Die Zukunft des Cookie-Banners

Cookie-Banner
Cookie-Banner

Die Zukunft des Cookie-Banners

„Ablehnen“, „Nur Auswahl erlauben“ oder „Alle Cookies zulassen“. Egal, welche Webseite man besuchen möchte, bevor man überhaupt zu ihr kommt, muss man sich mit den Cookie-Einstellungen auseinandersetzen. Die EU-Kommission möchte den Cookie-Banner, der uns um unsere Auswahl bittet, in seiner jetzigen Form mit dem Ziel der vereinfachten Nutzung von Webseiten abschaffen.

Bisher musste einer Verwendung von Cookies immer aktiv zugestimmt werden. Nur technisch notwendige Cookies, d.h. diejenigen, die für die Nutzung der Seite unverzichtbar sind, dürfen immer verwendet werden.

Um den Banner möglichst schnell schließen zu können, lassen die meisten Nutzerinnen und Nutzer einfach alle Cookies zu, ohne sich mit der Bedeutung tatsächlich auseinandergesetzt zu haben. Damit wird Zweck der Einführung des Cookie-Banners, nämlich ein transparenterer Umgang mit den eigenen Daten, konterkariert.

Zentrale Steuerung der Präferenzen

Die Kommission möchte die Handhabung jetzt deutlich vereinfachen, indem die Präferenzen zentral gesteuert werden sollen. Das soll beispielsweise über die Browser-Einstellungen gemacht werden können.

Außerdem sollen Cookies, die gar keine personenbezogenen Daten betreffen, wie beispielsweise Statistik-Cookies, gänzlich von der Einwilligungspflicht ausgenommen werden.

Ähnliche Erwartungen gab es übrigens bereits mit dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG), als vielfach vermutet wurde, dass Cookie-Banner dadurch überflüssig würden. Wie unsere Kanzlei bereits damals in einem Beitrag erläutert hat, blieb die erhoffte Vereinfachung jedoch aus.

Implementierung der Cookie-Richtlinien in die Datenschutz-Grundverordnung

Möglich erscheint auch eine Integration der Cookie-Richtlinien in die Datenschutz-Grundverordnung. Diese verfolgt einen flexibleren Ansatz, der sich an den tatsächlich bestehenden Gefahren im Hinblick auf die Verarbeitung personenbezogener Daten ausrichtet.

Insgesamt soll Bürokratie abgebaut werden, jedoch gibt es auch einige kritische Stimmen.

Kritik: Umgehung des Kernproblems

Überwiegend wird kritisiert, dass auch die Abschaffung des Cookie-Banners nicht das Kernproblem, nämlich die Online-Überwachung löse. Zwar sei der Besuch von Webseiten dann nutzerfreundlicher, aber auf personenbezogenen Daten basierte Werbungen werde dadurch nicht verhindert. Der Schutz der Privatsphäre von Nutzerinnen und Nutzern müsse besser gewährleistet sein, was eine viel umfassendere Reform erfordere.

Ob sich Nutzerinnen und Nutzer tatsächlich ausführlicher mit Cookie-Bestimmungen auseinandersetzen werden, nur weil sie die Verwendung zentral steuern können, bleibt abzuwarten.

Vielleicht folgen demnächst weitere Änderungsvorschläge, welche die noch bestehenden kritischen Stimmen berücksichtigen. Neuigkeiten über die Abschaffung des Cookie-Banners erfahren Sie bei uns!

Unsere Kanzlei ist spezialisiert auf IT-Recht und Datenschutzrecht. Kontaktieren Sie uns für eine individuelle Beratung zu Ihrer Website-Compliance.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Die wichtigsten Pflichten und Cyber-Sicherheitsanforderungen für Unternehmen nach der NIS-2-Richtlinie und dem BSIG-E

NIS-2 und BSIG-E: Neue Sicherheitspflichten für Unternehmen
NIS-2 und BSIG-E: Neue Sicherheitspflichten für Unternehmen

Die wichtigsten Pflichten und Cyber-Sicherheitsanforderungen für Unternehmen nach der NIS-2-Richtlinie und dem BSIG-E

In früheren Zeiten waren größere Ausfälle wichtiger Infrastruktur eher theoretischer Natur oder dienten, wie bspw. in „Stirb Langsam 4.0“, als Plot für unterhaltsame Actionfilme. Der große Stromausfall, zu welchem es am 28. April 2025 auf der Iberischen Halbinsel kam, hat gezeigt, dass die dunklen Fantasien von Drehbuchautoren und die Realität heute im Ernstfall nicht weit auseinanderliegen. 

Nachdem an jenem Tag kurz nach Mittag innerhalb kürzester Zeit das Stromnetz Spaniens und Portugals weitgehend kollabiert war, kamen auf der gesamten Halbinsel Züge und Metros zum Stillstand, Verkehrsampeln und -leitsysteme fielen aus, Internet, Telefon und Mobilfunk stellten die Arbeit ebenso ein wie die Kühlung und Bezahl-Systeme in Supermärkten. Auch Abheben von Bargeld an den Geldautomaten der Banken war nicht mehr möglich. Aufgrund des Stromausfalls funktionierten in den Haushalten weder Licht noch elektrische Geräte für Raumklima, Fernsehen oder Radio. Von Strom angetriebene Wasser- und Abwasseranlagen waren ebenso beeinträchtigt wie Krankenhäuser, welche nur durch ggf. vorhandene Notstromaggregate ihre Funktion in beschränktem Umfang und für kurze Zeit weiter aufrechterhalten konnten. 

Am Ende waren 60 Millionen Menschen direkt oder indirekt von diesem, mehrere Stunden andauernden Vorfall betroffen. Es handelte sich nach offiziellen Angaben nicht um die Folgen eines Cyberangriffs, bei welchem Netz- oder Informationssysteme attackiert werden. 

Allerdings tragen auch solche ein erhebliches Schadenspotential in sich, wie aktuellere Vorfälle belegen. So musste der Landkreis Anhalt-Bitterfeld bspw. im Jahr 2021 den Katastrophenfall ausrufen, weil die IT-Infrastruktur des Landkreises durch einen mit Ransomware durchgeführten Hackerangriff nahezu vollständig lahmgelegt worden war. Der Landkreis konnte hierdurch seine gesetzlichen Aufgaben nicht erfüllen, bspw. also keine Sozial- und Unterhaltszahlungen leisten. Dutzende Gigabyte an wichtigen, teils sensiblen personenbezogenen Daten flossen während des Angriffs ab und Mengen an wichtigen Daten gingen unrettbar verloren. Die Wiederherstellung der Systeme, soweit überhaupt möglich, dauerte Monate und kostete Millionen.

