Matthias Rosa

Unternehmen werden ab dem 19.06.2026 Anlaufstelle für Beschwerden in UK

von

Änderung des Datenschutzrechts in UK!

Ab dem 19.06.2026 werden für UK Unternehmen primäre Anlaufstelle für Datenschutzbeschwerden

Ab dem 19. Juni 2026 gilt für Unternehmen unter britischem Datenschutzrecht eine wichtige Neuerung: Sie müssen ein formelles und nachvollziehbares Beschwerdemanagementsystem einrichten, speziell für Anliegen, die die Nutzung personenbezogener Daten betreffen. Dieses System ist parallel zu den bereits etablierten Prozessen für Betroffenenrechte zu führen, etwa für Auskunfts- oder Löschanfragen.

Grundlage der Änderung ist der Data (Use and Access) Act 2025 (DUAA). Diese Vorschrift ergänz den britischen Data Protection Act 2018. Konkret geht es Section 164A des Data Protection Act 2018:

164AComplaints by data subjects to controllers

(1)A data subject may make a complaint to the controller if the data subject considers that, in connection with personal data relating to the data subject, there is an infringement of the UK GDPR or Part 3 of this Act.

(2)A controller must facilitate the making of complaints under this section by taking steps such as providing a complaint form which can be completed electronically and by other means.

(3)If a controller receives a complaint under this section, the controller must acknowledge receipt of the complaint within the period of 30 days beginning when the complaint is received.

(4)If a controller receives a complaint under this section, the controller must without undue delay—

(a)take appropriate steps to respond to the complaint, and

(b)inform the complainant of the outcome of the complaint.

(5)The reference in subsection (4)(a) to taking appropriate steps to respond to the complaint includes—

(a)making enquiries into the subject matter of the complaint, to the extent appropriate, and

(b)informing the complainant about progress on the complaint.

https://www.legislation.gov.uk/ukpga/2018/12/section/164A

Damit werden Unternehmen zur ersten Anlaufstelle für datenschutzrechtliche Beschwerden in Großbritannien. Betroffene Personen können sich auch direkt die britische Aufsichtsbehörde, das Information Commissioner’s Office (ICO) wenden.

Wichtig: Die europäische Datenschutz-Grundverordnung (DSGVO) ist von dieser Änderung nicht betroffen

Für betroffene Unternehmen bedeutet dies:

  • Beschwerden müssen innerhalb festgelegter Fristen und Verfahren direkt von Unternehmen bearbeitet werden können
  • Das Beschwerderecht muss in Datenschutzinformationen und bei der Beantwortung von Betroffenenanfragen erwähnt werden
  • Die Bearbeitung von Beschwerden wird sichtbar, überprüfbar und somit für die Aufsichtsbehörde relevant
  • Unzureichende oder inkonsistente Bearbeitung erhöht die Wahrscheinlichkeit von aufsichtsbehördlichem, Handeln

Diese Anforderungen bauen auf bestehenden Rechenschafts- und Transparenzpflichten der UK GDPR auf. Dabei findet eine Erweiterung der operative Beschwerdebearbeitung statt.

Welche Unternehmen sind betroffen?

Die neue Pflicht Beschwerden entgegen zu nehmen, richtet sich an jedes Unternehmen, das als Verantwortlicher im Sinne der UK GDPR (https://www.gov.uk/data-protection) personenbezogene Daten verarbeitet und damit unter die Beschwerdepflichten des Data Protection Act 2018 fällt.

Konkret betroffen sind:

  • Verantwortliche – unabhängig von ihrem Standort –, die über Zweck und Mittel der Verarbeitung britischer personenbezogener Daten entscheiden
  • Nicht-britische Unternehmen, die Waren oder Dienstleistungen für Personen im Vereinigten Königreich anbieten oder deren Verhalten beobachten
  • Unternehmen in gemeinsamen Verantwortlichkeiten und Konzernstrukturen, in denen Entscheidungen zur Datenverarbeitung gemeinsam getroffen werden

Hinweis für Auftragsverarbeiter:
Auftragsverarbeiter sind von der Pflicht nicht direkt betroffen. Allerdings können hier Unterstützungspflichten bei der Bearbeitung von Beschwerden bestehen.

Was ist neu?

Betroffene Unternehmen müssen ab dem Stichtag Mindeststandards für die Bearbeitung datenschutzrechtlicher Beschwerden erfüllen.

Kernpflichten

Sanktionen bei Nichteinhaltung

Bei Verstößen gegen das Beschwerdeverfahren drohen Geldbußen von bis zu £8,7 Millionen oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist). Bei schwerwiegenden Datenschutzverstößen, die im Rahmen der Untersuchung festgestellt werden, können Bußgelder sogar höher ausfallen.

