Freitag, 20. Februar 2026

Ausgewählte Entwicklungen zum Digital Services Act (DSA)

Zwei Jahre nach Inkrafttreten des Digital Services Act (DSA) liegen neue Daten zur Durchsetzung und weitere regulatorische Leitlinien vor. Die folgenden Punkte fassen aktuelle Entwicklungen der Implementierung überblicksartig (ohne Anspruch auf Vollständigkeit) zusammen.

Benennung von WhatsApp als „Very Large Online Platform“ (VLOP)

Die Europäische Kommission hat WhatsApp offiziell als sehr große Online-Plattform (VLOP) im Sinne des DSA eingestuft. Aufgrund einer Nutzerzahl von über 45 Millionen in der EU muss der Dienst nun strengere Auflagen erfüllen. Dazu gehören die Identifizierung und Minderung systemischer Risiken sowie die Bereitstellung detaillierter Transparenzberichte.

Quelle: Commission designates WhatsApp as Very Large Online Platform

Schutz von Minderjährigen und Altersverifikation

Die Kommission hat spezifische Leitlinien veröffentlicht, um den Schutz Minderjähriger auf Online-Plattformen zu verbessern. Diese enthalten technische und organisatorische Maßnahmen zur Risikominderung.

Quelle: Guidelines on the protection of minors

Ergänzend dazu weist eine Publikation von interface auf bestehende Defizite bei der Altersverifikation („Age Assurance Gap“) hin. Es wird analysiert, inwieweit aktuelle technische Lösungen den gesetzlichen Anforderungen des DSA entsprechen und wo weiterhin Lücken bei der effektiven Altersprüfung bestehen.

Quelle: Age Assurance Gap (interface)

Bilanz der Inhaltsmoderation

Nach Angaben der EU-Kommission wurden seit Einführung des DSA rund 50 Millionen Moderationsentscheidungen von Plattformen revidiert. Dies geschah infolge von Nutzerbeschwerden und der Nutzung von internen sowie externen Beschwerdemechanismen, die durch das Gesetz verpflichtend eingeführt wurden.

Quelle: Two years of DSA: 50 million content moderation decisions reversed

Koordinierung der Aufsichtsbehörden

Das Europäische Gremium für digitale Dienste (European Board for Digital Services) kam zu seiner 16. Sitzung zusammen. Gegenstand der Beratungen war die Abstimmung zwischen den nationalen Koordinatoren für digitale Dienste und der Kommission, um eine einheitliche Durchsetzung des DSA in allen Mitgliedstaaten zu gewährleisten. Siehe auch den 1. Bericht zu systemischen Risiken und Gegenmaßnahmen

Quellen: Press statement: European Board for Digital Services 16th meeting

First report of the European Board for Digital Services in cooperation with the Commission pursuant to Article 35(2) DSA on the most prominent and recurrent systemic risks as well as mitigation measures

Einleitung von Verfahren und Durchsetzungsmaßnahmen

Die Europäische Kommission hat mehrere förmliche Verfahren zur Prüfung von Verstößen gegen den DSA eingeleitet. Diese betreffen unter anderem die Sorgfaltspflichten beim Umgang mit illegalen Inhalten und die Transparenz von Werbesystemen.

Details zu den einzelnen Verfahren:


Tag(s): DSA

Dienstag, 3. Februar 2026

Aktueller Sammelbandbeitrag: Kastelitz/Tercero/Löffler, Neue (und altbekannte) Anforderungen an den Einsatz von Cloud-Lösungen

Im soeben erschienenen Jahrbuch 25 Datenschutzrecht, herausgegeben von Bergauer/Gosch findet sich ein ausführlicher Beitrag, den ich als Erstautor (ua auch zur Digitalen Souveränität) mitverfassen durfte: Kastelitz/Tercero/Löffler, Neue (und altbekannte) Anforderungen an den Einsatz von Cloud-Lösungen – Data Act, Digital Markets Act und DSGVO, 29-57

Tag(s): Publikation

Montag, 24. November 2025

Digital Omnibus: KOM schlägt regulatorische “Erleichterungen” vor

Die Hauptelemente des am 19.11.2025 veröffentlichten Pakets umfassen einen digitalen Omnibus, der Änderungen von Vorschriften für personenbezogene und nicht-personenbezogene Daten sowie für die Cybersicherheit und bestimmte Elemente des KI-Gesetzes (AI Act) vorschlägt. Es beinhaltet außerdem eine Mitteilung zur Datenunionsstrategie, Mustervertragsklauseln (Model Contractual Terms) für den Datenzugang und die Datennutzung sowie Standardvertragsklauseln für Cloud-Computing-Verträge, ebenso wie eine Verordnung für europäische Unternehmens-Wallets. Zusätzlich enthält das Paket eine öffentliche Konsultation zum digitalen Fitness-Check:

KOM: Vertragsklauseln für Cloud-Computing und Datennutzung

Die Europäische Kommission hat am 19.11.2025 eine wichtige Hilfestellung für die Umsetzung des Data Act veröffentlicht (Pressemeldung EN):

