Die Europäische Kommission hat am 19.11.2025 eine wichtige Hilfestellung für die Umsetzung des Data Act veröffentlicht (Pressemeldung EN):
Zum einen unverbindliche Mustervertragsklauseln für den Datenzugriff und die Datennutzung, zum anderen Standardvertragsklauseln für Cloud-Computing-Verträge (pdf):
- Model Contractual Terms (MCTs): Für den Datenaustausch im Rahmen der Kapitel II und III des Data Act wurden drei Sätze von Mustervertragsklauseln entworfen, um die drei Beziehungen abzudecken, in denen der Datenaustausch verpflichtend ist, nämlich zwischen Dateninhabern, Nutzern und Datenempfängern von Daten, die bei der Nutzung vernetzter Produkte generiert werden.
- Standard Contractual Clauses (SCCs): Drei Standardvertragsklauseln (SCCs) übertragen die Bestimmungen von Kapitel VI (Cloud-Wechsel) in Vertragsbedingungen, die in Datenverarbeitungsverträge eingefügt werden können:
-
SCC Switching & Exit (Bestimmungen zum Wechsel),
-
SCC Termination (Bestimmungen zur Vertragsbeendigung),
-
SCC Security & Business continuity (Bestimmungen zu Sicherheit und Geschäftskontinuität während des Wechsels, einschließlich der Benachrichtigung des Anbieters über signifikante Vorfälle).
Gerade für SMEs (aber auch größere Entitäten) lohnt sich der Blick in das Dokument, um auf die Anforderungen des Data Act zu reagieren und (bestehende) Verträge zu optimieren bzw. zu erstellen.
Zum Data Act hat die Kommission bereits FAQs und eine Leitlinie zu Fahrzeugdaten (maßgeschneiderte Ratschläge zur Umsetzung von Kapitel II DA) veröffentlicht.
PS: Im demnächst erscheinenden Jahrbuch Datenschutzrecht 25, herausgegeben von Bergauer/Gosch, erscheint ein umfassender Beitrag von mir (als Erstautor) und Kolleg*innen zum Thema “Neue (und altbekannte) Anforderungen an den Einsatz von Cloud-Lösungen – Data Act, Digital Markets Act und DSGVO”.
Freitag, 31. Oktober 2025
Gemeinsam mit Michael Löffler habe ich in der Fachzeitschrift für Wirtschaftsrecht ecolex einen Beitrag zum aktuellen Thema “Aufzeichnung und Transkription von Online-Konferenzen” verfasst. Bei der Aufnahme bzw Transkription von Online-Konferenzen stellen sich naturgemäß Fragen zur rechtskonformen Datenverarbeitung, insbesondere zur DSGVO und zum AI Act - unser Beitrag beleuchtet neben diesen Kernthemen auch Aspekte des Persönlichkeitsschutzes (§ 16 ABGB; §§ 77 f UrhG), das TKG 2021, streift das Strafrecht und gibt am Ende Praxistipps. Der Aufsatz ist hier (paywall) abrufbar.
Sonntag, 7. September 2025
In Europa wächst die Besorgnis über einen potenziellen „Kill Switch“ aus den USA. Dieser Begriff beschreibt die Möglichkeit der US-Regierung, Europas Zugang zu US-amerikanischen Cloud-Diensten und anderen Technologien einseitig zu kappen. Obwohl ein solches Szenario als unwahrscheinlich gilt, wäre es grundsätzlich möglich - Instrumente hierfür existieren z.B. im International Emergency Economic Powers Act (IEEPA), wie der ehemalige Chief of the Cyber and National Security Unit at the White House ausführlich ausführt.
Diese Bedrohung befeuert Europas Streben nach digitaler Souveränität, dessen praktische Umsetzung u.a. in der Entwicklung „souveräner Clouds“ liegt, die vor US-Gesetzen wie dem CLOUD Act geschützt sind. Doch der Weg ist steinig: US-Hyperscaler wie Google, Microsoft und Amazon dominieren den europäischen Markt, ihre „europäischen” Angebote werden von manchen sogar als „Souveränitäts-Washing“ kritisiert. Selbst vermeintliche „Datengrenzen“ von US-Anbietern weisen nämlich z.T. wenig beachtete Ausnahmen auf, die Datenübertragungen in die USA zur Folge haben (oder auch Zugriffe aus den USA mittels CLOUD Act oder anderer Instrumentarien, siehe dazu z.B. Prof. Vladeck für die dt. DSK) und somit die Datensouveränität in Frage stellen. Zudem sind proprietäre Cloud-Systeme strukturell von Updates aus den USA abhängig, was bei einem Entzug der Unterstützung schnell zu Sicherheitslücken führen könnte. BSI-Präsidentin Plattner hält die vollständige digitale Souveränität für Deutschland derzeit für unerreichbar, betont aber die Wichtigkeit von Kontrollmechanismen. Langfristig setzt Europa auf den Aufbau eigener Alternativen, um strategische Abhängigkeiten zu mindern und einer „digitalen Scheidung“ entgegenzuwirken - siehe u.a. den Bericht „EuroStack – Eine europäische Alternative für digitale Souveränität“, der aufzeigt, wie die EuroStack-Initiative dazu beitragen kann, die Abhängigkeit Europas zu verringern.