Verwaltungen, öffentliche und private Unternehmen oder Einrichtungen, wie diese im Jargon von NIS-2 heißen, werden immer häufiger Ziel solcher Cyberattacken, welche die Informations- und Netztechnik der jeweiligen Einrichtung zum Ziel haben. Diese können erhebliche Folgen für die Einrichtungen selbst, aber auch für von den Einrichtungen Abhängige haben. Selbst ein Todesfall wird einem Hackerangriff mittlerweile nachgesagt. Nachdem Ransomware die IT der Düsseldorfer Uniklinik nahezu vollständig lahmgelegt hatte, konnte auch die Notaufnahme nicht mehr betrieben werden. Deshalb musste eine Patientin im kritischen Zustand in ein weiter entfernt gelegenes Krankenhaus transportiert werden, wo sie – so die Annahme – wegen des verspäteten Behandlungsbeginns verstarb.

Aktuelle Rechtslage

Vor diesem Hintergrund und mit diesen Aussichten hat die EU dem Problembereich „Cybersecurity“, zu Deutsch „Cybersicherheit“, eine ganze Normenfamilie gewidmet. Jeweils mit unterschiedlichem Fokus verfolgen diese Rechtsakte das Ziel, die Resilienz wesentlicher Infrastruktur gegenüber bestehenden Risiken zu erhöhen und die Folgen eingetretener Vorfälle zu verringern.

NIS-2-Richtlinie

Die bekannteste Richtlinie dürfte dabei die Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, besser bekannt als NIS-2, sein.

Ihre große Beachtung dürfte daher rühren, dass sie, anders als bspw. die lediglich den Finanzsektor betreffende Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act oder kurz DORA), allein in Deutschland ca. 30.000 Einrichtungen in fast 20 für das Funktionieren unserer modernen Gesellschaften wichtigen Sektoren betrifft. Damit ist NIS-2 wesentlich breiter angelegt als die Vorgängerrichtlinie NIS-1.

Während in deren Anwendungsbereich Einrichtungen fielen, die in den sieben Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserlieferung und -versorgung und Digitale Infrastruktur Dienste bereitstellten, welche für die Aufrechterhaltung kritischer gesellschaftlicher und/oder wirtschaftlicher Tätigkeiten unerlässlich sind, nimmt die NIS-2-Richtlinie nunmehr eine Vielzahl von Einrichtungen aus den Sektoren

  • Energie,
  • Verkehr,
  • Bankwesen,
  • Finanzmarktinfrastrukturen,
  • Gesundheitswesen,
  • Trinkwasser,
  • Abwasser,
  • Digitale Infrastruktur,
  • Verwaltung von IKT-Diensten,
  • öffentliche Verwaltung,
  • Weltraum,
  • Post- und Kurierdienste,
  • Abfallbewirtschaftung,
  • Produktion,
  • Herstellung und Handel mit chemischen Stoffen,
  • Produktion,
  • Verarbeitung und Vertrieb von Lebensmitteln,
  • Verarbeitendes Gewerbe/Herstellung von Waren,
  • Anbieter digitaler Dienste, Forschung)

in die Pflicht. Unabhängig von ihrer Größe unterliegen dabei zumindest

  • Anbieter von öffentlichen elektronischen Kommunikationsnetzen,
  • Anbieter von öffentlich zugänglichen elektronischen Kommunikationsdiensten,
  • Anbieter von Vertrauensdiensten,
  • Namenregister der Domäne oberster Stufe,
  • Anbieter von Domänennamensystem-Diensten, sowie
  • Anbieter von Domänennamenregistrierungsdiensten

den Verpflichtungen der NIS-2 Richtlinie. Dies leuchtet insofern ein, als diese Dienste das Rückgrat unserer modernen Gesellschaften bilden, in welchen ohne Informationsverarbeitung (Server, Computer, Smartphones, Apps, E-Mails) und -übermittlung von Informationen durch Netze (insbesondere natürlich über das Internet) nichts mehr läuft. 

In diesen Bereichen haben damit ggf. auch Kleinstunternehmen durch NIS-2 aufgegebene Pflichten zu erfüllen. Im Übrigen sieht die NIS-2-Richtlinie jedoch einen sogenannten Size-Cap vor, durch welchen Unternehmen mit weniger als 50 Beschäftigten und einem Jahresumsatz bzw. einer Jahresbilanz, welche 10 Mio. EUR nicht übersteigen, aus dem Anwendungsbereich der Richtlinie ausgenommen werden.

BSIG-E im NIS2UmsuCG

Als Richtlinie bedarf NIS-2 einer Umsetzung durch die nationalen Gesetzgeber. Diese war von den Mitgliedsstaaten bis spätestens zum 17. Oktober 2024 gefordert. Deutschland ist (Stand Ende Oktober 2025) mit der Umsetzung in Verzug. Denn der zur Umsetzung der Richtlinie in das Gesetzgebungsverfahren eingebrachte Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (kurz einfach nur NIS2UmsuCG) ist auch in seiner letzten Iteration vom 25.7.2025 bisher nicht förmlich als Gesetz verabschiedet worden. 

Bei dem Entwurf handelt es sich um ein sogenanntes Artikelgesetz, mit welchem der Gesetzgeber das deutsche Recht durch eine Änderung von über 20 Gesetzen in Einklang mit den Anforderungen von NIS-2 bringen möchte. Ob dies glücken wird, wird die Zukunft zeigen. In einzelnen Punkten weicht der deutsche Gesetzgeber jedenfalls von den durch NIS-2 gemachten Vorgaben ab, so dass eine zumindest partielle Europarechtswidrigkeit im Raum steht. Dies betrifft leider insbesondere die konkrete Umsetzung des Size-Caps. Hierdurch könnte Einrichtungen in bestimmten Konstellationen die wichtige Beurteilung schwerfallen, ob sie den Verpflichtungen von NIS-2 unterworfen sind oder nicht.

Den weitaus größten Teil des Entwurfs des Umsetzungsgesetzes nimmt die vorgeschlagene Neufassung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (kurz BSI-Gesetz bzw. BSIG) ein (BSIG-E).

Wesentliche Pflichten in NIS-2 und BSIG-E

Im zukünftigen BSIG werden die wesentlichen Pflichten geregelt sein, welche die NIS-2-Richtlinie den in ihren Anwendungsbereich fallenden Einrichtungen auferlegt. Diese sind

  • Risikomanagement,
  • Melde- bzw. Berichtspflichten sowie
  • die in der NIS-2-Richtlinie mit Governance umschriebenen Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen.