Zum einen unverbindliche Mustervertragsklauseln für den Datenzugriff und die Datennutzung, zum anderen Standardvertragsklauseln für Cloud-Computing-Verträge (pdf):

  • Model Contractual Terms (MCTs): Für den Datenaustausch im Rahmen der Kapitel II und III des Data Act wurden drei Sätze von Mustervertragsklauseln entworfen, um die drei Beziehungen abzudecken, in denen der Datenaustausch verpflichtend ist, nämlich zwischen Dateninhabern, Nutzern und Datenempfängern von Daten, die bei der Nutzung vernetzter Produkte generiert werden.
  • Standard Contractual Clauses (SCCs): Drei Standardvertragsklauseln (SCCs) übertragen die Bestimmungen von Kapitel VI (Cloud-Wechsel) in Vertragsbedingungen, die in Datenverarbeitungsverträge eingefügt werden können:
    • SCC Switching & Exit (Bestimmungen zum Wechsel),

    • SCC Termination (Bestimmungen zur Vertragsbeendigung),

    • SCC Security & Business continuity (Bestimmungen zu Sicherheit und Geschäftskontinuität während des Wechsels, einschließlich der Benachrichtigung des Anbieters über signifikante Vorfälle).

Gerade für SMEs (aber auch größere Entitäten) lohnt sich der Blick in das Dokument, um auf die Anforderungen des Data Act zu reagieren und (bestehende) Verträge zu optimieren bzw. zu erstellen.

Zum Data Act hat die Kommission bereits FAQs und eine Leitlinie zu Fahrzeugdaten (maßgeschneiderte Ratschläge zur Umsetzung von Kapitel II DA) veröffentlicht.

PS: Im demnächst erscheinenden Jahrbuch Datenschutzrecht 25, herausgegeben von Bergauer/Gosch, erscheint ein umfassender Beitrag von mir (als Erstautor) und Kolleg*innen zum Thema “Neue (und altbekannte) Anforderungen an den Einsatz von Cloud-Lösungen – Data Act, Digital Markets Act und DSGVO”.

Freitag, 31. Oktober 2025

Aufsatz: Datenschutz- und AI Act-Compliance bei Aufzeichnung und Transkription von Online-Meetings

Gemeinsam mit Michael Löffler habe ich in der Fachzeitschrift für Wirtschaftsrecht ecolex einen Beitrag zum aktuellen Thema “Aufzeichnung und Transkription von Online-Konferenzen” verfasst. Bei der Aufnahme bzw Transkription von Online-Konferenzen stellen sich naturgemäß Fragen zur rechtskonformen Datenverarbeitung, insbesondere zur DSGVO und zum AI Act - unser Beitrag beleuchtet neben diesen Kernthemen auch Aspekte des Persönlichkeitsschutzes (§ 16 ABGB; §§ 77 f UrhG), das TKG 2021, streift das Strafrecht und gibt am Ende Praxistipps. Der Aufsatz ist hier (paywall) abrufbar.

Sonntag, 7. September 2025

Digitale Souveränität unter Druck: Der US-”Kill Switch” und Europas “Antwort”

In Europa wächst die Besorgnis über einen potenziellen „Kill Switch“ aus den USA. Dieser Begriff beschreibt die Möglichkeit der US-Regierung, Europas Zugang zu US-amerikanischen Cloud-Diensten und anderen Technologien einseitig zu kappen. Obwohl ein solches Szenario als unwahrscheinlich gilt, wäre es grundsätzlich möglich - Instrumente hierfür existieren z.B. im International Emergency Economic Powers Act (IEEPA), wie der ehemalige Chief of the Cyber and National Security Unit at the White House ausführlich ausführt.

Diese Bedrohung befeuert Europas Streben nach digitaler Souveränität, dessen praktische Umsetzung u.a. in der Entwicklung „souveräner Clouds“ liegt, die vor US-Gesetzen wie dem CLOUD Act geschützt sind. Doch der Weg ist steinig: US-Hyperscaler wie Google, Microsoft und Amazon dominieren den europäischen Markt, ihre „europäischen” Angebote werden von manchen sogar als „Souveränitäts-Washing“ kritisiert. Selbst vermeintliche „Datengrenzen“ von US-Anbietern weisen nämlich z.T. wenig beachtete Ausnahmen auf, die Datenübertragungen in die USA zur Folge haben (oder auch Zugriffe aus den USA mittels CLOUD Act oder anderer Instrumentarien, siehe dazu z.B. Prof. Vladeck für die dt. DSK) und somit die Datensouveränität in Frage stellen. Zudem sind proprietäre Cloud-Systeme strukturell von Updates aus den USA abhängig, was bei einem Entzug der Unterstützung schnell zu Sicherheitslücken führen könnte. BSI-Präsidentin Plattner hält die vollständige digitale Souveränität für Deutschland derzeit für unerreichbar, betont aber die Wichtigkeit von Kontrollmechanismen. Langfristig setzt Europa auf den Aufbau eigener Alternativen, um strategische Abhängigkeiten zu mindern und einer „digitalen Scheidung“ entgegenzuwirken - siehe u.a. den Bericht „EuroStack – Eine europäische Alternative für digitale Souveränität“, der aufzeigt, wie die EuroStack-Initiative dazu beitragen kann, die Abhängigkeit Europas zu verringern.

