Fokus IT&C – 2. Quartal 2025

Wir haben für Sie wichtige und spannende Neuerungen und Rechtsprechung aus dem IT-Recht und Datenschutz zusammengestellt. 

1. Update BSIG-Entwurf: Stand und Entwicklung der NIS-2-Umsetzung in Deutschland

2. OLG Köln: Meta darf öffentliche Beiträge zum KI-Training nutzen – Urteil im Volltext veröffentlicht

3. Hochrisiko-KI im HR-Bereich

4. Key Client Briefing: Einsatz künstlicher Intelligenz bei internen Untersuchungen

5. Der neue EU Data Act: Überblick und Umsetzungsstand in deutschen Unternehmen

6. Das Barrierefreiheitsstärkungsgesetz - mehr Barrierefreiheit im Internet ab Ende Juni 2025

7. Der Oppenhoff AVV-Prüfassistent

1. Update BSIG-Entwurf: Stand und Entwicklung der NIS-2-Umsetzung in Deutschland

Bereits im vergangenen Jahr haben wir mehrfach über die geplante Umsetzung der NIS-2-Richtlinie (EU) 2022/2555 in deutsches Recht berichtet (siehe Newsletter vom 18. Dezember 2024 und 26. März 2024). Ziel der NIS-2-Richtlinie ist es, europaweit einheitliche Mindeststandards für die Cybersicherheit zu schaffen. Damit soll ein höheres Schutzniveau von kritischen Infrastrukturen sowie wichtigen und besonders wichtigen Einrichtungen gewährleistet werden.

Die Umsetzung in Deutschland scheiterte aber am Ende der „Ampel“-Koalition (vgl. Newsletter vom 18. Dezember 2024).

Aktueller Umsetzungsstand

Nachdem es mehrere Monate „ruhig“ geblieben ist, ist inzwischen wieder Bewegung in das Umsetzungsvorhaben gekommen. Vor wenigen Wochen wurde ein inoffizieller Referentenentwurf des Umsetzungsgesetzes („BSIG-E“) öffentlich bekannt („geleakt“), der bereits erste Anpassungen zum finalen Entwurf der abgelaufenen Legislaturperiode enthielt („BSIG-E (alt)“).

Am 24. Juni 2025 wurde der offizielle Referentenentwurf zum BSIG-E mit Bearbeitungsstand vom 23. Juni 2025 zur Durchführung einer Verbandsanhörung an die jeweiligen Verbände zirkuliert und entsprechend veröffentlicht. Inoffizielle Planung ist, dass noch vor der Sommerpause der Kabinettsentwurf in den Bundestag eingebracht und das Gesetz bis zum Jahresende verabschiedet wird.

Inhalte des neuen Referentenentwurfs

Der neue Referentenentwurf des BSIG-E baut auf der Entwurfsfassung der „Ampel“ auf (BSIG-E (alt)) auf, enthält jedoch an einigen Stellen Änderungen.

Neben leicht geänderten Formulierungen im Pflichtenkatalog des § 30 BSIG-E sowie der Klarstellung, dass die Pflicht, Systeme zur Angriffserkennung vorzuhalten nur für die tatsächlich als KRITIS-Anlagen qualifizierten Teile eines Unternehmens gelten soll und nicht für das gesamte Unternehmen (§ 31 Abs. 2 BSIG-E), ist unter anderem auch die Einrichtungsart des „Herstellens oder Importierens von chemischen Stoffen“ neu gefasst worden.

Die bedeutendste Änderung betrifft aber die Ermittlung der Unternehmensgröße, also die Frage, ob die für die Anwendbarkeit des BSIG-E relevanten Schwellenwerte von 50 Mitarbeitern oder EUR 10 Mio. Jahresumsatz und Jahresbilanzsumme („Kennzahlen“) überschritten werden.

Der umstrittene § 28 Abs. 3 BSIG-E (alt) wurde – anders als noch im „inoffiziellen“ Leak – überarbeitet und neu gefasst. Nach § 28 Abs. 3 BSIG-E können

„bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 (…) solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind“.

Damit entfällt die bislang für Unternehmen günstige Regelung, wonach bei der Schwellenwertermittlung ausschließlich auf diejenigen Schwellenwerte eines Unternehmens abzustellen war, die auf die regulierten Tätigkeiten entfallen sind.

Entsprechend sind nach der Neufassung nun grundsätzlich die Kennzahlen des gesamten Unternehmens für die Ermittlung der Anwendbarkeitsschwellenwerte heranzuziehen, wobei solche Geschäftstätigkeiten unberücksichtigt bleiben können, die im Vergleich zur gesamten Geschäftstätigkeit des Unternehmens vernachlässigbar sind.

In der Praxis wird die Frage zu klären sein, ab wann von einer vernachlässigbaren Geschäftstätigkeit ausgegangen werden kann. Da die NIS-2-Richtline keine entsprechende Beschränkung der Schwellenwertermittlung vorsieht, bestehen zudem Zweifel, dass die Neufassung europarechtskonform ist.

Fazit und Ausblick

Mit dem vorliegenden Referentenentwurf kommt nach langer Zeit wieder Bewegung in das nationale Umsetzungsverfahren – ein längst überfälliger Schritt, da Deutschland bereits deutlich im Verzug bei der Umsetzung ist.

Die Neufassung des § 28 Abs. 3 BSIG-E bringt für potenziell betroffene Unternehmen erhebliche Konsequenzen mit sich. Durch die veränderte Berechnung der Kennzahlen fallen im Vergleich zur bisherigen Regelung mehr Unternehmen in den Anwendungsbereich des BSIG-E. Daher ist es ratsam, dass betroffene Unternehmen eine erneute Prüfung vornehmen, ob sie den Vorgaben des BSIG-E unterliegen.

Es bleibt abzuwarten, ob im weiteren Verlauf des Gesetzgebungsverfahrens noch wesentliche Änderungen vorgenommen werden und ob der geplante Zeitrahmen für das Inkrafttreten Ende 2025 eingehalten werden kann. Da die meisten Pflichten mit Inkrafttreten gelten werden, sollten potentiell betroffene Unternehmen die Entwicklungen aufmerksam verfolgen und rechtzeitig mit der Umsetzung von Maßnahmen beginnen.

Christian Saßenbach

Zurück

2. OLG Köln: Meta darf öffentliche Beiträge zum KI-Training nutzen – Urteil im Volltext veröffentlicht

Das Oberlandesgericht Köln (OLG) hat am 23. Mai 2025 in einem Eilverfahren entschieden, dass Meta Platforms Ireland Ltd. (Meta) berechtigt ist, Daten von Nutzern der Dienste Facebook und Instagram aus der EU bzw. dem EWR für das Training seines KI-Modells Meta AI (Large Language Model Meta AI, “Llama”) zu verwenden. Dies umfasst auch die Verarbeitung sensitiver Daten (Art. 9 DSGVO), wie z. B. Gesundheitsdaten (siehe Pressemitteilung). Die mit Spannung erwarteten Urteilsgründe wurden am 18. Juni 2025 veröffentlich (Volltext des Urteils hier).

Hintergrund des Verfahrens

Im April 2025 kündigte Meta an, sein KI-Modell Llama ab dem 27. Mai 2025 mit Nutzerdaten der Online-Dienste Facebook und Instagram zu trainieren. Für das KI-Training sollten Daten von volljährigen Nutzern, die über ein „öffentliches“ Nutzerkonto eingestellt wurden (sog. First Party Data) sowie Daten über Nutzerinteraktionen mit dem KI-Modell Llama (sog. Flywheel-Daten) verwendet werden. Ziel des Trainings war es insbesondere, Llama an regionale Gepflogenheiten anzupassen. Die hierfür geplanten Datenverarbeitungen stützte Meta auf die Rechtsgrundlage der berechtigten Interessen (Art. 6 Abs. 1 lit. f) DSGVO).

Die Verbraucherzentrale Nordrhein-Westfalen e.V. (vznrw) beabsichtigte, diese Praxis abzuwenden und beantragte vorbeugend die Unterlassung des KI-Trainings. Meta habe nicht ausreichend dargelegt, dass die entsprechende Datenverarbeitung erforderlich und angemessen für seine berechtigten Interessen seien. Zudem verstoße das KI-Training gegen das Verarbeitungsverbot für sensitive Daten (Art. 9 Abs. 1 DSGVO).

