: Auch bei gesetzlich gebotener Transparenz (etwa nach ESG-, Hinweisgeber- oder Marktmissbrauchs¬regeln) ist eine strukturierte Datenschutz-Abwägung zwingend und sollte dokumentiert werden.