Für besonders Interessierte empfehle ich diese Anfragebeantwortung der dt. Bundesregierung zum Thema “Digitale Souveränität und Nutzung von Open Source bei Clouds der Bundesverwaltung und der Status der Deutschen Verwaltungscloud-Strategie”.

Donnerstag, 10. Juli 2025

Dt. Bundestag: 58-seitiger Infobrief zum Einsatz von KI in Behörden der EU-Mitgliedstaaten

Der volle Titel des Infobriefs vom 7. Juli 2025 lautet “Zu rechtlichen Vorgaben der Verordnung über Künstliche Intelligenz für den Einsatz von KI in Behörden der EU-Mitgliedstaaten” und geht auf rechtliche Aspekte, die für Behörden der EU-Mitgliedstaaten gemäß AI Act (KI-VO) bei der Einführung und Nutzung von KI-Anwendungen relevant sein können, ein. Zum Inhalt (Auszug aus dem Bericht):

Behandelt werden Fragestellungen im Zusammenhang mit der Anbieter- oder Betreibereigenschaft von Behörden (Ziff. 2.), Registrierungspflichten für KI-Systeme (Ziff. 3.) sowie sonstigen Dokumentations- und Transparenzpflichten (Ziff. 4., 5.). Der Infobrief geht auf die Pflichten zur Kompetenzbildung im KI-Bereich (Ziff. 6.) und auf die Frage ein, ob Organisationsstrukturen für ein Compliance-Management geschaffen werden sollten (Ziff. 7). Abschließend werden Maßnahmen dargestellt, die Behörden bei der Einführung eines generativen Allzweck-KI-Systems wie ChatGPT, Claude oder Gemini beachten sollten (Ziff. 8.).

GPAI Code of Practice veröffentlicht

Beim GPAI Code of Practice handelt es sich um ein freiwilliges Instrument, das von unabhängigen Experten in einem Multi-Stakeholder-Prozess erarbeitet und am 10. Juli 2025 veröffentlicht wurde. Sein Hauptzweck ist es, die Branche dabei zu unterstützen, die Vorgaben des KI-Gesetzes bezüglich Sicherheit, Transparenz und Urheberrecht von Allzweck-KI-Modellen zu erfüllen.

In den folgenden Wochen werden die Mitgliedstaaten und die Europäische Kommission seine Angemessenheit bewerten. Ergänzt wird er durch Leitlinien der Kommission zu Schlüsselkonzepten im Zusammenhang mit Allzweck-KI-Modellen, die ebenfalls noch im Juli veröffentlicht werden sollen.

Der Verhaltenskodex gliedert sich in drei separate Kapitel:

1. Transparenz: Dieses Kapitel bietet ein nutzerfreundliches Modelldokumentationsformular. Anbieter können damit die notwendigen Informationen leicht dokumentieren, um ihrer Verpflichtung zur Gewährleistung ausreichender Transparenz gemäß Artikel 53 des KI-Gesetzes nachzukommen.
2. Urheberrecht: Hier finden Anbieter praktische Lösungen, um die Verpflichtung des KI-Gesetzes zur Einführung einer Richtlinie zur Einhaltung des EU-Urheberrechts zu erfüllen. Dieses Kapitel ist, wie das Transparenzkapitel, für alle Anbieter von Allzweck-KI-Modellen relevant, um ihre Verpflichtungen gemäß Artikel 53 des KI-Gesetzes zu demonstrieren.
3. Safety and Security: Dieses Kapitel skizziert konkrete, dem Stand der Technik entsprechende Praktiken für das Management systemischer Risiken, d.h. Risiken, die von den fortschrittlichsten Modellen ausgehen. Es ist nur für die wenigen Anbieter der fortschrittlichsten Modelle relevant, die den Verpflichtungen des KI-Gesetzes für Anbieter von Allzweck-KI-Modellen mit systemischem Risiko gemäß Artikel 55 des KI-Gesetzes unterliegen.

Sonntag, 27. April 2025

Report on B2B data sharing and cloud computing contracts

The Expert Group on B2B data sharing and cloud computing contracts recently published (nomen est omen) its “Final Report of the Expert Group on B2B data sharing and cloudcomputing contracts” (pdf).

According to Article 41 of the Data Act the Commission should recommend non-binding model contractual terms on data access and use (‘MCTs’) and standard contractual clauses for cloud computing contracts (‘SCCs’) - that’s what this report is about, apparently without an express recommendation by the Commission.

The experts of the Expert group analysed chapters II-IV of the Data Act and drafted the following MCTs to help implement these provisions:

• Data Holder to User

• User to Data Recipient

• Data Holder to Data Recipient

• Data Sharer to Data Recipient

Additionally, the report contains non-binding standard contractual clauses for cloud computing contracts to assist parties in drafting such agreements.