Entscheidung des Gerichts

Das OLG hat den Unterlassungsantrag der vznrw abgelehnt. Neben Aspekten des Digital Market Acts (DMA) spielten insbesondere datenschutzrechtliche Fragestellungen eine entscheidende Rolle. Im Rahmen der summarischen Prüfung im Eilverfahren stellte das OLG fest, dass die Verarbeitung der in den First Party Data enthaltenen personenbezogenen Daten ohne Einwilligung Bei seiner Entscheidung berücksichtigte das OLG die Stellungnahme des Europäischen Datenschutzausschusses (EDSA) 24/2024 zu Datenschutzaspekten der Verarbeitung personenbezogener Daten im Zusammenhang mit KI-Modellen vom 17. Dezember 2024 sowie der Rechtsprechung des Europäischen Gerichtshofs (EuGH). Die Begründung des OLG lässt sich wie folgt zusammenfassen:

1. Berechtigte Interessen als Rechtsgrundlage

Nach den Feststellungen des OLG kann Meta die Verarbeitung von First Party Data zu Zwecken des Trainings des KI-Modells Llama auf die Rechtsgrundlage der berechtigten Interessen (Art. 6 Abs. 1 lit. f) DSGVO) stützen.

1.1 Berechtigtes Interesse

Mit der weiteren Entwicklung von Llama verfolge Meta ein berechtigtes Interesse. Berechtigte Interessen umfassen unter anderem wirtschaftliche Belange, wozu – nach Ansicht des EDSA und der deutschen Datenschutzbehörden – auch das Training von KI-Modellen gehöre. Metas Interesse sei hinreichend klar, real, gegenwärtig und nicht nur spekulativ. Schließlich diene das KI-Training dazu, Llama in Bezug auf regionale Gepflogenheiten zu optimieren.

1.2 Erforderlichkeit

Die Verarbeitung von First Party Data sei zur Verfolgung der berechtigten Interessen von Meta erforderlich, so das OLG. Es gebe keine alternativen Datenverarbeitungen, die im Vergleich zum geplanten KI-Training ebenso geeigneten und gleichzeitig weniger eingriffsintensiv seien: Für das Training von KI-Modellen seien große Datenmengen unverzichtbar. Statt First Party Data ausschließlich Flywheel-Daten aus Interaktionen mit Llama oder synthetische Daten zu nutzen, würde keine vergleichbaren Trainingsergebnisse bringen. Da Meta ein Training mit „regionalen“ Daten plane, sei auch ein – ohnehin eingriffsintensiveres – Webscraping oder Crawling nicht gleich effektiv.

Das OLG betonte zudem, dass die Erforderlichkeit der Datenverarbeitung nicht für jedes einzelne Datum (Datenpunkt) gesondert geprüft werden müsse. Beim Training eines KI-Modells würden massenhaft Daten zur Generierung von Mustern und Wahrscheinlichkeitsparametern verarbeitet, weshalb dem einzelnen Datum (fast) nie ein messbarer Einfluss zukäme. Eine Prüfung der Erforderlichkeit für jedes einzelne Datum sei daher weder praktikabel noch sinnvoll. Andernfalls wäre ein KI-Training auf Grundlage der Rechtsgrundlage des berechtigten Interesses nahezu unmöglich.

1.3 Interessenabwägung

Nach Auffassung des OLG überwiegen die Interessen und (Grund-) Rechte der Nutzer nicht die von Meta verfolgten Interessen. Maßgeblich hierfür sei – in Übereinstimmung mit der Stellungnahme des EDSA und der Rechtsprechung des EuGH –, welche Auswirkung die Datenverarbeitung auf die Betroffenen habe und ob diese mit einer solchen Verarbeitung rechnen konnten.

1.3.1 Berechtigte Erwartungen

Zum einen mussten die Betroffenen spätestens ab dem 26. Juni 2024 mit der Verarbeitung ihrer Daten rechnen. An diesem Datum hatte Meta seine Nutzer darüber informiert, dass öffentliche Nutzerbeiträge künftig für das Training von Llama verwendet werden soll. Obwohl Meta diese Ankündigung später zurückgenommen habe, sei das KI-Training für Betroffene nur vor der Ankündigung unerwartet gewesen. Die Betroffeneninteressen sollen ihre insofern nicht die Interessen Metas überwiegen.

Das OLG verweist zudem insbesondere auf das gesetzgeberische Ziel, dass die EU eine Führungsrolle in der KI-Entwicklung einnehmen soll (Erwägungsgrund 8 der KI-VO). Hierfür bedürfe es eines einheitlichen Rechtsrahmens (Erwägungsgrund 1 der KI-VO).

1.3.2 Überwiegen der Interessen des Anbieters

Das OLG erkennt zwar an, dass die Verarbeitung von First Party Data einen Eingriff in das Selbstbestimmungsrecht darstellt und weist auf Probleme beim KI-Training hin. Bei generativen KI-Modellen bestehe das Risiko fehlender Transparenz und der Verarbeitung von Daten Dritter, insbesondere Minderjähriger. Zudem könne das Löschungsrecht eingeschränkt sein, etwa bei Posts durch Dritte oder bereits in die KI eingestellten Daten.

Dennoch überwiegen für das OLG die von Meta mit dem KI-Training verfolgten Interessen:

• Nutzer könnten ihrem „öffentlichen Nutzerkonto“ und/oder den von ihnen als „öffentlich“ eingestellten Beiträgen den öffentlichen Status entziehen, oder der Datenverarbeitung widersprechen. Bereits in das KI-Modell eingeflossene Daten sollen dann in künftigen Trainings nicht mehr verwendet werden und langsam verblassen.
• Zudem seien die Risiken für Betroffene durch Maßnahmen zur De-Identifizierung begrenzt. Meta entferne etwa vollständige Namen, E-Mail-Adressen und vergleichbar direkt identifizierende Daten.
• Außerdem reduziere die Art der KI-Nutzung die Risiken für Betroffene. Zwar erfolge keine vollständige Anonymisierung der Daten. Allerdings seien KI-Modelle keine Datenarchive, sondern bestünden in der Regel lediglich aus Wahrscheinlichkeitsparametern. Das verbleibende Risiko, dass die KI personenbezogene Daten rekonstruiert („erinnert“) und erneut ausgibt, schätzt das OLG als gering ein.
• Mögliche spätere Rechtsverletzungen im Rahmen des Einsatzes des KI-Modells (etwa Desinformation, Manipulation) seien nicht hinreichend absehbar. Diese könnten zudem gesondert verfolgt werden.
• Schließlich seien die fraglichen Daten ohnehin bereits im Internet veröffentlicht. Insofern drohten den Betroffenen keine neuen Nachteile, z.B. beruflicher oder sozialer Art.

2. Kein Verarbeitungsverbot für besondere Kategorien personenbezogener Daten

Eine weitere wesentliche Feststellung betrifft die Verarbeitung sensitive Daten (Art. 9 Abs. 1 DSGVO). Das OLG sah auch die Verarbeitung solch sensibler Daten im Rahmen des streitgegenständlichen KI-Trainings nicht als unzulässig an. Zwar verweist es auf den weiten Anwendungsbereich der sensitiven Daten, sieht jedoch kein generelles Verarbeitungsverbot.

2.1 Ausnahme für selbst veröffentlichte Daten

Zum einen soll ein Ausnahmetatbestand (Art. 9 Abs. 2 lit. e) DSGVO) eingreifen, soweit eigene sensitive Daten eingestellt wurden. Diese habe der betroffene Nutzer eigens öffentlich gemacht. Diese Ausnahmeregelung finde indes keine Anwendung, soweit die vom Nutzer veröffentlichten Beiträge (auch) Daten Dritter enthalten. Der Verzicht auf den Schutz sensitiver Daten könne nur von jedem Betroffenen selbst erklärt werden.

2.2 Kein Verarbeitungsverbot für Daten Dritter

Das OLG sieht jedoch im Streitfall auch Daten Dritter nicht vom Verarbeitungsverbot für sensitive Daten (Art. 9 Abs. 1 DSGVO) umfasst.