Daneben kann eine Einrichtung auch zu ihrer Registrierung bei zuständigen Behörden, zum Nachweis ergriffener Maßnahmen, zur Unterrichtung der Empfänger ihrer Leistungen über eingetretene Sicherheitsvorfälle u.A. verpflichtet sein.

Risikomanagement

Im Rahmen des Risikomanagements wird von wesentlichen und wichtigen Einrichtungen das Ergreifen von geeigneten technischen, operativen und organisatorischen Maßnahmen verlangt, um die Sicherheit der für ihre Dienste genutzten Netz- und Informationssysteme beherrschen und die Auswirkungen von Sicherheitsvorfällen verhindern oder, falls solche trotz der Maßnahmen dennoch eintreten, gering halten zu können. Die Einrichtung muss dabei nicht jede denkbare oder zur Verfügung stehende Maßnahme ergreifen, also notfalls mit Kanonen auf Spatzen schießen. Sie kann sich auf verhältnismäßige Maßnahmen beschränken. Von Verhältnismäßigkeit einer Maßnahme kann die Einrichtung dann ausgehen, wenn diese in Anbetracht der Risikoexposition und Größe der Einrichtung, der Eintrittswahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere, insbesondere ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen nach dem Stand der Technik und/oder vorhandenen Standards und Normen nahe liegt und die Kosten ihrer Ergreifung nicht unangemessen hoch erscheinen.

Insbesondere bisher nicht mit dem Thema Cybersicherheit befasste Einrichtungen müssen bei der Suche nach in Frage kommenden Maßnahmen nicht bei Null anfangen. Das zukünftige BSIG und die NIS-2-Richtlinie führen selbst eine ganze Reihe von Maßnahmen und Gesichtspunkten an, welche Einrichtungen zu berücksichtigen haben. Und zwar

  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
  • Bewältigung von Sicherheitsvorfällen,
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit,
  • grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit,
  • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung,
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen, und schließlich
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Zudem gibt es mit der Durchführungsverordnung (EU) 2024/2690 zumindest für folgende Einrichtungen weitere explizit genannte Maßnahmen, welche diese umzusetzen haben:

  • DNS-Diensteanbieter,
  • TLD-Namenregister,
  • Cloud-Computing-Dienstleister,
  • Anbieter von Rechenzentrumsdiensten,
  • Betreiber von Inhaltszustellnetzen,
  • Anbieter von verwalteten Diensten,
  • Anbieter von verwalteten Sicherheitsdiensten,
  • Anbieter von Online-Marktplätzen,
  • Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke, sowie
  • Vertrauensdiensteanbieter.

Betreiber kritischer Anlagen sind zudem verpflichtet, Systeme zur Angriffserkennung zur Anwendung zu bringen.

Die Ergreifung mancher der genannten Maßnahmen drängt sich förmlich auf. So sollte bspw. jede Einrichtung allein schon deshalb, weil es für die Abschätzung der Verhältnismäßigkeit einer Maßnahme notwendig ist, über die Fähigkeit und Mittel verfügen, bestehende Risiken zu erkennen und zu analysieren. Ebenso sollte sich die Einrichtung Gedanken darüber gemacht haben, wie sie Sicherheitsvorfälle bewältigen kann und mit dem Ziel Pläne und Konzepte erstellt haben, den Betrieb auch in der Krise jederzeit aufrecht erhalten oder zumindest schnellstmöglich wieder aufnehmen zu können. Da ein Ransomware-Vorfall ganz schnell das Ende eines Unternehmens bedeuten kann, dürften heutzutage Konzepte und Pläne für Backup- und Recovery-Manangement ohnehin schon fester Bestandteil der Unternehmenskultur sein.

Wer sich fragt, warum die Sicherheit der Lieferkette und Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationsnetzen wichtig ist, sollte sich noch einmal in Erinnerung rufen, welche Folgen die Nutzung unachtsam eingekaufter Pager haben kann und was es mit Stuxnet auf sich hatte. Spätestens nachdem Microsoft dem Chefankläger des Internationalen Strafgerichtshofs (IStGH) das E-Mail-Postfach ohne jeglichen Grund gesperrt hat, sollte sich jede Behörde und jedes Unternehmen zudem fragen, ob es seinen Betrieb im Zweifel auch ohne (von Microsoft administrierten) E-Mails aufrecht erhalten kann und ggf. wie lange.

So, wie es mit dem Händewaschen eine einfache Hygienemaßnahmen gibt, die uns gesund hält, gibt es Cyberhygienemaßnahmen, welche IT und Netzwerk frei von Gefahren halten oder zumindest „Ansteckungsgefahren“ verringern können. Dazu gehören beispielsweise 

 

  • Software- und Hardware-Updates
  • Passwortänderungen
  • die Verwaltung neuer Installationen
  • die Einschränkung von Zugriffskonten auf Administratorenebene und 
  • die Sicherung von Daten.

Die Risiken, welche – meist beruhend auf Unwissen – von den eigenen Mitarbeitern ausgehen, sollten durch Schulungen minimiert werden. Mit diesen lässt sich deren Bewusstsein für Cyberbedrohungen und -sicherheit, Phishing oder Social-Engineering-Techniken schärfen.

In der Praxis wird häufig auf die in bewährten Standards wie bspw. ISO 27001/27002 oder BSI-Grundschutz aufgeführten Anforderungen und die jeweiligen Umsetzungshinweise zurückgegriffen.

Berichts- bzw. Meldepflichten

Besonders wichtig ist nicht nur das Ergreifen von Risikomanagementmaßnahmen, sondern auch das richtige Verhalten im Falle eines trotz aller Vorsicht eingetretenen Sicherheitsvorfalls.

Wenn es zu einem Ereignis kommt, welches die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die von der Einrichtung über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt und es dadurch für andere (natürliche oder juristische) Personen zu erheblichen materiellen oder immateriellen Schäden kommen kann, muss die Einrichtung sofort handeln. Denn 

  • spätestens 24 Stunden nach Kenntniserlangung muss (nach BSIG-E an eine vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle) eine frühe Erstmeldung gemacht werden, in der anzugeben ist, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;
  • innerhalb von 72 Stunden nach Kenntniserlangung hat die Einrichtung eine die Erstmeldung bestätigende oder aktualisierende Meldung zu machen, in der die in der Erstmeldung genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des Vorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden müssen;
  • einen Monat nach Übermittlung der Bestätigungs- bzw. Aktualisierungsmeldung hat die Einrichtung eine Abschlussmeldung zu machen, die Folgendes enthält:
    • eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen,
    • Angaben zur Art der Bedrohung beziehungsweise ihrer zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat,
    • Angaben zu den getroffenen und laufenden Abhilfemaßnahmen und schließlich
    • gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls.

