Autor: Andreas Nörr

KI-Kompetenz wird Pflicht

Ab dem 2. Februar 2025 werden die ersten Regelungen der KI-Verordnung (AI Act) auch tatsächlich anwendbar – und mit ihr die Verpflichtung zur KI-Kompetenz in Unternehmen. Wer KI-Systeme nutzt (z. B. ChatGPT, Microsoft Copilot), muss sicherstellen, dass sein Team über ausreichendes Wissen zu Chancen & Risiken verfügt.

❓ Wer ist betroffen? Jedes Unternehmen, das KI im geschäftlichen Umfeld einsetzt.

❓Muss es ein offizieller „KI-Beauftragter“ sein? Die Verordnung fordert in Art. 4 KI-VO „KI-Kompetenz“, nicht zwingend eine benannte Person. Es empfiehlt sich aber aus Nachweis- und Zuständigkeitsgründen, die Kompetenz bei bestimmten Personen zu bündeln. Bei Hochrisiko-KI muss das sogar der Fall sein.

❓Noch mehr Bürokratie? KI-Kompetenz sollte nicht nur als bürokratische Notwendigkeit, sondern als Chance für das Unternehmen gesehen werden. Ein KI-Beauftragter kann und sollte eine Schlüsselrolle im Unternehmen einnehmen, um KI sinnvoll zu etablieren und die KI-Revolution nicht zu verpassen. Ein KI-Beauftragter ist kein „Bremser“, sondern ein Innovator!

❓Gibt es Sanktionen? Auch wenn es im Gegensatz zum Datenschutzbeauftragten kein Bußgeld gibt, ist es doch eine rechtliche Pflicht, welche Folgen haben kann.

❓Was tun? KI-Weiterbildung im Unternehmen etablieren und Verantwortlichkeiten klären! Die nächste 2-tägige Ausbildung der innFactory AI Consulting GmbH findet im Februar statt, ist aber bereits ausgebucht. Neue Termine werden bald hier veröffentlicht.

📌 Fazit: KI-Kompetenz wird Pflicht und ist keine Bürokratiehürde, sondern ein strategischer Vorteil. Unternehmen, die heute in KI-Wissen investieren, sind morgen wettbewerbsfähiger! 🚀

Im Content-Hub der innFactory AI Consulting GmbH habe ich einen ausführlichen Artikel geschrieben.

AI Act in Kraft getreten

Nach der Veröffentlichung im Amtsblatt der Europäischen Union am 12. Juli ist heute der AI Act (Verordnung über die Künstliche Intelligenz, VO (EU) 2024/1689) in Kraft getreten.

Eine Übersicht zu den Regelungen der KI-Verordnung findet sich in dem Blog-Artikel hier.

Die gesamten Regelungen der KI-Verordnung gelten ab dem 2. August 2026, ein paar Regelungen finden aber schon früher Anwendung. Welche Regelungen erstmals in ein paar Monaten gelten, stelle ich im Blog der innFactory AI Consulting vor.

AI Act veröffentlicht: Die erste umfassende KI-Regulierung weltweit

Heute ist der „Artificial Intelligence Act“ (kurz „AI Act“, in der deutschen Fassung auch als „Verordnung über Künstliche Intelligenz“ bezeichnet) im Amtsblatt der Europäischen Union veröffentlicht worden.

Was der AI Act ist, was er regelt und welcher Zeitplan nun gilt, lesen Sie in meinem Beitrag bei der innFactory AI Consulting unter dem Link.

Happy Birthday, Grundgesetz, zum 75.

Du bist eine der besten Verfassungen der Welt, Vorbild vieler anderer Verfassungen.

Die Sprache, vor allem der Urprungsartikel, ist ein Meisterwerk, präzise, klar, einfach, fast lyrisch.

Die Grundrechte Garant unseres Rechtsstaats.

Art. 1 als Leitbild unserer Gesellschaftsordnung.

Auf die nächsten 75 Jahre!

Und lieber aktueller und zukünftiger Verfassungsgeber: Bitte nehme dir die sprachliche Klarheit zum Vorbild für künftige Änderungen.

Es lohnt sich, heute einmal einen Blick in das Grundgesetz zu werfen.

