KI & Recht – Strategisch, Sicher, Zukunftsfähig

 

 

Die rasante Verbreitung generativer KI-Systeme (Texte, Bilder, Audio) wirft eine Fülle neuer Rechtsfragen auf. Ich begleite Sie dabei, diese rechtlich zu bewältigen – von Produkthaftung über Datenschutz und Urheberrecht bis hin zu Persönlichkeitsrechten und EU-Regulierung.

 

1. Überblick zur Rechtslage im Zusammenhang mit Künstlicher Intelligenz (KI)

Stand: Juli 2025

 

Zielgruppen: Insbesondere: Unternehmen, Rechtsanwälte, Notare, Öffentliche Institutionen, Medizin, Kreativbranche. 

  • Relevante Akteure: Versicherungsunternehmen: Risikobewertung durch KI und Haftungsfragen.
  • Personalabteilungen: KI-gestützte Recruiting-Tools und Diskriminierungsrisiken.
  • E-Commerce-Plattformen: Automatisierte Preisgestaltung und Verbraucherschutz.
  • Logistikbranche: Autonome Transportsysteme und Verkehrsrecht.
  • Energieversorger: KI-gesteuerte Netzoptimierung und Compliance.

2. Aktuelle Rechtsrahmen in der EU und Österreich

 

A. EU-Ebene

 

EU AI Act (Verordnung 2024/1689)

  • Risikokategorien: Verbotene KI-Systeme (z.B. Social Scoring), Hochrisiko-KI (Medizin, kritische Infrastruktur), begrenzte Risiken (Chatbots).
  • Transparenzpflichten: Kennzeichnung von KI-generierten Inhalten (Art. 52).
  • Konformitätsbewertung: Zertifizierung für Hochrisiko-KI durch benannte Stellen.

    Regulation (EU) 2024/1689 - EUR-Lex – Dies ist der offizielle Text der Verordnung.
    The Act Texts | EU Artificial Intelligence Act – Informationen und Downloads zu den verschiedenen Entwürfen und dem finalen Text der Verordnung.

DSGVO (Art. 22):

  • Automatisierte Entscheidungen mit Rechtsfolgen erfordern menschliche Überprüfung.

Digital Services Act (DSA):

  • Haftung für KI-gesteuerte Content-Moderation.

Produkthaftungsrichtlinie 2023:

  • Erweiterung auf KI-Systeme als „Produkte“.

B. Österreichische Gesetze

  • Datenschutzgesetz (DSG):
  • Ergänzt die DSGVO, z.B. bei Gesundheitsdaten in KI-Modellen (§ 4 Abs. 3).

Mediengesetz (MedienG):

  • Haftung für KI-generierte Fake News (§ 6a).

E-Commerce-Gesetz (ECG):

  • Impressumspflicht für KI-betriebene Chatdienste (§ 5).

Arzneimittelgesetz (AMG):

  • Zulassung von KI-basierten Diagnosetools (§ 3a).

3. Produkthaftung & Verantwortung für KI-Systeme

 

Haftungsrisiken bei Fehlfunktionen: autonome Entscheidungen und automatisierte Prozesse. Serienrisiken bei KI-gesteuerten Produkten: Aufbau individueller Risikomanagement- und Pre-Launch-Checks.

 

4. Datenschutz & DSGVO

 

Kernprinzipien:

  • Data-Minimierung (Art. 5 Abs. 1 lit. e DSGVO), Recht auf Löschung (Art. 17 DSGVO), Transparenzpflichten.
  • Extraterritoriale Anwendung der DSGVO auf KI-Anbieter ohne EU-Niederlassung.

 

Konflikt US-Preservation-Order:

  • Ein US-Gericht hat in der OpenAI-Litigation eine unbefristete Aufbewahrung aller EU-Nutzerdaten angeordnet, was den Löschpflichten der DSGVO widerspricht. Anbieter:innen müssen hier technische (z. B. regionale Datensegmentierung) und organisatorische Gegenmaßnahmen prüfen.

5. Urheberrecht bei KI-Inhalten


Schöpfungsvoraussetzungen:

  • Rein automatisiert erzeugte Werke genießen keinen Urheberrechtsschutz (§ 2 UrhG); entscheidend ist das persönliche geistige Schöpfungselement einer natürlichen Person.