Für besonders Interessierte empfehle ich diese Anfragebeantwortung der dt. Bundesregierung zum Thema “Digitale Souveränität und Nutzung von Open Source bei Clouds der Bundesverwaltung und der Status der Deutschen Verwaltungscloud-Strategie”.
Donnerstag, 10. Juli 2025
Der volle Titel des Infobriefs vom 7. Juli 2025 lautet “Zu rechtlichen Vorgaben der Verordnung über Künstliche Intelligenz für den Einsatz von KI in Behörden der EU-Mitgliedstaaten” und geht auf rechtliche Aspekte, die für Behörden der EU-Mitgliedstaaten gemäß AI Act (KI-VO) bei der Einführung und Nutzung von KI-Anwendungen relevant sein können, ein. Zum Inhalt (Auszug aus dem Bericht):
Behandelt werden Fragestellungen im Zusammenhang mit der Anbieter- oder Betreibereigenschaft von Behörden (Ziff. 2.), Registrierungspflichten für KI-Systeme (Ziff. 3.) sowie sonstigen Dokumentations- und Transparenzpflichten (Ziff. 4., 5.). Der Infobrief geht auf die Pflichten zur Kompetenzbildung im KI-Bereich (Ziff. 6.) und auf die Frage ein, ob Organisationsstrukturen für ein Compliance-Management geschaffen werden sollten (Ziff. 7). Abschließend werden Maßnahmen dargestellt, die Behörden bei der Einführung eines generativen Allzweck-KI-Systems wie ChatGPT, Claude oder Gemini beachten sollten (Ziff. 8.).
Beim GPAI Code of Practice handelt es sich um ein freiwilliges Instrument, das von unabhängigen Experten in einem Multi-Stakeholder-Prozess erarbeitet und am 10. Juli 2025 veröffentlicht wurde. Sein Hauptzweck ist es, die Branche dabei zu unterstützen, die Vorgaben des KI-Gesetzes bezüglich Sicherheit, Transparenz und Urheberrecht von Allzweck-KI-Modellen zu erfüllen.
In den folgenden Wochen werden die Mitgliedstaaten und die Europäische Kommission seine Angemessenheit bewerten. Ergänzt wird er durch Leitlinien der Kommission zu Schlüsselkonzepten im Zusammenhang mit Allzweck-KI-Modellen, die ebenfalls noch im Juli veröffentlicht werden sollen.
Der Verhaltenskodex gliedert sich in drei separate Kapitel:
1. Transparenz: Dieses Kapitel bietet ein nutzerfreundliches Modelldokumentationsformular. Anbieter können damit die notwendigen Informationen leicht dokumentieren, um ihrer Verpflichtung zur Gewährleistung ausreichender Transparenz gemäß Artikel 53 des KI-Gesetzes nachzukommen.
2. Urheberrecht: Hier finden Anbieter praktische Lösungen, um die Verpflichtung des KI-Gesetzes zur Einführung einer Richtlinie zur Einhaltung des EU-Urheberrechts zu erfüllen. Dieses Kapitel ist, wie das Transparenzkapitel, für alle Anbieter von Allzweck-KI-Modellen relevant, um ihre Verpflichtungen gemäß Artikel 53 des KI-Gesetzes zu demonstrieren.
3. Safety and Security: Dieses Kapitel skizziert konkrete, dem Stand der Technik entsprechende Praktiken für das Management systemischer Risiken, d.h. Risiken, die von den fortschrittlichsten Modellen ausgehen. Es ist nur für die wenigen Anbieter der fortschrittlichsten Modelle relevant, die den Verpflichtungen des KI-Gesetzes für Anbieter von Allzweck-KI-Modellen mit systemischem Risiko gemäß Artikel 55 des KI-Gesetzes unterliegen.