Digitales-Dienste-Gesetz (DDG) in Kraft getreten, das TMG ist Geschichte

Heute ist das Digitale-Dienste-Gesetz (DDG) in Kraft getreten. Es ersetzt das Telemediengesetz (TMG) und komplementiert den europäischen Digital Services Act, welcher am 17.02.2024 in Kraft trat.

Mit die bekannteste Vorschrift im TMG dürfte die Impressumspflicht gewesen sein, die sich in § 5 TMG befunden hat. Diese befindet sich nun wortgleich in § 5 DDG.

Impressen, die noch von „§ 5 TMG“ sprechen, sollten also angepasst werden. In dieser Hinsicht empfiehlt es sich, auf die Nennung von Vorschriften ganz zu verzichten, eine Pflicht dazu besteht hier nämlich nicht. Auch der Rundfunktstaatsvertrag wurde ja im Jahr 2020 durch den Medienstaatsvertrag ersetzt, sodass sich die für journalistisch-redaktionelle Angebote notwendige Informationspflicht sich von § 55 RStV auf § 18 MStV änderte.

Wenn Rechtstexte niemand liest

Die meisten Texte, die wir Anwälte den ganzen Tag schreiben, liest niemand. Allgemeine Geschäftsbedingungen und Datenschutzinformationen werden häufig ungelesen akzeptiert, Datenschutzinformationen weggeklickt. Dies zeigt ein denkwürdiger und auch lustiger Artikel der Süddeutschen Zeitung auf. Wenn man die AGB aufmerksam liest, kann man auch einmal eine kostenlose „gute“ Flasche Wein bekommen oder man stellt fest, dass man darin der Abtretung seines Kindes zustimmt… 🤔


Zum Glück sind überraschende Klauseln in Allgemeinen Geschäftsbedingungen unwirksam (§ 305c Abs. 1 BGB). Deshalb lesen wir Juristen In unserem Privatleben AGB auch selten. 😉

Vielleicht sollten wir ab und zu Romane schreiben, damit unsere Texte auch einmal gelesen werden.

Aus medien-internetrecht.de wird der it-law.blog

Nach fast 10 Jahren ist es an der Zeit, dem Blog einen neuen Namen zu geben. Als ich den Blog 2014 zum Zeitpunkt meines Referendariats begonnen habe, sprachen wir noch vom „Internetrecht“. Dieser Begriff ist mittlerweile zu eng, deckt er doch nur einen Teilaspekt des IT-Rechts ab. Er ist noch nicht aus der Zeit gefallen wie der Begriff des EDV-Rechts, dennoch war es an der Zeit, ihn dem tatsächlichen Inhalt des Blogs anzupassen.

Außerdem befasst sich der Blog schwerpunktmäßig mit IT-Rechts-Themen, das Medienrecht ist zwar darin auch immer wieder Gegenstand, aber nicht so prominent, dass es an erster Stelle der URL genannt wird. Auch dies stammt noch aus der Zeit, als ich den Schwerpunkt „Deutsches und internationales Informations- und Medienrecht“ an der Universität des Saarlandes besucht habe.

Auf die nächsten 10 Jahre!

Unternehmen dürfen Kundenkommunikation nicht über Social-Media-Accounts ihrer Mitarbeiter führen

Das Landgericht Baden-Baden hat mit Urteil vom 24.8.2023, Az. 3 S 13/23, ein Unternehmen verurteilt, die Namen seiner Mitarbeiterin nach Art. 15 DSGVO im Rahmen des Auskunftsanspruchs zu nennen, die einen Kunden über deren privaten Social-Media kontaktiert hatten.

Sachverhalt

Hintergrund war, dass der Kunde bei dem Unternehmen einen Fernseher und eine Wandhalterung gekauft hatte. Der Kunde gab die Wandhalterung zurück. Dabei wurde versehentlich der Kaufpreis für den wesentlich teureren Fernseher zurückerstattet. Daraufhin kontaktierte eine Mitarbeiterin des Unternehmens den Kunden über ihren privaten Social-Media-Account und wies auf den Fehler hin. Sie bat den Kunden darum, sich zu melden. Namen und Anschrift hatte das Unternehmen bei dem Kauf erfasst, aber offenbar keine E-Mail-Adresse oder Telefonnummer, sodass die Mitarbeiterin offenbar den Kunden einfach googelte und dann über das soziale Netzwerk kontaktierte.

