Suchergebnisse für
Personen
Markus von Fuchs
Partner
'/%3e%3c/svg%3e)
'/%3e%3c/svg%3e)
Markus von Fuchs ist im Bereich des gewerblichen Rechtsschutzes, insbesondere im Wettbewerbs-, Patent- und Markenrecht sowie im Know-how-Schutz tätig. Er berät Unternehmen bei der Absicherung und wirtschaftlichen Verwertung geistigen Eigentums, zum Beispiel durch Lizenz-, Vertriebs-, F&E- sowie Kooperationsverträge. Ein weiterer Schwerpunkt liegt in der gerichtlichen und außergerichtlichen Verteidigung von geistigen Schutzrechten durch einstweilige Verfügungsverfahren und Hauptsacheklagen, durch Grenzbeschlagnahmeverfahren sowie durch Einleitung und Begleitung strafrechtlicher Maßnahmen bei Produkt- und Markenpiraterie und bei Verletzung von Betriebs- und Geschäftsgeheimnissen. Darüber hinaus berät Markus von Fuchs viele Unternehmen bei der Entwicklung und Einführung neuer Technologien und Geschäftsmodelle. Über besondere Branchenerfahrungen verfügt Markus von Fuchs in der optischen und medizintechnischen Industrie.
Dr. Oliver Hornung
Partner
Dr. Oliver Hornung berät nationale und internationale IT-Dienstleister und Anwender, und zwar bei der rechtlichen Strukturierung und Verhandlung von IT-, Projekt- und Outsourcingverträgen, sowie in Fragen des Urheberrechts und der Lizenzierung. Er ist dabei auch regelmäßig in notleidenden Projekten (Konfliktbewältigung) tätig und betreut Mandanten in Schlichtungs- und Schiedsverfahren und widrigenfalls in gerichtlichen Auseinandersetzungen.
Das regulatorische Umfeld für die Nutzung von Daten und entsprechenden Technologien ist komplex und ständig kommen neue Rechtsakte der Europäischen Kommission hinzu. In diesem dynamischen Umfeld berät Dr. Oliver Hornung seine Mandanten zu allen Rechtsfragen, insbesondere mit Fokus KI-Compliance, Data Act, NIS-2, Cyber-Security, Cloud Computing und Datenrecht.
Ein weiterer Schwerpunkt der anwaltlichen Beratung sind der Datenschutz im Fokus auf Digital Health und die Digital Decade der EU. Falls erforderlich, verteidigt Dr. Oliver Hornung und sein Team die Rechte seiner Mandanten gegenüber Aufsichtsbehörden oder vor Gericht.
Schließlich betreut Dr. Oliver Hornung Start-ups in allen Fragen rund um das IT-Recht und das Datenschutzrecht. Neben seiner umfangreichen praktischen Arbeit ist Dr. Oliver Hornung auch ein häufig gefragter Vortragender im Datenschutzrecht und IT-Recht.
Norbert Klingner
Partner
Norbert Klingner ist auf nationale und internationale Film- / TV- und Werbefilmproduktion, -finanzierung, -versicherung und -vertrieb spezialisiert. Er vertritt namhafte Produzenten, Verleiher, Weltvertriebe und Filmfinanziers. Seine Expertise reicht damit in der Verhandlung und Vertragsgestaltung vom Beginn der Stoffentwicklung über sämtliche Fragen im Zusammenhang mit der Produktion und deren Finanzierung bis hin zur strategisch richtigen Auswertung und Lizensierung. Eine Auswahl von Filmproduktionen, an denen Herr Klingner mitgewirkt hat, finden Sie auf der Internet Movie Database IMDb.
Dr. Andreas Peschel-Mehner
Partner
Dr. Andreas Peschel-Mehner begleitet seit Beginn des Internets alle Formen des Digital Business, von Start-ups über Multichannel-Angebote bis zu internationalen Internet-Konzernen. Im Mittelpunkt der Beratung stehen alle hierfür relevanten rechtlichen Bereiche, insbesondere Datenschutz- und Nutzungskonzepte, AGB und Verbraucherschutz, Compliance, Werbe-, Gewinnspiel- und Wettbewerbsrecht und andere mehr.
Ein weiterer Schwerpunkt der anwaltlichen Beratung von Dr. Andreas Peschel-Mehner ist das Medien- und Entertainmentrecht, insbesondere sämtliche Belange der Film- und Fernsehbranche. Im Fokus stehen hier alle Aspekte der Finanzierung und weltweiten Auswertung der Produktionen sowie der Rechteerwerb. Einen besonderen Ausschnitt stellen dabei die digitalen Medien dar, sowohl hinsichtlich der Veränderung der Nutzungskonzepte und Erlösströme als auch die Begleitung von Video-On-Demand Plattformen. Einen Auszug der von ihm betreuten Film- und Serien-Projekte finden Sie hier auf der Internet Movie Database IMDb.
Er berät außerdem seit jeher nationale und internationale Computer-Game Publisher und Studios und seit einigen Jahren die Esport-Branche.
Ein wichtiges Querschnittsthema ist für ihn inzwischen in seiner Beratung die Entwicklung und der Einsatz von KI-Technologien geworden.
News
EDPB äußert Bedenken zu den Mustervertragsklauseln zum Data Act
Am 8. Juli 2025 hat der Europäische Datenschutzausschuss (EDPB) eine Stellungnahme zu den Modellvertragsklauseln (MCTs) vorgelegt, die im Mai von der Expertengruppe der EU-Kommission als Entwurf einer Empfehlung veröffentlicht wurden. Der EDPB begrüßt den Ansatz der Expertengruppe grundsätzlich, sieht aber Nachbesserungsbedarf.
Vertragsmuster noch nicht DSGVO-konform
Die MCTs wurden im Mai 2025 zunächst im Bericht der von der Kommission eingesetzten Expertengruppe vorgestellt und dienen der Kommission als Grundlage für die offizielle Empfehlung nach Artikel 41 Data Act. Sie sollen Unternehmen helfen, Verträge zum Datenzugang und zur Datennutzung rechtssicher und transparent zu gestalten. Eine Übersicht der MCTs und der vier zentralen Vertragsszenarien finden Sie hier: „EU-Expertengruppe veröffentlicht Vertragsmuster zum Data Act“
Der EDPB weist in seiner Stellungnahme darauf hin, dass die MCTs zwar viele praxisnahe Regelungen enthalten, jedoch noch nicht alle datenschutzrechtlichen Vorgaben berücksichtigen. Vor allem die Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten sei in den MCTs nicht konsequent umgesetzt. Außerdem sei noch unklar, wie die Muster in Fällen anzuwenden sind, in denen der „Nutzer“ im Sinne des Data Acts zugleich betroffene Person nach der DSGVO ist.
Auch die in den Mustern vorgesehenen Vergütungsregelungen für die Datenbereitstellung sollten nach Ansicht des EDPB ausdrücklich nur für nicht-personenbezogene Daten gelten. Der EDPB hebt außerdem hervor, dass die Verwendung der MCTs die Einhaltung der DSGVO nicht sicherstellen und ergänzende Regelungen wie Auftragsverarbeitungsverträge oder Standardvertragsklauseln notwendig bleiben.
Empfehlung für die Vertragsgestaltung zum Data Act
Für die Gestaltung von Klauseln zur Verwendung von Produkt- und Verbundene Dienstedaten im Sinne des Data Acts lassen sich aus der Stellungnahme die folgenden Leitlinien ableiten:
- Es muss für die Gestaltung stets geklärt werden, welche Datenkategorien betroffen sind, und es muss klar zwischen personenbezogenen und nicht-personenbezogenen Daten unterschieden werden.
- Neben einer Qualifizierung der Beteiligten nach den Rollen unter dem Data Act (z.B. Nutzer, Dateninhaber und Datenempfänger) muss parallel auch stets die Rolle der Vertragsparteien nach der DSGVO festgestellt werden (z.B. Verantwortlicher, Auftragsverarbeiter).
- Die MCTs müssen im Praxiseinsatz gegebenenfalls durch die datenschutzrechtlich notwendigen Vereinbarungen ergänzt werden, etwa durch eine AVV.
Den Vorgaben der DSGVO und anderen einschlägigen datenschutzrechtlichen Vorschriften muss stets Vorrang eingeräumt werden, vor einer vertraglichen Regelung zur Nutzung von Produkt- und Verbundenen Dienstedaten.
Praxistipp
Die MCTs sind ein hilfreicher Ausgangspunkt für vertragliche Abreden zur Nutzung der dem Data Act unterfallender Daten, aber nach Auffassung des ESDP kein fertiges Konzept für DSGVO-konforme Verträge. Insbesondere Dateninhaber müssen ihre Vertragsmuster kritisch anhand der Vorgaben des Data Acts und zusätzlich des Datenschutzrechts prüfen und an die rechtlichen Gegebenheiten der jeweiligen Vertragskonstellation anpassen.
Data Act: Mehr Daten für alle
Neue EU-Regelung ab September 2025: Echtzeitzugriff auf Nutzerdaten wird Pflicht
Ab dem 1. September 2025 tritt eine neue EU-Vorgabe in Kraft, die weitreichende Auswirkungen auf Unternehmen mit vernetzten Produkten hat: Nutzer erhalten ein gesetzlich garantiertes Recht auf Echtzeitzugriff auf die von ihnen erzeugten Daten.
Unternehmen sind nun gefordert, ihre internen Prozesse sowie bestehende Vertragsstrukturen entsprechend anzupassen – andernfalls drohen rechtliche Konsequenzen. Ziel der Regelung ist es, die Datenhoheit der Nutzer zu stärken, faire Marktbedingungen zu schaffen und die europäische Datenwirtschaft zu fördern.
Mehr Hintergründe und Einschätzungen – unter anderem von Dr. Daniel Meßmer – finden Sie im vollständigen Beitrag im Wirtschaft IHK-Magazin.