Ähnlich wie im Rahmen der DSGVO, bei der unter bestimmten Umständen neben der Aufsichtsbehörde auch Betroffene von einem Sicherheitsvorfall zu informieren sind, kann eine Einrichtung unter Umständen nicht nur verpflichtet sein, der Meldestelle von dem Sicherheitsvorfall zu berichten, sondern zudem auch dazu, Empfänger ihrer Dienste unverzüglich über den Sicherheitsvorfall zu unterrichten. Dies setzt nach dem BSIG-E jedoch eine dahingehende Anordnung des BSI voraus. Hat sich der Vorfall bei einer Einrichtung aus den Sektoren Finanzwesen, Sozialversicherungsträger sowie Grundsicherung für Arbeitssuchende, digitale Infrastruktur, Verwaltung von IKT-Diensten und Digitale Dienste ereignet, kann diese zudem dazu verpflichtet sein, den potenziell von dem Vorfall betroffenen Empfängern ihrer Dienste und dem BSI unverzüglich u.a. alle Maßnahmen oder Abhilfemaßnahmen mitzuteilen, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können.

Governance

Damit Cybersecurity in den Einrichtungen nicht vom Zufall abhängt, erlegen NIS-2-Richtlinie und zukünftiges BSIG (soweit der aktuelle Entwurf als Gesetz verabschiedet wird) den Leitungsorganen der Einrichtungen Pflichten auf, welche zum Ziel haben, Cybersecurity zu einem von der Einrichtung gelebten, Ernst genommenen und vor Allem, verstandenen Thema zu machen.

Der Weg, welcher dafür gewählt wurde, besteht darin, den Leitungsorganen unmittelbar Verantwortung für das Thema zu übertragen. Diese müssen zukünftig die von der Einrichtung – gemeint dürften hier vielmehr die Fachverantwortlichen innerhalb der Einrichtung sein – ergriffenen Maßnahmen im Bereich der Cybersicherheit billigen und anschließend deren Umsetzung überwachen. Um diesen Pflichten Nachdruck zu verleihen, verlangt die NIS-2-Richtlinie, dass die Leitungsorgane für aus Verfehlungen entstandene Schäden unmittelbar in Anspruch genommen werden können. Die Zukunft wird zeigen, ob dabei lediglich die Gesellschaft bei den Leitungsorgangen Regress nehmen kann, oder ob sich auch Außenstehende an den Leitungsorganen schadlos halten dürfen. Der diesbezügliche Wortlaut der NIS-2-Richtlinie würde beide Ansichten tragen, der BSIG-E scheint der ersten Variante zugeneigt.

Damit Leitungsorgane über die für die Erfüllung dieser Aufgaben notwendige Expertise verfügen, müssen sie regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.

Die in der NIS-2-Richtlinie vorgesehene Verpflichtung für die Einrichtungen, auch den Mitarbeitern die Möglichkeit der Teilnahme an entsprechenden Schulungen zu verschaffen, ist im BSIG-E leider nicht enthalten. Das BSIG-E sieht in Mitarbeiterschulungen vielmehr eine schlichte Risikomanagementmaßnahme und stellt diese damit in das Ermessen der jeweiligen Einrichtungen. Inwieweit dies zielführend und ein Unterlassen von Mitarbeiterschulungen rechtmäßig ist, werden die Häufigkeit zukünftiger Cybersicherheitsvorfälle und deren Gründe ebenso zeigen wie die Praxis der Aufsichtsbehörde.

Bußgelder

Für zahlreiche Fälle, in welchen eine Einrichtung ihren Pflichten nicht nachkommt, sieht der aktuelle BSIG-Entwurf zum Teil erhebliche Bußgelder vor. Diese können bei besonders wichtigen Einrichtungen eine Höhe von bis zu 10 Millionen Euro, bei wichtigen Einrichtungen 7 Millionen Euro erreichen. Bei Einrichtungen mit jährlichen Umsätzen von über 500 Millionen Euro soll der Bußgeldrahmen, so wie man es schon länger von der DSGVO kennt, anhand eines prozentualen Anteils am erzielten Umsatz bestimmt werden. Und zwar maximal 2 Prozent bei besonders wichtigen und 1,4 Prozent bei wichtigen Einrichtungen.

Die höchsten Bußgelder gibt es dabei für Einrichtungen, welche es unterlassen, die zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, und die zur Verringerung der Auswirkungen von Sicherheitsvorfällen notwendigen Maßnahmen zu ergreifen. Dies macht durchaus Sinn, da mit diesen Verstößen immerhin die höchsten Risiken für alle Seiten einher gehen.

Ebenfalls bußgeldbewehrt ist es, wenn eine Einrichtung die von ihr ergriffenen Risikomanagementmaßnahmen nicht dokumentiert oder der zuständigen Behörde nicht in der geforderten Art und Weise mit Erstmeldung, Aktualisierungs- und Abschlussmeldung über eingetretene Sicherheitsvorfälle Bericht erstattet.

Daneben gibt es viele weitere Bußgeldtatbestände, welche an die Verletzung einer der weiteren zahlreichen Pflichten anknüpfen, welche die NIS-2-Richtlinie und der BSIG-E Einrichtungen auferlegt.

Fazit

Die NIS-2-Richtlinie und das künftige BSIG-E markieren einen Wendepunkt in der Regulierung der Cybersicherheit in Deutschland und Europa. Erstmals werden auch zahlreiche mittelständische und öffentliche Einrichtungen verpflichtet, ihre technischen, organisatorischen und personellen Sicherheitsstrukturen auf ein einheitlich hohes Niveau zu bringen. Cybersicherheit wird damit zur Managementaufgabe und wird mit klaren Haftungsrisiken für die Leitungsebene verbunden sein.

Wer frühzeitig ein wirksames Risikomanagement, klare Meldeprozesse und regelmäßige Schulungen etabliert, ist nicht nur auf die künftigen gesetzlichen Pflichten vorbereitet, sondern stärkt zugleich die eigene Widerstandsfähigkeit gegenüber Cyberangriffen.