Entscheidung des Gerichts

Das Gericht entschied, dass das Unternehmen als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO verpflichtet ist, im Rahmen des Auskunftsanspruchs nach Art. 15 DSGVO die Namen der Mitarbeiter zu nennen, welche den Kunden kontaktiert hatte. Das Amtsgericht hatte die Klage noch mit der Begründung abgewiesen, dass Mitarbeiter keine Empfänger im Sinne der Datenschutzgrundverordnung seien. Das Landgericht sah dies allerdings anders: Mitarbeiter seien nur dann keine Empfänger, wenn diese die Daten unter der Aufsicht des Verantwortlichen und im Einklang mit seinen Weisungen verarbeiteten.

Interessant: Das Gericht verurteilte das Unternehmen auch dazu, den Mitarbeitern die Verwendung der Daten zu untersagen auf Basis von §§ 823 Abs. 2, 1004 BGB i.V.m. Art. 6 Abs. 1 DSGVO. Dies ist insofern interessant, als das OLG Frankfurt am Main kürzlich noch geurteilt hatte, dass Unterlassungsansprüche nach nationalem Recht, insbesondere ein Anspruch aus den §§ 1004 Abs. 1 Satz 2 BGB, § 823 Abs. 2 BGB aufgrund der durch die DSGVO unionsweit abschließend vereinheitlichen Regelung des Datenschutzrechts ausgeschlossen sind (OLG Frankfurt a. M., Urt. v. 30.3.2023 – 16 U 22/22).

Für die Mitarbeiterin wird die Sache noch interessant: Hat sie weisungswidrig gehandelt, wurde sie mit der Kontaktaufnahme über das soziale Netzwerk gegebenenfalls selbst zum Verantwortlichen und unterfällt damit dem Datenschutzrecht. Damit kann gegen sie ebenso ein Bußgeld verhängt werden.

Die Übermittlung von Daten außerhalb der EU, wie sie bei der Nutzung vieler sozialer Netzwerke geschieht, wird ein weiteres Problem sein.

Fazit

Auch wenn es heute fast schon üblich geworden ist, die Mittel der schnellen Kontaktaufnahme zu nutzen, ist dies datenschutzrechtlich sehr riskant.

Durchsuchungen bei Google Fonts-Abmahnenden

Gegen Rechtsanwalt Lehnert und dessen Mandanten Martin Ismail ist nun ein Ermittlungsverfahren wegen Abmahnbetrugs eingeleitet worden, wie unter anderem heise online berichtet. Es habe Durchsuchungen gegeben und teilweise wurde erhaltenes Geld per Arrest eingefroren.

Die Ermittlungen fußen hauptächlich darauf, dass die Websites gar nicht von Martin Ismail aufgerufen wurden, sondern automatisiert per Webcrawler nach Google Fonts gesucht wurde. Ein Webcrawler ist aber keine natürliche Person, sodass hier der Anwendungsbereich der DSGVO gar nicht eröffnet ist (Art. 1 Abs. 1 DSGVO). Zudem ist die Abmahnung dann auch rechtsmissbräuchlich.

Ob, wie in dem Artikel auch behauptet, wirklich strittig ist, ob personenbezogene Daten verarbeitet werden, mag ich bezweifeln. Google behauptet dies zwar, räumt aber auch ein, dass sie die IP-Adresse erhalten. Die IP-Adresse ist nach der Entscheidung des EuGH, Urteil v. 19.10.2016, Az. C-582/14, nach herrschender Meinung als personenbezogenes Datum zu betrachten. Binde ich Google in meiner Website ein, liegt damit auch eine Verarbeitung von personenbezogenen Daten i.S.v. Art. 4 Nr. 2 DSGVO vor, indem ich diese übermittle. Weiteres Problem ist auch die Übermittlung in die USA, wo die Daten wohl verarbeitet werden.

Man sollte Google Fonts daher dringend lokal hosten. Das jetzige Ermittlungsverfahren ist aber sehr erfreulich.