Suchergebnisse für
Personen
Markus von Fuchs ist im Bereich des gewerblichen Rechtsschutzes, insbesondere im Wettbewerbs-, Patent- und Markenrecht sowie im Know-how-Schutz tätig. Er berät Unternehmen bei der Absicherung und wirtschaftlichen Verwertung geistigen Eigentums, zum Beispiel durch Lizenz-, Vertriebs-, F&E- sowie Kooperationsverträge. Ein weiterer Schwerpunkt liegt in der gerichtlichen und außergerichtlichen Verteidigung von geistigen Schutzrechten durch einstweilige Verfügungsverfahren und Hauptsacheklagen, durch Grenzbeschlagnahmeverfahren sowie durch Einleitung und Begleitung strafrechtlicher Maßnahmen bei Produkt- und Markenpiraterie und bei Verletzung von Betriebs- und Geschäftsgeheimnissen. Darüber hinaus berät Markus von Fuchs viele Unternehmen bei der Entwicklung und Einführung neuer Technologien und Geschäftsmodelle. Über besondere Branchenerfahrungen verfügt Markus von Fuchs in der optischen und medizintechnischen Industrie.
Dr. Oliver Hornung berät nationale und internationale IT-Dienstleister und Anwender, und zwar bei der rechtlichen Strukturierung und Verhandlung von IT-, Projekt- und Outsourcingverträgen, sowie in Fragen des Urheberrechts und der Lizenzierung. Er ist dabei auch regelmäßig in notleidenden Projekten (Konfliktbewältigung) tätig und betreut Mandanten in Schlichtungs- und Schiedsverfahren und widrigenfalls in gerichtlichen Auseinandersetzungen.
Das regulatorische Umfeld für die Nutzung von Daten und entsprechenden Technologien ist komplex und ständig kommen neue Rechtsakte der Europäischen Kommission hinzu. In diesem dynamischen Umfeld berät Dr. Oliver Hornung seine Mandanten zu allen Rechtsfragen, insbesondere mit Fokus KI-Compliance, Data Act, NIS-2, Cyber-Security, Cloud Computing und Datenrecht.
Ein weiterer Schwerpunkt der anwaltlichen Beratung sind der Datenschutz im Fokus auf Digital Health und die Digital Decade der EU. Falls erforderlich, verteidigt Dr. Oliver Hornung und sein Team die Rechte seiner Mandanten gegenüber Aufsichtsbehörden oder vor Gericht.
Schließlich betreut Dr. Oliver Hornung Start-ups in allen Fragen rund um das IT-Recht und das Datenschutzrecht. Neben seiner umfangreichen praktischen Arbeit ist Dr. Oliver Hornung auch ein häufig gefragter Vortragender im Datenschutzrecht und IT-Recht.
Norbert Klingner ist auf nationale und internationale Film- / TV- und Werbefilmproduktion, -finanzierung, -versicherung und -vertrieb spezialisiert. Er vertritt namhafte Produzenten, Verleiher, Weltvertriebe und Filmfinanziers. Seine Expertise reicht damit in der Verhandlung und Vertragsgestaltung vom Beginn der Stoffentwicklung über sämtliche Fragen im Zusammenhang mit der Produktion und deren Finanzierung bis hin zur strategisch richtigen Auswertung und Lizensierung. Eine Auswahl von Filmproduktionen, an denen Herr Klingner mitgewirkt hat, finden Sie auf der Internet Movie Database IMDb.
News
SKW Schwarz berät den VDDW bei der Erarbeitung, Konzeptionierung und Genehmigung eines Code of Conduct
SKW Schwarz hat den VDDW (Verband der Deutschen Wasser- und Wärmezählerindustrie e.V.) bei der Konzeptionierung und Verhandlung eines Code of Conduct für den Umgang mit personenbezogenen Daten durch die Messgeräteindustrie für Kalt-/Warmwasser und thermische Energie beraten. Die Erarbeitung des Code of Conducts nach den Grundsätzen der DS-GVO, insbesondere nach Art. 40 und 41 DS-GVO erfolgte in enger Zusammenarbeit mit der LDI NRW (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen). Der Code of Conduct wurde nach Abstimmung in der deutschen Datenschutzkonferenz (DSK) am 25.06.2025 genehmigt.
Ziel des Code of Conduct ist es, der Rechtsunsicherheit im (Anwendungs-)Bereich des Datenschutzes für Messgerätehersteller entgegenzuwirken. Die Verhaltensregeln konkretisieren in ihrem Hauptteil und im Anhang „Technische Maßgaben“ die Anforderungen im Bereich fernauslesbare Messgeräte für Kalt-/Warmwasser und thermische Energie. Der Mehrwert des Code of Conduct besteht darin, dass er die Verarbeitung der Daten über fernauslesbare Messgeräte transparent darstellt, den Datenumfang entsprechend der verschiedenen Zweckbindungen begrenzt und mögliche Zeiträume für die Speicherung beschreibt.
Der VDDW repräsentiert seit 1953 die führenden Hersteller von Wasser- und Wärmezählern in Deutschland. Er formuliert und vertritt alle gemeinsamen fachlichen und wirtschaftlichen Interessen der Mitgliedsunternehmen gegenüber Politik, Ministerien, relevanten Bundes- und Landesbehörden (z. B. Eichaufsichtsbehörden), gesetzgebenden Körperschaften sowie vergleichbaren internationalen Behörden, Normungsorganisationen und der Öffentlichkeit.
Hier geht es zur Pressemitteilungen des LDI NRW >>
Berater VDDW – Verband der Deutschen Wasser- und Wärmezählerindustrie e.V.:
SKW Schwarz, Frankfurt: Dr. Oliver Hornung (Federführung), Franziska Ladiges, Dr. Wulf Kamlah (Of Counsel); Associate: Marius Drabiniok (alle IT & Digital Business)
Umweltwerbung für Flugreisen weiter kritisch
Begriffe wie „klimaneutral“ oder „CO₂-Ausgleich“ finden sich inzwischen in vielen Werbebotschaften – auch in der Reisebranche. Doch was ist rechtlich zulässig, und wo drohen Fallstricke?
In seinem neuen Beitrag in der aktuellen GRUR-Prax beleuchtet Dr. Daniel Kendziur die rechtlichen Grenzen klimabezogener Werbung und zeigt auf, worauf Unternehmen bei ihren Aussagen besonders achten sollten.
Beck-Online-Abonnenten finden die vollständige Urteilsbesprechung unter diesem LINK.
Wie Sie den Compliance-Durchblick behalten
Die Anforderungen einiger EU-Regularien überschneiden sich. Wer hier genau hinschaut, kann Synergien nutzen und seine Compliance effizienter einhalten.
Die EU hat in den vergangenen Jahren zahlreiche Gesetze verabschiedet, die Unternehmen dazu verpflichten, bestimmte Compliance-Regeln im Digitalbereich einzuhalten. Dazu gehören unter anderem die Datenschutzgrundverordnung (DSGVO), die KI-Verordnung (AI Act), die NIS-2-Richtlinie, der EU Data Act, die DORA-Verordnung und der Cyber Resilience Act (CRA).
NIS2, DORA, Data Act & Co.: Die wichtigsten Security-Gesetze im Überblick
All diese Gesetze zielen darauf ab, den Schutz von Daten, die Sicherheit von IT-Systemen und die Transparenz im Umgang mit digitalen Technologien sicherstellen. Doch einige dieser Vorschriften haben ähnliche oder sogar identische Anforderungen.
Den vollständigen Artikel finden Sie hier: Wie Sie den Compliance-Durchblick behalten | Computerwoche
Nach dem Erbfall: Supervermächtnis kann Freibeträge retten
In der aktuellen Ausgabe des private banking magazin erläutert Dr. Jens-Hendrik Kern, wie sich durch das sogenannte Supervermächtnis steuerliche Freibeträge im Erbfall gezielt nutzen lassen. Der Beitrag zeigt praxisnah, wie diese erbrechtliche Gestaltungsmöglichkeit eingesetzt werden kann, um Vermögen generationenübergreifend steueroptimiert zu übertragen – insbesondere bei komplexen Familienstrukturen oder hohen Vermögenswerten.
Dabei beleuchtet Herr Dr. Kern sowohl die zivilrechtlichen Grundlagen als auch die steuerlichen Wirkungen des Supervermächtnisses – inklusive konkreter Beispiele aus der Beratungspraxis.
Lesen Sie den vollständigen Artikel im private banking magazin
KI-Flash: Neues FAQ der Europäischen Kommission zur KI-Kompetenz nach Artikel 4 der KI-Verordnung
Nachdem wir in unserem letzten KI-Flash über eine Konsultation des AI Office zur Vorbereitung von Leitlinien für GPAIM berichtet haben, möchten wir Ihnen auch weiterhin in regelmäßigen Abständen rechtliche Impulse mit auf den Weg geben.
Heutiges Thema: Neues FAQ der Europäischen Kommission zur KI-Kompetenz nach Artikel 4 der KI-Verordnung
In Art. 4 der KI-Verordnung (KI-VO) wird vorgeschrieben, dass Unternehmen, die KI-Systeme entwickeln oder einsetzen, eine sog. KI-Kompetenz umsetzen müssen (wir hatten bereits hierzu berichtet). In der vorgenannten Norm heißt es wörtlich:
„Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.“
Eine weitere Präzisierung findet sich in Art. 3 Nr. 56 KI-VO, wonach der Begriff der KI-Kompetenz wie folgt definiert wird:
„„KI-Kompetenz“ die Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden.“
Während die Verpflichtung zur Umsetzung der KI-Kompetenz bereits seit dem 2. Februar 2025 Gültigkeit beansprucht, sind Überwachungsmaßnahmen ab dem 3. August 2026 vorgesehen.