Unsere Kanzlei verfügt über ausgewiesene Erfahrung im IT-Recht und im Datenschutzrecht und unterstützt Unternehmen dabei, sich rechtzeitig und rechtssicher auf die neuen Anforderungen vorzubereiten und damit schon heute wirksam in ihre eigene Cybersicherheit zu investieren.

Sprechen Sie uns an, wenn Sie prüfen möchten, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist und welche konkreten Schritte Sie zur rechtssicheren Umsetzung bereits jetzt einleiten können.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Wenn KI halluziniert: Warum Faktenprüfung bei ChatGPT & Co. unverzichtbar ist

KI-generiertes Bild einer Halluzination
KI-generiertes Bild einer Halluzination

Wenn KI halluziniert: Warum Faktenprüfung bei ChatGPT & Co. unverzichtbar ist

Dass eine Künstliche Intelligenz halluziniert, klingt zunächst etwas merkwürdig, weil es sich um eine Wahrnehmungsstörung und damit um ein Phänomen handelt, das typischerweise bei Menschen auftreten kann.

Halluzination im Zusammenhang mit KI meint, dass diese Informationen hinzuerfindet, die so gar nicht stimmen. Doch was ist der Grund dafür?

Zunächst liegt es an den Fakten, die von dem KI-Modell zugrunde gelegt werden. Handelt es sich um seltene Fakten, sind diese nicht anhand von Mustern vorhersehbar. Das Modell ist aber darauf trainiert, eine Antwort geben zu wollen. Irgendeine Antwort ist danach besser als gar keine. Außerdem besteht statistisch gesehen die Möglichkeit der Richtigkeit bei Abgabe einer Antwort. Wenn keine Antwort gegeben wird, kann das Ergebnis in jedem Fall nicht richtig sein.

Was sollte also bei dem Gebrauch von KI immer beachtet werden?

Die Antworten sollten niemals ohne kritisches Hinterfragen hingenommen werden. Wenn Fußnoten angegeben werden, sollten diese auch tatsächlich überprüft werden. Dabei ist wichtig, dass nicht nur die Existenz der Fußnote, sondern auch die richtige Wiedergabe der dort enthaltenen Informationen abgeglichen werden.

Das bedeutet aber nicht, dass man ganz von der Nutzung von Künstlicher Intelligenz absehen sollte. Die Verwendung kann vor allem im Hinblick auf Texterstellung hilfreich sein. Dennoch ist ein Fakten-Check unentbehrlich.

Lesen Sie hier die Veröffentlichung von OpenAI zum Thema Halluzinationen von Large Language Modellen: https://openai.com/de-DE/index/why-language-models-hallucinate/

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

EU-AI-Act und KI im Personalwesen: Neue Regeln für den verantwortungsvollen Einsatz von HR-Tech

AI-Act und Personalwesen
AI-Act und Personalwesen

EU-AI-Act und KI im Personalwesen: Neue Regeln für den verantwortungsvollen Einsatz von HR-Tech

Künstliche Intelligenz (KI) ist bereits Bestandteil technikaffiner Personalabteilungen. Von automatisierten Bewerbungsanalysen über Chatbots im Recruiting bis hin zu KI-gestützter Mitarbeiterentwicklung – sogenannte HR-Tech-Lösungen versprechen mehr Effizienz und objektivere Entscheidungen. Doch mit der zunehmenden Automatisierung wächst auch die Verantwortung, insbesondere im Hinblick auf Datenschutz, Fairness und Transparenz.

Mit dem EU-AI-Act hat die Europäische Union nun den weltweit ersten umfassenden Rechtsrahmen für künstliche Intelligenz geschaffen. Er soll sicherstellen, dass KI-Systeme im Einklang mit europäischen Werten und Grundrechten eingesetzt werden. Für Unternehmen bedeutet das: Der Einsatz von KI im Personalwesen wird künftig strenger reguliert und fällt in vielen Fällen sogar unter die Kategorie der Hochrisiko-KI.

1. Kernpunkte des Beschäftigtendatenschutzes

Der AI-Act (Artificial Intelligence Act) wurde im Frühjahr 2024 verabschiedet und tritt schrittweise in Kraft. Sein Ziel ist es, Vertrauen in KI zu schaffen, Innovation zu fördern und gleichzeitig Risiken zu minimieren.

Das Gesetz verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte oder Sicherheit, desto strenger die Anforderungen. Dabei werden vier Risikostufen unterschieden:

  1. Unannehmbares Risiko: KI-Anwendungen, die gegen fundamentale Rechte verstoßen, werden verboten (z. B. soziale Bewertungssysteme oder manipulative KI).
  2. Hohes Risiko: KI-Systeme, die erhebliche Auswirkungen auf Menschen haben können, unterliegen strengen Auflagen.
  3. Begrenztes Risiko: Systeme müssen bestimmte Transparenzpflichten erfüllen.
  4. Minimales Risiko: keine besonderen Pflichten, z. B. KI-gestützte Spamfilter.

Gerade HR-Tech-Lösungen wie Bewerbermanagement-Software, automatisierte Eignungstests oder Tools zur Leistungsbewertung gelten laut EU-AI-Act in der Regel als Hochrisiko-KI, da sie direkte Auswirkungen auf Beschäftigte oder Bewerber haben können.

2. Warum HR-Tech oft als Hochrisiko-KI gilt

Der Personalbereich ist besonders sensibel, da hier über Menschen und ihre berufliche Zukunft entschieden wird. KI-gestützte Systeme im HR-Umfeld können – bewusst oder unbewusst – Diskriminierungen verstärken, wenn sie etwa auf verzerrten Datensätzen trainiert wurden.

Beispiele für Hochrisiko-Anwendungen im Personalwesen sind:

  • Automatisierte Bewerberauswahl: KI-Tools, die Lebensläufe, Bewerbungsschreiben oder Video-Interviews analysieren.
  • Predictive Analytics: Systeme, die die Wahrscheinlichkeit einer Beförderung, Kündigung oder Leistung vorhersagen.
  • Mitarbeiterüberwachung: Tools, die Produktivität oder das Verhalten in Echtzeit erfassen.

Für solche Systeme fordert der AI-Act umfangreiche Maßnahmen, um Transparenz, Nachvollziehbarkeit und Fairness sicherzustellen.

3. Anforderungen des EU-AI-Acts an den Einsatz von KI im Personalwesen

Unternehmen, die KI im HR-Kontext einsetzen oder entwickeln, müssen eine Reihe von Pflichten erfüllen. Dazu zählen:

a) Risikobewertung und Konformitätsprüfung

Bevor eine Hochrisiko-KI in Betrieb genommen wird, ist eine Konformitätsbewertung erforderlich. Dabei müssen Unternehmen dokumentieren, dass das System den gesetzlichen Anforderungen entspricht, ähnlich wie bei einer CE-Kennzeichnung.

b) Datenqualität und Verzerrungs(Bias)-Vermeidung

Die Trainingsdaten müssen relevant, repräsentativ und frei von Diskriminierung sein. Das bedeutet: Historische HR-Daten müssen auf Verzerrungen geprüft und gegebenenfalls bereinigt werden.

c) Technische Dokumentation und Nachvollziehbarkeit

Unternehmen müssen detailliert festhalten, wie und auf welcher Grundlage die KI Entscheidungen trifft. Diese Dokumentation ist auch Grundlage für mögliche Audits durch Aufsichtsbehörden.

d) Transparenzpflichten gegenüber Betroffenen

Bewerber:innen und Mitarbeitende müssen darüber informiert werden, dass und wie KI-Systeme eingesetzt werden. Zudem sollen sie das Recht haben, eine menschliche Überprüfung der Entscheidung zu verlangen.

e) Überwachung und menschliche Aufsicht

Auch nach der Einführung müssen KI-Systeme regelmäßig überwacht werden. Der Mensch bleibt letztlich verantwortlich; eine vollständige Automatisierung von Personalentscheidungen ist nicht zulässig.,

4. Datenschutz bleibt zentral

Neben den neuen KI-Regeln bleibt die Datenschutz-Grundverordnung (DSGVO) weiterhin uneingeschränkt gültig.
Das bedeutet:

  • Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine rechtliche Grundlage besteht.
  • Betroffene haben Anspruch auf Auskunft, Berichtigung und Löschung ihrer Daten.
  • Bei automatisierten Entscheidungen, die rechtliche Wirkung entfalten, ist laut Artikel 22 DSGVO eine menschliche Intervention vorgeschrieben.

Das Zusammenspiel von AI-Act und Datenschutzrecht macht den HR-Bereich besonders komplex. Unternehmen müssen beide Regime sorgfältig aufeinander abstimmen, technische Compliance allein reicht nicht aus. Auch rechtliche Compliance ist vonnöten.

5. Chancen für verantwortungsvolle HR-Innovation

Trotz der neuen Pflichten bietet der EU-AI-Act auch Chancen. Wer frühzeitig in transparente, erklärbare und ethisch verantwortbare KI-Lösungen investiert, kann bei Bewerber:innen, Mitarbeitenden und Aufsichtsbehörden Vertrauen aufbauen.

Zudem fördert die Regulierung eine neue Generation von HR-Tech-Lösungen, die Fairness und Datenschutz by Design umsetzen. Beispiele sind:

  • KI-gestützte Systeme, die Verzerrungen (Bias) aktiv erkennen und ausgleichen.
  • Tools mit Explainable AI-Funktionen, die Entscheidungen nachvollziehbar machen.
  • Plattformen, die Bewerbern Kontrolle über ihre Daten geben.

Langfristig kann die Regulierung so zu mehr Qualität und Fairness im Recruiting und Personalmanagement führen.

6. Handlungsempfehlungen für Unternehmen

Damit Unternehmen auf den AI-Act vorbereitet sind, sollten sie frühzeitig handeln:

  1. Bestandsaufnahme durchführen: Welche KI-Systeme werden im HR-Bereich eingesetzt oder geplant?
  2. Risikoklassifizierung prüfen: Handelt es sich um Hochrisiko-KI im Sinne des Gesetzes?
  3. Datenmanagement optimieren: Bias-Prüfungen und Datenqualität sicherstellen.
  4. Compliance-Strukturen aufbauen: Zuständigkeiten, Dokumentation und Prozesse festlegen.
  5. Schulungen und Sensibilisierung: HR-Teams und IT-Abteilungen müssen die neuen Pflichten kennen.
  6. Transparenz schaffen: Mitarbeitende und Bewerber:innen aktiv über KI-Einsatz informieren.

Fazit

Der EU-AI-Act markiert einen Wendepunkt für den Einsatz von KI im Personalwesen. Während HR-Tech-Lösungen weiterhin große Effizienzpotenziale bieten, steigt der regulatorische Anspruch erheblich. Der Einsatz von Hochrisiko-KI in sensiblen Bereichen wie Recruiting oder Leistungsbewertung erfordert künftig ein hohes Maß an Verantwortung, Transparenz und rechtlicher Sorgfalt.

Unternehmen, die jetzt in Compliance, Datenqualität und ethische KI investieren, können nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen ihrer Belegschaft stärken und den Weg für eine zukunftsfähige, faire und datenschutzkonforme HR-Technologie ebnen.

Kontaktieren Sie uns – wir beraten Sie gerne!

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

UN-Konvention zur Bekämpfung von Cyberkriminalität

Aufbau von Computern für cyberkriminelle Aktivitäten
Aufbau von Computern für cyberkriminelle Aktivitäten

UN-Konvention zur Bekämpfung von Cyberkriminalität

Ab dem 25. Oktober bis Ende 2026 können die Mitgliedsstaaten der Europäischen Union der UN-Cybercrime-Konvention beitreten.

Dadurch soll die internationale Zusammenarbeit zur Bekämpfung bestimmter Straftaten, die mithilfe von Informations- und Kommunikationstechnik begangen werden, gestärkt werden. Außerdem soll die Weitergabe sogenannter E-Evidence, d.h. elektronischer Beweismittel für schwere Straftaten erleichtert werden. Unter die weiterzugebenden Beweismittel fallen insbesondere auch personenbezogene Daten aus Cloud-Diensten.

Die unterzeichnenden Mitgliedsstaaten verpflichten sich dazu, Handlungen wie Online-Betrug oder illegales Abfangen von Nachrichten durch nationale Gesetze unter Strafe zu stellen.

Schwere Straftaten, die künftig eine erleichterte Beweismittelweitergabe ermöglichen, sind beispielsweise international organisierte Kriminalität, sofern das Verhalten mit einer Mindestfreiheitsstrafe von vier Jahren geahndet wird.
Der breite Anwendungsbereich des Abkommens stößt jedoch auch auf Kritik. Das Niveau der rechtsstaatlichen Kontrolle sei hier abgesenkt und damit auch die Schwelle, in die Privatsphäre und Meinungsfreiheit Dritter einzugreifen. Die Sicherheitsvorkehrungen seien zu gering und die Beweiserhebungsbefugnisse unbegrenzt, auch wenn nur ein geringer oder sogar gar kein Bezug zu Cyberkriminalität bestehe.