2.2.1 Tätigkeitsbezogene Besonderheit

Zur Begründung zieht das OLG eine Parallele zur Rechtsprechung des EuGHs zum De-Listing bei der Suchmaschine Google (EuGH, Urt. v. 24.9.2019, C-136-17 – GC und andere). Dort hatte der EuGH die tätigkeitsbezogenen Besonderheiten von Suchmaschinenbetreibern betont, insbesondere die Schwierigkeiten angesichts der Vielzahl verlinkter Inhalte für diese ex ante vor Setzen des Links zu bestimmen, welche Daten von ihnen verarbeitet werden. Auf dieser Grundlage hatte der EuGH entschieden, dass diese zwar keine Freistellung von Suchmaschinenbetreibern vom Verarbeitungsverbot für sensitive Daten (Art. 9 DSGVO) rechtfertigen, sich aber auf den Umfang der Verantwortlichkeiten und Pflichten des Betreibers auswirken (a.a.O., Rn. 45). Vor diesem Hintergrund könne das Verarbeitungsverbot des Art. 9 DSGVO nicht ex ante und systematisch auf einen Suchmaschinenbetreiber angewendet werden, sondern vielmehr im Wege einer ex post Überprüfung der Verarbeitung auf Antrag der betroffenen Person (a.a.O., Rn. 47). Andernfalls wäre das Geschäftsmodell einer Suchmaschine kaum mehr wirtschaftlich darstellbar.

Es bedarf insoweit einer „Aktivierung“ des Verbots. Diese einschränkende Interpretation überträgt das OLG auf das vorliegende KI-Training. Ähnlich wie der Suchmaschinenbetreiber dürfte Meta kaum einen Einfluss haben, welche konkreten Daten in das KI-Training Eingang finden bzw. könnte in wirtschaftlich vertretbarer Weise jeden einzelnen Inhalt vor dem KI-Training prüfen.

Nach diesem Maßstab hätten die betroffenen Dritten die Herausnahme ihrer besonderen Arten personenbezogener Daten aus dem veröffentlichten Beitrag oder dem Trainingsdatensatz zuerst beantragen müssen. Ohne diese „Aktivierung“ konnte das Verarbeitungsverbot für das KI-Training nicht greifen.

2.2.2 Vorreiterrolle in der KI-Entwicklung

Zudem sei die angestrebte Führungsrolle bei der Entwicklung von KI ohne die Verarbeitung sensitiver Daten Dritter kaum zu erreichen. Für die Vorreiterrolle wolle der EU-Gesetzgeber einen einheitlichen Rechtsrahmen schaffen. Das Training von KI-Modellen erfordere große Datensätze, in denen häufig sensitive Daten enthalten sind. Ein generelles Verarbeitungsverbot für sensitive Daten Dritter würde das KI-Training faktisch unmöglich machen und einem einheitlichen Rechtsrahmen zuwiderlaufen.

Schließlich verweist das OLG darauf, dass dem EU-Gesetzgeber die Notwendigkeit des KI-Trainings mit großen Datenmengen bewusst war. In diesem Bewusstsein hat er Ausnahmeregelungen für zielgerichtete Datenverarbeitungen (etwa Art. 10 Abs. 5 KI-VO für Training von Hochrisiko-KI zur Verhinderung von Verzerrungen) eingeführt. Das OLG schließt daraus, dass der EU-Gesetzgeber bei den – hier streitgegenständlichen – nicht zielgerichteten Verarbeitungen sensitiver Daten keinesfalls von einer Rechtswidrigkeit ausgegangen sein kann. Anderenfalls hätte er auch dort Regelungsbedarf für entsprechende Öffnungsregelungen gesehen und solche Regelungen geschaffen. Da dies nicht erfolgt ist, könne ein Eingreifen des Verarbeitungsverbots (Art. 9 Abs. 1 DSGVO) nicht gesetzgeberisch intendiert sein.

Fazit

Das Urteil des OLG Köln eröffnet Anbietern von KI-Modellen die Möglichkeit, diese unter vergleichbaren Bedingungen wie im entschiedenen Fall datenschutzkonform zu trainieren – selbst in Bezug auf sensitive Daten.

Die Entscheidung könnte jedoch auch für Unternehmen von Bedeutung sein, die KI-Systeme als Betreiber einsetzen, in die auf diese Weise trainierte KI-Modelle integriert sind. In seiner Stellungnahme vom Dezember 2024 hat der EDSA erklärt, dass eine unrechtmäßige vorherige Datenverarbeitung in Ausnahmefällen auf die Rechtmäßigkeit der späteren Datenverarbeitung im Rahmen des Betriebs des KI-Systems durchschlagen kann. Soweit man bereits das vorgelagerte das KI-Training für rechtmäßig hält, bringt dies für Unternehmen, die KI als Betreiber einsetzen, weitere Argumente für einen rechtmäßigen Betrieb.

Zu beachten ist, dass das Urteil in einem Eilverfahren (vorbeugender Rechtsschutz) ergangen ist, bei dem das OLG die erste und letzte Instanz war und keine Möglichkeit zur Vorlage entscheidungserheblicher Rechtsfragen an den EuGH hatte. Es ist zu erwarten, dass sich ein Hauptsacheverfahren anschließt, in dessen Rahmen ein Vorlageverfahren an den EuGH möglich wäre. Es bleibt abzuwarten, wie sich der EuGH in diesem Fall positionieren wird. Unternehmen sollten die weiteren Entwicklungen in Bezug auf die datenschutzrechtliche Bewertung von KI-Training genau beobachten.

Wir halten Sie über neue Entwicklungen auf dem Laufenden.

Valentino Halim

Zurück

3. Hochrisiko-KI im HR-Bereich

Die EU hat mit der KI-Verordnung („KI-VO“) den weltweit ersten umfassenden Rechtsrahmen für Künstliche Intelligenz geschaffen. Besonders im HR-Bereich, wo KI vielfältige Einsatzmöglichkeiten bietet, sind die neuen Regelungen von großer Bedeutung. Seit dem 1. August 2024 ist die KI-VO in Kraft und bereits seit Februar dieses Jahres sind die arbeitgeberseitigen Schulungspflichten aus Art. 4 KI-VO und die Vorschriften zu verbotenen KI-Praktiken nach Art. 5 KI-VO anwendbar. Ab dem 2. August 2026 gelten auch die spezifischen Pflichten für Hochrisiko-KI-Systeme, die im HR-Bereich eine zentrale Rolle spielen. Da die Implementierung von IT-Systemen in Unternehmen grundsätzlich – und insbesondere vor dem Hintergrund der strengen Anforderungen an KI-Systeme – erhebliche Zeit in Anspruch nehmen kann, geben wir Ihnen bereits jetzt einen Überblick darüber, welche KI-Systeme unter der KI-VO im HR-Bereich als hochriskant eingestuft werden und welche Pflichten für Arbeitgeber daraus folgen.

1. Was ist ein KI-System?

Der Begriff des „KI-Systems“ ist zentraler Anknüpfungspunkt der KI-VO. Ein KI-System ist nach Art. 3 Nr. 1 KI-VO Software, die nicht allein auf vom Menschen programmierten Regeln basiert, sondern selbst ableitet, wie Ausgaben erstellt werden. Viele Softwareprogramme nutzen bereits sog. Large Language Models (LLMs) wie ChatGPT, DeepSeek oder Claude oder andere KI-Modelle. Nur solche Software, die rein deterministisch arbeiten, gelten nicht als KI im Sinne der KI-VO.

2. Hochrisiko-KI-Systeme im HR-Bereich

Die KI-VO teilt KI-Systeme in verschiedene Risikokategorien ein: Systeme, die verbotene Praktiken umsetzen (Art. 5 KI-VO), Hochrisiko-Systeme (Art. 6 KI-VO) und Systeme mit geringem Risiko. Den Schwerpunkt der Regulierung bilden dabei die Hochrisiko-Systeme. Im HR-Bereich besteht ein besonders großes Risiko. Denn folgende Anwendungen im HR-Bereich sind als hochriskant eingestuft:

(a) Personalauswahl und Recruiting: Systeme, die Bewerbungen sichten und bewerten, wie etwa automatisierte Kandidaten-Screening-Tools und personalisierte Kommunikation mit Bewerber*innen wie „Cornerstone – Galaxy“ oder Video-Interview-Plattformen mit Sprachanalysen wie „My Interview“.

