Einführung
MMR-Aktuell 2026, 01114 Die von JProf. Dr. Katharina Kaesling, LL.M. geleitete Bonner Forschungsstelle ForTech e.V. sucht Antworten auf Rechtsfragen neuer Technologien sowie des Datenrechts. Das gemeinsam mit weiteren Kollegen, darunter Prof. Dr. Anne Lauber-Rönsberg, LL.M. geleitete Dresdner Forschungsprojekt DESIGNATE forscht zur individuellen Souveränität gegenüber Deceptive Technologies. Aus beiden Perspektiven rückten die Frage nach der Rolle von Vulnerabilität im Digitalrecht in den Mittelpunkt. Vor diesem Hintergrund luden Kaesling und Lauber-Rönsberg am 5.12.2025 Interessierte aus Wissenschaft, Praxis und Zivilgesellschaft zu einem eintägigen Online-Kolloquium ein, um eine Phänotypisierung von Vulnerabilität im Digitalrecht zu wagen (Die Veranstaltung ist Teil der EXU-Maßnahme „Disruption and Societal Change“ an der TU Dresden (TUDiSC) und wird gefördert vom Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR) und dem Freistaat Sachsen iRd Exzellenzstrategie von Bund und Ländern).
Nach einer Begrüßung durch Kaesling als Vorstandsvorsitzende von ForTech und Co-Leiterin des Dresdner Forschungsprojekts DESIGNATE zur individuellen Souveränität im Internet begann das Kolloquium mit ihrem Einführungsvortrag. Kaesling legte dar, dass die Unschärfen des Begriffs, der gerade im Digitalrecht zu einem Leit- und Rechtsbegriff geworden ist, zum Anlass genommen werden sollten, unterschiedliche Erscheinungsformen von Vulnerabilität systematisch zu beleuchten – quer durch das Recht der Daten, der Plattformen, der KI und der digitalen Märkte. Bezugnehmend auf Alyson Coles Zitat „All of us are vulnerable, but some are more vulnerable than others“ (Alyson Cole, 17 Journal of Philosophy and Social Theory 2016, 260 ff.) ging sie auf die Grundannahme universeller menschlicher Vulnerabilität in den Vulnerability Studies nach Martha Fineman (Martha A. Fineman, 60 Emory Law Journal, 2010, 251 ff.) und darüberhinausgehende, besondere Vulnerabilität ein und wie sich diese in verschiedenen Regelungen des EU-Digitalrechts spiegeln. Sie stellte zudem bereits bekannte und neuere Erscheinungsformen von Vulnerabilität dar, so exemplarisch mit Bezug zu Gruppen, Situationen und Systemarchitektur. Anhand von algorithmischen Gruppen beleuchtete sie ferner neue Erscheinungsformen von Vulnerabilität, die derzeit nur bei Überschneidung mit je einer anderen Erscheinungsform rechtlich fassbar seien. Die Phänotypisierung von Vulnerabilität charakterisierte Kaesling als Ordnungsangebot, das es ermöglichen kann, rechtsgebietsübergreifende Regelungen auf zugrundeliegende Phänotypen von Vulnerabilität zurückzuführen und darauf basierende Schutzkonzepte zu untersuchen. Abschließend betonte Kaesling, dass Vulnerabilität nicht als statische Defizitkategorie, sondern als relationale, kontextabhängige und systemisch vermittelte Größe zu verstehen sei, mit der Schutz- und Befähigungsperspektiven zusammengeführt werden können.
Die weiteren Vorträge gliederten sich in vier Blöcke mit jeweils zwei Vorträgen und anschließender, gemeinsamer Diskussion. Sie widmeten sich dem Recht der Daten, dem Recht der Dark Patterns, dem Recht der Künstlichen Intelligenz sowie Fairness und Markt.