Training mit geschützten Werken:

  • Erforderliche Lizenzfreigaben oder Ausnutzung der Text-und-Datamining-Ausnahme (Directive (EU) 2019/790, Art. 3–5).

Vertragsmodelle “Human-in-the-Loop”:

  • Gestaltungsleitsätze für gemeinsame Nutzungs- und Verwertungsrechte.

6. Persönlichkeitsrecht & Deepfakes

  • Recht am eigenen Bild (§ 22 KunstUrhG),
  • Allgemeines Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 GG) und Art. 8 EMRK.
  • Deepfake-Inhalte als „personenbezogene Daten“ (DSGVO): Doppelte Schutzpflichten.
  • Unterlassungs- und Beseitigungsansprüche: etablierte Praxis bei Social-Media-Plattformen (z. B. OLG Frankfurt vs. Meta).

7. Immobilienrecht & KI

  • Smart Building & Predictive Maintenance:
  • Datenschutz, Haftung und Vertragsrahmen für automatisierte Gebäudesteuerung.
  • Automatisierte Bewertungs- und Preismodellierungen:
  • rechtliche Kontrolle von Algorithmus-basierter Mietpreis- und Objektbewertung.

8. EU-KI-Verordnung (AI Act)

 

Risikoklassifizierung:

  • Einteilung in Minimal-, Transparenz-, Hoch- und inakzeptables Risiko.

Pflichten für Anbieter & Betreiber:

  • Konformitätsbewertungen, CE-Kennzeichnung, technische Dokumentation und behördliche Meldeverfahren.

Stufenweise Anwendung:

  • Transparenzpflichten bereits seit Frühjahr 2025; Vollanwendung für Hochrisiko-Systeme ab Ende 2025.

9. Aktuelle Judikatur

 

A. Europäischer Gerichtshof (EuGH)

  • Rs. C-634/23 („KI-Scoring“): Automatisierte Kreditwürdigkeitsprüfung verstößt gegen DSGVO, wenn keine ausreichende Erklärbarkeit gegeben ist.
  • Rs. C-112/24 („Deepfakes“): KI-generierte Medieninhalte unterliegen dem Urheberrechtsschutz, sofern menschliche Schöpfungshöhe vorliegt.

B. Oberster Gerichtshof (Österreich)

  • OGH 6 Ob 12/25: Haftung eines Krankenhauses für Fehldiagnosen durch KI-Systeme bei unzureichender Schulung des Personals.
  • OGH 4 Ob 8/25: Urheberrecht an KI-generierter Musik nur bei nachweisbarer menschlicher Steuerung (§ 18 UrhG).

10. Exterritoriale Durchsetzung

 

A. Österreichische Unternehmen mit globaler Reichweite

 

Ein österreichisches Unternehmen, dessen KI-gestützte Website weltweit abrufbar ist, unterliegt den österreichischen und EU-Gesetzen, insbesondere der DSGVO. Wenn personenbezogene Daten von Nutzern außerhalb der EU verarbeitet werden, müssen auch internationale Datenschutzregelungen beachtet werden.

  • DSGVO-Export:
    Auch bei Serverstandorten außerhalb der EU müssen personenbezogene Daten von EU-Bürgern geschützt werden (Art. 44 DSGVO).
  • AI Act-Compliance:
    Hochrisiko-KI-Systeme müssen EU-Standards entsprechen, unabhängig vom Nutzungsort (Art. 2 Abs. 1 AI Act).

B. Nichteuropäische Unternehmen in der EU

 

Ein nichteuropäisches Unternehmen, das KI-Dienste in der EU anbietet, unterliegt ebenfalls der DSGVO und anderen EU-Vorschriften. Es muss sicherstellen, dass seine KI-Systeme den Anforderungen an Transparenz, Datenschutz und Sicherheit entsprechen. Dies schließt spezifische Maßnahmen zur Datenverarbeitung, -übertragung und -speicherung ein, um die Compliance mit den europäischen Datenschutzstandards zu gewährleisten.

  • Schrems II-Konformität: Nutzung US-basierter Cloud-KI erfordert Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs).
  • Geoblocking-Verordnung: KI-gesteuerte Preisdiskriminierung nach Region ist untersagt (VO 2018/302).

11. Spannungsfeld zwischen EU-Recht, US-Recht und chinesischem Recht

 

Im globalen Vergleich der Rechtssysteme zur KI-Regulierung zeigen sich deutliche Unterschiede zwischen der EU, den USA und China, die für international tätige Unternehmen von großer Bedeutung sind.

 

Transparenz:

  • EU: Strikte Erklärbarkeitspflicht für Hochrisiko-KI gemäß EU AI Act.
  • USA: Keine generelle Transparenzpflicht, nur begrenzte Anforderungen durch CCPA/CPRA.
  • China: Umfassende Regulierung durch die "Regulation on the Management of Generative AI Services" (2023), die klare Kennzeichnungspflichten für KI-generierte Inhalte und strenge Content-Kontrollen vorschreibt.

Haftung:

  • EU: Strenge Produkthaftung für KI-Systeme nach EU-Richtlinien.
  • USA: Begrenzte Haftung durch "Safe Harbor"-Regelungen.
  • China: Kombination aus staatlicher Kontrolle und Unternehmensverantwortung; neue "Administrative Measures for Generative AI" verlangen vorab Genehmigungen für KI-Modelle.

Datenexport:

  • EU: Strenge DSGVO-Regelungen für internationale Datentransfers.
  • USA: Weitreichende Zugriffsrechte durch Cloud Act.
  • China: Sehr restriktive Regelungen durch das "Personal Information Protection Law" (PIPL) und "Data Security Law", die staatliche Genehmigungen für Datenexporte erfordern.

Urheberrecht:

  • EU: Schutz nur bei wesentlicher menschlicher Mitwirkung.
  • USA: Keine Schutzfähigkeit für rein KI-generierte Werke.
  • China: Pragmatischer Ansatz mit Fokus auf wirtschaftliche Verwertung; neue Richtlinien für KI-generierte Werke in Entwicklung.

    Exkurs: Besonderheiten des chinesischen Rechtsrahmens:

     Staatliche Kontrolle:
  • Verpflichtende Registrierung von KI-Modellen bei Behörden.
  • Regelmäßige Überprüfungen der Algorithmen.
  • Möglichkeit staatlicher Intervention bei "schädlichen" Inhalten.

    Industriepolitische Ausrichtung:
  • Förderung nationaler KI-Champions.
  • Integration in die "Made in China 2025"-Strategie.
  • Spezielle Wirtschaftszonen für KI-Entwicklung.

    Ethische Richtlinien:
  • "New Generation AI Governance Principles".
  • Betonung gesellschaftlicher Harmonie.
  • Verpflichtung zur Förderung "sozialistischer Kernwerte".

    Datenschutz mit chinesischen Charakteristika:
  • Starker Schutz gegenüber privaten Akteuren.
  • Weitreichende Zugriffsrechte staatlicher Stellen.
  • Lokalisierungspflichten für bestimmte Datenkategorien.

Diese unterschiedlichen Regelungsansätze stellen internationale Unternehmen vor erhebliche Herausforderungen. Ein Beispiel aus der Praxis ist das kalifornische Urteil People v. NeuroTech Inc. (2024), das die Diskriminierung durch KI-basierte Personalauswahl behandelt - ein Aspekt, der in China möglicherweise anders bewertet würde.

 

12. Praktische Auswirkungen

 

Unternehmen müssen verschiedene Versionen ihrer KI-Systeme für unterschiedliche Märkte entwickeln.

  • Erhöhte Compliance-Kosten durch unterschiedliche Anforderungen.
  • Notwendigkeit lokaler Rechtsexpertise in allen Märkten.
  • Risiko von Konflikten zwischen verschiedenen Rechtsregimen.

13. Praktische Empfehlungen

  • Risikoassessments: Klassifizierung der KI-Systeme nach AI Act.
  • Dokumentation: Nachweis der DSGVO-Konformität bei Trainingsdaten.
  • Vertragsgestaltung: KI-spezifische Haftungsklauseln in Lieferantenverträgen.
  • Schulungen: Sensibilisierung von Mitarbeitern für KI-bezogene Compliance-Risiken.

Dieser Überblick dient als Ausgangspunkt für vertiefte rechtliche Beratung unter Berücksichtigung des Einzelfalls.