(b) Entscheidungen über Arbeitsbedingungen: KI-Systeme, die Gehaltserhöhungen, Beförderungen oder Kündigungen beeinflussen, auch bekannt als sog. „Human Capital Management – Systeme (HCM-Systeme) wie beispielsweise „Workday“.

(c) Zuweisung von Aufgaben und Personaleinsatzplanung: Systeme, die Aufgaben basierend auf individuellem Verhalten oder persönlichen Eigenschaften zuweisen (Task Management Systeme) wie beispielsweise „Asana“ und Tools zur individuellen Personaleinsatzplanung, welche den Personalbedarf vorhersagen und Anomalien - wie Überstunden – erkennen, so beispielsweise das KI-gestützte Workforcemanagement-Tool von „UKG (Ultimate Kronos Group)“.

Überwachung und Bewertung von Mitarbeitenden: Tools, die Leistung oder Verhalten von Beschäftigten analysieren, etwa durch die Auswertung von Arbeitsmustern oder Performance wie beispielsweise „Microsoft Viva Insights“.Dies ist in Art. 6 Abs. 2 i.V.m. Anhang III Nr. 4 KI-VO geregelt. Diese Definitionen sind weit gefasst und HR-Software, die in einen der genannten Bereiche fallen (indem sie auch nur eine solche Funktion beinhalten), unterfallen der strengen Regulierung für Hochrisiko-KI-Systeme. Vor allem Punkt (d) könnte ein großes Einfallstor sein, denn er ähnelt stark dem Wortlaut des § 87 Nr. 6 BetrVG, wonach Mitbestimmungsrechte bei der Einführung technischer Einrichtungen bestehen, die das Verhalten oder die Leistung von Beschäftigten überwachen. Nach der Rechtsprechung ist dies letztlich bei jeder Software, die Beschäftigtendaten verarbeitet, der Fall. Würde dies auf die KI-VO übertragen, wäre jede HR-Software, die KI nutzt, ein Hochrisiko-KI-System. Selbst harmlose KI-gestützte Anwendungen in Zeiterfassungssystemen, Tools zur Urlaubsplanung oder Programmen zur Erstellung von Leistungsberichten, könnten danach unter die strengen Anforderungen für Hochrisiko-KI fallen. Derzeit wirbt die Mehrzahl der Softwareanbieter mit KI-gestützten Funktionen. Ob es sich bei dem angebotenen System aber tatsächlich um ein KI-System oder gar ein Hochrisiko-System im Sinne der KI-Verordnung handelt, bedarf einer genauen Analyse. Spätestens mit Inkrafttreten der spezifischen Pflichten bei Hochrisiko-KI-Systemen ab dem 2. August 2026 werden auch die Software-Anbieter ihre Marketing-Slogan anpassen.

Eine Rettungsmöglichkeit bestünde dann nur noch gemäß Art. 6 Abs. 3 KI-VO, der Systeme aus dem Hochrisiko-Bereich ausnimmt, die lediglich vorbereitende Aufgaben übernehmen oder Daten strukturieren, ohne eigenständige inhaltliche Bewertungen vorzunehmen.

3. Pflichten für Nutzer von Hochrisiko-KI-Systemen

Unternehmen, die KI-gestützte HR-Tools einsetzen, beziehen die Systeme häufig als Lösungen von spezialisierten Anbietern. In diesen Fällen sind die Unternehmen nicht Anbieter des KI-Systems, da sie es nicht selbst entwickelt haben (Art. 3 Nr. 8 KI-VO). Stattdessen nehmen sie die Rolle des Betreibers ein (Art. 3 Nr. 4 KI-VO) und unterliegen damit bei dem Einsatz von Hochrisiko-KI strengen gesetzlichen Anforderungen, die darauf abzielen, die Sicherheit und Grundrechte der betroffenen Arbeitnehmer zu schützen und gleichzeitig Innovationen in der EU zu fördern. Diese Anforderungen umfassen nach Art. 26 KI-VO insbesondere:

• Betriebsanleitung einhalten (Abs. 1): Betreiber müssen sicherstellen, dass das KI-System gemäß der vom Anbieter beigefügten Betriebsanleitung verwendet wird.
• Menschliche Aufsicht gewährleisten (Abs. 2): Die Überwachung des KI-Systems muss qualifizierten Personen übertragen werden, die über die erforderliche Kompetenz und Befugnis verfügen.
• Eingabedaten prüfen (Abs. 4): Betreiber sind verpflichtet, sicherzustellen, dass die Eingabedaten der Zweckbestimmung des KI-Systems entsprechen und ausreichend repräsentativ sind.
• Betriebsüberwachung und Meldung (Abs. 5): Betreiber müssen den Betrieb des KI-Systems kontinuierlich überwachen und bei Risiken oder schwerwiegenden Vorfällen unverzüglich den Anbieter, Händler und die zuständigen Behörden informieren.
• Protokollaufbewahrung (Abs. 6): Betreiber müssen automatisch erzeugte Protokolle des KI-Systems für mindestens sechs Monate aufbewahren, sofern keine anderen rechtlichen Vorgaben gelten.
• Information der Arbeitnehmer und Arbeitnehmervertreter (Abs. 7): Vor der Inbetriebnahme eines Hochrisiko-KI-Systems am Arbeitsplatz sind Arbeitnehmer und ihre Vertreter, mithin Betriebsräte über die Verwendung des Systems zu informieren

4. Konsequenzen bei Verstößen und Handlungsempfehlungen

Die KI-Verordnung sieht in Art. 99 KI-VO empfindliche Sanktionen bei Verstößen gegen die KI-VO vor. Bei Verstößen gegen die Pflichten für Hochrisiko-KI-Systeme drohen Strafen von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes, Art. 99 Abs. 4 KI-VO.

Um rechtzeitig vorbereitet zu sein, sollten Arbeitgeber bereits jetzt folgende Maßnahmen ergreifen:

• Bestandsaufnahme: Identifizieren Sie, ob Ihr Unternehmen KI-Systeme einsetzt und diese als hochriskant eingestuft werden könnten.
• Compliance sicherstellen: Entwickeln Sie eine für ihr Unternehmen passende AI-Governance.
• Schulungen durchführen: Stellen Sie sicher, dass Mitarbeitende über die notwendige KI-Kompetenz verfügen.
• Zusammenarbeit fördern: Binden Sie – falls notwendig – frühzeitig Betriebsräte, Datenschutzbeauftragte und Fachabteilungen ein.

Bereits seit Februar dieses Jahres sind Arbeitgeber darüber hinaus unabhängig vom Risikograd eines KI-Systems verpflichtet, ihre mit KI-Systemen befassten Mitarbeiter zu schulen, Art. 4 KI-VO. Dabei sind technische Kenntnisse, berufliche Erfahrungen, Aus- und Weiterbildungen sowie der spezifische Kontext des KI-Einsatzes zu berücksichtigen.

Fazit

Die Nutzung von KI-Systemen im HR-Bereich eröffnet Unternehmen vielfältige Möglichkeiten, Prozesse zu optimieren und effizienter zu gestalten. Gleichzeitig bringt sie jedoch bei Verstößen gegen die strengen Vorgaben der KI-Verordnung erhebliche Haftungsrisiken mit sich. Für Arbeitgeber ist essenziell, frühzeitig Maßnahmen zu ergreifen, um diesen Risiken zu begegnen von der Identifikation potenziell hochriskanter KI-Systeme über die Entwicklung einer unternehmensspezifischen AI-Governance bis hin zur Schulung der Mitarbeitenden. Gerne unterstützen wir Sie dabei.  