Vulnerabilität und Datenschutzrecht
In dem ersten, von Lauber-Rönsberg moderierten Block zu „Vulnerabilität und Datenschutzrecht“ gab zunächst Herr Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, in seinem Vortrag zu „Vulnerabilität und Datenwirtschaft“ aus Sicht der „guardians of (…) fundamental rights and freedoms“ (EuGH MMR 2010, 352 mAnm Petri/Tinnefeld Rn. 23 („guardians of those fundamental rights and freedoms”) sowie Rn. 2 und Rn. 36 („guardians of the right to private life”)) einen tiefergehenden Einblick in das praktische Dilemma zwischen den oftmals widerstreitenden Interessen von betroffenen Personen und Datennutzung. Will lieferte einen Überblick über typische Ausprägungsformen, in denen das Spannungsfeld zwischen Datenschutz und Datennutzung in der datenschutzrechtlichen Praxis regelmäßig offen zu Tage tritt. Beispiele betrafen den Handel mit Daten, das Scannen von biometrischen Informationen, das Erfassen von Umgebungsdaten im Automotive Sektor und Fragen zur Verkehrssicherheit von KI-Systemen. In diesem Zusammenhang konstatierte Will eine zunehmende Überforderung in der Gesellschaft und bezeichnete Vulnerabilität als ein mögliches neues Leitbild im Datenschutzrecht. Als Ansatzpunkt zur Bewältigung des beschriebenen Dilemmas verwies Will auf die bereits bestehende Verpflichtung aus Art. 35 DS-GVO, nach der bei Datenverarbeitungsvorgängen mit hohem Risiko für die Rechte natürlicher Personen eine Datenschutz-Folgenabschätzung durchzuführen ist. Die Norm ermögliche eine systematische Identifikation und Bewertung individueller Risiken und eine frühzeitige Abwägung von Nutzungsinteressen gegen Schutzinteressen, die letztlich zu verantwortungsvollen Datenverarbeitungsprozessen beiträgt.
Prof. Dr. Indra Spiecker gen. Döhmann (Universität zu Köln) stellte im Anschluss in ihrem Vortrag mit dem Titel „Vulnerabilität und das Menschenbild der DS-GVO“ ihre Perspektive auf die Begriffe der Vulnerabilität und Schutzbedürftigkeit in der DS-GVO vor. Das grundlegende Konzept der DS-GVO sei, Grundlagen zur Ausübung des Rechts auf informationelle Selbstbestimmung zu schaffen. Vor diesem Hintergrund betonte sie die Rolle des freiheitlichen Menschenbilds der DS-GVO. Dieses könne keineswegs als paternalistisch beschrieben werden. Vielmehr werde zur Vermeidung von Machtasymmetrien auf die Ermächtigung des Einzelnen gesetzt. Spiecker gen. Döhmann betonte die Rolle dieses individualrechtlichen Ansatzes der DS-GVO ggü. gruppenbezogenen Ansätzen stark. Sie plädierte dafür, dass die Schutzbedürftigkeit von Personen in der DS-GVO stärkere Berücksichtigung iRd Privacy-by-Design nach Art. 25 Abs. 2 DS-GVO erfahren müsse.
Vulnerabilität und Dark Patterns
Im Fokus des zweiten Blocks, durch den Prof. Dr. Karina Grisse führte, stand „Vulnerabilität und Dark Patterns“. Prof. Dr. Benjamin Raue (Universität Trier) verdeutlichte in seinem Vortrag „Vulnerabilität und Dark Patterns im Digital Services Act“ zunächst anhand verschiedener Beispiele den Einfluss und die Wirkmechanismen von Dark Patterns auf die Entscheidungsfreiheit von Durchschnittsverbrauchern, die aufgrund des gezielten Einsatzes häufig in Situationen gedrängt werden, in denen sie eigentlich anders hätten agieren wollen. Eindrucksvoll präsentierte er empirische Evidenz zu den erheblichen Auswirkungen von Dark Patterns auf die Entscheidungsschwächen von Nutzern. Hieran knüpfte er für seine These der Anpassung des idealisierten Leitbilds menschlichen Entscheidens und damit auch des Leitbilds des Verbrauchers an. Der in Teilen geäußerten Kritik an dem weit verstandenen Nutzerbegriff des Art. 25 DSA, der auch gewerbliche Nutzer in den Schutzbereich einbezieht, entgegnete Raue, dass es keinen Unterschied mache, ob Nutzer in privater oder gewerblicher Funktion durch Dark Patterns manipuliert werden, da diese in beiden Fällen auf die kognitiven Schwächen des Menschen abzielten und die Nutzer daher gleichermaßen schutzbedürftig seien.
Dr. Lina Marie Schauer (Universität Potsdam) ging in ihrem Vortrag auf die verschiedenen Ausprägungen von Dark Patterns und die bereits von der RL 2005/29/EG (RL über unlautere Geschäftspraktiken) erfassten, restriktiv zu handhabenden Unlauterkeitstatbestände ein. Obwohl nach geltender Rechtslage zahlreiche Dark Patterns durch das Raster des Lauterkeitsrechts fielen, da die Unlauterkeitstatbestände an Merkmale wie Belästigungen, Nötigungen, unzulässige Beeinflussung und Irreführung anknüpfen und Dark Patterns häufig bereits auf Ebene menschlicher Entscheidungsschwächen auf die Entscheidungsfindung einwirkten, resümierte Schauer, dass die bestehende Regelungsdichte zu Dark Patterns in DS-GVO, DSA, DMA und KI-VO ausreichende Schutzmechanismen biete. Dennoch müsse man die technologischen Entwicklungen im Blick behalten, um ggf. nachjustieren zu können.
Vulnerabilität und KI
Auf die Mittagspause folgte der dritte Block des Kolloquiums mit dem Schwerpunkt „Vulnerabilität und KI“, der von Kaesling moderiert wurde. In ihrem Vortrag „Vulnerabilität und die unbekannte ,Person‘ in der KI-VO“ arbeitete Lauber-Rönsberg heraus, dass die KI-VO zwar in Art. 3 Nr. 3-8 KI-VO die Begriffe der Anbieter, Betreiber und weiterer Stakeholder definiert, dass jedoch die von den Auswirkungen von KI-Systemen betroffene Person nicht näher erläutert wird. Anschließend ordnete Lauber-Rönsberg die Begriffe der Vulnerabilität und Schutzbedürftigkeit iRd KI-VO ein, wobei sie das Verständnis der Europäischen Kommission aus den Leitlinien zu verbotenen Praktiken der künstlichen Intelligenz (Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz gemäß KI-VO, Mitteilung C (2025) 5052 final) als Ausgangspunkt nahm, die den Begriff der Vulnerabilität als ein „breites Spektrum an Kategorien, (…) darunter kognitive, emotionale, physische und andere Formen der Anfälligkeit, die die Fähigkeit einer Person oder einer Gruppe von Personen, fundierte Entscheidungen zu treffen, beeinträchtigen oder ihr Verhalten anderweitig beeinflussen“, verstehen. Entgegen dem von den anderen Sprachfassungen abweichenden deutschen Wortlaut von Art. 5 Abs. 1 lit. b KI-VO sprach sie sich dafür aus, die normativen Begriffe der Vulnerabilität und Schutzbedürftigkeit nicht als unterschiedliche Konzepte, sondern als zwei Seiten derselben Medaille zu verstehen. Mit Blick auf die KI-VO stellte sie fest, dass dort überwiegend an gruppenbezogene und weniger an situative Vulnerabilität angeknüpft werde, wobei erstere primär auf die tradierten Kriterien wie etwa das Alter rekurriere. Insofern schaffe die KI-VO mit ihren Vorgaben zur Reduzierung der mit dem Einsatz von KI einhergehenden Risiken einen weitgehend für alle Personen geltenden Rechtsrahmen und enthalte nur wenige darüberhinausgehende Anforderungen zum Schutz vulnerabler Personen. Dies spreche dafür, dass der Gesetzgeber in Bezug auf KI von einer grds. allgemein bestehenden Schutzbedürftigkeit ausgegangen sei.
Anschließend stellte Dr. Daria Onitiu, Postdoc am Hasso-Plattner-Institut, die „Theory of Artificial Immutability“ im Zusammenhang mit der KI-VO vor. Dabei ging sie vor allem auf die algorithmischen Gruppen ein, die im Schutzsystem des aktuellen Anti-Diskriminierungsrechts der EU nicht wiederzufinden seien, da der Nachweis erfolgter Diskriminierungen aufgrund der sich entwickelnden und nicht-intuitiven Kriterien zur Bestimmung der Zugehörigkeit zu eben jener Gruppe regelmäßig nicht möglich sei. Auf Grundlage dessen wolle Sandra Wachters „Theory of Artificial Immutability“ einen Lösungsvorschlag bieten, um die Kontrolle und Entscheidungsfreiheit algorithmisch vulnerabler Personen zu stärken, indem stabile, transparente, empirisch kohärente sowie normativ und ethisch akzeptable Kriterien aufgestellt werden, anhand derer die Diskriminierung im Einzelfall bestimmt werden könne. Nach eingehender Analyse des Rechtsrahmens der KI-VO kam sie zu dem Schluss, dass auch diese keine Norm bereithalte, um derartigen, neuen Erscheinungsformen von Vulnerabilität Rechnung zu tragen.