Sonntag, 27. April 2025
The Expert Group on B2B data sharing and cloud computing contracts recently published (nomen est omen) its “Final Report of the Expert Group on B2B data sharing and cloudcomputing contracts” (pdf).
According to Article 41 of the Data Act the Commission should recommend non-binding model contractual terms on data access and use (‘MCTs’) and standard contractual clauses for cloud computing contracts (‘SCCs’) - that’s what this report is about, apparently without an express recommendation by the Commission.
The experts of the Expert group analysed chapters II-IV of the Data Act and drafted the following MCTs to help implement these provisions:
• Data Holder to User
• User to Data Recipient
• Data Holder to Data Recipient
• Data Sharer to Data Recipient
Additionally, the report contains non-binding standard contractual clauses for cloud computing contracts to assist parties in drafting such agreements.
Der Europäische Datenschutzausschuss (EDSA) hat im März seine jährliche Maßnahme im Rahmen des Coordinated Enforcement Framework (CEF) für das Jahr 2025 eingeleitet. Nach dem Schwerpunkt auf dem Recht auf Auskunft im Jahr 2024 rückt in diesem Jahr die Umsetzung des Rechts auf Löschung (Recht auf Vergessenwerden) gemäß Artikel 17 DSGVO in den Fokus – nicht zuletzt, da das Recht auf Löschung zu den am häufigsten ausgeübten Betroffenenrechte zählt und Gegenstand von Beschwerden durch Betroffene ist.
32 Datenschutzbehörden in ganz Europa, darunter auch die österreichische Datenschutzbehörde (DSB), beteiligen sich an dieser Initiative im Jahr 2025. Die teilnehmenden Behörden werden Verantwortliche aus verschiedenen Sektoren kontaktieren und entweder Untersuchungen einleiten oder bestehende Ermittlungen weiterführen. Die DSB hat unter Hinweis auf den CEF-Schwerpunkt Ende März 2025 bekannt gegeben, dass sie amtswegige Prüfverfahren gegen Landespolizeidirektionen eingeleitet hat, wobei ein besonderer Fokus auf der Umsetzung des Rechts auf Löschung (sowie den Modalitäten zur Ausübung von Betroffenenrechten) liegt.
Im Rahmen der koordinierten Aktion werden die Datenschutzbehörden prüfen, wie die für die Verarbeitung Verantwortlichen mit eingegangenen Löschungsanträgen umgehen und darauf reagieren. Kerninstrument der gemeinsamen Initiative ist ein europaweit abgestimmter Fragebogen zur Umsetzung des Rechts auf Löschung durch Verantwortliche. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat hier die wesentlichen Inhalte des Fragebogens zur Mittel zur Selbstkontrolle zur Implementierung des Art 17 DSGVO veröffentlicht.
Die Ergebnisse dieser Initiative sollen im Rahmen des EDSA analysiert und in einem Bericht publiziert werden.
Alle im Bereich des Datenschutzrechts tätige Personen sollten die Entwicklungen im Rahmen des CEF 2025 aufmerksam verfolgen, da die Ergebnisse wichtige Erkenntnisse und möglicherweise Anpassungen für die Prozesse von Verantwortlichen mit sich bringen können. Zudem ist zu empfehlen, auf Basis des veröffentlichten Fragebogens bereits jetzt eine „Selbstevaluierung“ vorzunehmen.
(Von mir verfasster Blogbeitrag, zuerst erschienen bei https://researchinstitute.at/cef-2025-koordinierte-durchsetzung-des-rechts-auf-loeschung-gestartet/)
Dienstag, 26. November 2024
Die deutsche Datenschutzkonferenz hat vor kurzem die aktualisierte “Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von digitalen Diensten (OH Digitale Dienste)” in der Version 1.2 veröffentlicht.
Grundsätzlich ist gemäß § 25 Abs. 1 Satz 1 TDDDG die Speicherung von Informationen in der Endeinrichtung von Nutzenden oder der Zugriff auf solche Informationen, die bereits in der Endeinrichtung gespeichert sind, nur mit Einwilligung der Endnutzer:innen zulässig (siehe in Österreich § 165 Abs 3 TKG 2021 und diese FAQ der österreichischen Datenschutzbehörde). Die OH enthält u.a. Ausführungen zur Anforderungen an die Einwilligung vor dem Setzen von Cookies und eine Abgrenzung der Anwendungsbereiche des TDDDG [Anm: entsprechend den Vorgaben der ePrivacyRL) und der DSGVO. Die Orientierungshilfe ergänzt laut DSK die im Oktober 2024 in finaler Fassung veröffentlichten EDSA Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive.