Nina L. Färber, LL.M. Utrecht
MMR-Aktuell 2025, 01318 Der Bayreuther Arbeitskreis für Informationstechnologie hat mit dem Deutschen Fachverlag vom 21.-23.5.2025 das 13. Forum „Kommunikation & Recht“ in den Räumen von Google Berlin ausgerichtet. Die Veranstaltung bot Gelegenheit zum Austausch über aktuelle Praxisentwicklungen im Datenschutzschutz- und IT-Recht. Im Mittelpunkt standen Fragen rund um das Urheberrecht und insb. zur Zulässigkeit der Nutzung von Daten zu KI-Trainingszwecken sowie zur Angemessenheit von Urheberrechtsabgaben. Zudem wurden die durch den Einsatz von KI und Daten angrenzenden Rechtsbereiche (Finanzmarktregulierung, Äußerungs-, IT-Sicherheitsrecht) adressiert. Es bestätigte sich einmal mehr: Die Vernetzung von Wirtschaft durch Daten erfordert gleichermaßen, Rechtsbereiche vernetzt zu denken.
Einen Beitrag zu dieser Vernetzung leistete die Tagung mit einer Perspektivenvielfalt aus Wirtschaft, Wissenschaft und Politik. Diese Beitragsdiversität wird im Folgenden aufgegriffen und beginnt zunächst mit politischen Impulsen und den Entwicklungstendenzen im Daten- und IT-Recht. Sodann folgt der gleichermaßen bedeutsame Themenblock zum Urheberrecht. Der Beitrag schließt mit den Vorträgen aus angrenzenden Rechtsbereichen.
Ein erstes politisches Schlaglicht setzte Dr. Winfried Veil (BMI) mit seiner Bestandsaufnahme zum Datenrecht und zur Datenpolitik. Seit der Europäischen Datenstrategie 2020 wurden 653 Artikel mit 1149 Erwägungsgründen verabschiedet, was er trefflich als „Legislativtsunamis“ bezeichnete. Dr. Veil verdeutliche die prägende Rolle der DS-GVO in diesem Legislativtsunami, deren diskursive Wahrnehmung von einem tiefen Graben durchzogen sei und nannte anschließend die neue wettbewerbspolitische Zielbestimmung einer „Europäischen Datenunion“ (Von der Leyen, EVP Mission Letter to H. Virkkunen, 17.9.2024). Ob die Europäische Datenunion den Graben überbrücken wird, bleibt abzuwarten. Die zwei datenrechtlichen Vorträge zu immateriellen Schadensersatzklagen nach Art. 82 DS-GVO und dem Auskunftsanspruch bei automatisierten Kreditwürdigkeitsprüfung nach Art. 15 Abs. 1 DS-GVO signalisierten jedoch, dass sich dieser Graben vielleicht noch vertiefen könnte.
Die perspektivische Entwicklung des Legislativtsunamis griff Axel Voss (MdEP) in seinem Vortrag mit der Bezugnahme auf das jüngste Strategiepapier der EU-Kommission auf. Darin heißt es, Regulierung zu vereinfachen und abzubauen (EU-Kommission, A Competitive Compass for the EU, COM(2025) 30 final, S. 3).
Die Hinwendung zur regulatorischen Zurückhaltung könnte die stille Erkenntnis sein, dass sich die mit Regulierung bezweckte Rechtssicherheit als Nachteil für die europäische Wettbewerbsfähigkeit entpuppte.
Im ersten Datenschutzvortrag zeigte Dennis Kaben (Google Germany) auf, dass Masseklageverfahren gerichtet auf immateriellen Schadensersatz nach Art. 82 DS-GVO zu einem unerwünschten Geschäftsmodell mutierten und Scraping-Fälle den Trend perpetuieren könnten. In den Scraping-Fällen prüft der BGH, ob der automatisierte Prozess des Extrahierens von Daten auf einer Webseite zu weiteren Verarbeitungszwecken ohne Rechtsgrundlage als Kontrollverlust Art. 82 DS-GVO erfüllt und wie sich die Schadenshöhe bemisst; die vzbv-Sammelklage gegen Meta hat im Oktober 2025 ihre mündliche Verhandlung. Kaben betonte, dass mit Zunahme der Masseverfahren, der Einwand des Rechtsmissbrauchs dezidierter Prüfung bedürfe.
Zu datenschutzrechtlichen Entwicklungen der automatisierten Kreditvergabe berichtete Prof. Dr. Elena Dubovitskaya (Justus-Liebig-Universität Gießen). Nach der Feststellung des SCHUFA-Bonitätsscores als automatisierte Entscheidungsfindung gem. Art. 22 DS-GVO, konkretisierte der EuGH den damit begründeten Umfang des Auskunftsanspruchs aus Art. 15 Abs. 1 DS-GVO zur Nachvollziehbarkeit der Kreditwürdigkeitsentscheidung (EuGH MMR 2024, 153 und EuGH NJW 2025, 1471). Danach sei das Auskunftsrecht mit dem Geschäftsgeheimnisschutz für den Algorithmus in ein „faires Gleichgewicht“ zu bringen, jedoch verbleiben die Vorgaben für den inhaltlichen Erklärungsumfang weiter vage.
