Regulatorische Governance
Regulatorische Pflichten entstehen nicht durch Bekanntmachung allein. Sie entstehen in dem Moment, in dem ein Produkt entwickelt, ein Datensatz verarbeitet oder ein Algorithmus zur Entscheidungsunterstützung eingesetzt wird. Unternehmen im digitalen Bereich sind regulatorisch exponiert, ohne es in jedem Fall zu wissen.
Ich berate Gründer, Geschäftsführerinnen und Legal Counsel dabei, diese Exposition zu erkennen, zu strukturieren und zu beherrschen. Nicht mit abstrakten Compliance-Katalogen, sondern mit konkreten, prioritätsgeordneten Handlungsempfehlungen, die in den Alltag eines wachsenden Unternehmens passen.
Mein Ansatz ist konsequent risikobasiert: Nicht jede regulatorische Anforderung hat dasselbe Sanktionspotenzial. Nicht jedes Unternehmen ist von denselben Normen in gleicher Tiefe betroffen. Die Herausforderung liegt in der Priorisierung.
EU AI Act: Risikoklassifizierung und Compliance-Struktur
Die Verordnung (EU) 2024/1689 über künstliche Intelligenz ist seit dem 1. August 2024 in Kraft. Die meisten Pflichten für Hochrisiko-KI-Systeme gelten ab dem 2. August 2026. Für Anbieter und Betreiber solcher Systeme beginnt die Compliance-Pflicht nicht erst mit dem Anwendungsdatum, sondern mit dem Zeitpunkt der Entwicklung oder Beschaffung.
Der EU AI Act unterscheidet vier Risikoebenen: verbotene KI-Praktiken (Art. 5), Hochrisiko-KI-Systeme (Art. 6 i.V.m. Anhang III), KI-Systeme mit Transparenzpflichten (Art. 50) und allgemeine KI-Modelle, insbesondere solche mit systemischem Risiko (Art. 51 ff.). Jede Ebene zieht spezifische Pflichten nach sich.
Ich analysiere den regulatorischen Footprint Ihres KI-Portfolios: Welche Systeme sind als Hochrisiko einzustufen? Welche Konformitätsbewertungen sind erforderlich? Welche internen Governance-Strukturen müssen implementiert werden? Und: Welche Fristen sind fuer Ihr Unternehmen tatsachlich relevant?
DSGVO: Dynamisches Recht, operative Konsequenzen
Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) ist kein abgeschlossenes Umsetzungsprojekt. Die Rechtslage entwickelt sich kontinuierlich: Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA), Entscheidungen nationaler Datenschutz Behörden wie der BfDI, der bayerischen Datenschutzaufsicht (BayLDA) oder der irischen DPC, sowie eine zunehmend präzise CJEU-Rechtsprechung verändern laufend den Handlungsspielraum.
Besonders relevant für Tech-Unternehmen: die Anforderungen an Auftragsverarbeitung nach Art. 28 DSGVO, die Bedingungen für internationale Datentransfers nach Kapitel V DSGVO (Standardvertragsklauseln, Transfer Impact Assessments), die Rechtsgrundlagen für KI-gestutztes Profiling nach Art. 22 DSGVO sowie die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO, die angesichts hoher Bußgelder nun konkret auf den Prüfstand gestellt werden.
Ich berate bei der DSGVO-konformen Gestaltung von Produkten und Verarbeitungsprozessen, bei der Vorbereitung auf Auskunftsersuchen und Aufsichtsbehördenverfahren sowie bei grenzüberschreitenden Datenschutzfragen in Mehrjurisdiktions-Szenarien.
FinTech-Regulierung: MiCA, PSD2 und EBA-Anforderungen
Zahlungsdienste, E-Geld, Krypto-Assetverwahrung und Open-Banking-Schnittstellen unterliegen einem Normgeflecht, das sich seit 2020 grundlegend verändert hat. Die MiCA-Verordnung (Verordnung (EU) 2023/1114) ist fuer Krypto-Asset-Dienstleister seit dem 30. Dezember 2024 vollständig anwendbar. Sie führt ein EU-weit einheitliches Lizenzierungsregime ein und schafft erstmals verbindliche Anforderungen an Emittenten von Stablecoins (Art. 16 ff.) und Krypto-Assetdienstleister (Art. 59 ff.).
Daneben gilt PSD2 (Richtlinie 2015/2366/EU) weiterhin als zentrales Regelwerk fuer Zahlungsdienste. Die EBA-Leitlinien zu Sicherheitsanforderungen, starker Kundenauthentifizierung und operationellen Risiken konkretisieren die Anforderungen. Mit PSD3 und der Payment Services Regulation (PSR) stehen weitere Rechtsänderungen bevor.
Ich berate FinTech-Unternehmen bei der Auswahl geeigneter Lizenzierungsmodelle, der Gestaltung regulierungskonformer Vertragsstrukturen und der Koordination mit nationalen Aufsichtsbehörden. Dabei berücksichtige ich den jeweiligen Entwicklungsstand des Unternehmens: Eine Beratung, die für ein Series-B-Unternehmen konzipiert ist, taugt nicht für einen Seed-Stage-Founder.
KI-Haftung und interne Governance
Die Europäische Kommission hat im September 2022 zwei Rechtsakte zur KI-Haftung vorgelegt: die KI-Haftungsrichtlinie (AI Liability Directive, AILD) und die uberarbeitete Produkthaftungsrichtlinie (PLD, Richtlinie (EU) 2024/2853). Die PLD ist am 9. Dezember 2024 in Kraft getreten. Die AILD befindet sich noch im Gesetzgebungsverfahren.
Fuer Unternehmen, die KI-Systeme einsetzen oder vertreiben, ergibt sich hieraus ein unmittelbarer Handlungsbedarf: Haftungsrisiken müssen in Vertragsstrukturen eingepreist werden, interne KI-Governance-Richtlinien müssen implementiert werden, und technische Dokumentationspflichten muessen in operative Prozesse integriert werden.
Ich entwickle interne KI-Governance-Richtlinien, die regulatorische Anforderungen des EU AI Act, der AILD und der DSGVO in unternehmensspezifische Prozesse ubertragen und dabei praxistauglich bleiben.
Leistungen im Überblick
EU AI Act Compliance→
Strukturierte EU AI Act Compliance: Risikoklassifizierung, Konformitätsbewertung, technische Dokumentation und interne Governance.
DSGVO & IT-Recht→
DSGVO-Compliance, Datenschutz-Folgenabschätzungen, internationale Datentransfers und IT-Vertragsrecht.
FinTech-Regulierung→
MiCA, PSD2, EBA-Anforderungen: Regulatorische Beratung für FinTech-Unternehmen und Krypto-Asset-Dienstleister.
KI & Urheberrecht→
Rechtliche Einordnung KI-generierter Inhalte: Urheberschaft, Lizenzierung, Trainingsdaten und Coding-KI.
Haftung beim KI-Einsatz→
Haftungsrisiken beim KI-Einsatz: Vertragliche Haftung, EU AI Act, KI-generierte Inhalte und interne Richtlinien.
KI-Richtlinien & interne Compliance→
Interne KI-Richtlinien für Unternehmen: Datenschutz, Haftungsminimierung und EU AI Act Compliance.
Häufig gestellte Fragen
Was ist der Unterschied zwischen Anbieter und Betreiber nach dem EU AI Act?+
Anbieter (Art. 3 Nr. 3 EU AI Act) ist, wer ein KI-System oder ein GPAI-Modell entwickelt oder entwickeln lässt und es unter eigenem Namen in den Verkehr bringt. Betreiber (Art. 3 Nr. 4) ist, wer ein KI-System im eigenen Namen und unter eigener Verantwortung einsetzt. Die Abgrenzung ist nicht immer eindeutig: Ein Unternehmen, das ein Drittanbieter-Modell für eigene Produkte feinabstimmt und vertreibt, kann gleichzeitig Betreiber und Anbieter sein. Die Pflichten unterscheiden sich erheblich, insbesondere hinsichtlich Konformitätsbewertung (Art. 43 ff.) und Registrierungspflicht (Art. 49).
Ab wann muss ich als Unternehmen EU AI Act-konform sein?+
Die Verordnung gilt seit dem 1. August 2024. Die Verbote nach Art. 5 gelten seit dem 2. Februar 2025. Die Anforderungen an Hochrisiko-KI-Systeme nach Art. 6 ff. gelten ab dem 2. August 2026. Anforderungen an allgemeine KI-Modelle (GPAI) nach Kapitel V gelten seit dem 2. August 2025. Die Fristen klingen komfortabel, sind es aber nicht: Konformitätsbewertungen, technische Dokumentation und interne Governance-Strukturen benötigen Vorlaufzeit.
Wie hoch sind die Sanktionen nach dem EU AI Act?+
Art. 99 EU AI Act sieht gestaffelte Bußgelder vor: Verstoße gegen die Verbote nach Art. 5 können mit bis zu 35 Mio. EUR oder 7 % des weltweit erzielten Jahresumsatzes geahndet werden, Verstoß gegen sonstige Anbieterpflichten mit bis zu 15 Mio. EUR oder 3 %, Übermittlung unrichtiger Informationen gegenüber Marktüberwachungsbehörden mit bis zu 7,5 Mio. EUR oder 1 %. Für KMU und Start-ups gilt jeweils der niedrigere Betrag.
Was muss eine interne KI-Governance-Richtlinie enthalten?+
Mindestinhalt für Betreiber von Hochrisiko-KI-Systemen: Beschreibung der eingesetzten Systeme und ihrer Risikoklassifizierung, Verantwortlichkeiten und Genehmigungsprozesse für neue KI-Einsatzszenarien, Protokollierungs- und Überwachungspflichten (Art. 26 Abs. 5 EU AI Act), Schulungspflichten für verantwortliche Personen, Beschwerdeverfahren und Meldepflichten für schwerwiegende Vorfalle (Art. 73 EU AI Act). Ich entwickle Richtlinien, die diese Anforderungen in die tatsachlichen Unternehmensprozesse einbetten.
Kann die DSGVO und der EU AI Act gleichzeitig anwendbar sein?+
Ja, und regelmäßig ist das der Fall. KI-Systeme, die personenbezogene Daten verarbeiten, unterliegen kumulativ DSGVO und EU AI Act. Art. 2 Abs. 7 EU AI Act stellt klar, dass die DSGVO als spezielleres Recht vorgeht, soweit es zu Normkonflikten kommt. In der Praxis müssen Datenschutz-Folgenabschatzung nach Art. 35 DSGVO und Grundrechte-Folgenabschatzung nach Art. 27 EU AI Act aufeinander abgestimmt werden.
Was sind Standardvertragsklauseln und wann brauche ich sie?+
Standardvertragsklauseln (SCCs, vgl. Durchführungsbeschluß (EU) 2021/914) sind von der Kommission genehmigte Vertragsklauseln, die als Rechtsgrundlage für Datentransfers in Drittländer dienen, die keinen Adäquanzbeschluss haben. Sie sind notwendig immer dann, wenn personenbezogene Daten aus dem EWR in ein Drittland übermittelt werden und keine andere Übermittlungsgarantie nach Art. 46 DSGVO vorliegt. Nach dem Schrems II-Urteil (CJEU, C-311/18) ist zusätzlich ein Transfer Impact Assessment (TIA) zu erstellen.
Benötigt mein Start-up eine Datenschutz-Folgenabschatzung?+
Eine DSFA nach Art. 35 DSGVO ist verpflichtend, wenn die Verarbeitung "voraussichtlich ein hohes Risiko" für Rechte und Freiheiten betroffener Personen mit sich bringt. Die Aufsichtsbehörden veröffentlichen Positiv- und Negativlisten. Typische Trigger für Start-ups: systematisches Profiling von Nutzern, Verarbeitung besonderer Kategorien (Art. 9 DSGVO), umfangreiche Überwachung öffentlich zugänglicher Bereiche, oder der Einsatz neuer Technologien in großem Maßstab. Auch ohne gesetzliche Pflicht kann eine DSFA als Haftungsschutz sinnvoll sein.
Die Inhalte dieser Seite dienen ausschließlich der allgemeinen Information und stellen keine Rechtsberatung im Einzelfall dar. Durch die Lektüre dieser Seite entsteht kein Mandatsverhältnis. Für eine verbindliche rechtliche Einschätzung wenden Sie sich bitte direkt an die Kanzlei.