KI-Flash: Nächste Stufe der KI-VO wird scharf geschaltet – Was auf die Anbieter von KI-Modellen zukommt
In diesem KI-Flash werfen wir einen Blick auf die nächste Stufe der KI-Verordnung (KI-VO), die am 2. August 2025 scharf geschaltet wird. Im Fokus stehen insbesondere verbindliche Pflichten für Anbieter und Betreiber von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI Models [„GPAIM“]) wie bspw. Large Language Models. Es werden nun weitreichende organisatorische, technische und rechtliche Anpassungen erforderlich. Daneben treten auch Regelungen im Bereich Plattformregulierung, Governance und Compliance in Kraft.
Was ändert sich konkret zum 2. August 2025?
Gemäß Art. 113 S. 2 lit. b KI-VO finden ab dem 2. August 2025 folgende Vorschriften Anwendung:
- Kapitel III Abschnitt 4 (Aufbau der Infrastruktur für die Konformitätsbewertung durch Errichtung nationaler notifizierender Behörden und Notifizierungsverfahren)
- Kapitel V (Anforderungen an GPAI, Art. 53-55 KI-VO)
- Kapitel VII (Governance, insbesondere Einrichtung des EU-KI-Büros)
- Art. 78 KI-VO (Regeln zur Wahrung der Vertraulichkeit)
- Kapitel XII (Sanktionen, mit Ausnahme von Art. 101 KI-VO)
Pflichten für Anbieter von GPAIM
1. Technische Dokumentation und Evaluierung
Anbieter müssen eine umfassende technische Dokumentation erstellen und kontinuierlich aktualisieren. Diese muss neben einer Beschreibung der GPAIM Informationen dazu erhalten, wie sich die GPAIM in KI Systeme integrieren lässt, Trainingsdaten und Trainingsmethoden sowie Informationen zum Energieverbrauch – mindestens im Umfang von Anhang XI KI-VO. Auf Anfrage des KI-Büros und der zuständigen Behörden sind diese zur Verfügung zu stellen.
2. Informationspflicht
GPAIM-Anbieter müssen gegenüber KI-Systementwicklern eine belastbare technische Basis zur Verfügung stellen, welche Informationen über Fähigkeiten, Grenzen und potenzielle Risiken des KI-Modells beinhaltet. Die Dokumentation muss alle Anforderungen nach Anhang XII KI-VO erfüllen.
3. Transparenz der Trainingsdaten
Zentraler Bestandteil der GPAIM-Regulierung ist die Pflicht zur Veröffentlichung einer detaillierten Übersicht der Trainingsdaten. Diese Transparenzmaßnahme dient der Rückverfolgbarkeit von Datenquellen und -strömen und muss nach Maßgabe einer vom KI-Büro bereitzustellenden Vorlage erfolgen.
4. Sonderfall: Systemisches Risiko
Noch umfassender ist der Pflichtenkatalog für Anbieter von GPAIM, die laut Gesetzgeber mit einem systemischen Risiko behaftet sind. Zur Erinnerung: Ein systemisches Risiko liegt insbesondere dann vor, wenn eines der nachstehenden Kriterien erfüllt ist:
- Das Modell wurde mit mehr als 10^25 Gleitkommaoperationen (FLOPs) trainiert;
- Die EU-Kommission stuft das Modell auf Basis bestimmter Kriterien (nach Anhang XIII der KI-VO) als systemisch riskant ein.
Anbieter von GPAIM mit systemischem Risiko müssen – neben den bereits dargestellten Pflichten – u.a. auch ein Risikomanagementsystem einrichten und Anforderungen zur Cybersicherheit einhalten.
Handlungsempfehlung
Nun gilt es für die Unternehmen u.a. interne Zuständigkeiten bezüglich der KI-Compliance zu bestimmen, technische Dokumentationen und Transparenzprozesse auszuarbeiten und Strategien hinsichtlich der Wahrung des Urheberrechts beim Training von GPAIM zu etablieren.
Erste Unterstützung kann nun der offiziellen Webseite der Bundesnetzagentur entnommen werden. Mit ihrem neuen „KI-Service Desk“ stellt die deutsche Aufsichtsbehörde umfassende Informationen zur KI-VO zur Verfügung – so auch zu GPAIM. Die Europäische Kommission hat zudem am 10. Juli 2025 einen Verhaltenskodex (Code of Practice) für GPAIM herausgegeben, der Unternehmen dabei unterstützen soll, die rechtlichen Verpflichtungen der KI-VO in Bezug auf Sicherheit, Transparenz und Urheberrechte von GPAIM einzuhalten.
Auch wenn die Pflichten ab dem 2. August 2025 anwendbar sind, können Verstöße gegen die GPAIM-Vorgaben noch nicht mit Bußgeldern geahndet werden, da der in Art. 101 KI-VO geregelte Sanktionsrahmen erst mit der allgemeinen Geltung der KI-VO im August 2026 in Kraft tritt.
Dennoch empfiehlt es sich dringend, bereits jetzt die internen Compliance-Strukturen, Prozesse und Verantwortlichkeiten aufzubauen, da der Aufwand hierfür nicht zu unterschätzen ist. Gerne stehen wir Ihnen hierbei jederzeit zur Verfügung.
SKW Schwarz berät den VDDW bei der Erarbeitung, Konzeptionierung und Genehmigung eines Code of Conduct
SKW Schwarz hat den VDDW (Verband der Deutschen Wasser- und Wärmezählerindustrie e.V.) bei der Konzeptionierung und Verhandlung eines Code of Conduct für den Umgang mit personenbezogenen Daten durch die Messgeräteindustrie für Kalt-/Warmwasser und thermische Energie beraten. Die Erarbeitung des Code of Conducts nach den Grundsätzen der DS-GVO, insbesondere nach Art. 40 und 41 DS-GVO erfolgte in enger Zusammenarbeit mit der LDI NRW (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen). Der Code of Conduct wurde nach Abstimmung in der deutschen Datenschutzkonferenz (DSK) am 25.06.2025 genehmigt.
Ziel des Code of Conduct ist es, der Rechtsunsicherheit im (Anwendungs-)Bereich des Datenschutzes für Messgerätehersteller entgegenzuwirken. Die Verhaltensregeln konkretisieren in ihrem Hauptteil und im Anhang „Technische Maßgaben“ die Anforderungen im Bereich fernauslesbare Messgeräte für Kalt-/Warmwasser und thermische Energie. Der Mehrwert des Code of Conduct besteht darin, dass er die Verarbeitung der Daten über fernauslesbare Messgeräte transparent darstellt, den Datenumfang entsprechend der verschiedenen Zweckbindungen begrenzt und mögliche Zeiträume für die Speicherung beschreibt.
Der VDDW repräsentiert seit 1953 die führenden Hersteller von Wasser- und Wärmezählern in Deutschland. Er formuliert und vertritt alle gemeinsamen fachlichen und wirtschaftlichen Interessen der Mitgliedsunternehmen gegenüber Politik, Ministerien, relevanten Bundes- und Landesbehörden (z. B. Eichaufsichtsbehörden), gesetzgebenden Körperschaften sowie vergleichbaren internationalen Behörden, Normungsorganisationen und der Öffentlichkeit.
Hier geht es zur Pressemitteilungen des LDI NRW >>
Berater VDDW – Verband der Deutschen Wasser- und Wärmezählerindustrie e.V.:
SKW Schwarz, Frankfurt: Dr. Oliver Hornung (Federführung), Franziska Ladiges, Dr. Wulf Kamlah (Of Counsel); Associate: Marius Drabiniok (alle IT & Digital Business)
Umweltwerbung für Flugreisen weiter kritisch
Begriffe wie „klimaneutral“ oder „CO₂-Ausgleich“ finden sich inzwischen in vielen Werbebotschaften – auch in der Reisebranche. Doch was ist rechtlich zulässig, und wo drohen Fallstricke?
In seinem neuen Beitrag in der aktuellen GRUR-Prax beleuchtet Dr. Daniel Kendziur die rechtlichen Grenzen klimabezogener Werbung und zeigt auf, worauf Unternehmen bei ihren Aussagen besonders achten sollten.
Beck-Online-Abonnenten finden die vollständige Urteilsbesprechung unter diesem LINK.
Wie Sie den Compliance-Durchblick behalten
Die Anforderungen einiger EU-Regularien überschneiden sich. Wer hier genau hinschaut, kann Synergien nutzen und seine Compliance effizienter einhalten.
Die EU hat in den vergangenen Jahren zahlreiche Gesetze verabschiedet, die Unternehmen dazu verpflichten, bestimmte Compliance-Regeln im Digitalbereich einzuhalten. Dazu gehören unter anderem die Datenschutzgrundverordnung (DSGVO), die KI-Verordnung (AI Act), die NIS-2-Richtlinie, der EU Data Act, die DORA-Verordnung und der Cyber Resilience Act (CRA).
NIS2, DORA, Data Act & Co.: Die wichtigsten Security-Gesetze im Überblick
All diese Gesetze zielen darauf ab, den Schutz von Daten, die Sicherheit von IT-Systemen und die Transparenz im Umgang mit digitalen Technologien sicherstellen. Doch einige dieser Vorschriften haben ähnliche oder sogar identische Anforderungen.
Den vollständigen Artikel finden Sie hier: Wie Sie den Compliance-Durchblick behalten | Computerwoche
Nach dem Erbfall: Supervermächtnis kann Freibeträge retten
In der aktuellen Ausgabe des private banking magazin erläutert Dr. Jens-Hendrik Kern, wie sich durch das sogenannte Supervermächtnis steuerliche Freibeträge im Erbfall gezielt nutzen lassen. Der Beitrag zeigt praxisnah, wie diese erbrechtliche Gestaltungsmöglichkeit eingesetzt werden kann, um Vermögen generationenübergreifend steueroptimiert zu übertragen – insbesondere bei komplexen Familienstrukturen oder hohen Vermögenswerten.
Dabei beleuchtet Herr Dr. Kern sowohl die zivilrechtlichen Grundlagen als auch die steuerlichen Wirkungen des Supervermächtnisses – inklusive konkreter Beispiele aus der Beratungspraxis.
Lesen Sie den vollständigen Artikel im private banking magazin
KI-Flash: Neues FAQ der Europäischen Kommission zur KI-Kompetenz nach Artikel 4 der KI-Verordnung
Nachdem wir in unserem letzten KI-Flash über eine Konsultation des AI Office zur Vorbereitung von Leitlinien für GPAIM berichtet haben, möchten wir Ihnen auch weiterhin in regelmäßigen Abständen rechtliche Impulse mit auf den Weg geben.
Heutiges Thema: Neues FAQ der Europäischen Kommission zur KI-Kompetenz nach Artikel 4 der KI-Verordnung
In Art. 4 der KI-Verordnung (KI-VO) wird vorgeschrieben, dass Unternehmen, die KI-Systeme entwickeln oder einsetzen, eine sog. KI-Kompetenz umsetzen müssen (wir hatten bereits hierzu berichtet). In der vorgenannten Norm heißt es wörtlich:
„Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.“
Eine weitere Präzisierung findet sich in Art. 3 Nr. 56 KI-VO, wonach der Begriff der KI-Kompetenz wie folgt definiert wird:
„„KI-Kompetenz“ die Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden.“
Während die Verpflichtung zur Umsetzung der KI-Kompetenz bereits seit dem 2. Februar 2025 Gültigkeit beansprucht, sind Überwachungsmaßnahmen ab dem 3. August 2026 vorgesehen.
Die Europäische Kommission hat nunmehr per Datum 12. Mai 2025 ein FAQ veröffentlicht, in dem sich wichtige Hinweise zu Art, Reichweite und auch zur Sanktionierung (!) dieser Pflicht nach der KI-VO auffinden lassen. Da sich viele Unternehmen mit der Umsetzung der KI-Kompetenz schwertun, möchten wir das FAQ zum Anlass nehmen, einen kurzen Überblick zu den Ausführungen zu Art. 4 KI-VO zu vermitteln.
Kernaussagen zur KI-Kompetenz
- Bei Art. 4 KI-VO handelt es sich um eine gesetzliche Verpflichtung und nicht lediglich um eine Kür.
- Die Überwachung der KI-Kompetenz beginnt – wie bereits aufgezeigt – ab dem 3. August 2026. Obwohl die KI-VO selbst keinen Bußgeldtatbestand für die Nichtbeachtung der KI-Kompetenz vorhält, steht es den nationalen Marktüberwachungsbehörden (in Deutschland regelmäßig die Bundesnetzagentur) offen, eigene Sanktionen zu verhängen. Grundlage hierfür sind nationale Gesetze, die bis zum 2. August 2025 zu erlassen sind.
- Da – neben den eigenen Beschäftigten – auch „Personen, die [im] Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind“, von der Vorschrift adressiert werden, gilt der Aufbau der KI-Kompetenz bspw. auch für Auftragnehmer oder Dienstleister, die die KI-Systeme eines Unternehmens bedienen.
- Die Europäische Kommission hält ausdrücklich fest, dass Art. 4 KI-VO keine Verpflichtung dahingehend enthält, die KI-Kenntnisse der Beschäftigten gesondert zu messen. Ein „ausreichendes Maß“ an KI-Kompetenz müsse jedoch die technischen Kenntnisse, die Erfahrung, die Ausbildung und die Schulung der Beschäftigten berücksichtigen.
- Im FAQ wird ausdrücklich empfohlen, dass „zumindest“ (im Original: „as a minimum“) die folgenden To Dos abzuarbeiten sind:
- Es muss ein allgemeines Verständnis zu KI im Unternehmen aufgebaut werden. Dies setzt voraus, dass die Funktionsweise von KI sowie deren Einsatzfelder im Unternehmen aufgezeigt und die jeweiligen Chancen und Risiken erklärt werden.
- Es ist herauszuarbeiten, in welcher Rolle das Unternehmen beim Einsatz von KI auftritt (Anbieter oder Betreiber?).
- Die Risiken beim spezifischen Einsatz von KI sind zu analysieren und gegenüber den Beschäftigten zu kommunizieren.
- Die KI-Kenntnisse der Beschäftigten sind auf Basis der vorangegangenen Analyse zu konkretisieren, wobei insbesondere die unterschiedlichen Erfahrungsstände sowie der Kontext des KI-Einsatzes zu berücksichtigen sind.
- Die Europäische Kommission stellt ausdrücklich klar, dass die KI-Kompetenz – neben rein technischen Aspekten – auch rechtliche, ethische und Aspekte der Governance beinhaltet. Unternehmen sollten daher ein ausgewogenes Konzept zur Sicherstellung der KI-Kompetenz erarbeiten, in welchem die o.g. Arbeitsschritte und Inhalte abgebildet sind.
- Bei der Frage, ob die KI-Kompetenz stets durch Schulungsmaßnahmen umzusetzen sei, stellt die Europäische Kommission auf die vorstehenden Erwägungen ab. Sofern bspw. ein Hochrisiko-KI-System im Unternehmen eingesetzt wird, kann es unzureichend sein, Beschäftigte lediglich mit der Gebrauchsanweisung des KI-Systems „abzuspeisen“. Auch bei der KI-Kompetenz folgt die KI-VO somit einem risikobasierten Ansatz. Je mehr Risiken von einem KI-System ausgehen, oder je breiter der konkrete Einsatzzweck ist, desto eher wird eine gezielte Schulungsmaßnahme ratsam sein. Nach unserer Erfahrung sollte hierbei zudem zwischen verschiedenen Nutzerklassen (bspw. temporäre Nutzer contra Key-User) unterschieden werden.
- Beim Einsatz von generativen KI-Systemen (bspw. ChatGPT oder MS Copilot) sollten jedenfalls spezifische Risiken aufgezeigt werden, wozu bspw. Halluzinationen oder Trainings-Bias gehören können.
Praxishinweis
Der Aufbau der KI-Kompetenz ist aus gleich mehreren Gründen wichtig. Einerseits ist sie in Art. 4 KI-VO als gesetzliche Pflicht festgehalten und kann auf Basis – noch zu erlassender – nationaler Gesetze sanktioniert werden. Soweit also bislang die Aussage getroffen wurde, dass es sich um eine „sanktionslose“ Pflicht handelt, ist dies aktuell (noch) zutreffend, kann sich in Zukunft jedoch als überholt herausstellen. Darüber hinaus dient der Aufbau der KI-Kompetenz auch der Enthaftung der Geschäftsführung, da die Nichtbeachtung dieser gesetzlichen Vorgaben jedenfalls als Verstoß gegen Sorgfaltspflichten anzusehen wäre.
Unternehmen sollten sich daher zeitnah mit den Anforderungen der KI-Kompetenz auseinandersetzen und jedenfalls ein erstes Konzept für deren Umsetzung erarbeiten.
Weitere Informationen zu den konkreten inhaltlichen Anforderungen der KI-Kompetenz können dem oben verlinkten FAQ der Europäischen Kommission entnommen werden. Wir unterstützen gerne bei der Vorbereitung und Umsetzung der erforderlichen Schritte und verweisen hierbei nochmal gerne auf unser Inhouse-Training KI, in welchem wir gemeinsam mit unserem Kooperationspartner Genow.ai die technischen und rechtlichen Grundzüge beim Einsatz von KI aufzeigen.
Kommen Sie gerne jederzeit auf uns zu. Wir freuen uns darauf, Sie beim rechtskonformen Einsatz von KI zu unterstützen!
Bundesarbeitsgericht setzt neue Konturen für Schadensersatzansprüche nach der DS-GVO
Das Bundesarbeitsgericht (BAG) hat sich in einem aktuellen Urteil vom 20.02.2025 (Az.: 8 AZR 61/24) erneut mit den Voraussetzungen für immaterielle Schadensersatzansprüche nach der Datenschutzgrundverordnung (DS-GVO) auseinandergesetzt. Da gerade immaterielle Schadensersatzansprüche mit einer Vielzahl an Rechtsfragen einhergehen, möchten wir das Urteil des BAG zum Anlass nehmen, die Praxisrelevanz dieser Fragen nochmal aufzuzeigen und die Ausführungen des BAG in die bisherige Rechtsprechung einzuordnen.
Auch wenn sich das BAG letztlich nicht im Detail mit dem etwas komplizierten Sachverhalt sowie den damit einhergehenden Rechtsfragen rund um die Auskunftserteilung gemäß Art. 15 DS-GVO auseinanderzusetzen hatte, sollen nachstehend auch die wesentlichen Eckdaten des Falls aufgezeigt werden. Gerade die erstinstanzliche Entscheidung des Arbeitsgerichts Duisburg zeigt eindrucksvoll auf, wie vermeidbarer „Ärger“ aufgrund einer fehlerhaften Auskunftserteilung entstehen kann.
1. Zum Sachverhalt
Mit einem Schreiben vom 01.10.2022 forderte ein Arbeitnehmer seinen ehemaligen Arbeitgeber dazu auf, ihm bis zum 16.10.2022 Auskunft und Datenkopie auf der Grundlage von Art. 15 DSGVO zu erteilen. Die vorgenannte Norm verpflichtet den Verantwortlichen (hier: den Arbeitgeber) zur Bereitstellung umfassender Informationen zur Datenverarbeitung. Nach Art. 15 Abs. 1 DS-GVO beinhaltet die Auskunft insbesondere Informationen zu den verarbeiteten Daten, den Verarbeitungszwecken, den Empfängern von personenbezogenen Daten sowie zur Dauer der Datenverarbeitung. Nach Art. 15 Abs. 3 DS-GVO kann der Betroffene zudem eine „Kopie“ seiner personenbezogenen Daten verlangen. Das Auskunftsrecht soll es Betroffenen insbesondere ermöglichen, die Rechtmäßigkeit der Datenverarbeitung zu bewerten und ggf. weitergehende Ansprüche (etwa das Recht auf Löschung aus Art. 17 DS-GVO) geltend zu machen.