Die Europäische Kommission hat nunmehr per Datum 12. Mai 2025 ein FAQ veröffentlicht, in dem sich wichtige Hinweise zu Art, Reichweite und auch zur Sanktionierung (!) dieser Pflicht nach der KI-VO auffinden lassen. Da sich viele Unternehmen mit der Umsetzung der KI-Kompetenz schwertun, möchten wir das FAQ zum Anlass nehmen, einen kurzen Überblick zu den Ausführungen zu Art. 4 KI-VO zu vermitteln.
Kernaussagen zur KI-Kompetenz
- Bei Art. 4 KI-VO handelt es sich um eine gesetzliche Verpflichtung und nicht lediglich um eine Kür.
- Die Überwachung der KI-Kompetenz beginnt – wie bereits aufgezeigt – ab dem 3. August 2026. Obwohl die KI-VO selbst keinen Bußgeldtatbestand für die Nichtbeachtung der KI-Kompetenz vorhält, steht es den nationalen Marktüberwachungsbehörden (in Deutschland regelmäßig die Bundesnetzagentur) offen, eigene Sanktionen zu verhängen. Grundlage hierfür sind nationale Gesetze, die bis zum 2. August 2025 zu erlassen sind.
- Da – neben den eigenen Beschäftigten – auch „Personen, die [im] Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind“, von der Vorschrift adressiert werden, gilt der Aufbau der KI-Kompetenz bspw. auch für Auftragnehmer oder Dienstleister, die die KI-Systeme eines Unternehmens bedienen.
- Die Europäische Kommission hält ausdrücklich fest, dass Art. 4 KI-VO keine Verpflichtung dahingehend enthält, die KI-Kenntnisse der Beschäftigten gesondert zu messen. Ein „ausreichendes Maß“ an KI-Kompetenz müsse jedoch die technischen Kenntnisse, die Erfahrung, die Ausbildung und die Schulung der Beschäftigten berücksichtigen.
- Im FAQ wird ausdrücklich empfohlen, dass „zumindest“ (im Original: „as a minimum“) die folgenden To Dos abzuarbeiten sind:
- Es muss ein allgemeines Verständnis zu KI im Unternehmen aufgebaut werden. Dies setzt voraus, dass die Funktionsweise von KI sowie deren Einsatzfelder im Unternehmen aufgezeigt und die jeweiligen Chancen und Risiken erklärt werden.
- Es ist herauszuarbeiten, in welcher Rolle das Unternehmen beim Einsatz von KI auftritt (Anbieter oder Betreiber?).
- Die Risiken beim spezifischen Einsatz von KI sind zu analysieren und gegenüber den Beschäftigten zu kommunizieren.
- Die KI-Kenntnisse der Beschäftigten sind auf Basis der vorangegangenen Analyse zu konkretisieren, wobei insbesondere die unterschiedlichen Erfahrungsstände sowie der Kontext des KI-Einsatzes zu berücksichtigen sind.
- Die Europäische Kommission stellt ausdrücklich klar, dass die KI-Kompetenz – neben rein technischen Aspekten – auch rechtliche, ethische und Aspekte der Governance beinhaltet. Unternehmen sollten daher ein ausgewogenes Konzept zur Sicherstellung der KI-Kompetenz erarbeiten, in welchem die o.g. Arbeitsschritte und Inhalte abgebildet sind.
- Bei der Frage, ob die KI-Kompetenz stets durch Schulungsmaßnahmen umzusetzen sei, stellt die Europäische Kommission auf die vorstehenden Erwägungen ab. Sofern bspw. ein Hochrisiko-KI-System im Unternehmen eingesetzt wird, kann es unzureichend sein, Beschäftigte lediglich mit der Gebrauchsanweisung des KI-Systems „abzuspeisen“. Auch bei der KI-Kompetenz folgt die KI-VO somit einem risikobasierten Ansatz. Je mehr Risiken von einem KI-System ausgehen, oder je breiter der konkrete Einsatzzweck ist, desto eher wird eine gezielte Schulungsmaßnahme ratsam sein. Nach unserer Erfahrung sollte hierbei zudem zwischen verschiedenen Nutzerklassen (bspw. temporäre Nutzer contra Key-User) unterschieden werden.
- Beim Einsatz von generativen KI-Systemen (bspw. ChatGPT oder MS Copilot) sollten jedenfalls spezifische Risiken aufgezeigt werden, wozu bspw. Halluzinationen oder Trainings-Bias gehören können.
Praxishinweis
Der Aufbau der KI-Kompetenz ist aus gleich mehreren Gründen wichtig. Einerseits ist sie in Art. 4 KI-VO als gesetzliche Pflicht festgehalten und kann auf Basis – noch zu erlassender – nationaler Gesetze sanktioniert werden. Soweit also bislang die Aussage getroffen wurde, dass es sich um eine „sanktionslose“ Pflicht handelt, ist dies aktuell (noch) zutreffend, kann sich in Zukunft jedoch als überholt herausstellen. Darüber hinaus dient der Aufbau der KI-Kompetenz auch der Enthaftung der Geschäftsführung, da die Nichtbeachtung dieser gesetzlichen Vorgaben jedenfalls als Verstoß gegen Sorgfaltspflichten anzusehen wäre.
Unternehmen sollten sich daher zeitnah mit den Anforderungen der KI-Kompetenz auseinandersetzen und jedenfalls ein erstes Konzept für deren Umsetzung erarbeiten.
Weitere Informationen zu den konkreten inhaltlichen Anforderungen der KI-Kompetenz können dem oben verlinkten FAQ der Europäischen Kommission entnommen werden. Wir unterstützen gerne bei der Vorbereitung und Umsetzung der erforderlichen Schritte und verweisen hierbei nochmal gerne auf unser Inhouse-Training KI, in welchem wir gemeinsam mit unserem Kooperationspartner Genow.ai die technischen und rechtlichen Grundzüge beim Einsatz von KI aufzeigen.
Kommen Sie gerne jederzeit auf uns zu. Wir freuen uns darauf, Sie beim rechtskonformen Einsatz von KI zu unterstützen!
Bundesarbeitsgericht setzt neue Konturen für Schadensersatzansprüche nach der DS-GVO
Das Bundesarbeitsgericht (BAG) hat sich in einem aktuellen Urteil vom 20.02.2025 (Az.: 8 AZR 61/24) erneut mit den Voraussetzungen für immaterielle Schadensersatzansprüche nach der Datenschutzgrundverordnung (DS-GVO) auseinandergesetzt. Da gerade immaterielle Schadensersatzansprüche mit einer Vielzahl an Rechtsfragen einhergehen, möchten wir das Urteil des BAG zum Anlass nehmen, die Praxisrelevanz dieser Fragen nochmal aufzuzeigen und die Ausführungen des BAG in die bisherige Rechtsprechung einzuordnen.
Auch wenn sich das BAG letztlich nicht im Detail mit dem etwas komplizierten Sachverhalt sowie den damit einhergehenden Rechtsfragen rund um die Auskunftserteilung gemäß Art. 15 DS-GVO auseinanderzusetzen hatte, sollen nachstehend auch die wesentlichen Eckdaten des Falls aufgezeigt werden. Gerade die erstinstanzliche Entscheidung des Arbeitsgerichts Duisburg zeigt eindrucksvoll auf, wie vermeidbarer „Ärger“ aufgrund einer fehlerhaften Auskunftserteilung entstehen kann.
1. Zum Sachverhalt
Mit einem Schreiben vom 01.10.2022 forderte ein Arbeitnehmer seinen ehemaligen Arbeitgeber dazu auf, ihm bis zum 16.10.2022 Auskunft und Datenkopie auf der Grundlage von Art. 15 DSGVO zu erteilen. Die vorgenannte Norm verpflichtet den Verantwortlichen (hier: den Arbeitgeber) zur Bereitstellung umfassender Informationen zur Datenverarbeitung. Nach Art. 15 Abs. 1 DS-GVO beinhaltet die Auskunft insbesondere Informationen zu den verarbeiteten Daten, den Verarbeitungszwecken, den Empfängern von personenbezogenen Daten sowie zur Dauer der Datenverarbeitung. Nach Art. 15 Abs. 3 DS-GVO kann der Betroffene zudem eine „Kopie“ seiner personenbezogenen Daten verlangen. Das Auskunftsrecht soll es Betroffenen insbesondere ermöglichen, die Rechtmäßigkeit der Datenverarbeitung zu bewerten und ggf. weitergehende Ansprüche (etwa das Recht auf Löschung aus Art. 17 DS-GVO) geltend zu machen.
Als der Arbeitgeber auf das erste Schreiben nicht innerhalb der gesetzten Frist reagierte, erinnerte der Arbeitnehmer mit Schreiben vom 21.10.2022 an die gewünschte Auskunft mit weiterer Fristsetzung bis zum 31.10.2022. Mit Schreiben vom 27.10.2022 – also bis dato noch innerhalb der in Art. 12 Abs. 3 DS-GVO genannten Monatsfrist – erteilte der Arbeitgeber sodann eine erste Auskunft und Kopie der noch bei ihm gespeicherten Daten. Mit Schreiben vom 04.11.2022 wies der betroffene Arbeitnehmer jedoch darauf hin, dass die erteilte Auskunft nicht nur verspätet, sondern auch inhaltlich mangelhaft erfolgt sei. Es fehle an konkreten Angaben zur Dauer der Datenspeicherung, die Empfänger der Daten seien nicht namhaft benannt und die Datenkopie sei unvollständig. Mit Schreiben vom 11.11.2022 bat der Arbeitgeber den Betroffenen sodann, sein Auskunftsersuchen zu den Empfängern von Daten sowie zu den Angaben zur Speicherdauer weiter zu spezifizieren. Mit Schreiben vom 18.11.2022 wies der betroffene Arbeitnehmer sodann darauf hin, dass alle konkreten Empfänger seiner Daten mitzuteilen seien und dass auch die Speicherdauer der Datenverarbeitung vollständig anzugeben sei.
Erst mit Schreiben vom 01.12.2022 – und somit zwei Monate nach erstmaliger Aufforderung zur Auskunft – nahm der Arbeitgeber sodann nochmals Stellung nebst weiterer Konkretisierung der bislang noch offenen Informationen. Jedenfalls mit diesem letzten Schreiben des Arbeitgebers waren sämtliche Auskünfte gemäß Art. 15 DS-GVO vollständig erteilt.
2. Die Entscheidungen in den vorherigen Instanzen
Das Arbeitsgericht Duisburg gab dem Kläger in erster Instanz noch Recht und verurteilte den Arbeitgeber zur Zahlung von 10.000 Euro Schadensersatz (Urteil vom 26.09.2024, Az. 3 Ca 77/24). Das ArbG stellte hierbei klar, dass allein die nicht unverzügliche (also ohne schuldhaftes Verzögern erfolgende) Auskunft ausreiche, um einen immateriellen Schadensersatzanspruch zu begründen. Der Arbeitgeber habe insbesondere nicht dargelegt, warum er fast vier Wochen für die erstmalige Auskunftserteilung benötigt habe, obwohl sämtliche Daten des Klägers bereits zwei Jahre zuvor – infolge eines Auskunftsersuchen des betroffenen Arbeitnehmers aus dem Jahr 2020 – aufbereitet und zusammengetragen worden seien. Darüber hinaus sei jedenfalls die Auskunft über die konkreten Empfänger der verarbeiteten Daten sowie die Angabe der Speicherdauer außerhalb der in Art. 12 Abs. 3 DS-GVO genannten Monatsfrist und daher verspätet erteilt worden.
In der durch den Arbeitgeber eingelegten Berufung lehnte das Landesarbeitsgericht Düsseldorf einen entsprechenden Anspruch auf Schadensersatz ab und begründete seine Entscheidung u.a. damit, dass es bei einer verspäteten oder unvollständigen Datenauskunft bereits an einer Datenverarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO fehle (Urteil vom 28.11.2023, Az. 3 Sa 285/23). Daneben habe es der betroffene Arbeitnehmer jedenfalls versäumt, einen immateriellen Schaden hinreichend substantiiert darzulegen. Das LAG Düsseldorf führt in seiner Urteilsbegründung unter Randziffer 42 wörtlich aus:
„Dabei genügen – auch wenn ein Kontrollverlust einen immateriellen Schaden an sich durchaus zu begründen vermag, wie sich bereits aus den Erwägungsgründen 75 und 85 zur DSGVO ergibt – keine Pauschalbehauptungen und Allgemeinplätze, vielmehr ist nachvollziehbar zu begründen, worin der immaterielle Schaden bestehen soll. Soll der behauptete Schaden – wie hier geltend gemacht – in einem „Regelschaden“ des Kontrollverlustes bestehen, ist über das Regelhafte hinaus gleichwohl individuell zu begründen, welchen konkreten Kontrollverlust der Kläger befürchtet. Anderenfalls bliebe es bei bloßen Leerformeln.“
3. Die Entscheidung des BAG
Das Urteil des BAG vom 20.02.2025 bestätigt die Entscheidung des LAG Düsseldorf und verneint den Schadensersatzanspruch des betroffenen Arbeitnehmers nunmehr endgültig. Das BAG begründet seine Entscheidung damit, dass der Kläger seinen Schaden nicht hinreichend dargelegt habe und das bloße Störgefühl sowie der lediglich gefühlte Kontrollverlust über die personenbezogenen Daten nicht ausreiche, um einen Schadensersatzanspruch nach Art. 82 DS-GVO zu begründen. Der geltend gemachte Schaden müsse demgegenüber objektiv nachweisbar sein und nicht lediglich auf subjektiven Empfindungen – wie dem bloßen Gefühl eines Kontrollverlusts – beruhen. Das BAG führt unter Randziffer 17 seiner Urteilsbegründung wörtlich aus:
„Unter einem Kontrollverlust versteht der Gerichtshof der Europäischen Union (im Folgenden Gerichtshof) daher nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt (vgl. BSG 24. September 2024 - B 7 AS 15/23 R - Rn. 31). Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände „als begründet angesehen werden kann. […]
Je gravierender die Folgen eines Verstoßes gegen die Datenschutz-Grundverordnung sind, desto näher liegt eine begründete Befürchtung des Datenmissbrauchs. So wird die Veröffentlichung von sensiblen Daten im Internet aufgrund eines Datenlecks typischerweise eine Grundlage für solche Befürchtungen darstellen. Eine nur verspätete Auskunft begründet demgegenüber für sich genommen keinen Kontrollverlust über Daten iSd. Gefahr einer missbräuchlichen Verwendung, sondern nur einen Zeitverzug hinsichtlich der Auskunft.“
Nach Ansicht des BAG müssen daher stets objektivierbare Umstände vorgetragen werden, um einen immateriellen Schadensersatzanspruch zu begründen. Das BAG unterscheidet hierbei nach Situationen, in denen „typischerweise“ ein Kontrollverlust zu bejahen ist, und Situationen, die kein entsprechendes Missbrauchspotenzial aufweisen.
Das BAG ist ebenfalls auf „einen [denkbaren] Schaden in Form von negativen Gefühlen“ infolge der verspäteten Auskunftserteilung eingegangen und hat die bisherigen Ausführungen unter Randziffer 21 weiter präzisiert:
„Die verspätete Erfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der Datenschutz-Grundverordnung aus. Dies mag sich mit der Revision als eine besondere Form des Kontrollverlusts darstellen, kann aber auch als eigenständige Fallgruppe verstanden werden. Letztlich ist diese Frage der Einordnung nicht entscheidungserheblich. Wäre schon das Berufen auf solche abstrakten Befürchtungen ausreichend für die Annahme eines Schadens, würde jeder Verstoß gegen Art. 15 DSGVO - so ein Verstoß dagegen einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO dem Grunde nach begründen könnte - zu einem immateriellen Schaden führen. Die eigenständige Voraussetzung des Schadens würde damit bedeutungslos.“
Dreh- und Angelpunkt der Entscheidung des BAG ist damit das Vorliegen eines tatsächlichen Schadens sowie die Anforderungen an dessen Substantiierung.
4. Ein Vergleich zur bisherigen Rechtsprechung des BGH
Das BAG setzt sich mit seinem jüngsten Urteil vermeintlich in einen gewissen Konflikt zur bisherigen Rechtsprechung des Bundesgerichtshofs (BGH). Der BGH hatte sich bereits wiederholt mit Schadensersatzansprüchen nach der DS-GVO befasst und hierbei Konturen für die Geltendmachung eines immateriellen Schadens aufgestellt. So hatte der BGH in einem Leitentscheidungsverfahren bereits geurteilt, dass ein behaupteter Kontrollverlust über die eigenen Daten ausreichen kann, um einen Schadensersatzanspruch aus Art. 82 DS-GVO zu begründen (Urteil vom 18.11.2024, Az. VI ZR 10/24). Im konkreten Fall ging es jedoch um ein – auch im Urteil des BAG aufgegriffenes – Datenleck bei Facebook, das zur unberechtigten Veröffentlichung von personenbezogenen Daten führte. Dennoch stellte der BGH hierbei klar, dass ein behaupteter Kontrollverlust weder ein besonderes Gewicht aufweisen, noch weiter objektivierbar sein müsse. Diese grundlegende Auffassung des BGH wurde in einem weiteren Urteil nochmals bestätigt, wobei es in diesem Fall um Verstöße bei der Ausgestaltung von Zugriffsrechten in die Personalakte ging (Urteil vom 11.02.2025, Az. VI ZR 365/22). Der BGH argumentierte in der vorgenannten Entscheidung, dass der Schaden bereits im vorübergehenden Verlust der Kontrolle über die personenbezogenen Daten liege, ohne dass eine weiter benennbare Persönlichkeitsrechtsverletzung vorliegen müsse.
5. Bedeutung für die Praxis
Nach unserer Einschätzung steht das Urteil des BAG bei genauerem Hinsehen in keinem direkten Widerspruch zur bisherigen Rechtsprechung des BGH. Das BAG hat lediglich zutreffend herausgearbeitet, dass in dem von ihm zu entscheidenden Fall relevante Unterschiede zu den bisherigen Fallkonstellationen vor dem BGH vorlagen, die eine abweichende rechtliche Wertung zulassen. So spielt es eine entscheidende Rolle, ob bspw. ein Datenleck vorliegt, infolge dessen Daten tatsächlich gegenüber unbefugten Dritten offengelegt werden, oder es sich „nur“ um eine verspätete und/oder unvollständige Auskunftserteilung handelt. Während in den vom BGH zu entscheidenden Sachverhalten Umstände vorgetragen wurden, die – nach Ansicht des BAG – die Befürchtung eines Kontrollverlustes „typischerweise“ zulassen, handelt es sich bei der verspäteten Auskunft lediglich um einen (formellen) Verstoß gegen datenschutzrechtliche Vorgaben. Weitergehende Umstände, die einen Kontrollverlust als immateriellen Schaden rechtfertigen, wurden in dem vom BAG zu entscheidenden Fall gerade nicht vorgetragen.
Es muss somit genau im Auge behalten werden, wie das BAG urteilt und seine künftigen Entscheidungen begründet, wenn es einen Sachverhalt zu entscheiden hat, der denjenigen vor dem BGH gleicht. Sehr aktuell hat das BAG etwa einem Arbeitnehmer einen immateriellen Schadensersatz in Höhe von 200 EUR infolge eines Kontrollverlustes zugesprochen (Urteil vom 08.05.2025, Az.: 8 AZR 209/21 – vgl. die bislang lediglich veröffentlichte Pressemitteilung). Das BAG hatte hier über eine Konstellation zu entscheiden, bei welcher personenbezogene Daten eines Arbeitnehmers bei der Nutzung der Personalverwaltungssoftware „Workday“ innerhalb eines Konzerns übermittelt wurden, ohne dass insoweit eine datenschutzrechtliche Rechtsgrundlage vorlag. Die Konstellation gleicht den Fallgestaltungen vor dem BGH, da es wiederum um eine – objektiv nachweisbare – Datenweitergabe an Dritte geht. Auch wenn die Urteilsgründe bislang nicht vorliegen, ist davon auszugehen, dass das BAG in dieser Konstellation „typischerweise“ von einem Kontrollverlust ausgegangen ist.
Hinweis: Wir werden die Entscheidung des BAG vom 08.05.2025 nochmal aufgreifen, sobald die Urteilsgründe vorliegen.
Die Aussagen des BAG per Urteil vom 20.02.2025 dürfen daher keinesfalls pauschal dahingehend verstanden werden, dass der bloße Kontrollverlust nicht als immaterieller Schaden im Sinne des Art. 82 DS-GVO anzusehen ist. Die Entscheidung des BAG fügt sich letztlich in die bisherige Praxis ein, wonach es stets auf die konkreten Umstände des Einzelfalls ankommt.
Das aktuelle Urteil des BAG ist für Arbeitgeber dennoch positiv zu bewerten und dementsprechend zu begrüßen. Es setzt klare Grenzen für Betroffene und erhöht die Anforderungen für die Geltendmachung von immateriellen Schadensersatzansprüchen nach der DS-GVO. Die Rechtsauffassung des BAG ist unseres Erachtens nachvollziehbar und entspricht den allgemeinen Anforderungen der Zivilprozessordnung. Wollte man jedwede subjektive Empfindung für das Vorliegen eines immateriellen Schadens ausreichen lassen, gäbe es keine greifbaren Hürden mehr für die Geltendmachung eines entsprechenden Schadensersatzanspruchs.
Auch wenn sich das BAG – aufgrund der fehlenden Darlegung der angeblich entstandenen Schäden – nicht im Detail mit der verspäteten Auskunftserteilung auseinandersetzen musste, sollte der Sachverhalt dennoch zum Anlass genommen werden, auch das äußert praxisrelevante Beschwerdemanagement im Unternehmen nochmal genauer unter die Lupe zu nehmen. Es muss als Mindestanforderung verstanden werden, dass Unternehmen über fest etablierte Prozesse und Muster-Dokumente verfügen, welche einerseits die Anforderungen der DS-GVO abbilden und andererseits eine fristgemäße Erfüllung von Betroffenenrechten ermöglichen. Gerne stehen wir Ihnen hierbei zur Verfügung.
BFH: Anwendung der Escape-Klausel auf Familienstiftungen außerhalb der EU / des EWR
Der Bundesfinanzhof (BFH) hat mit am 24.04.2025 veröffentlichtem Urteil vom 3.12.2024 (Az.: IX R 32/22) entschieden, dass sich nicht nur Familienstiftungen mit Sitz in der Europäischen Union (EU) bzw. dem Europäischen Wirtschaftsraum (EWR) auf die Ausnahme von der Zurechnungsbesteuerung berufen können, sondern auch Familienstiftungen mit Sitz in Drittländern.
Einführung
Neben inländischen Familienstiftungen sind auch ausländische Familienstiftungen ein beliebtes Gestaltungsvehikel in der Nachfolgeplanung, um das Familienvermögen generationsübergreifend zu erhalten. Um allerdings zu verhindern, dass zum Zweck der Steuervermeidung oder gar Steuerflucht ausländische Familienstiftungen gegründet werden, sieht das deutsche Außensteuergesetz (AStG) die sog. Zurechnungsbesteuerung vor (§ 15 Abs. 1 AStG). Danach werden grundsätzlich das Vermögen und die Einkünfte einer ausländischen Familienstiftung dem in Deutschland unbeschränkt steuerpflichtigen Stifter, ersatzweise den unbeschränkt steuerpflichtigen Bezugs- / Anfallsberechtigten ertragsteuerlich zugerechnet (§ 15 Abs. 1 und 2 AStG; sog. Zurechnungsbesteuerung).
Die Zurechnungsbesteuerung findet jedoch nicht statt, wenn nachgewiesen wird, dass das Stiftungsvermögen dem Stifter und dessen Angehörigen rechtlich und tatsächlich entzogen ist und zwischen der Bundesrepublik Deutschland und dem Sitzstaat der Familienstiftung ein zwischenstaatlicher Informationsaustausch stattfindet (§ 15 Abs. 6 AStG; sog. Escape-Klausel). Weiteres Tatbestandsmerkmal dieser Escape-Klausel ist , dass die ausländische Familienstiftung ihre „Geschäftsleitung oder [ihren] Sitz in einem Mitgliedstaat der Europäischen Union oder einem Vertragsstaat des EWR-Abkommens“ (§ 15 Abs. 6 AStG) hat.
Entscheidung
Diese Einschränkung der Escape-Klausel auf ausländische Familienstiftungen mit Sitz/Geschäftsleitung in der EU/dem EWR verstößt nach Auffassung des BFH gegen die Kapitalverkehrsfreiheit. „Denn die Kapitalverkehrsfreiheit gilt nicht nur zwischen den Mitgliedstaaten, sondern auch zwischen den Mitgliedstaaten und dritten Ländern (Art. 63 Abs. 1 AEUV). Zur Abwendung dieses Verstoßes gegen die Kapitalverkehrsfreiheit ist das „europarechtswidrige Tatbestandsmerkmal“ wegen des Anwendungsvorrangs des Unionsrechts nicht zu beachten […], so dass § 15 Abs. 6 [AStG] auch auf Familienstiftung mit Geschäftsleitung oder Sitz in einem Drittstaat Anwendung findet“ (BFH, Urt. v. 3.12.2024 – IX R 32/22, Rz. 59 f.).
Praxisrelevanz
Dieses Urteil ist für die Praxis grundsätzlich erfreulich, da es neue Gestaltungsmöglichkeiten eröffnet. Es könnte zum einen Relevanz für Schweizer Familienunterhaltsstiftungen haben, da derzeit die Aufhebung des Verbots von Familienunterhaltsstiftungen (Art. 335 ZGB) diskutiert und geprüft wird (vgl. Motion 22.4445 „Die Schweizer Familienstiftung stärken. Verbot der Unterhaltsstiftung aufheben“).
Zum anderen ist das Urteil für Begünstigte von intransparenten Trusts aus dem Common-Law-Raum relevant (vgl. BFH, Pressemitteilung vom 24.04.2025). Dies folgt daraus, dass sonstige Zweckvermögen, Vermögensmassen und rechtsfähige oder nichtrechtsfähige Personenvereinigungen den Familienstiftungen gleichgestellt werden (§ 15 Abs. 4 AStG). Hierunter fallen intransparente Trusts. Damit intransparente Trusts jedoch von der Escape-Klausel profitieren, muss nachgewiesen werden, dass deren Statuten die Vorgaben des § 15 Abs. 6 Nr. 1 AStG erfüllen. Dies dürfte bei sog. irrevocable discretionary Trusts der Fall sein, sofern der settlor (Errichter) und die beneficiaries (Begünstigte) vollständig von der Verfügungsmacht über das Trustvermögen ausgeschlossen sind.
Es bleibt abzuwarten, wie die unterlegene Finanzverwaltung auf dieses Urteil reagiert.
KI Flash: Konsultation des AI Office zur Vorbereitung von Leitlinien für GPAIM
Nachdem wir in unserem letzten KI-Flash über Zurechnungsfragen beim Einsatz von KI-Tools berichtet haben, möchten wir Ihnen auch weiterhin in regelmäßigen Abständen rechtliche Impulse mit auf den Weg geben.
Heutiges Thema: Konsultation des AI Office zur Vorbereitung von Leitlinien für GPAIM
Das AI Office der Europäischen Kommission hat per Datum vom 22. April 2025 eine Konsultation zur Vorbereitung von Leitlinien für GPAIM gestartet (siehe hier die offizielle Pressemitteilung). Hintergrund der Konsultation sind die Vorschriften der Art. 51 ff. der KI-Verordnung (KI-VO), die die Entwicklung von KI-Modellen mit allgemeinem Verwendungszweck (GPAIM) regulieren und ab dem 02. August 2025 Gültigkeit beanspruchen.
Ziel der Konsultation ist es, Steakholder mit einschlägigem Fachwissen und Expertise (bspw. Industrieverbände und Anbieter von GPAIM) in den Prozess der Ausarbeitung von Leitlinien einzubeziehen. Die Konsultation läuft bis zum 22. Mai 2025, während eine Veröffentlichung der finalisierten Leitlinien für Mai oder Juni 2025 geplant ist. Die Leitlinien sollen den sich derzeit ebenfalls in der Konsultation befindlichen Praxisleitfaden (vgl. Art. 56 KI-VO) ergänzen und eine weitere Hilfestellung für die Praxis bieten.
Auch wenn die aktuellen Arbeitsdokumente des AI Office naturgemäß noch nicht finalisiert wurden, und eine verbindliche Auslegung der KI-VO stets dem Europäischen Gerichtshof (EuGH) obliegt, lassen sich bereits einige rechtliche Einordnungen des AI Office ableiten, die im vorliegenden KI-Flash vorgestellt werden sollen.
Wann ist ein KI-Modell ein GPAIM?
Bei der Frage, ob ein KI-Modell als GPAIM anzusehen ist, kommt es primär darauf an, ob es “eine erhebliche allgemeine Verwendbarkeit aufweist und in der Lage ist, unabhängig von der Art und Weise seines Inverkehrbringens ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen“. Die Klärung dieser Anforderungen ist von grundlegender Bedeutung, da nur KI-Modelle, die als GPAIM einzustufen sind, den Anforderungen der KI-VO unterliegen.
Das AI Office geht aktuell davon aus, dass ein KI-Modell, das Text und/oder Bild erzeugen kann, dann als GPAIM anzusehen ist, sofern seine Trainingsberechnung 10^22 FLOPs (=Gleitkommaoperationen) übersteigt. Gemäß Art. 3 Nr. 67 KI-VO handelt es sich bei Gleitkommaoperationen um
„jede Rechenoperation oder jede Zuweisung mit Gleitkommazahlen, bei denen es sich um eine Teilmenge der reellen Zahlen handelt, die auf Computern typischerweise durch das Produkt aus einer ganzen Zahl mit fester Genauigkeit und einer festen Basis mit ganzzahligem Exponenten dargestellt wird;“
KI-Modelle, die weder Text noch Bild erzeugen, können als GPAIM eingestuft werden, wenn sie einen Grad an Allgemeinheit aufweisen, der mit den vom AI Office primär in den Blick genommenen KI-Modellen zur Generierung von Bild und/oder Text vergleichbar ist.
Die Arbeitsdokumente des AI Office beinhalten verschiedene Berechnungsmöglichkeiten nebst dazugehörigen Beispielen, anhand derer die Schätzung der Anzahl vom FLOPs vorgenommen werden kann. Es wird insbesondere zwischen einem hardware-basierten Ansatz und einem architekturbasierten Ansatz unterschieden. Anbietern von KI-Modellen soll es dabei grundsätzlich möglich sein, zwischen beiden Berechnungsmethoden frei auszuwählen, wobei weitergehende Anforderungen zur Art sowie zum Zeitpunkt der Berechnung aufgestellt werden.
Wichtig ist, anzumerken, dass die Vermutungsregeln anhand des o.g. Schwellenwertes ausdrücklich widerlegbar sind. Wenn die Trainingsberechnung den o.g. Schwellenwert erreicht, wird somit zunächst davon ausgegangen, dass das KI-Modell über eine ausreichende Allgemeinheit verfügt, um als GPAIM eingestuft zu werden. Dies gilt jedoch nur dann, sofern keine gegenteiligen Anhaltspunkte vorliegen. Ob ein KI-Modell eine ausreichende Allgemeingültigkeit aufweist und in der Lage ist, ein breites Spektrum unterschiedlicher Aufgaben kompetent auszuführen, hängt nach den Ausführungen des AI Office nicht nur von der Trainingsberechnung ab, sondern auch von der Modalität sowie weiteren Merkmalen der für das Training verwendeten Daten. Nach den Ausführungen des AI Office sollte bspw. ein KI-Modell, das nur für die Transkription von Sprache geeignet ist, nicht als GPAIM anzusehen sein, selbst wenn seine Trainingsberechnung den o.g. Schwellenwert erreichen.
Unterscheidung zwischen KI-Modell und Modellversion
Da GPAIM laut Erwägungsgrund 97 KI-VO “weiter geändert oder zu neuen Modellen verfeinert werden” können, stellt sich insbesondere beim sog. Fine-Tuning die Frage, wo genau die Grenze zur Entwicklung eines (neuen) eigenständigen GPAIM liegt. Die Frage war bereits Gegenstand einer Vielzahl an Diskussionen, wobei unterschiedliche Merkmale zur Abgrenzung herangezogen werden.
Das AI Office geht aktuell davon aus, dass Änderungen an einem KI-Modell nur dann als eigenständige Entwicklung anzusehen sind, wenn die Änderungen mehr als ein Drittel der Rechenleistung in Anspruch nehmen, die für die Einstufung des Modells als GPAIM erforderlich ist. Dies bedeutet, dass die Rechenleistung beim Fine-Tuning den Wert 3 * 10^21 FLOPs übersteigen müsste, um eine Klassifizierung des geänderten KI-Modells zu einem (neuen) GPAIM zu rechtfertigen. Weiterentwicklungen, die unterhalb der vorgenannten Schwelle liegen, sollen demgegenüber lediglich als neue Modellversion eingestuft werden.
Die Frage, ob es sich um eine eigenständige Entwicklung eines GPAIM, oder nur um die Schaffung einer neuen Modellversion handelt, spielt auch bei der Bestimmung der einschlägigen Pflichten eine entscheidende Rolle. Ausweislich Erwägungsgrund 109 KI-VO „sollten die Pflichten der Anbieter von KI-Modellen mit allgemeinem Verwendungszweck auf diese Änderung oder Feinabstimmung beschränkt sein, indem beispielsweise die bereits vorhandene technische Dokumentation um Informationen über die Änderungen, einschließlich neuer Trainingsdatenquellen, ergänzt wird, um die in dieser Verordnung festgelegten Pflichten in der Wertschöpfungskette zu erfüllen.“
Der Ansatz des AI Office zur Grenzziehung ist sehr „technisch“, im Ergebnis jedoch konsequent. In den Arbeitsdokumenten des AI Office wird ausdrücklich darauf hingewiesen, dass die Trainingsberechnung zwar nur als ein unvollkommener Indikator zur Bestimmung von GPAIM anzusehen ist, derzeit jedoch das größte Maß an Rechtssicherheit bietet. Das AI Office weist in seinen Arbeitsdokumenten jedoch ausdrücklich darauf hin, dass die herangezogenen Schwellenwerte sowie deren Berechnung künftig ggf. nochmal angepasst werden (müssen).
Wer ist Anbieter des GPAIM?
Aus praktischer Sicht von besonderer Bedeutung ist zudem die Frage, wer als Anbieter eines GPAIM in Betracht kommt und daher die Pflichten der Art. 51 ff. KI-VO umsetzen muss.
Bei der Frage, ob ein Unternehmen als Anbieter eines GPAIM anzusehen ist, muss das jeweilige GPAIM gerade durch das Unternehmen in Verkehr gebracht werden. Nach Art. 3 Nr. 9 KI-VO handelt es sich hierbei um die erstmalige Bereitstellung des GPAIM auf dem Unionsmarkt, wobei das GPAIM entgeltlich oder unentgeltlich im Rahmen einer Geschäftstätigkeit „abgegeben“ werden muss. Das Inverkehrbringen nimmt daher primär die Breitstellung des GPAIM gegenüber – aus Sicht des Anbieters – externen Dritten in den Blick, sodass die rein interne Nutzung von KI-Modellen zumindest nicht schwerpunktmäßig erfasst wird. In Erwägungsgrund 97 der KI-VO heißt es jedoch wörtlich:
„Diese Verordnung enthält spezifische Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck und für KI-Modelle mit allgemeinem Verwendungszweck, die systemische Risiken bergen; diese sollten auch gelten, wenn diese Modelle in ein KI-System integriert oder Teil davon sind. Es sollte klar sein, dass die Pflichten für die Anbieter von KI-Modellen mit allgemeinem Verwendungszweck gelten sollten, sobald die KI-Modelle mit allgemeinem Verwendungszweck in Verkehr gebracht werden. Wenn der Anbieter eines KI-Modells mit allgemeinem Verwendungszweck ein eigenes Modell in sein eigenes KI-System integriert, das auf dem Markt bereitgestellt oder in Betrieb genommen wird, sollte jenes Modell als in Verkehr gebracht gelten und sollten daher die Pflichten aus dieser Verordnung für Modelle weiterhin zusätzlich zu den Pflichten für KI-Systeme gelten. Die für Modelle festgelegten Pflichten sollten in jedem Fall nicht gelten, wenn ein eigenes Modell für rein interne Verfahren verwendet wird, die für die Bereitstellung eines Produkts oder einer Dienstleistung an Dritte nicht wesentlich sind, und die Rechte natürlicher Personen nicht beeinträchtigt werden. Angesichts ihrer potenziellen in erheblichem Ausmaße negativen Auswirkungen sollten KI-Modelle mit allgemeinem Verwendungszweck mit systemischem Risiko stets den einschlägigen Pflichten gemäß dieser Verordnung unterliegen.“
Diese Systematik (bestehend aus Ausnahmen und Rückausnahmen) muss daher in jedem Einzelfall geprüft werden. Nur auf diese Weise kann mit Gewissheit festgestellt werden, ob eine Anbietereigenschaft auch bei rein interner Nutzung des GPAIM in Betracht kommt. Details hierzu werden in den aktuellen Arbeitspapieren des AI Office noch nicht abgebildet, weshalb die weiteren Entwicklungen im Blick behalten werden müssen.
Das AI Office hat jedoch bereits einige Beispiele entwickelt, bei deren Vorliegen vom Inverkehrbringen des GPAIM auszugehen sein soll:
- Breitstellung des GPAIM über eine Programmierbibliothek
- Bereitstellung des GPAIM über eine Programmierschnittstelle (API)
- Bereitstellung des GPAIM zum direkten Download
- Breitstellung einer physischen Kopie des GPAIM oder Upload des GPAIM auf die eigene Infrastruktur eines Dritten
- Integration des GPAIM in einen Chatbot, der auf einer öffentlichen Webseite oder in einer App abrufbar ist
- Integration des GPAIM in ein Produkt oder in eine Dienstleistung, die auf dem Markt angeboten wird
Ausnahmen bei Open Source
In Erwägungsgrund 102 KI-VO wird festgehalten, dass für „Anbieter von KI-Modellen mit allgemeinem Verwendungszweck, die im Rahmen einer freien und quelloffenen Lizenz freigegeben werden und deren Parameter, einschließlich Gewichte, Informationen über die Modellarchitektur und Informationen über die Modellnutzung, öffentlich zugänglich gemacht werden, […] Ausnahmen in Bezug auf die Transparenzanforderungen für KI-Modelle mit allgemeinem Verwendungszweck gelten [sollten], es sei denn, sie können als Modelle gelten, die ein systemisches Risiko bergen“. Die KI-VO sieht daher für gewisse Anbieter von GPAIM – welche kein systemisches Risiko aufweisen – Ausnahmen bei der Bestimmung der einschlägigen Pflichten vor.
Um in den Genuss von Ausnahmeregelungen zu kommen, müssen Anbieter von GPAIM nach den Ausführungen des AI Office folgende Bedingungen erfüllen:
- Das GPAIM wird unter einer freien und quelloffenen Lizenz veröffentlicht, die den Zugang, die Nutzung, die Veränderung und die Verbreitung des KI-Modells erlaubt;
- Die Parameter, einschließlich die Gewichte, die Informationen über die Modellarchitektur und die Informationen über die Verwendung des KI-Modells werden öffentlich zugänglich gemacht;
- Das GPAIM unterliegt keinem systemischen Risiko.
Zu sämtlichen der genannten Anforderungen werden in den Arbeitspapieren des AI Office bereits weiterführende Erläuterungen vorgenommen.
Bedeutung von Praxisleitfäden und Stellung des AI Office
Das AI Office geht in seinem Arbeitspapier zudem kurz auf die Bedeutung von Praxisleitfäden und seiner eigenen Stellung als Aufsichtsbehörde ein.
Das AI Office ist für die Prüfung der Anforderungen für Anbieter von GPAIM zuständig (vgl. Art. 88 KI-VO). Gleiches gilt für Anbieter von KI-Systemen, die technische auf einem GPAIM aufbauen, sofern es sich in beiden Fällen um den gleichen Anbieter handelt (vgl. Art. 75 Abs. 1 KI-VO). Das AI Office führt selbst aus, dass es bei der Durchsetzung der KI-VO einen möglichst kooperativen und verhältnismäßigen Ansatz verfolgen möchte. Wie sich dies in der Praxis konkret auswirken wird, bleibt abzuwarten.
Gemäß Art. 53 Abs. 4 und Art. 55 Abs. 2 KI-VO stellt die Einhaltung von genehmigten Praxisleitfäden jedenfalls ein geeignetes Mittel dar, die Einhaltung der Anforderungen der KI-VO zu gewährleisten. Die Unterzeichnung entsprechender Praxisleitfäden soll daher insbesondere dem vereinfachten Nachweis dienen. Das AI Office weist ausdrücklich darauf hin, dass sich Unternehmen im Falle der Unterzeichnung eines Praxisleitfadens darauf verlassen können sollen, dass sich aufsichtsbehördliche Prüfungen auf die Einhaltung dieser Praxisleitfäden beschränken. Anbieter, die keinen entsprechenden Praxisleitfaden unterzeichnen, müssen demgegenüber durch andere angemessene, wirksame und verhältnismäßige Mittel nachweisen, dass sie die Anforderungen der KI-VO umsetzen.
Praxishinweis
Künstliche Intelligenz nimmt mehr und mehr an Bedeutung zu. Aus datenschutzrechtlicher Sicht wurden bereits vielfache Stellungnahmen der Datenschutzaufsichtsbehörden veröffentlicht, die sich sowohl mit der Entwicklung als auch mit dem Einsatz von KI beschäftigten. Auch der Europäische Datenschutzausschuss bezieht sich in seinem aktuellen Tätigkeitsbericht für das Jahr 2024 (veröffentlicht am 23. April 2025) mehrfach auf das Themenfeld KI. Durch die stufenweise Gültigkeit der KI-VO nehmen nun auch die (weiteren) regulatorischen Anforderungen an Fahrt auf.
Auch wenn das Themenfeld GPAIM – und ganz generell die Entwicklung von KI – häufig in den Verantwortungsbereich der Tech-Giganten verschoben wird, existiert eine Vielzahl an praxisrelevanten Konstellationen, in denen auch KMUs in die Rolle als Anbieter von KI schlüpfen können. Insbesondere beim Fine-Tuning von KI-Modellen sowie je nach Art und Weise der Nutzung von KI kann ein „Entwickeln“ und „Inverkehrbringen“ im Sinne der KI-VO in Betracht zu ziehen sein.
Unsere Empfehlung kann daher nur lauten, dass sich Unternehmen möglichst frühzeitig mit den regulatorischen Anforderungen auseinandersetzen und ein Konzept für die Entwicklung und den Einsatz von KI vorhalten. Die Deadline für GPAIM am 02. August 2025 rückt immer näher, sodass grundlegende Anforderungen – trotz teilweise bestehender Übergangsregelungen sowie Regelungen zum Bestandschutz – bereits jetzt bekannt sein sollten.
Kommen Sie im Falle von Fragen zum Entwickeln oder zum Einsatz von KI gerne auf uns zu!
Mögliche Änderungen im Beschaffungswesen - ein Überblick zum Inhalt des Koalitionsvertrages 2025
In der vergangenen Woche haben CDU, CSU und SPD den neuen Koalitionsvertrag vorgestellt. Dabei hat sich die Große Koalition auf diverse Maßnahmen geeinigt, die das öffentliche Beschaffungswesen beeinflussen sollen. Die Parteien möchten dabei u.a. das Vergaberecht an diversen Stellen vereinfachen und entbürokratisieren. Zudem soll die Umsetzung von großen Infrastrukturmaßnahmen gefördert werden.
Nach aktuellem Stand möchte die Große Koalition in der kommenden Legislaturperiode folgende Punkte in Angriff nehmen:
Vereinfachung des Vergaberechts
Nach dem Koalitionsvertrag soll das Vergaberecht an vielen Stellen auf nationaler Ebene vereinfacht werden. Auch sollen Änderungen auf europäischer Ebene angestoßen werden. Die Koalitionspartner bekräftigen dabei, dass auch künftig mittelständische Interessen weiterhin im Fokus stehen. Es sind u.a. folgende Maßnahmen geplant:
Anhebung der Wertgrenzen (Rz. 2069 ff):
Der aktuelle Stand des Koalitionsvertrages sieht eine Anhebung der Wertgrenzen für Direktaufträge bei Liefer- und Dienstleistungen auf 50.000 Euro (netto) an. Für innovative Start-ups soll die Wertgrenze 100.000 Euro (netto) betragen.
Erhöhung der Schwellenwerte für Planerleistungen (Rz. 2071 f):
Die Parteien möchten sich künftig eine maßvolle Erhöhung der Schwellenwerte und eine getrennte Betrachtung von Planungsleistungen einsetzen. Hintergrund hierfür dürfte die vielseitig kritisierte Streichung von § 3 Abs. 7 S. 2 VgV (a.F.) sein (weitere Informationen hier).
Sektorale Befreiungsmöglichkeiten (Rz. 20163 f):
Darüber hinaus möchten die künftigen Regierungsparteien sektorale Befreiungsmöglichkeiten vom Vergaberecht umsetzen. Hier bleibt abzuwarten, in welchem Umfang entsprechende Maßnahmen umgesetzt werden können, da gerade im Oberschwellenbereich die EU-rechtlichen Vorgaben grundsätzlich beachtet werden müssen.
Vereinfachungen hinsichtlich des Eignungsnachweises (Rz. 2082 f):
Die Koalitionspartner planen zugleich eine Entlastung der Bieter. Diese sollen ihre Eignung möglichst bürokratiearm, mittelstandsfreundlich und digital nachweisen können. Hierfür sollen u.a. geprüfte Systeme zum Einsatz kommen.
Wegfall der aufschiebenden Wirkung gegen Entscheidung der Vergabekammern (Rz. 2084 ff.):
Daneben plant die Koalition den Entfall der aufschiebenden Wirkung von Rechtsmitteln gegen Entscheidungen der Vergabekammern.
Dies könnte dazu führen, dass die Rechtsschutzmöglichkeiten der Bieter vor den Oberlandesgerichten erheblich eingeschränkt werden und die Vergabesenate an Bedeutung verlieren. Sollte dieses Vorhaben umgesetzt werden, so könnten die Bieter u.U. lediglich einen Antrag auf Feststellung der Rechtswidrigkeit des Vergabeverfahrens stellen. Der angegriffene Vertrag könnte allerdings bereits mit dem konkurrierenden Bieter geschlossen werden.
Die Einschränkung der Rechtsschutzmöglichkeiten könnte dabei erhebliche Auswirkungen auf die Fortentwicklung und Vereinheitlichung der Rechtsprechung der Vergabenachprüfungsinstanzen haben, da die Vergabesenate an Bedeutung verlieren könnten.
Einführung eines strategischen Beschaffungsmanagements
Darüber hinaus planen die Koalitionsparteien die Einführung eines strategischen Beschaffungsmanagements (Rz. 2077 ff). Dabei sollen Behörden sollen künftig auf Rahmenverträge anderer öffentlicher Dienststellen und auf zentrale Einkaufsplattformen zurückgreifen dürfen. Zugleich soll die Bestellplattform des Bundes (Kaufhaus des Bundes) als digitaler Marktplatz für Bund, Länder und Kommunen genutzt werden. Darüber hinaus soll der IT-Einkauf des Bundes künftig zentral gesteuert werden.
Förderung von Infrastrukturvorhaben (Infrastruktur-Zukunftsgesetz)
Nach dem Koalitionsvertrag (Rz. 1930 ff.) sollen zudem Regelungen geschaffen werden, die zu Vereinfachungen mit Blick auf die Umsetzung von Infrastrukturvorhaben aus dem Sondervermögen führen. Dies betrifft komplexe Infrastrukturvorhaben, wie die Errichtung von Brücken, Straßen und Schienen. Hierzu möchte die Große Koalition ein Gesetzespaket verabschieden, das Anpassungen in allen relevanten Rechtsgrundlagen sowohl oberhalb als auch unterhalb der EU-Schwellenwerte vorsieht.
Einführung eines Bundestariftreuegesetzes
Darüber hinaus soll die Tarifbindung weiterhin gestärkt werden. Vor diesem Hintergrund ist die Einführung des Bundestariftreuegesetzes (Rz. 553 f.) vorgesehen. Das Gesetz soll für Aufträge auf Bundesebene ab 50.000 Euro (netto) gelten. Für Start-ups, die innovative Leistungen erbringen, soll es ab einem Schwellenwert von 100.000 Euro (netto) greifen. Zugleich sollen die Nachweispflichten für mittelständische Unternehmen möglichst gering sein.
Beschaffungen im Rüstungsbereich
Die Koalition möchte zuletzt auch die Verteidigungsausgaben deutlich erhöhen. Vor diesem Hintergrund soll ein rechtlicher Rahmen zur Beschleunigung von Beschaffungsvorhaben der Bundeswehr geschaffen werden (Rz. 4207 ff.). Zugleich soll ein Bundeswehrinfrastrukturbeschleunigungsgesetz verabschiedet werden. Das Gesetz soll u.a. Ausnahmen hinsichtlich des Bau-, Umwelt- und Vergaberechts vorsehen. Dabei sollen die Belange der Gesamtverteidigung und militärischen Infrastrukturmaßnahmen künftig als überragendes öffentliches Interesse gelten und eine entsprechende Priorisierung erhalten.
Fazit
Der Koalitionsvertrag 2025 sieht eine Reihe von Maßnahmen vor. Abzuwarten bleibt, wann die mit der Umsetzung begonnen werden kann. Die Mitglieder der Parteien stimmen derzeit über den Koalitionsvertrag ab. Die Abstimmungsergebnisse werden bis Ende April erwartet. Zugleich wird der CDU-Kandidat Friedrich Merz voraussichtlich Anfang Mai zum Bundeskanzler gewählt.
Whitepaper: Verbotene KI-Praktiken - Leitlinien der Europäischen Kommission
Der Europäische Gesetzgeber verfolgt mit Einführung der KI-VO hehre Ziele: (i) die Verbesserung des Funktionierens des Binnenmarkts, (ii) die Unterstützung von Innovation und (iii) die Förderung der Einführung menschenbezogener und vertrauenswürdiger künstlicher Intelligenz (KI). Gleichzeitig gilt es, (iv) Gesundheit, (v) Sicherheit, (vi)Grundrechte, (vii) Demokratie, (viii) Rechtsstaatlichkeit und (ix) Umweltschutz vor den schädlichen Auswirkungen von KI-Systemen zu bewahren.
Dies soll mit einem risikobasierten Ansatz gelingen, aus dem sich ein umfangreicher Katalog an verbotenen Praktiken im KI-Bereich ergibt (Art. 5 KI-VO). Obwohl die Rechtsfolge von Art. 5 KI-VO ein Verbot darstellt, enthält sie einige unbestimmte Rechtsbegriffe. Gemäß Art. 96 KI-VO ist die Kommission daher verpflichtet durch Leitlinien einzelne Vorschriften näher zu konkretisieren. Rechtzeitig mit der Anwendbarkeit der KI-VO hinsichtlich des Verbotes des Art. 5 KI-VO am 2. Februar 2025 veröffentlichte die Europäische Kommission daher die Leitlinien zu den verbotenen Praktiken aus der KI-VO (→). Diese sind zwar nicht verbindlich, wirken jedoch mittels Definitionen und Ausführungen über Anwendungsverhältnisse auf eine wirksame Praxis hin.
Dieses Whitepaper fasst die Kernaussagen der Leitlinien zusammen, erläutert diese und die jeweiligen Vorschriften der KI-VO mit dem Ziel, die Auslegung und Anwendung des Art. 5 KI-VO zu vereinfachen.
SKW Schwarz unterstützt Forest Stewardship Council bei seinen Nachhaltigkeitsaussagen
München/Bonn, 15. April 2025
SKW Schwarz hat Forest Stewardship Council (FSC®), eines der weltweit größten Zertifizierungssysteme für nachhaltige Waldwirtschaft, bei der Umsetzung der Vorgaben der EU-Richtlinie zur Stärkung der Verbraucher für den ökologischen Wandel in das FSC System unterstützt.
Ein Expertenteam von SKW Schwarz mit Expertise in den Bereichen Nachhaltigkeitskommunikation, Wettbewerbsrecht und Green Claims hat das etablierte Zertifizierungssystem des FSC detailliert auf Compliance mit den Vorgaben der Richtlinie zur Stärkung der Verbraucher für den ökologischen Wandel (Empowering Consumers Directive, kurz „EmpCo“; Richtlinie (EU) 2024/825) hin geprüft. Damit wird es FSC seinen Kunden auch in Zukunft ermöglichen, Forstwirtschaft-basierte Produkte aus Materialien wie Holz, Papier, Gummi, die gemessen an den hohen Standards von FSC aus nachhaltiger Waldwirtschaft stammen, mit transparenten, klaren Nachhaltigkeitssiegeln und Umweltaussagen rechtssicher zu kennzeichnen und zu bewerben.
Mit der ab 2026 auch auf nationaler Ebene geltenden EmpCo-Richtlinie steigen EU-weit die rechtlichen Anforderungen an Umwelt- und Nachhaltigkeitsaussagen in der Unternehmenskommunikation. Allgemeine Umweltaussagen ohne Erklärung oder Spezifizierung werden gar nicht mehr möglich sein; konkrete Umweltaussagen müssen detailliert erläutert werden. Nachhaltigkeitssiegel müssen auf einem Zertifizierungssystem beruhen, das offen, transparent und diskriminierungsfrei ist und dessen Anforderungen durch unabhängige Dritte überwacht werden.
FSC stellt bereits heute durch ein umfassendes System aus zahlreichen öffentlich einsehbaren Standards und Kontrollen sicher, dass seine Label nur dann den Weg auf ein Produkt finden, wenn dieses nachweislich den Grundsätzen einer verantwortungsvollen Waldwirtschaft entspricht.
Gleichwohl war es erforderlich, die Prozesse für die Label-Vergabe durch FSC daraufhin überprüfen zu lassen, dass sie auch den neuen Anforderungen der EmpCo-Richtlinie entsprechen.
„Bei der Auswahl des richtigen Rechtsberatungspartners war FSC eine Kanzlei wichtig, die nicht nur über technisches Fachwissen, sondern auch über ein tiefes Verständnis unserer Branche verfügt; Qualitäten, die SKW Schwarz eindeutig bewiesen hat. Ihre Fähigkeit, die Komplexität unseres Zertifizierungssystems zu bewältigen, in Kombination mit ihrer maßgeschneiderten Beratung, war von unschätzbarem Wert“, sagt Ana-Maria Băban, Commercial Director von FSC.
Dr. Daniel Kendziur, Partner bei SKW Schwarz, erklärt: „Als eines von zahlreichen für die Umwelt wichtigen Zertifizierungssystemen hat sich FSC frühzeitig den wichtigen mit der EmpCo verbundenen Fragen gestellt. Wir freuen uns, dass wir FSC dabei unterstützen konnten, das Zertifizierungssystem strategisch anhand des zukünftigen Rechtsrahmens so auszurichten, dass FSC und seine Kunden sich wie bisher auch weiterhin erfolgreich für Nachhaltigkeit und die Waldwirtschaft einsetzen können.“
Über SKW Schwarz
SKW Schwarz ist eine unabhängige Kanzlei mit rund 120 Anwältinnen und Anwälten, vier Standorten und einem gemeinsamen Anspruch: Wir denken weiter. Als Mitglied von TerraLex ist die Kanzlei global vernetzt und berät in allen relevanten Gebieten des Wirtschaftsrechts. Auch in einem Bereich, der für Unternehmen besonders wichtig ist: der Zukunft. Wir analysieren, schaffen Klarheit und beraten schon heute in den wesentlichen Rechtsbereichen von morgen.
Über Forest Stewardship Council™ (FSC®)
Der Forest Stewardship Council™ (FSC®) ist eine Non-Profit-Organisation, die eine bewährte Lösung für nachhaltige Waldwirtschaft zur Verfügung stellt. Derzeit sind weltweit über 150 Millionen Hektar Wald nach den FSC-Standards zertifiziert. FSC wird unter vielen NGOs, Verbrauchern und Unternehmen gleichermaßen als das strengste Zertifizierungssystem im Bereich der Waldwirtschaft angesehen, um heutige Herausforderungen wie Entwaldung, Klimawandel und Biodiversität zu begegnen. Der FSC-Waldwirtschaftsstandard basiert auf zehn Kernprinzipien, die geschaffen wurden, um eine Bandbreite an Umwelt-, Sozial- und Wirtschaftsfaktoren abzudecken. FSCs „Check Tree“-Label ist auf Millionen von Produkten aus Waldmaterialien weltweit zu finden und zertifiziert, dass diese vom Wald bis zum Endverbraucher nachhaltig gewonnen wurden. Für weitere Informationen, besuchen Sie www.fsc.org.
Cybersecurity im Koalitionsvertrag: Was die neue Bundesregierung zur Stärkung der IT-Sicherheit plant
Im Koalitionsvertrag setzt die zukünftige Bundesregierung, getragen von CDU/CSU und SPD, Schwerpunkte auch im Bereich der Cybersicherheit. Im Fokus stehen die nationale Umsetzung bestehender EU-Vorgaben wie des Cyber Resilience Act (CRA) und der NIS-2-Richtlinie, der Ausbau des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie Maßnahmen zur Stärkung digitaler Souveränität. Für Unternehmen bedeutet das: Die politischen Weichen werden gestellt.
Cyber Resilience Act
Der CRA enthält erstmals unmittelbar geltende Anforderungen an die Cybersicherheit digitaler Produkte und Software über den gesamten Lebenszyklus hinweg. Die Bundesregierung kündigt an, Unternehmen bei der Umsetzung zu unterstützen, insbesondere kleinere Anbieter. Die Einhaltung der Vorgaben bleibt jedoch verpflichtend, auch für solche Unternehmen, die bislang nicht im Anwendungsbereich vergleichbarer EU-Regelungen lagen. Der Koalitionsvertrag betont, dass die Umsetzung des CRA national politisch begleitet und priorisiert wird.
Erfahren Sie hier mehr von SKW Schwarz zum Cyber Resilience Act:
Vorschlag der EU-Kommission für einen 'Cyber Resilience Act'
NIS-2 und BSI-Reform
Die Umsetzung der NIS-2-Richtlinie ist gesetzlich zwingend und zeitlich dringlich. Sie muss durch ein nationales Umsetzungsgesetz erfolgen, nach EU-Vorgabe bereits bis spätestens Oktober 2024. Der Koalitionsvertrag stellt klar, dass das BSI-Gesetz zu diesem Zweck novelliert wird. Die Richtlinie erweitert den Kreis der verpflichteten Unternehmen erheblich, unter anderem auf Teile der Industrie, der Logistik, der Energie- und Abfallwirtschaft sowie digitale Dienste.
Künftig gelten dort verbindliche Anforderungen an IT-Sicherheitsmaßnahmen, Meldepflichten und Governance-Strukturen. Das Bundesamt für Sicherheit in der Informationstechnik soll im Zuge dessen zur zentralen Aufsichtsbehörde für Cybersicherheit mit erweiterten Zuständigkeiten ausgebaut werden. Unternehmen, die bislang nicht erfasst waren, müssen prüfen, ob sie künftig unter die neuen Pflichten fallen und entsprechende Vorkehrungen treffen.
Erfahren Sie hier mehr von SKW Schwarz zur NIS-2 Richtlinie:
NIS2-Tool: Betroffenheit von neuen Anforderungen an IT-Sicherheit
Digitale Souveränität
Ergänzend kündigt die Koalition Maßnahmen zur Stärkung digitaler Souveränität an. Vorgesehen ist unter anderem, sicherheitspolitisch nicht vertrauenswürdige Anbieter in sensiblen Bereichen künftig auf gesetzlicher Grundlage ausschließen zu können. Parallel sollen europäische IT-Infrastrukturen und Open-Source-Lösungen gezielt gestärkt werden. Unternehmen sollten vor diesem Hintergrund die technologische Resilienz ihrer Lieferketten analysieren, nicht nur technisch, sondern auch mit Blick auf regulatorische und geopolitische Risiken.
Bemerkenswert ist in diesem Zusammenhang, dass eine zwischenzeitlich von den Koalitionsparteien veröffentlichte Fassung des Koalitionsvertrags nicht mehr die Formulierung „Komponenten aus vertrauenswürdigen Staaten“ verwendet, sondern schlicht „vertrauenswürdige Komponenten“. Damit würde die inhaltliche Bewertung von Sicherheit und Integrität der Technik stärker in den Vordergrund treten, während der geografische Ursprung an Bedeutung verliert.
Erfahren Sie hier mehr von SKW Schwarz zur digitalen Souveränität in der EU:
Digital Decade Update – Was steht als Nächstes auf der Agenda der Digitalregulierung der EU?
Nationale Cybersicherheitsstrategie
Darüber hinaus soll die nationale Cybersicherheitsstrategie weiterentwickelt werden. Ziel ist eine klarere Aufgabenverteilung zwischen den zuständigen Stellen, eine bessere Verzahnung bestehender Instrumente und eine Stärkung strategischer Sicherheitsziele auf Bundesebene. Dies dürfte auch Auswirkungen auf das Verhältnis zwischen staatlicher Aufsicht und betroffenen Unternehmen haben.
Die neue Bundesregierung setzt im Bereich der IT-Sicherheit auf die Durchsetzung bestehender europäischer Rechtsakte und die Reform nationaler Strukturen. Für Unternehmen ergeben sich daraus nicht nur neue formelle Pflichten, sondern auch strukturelle Anforderungen an Organisation, Prozesse und Technologieeinsatz. Die kommenden Monate sollten genutzt werden, um bestehende Systeme zu prüfen, Verantwortlichkeiten zu klären und die eigene IT-Compliance auf die künftigen gesetzlichen Anforderungen auszurichten.
BAG kippt Verfallklauseln in VSOP – Kehrtwende bei der Bewertung gevesteter Optionsrechte
BAG erklärt nach bisheriger Rechtsprechung zulässige Verfallklauseln eines Employee/Virtual Stock Option Plans (ESOP/VSOP) für unwirksam
Der 10. Senat des Bundesarbeitsgerichts (BAG) hat mit Urteil vom 19. März 2025 – 10 AZR 67/24 zwei Verfallklauseln eines Virtual Stock Option Plans (VSOP) für unwirksam erklärt.
Nach Ansicht des Gerichts würde sowohl der sofortige Verfall bereits gevesteter virtueller Optionsrechte im Falle einer Eigenkündigung als auch der sukzessive Verfall bereits gevesteter virtueller Optionsrechte innerhalb von zwei Jahren – und damit doppelt so schnell, wie die vierjährige Vesting Period – nach der Beendigung des Arbeitsverhältnisses den Arbeitnehmer unangemessen i.S.d. § 307 Abs. 1 S. 1, Abs. 2 Nr. 1 BGB benachteiligen. Dies begründet der Senat einerseits damit, dass die bereits gevesteten virtuellen Optionsrechte einen Teil der Gegenleistung für die vom Arbeitnehmer in dieser Zeit erbrachten Arbeitsleistung darstellten, sodass die Verfallklauseln dem Rechtsgedanken des § 611a Abs. 2 BGB entgegenstünden. Andererseits würden die Verfallklauseln eine unverhältnismäßige Kündigungserschwerung darstellen.
Die Entscheidung erregt insoweit Aufsehen, als dass der 10. Senat mit dieser Entscheidung von seinem bisherigen Verständnis bereits gevesteter Optionen abweicht und an seiner früheren Entscheidung (BAG, Urt. v. 28. Mai 2008 – 10 AZR 351/07) nicht mehr festhält (Pressemitteilung 12/25*). Bisher hatte der 10. Senat die Auffassung vertreten, dass bereits gevestete Optionen aufgrund ihres spekulativen Charakters lediglich als Verdienstchance zu qualifizieren seien. Nach dieser Auffassung wären die o.g. Verfallklauseln wirksam gewesen.
Vor diesem Hintergrund und den damit verbundenen Folgen für die Praxis darf das vollständig abgefasste Urteil mit Spannung erwartet werden; insbesondere, da der 10. Senat in seinem Urteil vom 28. Mai 2008 über 12 Seiten darstellte, dass (virtuelle) Optionsrechte wegen ihres spekulativen Charakters, der den bereits gevesteten virtuellen Optionsrechten auch weiterhin innewohnt, nur eine Verdienstchance, aber eben keine bereits erdiente Vergütung darstellen würden.
Erst mit der Veröffentlichung des vollständig abgefassten Urteils wird erkennbar sein, ob es sich bei der aktuellen Entscheidung um eine Einzelfallentscheidung handelt oder ob der 10. Senat bereits gevestete Optionen bzw. gevestete virtuelle Optionsrechte zukünftig als Teil der Gegenleistung für die vom Arbeitnehmer erbrachten Arbeitsleistung qualifiziert.
Sobald das Urteil veröffentlich ist, werden wir auf die Entscheidung zurückkommen, diese für Sie einordnen und die Auswirkungen auf die Praxis für Sie herausarbeiten.
* Pressemitteilung des BAG v. 19. März 2025 (12/25) hier abrufbar.