Dr. Marc Hilber, Dr. Axel Grätz, Jörn Kuhn & Annabelle Marceau

Zurück

4. Key Client Briefing: Einsatz künstlicher Intelligenz bei internen Untersuchungen

Interne Untersuchungen sind ein essenzielles Instrument, um potenzielles Fehlverhalten in Unternehmen aufzudecken, Schäden abzuwenden und notwendige Maßnahmen einzuleiten. Mit der zunehmenden Digitalisierung und der exponentiellen Zunahme von Datenmengen sind digitale E-Discovery Tools mittlerweile ein fester Bestandteil jeder internen Ermittlung. Anbieter solcher Tools versprechen mit Hilfe künstlicher Intelligenz („KI“) nicht nur Effizienzgewinne, sondern auch tiefere Einblicke und präzisere Ergebnisse. Gleichzeitig bringt der Einsatz von KI bei internen Ermittlungen neue Herausforderungen und rechtliche Fragestellungen unter der europäischen Verordnung 2024/1689 vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz („KI-VO“) mit sich. Die KI-VO adressiert neben den Entwicklern von KI-Systemen auch deren Nutzer. Unternehmen, die KI-basierte E-Discovery-Tools einsetzen, unterliegen damit den Vorgaben der KI-VO und den hohen Bußgeldrisiken von bis zu 35 Millionen Euro oder 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Seit dem 1. August 2024 ist die KI-VO in Kraft und bereits seit Februar dieses Jahres sind die allgemeinen Schulungspflichten aus Art. 4 KI-VO und die Vorschriften zu verbotenen KI-Praktiken nach Art. 5 KI-VO anwendbar. Ab dem 2. August 2026 gelten auch die spezifischen Pflichten für Hochrisiko-KI-Systeme, die auch bei internen Ermittlungen eine große Rolle spielen. Das macht die Einhaltung der regulatorischen Anforderungen für alle Beteiligten zu einem zentralen Thema.

Die KI-VO zielt darauf ab, die Nutzung und Entwicklung von KI in den EU-Mitgliedstaaten umfassend zu regeln. Sie schafft einen harmonisierten Rechtsrahmen für KI und soll sicherstellen, dass KI-Technologie auch bei internen Ermittlungen von den beteiligten Akteuren auf sichere Weise und im Einklang mit den Werten der EU, einschließlich der Achtung von Grundrechten, Rechtsstaat und Demokratie, entwickelt und genutzt wird. Bereits heute optimiert KI zahlreiche Prozesse interner Ermittlungen:

1. Effizienzsteigerung und Fehlerreduktion

KI kann große Datenmengen in kürzester Zeit analysieren und kategorisieren. Dies minimiert menschliche Fehler, die durch Übermüdung oder Unaufmerksamkeit entstehen können. Zudem ermöglicht KI eine sprach-, format- und quellenunabhängige Auswertung, was den Aufwand für Übersetzungen oder Formatangleichungen erheblich reduziert.

Beispiel: Ein KI-gestütztes E-Discovery-Tool kann innerhalb weniger Stunden Millionen von E-Mails und Dokumenten durchsuchen, irrelevante Inhalte aussortieren und relevante Datensätze für die weitere Analyse bereitstellen. Anbieter bieten solche Funktionen an, die speziell für große Datenmengen optimiert sind.

2. Erkennung von Mustern und Anomalien

KI-Algorithmen können verborgene Muster, Trends und Anomalien in Daten identifizieren, die auf Compliance-Verstöße hinweisen könnten. Dies umfasst auch die Analyse von Kommunikationsdaten, um Verbindungen zwischen Personen und Vorgängen aufzudecken.

Beispiel: Ein KI-System könnte auffällige Kommunikationsmuster in E-Mails erkennen, z. B. ungewöhnlich häufige Interaktionen zwischen bestimmten Mitarbeitenden kurz vor einem Vertragsabschluss. Anbieter integrieren solche Mustererkennungsfunktionen in ihre Plattformen.

3. Unterstützung bei Interviews und Berichterstellung

KI kann bei der Vorbereitung von Interviews helfen, indem sie relevante Fragen basierend auf den analysierten Daten vorschlägt. Während der Interviews kann sie Protokolle erstellen und Inkonsistenzen in Aussagen erkennen. Abschließend kann KI bei der Erstellung von Berichten unterstützen, indem sie relevante Informationen zusammenführt und strukturiert.

Beispiel: Ein System kann automatisch Berichte generieren, die die wichtigsten Erkenntnisse aus den analysierten Daten zusammenfassen, und dabei auch visuelle Darstellungen wie Diagramme oder Netzwerkanalysen einfügen.

4. Hintergrundrecherchen

KI erleichtert die Recherche in öffentlich zugänglichen Quellen, wie Presseartikeln oder Datenbanken, und trägt so zu einer präziseren Sachverhaltsaufklärung bei.

Beispiel: Tools bieten Funktionen, um öffentlich zugängliche Datenquellen zu durchsuchen und relevante Informationen in die interne Untersuchung zu integrieren.

Regulierung unter der KI-Verordnung

Unternehmen, die KI-gestützte Tools im Rahmen interner Ermittlungen einsetzen, beziehen die Systeme häufig als standardisierte Lösungen von spezialisierten Anbietern. In diesen Fällen übernehmen die Unternehmen in aller Regel nicht die Rolle des Anbieters des KI-Systems, da sie es nicht selbst entwickelt haben (Art. 3 Nr. 8 KI-VO). Stattdessen nehmen sie regelmäßig die Rolle des Betreibers ein, weil sie die fremdbezogenen Systeme in eigener Verantwortung für betriebliche Zwecke einsetzen (Art. 3 Nr. 4 KI-VO).

1. Betreiberpflichten

Unternehmen sind als Betreiber eines KI-Systems verpflichtet, ihre spezifischen Vorgaben der KI-VO zu erfüllen, die sich an der Risikoklassifizierung des eingesetzten KI-Systems orientieren. Der Einsatz bestimmter KI-Praktiken wird in Art. 5 KI-VO gänzlich untersagt. Betreiber, die KI-Systeme mit geringem Risiko einsetzen, unterliegen vor allem allgemeinen Schulungspflichten. Besonders strengen Vorgaben unterliegen Betreiber von Hochrisiko-KI-Systemen. Nach Art. 26 KI-VO obliegt es dem Betreiber eines hochriskanten Systems insbesondere, sicherzustellen, dass das KI-System bestimmungsgemäß verwendet wird, d.h., ausschließlich für den vom Anbieter festgelegten Zweck. Dies umfasst die strikte Einhaltung der vom Anbieter bereitgestellten Anleitungen sowie die kontinuierliche Überwachung des Betriebs, um die Sicherheit und Regelkonformität des Systems zu gewährleisten.

2. Bußgeldrisiko

Die Missachtung der strengen Betreiberpflichten für Hochrisiko-KI-Systeme kann schwerwiegende Konsequenzen nach sich ziehen. Gemäß Art. 99 Abs. 4 lit. e KI-VO drohen Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes eines Unternehmens. Verstöße gegen die in Art. 5 KI-VO geregelten Verbote bestimmter KI-Praktiken können sogar mit Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden, Art. 99 Abs. 3 KI-VO. Dieses erhebliche Sanktionsrisiko verdeutlicht die Notwendigkeit, dass Unternehmen ihre Rolle als Betreiber eines KI-Systems mit höchster Sorgfalt wahrnehmen und die regulatorischen Anforderungen konsequent umsetzen.

3. Verbotene KI-Praktiken (Art. 5 KI-VO)

Die KI-VO verbietet den Einsatz von KI-Systemen, die manipulative oder ausbeuterische Praktiken anwenden, um das Verhalten von Personen erheblich zu beeinflussen, Art. 5 Abs. 1 lit. a KI-VO. Im Kontext interner Ermittlungen könnte dies z. B. den Einsatz von KI-Systemen umfassen, die gezielt das Aussageverhalten von Mitarbeitenden manipulieren. Auch die Analyse des menschlichen Aussageverhaltens in Interviews anhand von Emotionserkennung mithilfe einer KI ist unter der KI-VO verboten, Art. 5 Abs. 1 lit. f KI-VO.

4. E-Discovery-Tools selten hochriskant i.S.d. KI-VO

Betreiber von Hochrisiko-KI-Systemen unterliegen unter der KI-VO besonders strengen Pflichtvorgaben. Der Einsatz von KI-Systemen im Rahmen interner Untersuchungen wirft folglich die Frage auf, ob solche Systeme stets als Hochrisiko-KI gemäß der KI-VO einzustufen sind.

(a) Hochriskante KI bei Entscheidungen, die das Arbeitsverhältnis beeinflussen

Gemäß Art. 6 Abs. 2 i.V.m. Anhang III Nr. 4 lit. b KI-VO betrifft die Hochrisiko-Klassifizierung von KI-Systemen bei internen Ermittlungen insbesondere Anwendungen, die für Entscheidungen verwendet werden, welche die Bedingungen von Arbeitsverhältnissen beeinflussen, wie Beförderungen, Kündigungen oder die Bewertung von Leistungen und Verhalten.

Ein Tool, das die Leistung von Mitarbeitenden anhand von E-Mails, Kalendereinträgen und anderen digitalen Spuren bewertet und diese Bewertungen automatisch an die Personalabteilung weiterleitet, um über Beförderungen oder Kündigungen zu entscheiden, fällt demnach unter die Hochrisiko-Klassifizierung. In solchen Fällen beeinflusst das KI-System direkt und bestimmungsgemäß Entscheidungen, die für die betroffenen Mitarbeitenden existenziell sind. Dies rechtfertigt die Einstufung als Hochrisiko-KI, da hier erhebliche Risiken für die Grundrechte der Betroffenen bestehen.

(b) Keine Personalentscheidung als Ziel

Allerdings dürften E-Discovery-Tools häufig nicht als Hochrisiko-KI-Systeme im Sinne von Art. 6 Abs. 2 i.V.m. Anhang III Nr. 4 lit. b KI-VO einzustufen sein. Vieles spricht dafür, dass sich ihre Funktion und Zielrichtung grundlegend von den in Anhang III Nr. 4 KI-VO genannten Anwendungsfällen unterscheiden. Während dort die Bewertung individueller Merkmale und Eigenschaften von Mitarbeitenden im Mittelpunkt steht, zielen E-Discovery-Tools auf der sachverhaltsbezogenen Analyse von Daten ab, um potenziell rechtswidriges Verhalten aufzudecken.

Entscheidend für die Einstufung ist die Zweckbestimmung des Systems. Diese ist gemäß Art. 3 Nr. 12 KI-VO maßgeblich für die Qualifizierung eines KI-Systems und wird vom jeweiligen Anbieter festgelegt. Anbieter von E-Discovery-Tools beschreiben ihrer Systeme typischerweise so, dass sie der Analyse, Strukturierung und Kategorisierung von Daten dienen – nicht aber dazu, Personalentscheidungen zu unterstützen oder herbeizuführen.

In einer kartellrechtlichen Untersuchung kann ein E-Discovery-Tool beispielsweise eingesetzt werden, um E-Mails nach Begriffen wie „Preis“, „gemeinsam“ oder „festsetzen“ zu durchsuchen und so Hinweise auf illegale Absprachen zu identifizieren. Im Vordergrund steht dabei die objektive Aufklärung eines Sachverhalts – nicht die Bewertung individueller Eigenschaften oder Merkmale von Mitarbeitenden.

Selbst wenn die Ergebnisse einer internen Untersuchung arbeitsrechtliche Konsequenzen nach sich ziehen können, ist die Verbindung zwischen dem KI-System und der Personalentscheidung nur mittelbar. Die Verantwortung für arbeitsrechtliche Maßnahmen liegt stets bei der Geschäftsleitung, die normative und rechtliche Bewertungen vornimmt.

(c) Keine Hochrisiko-KI bei begrenztem Einfluss auf menschliche Entscheidung

Art. 6 Abs. 3 KI-VO sieht zusätzliche Ausnahmen von der Hochrisiko-Klassifizierung eines E-Discovery-Tools vor, wenn das KI-System ausschließlich vorbereitende Aufgaben übernimmt oder Abweichungen in Entscheidungsmustern aufzeigt, die anschließend einer menschlichen Kontrolle unterzogen werden. Die Regelung zielt darauf ab, Systeme vom Pflichtenprogramm für Hochrisiko-KI-Systeme auszunehmen, die lediglich unterstützende oder vorbereitende Aufgaben übernehmen und keine eigenständigen inhaltlichen Bewertungen vornehmen, weil ihr Einsatz dann nur geringe Risiken birgt.

Diese Ausnahme ist daher besonders relevant für E-Discovery-Tools, deren Zweck auf die Unterstützung von Untersuchungen beschränkt ist, ohne dass sie selbst normative oder rechtliche Bewertungen vornehmen. Sie tragen dazu bei, die Effizienz zu steigern, ohne die Entscheidungsautonomie des Menschen zu beeinträchtigen.

Typische Anwendungsbeispiele für E-Discovery-Tools, die unter Art. 6 Abs.  3 KI-VO fallen, sind etwa Datenfilterungen anhand vordefinierter Kriterien, wie zum Beispiel mithilfe von Search-Term-Listen. Auch Tools, die Kommunikationsmuster nach bestimmten Parametern erkennen und markieren – etwa ungewöhnlich häufige Kontakte zwischen bestimmten Mitarbeitenden – gehören dazu. Ebenso erfasst sind Anwendungen, die Daten aus verschiedenen Quellen zusammenführen und strukturieren, um sie für menschliche Prüfer übersichtlicher und leichter auswertbar zu machen, ohne dabei eigene Bewertungen oder Schlussfolgerungen vorzunehmen.

5. Schulungspflichten beim Einsatz von KI bei internen Ermittlungen

Auch wenn E-Discovery-Tools häufig außerhalb des Anwendungsbereichs der Hochrisiko-KI-Systeme eingesetzt werden, unterliegen Nutzer insbesondere Schulungspflichten.

Art. 4 KI-VO verpflichtet Betreiber von KI-Systemen Maßnahmen zu ergreifen, um sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Ziel der KI-Kompetenz sind Fähigkeiten im Umgang mit KI, Kenntnisse über die Technologie und Verständnis für den jeweiligen Anwendungsfall. Bevor KI-Systeme bei internen Ermittlungen eingesetzt werden, müssen die befassten Mitarbeiter/Nutzer also umfassend geschult werden.

6. Datenschutz und Arbeitsrecht

Darüber hinaus sind bei der Nutzung von KI in internen Untersuchungen arbeitsrechtliche und datenschutzrechtliche Aspekte von zentraler Bedeutung. So können Mitbestimmungsrechte des Betriebsrats nach §§ 87 Abs. 1 Nr. 1, Nr. 6, 94 und 80 Abs. 2 BetrVG eine Rolle spielen, insbesondere vor dem Hintergrund einer Nutzung technischer Einrichtung zur Verhaltenskontrolle. Datenschutzrechtlich ist insbesondere sicherzustellen, dass die Verarbeitung personenbezogener Daten im Rahmen von eDiscovery-Maßnahmen den Anforderungen des § 26 Abs. 1 S. 1 BDSG bzw. Art. 6 Abs. 1 lit. f DSGVO sowie gegebenenfalls Art. 9 DS-GVO entspricht und die Informationspflichten aus den Art. 12 ff. DSGVO eingehalten werden.

7. Ausblick und Handlungsempfehlungen

Die kontinuierliche Weiterentwicklung von KI-Systemen führt dazu, dass auch die Technologien, die in internen Ermittlungen eingesetzt werden, zunehmend leistungsfähiger und zugleich eingriffsintensiver werden. KI-Systeme werden zunehmend in der Lage sein, komplexere Analysen durchzuführen und tiefere Einblicke in Daten zu gewinnen. Für Betreiber solcher Systeme bedeutet dies jedoch auch, dass der Begründungsaufwand steigt, um darzulegen, weshalb ein konkretes KI-System nicht als Hochrisiko-KI einzustufen ist und somit nicht den strengen Betreiberpflichten nach Art. 26 KI-VO unterliegt.

Betreibern ist daher dringend zu empfehlen, ihre eingesetzten KI-Systeme frühzeitig zu klassifizieren, kontinuierlich zu überwachen und ihre Personal zu schulen. Dies umfasst sowohl die Prüfung der Zweckbestimmung des Systems als auch die regelmäßige Evaluierung der tatsächlichen Nutzung und der potenziellen Risiken. Um diesen Anforderungen gerecht zu werden, sollten Unternehmen zeitnah folgende Maßnahmen ergreifen:

• Bestandsaufnahme: Identifizieren, ob im Unternehmen KI-Systeme eingesetzt und diese als hochriskant eingestuft werden könnten.
• Compliance sicherstellen: Eine für das Unternehmen passende AI-Governance entwickeln.
• Schulungen durchführen: Sicherstellen, dass Mitarbeitende über die notwendige KI-Kompetenz verfügen.
• Zusammenarbeit fördern: Falls notwendig – frühzeitig Betriebsräte, Datenschutzbeauftragte und Fachabteilungen einbinden.

Fazit

Die Integration von KI in interne Untersuchungen bietet erhebliche Chancen, insbesondere in Bezug auf Effizienz, Genauigkeit und Kostenreduktion. Gleichzeitig erfordert ihr Einsatz ein tiefes Verständnis der technologischen Möglichkeiten und Grenzen sowie der rechtlichen Rahmenbedingungen, insbesondere der KI-VO. Die erfolgreiche Integration von KI in interne Untersuchungen erfordert zusätzlich ein umfassendes Verständnis der arbeitsrechtlichen und datenschutzrechtlichen Rahmenbedingungen. Mit der zunehmenden Bedeutung von KI wird sich daher auch der Umfang von KI-Governance und Compliance-Maßnahmen weiterentwickeln müssen. Unternehmen sollten unverzüglich mit der Umsetzung der KI-VO beginnen, da die allgemeinen Schulungspflichten aus Art. 4 KI-VO und die Regelungen zu verbotenen KI-Praktiken in Art. 5 KI-VO bereits jetzt gelten.

Dr. Daniel Dohrn & Dr. Axel Grätz

Zurück

5. Der neue EU Data Act: Überblick und Umsetzungsstand in deutschen Unternehmen

Ab dem 12. September 2025 gilt der EU Data Act (Verordnung (EU) 2023/2854) als EU-weit direkt anwendbares Recht. Für Unternehmen ist es höchste Zeit zu prüfen, ob sie von den neuen Regelungen des Data Act betroffen sind und welche Anforderungen sie umsetzen können.

Der Data Act ist ein zentraler Bestandteil der EU-Datenstrategie und bezweckt, die europäische Datenwirtschaft zu stärken und Innovationen fördern. Er beinhaltet einen „bunten Strauß“ unterschiedlicher Regelungsbereiche. Das umfasst etwa den Zugang zu nutzergenerierten Daten vernetzter Geräte, den erleichterten Wechsel von Cloud-Anbietern oder missbräuchliche Vertragsklauseln über die Datennutzung.

Dieser erste Teil unserer Beitragsreihe zum Data Act gibt einen Überblick über seine verschiedenen Regelungsbereiche.

Recht auf Datenzugang (Kapitel II und III DA)

Der Data Act verpflichtet Anbieter von vernetzten Produkten und verbundenen Diensten, Nutzern die generierten Daten direkt am vernetzten Gerät zugänglich zu machen, soweit dies technisch durchführbar ist (Art. 3 DA), z. B. durch eine Download-Funktion. Andernfalls muss der Anbieter die Daten dem Nutzer selbst oder einem von diesem benannten Dritten auf Anfrage zugänglich machen (Art. 4, 5 DA). Vernetzte Produkte umfassen z.B. Connected Cars, vernetzte Medizingeräte, Smart Watches und smarte Haushaltsgeräte. Verbundene Dienste sind etwa digitale Anwendungen, die mit diesen Produkten interagieren, wie z.B. Apps zur Steuerung von Smart-Home-Systemen.

Diese Regelung ermöglichen Folgemarkt-Dienste (sog. After-Market-Services) und andere innovative oder maßgeschneiderte Leistungen, die im Zusammenhang mit dem vernetzten Produkt oder dem verbundenen Dienst stehen. Beispielsweise können Versicherungsunternehmen, die mithilfe der generierten Daten individuelle, risikobasierte Prämienmodelle gestalten.

Die Datenzugangsrechte gelten jedoch nicht uneingeschränkt. Der Dateninhaber kann den Zugang verweigern, wenn dies erforderlich ist, um Geschäftsgeheimnisse zu schützen (Art. 4 Abs. 6, 5 Abs. 9 DA) oder den Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu entsprechen (Art. 4 Abs. 12, 5 Abs. 13 DA). Zudem ist es Dritten untersagt, die Daten zu nutzen, um ein Konkurrenzprodukt zu dem vernetzten Produkt zu entwickeln.

Verbot missbräuchlicher Vertragsklauseln (Kapitel IV DA)

Macht ein Anbieter einem Dritten auf Verlangen des Nutzers Daten zugänglich, muss er mit diesem einen Vertrag über die weitere Datennutzung abschließen. Der Data Act sieht – ähnlich dem deutschen AGB-Recht – eine inhaltliche Kontrolle der Klauseln solcher Datennutzungsverträge vor. Diese dürfen, soweit sie nicht verhandelt, sondern von einer Vertragspartei gestellt werden, nicht missbräuchlich sein, d. h. in grober Weise von der redlichen Geschäftspraxis abweichen oder gegen Treu und Glauben verstoßen. Missbräuchliche Klauseln sind für die betroffene Vertragspartei rechtlich nicht bindend (Art. 13 Abs. 1 DA).

Datenbereitstellung an öffentliche Stellen (Kapitel V DA)

Neben der Datenbereitstellung an Nutzer und Dritte müssen Dateninhaber auf Antrag auch an bestimmte öffentliche Stellen und EU-Institutionen bereitstellen (Art. 14 ff. DA). Hierfür muss eine außergewöhnliche Notwendigkeit zur Nutzung der Daten bestehen, z. B. zur Erfüllung staatlicher Aufgaben, oder aufgrund eines öffentlichen Notstands. In Ausnahmesituationen wie der Covid-Pandemie können bestimmte Daten für öffentliche Stellen für die Ergreifung von angemessenen Maßnahmen relevant sein.

„Cloud Switching“ (Kapitel VI DA)

Anbieter von Cloud- und anderen Datenverarbeitungsdiensten (z. B. IaaS, PaaS, SaaS, DaaS, Edge-Dienste) müssen ihren B2B- und B2C-Kunden nach dem Data Act einen einfachen Wechsel zu anderen Anbietern oder zu einer On-premise-Lösung ermöglichen (Art. 23 ff. DA). Insbesondere sind Anbieter verpflichtet, die notwendigen Unterstützungsleistungen für einen Wechsel bereitzustellen. Dies umfasst etwa den Export und die Übertragung von Daten sowie digitalen Vermögenswerten. Die Rechte der Kunden sind in einem schriftlichen Vertrag mit dem Anbieter festzulegen. Ab dem 12. Januar 2027 müssen Anbieter diese Unterstützungsleistungen für die Kunden kostenlos anbieten (Art. 29 Abs. 1 DA). Im Übrigen haben die Anbieter Vorgaben zur technischen Interoperabilität zu entsprechen.

Internationale Datentransfers (Kapitel VII DA)

In Anlehnung an die DSGVO regelt der Data Act die Übertragung von Daten in Drittstaaten. Besondere Anforderungen gelten, wenn ein ausländisches Gericht oder eine ausländische Behörde eine Entscheidung erlassen hat, die anordnet, Daten zu übermitteln oder zugänglich zu machen (Art. 32 DA).

Datenräume und Smart Contracts (Kapitel VIII DA)

Künftig gelten besondere Anforderungen zur Interoperabilität für die Nutzung sog. Datenräume. Interoperabilität bezeichnet die Fähigkeit mehrerer Datenräume, Daten auszutauschen und gemeinsam zu nutzen. Teilnehmer solcher Datenräume müssen bestimmte Interoperabilitätsanforderungen erfüllen und verschiedene Informationen bereitstellen, z.B. zu Datensatzinhalten, Datenqualität, Datenformaten, APIs etc.

Besondere Vorgaben gelten zudem für den Einsatz sog. Smart Contracts, wenn diese zur automatisierten Ausführung von beispielsweise Datenbereitstellungsvereinbarungen eingesetzt werden (Art. 36 DA). Sie müssen robust gestaltet sein, um Funktionsfehler und Manipulationen durch Dritte zu vermeiden. Anbieter von Smart Contracts sind künftig verpflichtet, die Einhaltung der neuen Anforderungen durch eine EU-Konformitätserklärung nachzuweisen.

Nationales Durchführungsgesetz zur Umsetzung

Die Umsetzung des Data Act in Deutschland erfordert ein nationales Durchführungsgesetz. Bis zum Anwendungsstichtag muss der deutsche Gesetzgeber das vom Data Act vorgesehene Sanktionsregime schaffen und eine Aufsichtsbehörde für die Rechtsdurchsetzung benennen (Art. 37 Abs. 1 S. 1 DA). Nach dem Referentenentwurf des Data Act-Durchführungsgesetzes (DADG-E) soll die Bundesnetzagentur (BNetzA) als zentrale Aufsichtsbehörde für die Durchsetzung des Data Acts fungieren (§ 2 Abs. 1 DADG-E). Darüber hinaus sollen nach dem Data Act die nationalen Datenschutzbehörden, die für die DSGVO zuständig sind, auch die Einhaltung des Data Acts im Bereich personenbezogener Daten überwachen (Art. 37 Abs. 1 S. 1 DA). In Deutschland wird dies die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) übernehmen (§ 3 DADG-E).

Umsetzung in deutschen Unternehmen

Der Data Act stellt Unternehmen vor erhebliche Herausforderungen. Betroffene Unternehmen müssen ihre Datenarchitektur und in einigen Fällen ihre Produkte, Dienste und Geschäftsprozesse anpassen, um die neuen Anforderungen zu erfüllen. Dennoch stehen viele deutsche Unternehmen noch relativ am Anfang der Umsetzung. Laut einer aktuellen Studie des Branchenverbands Bitkom haben weniger als 100 Tage vor dem Anwendungsstichtag erst 1 % der Unternehmen die Anforderungen des Data Act vollständig umgesetzt. Weitere 4 % haben diese größtenteils oder teilweise umgesetzt. Gleichzeitig bieten die neuen Regelungen auch Chancen – insbesondere im Hinblick auf innovative datenbezogene Dienste oder Geschäftsmodelle. So planen bereits 43 % der Unternehmen, ihre Daten künftig aktiv auf Datenmärkten anzubieten. Dies zeigt ein wachsendes Bewusstsein für die Potenziale des Data Act.

Unternehmen, die von den neuen Regelungen betroffen sind oder die Chancen auf innovative Dienste und Geschäftsmodelle nutzen möchten, sollten die Umsetzung des Data Act (weiter) vorantreiben und die weitere Entwicklung des Data Act-Durchführungsgesetzes aufmerksam verfolgen.

Tiefergehende Einblicke in die verschiedenen Regelungsbereiche des Data Acts, werden wir in weiteren Teilen dieser Beitragsreihe geben. Darin analysieren wir die wichtigsten Regelungsbereiche im Detail und zeigen Unternehmen auf, welche Umsetzungsmaßnahmen zu ergreifen und was zu beachten ist.

Valentino Halim 

Zurück

6. Das Barrierefreiheitsstärkungsgesetz - mehr Barrierefreiheit im Internet ab Ende Juni 2025

Am 28. Juni 2025 ist das Barrierefreiheitsstärkungsgesetz („BFSG“) in Deutschland in Kraft getreten. Dieses Gesetz stellt einen bedeutenden Schritt hin zu mehr Barrierefreiheit und Inklusion in unserer Gesellschaft dar. Ziel des BFSG ist es, Barrieren für Menschen mit Behinderungen abzubauen und ihnen eine gleichberechtigte Teilhabe am gesellschaftlichen Leben zu ermöglichen. Das BFSG setzt die EU-Richtlinie (EU) 2019/882 über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen (European Accessibility Act) um und verpflichtet Unternehmen, ihre Produkte und Dienstleistungen barrierefrei zu gestalten. Adressiert werden insbesondere E-Commerce-Plattformen und Online-Shops, aber auch andere digitale Angebote wie Websites, Apps und E-Books. Das Gesetz definiert allgemeine Anforderungen an die Barrierefreiheit und regelt zudem spezifische Aspekte wie die Produktkennzeichnung, die Marktüberwachung, das Verwaltungsverfahren sowie Bußgeldvorschriften. Ergänzt wird das BFSG von der Verordnung zum Barrierefreiheitsstärkungsgesetz (BFSGV) vom 22. Juni 2022, die für die einzelnen vom Gesetz erfassten Produkte und Dienstleistungen spezifische Anforderungen an die Barrierefreiheit festlegt.

Das BFSG gilt für Produkte, die nach dem 28. Juni 2025 in den Verkehr gebracht werden sowie Dienstleistungen, die nach diesem Datum erbracht werden. Für kleine und mittlere Unternehmen (KMU) gibt es jedoch Ausnahmeregelungen, um die wirtschaftliche Belastung zu minimieren.

Soweit noch nicht geschehen, sollten Unternehmen nunmehr dringend prüfen, ob sie dem Anwendungsbereich des BFSG unterliegen. Ggf. müssen sie ihre Produkte und Dienstleistungen auf ihre Barrierefreiheit überprüfen und entsprechend anpassen. Die Erfüllung dieser gesetzlichen Vorgaben bietet zugleich die Chance, neue Zielgruppen zu erschließen und die Kundenzufriedenheit nachhaltig zu steigern.

Das Ende der Online-Streitschlichtungsplattform der EU-Kommission

Nachdem bereits seit dem 2. März 2025 keine neuen Beschwerden mehr eingereicht werden können, wird die EU-Onlinestreitbeilegungsplattform („OS-Plattform“) am 20. Juli 2025 endgültig abgeschaltet. Grundlage hierfür ist die EU-Verordnung (EU) 2024/3228, die die bisherige EU-Verordnung (EU) 524/2013 aufhebt. Die OS-Plattform wurde ursprünglich als einfaches Vermittlungsinstrument für Streitigkeiten zwischen Verbrauchern und Online-Händlern geschaffen, blieb jedoch in der Praxis weitgehend ungenutzt. Soweit Händler in ihrem Impressum, ihren AGB oder an sonstigen Stellen (z. B. in E-Mail-Signaturen) auf die OS-Plattform hinweisen, müssen sie diese Verweise ab dem 20. Juli 2025 entfernen, um Abmahnungen wegen irreführender Information von Verbrauchern zu vermeiden. Künftig sind Online-Händler daher gehalten, ihre Verbraucher über nationale Schlichtungsstellen oder andere Streitbeilegungsmechanismen zu informieren.

Tobias Kollakowski

Zurück

7. Der Oppenhoff AVV-Prüfassistent

Wir entwickeln innovative Legal Tech-Lösungen, um standardisierte Prozesse effizient zu steuern und zu beschleunigen. Dadurch können wir unseren Mandanten auf wiederkehrende Fragen und Situationen schnell und mit minimalem Aufwand Antworten liefern. Gemeinsam mit Ihnen erarbeiten wir gerne individuelle Lösungen – maßgeschneidert und genau auf Ihren konkreten Bedarf abgestimmt. Neben Anwendungen zur intelligenten Erstellung juristischer Dokumente wie Verträge, Beschlüsse oder Formulare entwickeln wir auch interaktive Applikationen, die eine Ersteinschätzung rechtlicher Fragen ermöglichen.

Unser neuestes Produkt ist der sogenannte AVV-Prüfassistent, den wir entwickelt haben, um die Prüfung von Auftragsverarbeitungsverträgen (AVV) effizienter und präziser zu gestalten. Die KI-gestützte Vorprüfung von AVVs ermöglicht eine schnellere Bearbeitung, indem wesentliche Vertragsinhalte gemäß DSGVO automatisiert extrahiert und geprüft werden.

Das Prüfungsergebnis erhalten Sie in Form eines strukturierten Prüfberichts, der die Ergebnisse übersichtlich dokumentiert und klare Handlungsempfehlungen liefert. Der AVV-Prüfassistent erkennt zudem überraschende Klauseln, wie z. B. Haftungsbeschränkungen oder Regelungen zum Kostenersatz. Dies beschleunigt nicht nur die Prüfung, sondern reduziert auch Fehler und sorgt für eine einheitliche Dokumentation der Ergebnisse. Der AVV-Prüfassistent ist browserbasiert und datenschutzkonform. Bei Bedarf passen wir das Prüfprogramm gerne an Ihre individuellen Anforderungen an.

Sprechen Sie uns an!

[email protected]

Rocco Mondello

Zurück zur Übersicht