Der EU-Rat entgegnet hingegen, dass die Rechtfertigung in der Prävention von IT-Betrug, Hackerangriffen, sexuellem Kindsmissbrauch, Grooming sowie sonstiger Cyberkriminalität liege. Außerdem seien wichtige Schutzmechanismen eingehalten worden, damit die Rechte Dritter keinen Schaden nehmen.

Ob es zur Ratifizierung des umstrittenen Abkommens in allen Mitgliedsstaaten der Europäischen Union kommen wird, erfahren Sie hier!

Unter folgender URL finden Sie die Veröffentlichung der Vereinten Nationen zur Konvention: https://www.unodc.org/unodc/cybercrime/convention/home.html

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

Neue EU-Vorschriften für politische Werbung

Buttrons mit Partei-Werbung
Buttrons mit Partei-Werbung

Neue EU-Vorschriften für politische Werbung

Ab heute gelten EU-weit neue Vorschriften für bezahlte politische Werbung. Künftig muss jede entsprechende Anzeige klar als solche gekennzeichnet sein. Darüber hinaus muss offengelegt werden, wer hinter der Werbung steht und welcher finanzielle Aufwand dafür betrieben wurde.

Nach Angaben der EU-Kommission sollen diese Maßnahmen Bürgerinnen und Bürger dabei unterstützen, zwischen individueller Meinungsäußerung und gezielt platzierter politischer Werbung unterscheiden zu können. Ziel ist es, die Meinungs- und Informationsfreiheit wirksam zu schützen.

Besonders betroffen von den neuen Regelungen sind soziale Netzwerke, auf denen politische Inhalte häufig verbreitet werden.

Lesen Sie hier dazu die Pressemitteilung der Europäischen Kommission:
https://germany.representation.ec.europa.eu/news/transparenz-politischer-werbung-kommission-veroffentlicht-leitlinien-2025-10-08_de

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

EuGH erklärt die Aufsichtsgebühr des Digital Services Act für nichtig

Sitz des Europäischen Gerichtshofs in Luxemburg
Sitz des Europäischen Gerichtshofs in Luxemburg

EuGH erklärt die Aufsichtsgebühr des Digital Services Act für nichtig

Am 10. September 2025 erklärte das Gericht der Europäischen Union (EuGH) in der Rechtssache T-55/24 die Beschlüsse der EU-Kommission über die Festlegung der Aufsichtsgebühr für Facebook, Instagram und TikTok für nichtig. 

Als Grundlage für die Beschlüsse diente das Gesetz über digitale Dienste (Digital Services Act, DSA), das der Kommission die Aufgabe überträgt, sehr große Online-Plattformen (VLOPs) und Suchmaschinen zu beaufsichtigen. Hierfür darf die Kommission eine jährliche Aufsichtsgebühr erheben, welche anhand der durchschnittlichen monatlichen Nutzerzahl berechnet wird. Die Kommission hatte daraufhin für Facebook, Instagram und TikTok entsprechende Gebühren durch Durchführungsbeschlüsse festgesetzt.

Trotz rechtswidriger Methodik, Zahlungspflicht für 2023 bleibt bestehen

Das Gericht stellte fest, dass die verwendete Methodik zur Berechnung der Nutzerzahlen essentiell sei und deshalb in einer delegierten Verordnung hätte geregelt werden müssen. Die Durchführungsbeschlüsse seien daher formell rechtswidrig.

Um Regelungslücken zu vermeiden und der Kommission Zeit für eine korrekte Umsetzung der Erhebung der Aufsichtsgebühr zu geben, entschied das Gericht, dass die Wirkung dieser Beschlüsse jedoch vorerst bestehen bleibt und damit auch die Zahlungspflicht für 2023 für Unternehmen. Das Gericht beschränkte die Übergangssituation auf höchstens zwölf Monate nach Rechtskraft des Urteils. Gegen die Entscheidung ist ein auf Rechtsfragen beschränktes Rechtsmittel zum EuGH möglich.

Veränderungen bei Gebührenhöhe möglich

Neben der Zahlungspflicht für 2023 müssen Unternehmen damit rechnen, dass die Kommission bald eine rechtssichere Regelung erlässt, die zu einer veränderten Gebührenhöhe führt. Dadurch können sowohl Rückerstattungen, aber auch Nachforderungen entstehen. Empfehlenswert ist daher auch, interne Systeme zur Erfassung der aktiven Nutzerzahlen zu verbessern und diese Daten transparent vorzuhalten, um bei künftigen Verfahren abgesichert zu sein.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

EuGH weist Klage auf Nichtigkeitserklärung des Data Privacy Framework ab

Glasfaserkabel zur Datenübertragung in die USA
Glasfaserkabel zur Datenübertragung in die USA

EuGH weist Klage auf Nichtigkeitserklärung des Data Privacy Framework ab

Am 03. September 2025 hat das Gericht der Europäischen Union (EuGH) in der Rechtssache T-553/23 (Latombe/Kommission) eine Klage gegen den neuen Angemessenheitsbeschluss der EU-Kommission zum Data Privacy Framework (DPF) zurückgewiesen.

Die USA bieten ein angemessenes Datenschutzniveau

Die Klägerseite kritisierte zum einen die Praxis umfassender Datenerhebungen durch US-Dienste und stellte zum anderen die Unabhängigkeit der gerichtlichen Kontrolle in Frage. Der EuGH sah wiederum die erlassenen Vorgaben und die gerichtliche Kontrolle durch den Data Protection Review Court (DPRC) zur Sicherstellung des Rechtschutzes bei Datenzugriffen als ausreichend an und wies die Klage vollständig ab. Damit bestätigt der EuGH, dass die USA zum Zeitpunkt des Beschlusses ein angemessenes Datenschutzniveau gewährleisteten.

Datenübermittlung an US-Unternehmen

Für Unternehmen heißt das: Eine Datenübermittlung an US-Unternehmen ist rechtmäßig, sofern diese nach dem DPF zertifiziert sind. In diesen Fällen sind weder Standardvertragsklauseln (SCCs) noch zusätzliche Genehmigungen erforderlich.