Vulnerabilität, Fairness und Markt
JProf. Dr. Juliane Mendelsohn führte die Teilnehmenden durch den vierten Block des Kolloquiums, in dem „Vulnerabilität, Fairness und Markt“ zueinander in Beziehung gesetzt wurden. Ass. Prof. Dr. Lena Hornkohl (Universität Wien) stellte im Rahmen ihres Vortrags „Vulnerabilität, Geschlecht und Digital Markets Act“ zunächst die Vorteile des Digital Market Acts dar und führte dabei aus, dass der DMA grds. nicht an Vulnerabilität anknüpfe. Allerdings könne Erwägungsgrund 38 des DMA, als Einfallstor erachtet werden, da dort das besondere Schutzbedürfnis von Kindern hervorgehoben wird. Sodann untersuchte sie die Rolle des Geschlechts auf Plattformmärkten anhand von Art. 5 Abs. 2 (personalisierte Werbung) und Art. 6 Abs. 4 (Zulassung von Dritt-App-Stores) und 5 (Selbstbevorzugung & Ranking) DMA. Mit den Stellschrauben des DMA könnten geschlechtsspezifische Strukturen, Risiken und Auswirkungen von Plattformmärkten verändert werden. Hornkohl kam zu dem Schluss, dass eine Gender Lens die DMA-Durchsetzung effektiver machen könne, so u.a. durch gender-sensitive Marktbeobachtung, gender-sensitive Impact Assessment.
Last but certainly not least ordnete Prof. Dr. Christoph Busch (Universität Osnabrück) den geplanten Digital Fairness Act in den Vulnerabilitätsdiskurs ein. Er gab einen topaktuellen Überblick über den Stand des Gesetzgebungsverfahrens zum Digital Fairness Act sowie Diskussionen hierzu in Brüssel und darüber hinaus. Zur Kernfrage erklärte er, ob der Verbraucher-Acquis mit Blick auf digitale Märkte noch ausreichenden Schutz bietet. Hierzu führte Busch aus, dass im vorgeschlagenen Digital Fairness Act gruppenbezogene Vulnerabilität stark gespiegelt werde. Der Fokus werde teilweise so stark auf Minderjährige gelegt, dass man von einem Sonderprivatrecht für Minderjährige sprechen könne. Busch ging zudem auf die Rolle von KI-Agenten ein, deren Einsatz mit Blick auf die Vulnerabilität von Verbrauchern ein zweischneidiges Schwert darstelle. Einerseits könne der Einfluss von Dark Patterns auf die Entscheidungsfreiheit von Verbrauchern durch ihren Einsatz marginalisiert werden. Andererseits entstehe eine neue, KI-Agenten-spezifische Vulnerabilität, da die technischen Schwachstellen von KI-Agenten ihrerseits zu Lasten des Verbrauchers ausgenutzt werden können. Um Schutzlücken zu vermeiden, forderte Busch eine stärkere Berücksichtigung von KI-Agenten, damit der DFA bei Inkrafttreten zeitgemäß sei.
Nach einem abschließenden Fazit zu den im Verlauf der Veranstaltung herausgearbeiteten Erscheinungsformen von Vulnerabilität und den unterschiedlichen Konzeptualisierungen von Vulnerabilität und Schutzbedürftigkeit bedankten sich die Veranstalterinnen Kaesling und Lauber-Rönsberg bei allen Teilnehmenden für die inspirierenden Vorträge und lebhaften Diskussionen.
Konstantin Hofmann, LL.M. ist Wiss. Mitarb. und Doktorand an der Juniorprofessur für Bürgerliches Recht, Geistiges Eigentum, insb. Patentrecht, sowie Rechtsfragen der KI von JProf. Dr. Katharina Kaesling LL.M. und Teil des Forschungsprojekts „DESIGNATE“ am Disruption and Societal Change Center (TUDiSC) der Technischen Universität Dresden.
Anna-Lena Borchert ist Rechtsreferendarin am LG Dresden und ehemalige wissenschaftliche Hilfskraft an der Juniorprofessur von JProf. Dr. Katharina Kaesling LL. M.