Seda Dinc (HÄRTING Rechtsanwälte) baute in ihrem Vortrag die Brücke vom Datenschutz zum Datenzugang mit den Implikationen des Data Acts für Cloud-Systeme sowie den Vertragsrisiken bei Cloud-Verträgen. Im Data Act betonte Dinc die vertraglichen und technischen Pflichten des Cloud-Anbieters für „Cloud-Switching“ und nennt Haftungsaspekte bei Cloud-Verträgen als sensiblen Verhandlungsbereich.
Die behördliche Förderung technischer Lösungen zum Datenzugang zeigte Prof. Dr. Louisa Specht-Riemenschneider (BfDI) mit dem neuen Anerkennungs-verfahren für Anbieter von sog. Privacy Information Management Systems (PIMS). Bekannt unter dem Stichwort der Datentreuhandmodelle, sollen PIMS in der Einwilligungsdienstverwaltung den Datenverarbeitern den Zugang zu Betroffenendaten verwalten und erteilen (S. zB Specht-Riemenschneider/Blankertz MMR Editorial 2021, 369). Seit April 2025 können Anbieter nun PIMS mit einem Vertrauenssigel des BfDI im Register eintragen lassen. Zentral sei für die Anerkennungsvoraussetzung „kein wirtschaftliches Eigeninteresse“, dass kein anbieterseitiges Anreizsystem einer quantitativen Förderung der Einwilligungserteilung vorliege. Die niedrigschwelligen Verfahrensanforderungen könnten den Anbietermarkt für „First-Mover“ motivieren und sind sichtbare Spuren, Datenschutz und Datenzugang vernetzt und vereinbar zu denken.
Eine weitere begrüßenswerte Regulierungsentwicklung benannte Carola Rienth (Google Germany) mit der European Digital Identity Wallet unter der eIDAS-Verordnung 2.0 für mehr Jugendschutz online, deren Implementierung Google verfolge. Die digitalen Brieftaschen ermöglichen eine datenschutzkonforme Altersverifizierung mit der nun massentauglichen Zero-Knowledge-Technologie.
Den Auftakt im Urheberrecht mit einem internationalen Vergleich machte Prof. Dr. Katharina de la Durantaye (Humboldt-Universität zu Berlin): „Das amerikanische Urheberrecht steckt in einer Krise“, erklärte sie anhand der U.S. Bezirksgerichtsurteile Kadrey v. Meta sowie Thomas Reuters v. ROSS Intell für die Zulässigkeit der Verarbeitung von Daten zu KI-Trainingszwecken ohne Genehmigung des Rechteinhabers nach der „Fair Use-Doktrine“ (§ 107 U.S. Copyright Act). Grundsätzlich ist die Datennutzung ohne Vergütung zulässig, wenn die Voraussetzungen der Fair Use-Doktrine erfüllt sind. Bisher zeigten die Urteile, dass es vor allem auf die Voraussetzung des Nutzungszweck als „transformativ“ ankomme. Außerdem sei die Auslegung der Voraussetzung über die Effekte auf den potenziellen Marktwert des Originals durch die Nutzung entscheidend: Nach der Urteilsauslegung sei grds. ein Lizenzmarkt für die Nutzung von Daten für KI-Trainingszwecke zum Entgegenwirken von Brancheneffekten denkbar, jedoch bezwecke die Fair Use Doctrine gerade keinen Schutz vor Marktverwässerung laut dem Copyright Office. Prof. de la Durantaye schlussfolgerte überzeugend, dass die hochpolitische Materie und eine erst in 5-10 Jahren erwartbare Supreme-Court-Entscheidung eine größere Rechtsunsicherheit als in der EU bedeuten.
Dr. Lisa Käde (JBB Rechtsanwälte) griff das Problem der zulässigen Nutzung von Daten zu KI-Trainingszwecken unter § 44b UrhG mit Blick auf den maschinenlesbaren Nutzungsvorbehalt (sog. „Text and Data Mining (TDM)-Schranke“) auf. Während mittlerweile geklärt sei, dass die KI-Analyse von Daten der TDM-Schranke unterfällt, verbleibe Unklarheit für KI-Trainingszwecke: Die wohl bisher hM geht von der Anwendung der TDM-Schranke aus, wobei eine andere Ansicht sie für unanwendbar hält. Das LG Hamburg bestätigte (im Obiter Dictum) die hM und lässt für die Maschinenlesbarkeit des Nutzungsvorbehalts eine Erklärung in natürlicher Sprache genügen (LG Hamburg MMR 2024, 973). Ob sich diese Rechtsauffassung zur bisher umstrittenen „Maschinenlesbarkeit“ durchsetze, bleibe abzuwarten. Weiterhin sei unklar, ob individuelle Nutzungsbedingungen einen wirksamen Nutzungsvorbehalt nach §?44b Abs.?3 UrhG darstellen. Wünschenswert sei daher eine Konkretisierung durch europäische Gerichte, damit die prekäre amerikanische Rechtslage nicht abfärbt.
Außerdem wurden die Urheberrechtsabgaben nach §§ 54 ff. UrhG thematisiert. Zunächst lieferte Cilia Krutz (Gruengold Legal) einen Überblick über die Rechtsprechungsentwicklung zur Vergütungspflicht bei Vervielfältigungen und beleuchtete die Übertragbarkeit der Rechtsprechungsgrundsätze zur Privatkopieabgabe nach dem europäisch geprägten „fairen Ausgleich“ auf Geschäftsmodelle wie Online-Marktplätze oder Cloud-Dienste (EuGH MMR 2022, 647). Für erstere verneinte der BGH die Übertragung, da die Regelungen im Urhebergesetz den EU-Vorgaben entsprechen (BGH MMR 2023, 366). Für Cloud-Dienste hat das OLG München festgestellt, dass eine Dienstleistung kein Inverkehrbringen von Geräten oder Speichermedien sei und analoge Ansprüche aus §§ 54 ff. UrhG abgelehnt, wogegen die Verwertungsgesellschaft ZPÜ Verfassungsbeschwerde eingereicht hat (OLG München Urt. v. 15.3.2024 – 38 Sch 58/22 WG e).
Einen ökonomischen Exkurs präsentierte Prof. Dr. Christian Peukert (Universität Lausanne) mit der Frage, ob Urheberechtsabgaben aus ökonomischer Sicht einem fairen Ausgleich entsprechen. Die ökonomische Herangehensweise war gleichsam exotisch wie erkenntnisreich: Eine Wohlfahrtsanalyse zeigt, dass zwar Urheberrechtsabgaben langfristig die Gesamtwohlfahrt senken, jedoch könne ein Wirtschaftsmodell zumindest zur Bestimmung einer ökonomisch „fairen“ Höhe der Urheberrechtsabgabe helfen.
Anschließend beleuchtete Prof. Dr. Alexander Peukert (Goethe-Universität Frankfurt) Anwendungslücken im Abgabensystems nach § 54a UrhG für die Vervielfältigung von Werken für Schul- und Unterrichtsmedien. Die Kernthesen waren, dass weder die Norm noch die Rechtsprechung eine Berechnungsgrundlage für die Vergütung biete und es an der nach dem Wortlaut erforderlichen Empirie zur Anzahl der Vervielfältigungen mangele. Anstelle einer großen Systemreform empfiehlt Dr. Peukert die Förderung der empirischen Studienlage durch Erweiterung des Antragstellerkreises und erleichternde Kostentragungsregeln.
Angrenzende Rechtsbereiche behandelten Theresa Lenger (CMS Hasche Sigel) mit den finanzmarktregulatorischen Auswirkungen von KI und Dr. Stefanie Schork (EISENBERG KÖNIG SCHORK KEMPGENS) zum Äußerungsrecht bei MeToo-Fällen. Lenger verwies auf die Pflichten für Finanzinstitute als Betreiber bzw. Anbieter beim Einsatz von KI und den erhöhten Anforderungen an Auslagerung(-sverträge) nach der KI-Verordnung. Schork betonte die Rolle von gutem Journalismus im Vorfeld der Verdachtsberichterstattung für Verlagshäuser: Das Prozessrisiko lasse sich durch sorgfältige Recherche der Tatumstände sowie die Einhaltung formeller Voraussetzungen der Eidesstattlichen Versicherung reduzieren.
Abschließend verdeutlichten Dr. Eren Basar und Christian Heinelt (Wessing und Partner) die für Unternehmen unumgängliche Auseinandersetzung mit dem IT-Sicherheits- und Strafrecht. Basar verwies auf die zunehmenden Bußgeldverfahren wegen Verstoß gegen die Organisationsanforderungen für die Sicherheit bei der Datenverarbeitung (gem. § 32 DS-GVO). Heinelt setzte den Fokus auf das unternehmerische Strafbarkeitsrisiko bei Ransomware-Angriffen und rät zu einem gut dokumentierten Krisenmanagementsystem, damit zB Lösegeldzahlungen keine Strafbarkeit aus §§ 129, 266 StGB begründen.
Die Gesamtschau der Tagungsbeiträge offenbarte, dass das Recht flexibel bleiben muss, um den Herausforderungen durch KI und Daten zu begegnen. Regulierung ist sinnvoll, darf aber nicht in einem „Legislativtsunami“ enden. Erforderlich ist regulatorisches Feingefühl, um gezielt auf drängende Rechtsfragen zu reagieren – etwa zur Reichweite der TDM-Schranke, die angesichts des Spannungsfelds zwischen KI-Förderung und dem Schutz von Rechteinhabern europäische Wettbewerbsfähigkeit nicht gefährden darf.
Nina L. Färber, LL.M. Utrecht ist Doktorandin an der Technischen Universität Ilmenau im Fachgebiet Law and Economics of Digitalization bei Jun.-Prof. Dr. Mendelsohn und promoviert zu algorithmischen Verstößen unter Art. 102 AEUV und Compliance Strategien. Parallel arbeitet sie als Fund Trainee für Anti-Money Laundering Compliance bei ORBIT LLP Berlin.