Als der Arbeitgeber auf das erste Schreiben nicht innerhalb der gesetzten Frist reagierte, erinnerte der Arbeitnehmer mit Schreiben vom 21.10.2022 an die gewünschte Auskunft mit weiterer Fristsetzung bis zum 31.10.2022. Mit Schreiben vom 27.10.2022 – also bis dato noch innerhalb der in Art. 12 Abs. 3 DS-GVO genannten Monatsfrist – erteilte der Arbeitgeber sodann eine erste Auskunft und Kopie der noch bei ihm gespeicherten Daten. Mit Schreiben vom 04.11.2022 wies der betroffene Arbeitnehmer jedoch darauf hin, dass die erteilte Auskunft nicht nur verspätet, sondern auch inhaltlich mangelhaft erfolgt sei. Es fehle an konkreten Angaben zur Dauer der Datenspeicherung, die Empfänger der Daten seien nicht namhaft benannt und die Datenkopie sei unvollständig. Mit Schreiben vom 11.11.2022 bat der Arbeitgeber den Betroffenen sodann, sein Auskunftsersuchen zu den Empfängern von Daten sowie zu den Angaben zur Speicherdauer weiter zu spezifizieren. Mit Schreiben vom 18.11.2022 wies der betroffene Arbeitnehmer sodann darauf hin, dass alle konkreten Empfänger seiner Daten mitzuteilen seien und dass auch die Speicherdauer der Datenverarbeitung vollständig anzugeben sei.
Erst mit Schreiben vom 01.12.2022 – und somit zwei Monate nach erstmaliger Aufforderung zur Auskunft – nahm der Arbeitgeber sodann nochmals Stellung nebst weiterer Konkretisierung der bislang noch offenen Informationen. Jedenfalls mit diesem letzten Schreiben des Arbeitgebers waren sämtliche Auskünfte gemäß Art. 15 DS-GVO vollständig erteilt.
2. Die Entscheidungen in den vorherigen Instanzen
Das Arbeitsgericht Duisburg gab dem Kläger in erster Instanz noch Recht und verurteilte den Arbeitgeber zur Zahlung von 10.000 Euro Schadensersatz (Urteil vom 26.09.2024, Az. 3 Ca 77/24). Das ArbG stellte hierbei klar, dass allein die nicht unverzügliche (also ohne schuldhaftes Verzögern erfolgende) Auskunft ausreiche, um einen immateriellen Schadensersatzanspruch zu begründen. Der Arbeitgeber habe insbesondere nicht dargelegt, warum er fast vier Wochen für die erstmalige Auskunftserteilung benötigt habe, obwohl sämtliche Daten des Klägers bereits zwei Jahre zuvor – infolge eines Auskunftsersuchen des betroffenen Arbeitnehmers aus dem Jahr 2020 – aufbereitet und zusammengetragen worden seien. Darüber hinaus sei jedenfalls die Auskunft über die konkreten Empfänger der verarbeiteten Daten sowie die Angabe der Speicherdauer außerhalb der in Art. 12 Abs. 3 DS-GVO genannten Monatsfrist und daher verspätet erteilt worden.
In der durch den Arbeitgeber eingelegten Berufung lehnte das Landesarbeitsgericht Düsseldorf einen entsprechenden Anspruch auf Schadensersatz ab und begründete seine Entscheidung u.a. damit, dass es bei einer verspäteten oder unvollständigen Datenauskunft bereits an einer Datenverarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO fehle (Urteil vom 28.11.2023, Az. 3 Sa 285/23). Daneben habe es der betroffene Arbeitnehmer jedenfalls versäumt, einen immateriellen Schaden hinreichend substantiiert darzulegen. Das LAG Düsseldorf führt in seiner Urteilsbegründung unter Randziffer 42 wörtlich aus:
„Dabei genügen – auch wenn ein Kontrollverlust einen immateriellen Schaden an sich durchaus zu begründen vermag, wie sich bereits aus den Erwägungsgründen 75 und 85 zur DSGVO ergibt – keine Pauschalbehauptungen und Allgemeinplätze, vielmehr ist nachvollziehbar zu begründen, worin der immaterielle Schaden bestehen soll. Soll der behauptete Schaden – wie hier geltend gemacht – in einem „Regelschaden“ des Kontrollverlustes bestehen, ist über das Regelhafte hinaus gleichwohl individuell zu begründen, welchen konkreten Kontrollverlust der Kläger befürchtet. Anderenfalls bliebe es bei bloßen Leerformeln.“
3. Die Entscheidung des BAG
Das Urteil des BAG vom 20.02.2025 bestätigt die Entscheidung des LAG Düsseldorf und verneint den Schadensersatzanspruch des betroffenen Arbeitnehmers nunmehr endgültig. Das BAG begründet seine Entscheidung damit, dass der Kläger seinen Schaden nicht hinreichend dargelegt habe und das bloße Störgefühl sowie der lediglich gefühlte Kontrollverlust über die personenbezogenen Daten nicht ausreiche, um einen Schadensersatzanspruch nach Art. 82 DS-GVO zu begründen. Der geltend gemachte Schaden müsse demgegenüber objektiv nachweisbar sein und nicht lediglich auf subjektiven Empfindungen – wie dem bloßen Gefühl eines Kontrollverlusts – beruhen. Das BAG führt unter Randziffer 17 seiner Urteilsbegründung wörtlich aus:
„Unter einem Kontrollverlust versteht der Gerichtshof der Europäischen Union (im Folgenden Gerichtshof) daher nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt (vgl. BSG 24. September 2024 - B 7 AS 15/23 R - Rn. 31). Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann. […]
Je gravierender die Folgen eines Verstoßes gegen die Datenschutz-Grundverordnung sind, desto näher liegt eine begründete Befürchtung des Datenmissbrauchs. So wird die Veröffentlichung von sensiblen Daten im Internet aufgrund eines Datenlecks typischerweise eine Grundlage für solche Befürchtungen darstellen. Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft.“
Nach Ansicht des BAG müssen daher stets objektivierbare Umstände vorgetragen werden, um einen immateriellen Schadensersatzanspruch zu begründen. Das BAG unterscheidet hierbei nach Situationen, in denen „typischerweise“ ein Kontrollverlust zu bejahen ist, und Situationen, die kein entsprechendes Missbrauchspotenzial aufweisen.
Das BAG ist ebenfalls auf „einen [denkbaren] Schaden in Form von negativen Gefühlen“ infolge der verspäteten Auskunftserteilung eingegangen und hat die bisherigen Ausführungen unter Randziffer 21 weiter präzisiert:
„Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus. Dies mag sich mit der Revision als eine besondere Form des Kontrollverlusts darstellen, kann aber auch als eigenständige Fallgruppe verstanden werden. Letztlich ist diese Frage der Einordnung nicht entscheidungserheblich. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO - so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte - zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos.“
Dreh- und Angelpunkt der Entscheidung des BAG ist damit das Vorliegen eines tatsächlichen Schadens sowie die Anforderungen an dessen Substantiierung.
4. Ein Vergleich zur bisherigen Rechtsprechung des BGH
Das BAG setzt sich mit seinem jüngsten Urteil vermeintlich in einen gewissen Konflikt zur bisherigen Rechtsprechung des Bundesgerichtshofs (BGH). Der BGH hatte sich bereits wiederholt mit Schadensersatzansprüchen nach der DS-GVO befasst und hierbei Konturen für die Geltendmachung eines immateriellen Schadens aufgestellt. So hatte der BGH in einem Leitentscheidungsverfahren bereits geurteilt, dass ein behaupteter Kontrollverlust über die eigenen Daten ausreichen kann, um einen Schadensersatzanspruch aus Art. 82 DS-GVO zu begründen (Urteil vom 18.11.2024, Az. VI ZR 10/24). Im konkreten Fall ging es jedoch um ein – auch im Urteil des BAG aufgegriffenes – Datenleck bei Facebook, das zur unberechtigten Veröffentlichung von personenbezogenen Daten führte. Dennoch stellte der BGH hierbei klar, dass ein behaupteter Kontrollverlust weder ein besonderes Gewicht aufweisen, noch weiter objektivierbar sein müsse. Diese grundlegende Auffassung des BGH wurde in einem weiteren Urteil nochmals bestätigt, wobei es in diesem Fall um Verstöße bei der Ausgestaltung von Zugriffsrechten in die Personalakte ging (Urteil vom 11.02.2025, Az. VI ZR 365/22). Der BGH argumentierte in der vorgenannten Entscheidung, dass der Schaden bereits im vorübergehenden Verlust der Kontrolle über die personenbezogenen Daten liege, ohne dass eine weiter benennbare Persönlichkeitsrechtsverletzung vorliegen müsse.
5. Bedeutung für die Praxis
Nach unserer Einschätzung steht das Urteil des BAG bei genauerem Hinsehen in keinem direkten Widerspruch zur bisherigen Rechtsprechung des BGH. Das BAG hat lediglich zutreffend herausgearbeitet, dass in dem von ihm zu entscheidenden Fall relevante Unterschiede zu den bisherigen Fallkonstellationen vor dem BGH vorlagen, die eine abweichende rechtliche Wertung zulassen. So spielt es eine entscheidende Rolle, ob bspw. ein Datenleck vorliegt, infolge dessen Daten tatsächlich gegenüber unbefugten Dritten offengelegt werden, oder es sich „nur“ um eine verspätete und/oder unvollständige Auskunftserteilung handelt. Während in den vom BGH zu entscheidenden Sachverhalten Umstände vorgetragen wurden, die – nach Ansicht des BAG – die Befürchtung eines Kontrollverlustes „typischerweise“ zulassen, handelt es sich bei der verspäteten Auskunft lediglich um einen (formellen) Verstoß gegen datenschutzrechtliche Vorgaben. Weitergehende Umstände, die einen Kontrollverlust als immateriellen Schaden rechtfertigen, wurden in dem vom BAG zu entscheidenden Fall gerade nicht vorgetragen.
Es muss somit genau im Auge behalten werden, wie das BAG urteilt und seine künftigen Entscheidungen begründet, wenn es einen Sachverhalt zu entscheiden hat, der denjenigen vor dem BGH gleicht. Sehr aktuell hat das BAG etwa einem Arbeitnehmer einen immateriellen Schadensersatz in Höhe von 200 EUR infolge eines Kontrollverlustes zugesprochen (Urteil vom 08.05.2025, Az.: 8 AZR 209/21 – vgl. die bislang lediglich veröffentlichte Pressemitteilung). Das BAG hatte hier über eine Konstellation zu entscheiden, bei welcher personenbezogene Daten eines Arbeitnehmers bei der Nutzung der Personalverwaltungssoftware „Workday“ innerhalb eines Konzerns übermittelt wurden, ohne dass insoweit eine datenschutzrechtliche Rechtsgrundlage vorlag. Die Konstellation gleicht den Fallgestaltungen vor dem BGH, da es wiederum um eine – objektiv nachweisbare – Datenweitergabe an Dritte geht. Auch wenn die Urteilsgründe bislang nicht vorliegen, ist davon auszugehen, dass das BAG in dieser Konstellation „typischerweise“ von einem Kontrollverlust ausgegangen ist.
Hinweis: Wir werden die Entscheidung des BAG vom 08.05.2025 nochmal aufgreifen, sobald die Urteilsgründe vorliegen.
Die Aussagen des BAG per Urteil vom 20.02.2025 dürfen daher keinesfalls pauschal dahingehend verstanden werden, dass der bloße Kontrollverlust nicht als immaterieller Schaden im Sinne des Art. 82 DS-GVO anzusehen ist. Die Entscheidung des BAG fügt sich letztlich in die bisherige Praxis ein, wonach es stets auf die konkreten Umstände des Einzelfalls ankommt.
Das aktuelle Urteil des BAG ist für Arbeitgeber dennoch positiv zu bewerten und dementsprechend zu begrüßen. Es setzt klare Grenzen für Betroffene und erhöht die Anforderungen für die Geltendmachung von immateriellen Schadensersatzansprüchen nach der DS-GVO. Die Rechtsauffassung des BAG ist unseres Erachtens nachvollziehbar und entspricht den allgemeinen Anforderungen der Zivilprozessordnung. Wollte man jedwede subjektive Empfindung für das Vorliegen eines immateriellen Schadens ausreichen lassen, gäbe es keine greifbaren Hürden mehr für die Geltendmachung eines entsprechenden Schadensersatzanspruchs.
Auch wenn sich das BAG – aufgrund der fehlenden Darlegung der angeblich entstandenen Schäden – nicht im Detail mit der verspäteten Auskunftserteilung auseinandersetzen musste, sollte der Sachverhalt dennoch zum Anlass genommen werden, auch das äußert praxisrelevante Beschwerdemanagement im Unternehmen nochmal genauer unter die Lupe zu nehmen. Es muss als Mindestanforderung verstanden werden, dass Unternehmen über fest etablierte Prozesse und Muster-Dokumente verfügen, welche einerseits die Anforderungen der DS-GVO abbilden und andererseits eine fristgemäße Erfüllung von Betroffenenrechten ermöglichen. Gerne stehen wir Ihnen hierbei zur Verfügung.
BFH: Anwendung der Escape-Klausel auf Familienstiftungen außerhalb der EU / des EWR
Der Bundesfinanzhof (BFH) hat mit am 24.04.2025 veröffentlichtem Urteil vom 3.12.2024 (Az.: IX R 32/22) entschieden, dass sich nicht nur Familienstiftungen mit Sitz in der Europäischen Union (EU) bzw. dem Europäischen Wirtschaftsraum (EWR) auf die Ausnahme von der Zurechnungsbesteuerung berufen können, sondern auch Familienstiftungen mit Sitz in Drittländern.
Einführung
Neben inländischen Familienstiftungen sind auch ausländische Familienstiftungen ein beliebtes Gestaltungsvehikel in der Nachfolgeplanung, um das Familienvermögen generationsübergreifend zu erhalten. Um allerdings zu verhindern, dass zum Zweck der Steuervermeidung oder gar Steuerflucht ausländische Familienstiftungen gegründet werden, sieht das deutsche Außensteuergesetz (AStG) die sog. Zurechnungsbesteuerung vor (§ 15 Abs. 1 AStG). Danach werden grundsätzlich das Vermögen und die Einkünfte einer ausländischen Familienstiftung dem in Deutschland unbeschränkt steuerpflichtigen Stifter, ersatzweise den unbeschränkt steuerpflichtigen Bezugs- / Anfallsberechtigten ertragsteuerlich zugerechnet (§ 15 Abs. 1 und 2 AStG; sog. Zurechnungsbesteuerung).
Die Zurechnungsbesteuerung findet jedoch nicht statt, wenn nachgewiesen wird, dass das Stiftungsvermögen dem Stifter und dessen Angehörigen rechtlich und tatsächlich entzogen ist und zwischen der Bundesrepublik Deutschland und dem Sitzstaat der Familienstiftung ein zwischenstaatlicher Informationsaustausch stattfindet (§ 15 Abs. 6 AStG; sog. Escape-Klausel). Weiteres Tatbestandsmerkmal dieser Escape-Klausel ist , dass die ausländische Familienstiftung ihre „Geschäftsleitung oder [ihren] Sitz in einem Mitgliedstaat der Europäischen Union oder einem Vertragsstaat des EWR-Abkommens“ (§ 15 Abs. 6 AStG) hat.
Entscheidung
Diese Einschränkung der Escape-Klausel auf ausländische Familienstiftungen mit Sitz/Geschäftsleitung in der EU/dem EWR verstößt nach Auffassung des BFH gegen die Kapitalverkehrsfreiheit. „Denn die Kapitalverkehrsfreiheit gilt nicht nur zwischen den Mitgliedstaaten, sondern auch zwischen den Mitgliedstaaten und dritten Ländern (Art. 63 Abs. 1 AEUV). Zur Abwendung dieses Verstoßes gegen die Kapitalverkehrsfreiheit ist das „europarechtswidrige Tatbestandsmerkmal“ wegen des Anwendungsvorrangs des Unionsrechts nicht zu beachten […], so dass § 15 Abs. 6 [AStG] auch auf Familienstiftung mit Geschäftsleitung oder Sitz in einem Drittstaat Anwendung findet“ (BFH, Urt. v. 3.12.2024 – IX R 32/22, Rz. 59 f.).
Praxisrelevanz
Dieses Urteil ist für die Praxis grundsätzlich erfreulich, da es neue Gestaltungsmöglichkeiten eröffnet. Es könnte zum einen Relevanz für Schweizer Familienunterhaltsstiftungen haben, da derzeit die Aufhebung des Verbots von Familienunterhaltsstiftungen (Art. 335 ZGB) diskutiert und geprüft wird (vgl. Motion 22.4445 „Die Schweizer Familienstiftung stärken. Verbot der Unterhaltsstiftung aufheben“).
Zum anderen ist das Urteil für Begünstigte von intransparenten Trusts aus dem Common-Law-Raum relevant (vgl. BFH, Pressemitteilung vom 24.04.2025). Dies folgt daraus, dass sonstige Zweckvermögen, Vermögensmassen und rechtsfähige oder nichtrechtsfähige Personenvereinigungen den Familienstiftungen gleichgestellt werden (§ 15 Abs. 4 AStG). Hierunter fallen intransparente Trusts. Damit intransparente Trusts jedoch von der Escape-Klausel profitieren, muss nachgewiesen werden, dass deren Statuten die Vorgaben des § 15 Abs. 6 Nr. 1 AStG erfüllen. Dies dürfte bei sog. irrevocable discretionary Trusts der Fall sein, sofern der settlor (Errichter) und die beneficiaries (Begünstigte) vollständig von der Verfügungsmacht über das Trustvermögen ausgeschlossen sind.
Es bleibt abzuwarten, wie die unterlegene Finanzverwaltung auf dieses Urteil reagiert.
KI Flash: Konsultation des AI Office zur Vorbereitung von Leitlinien für GPAIM
Nachdem wir in unserem letzten KI-Flash über Zurechnungsfragen beim Einsatz von KI-Tools berichtet haben, möchten wir Ihnen auch weiterhin in regelmäßigen Abständen rechtliche Impulse mit auf den Weg geben.
Heutiges Thema: Konsultation des AI Office zur Vorbereitung von Leitlinien für GPAIM
Das AI Office der Europäischen Kommission hat per Datum vom 22. April 2025 eine Konsultation zur Vorbereitung von Leitlinien für GPAIM gestartet (siehe hier die offizielle Pressemitteilung). Hintergrund der Konsultation sind die Vorschriften der Art. 51 ff. der KI-Verordnung (KI-VO), die die Entwicklung von KI-Modellen mit allgemeinem Verwendungszweck (GPAIM) regulieren und ab dem 02. August 2025 Gültigkeit beanspruchen.
Ziel der Konsultation ist es, Steakholder mit einschlägigem Fachwissen und Expertise (bspw. Industrieverbände und Anbieter von GPAIM) in den Prozess der Ausarbeitung von Leitlinien einzubeziehen. Die Konsultation läuft bis zum 22. Mai 2025, während eine Veröffentlichung der finalisierten Leitlinien für Mai oder Juni 2025 geplant ist. Die Leitlinien sollen den sich derzeit ebenfalls in der Konsultation befindlichen Praxisleitfaden (vgl. Art. 56 KI-VO) ergänzen und eine weitere Hilfestellung für die Praxis bieten.
Auch wenn die aktuellen Arbeitsdokumente des AI Office naturgemäß noch nicht finalisiert wurden, und eine verbindliche Auslegung der KI-VO stets dem Europäischen Gerichtshof (EuGH) obliegt, lassen sich bereits einige rechtliche Einordnungen des AI Office ableiten, die im vorliegenden KI-Flash vorgestellt werden sollen.
Wann ist ein KI-Modell ein GPAIM?
Bei der Frage, ob ein KI-Modell als GPAIM anzusehen ist, kommt es primär darauf an, ob es “eine erhebliche allgemeine Verwendbarkeit aufweist und in der Lage ist, unabhängig von der Art und Weise seines Inverkehrbringens ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen“. Die Klärung dieser Anforderungen ist von grundlegender Bedeutung, da nur KI-Modelle, die als GPAIM einzustufen sind, den Anforderungen der KI-VO unterliegen.
Das AI Office geht aktuell davon aus, dass ein KI-Modell, das Text und/oder Bild erzeugen kann, dann als GPAIM anzusehen ist, sofern seine Trainingsberechnung 10^22 FLOPs (=Gleitkommaoperationen) übersteigt. Gemäß Art. 3 Nr. 67 KI-VO handelt es sich bei Gleitkommaoperationen um
„jede Rechenoperation oder jede Zuweisung mit Gleitkommazahlen, bei denen es sich um eine Teilmenge der reellen Zahlen handelt, die auf Computern typischerweise durch das Produkt aus einer ganzen Zahl mit fester Genauigkeit und einer festen Basis mit ganzzahligem Exponenten dargestellt wird;“
KI-Modelle, die weder Text noch Bild erzeugen, können als GPAIM eingestuft werden, wenn sie einen Grad an Allgemeinheit aufweisen, der mit den vom AI Office primär in den Blick genommenen KI-Modellen zur Generierung von Bild und/oder Text vergleichbar ist.
Die Arbeitsdokumente des AI Office beinhalten verschiedene Berechnungsmöglichkeiten nebst dazugehörigen Beispielen, anhand derer die Schätzung der Anzahl vom FLOPs vorgenommen werden kann. Es wird insbesondere zwischen einem hardware-basierten Ansatz und einem architekturbasierten Ansatz unterschieden. Anbietern von KI-Modellen soll es dabei grundsätzlich möglich sein, zwischen beiden Berechnungsmethoden frei auszuwählen, wobei weitergehende Anforderungen zur Art sowie zum Zeitpunkt der Berechnung aufgestellt werden.
Wichtig ist, anzumerken, dass die Vermutungsregeln anhand des o.g. Schwellenwertes ausdrücklich widerlegbar sind. Wenn die Trainingsberechnung den o.g. Schwellenwert erreicht, wird somit zunächst davon ausgegangen, dass das KI-Modell über eine ausreichende Allgemeinheit verfügt, um als GPAIM eingestuft zu werden. Dies gilt jedoch nur dann, sofern keine gegenteiligen Anhaltspunkte vorliegen. Ob ein KI-Modell eine ausreichende Allgemeingültigkeit aufweist und in der Lage ist, ein breites Spektrum unterschiedlicher Aufgaben kompetent auszuführen, hängt nach den Ausführungen des AI Office nicht nur von der Trainingsberechnung ab, sondern auch von der Modalität sowie weiteren Merkmalen der für das Training verwendeten Daten. Nach den Ausführungen des AI Office sollte bspw. ein KI-Modell, das nur für die Transkription von Sprache geeignet ist, nicht als GPAIM anzusehen sein, selbst wenn seine Trainingsberechnung den o.g. Schwellenwert erreichen.
Unterscheidung zwischen KI-Modell und Modellversion
Da GPAIM laut Erwägungsgrund 97 KI-VO “weiter geändert oder zu neuen Modellen verfeinert werden” können, stellt sich insbesondere beim sog. Fine-Tuning die Frage, wo genau die Grenze zur Entwicklung eines (neuen) eigenständigen GPAIM liegt. Die Frage war bereits Gegenstand einer Vielzahl an Diskussionen, wobei unterschiedliche Merkmale zur Abgrenzung herangezogen werden.
Das AI Office geht aktuell davon aus, dass Änderungen an einem KI-Modell nur dann als eigenständige Entwicklung anzusehen sind, wenn die Änderungen mehr als ein Drittel der Rechenleistung in Anspruch nehmen, die für die Einstufung des Modells als GPAIM erforderlich ist. Dies bedeutet, dass die Rechenleistung beim Fine-Tuning den Wert 3 * 10^21 FLOPs übersteigen müsste, um eine Klassifizierung des geänderten KI-Modells zu einem (neuen) GPAIM zu rechtfertigen. Weiterentwicklungen, die unterhalb der vorgenannten Schwelle liegen, sollen demgegenüber lediglich als neue Modellversion eingestuft werden.
Die Frage, ob es sich um eine eigenständige Entwicklung eines GPAIM, oder nur um die Schaffung einer neuen Modellversion handelt, spielt auch bei der Bestimmung der einschlägigen Pflichten eine entscheidende Rolle. Ausweislich Erwägungsgrund 109 KI-VO „sollten die Pflichten der Anbieter von KI-Modellen mit allgemeinem Verwendungszweck auf diese Änderung oder Feinabstimmung beschränkt sein, indem beispielsweise die bereits vorhandene technische Dokumentation um Informationen über die Änderungen, einschließlich neuer Trainingsdatenquellen, ergänzt wird, um die in dieser Verordnung festgelegten Pflichten in der Wertschöpfungskette zu erfüllen.“
Der Ansatz des AI Office zur Grenzziehung ist sehr „technisch“, im Ergebnis jedoch konsequent. In den Arbeitsdokumenten des AI Office wird ausdrücklich darauf hingewiesen, dass die Trainingsberechnung zwar nur als ein unvollkommener Indikator zur Bestimmung von GPAIM anzusehen ist, derzeit jedoch das größte Maß an Rechtssicherheit bietet. Das AI Office weist in seinen Arbeitsdokumenten jedoch ausdrücklich darauf hin, dass die herangezogenen Schwellenwerte sowie deren Berechnung künftig ggf. nochmal angepasst werden (müssen).
Wer ist Anbieter des GPAIM?
Aus praktischer Sicht von besonderer Bedeutung ist zudem die Frage, wer als Anbieter eines GPAIM in Betracht kommt und daher die Pflichten der Art. 51 ff. KI-VO umsetzen muss.
Bei der Frage, ob ein Unternehmen als Anbieter eines GPAIM anzusehen ist, muss das jeweilige GPAIM gerade durch das Unternehmen in Verkehr gebracht werden. Nach Art. 3 Nr. 9 KI-VO handelt es sich hierbei um die erstmalige Bereitstellung des GPAIM auf dem Unionsmarkt, wobei das GPAIM entgeltlich oder unentgeltlich im Rahmen einer Geschäftstätigkeit „abgegeben“ werden muss. Das Inverkehrbringen nimmt daher primär die Breitstellung des GPAIM gegenüber – aus Sicht des Anbieters – externen Dritten in den Blick, sodass die rein interne Nutzung von KI-Modellen zumindest nicht schwerpunktmäßig erfasst wird. In Erwägungsgrund 97 der KI-VO heißt es jedoch wörtlich:
„Diese Verordnung enthält spezifische Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck und für KI-Modelle mit allgemeinem Verwendungszweck, die systemische Risiken bergen; diese sollten auch gelten, wenn diese Modelle in ein KI-System integriert oder Teil davon sind. Es sollte klar sein, dass die Pflichten für die Anbieter von KI-Modellen mit allgemeinem Verwendungszweck gelten sollten, sobald die KI-Modelle mit allgemeinem Verwendungszweck in Verkehr gebracht werden. Wenn der Anbieter eines KI-Modells mit allgemeinem Verwendungszweck ein eigenes Modell in sein eigenes KI-System integriert, das auf dem Markt bereitgestellt oder in Betrieb genommen wird, sollte jenes Modell als in Verkehr gebracht gelten und sollten daher die Pflichten aus dieser Verordnung für Modelle weiterhin zusätzlich zu den Pflichten für KI-Systeme gelten. Die für Modelle festgelegten Pflichten sollten in jedem Fall nicht gelten, wenn ein eigenes Modell für rein interne Verfahren verwendet wird, die für die Bereitstellung eines Produkts oder einer Dienstleistung an Dritte nicht wesentlich sind, und die Rechte natürlicher Personen nicht beeinträchtigt werden. Angesichts ihrer potenziellen in erheblichem Ausmaße negativen Auswirkungen sollten KI-Modelle mit allgemeinem Verwendungszweck mit systemischem Risiko stets den einschlägigen Pflichten gemäß dieser Verordnung unterliegen.“
Diese Systematik (bestehend aus Ausnahmen und Rückausnahmen) muss daher in jedem Einzelfall geprüft werden. Nur auf diese Weise kann mit Gewissheit festgestellt werden, ob eine Anbietereigenschaft auch bei rein interner Nutzung des GPAIM in Betracht kommt. Details hierzu werden in den aktuellen Arbeitspapieren des AI Office noch nicht abgebildet, weshalb die weiteren Entwicklungen im Blick behalten werden müssen.
Das AI Office hat jedoch bereits einige Beispiele entwickelt, bei deren Vorliegen vom Inverkehrbringen des GPAIM auszugehen sein soll:
- Breitstellung des GPAIM über eine Programmierbibliothek
- Bereitstellung des GPAIM über eine Programmierschnittstelle (API)
- Bereitstellung des GPAIM zum direkten Download
- Breitstellung einer physischen Kopie des GPAIM oder Upload des GPAIM auf die eigene Infrastruktur eines Dritten
- Integration des GPAIM in einen Chatbot, der auf einer öffentlichen Webseite oder in einer App abrufbar ist
- Integration des GPAIM in ein Produkt oder in eine Dienstleistung, die auf dem Markt angeboten wird
Ausnahmen bei Open Source
In Erwägungsgrund 102 KI-VO wird festgehalten, dass für „Anbieter von KI-Modellen mit allgemeinem Verwendungszweck, die im Rahmen einer freien und quelloffenen Lizenz freigegeben werden und deren Parameter, einschließlich Gewichte, Informationen über die Modellarchitektur und Informationen über die Modellnutzung, öffentlich zugänglich gemacht werden, […] Ausnahmen in Bezug auf die Transparenzanforderungen für KI-Modelle mit allgemeinem Verwendungszweck gelten [sollten], es sei denn, sie können als Modelle gelten, die ein systemisches Risiko bergen“. Die KI-VO sieht daher für gewisse Anbieter von GPAIM – welche kein systemisches Risiko aufweisen – Ausnahmen bei der Bestimmung der einschlägigen Pflichten vor.
Um in den Genuss von Ausnahmeregelungen zu kommen, müssen Anbieter von GPAIM nach den Ausführungen des AI Office folgende Bedingungen erfüllen:
- Das GPAIM wird unter einer freien und quelloffenen Lizenz veröffentlicht, die den Zugang, die Nutzung, die Veränderung und die Verbreitung des KI-Modells erlaubt;
- Die Parameter, einschließlich die Gewichte, die Informationen über die Modellarchitektur und die Informationen über die Verwendung des KI-Modells werden öffentlich zugänglich gemacht;
- Das GPAIM unterliegt keinem systemischen Risiko.
Zu sämtlichen der genannten Anforderungen werden in den Arbeitspapieren des AI Office bereits weiterführende Erläuterungen vorgenommen.
Bedeutung von Praxisleitfäden und Stellung des AI Office
Das AI Office geht in seinem Arbeitspapier zudem kurz auf die Bedeutung von Praxisleitfäden und seiner eigenen Stellung als Aufsichtsbehörde ein.
Das AI Office ist für die Prüfung der Anforderungen für Anbieter von GPAIM zuständig (vgl. Art. 88 KI-VO). Gleiches gilt für Anbieter von KI-Systemen, die technische auf einem GPAIM aufbauen, sofern es sich in beiden Fällen um den gleichen Anbieter handelt (vgl. Art. 75 Abs. 1 KI-VO). Das AI Office führt selbst aus, dass es bei der Durchsetzung der KI-VO einen möglichst kooperativen und verhältnismäßigen Ansatz verfolgen möchte. Wie sich dies in der Praxis konkret auswirken wird, bleibt abzuwarten.
Gemäß Art. 53 Abs. 4 und Art. 55 Abs. 2 KI-VO stellt die Einhaltung von genehmigten Praxisleitfäden jedenfalls ein geeignetes Mittel dar, die Einhaltung der Anforderungen der KI-VO zu gewährleisten. Die Unterzeichnung entsprechender Praxisleitfäden soll daher insbesondere dem vereinfachten Nachweis dienen. Das AI Office weist ausdrücklich darauf hin, dass sich Unternehmen im Falle der Unterzeichnung eines Praxisleitfadens darauf verlassen können sollen, dass sich aufsichtsbehördliche Prüfungen auf die Einhaltung dieser Praxisleitfäden beschränken. Anbieter, die keinen entsprechenden Praxisleitfaden unterzeichnen, müssen demgegenüber durch andere angemessene, wirksame und verhältnismäßige Mittel nachweisen, dass sie die Anforderungen der KI-VO umsetzen.
Praxishinweis
Künstliche Intelligenz nimmt mehr und mehr an Bedeutung zu. Aus datenschutzrechtlicher Sicht wurden bereits vielfache Stellungnahmen der Datenschutzaufsichtsbehörden veröffentlicht, die sich sowohl mit der Entwicklung als auch mit dem Einsatz von KI beschäftigten. Auch der Europäische Datenschutzausschuss bezieht sich in seinem aktuellen Tätigkeitsbericht für das Jahr 2024 (veröffentlicht am 23. April 2025) mehrfach auf das Themenfeld KI. Durch die stufenweise Gültigkeit der KI-VO nehmen nun auch die (weiteren) regulatorischen Anforderungen an Fahrt auf.
Auch wenn das Themenfeld GPAIM – und ganz generell die Entwicklung von KI – häufig in den Verantwortungsbereich der Tech-Giganten verschoben wird, existiert eine Vielzahl an praxisrelevanten Konstellationen, in denen auch KMUs in die Rolle als Anbieter von KI schlüpfen können. Insbesondere beim Fine-Tuning von KI-Modellen sowie je nach Art und Weise der Nutzung von KI kann ein „Entwickeln“ und „Inverkehrbringen“ im Sinne der KI-VO in Betracht zu ziehen sein.
Unsere Empfehlung kann daher nur lauten, dass sich Unternehmen möglichst frühzeitig mit den regulatorischen Anforderungen auseinandersetzen und ein Konzept für die Entwicklung und den Einsatz von KI vorhalten. Die Deadline für GPAIM am 02. August 2025 rückt immer näher, sodass grundlegende Anforderungen – trotz teilweise bestehender Übergangsregelungen sowie Regelungen zum Bestandschutz – bereits jetzt bekannt sein sollten.
Kommen Sie im Falle von Fragen zum Entwickeln oder zum Einsatz von KI gerne auf uns zu!
Mögliche Änderungen im Beschaffungswesen - ein Überblick zum Inhalt des Koalitionsvertrages 2025
In der vergangenen Woche haben CDU, CSU und SPD den neuen Koalitionsvertrag vorgestellt. Dabei hat sich die Große Koalition auf diverse Maßnahmen geeinigt, die das öffentliche Beschaffungswesen beeinflussen sollen. Die Parteien möchten dabei u.a. das Vergaberecht an diversen Stellen vereinfachen und entbürokratisieren. Zudem soll die Umsetzung von großen Infrastrukturmaßnahmen gefördert werden.
Nach aktuellem Stand möchte die Große Koalition in der kommenden Legislaturperiode folgende Punkte in Angriff nehmen:
Vereinfachung des Vergaberechts
Nach dem Koalitionsvertrag soll das Vergaberecht an vielen Stellen auf nationaler Ebene vereinfacht werden. Auch sollen Änderungen auf europäischer Ebene angestoßen werden. Die Koalitionspartner bekräftigen dabei, dass auch künftig mittelständische Interessen weiterhin im Fokus stehen. Es sind u.a. folgende Maßnahmen geplant:
Anhebung der Wertgrenzen (Rz. 2069 ff):
Der aktuelle Stand des Koalitionsvertrages sieht eine Anhebung der Wertgrenzen für Direktaufträge bei Liefer- und Dienstleistungen auf 50.000 Euro (netto) an. Für innovative Start-ups soll die Wertgrenze 100.000 Euro (netto) betragen.
Erhöhung der Schwellenwerte für Planerleistungen (Rz. 2071 f):
Die Parteien möchten sich künftig eine maßvolle Erhöhung der Schwellenwerte und eine getrennte Betrachtung von Planungsleistungen einsetzen. Hintergrund hierfür dürfte die vielseitig kritisierte Streichung von § 3 Abs. 7 S. 2 VgV (a.F.) sein (weitere Informationen hier).
Sektorale Befreiungsmöglichkeiten (Rz. 20163 f):
Darüber hinaus möchten die künftigen Regierungsparteien sektorale Befreiungsmöglichkeiten vom Vergaberecht umsetzen. Hier bleibt abzuwarten, in welchem Umfang entsprechende Maßnahmen umgesetzt werden können, da gerade im Oberschwellenbereich die EU-rechtlichen Vorgaben grundsätzlich beachtet werden müssen.
Vereinfachungen hinsichtlich des Eignungsnachweises (Rz. 2082 f):
Die Koalitionspartner planen zugleich eine Entlastung der Bieter. Diese sollen ihre Eignung möglichst bürokratiearm, mittelstandsfreundlich und digital nachweisen können. Hierfür sollen u.a. geprüfte Systeme zum Einsatz kommen.
Wegfall der aufschiebenden Wirkung gegen Entscheidung der Vergabekammern (Rz. 2084 ff.):
Daneben plant die Koalition den Entfall der aufschiebenden Wirkung von Rechtsmitteln gegen Entscheidungen der Vergabekammern.
Dies könnte dazu führen, dass die Rechtsschutzmöglichkeiten der Bieter vor den Oberlandesgerichten erheblich eingeschränkt werden und die Vergabesenate an Bedeutung verlieren. Sollte dieses Vorhaben umgesetzt werden, so könnten die Bieter u.U. lediglich einen Antrag auf Feststellung der Rechtswidrigkeit des Vergabeverfahrens stellen. Der angegriffene Vertrag könnte allerdings bereits mit dem konkurrierenden Bieter geschlossen werden.
Die Einschränkung der Rechtsschutzmöglichkeiten könnte dabei erhebliche Auswirkungen auf die Fortentwicklung und Vereinheitlichung der Rechtsprechung der Vergabenachprüfungsinstanzen haben, da die Vergabesenate an Bedeutung verlieren könnten.
Einführung eines strategischen Beschaffungsmanagements
Darüber hinaus planen die Koalitionsparteien die Einführung eines strategischen Beschaffungsmanagements (Rz. 2077 ff). Dabei sollen Behörden sollen künftig auf Rahmenverträge anderer öffentlicher Dienststellen und auf zentrale Einkaufsplattformen zurückgreifen dürfen. Zugleich soll die Bestellplattform des Bundes (Kaufhaus des Bundes) als digitaler Marktplatz für Bund, Länder und Kommunen genutzt werden. Darüber hinaus soll der IT-Einkauf des Bundes künftig zentral gesteuert werden.
Förderung von Infrastrukturvorhaben (Infrastruktur-Zukunftsgesetz)
Nach dem Koalitionsvertrag (Rz. 1930 ff.) sollen zudem Regelungen geschaffen werden, die zu Vereinfachungen mit Blick auf die Umsetzung von Infrastrukturvorhaben aus dem Sondervermögen führen. Dies betrifft komplexe Infrastrukturvorhaben, wie die Errichtung von Brücken, Straßen und Schienen. Hierzu möchte die Große Koalition ein Gesetzespaket verabschieden, das Anpassungen in allen relevanten Rechtsgrundlagen sowohl oberhalb als auch unterhalb der EU-Schwellenwerte vorsieht.
Einführung eines Bundestariftreuegesetzes
Darüber hinaus soll die Tarifbindung weiterhin gestärkt werden. Vor diesem Hintergrund ist die Einführung des Bundestariftreuegesetzes (Rz. 553 f.) vorgesehen. Das Gesetz soll für Aufträge auf Bundesebene ab 50.000 Euro (netto) gelten. Für Start-ups, die innovative Leistungen erbringen, soll es ab einem Schwellenwert von 100.000 Euro (netto) greifen. Zugleich sollen die Nachweispflichten für mittelständische Unternehmen möglichst gering sein.
Beschaffungen im Rüstungsbereich
Die Koalition möchte zuletzt auch die Verteidigungsausgaben deutlich erhöhen. Vor diesem Hintergrund soll ein rechtlicher Rahmen zur Beschleunigung von Beschaffungsvorhaben der Bundeswehr geschaffen werden (Rz. 4207 ff.). Zugleich soll ein Bundeswehrinfrastrukturbeschleunigungsgesetz verabschiedet werden. Das Gesetz soll u.a. Ausnahmen hinsichtlich des Bau-, Umwelt- und Vergaberechts vorsehen. Dabei sollen die Belange der Gesamtverteidigung und militärischen Infrastrukturmaßnahmen künftig als überragendes öffentliches Interesse gelten und eine entsprechende Priorisierung erhalten.
Fazit
Der Koalitionsvertrag 2025 sieht eine Reihe von Maßnahmen vor. Abzuwarten bleibt, wann die mit der Umsetzung begonnen werden kann. Die Mitglieder der Parteien stimmen derzeit über den Koalitionsvertrag ab. Die Abstimmungsergebnisse werden bis Ende April erwartet. Zugleich wird der CDU-Kandidat Friedrich Merz voraussichtlich Anfang Mai zum Bundeskanzler gewählt.
Whitepaper: Verbotene KI-Praktiken - Leitlinien der Europäischen Kommission
Der Europäische Gesetzgeber verfolgt mit Einführung der KI-VO hehre Ziele: (i) die Verbesserung des Funktionierens des Binnenmarkts, (ii) die Unterstützung von Innovation und (iii) die Förderung der Einführung menschenbezogener und vertrauenswürdiger künstlicher Intelligenz (KI). Gleichzeitig gilt es, (iv) Gesundheit, (v) Sicherheit, (vi)Grundrechte, (vii) Demokratie, (viii) Rechtsstaatlichkeit und (ix) Umweltschutz vor den schädlichen Auswirkungen von KI-Systemen zu bewahren.
Dies soll mit einem risikobasierten Ansatz gelingen, aus dem sich ein umfangreicher Katalog an verbotenen Praktiken im KI-Bereich ergibt (Art. 5 KI-VO). Obwohl die Rechtsfolge von Art. 5 KI-VO ein Verbot darstellt, enthält sie einige unbestimmte Rechtsbegriffe. Gemäß Art. 96 KI-VO ist die Kommission daher verpflichtet durch Leitlinien einzelne Vorschriften näher zu konkretisieren. Rechtzeitig mit der Anwendbarkeit der KI-VO hinsichtlich des Verbotes des Art. 5 KI-VO am 2. Februar 2025 veröffentlichte die Europäische Kommission daher die Leitlinien zu den verbotenen Praktiken aus der KI-VO (→). Diese sind zwar nicht verbindlich, wirken jedoch mittels Definitionen und Ausführungen über Anwendungsverhältnisse auf eine wirksame Praxis hin.
Dieses Whitepaper fasst die Kernaussagen der Leitlinien zusammen, erläutert diese und die jeweiligen Vorschriften der KI-VO mit dem Ziel, die Auslegung und Anwendung des Art. 5 KI-VO zu vereinfachen.
SKW Schwarz unterstützt Forest Stewardship Council bei seinen Nachhaltigkeitsaussagen
München/Bonn, 15. April 2025
SKW Schwarz hat Forest Stewardship Council (FSC®), eines der weltweit größten Zertifizierungssysteme für nachhaltige Waldwirtschaft, bei der Umsetzung der Vorgaben der EU-Richtlinie zur Stärkung der Verbraucher für den ökologischen Wandel in das FSC System unterstützt.
Ein Expertenteam von SKW Schwarz mit Expertise in den Bereichen Nachhaltigkeitskommunikation, Wettbewerbsrecht und Green Claims hat das etablierte Zertifizierungssystem des FSC detailliert auf Compliance mit den Vorgaben der Richtlinie zur Stärkung der Verbraucher für den ökologischen Wandel (Empowering Consumers Directive, kurz „EmpCo“; Richtlinie (EU) 2024/825) hin geprüft. Damit wird es FSC seinen Kunden auch in Zukunft ermöglichen, Forstwirtschaft-basierte Produkte aus Materialien wie Holz, Papier, Gummi, die gemessen an den hohen Standards von FSC aus nachhaltiger Waldwirtschaft stammen, mit transparenten, klaren Nachhaltigkeitssiegeln und Umweltaussagen rechtssicher zu kennzeichnen und zu bewerben.
Mit der ab 2026 auch auf nationaler Ebene geltenden EmpCo-Richtlinie steigen EU-weit die rechtlichen Anforderungen an Umwelt- und Nachhaltigkeitsaussagen in der Unternehmenskommunikation. Allgemeine Umweltaussagen ohne Erklärung oder Spezifizierung werden gar nicht mehr möglich sein; konkrete Umweltaussagen müssen detailliert erläutert werden. Nachhaltigkeitssiegel müssen auf einem Zertifizierungssystem beruhen, das offen, transparent und diskriminierungsfrei ist und dessen Anforderungen durch unabhängige Dritte überwacht werden.
FSC stellt bereits heute durch ein umfassendes System aus zahlreichen öffentlich einsehbaren Standards und Kontrollen sicher, dass seine Label nur dann den Weg auf ein Produkt finden, wenn dieses nachweislich den Grundsätzen einer verantwortungsvollen Waldwirtschaft entspricht.
Gleichwohl war es erforderlich, die Prozesse für die Label-Vergabe durch FSC daraufhin überprüfen zu lassen, dass sie auch den neuen Anforderungen der EmpCo-Richtlinie entsprechen.
„Bei der Auswahl des richtigen Rechtsberatungspartners war FSC eine Kanzlei wichtig, die nicht nur über technisches Fachwissen, sondern auch über ein tiefes Verständnis unserer Branche verfügt; Qualitäten, die SKW Schwarz eindeutig bewiesen hat. Ihre Fähigkeit, die Komplexität unseres Zertifizierungssystems zu bewältigen, in Kombination mit ihrer maßgeschneiderten Beratung, war von unschätzbarem Wert“, sagt Ana-Maria Băban, Commercial Director von FSC.
Dr. Daniel Kendziur, Partner bei SKW Schwarz, erklärt: „Als eines von zahlreichen für die Umwelt wichtigen Zertifizierungssystemen hat sich FSC frühzeitig den wichtigen mit der EmpCo verbundenen Fragen gestellt. Wir freuen uns, dass wir FSC dabei unterstützen konnten, das Zertifizierungssystem strategisch anhand des zukünftigen Rechtsrahmens so auszurichten, dass FSC und seine Kunden sich wie bisher auch weiterhin erfolgreich für Nachhaltigkeit und die Waldwirtschaft einsetzen können.“
Über SKW Schwarz
SKW Schwarz ist eine unabhängige Kanzlei mit rund 120 Anwältinnen und Anwälten, vier Standorten und einem gemeinsamen Anspruch: Wir denken weiter. Als Mitglied von TerraLex ist die Kanzlei global vernetzt und berät in allen relevanten Gebieten des Wirtschaftsrechts. Auch in einem Bereich, der für Unternehmen besonders wichtig ist: der Zukunft. Wir analysieren, schaffen Klarheit und beraten schon heute in den wesentlichen Rechtsbereichen von morgen.
Über Forest Stewardship Council™ (FSC®)
Der Forest Stewardship Council™ (FSC®) ist eine Non-Profit-Organisation, die eine bewährte Lösung für nachhaltige Waldwirtschaft zur Verfügung stellt. Derzeit sind weltweit über 150 Millionen Hektar Wald nach den FSC-Standards zertifiziert. FSC wird unter vielen NGOs, Verbrauchern und Unternehmen gleichermaßen als das strengste Zertifizierungssystem im Bereich der Waldwirtschaft angesehen, um heutige Herausforderungen wie Entwaldung, Klimawandel und Biodiversität zu begegnen. Der FSC-Waldwirtschaftsstandard basiert auf zehn Kernprinzipien, die geschaffen wurden, um eine Bandbreite an Umwelt-, Sozial- und Wirtschaftsfaktoren abzudecken. FSCs „Check Tree“-Label ist auf Millionen von Produkten aus Waldmaterialien weltweit zu finden und zertifiziert, dass diese vom Wald bis zum Endverbraucher nachhaltig gewonnen wurden. Für weitere Informationen, besuchen Sie www.fsc.org.