Unternehmen in der EU stehen jedoch weiterhin in der Verantwortung, sorgfältig zu prüfen und zu dokumentieren, ob ihre US-Dienstleister tatsächlich in der offiziellen Zertifizierungsliste geführt werden. Liegt keine Zertifizierung vor, bleiben weiterhin SCCs oder Binding Corporate Rules (BCRs) notwendig. Zudem bestehen die Pflichten zur Transparenz gegenüber Betroffenen fort, etwa durch Anpassung der Datenschutzerklärung und klare Hinweise auf Datenübermittlungen in die USA.

Weiterhin Risiken bei der Datenübermittlung an US-Unternehmen

Es bleibt jedoch weiterhin Vorsicht geboten, da die Vorgängerabkommen („Safe Harbor“ und „Privacy Shield“) beide wegen des unzureichenden Schutzniveau der Überwachungspraxis in den USA durch den EuGH aufgehoben wurden („Schrems I“ (C‑362/14) und „Schrems II“ (C‑311/18)). Daher sollten EU-Unternehmen weiterhin vorsorglich SCC bereithalten und die weitere Rechtsentwicklung beobachten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft

KI-Training und personenbezogene Daten: Einige Erkenntnisse aus dem Urteil des OLG Köln im Fall Meta

Frau, auf die Code projiziert wird: Datenschutz beim KI-Training
Frau, auf die Code projiziert wird: Datenschutz beim KI-Training

KI-Training und personenbezogene Daten: Einige Erkenntnisse aus dem Urteil des OLG Köln im Fall Meta

Metas Umgang mit der Einwilligung der Nutzer

Für das Training von KI-Modellen werden umfangreiche Datenmengen benötigt. Viele Anbieter suchen nach geeigneten Quellen. Im Fall von Meta entschied sich das Unternehmen, öffentlich zugängliche Daten volljähriger Nutzer von Facebook und Instagram für das Training seiner KI-Modelle zu verwenden. Diese Maßnahme wurde den Nutzern vor der Umsetzung angekündigt. Anstelle einer ausdrücklichen Einwilligung setzte Meta jedoch auf ein Opt-out-Modell.

Dieses Vorgehen rief rechtliche Bedenken hervor und führte zu einem Antrag auf Erlass einer einstweiligen Verfügung durch den Verein zur Wahrnehmung kollektiver Verbraucherinteressen in Nordrhein-Westfalen. Das Oberlandesgericht Köln entschied am 23. Mai 2025 (Az. 15 UKl 2/25) über den Fall. Nachfolgend die wichtigsten Erkenntnisse zur Verarbeitung personenbezogener Daten im Rahmen des KI-Trainings von diesem Fall.

Dürfen personenbezogene Daten für das KI-Training verwendet werden?

Grundsätzlich ist die Verarbeitung personenbezogener Daten zum Zweck des Trainings von KI zulässig, sofern sie mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist. Während die EU-Verordnung über Künstliche Intelligenz (KI-VO) die Anforderungen an KI-Systeme regelt, bleibt jede Verarbeitung personenbezogener Daten dem Datenschutzrecht, insbesondere der DSGVO, unterworfen.

Im vorliegenden Fall wurde versucht, Meta die Verwendung öffentlich zugänglicher Nutzerdaten für das KI-Training zu untersagen. Das Gericht wies den Antrag auf Erlass einer einstweiligen Verfügung zurück, was darauf schließen lässt, dass personenbezogene Daten unter bestimmten Voraussetzungen für das Training von KI-Systemen verarbeitet werden dürfen, auch wenn der ursprüngliche Zweck ihrer Erhebung nicht das KI-Training war.

Das Urteil stellt jedoch keine generelle Freigabe dar. Unternehmen müssen bei der Nutzung von Kundendaten für KI-Entwicklung mit besonderer Sorgfalt vorgehen.

Ist das KI-Training ein „berechtigtes Interesse“?

Gemäß Art. 5 Abs. 1 Buchst. b DSGVO dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Nach der Erhebung dürfen sie nicht für andere, nicht vorher festgelegte Zwecke verwendet werden.

Zwar kann eine Einwilligung eine Rechtsgrundlage für die Verarbeitung darstellen, sie muss jedoch:

  • für einen oder mehrere bestimmte Zwecke gegeben;
  • durch eine eindeutige bestätigende Handlung erteilt werden.

Im Fall Meta wurde keine ausdrückliche Einwilligung eingeholt. Stattdessen berief sich das Unternehmen auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO. Das Gericht akzeptierte, dass die Entwicklung von KI-Systemen unter bestimmten Umständen ein berechtigtes Interesse darstellen könne, sofern die Nutzer informiert werden und die Möglichkeit haben, Widerspruch einzulegen.

Zentrale Empfehlungen für Unternehmen

  1. Transparenz ist unerlässlich
    Nutzer müssen klar und proaktiv darüber informiert werden, wie ihre Daten verwendet werden. Das Gericht akzeptierte Metas Opt-out-Modell, da die Nutzer informiert wurden und widersprechen konnten.

  2. Informierung vor Datenerhebung
    Nur Daten, die nach erfolgter Information und gewährtem Widerspruchsrecht erhoben wurden, dürfen für das KI-Training verwendet werden. Eine nachträgliche Zweckänderung ohne Offenlegung ist unzulässig.

  3. Berechtigtes Interesse konkret darlegen
    Die Verarbeitung muss einem konkreten, nachvollziehbaren Unternehmenszweck dienen. Allgemeine oder spekulative Interessen genügen nicht.

Fazit: Vorsicht ist geboten

Auch wenn das Gericht den Antrag gegen Meta abgewiesen hat, bedeutet dies nicht, dass personenbezogene Daten uneingeschränkt für KI-Training verwendet werden dürfen. Jede Verarbeitung muss einzelfallbezogen geprüft werden unter Berücksichtigung von:

  • Art und Umfang der angebotenen Dienste,
  • Art von personenbezogenen Daten,
  • Rechtsgrundlage der Verarbeitung.

Da sich das regulatorische Umfeld – insbesondere im Bereich der KI-Regulierung – fortlaufend weiterentwickelt, sind Unternehmen gehalten, sich kontinuierlich über neue Entwicklungen zu informieren und die geltenden Vorschriften einzuhalten. Wer beabsichtigt, personenbezogene Kundendaten für das Training von KI-Systemen zu nutzen, muss die damit verbundenen rechtlichen Risiken sorgfältig prüfen und für Transparenz sowie rechtskonforme Verarbeitung sorgen. 

Gerne unterstützen wir Sie dabei, diese komplexen Anforderungen zu erfüllen und Ihre Compliance-Maßnahmen effektiv umzusetzen. Sprechen Sie uns an, wir beraten Sie zu DSGVO-Compliance und IT-Recht.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft