Mittwoch, 17. Juni 2026

AI Digital Omnibus vom EP beschlossen

Das Europäische Parlament hat am 16. Juni 2026 seine Position zur Änderung der KI-Verordnung (EU) 2024/1689 in erster Lesung angenommen (423 Ja-Stimmen, 57 Nein, 174 Enthaltungen). Der Rechtsakt – bezeichnet als „Digital Omnibus on AI” (COM(2025)0836) – ändert die KI-VO in mehreren Punkten. Die förmliche Annahme durch den Rat steht noch aus.

Hintergrund

Die KI-VO ist seit 1. August 2024 in Kraft, ihre Bestimmungen gelten jedoch gestaffelt. Die pünktliche Anwendung stand unter Druck: Nationale Aufsichtsbehörden wurden vielerorts noch nicht benannt, harmonisierte Normen und Konformitätsbewertungsrahmen lagen nicht rechtzeitig vor. Die Europäische Kommission hatte den Vorschlag am 19. November 2025 als Teil eines breiteren „Digitalen Omnibuspakets” eingebracht, das neben den KI-Regeln auch Datenschutz- und Cybersicherheitsvorschriften sowie einen Vorschlag zum Europäischen Unternehmenswallet umfasst. Der
erklärte Zweck: Reduktion von Verwaltungsaufwand bei Beibehaltung des risikobasierten Ansatzes.

1. Neue Anwendungsfristen für Hochrisiko-KI-Systeme

Die Verpflichtungen für Hochrisiko-KI-Systeme nach Art. 6 KI-VO werden zeitlich gestreckt. Für eigenständige Hochrisiko-KI-Systeme (Anhang III) gilt als späteste Frist der 2. Dezember 2027; für KI-Systeme, die als Sicherheitskomponente in Produkte eingebettet sind und unter sektorale EU-Harmonisierungsvorschriften fallen (Anhang I), der 2. August 2028. Für diese Kategorie gelten ab sofort im Wesentlichen nur noch Art. 6 Abs. 1, Art. 60a und Art. 102–112 KI-VO (Art. 2 Abs. 2 neu). Anbieter generativer KI-Systeme, die bereits vor dem 2. August 2026 auf dem Markt waren, erhalten eine Übergangsfrist bis zum 2. Dezember 2026, um die Pflicht zur maschinenlesbaren Kennzeichnung KI-generierter Inhalte (Art. 50 Abs. 2 KI-VO) zu erfüllen.

2. Verbot von „Nudifier-Apps” und KI-generierten Missbrauchsdarstellungen

Die rechtspolitisch bedeutsamste Änderung betrifft Art. 5 KI-VO. Neu eingefügt werden zwei Verbotstatbestände:

Art. 5 Abs. 1 lit. ba (neu) verbietet das Inverkehrbringen, die Inbetriebnahme oder Verwendung eines KI-Systems, das ohne die ausdrücklich erteilte, spezifische, informierte, eindeutige und explizite Einwilligung der betroffenen Person realistische Bilder, Videos, Audio oder ähnliches Material der intimen Körperbereiche einer identifizierbaren natürlichen Person oder einer identifizierbaren natürlichen Person bei sexuell eindeutigen Handlungen generiert oder manipuliert.

Art. 5 Abs. 1 lit. bb (neu) verbietet KI-Systeme, die Material im Sinne von Art. 2 lit. c und e der Richtlinie 2011/93/EU über die Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern generieren oder manipulieren, sofern kein nationaler Rechtfertigungsgrund greift.

Für Anbieter gilt das Verbot nur, wenn das Erzeugen derartigen Materials entweder der bestimmungsgemäße Zweck des Systems ist oder wenn dieses Ergebnis ohne wesentliche technische Veränderung vorhersehbar und reproduzierbar ist und das System keine angemessenen technischen Sicherheitsvorkehrungen aufweist (Art. 5 Abs. 1a lit. a neu). Für Betreiber ist die zweckgerichtete Verwendung des Systems zu diesem Zweck verboten (Art. 5 Abs. 1a lit. b neu). Bloße Nachbearbeitung ohne Erhöhung des Grads der Nacktheit oder Änderung der
sexuellen Handlung ist vom Tatbestand ausgenommen (Art. 5 Abs. 1b neu). Die Anpassungsfrist für Anbieter läuft bis zum 2. Dezember 2026.

Der Erwägungsgrund 11 des Rechtsakts hält fest, dass nicht-einvernehmliches Intimmaterial sexuelle Gewalt darstellt und die Verbreitung sogenannter „Nudification”-Anwendungen eine ausdrückliche Verbotsregelung erforderlich macht. Zu beachten ist, dass die verbotenen Verhaltensweisen auch nach nationalem Strafrecht sanktioniert werden können; die KI-rechtlichen Verbote schliDiesereßen eine strafrechtliche Verfolgung nicht aus (Erwägungsgrund 15).

3. Neudefinition „Sicherheitskomponente”

Art. 3 Z 14 KI-VO wird neu gefasst: Eine Sicherheitskomponente liegt nur vor, wenn der bestimmungsgemäße Zweck eines Bestandteils darin besteht, Risiken für Gesundheit und Sicherheit von Personen oder Eigentum zu verhindern oder zu mindern. Art. 6 Abs. 1a (neu) stellt klar, dass
KI-Systeme, die ausschließlich Nutzerunterstützung, Leistungsoptimierung, Effizienz, Automatisierung, Komfort oder nicht sicherheitsrelevante Qualitätskontrolle erfüllen, nicht als Sicherheitskomponente gelten. Maschinenbauprodukte mit KI-Anteil werden darüber hinaus aus dem direkten Hochrisiko-Regime der KI-VO herausgelöst; für sie gelten ausschließlich die Anforderungen der Maschinenverordnung. Die Kommission ist verpflichtet, deren Anhang III durch delegierten Rechtsakt um gesundheits- und sicherheitsbezogene Anforderungen an hochriskante KI-Systeme zu ergänzen.

4. Verarbeitung besonderer Datenkategorien zur Erkennung von Verzerrungen (neuer Art. 4a KI-VO)

Ein neuer Art. 4a KI-VO schafft eine eigenständige Rechtsgrundlage für die ausnahmsweise Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) zur Erkennung und Korrektur von Verzerrungen – und zwar sowohl für Anbieter von Hochrisiko-KI-Systemen als auch für Betreiber und Anbieter sonstiger KI-Systeme und -Modelle. Voraussetzung ist strikte Erforderlichkeit; die Verzerrung darf nicht durch andere Daten behebbar sein. Hinzu kommen umfangreiche Schutzpflichten (Pseudonymisierung, Zugangsbeschränkung, Löschpflicht nach erfolgter Korrektur).

5. Ausweitung auf kleine Midcap-Unternehmen; KI-Kompetenz

Die bisher nur für KMU geltenden Erleichterungen (vereinfachte technische Dokumentation, verhältnismäßige Qualitätsmanagementsysteme) werden auf kleine Midcap-Unternehmen im Sinne der Empfehlung (EU) 2025/1099 ausgeweitet. Die bisher als zwingende Pflicht ausgestaltete KI-Kompetenz (Art. 4 KI-VO) wird umgestaltet: Anbieter und Betreiber sollen Maßnahmen zur Förderung der KI-Kompetenz ihres Personals treffen; Kommission und Mitgliedstaaten sind gehalten, entsprechende Initiativen zu unterstützen und zu fördern.

Einordnung

Die Änderungen berühren den risikobasierten Ansatz der KI-VO strukturell nicht. Die neuen Verbotstatbestände in Art. 5 stellen jedoch eine Verschärfung dar, keine Vereinfachung; die neuen Fristen senken den Anpassungsdruck kurzfristig, beseitigen die Grundpflichten jedoch nicht.

Quellen:
Pressemitteilung des Europäischen Parlaments (DE) |
Angenommener Text P10_TA(2026)0198 (PDF, dzt. nur in der EN-Sprachfassung verfügbar) |
EPRS-Briefing PE 782.651, Juni 2026 (PDF, EN)

Tag(s): AI Omnibus

Dienstag, 31. März 2026

Österreich: Parlamentarisches Datenschutzkomitee veröffentlicht 1. Jahresbericht

Das Parlamentarische Datenschutzkomitee (PDK), Österreichs zweite Datenschutz-Aufsichtsbehörde neben der DSB, hat gemäß § 35e Abs. 3 in Verbindung mit § 23 DSG bis zum 31. März eines jeden Jahres einen Tätigkeitsbericht zu erstellen. Dieser wurde nun hier (pünktlich) veröffentlicht: Dokument öffnen (PDF)

Tag(s): PDK

Montag, 30. März 2026

Fallbericht zu Art 6 Abs 1 lit f DSGVO veröffentlicht

Ein von Dr. TJ McIntyre im Auftrag des Europäischen Datenschutzausschusses (EDSA) ​verfasster Bericht (pdf) analysiert, wie Datenschutz-Aufsichtsbehörden die Rechtsgrundlage des berechtigten Interesses gemäß Art 6 Abs 1 lit f DSGVO in der Praxis auslegen. Die Fallstudie untersucht zahlreiche grenzüberschreitende Entscheidungen, die Themen wie Betrugsprävention, Direktmarketing und Bonitätsprüfungen abdecken. Ein zentraler Fokus liegt dabei auf dem Drei-Stufen-Test, mit dem die Zulässigkeit, Erforderlichkeit und Abwägung der auf berechtigte Interessen gestützte Datenverarbeitungen bewertet wird. Der Bericht verdeutlicht zudem häufige Fehler von Unternehmen, insbesondere mangelnde Transparenz oder unzureichende Dokumentation der Interessenabwägung. Abschließend werden Herausforderungen bei der grenzüberschreitenden Rechtsdurchsetzung sowie das komplexe Zusammenspiel mit der E-Privacy-Richtlinie erörtert.

Montag, 23. März 2026

Rat und EP-Ausschüsse zum „AI Digital Omnibus“

Mit dem im November 2025 von der Europäischen Kommission vorgelegten Vorschlag einer „Digital-Omnibus-Verordnung zur KI“ sollen spezifische Umsetzungsprobleme der KI-VO (AI Act) adressiert, der regulatorische Aufwand reduziert und der Zeitplan für die Anwendung bestimmter Vorschriften angepasst werden - aber auch dieser Vorschlag muss durch das europäische Gesetzgebungsverfahren. Hier gibt es nun wichtige Entwicklungen:

Sowohl der Rat der Europäischen Union als auch die federführenden Ausschüsse des Europäischen Parlaments haben nun ihre Verhandlungspositionen formuliert. Der Europäische Rat hat am 13. März 2026 seine allgemeine Ausrichtung (Verhandlungsmandat) festgelegt. Der Rat unterstützt die grundsätzliche Stoßrichtung des Kommissionsvorschlags zur Entbürokratisierung, nimmt jedoch wesentliche juristische Präzisierungen und Ergänzungen vor:

  • Verbindliche Anwendungsfristen: Statt einer an die Verfügbarkeit von Normen geknüpften Frist fordert der Rat fixe Stichtage für die verzögerte Anwendbarkeit der Vorschriften für Hochrisiko-KI-Systeme. Diese sollen ab dem 2. Dezember 2027 für eigenständige Hochrisiko-KI-Systeme und ab dem 2. August 2028 für in Produkte eingebettete Hochrisiko-KI-Systeme gelten.
  • Ausweitung der Verbotsnormen: Das Mandat des Rates sieht ein neues Verbot für KI-Praktiken vor, die nicht einvernehmliche sexuelle und intime Inhalte (sogenannte Deepfakes) oder Darstellungen von sexuellem Kindesmissbrauch generieren.
  • Datenschutz und Bias-Korrektur: Bei der Verarbeitung besonderer Kategorien personenbezogener Daten zum Zweck der Erkennung und Korrektur von Verzerrungen (Bias) hat der Rat den strikten Maßstab der unbedingten Notwendigkeit wieder in den Text aufgenommen.
  • Registrierungspflichten: Die Pflicht zur Registrierung in der EU-Datenbank wurde für Anbieter von Nicht-Hochrisiko-KI-Systemen durch den Rat wiederhergestellt..

Am 18. März 2026 nahmen die Ausschüsse für Binnenmarkt (IMCO) und bürgerliche Freiheiten (LIBE) ihren gemeinsamen Bericht zum Vorschlag an. Die Position der Parlamentarier deckt sich in wesentlichen Punkten mit der des Rates, setzt jedoch eigene wirtschafts- und verbraucherschutzrechtliche Akzente:

  • Konvergenz bei Fristen und Verboten: Die Ausschüsse schließen sich den vom Rat geforderten festen Fristen (Dezember 2027 und August 2028) für Hochrisiko-Systeme an. Ebenso befürworten sie das spezifische Verbot von sogenannten „Nudifier“-Systemen, die ohne Einwilligung der betroffenen echten Personen explizite sexuelle Bilder erstellen oder manipulieren.
  • Markierungspflichten: Im Hinblick auf die Übergangsfristen zur Einhaltung der Vorschriften für Wasserzeichen (Kennzeichnung von KI-generierten Inhalten) schlagen die Abgeordneten eine verkürzte Frist bis zum 2. November 2026 vor, statt der von der Kommission angedachten Verlängerung bis Februar 2027.
  • Ausnahmen für KMU und SMCs: Um europäische Unternehmen beim Wachstum zu unterstützen, billigten die Ausschüsse die Ausweitung vereinfachter Dokumentationspflichten auf kleine Unternehmen mit mittlerer Marktkapitalisierung (Small Mid-Cap Enterprises, SMCs).
  • Kohärenz mit sektorspezifischem Recht: Ein zentrales Anliegen der Ausschüsse ist die Vermeidung regulatorischer Doppelbelastungen. Verpflichtungen aus dem KI-Gesetz sollen für Produkte, die bereits sektoralen EU-Rechtsvorschriften (wie z. B. für Medizinprodukte oder Maschinensicherheit) unterliegen, weniger streng ausfallen.


Ausblick und nächste Verfahrensschritte

Bevor die finalen Kompromisse zum Gesetzestext ausgehandelt werden können, bedarf es noch der formellen Bestätigung des parlamentarischen Mandats. Die Abstimmung über das Verhandlungsmandat der IMCO- und LIBE-Ausschüsse im Plenum des Europäischen Parlaments ist für den 26. März 2026 vorgesehen.

Trilog-Verhandlungen: Mit der formellen Billigung durch das Parlament können unmittelbar die interinstitutionellen Trilog-Verhandlungen zwischen dem EU-Rat, dem Europäischen Parlament und der EU-Kommission beginnen. Laut Kai Zenner ist das Inkrafttreten für Anfang August 2026 geplant. Wohlgemerkt sind die (separat) vorgeschlagenen Änderungen der DSGVO (und anderer Rechtsakte) davon nicht umfasst, hier könnte es erst Ende 2026/Anfang 2027 zu einer Einigung kommen.

Donnerstag, 19. März 2026

EuGH: Grenzen für Auskunftsersuchen

Der Europäische Gerichtshof hat am 19.3. 2026 in der Rs Brillen Rottler (C-526/24) ein Urteil zu rechtsmissbräuchlichen Auskunftsanträgen gefällt.

Sachverhalt:
Ein Nutzer abonnierte den Newsletter eines Optikers und stellte 13 Tage später einen Auskunftsantrag. Das Unternehmen verweigerte die Auskunft unter Verweis auf öffentliche Berichte, wonach der Nutzer systematisch Newsletter abonniere, um Auskunft zu verlangen und anschließend Schadenersatz zu fordern.

Kernaussagen des Urteils:
Auch ein erstmaliges Auskunftsbegehren nach Art 15 DSGVO kann gem Art 12 Abs 5 DSGVO als exzessiv und missbräuchlich eingestuft werden, allerdings ist der Begriff „exzessive Anträge“ eng auszulegen und der Nachweis des exzessiven Charakters vom Verantwortlichen zu erbringen.
Ein Missbrauch liegt vor, wenn der Antrag nicht zur Überprüfung der Datenverarbeitung gestellt wird, sondern in der Absicht, “künstlich” die Voraussetzungen für Schadenersatz zu schaffen. Öffentlich zugängliche Informationen über systematische Auskunftsanträge und Schadenersatzforderungen der auskunftsbegehrenden Person können vom Verantwortlichen dabei als Beweis für diese Absicht mitberücksichtigt werden.
Die bloße Verletzung des Auskunftsrechts nach Art 15 DSGVO kann einen Schadenersatzanspruch nach Art 82 Abs 1 DSGVO begründen, auch ohne dass eine unrechtmäßige Datenverarbeitung stattgefunden hat. Der immaterielle Schaden umfasst zwar grundsätzlich den Kontrollverlust über eigene Daten - führt die betroffene Person diesen Kontrollverlust jedoch durch ihr eigenes Verhalten absichtlich herbei, um die Voraussetzungen für einen Schadenersatz zu schaffen, entfällt der Anspruch, da sie selbst die entscheidende Ursache gesetzt hat (Unterbrechung des Kausalzusammenhangs).

EDSA/DSB-Prüfschwerpunkt 2026: Transparenz- und Informationspflichten

Am 19.3.2026 hat der Europäische Datenschutzausschuss (EDPB) den Startschuss für seine diesjährige koordinierte Prüfmaßnahme (Coordinated Enforcement Framework - CEF) gegeben. Nachdem im vergangenen Jahr das Recht auf Löschung geprüft wurde, rückt 2026 ein neues, für uns alle hochrelevantes Thema in den Fokus: die Einhaltung der Transparenz- und Informationsverpflichtungen unter der DSGVO.

Was bedeutet das aus österreichischer Sicht?
Die österreichische Datenschutzbehörde (DSB) hat bereits bestätigt, dass sie sich auch im Jahr 2026 an dieser europaweit zwischen 25 Datenschutzbehörden koordinierten Maßnahme beteiligen wird. Für Verantwortliche heißt es daher aufpassen: Die Behörde wird demnächst gezielt Verantwortliche aus unterschiedlichen Sektoren kontaktieren - erfahrungsgemäß mit einem detaillierten Fragebogen. Nähere Details zum genauen Vorgehen in Österreich wird die DSB zu einem späteren Zeitpunkt noch bekannt geben.

Warum gerade Transparenz?
Die DSGVO stellt durch die Artikel 12, 13 und 14 sicher, dass betroffene Personen darüber informiert werden, wenn ihre Daten verarbeitet werden. Dieses Recht auf Information ist ein Kernelement der Transparenz und sorgt dafür, dass Betroffene mehr Kontrolle über ihre personenbezogenen Daten behalten. Art 12 Abs 1 DSGVO, der Ausdruck des Transparenzgrundsatzes ist, soll laut EuGH gewährleisten, dass die betroffene Person in die Lage versetzt wird, die an sie gerichteten Informationen in vollem Umfang zu verstehen (EuGH 4.5.2023, C‑487/21, Rn 38; 11.7.2024, C‑757/22, Rn 56 ff).

Wie geht es weiter?
In der zweiten Jahreshälfte 2026 werden die teilnehmenden Behörden ihre gesammelten nationalen Erkenntnisse austauschen und aggregieren. Ziel ist es, tiefere Einblicke in die praktische Umsetzung der Informationspflichten zu gewinnen und einen gemeinsamen Bericht zu erstellen. Dieser wird schließlich vom EDPB verabschiedet und soll gezielte Folgemaßnahmen sowohl auf nationaler als auch auf EU-Ebene ermöglichen.

Tag(s): Transparenz

Montag, 24. November 2025

Digital Omnibus: KOM schlägt regulatorische “Erleichterungen” vor

Die Hauptelemente des am 19.11.2025 veröffentlichten Pakets umfassen einen digitalen Omnibus, der Änderungen von Vorschriften für personenbezogene und nicht-personenbezogene Daten sowie für die Cybersicherheit und bestimmte Elemente des KI-Gesetzes (AI Act) vorschlägt. Es beinhaltet außerdem eine Mitteilung zur Datenunionsstrategie, Mustervertragsklauseln (Model Contractual Terms) für den Datenzugang und die Datennutzung sowie Standardvertragsklauseln für Cloud-Computing-Verträge, ebenso wie eine Verordnung für europäische Unternehmens-Wallets. Zusätzlich enthält das Paket eine öffentliche Konsultation zum digitalen Fitness-Check:

Freitag, 31. Oktober 2025

Aufsatz: Datenschutz- und AI Act-Compliance bei Aufzeichnung und Transkription von Online-Meetings

Gemeinsam mit Michael Löffler habe ich in der Fachzeitschrift für Wirtschaftsrecht ecolex einen Beitrag zum aktuellen Thema “Aufzeichnung und Transkription von Online-Konferenzen” verfasst. Bei der Aufnahme bzw Transkription von Online-Konferenzen stellen sich naturgemäß Fragen zur rechtskonformen Datenverarbeitung, insbesondere zur DSGVO und zum AI Act - unser Beitrag beleuchtet neben diesen Kernthemen auch Aspekte des Persönlichkeitsschutzes (§ 16 ABGB; §§ 77 f UrhG), das TKG 2021, streift das Strafrecht und gibt am Ende Praxistipps. Der Aufsatz ist hier (paywall) abrufbar.

Sonntag, 27. April 2025

CEF 2025-Schwerpunkt: Fragenkatalog zur Löschung veröffentlicht

Der Europäische Datenschutzausschuss (EDSA) hat im März seine jährliche Maßnahme im Rahmen des Coordinated Enforcement Framework (CEF) für das Jahr 2025 eingeleitet. Nach dem Schwerpunkt auf dem Recht auf Auskunft im Jahr 2024 rückt in diesem Jahr die Umsetzung des Rechts auf Löschung (Recht auf Vergessenwerden) gemäß Artikel 17 DSGVO in den Fokus – nicht zuletzt, da das Recht auf Löschung zu den am häufigsten ausgeübten Betroffenenrechte zählt und Gegenstand von Beschwerden durch Betroffene ist.

32 Datenschutzbehörden in ganz Europa, darunter auch die österreichische Datenschutzbehörde (DSB), beteiligen sich an dieser Initiative im Jahr 2025. Die teilnehmenden Behörden werden Verantwortliche aus verschiedenen Sektoren kontaktieren und entweder Untersuchungen einleiten oder bestehende Ermittlungen weiterführen. Die DSB hat unter Hinweis auf den CEF-Schwerpunkt Ende März 2025 bekannt gegeben, dass sie amtswegige Prüfverfahren gegen Landespolizeidirektionen eingeleitet hat, wobei ein besonderer Fokus auf der Umsetzung des Rechts auf Löschung (sowie den Modalitäten zur Ausübung von Betroffenenrechten) liegt.

Im Rahmen der koordinierten Aktion werden die Datenschutzbehörden prüfen, wie die für die Verarbeitung Verantwortlichen mit eingegangenen Löschungsanträgen umgehen und darauf reagieren. Kerninstrument der gemeinsamen Initiative ist ein europaweit abgestimmter Fragebogen zur Umsetzung des Rechts auf Löschung durch Verantwortliche. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat hier die wesentlichen Inhalte des Fragebogens zur Mittel zur Selbstkontrolle zur Implementierung des Art 17 DSGVO veröffentlicht.

Die Ergebnisse dieser Initiative sollen im Rahmen des EDSA analysiert und in einem Bericht publiziert werden.

Alle im Bereich des Datenschutzrechts tätige Personen sollten die Entwicklungen im Rahmen des CEF 2025 aufmerksam verfolgen, da die Ergebnisse wichtige Erkenntnisse und möglicherweise Anpassungen für die Prozesse von Verantwortlichen mit sich bringen können. Zudem ist zu empfehlen, auf Basis des veröffentlichten Fragebogens bereits jetzt eine „Selbstevaluierung“ vorzunehmen.

(Von mir verfasster Blogbeitrag, zuerst erschienen bei https://researchinstitute.at/cef-2025-koordinierte-durchsetzung-des-rechts-auf-loeschung-gestartet/)