Weitere Informationen

Das ICO bietet folgende offizielle Guidance (Stand Mai 2026):

Hauptseite: https://ico.org.uk/for-organisations/how-to-deal-with-data-protection-complaints/

Bei Rückfragen zu dem Thema stehen wir gerne zur Verfügung: KONTAKT | VARY.FY

Unsere Takeaways vom Data Protection Day 2026 in Brüssel

von

Weshalb wir uns am 27. Januar in den Zug setzten…

Dienstagmittag und wir sitzen im Zug Richtung Brüssel, wie so oft in der Vergangenheit zu Beginn eines jeden Jahres. Der Data Protection Day steht an – am 28. Januar 2026 ist ein Tag, der an die Unterzeichnung des Übereinkommens Nr. 108 (Convention 108) erinnert. Für uns ein guter Grund, mal wieder nach Brüssel zu fahren. Die Konferenz, die gemeinsam vom Europarat (CoE) und dem Europäischen Datenschutzbeauftragten (EDPS) organisiert wurde, versprach spannende Diskussionen. Die Veranstaltung bringt regelmäßig Regulierungsbehörden, Wissenschaftler und Praktiker aus aller Welt zusammen, um über die Zukunft des Datenschutzes in Europa und dessen globaler Rolle zu debattieren. Spoiler vorweg: Es war definitiv erneut die Reise wert!

„When is data personal?“  – Das erste Panel legt direkt los

Im ersten Panel ging es schon direkt zur Sache. Es ging um eine Frage, die wir eigentlich für geklärt hielten: Was sind eigentlich personenbezogene Daten? Hier kam der EuGH mit seiner Entscheidung im Fall EDPS vs. SRB (C-413/23 P) vom September 2025 ins Spiel. Das Urteil hat einiges durcheinandergebracht oder besser gesagt – klargestellt. Der Gerichtshof hat drei zentrale Punkte geklärt: Persönliche Meinungen sind grundsätzlich personenbezogene Daten, pseudonymisierte Daten sind nicht in jedem Fall und für jeden personenbezogene Daten und die Transparenzpflichten der Verantwortlichen bleiben auch bei pseudonymisierten Daten bestehen.

Das wirft in der Praxis natürlich eine ganze Reihe neuer Fragen auf, die wir uns bisher vielleicht nicht gestellt haben. Die Debatte wird hitzig:

  • Über welche Daten verfügt der Empfänger eigentlich schon?
  • Welche technischen Möglichkeiten hat er?
  • Was kann er zusätzlich über Internetsuchen herausfinden?

Verschlüsselte Daten – AVV noch notwendig?

Diskutiert wurde insbesondere, was im Falle von verschlüsselten Daten gelten soll. Braucht man dann noch einen Auftragsverarbeitungsvertrag? Ist der Cloud-Provider in so einem Fall wirklich ein Auftragsverarbeiter? Und was passiert eigentlich im Fall einer Datenpanne, wenn die Daten, zumindest für den Empfänger, nicht personenbezogen sind?

Die Konsequenz: Dokumentation wird noch wichtiger. Verantwortliche müssen nachweisen können, dass es sich bei den übermittelten Daten nicht um personenbezogene Daten handelt. Es kommt maßgeblich darauf an, wie der Verantwortliche die Eingruppierung vornimmt.

Transparenz

Ein weiteres Problem was angesprochen wurde, betraf das Thema Transparenz, die bei der Datenübermittlung komplexer wird. Die Auskunftspflicht nach Art. 15 DSGVO wird detaillierter und Empfänger müssen künftig konkret genannt werden. Denn was für den ersten Empfänger nicht personenbezogen ist, kann beim nächsten Empfänger, der über weitere Informationen oder technische Möglichkeiten verfügt, plötzlich wieder personenbezogen sein.

Spannend war auch die beginnende Diskussion über die Vorschläge zum Digital Omnibus der EU-Kommission. Sind diese überhaupt notwendig? Der Vertreter des EDPS meinte, dass man nicht definieren sollte, was personenbezogene Daten nicht sind, sondern was sie sind. Der Datenschutzbeauftragte der Europäischen Zentralbank sah das etwas anders. Seiner Ansicht nach sei eine Klarstellung notwendig. Dies würde grundsätzlich eine Vereinfachung bringen. Privacy by Design werde noch wichtiger. Prof. Anna Berlee wiederum meinte, eine neue Definition würde alles einfacher machen, der Omnibus sei aber nicht unbedingt das richtige Instrument dafür.

Convention 108 und 108+ – Ein globaler Rahmen für Datenschutz

Im Panel zur Convention 108 und 108+ wurde deutlich, dass die internationale Zusammenarbeit im Datenschutz wichtiger denn je ist. Dies wurde durch einen spannenden Einblick des Behördenvertreters aus Senegal an konkreten Beispielen auch nochmal ganz deutlich. Die Convention 108 ist nach wie vor das einzige rechtlich bindende Instrument, das ein einheitliches Schutzniveau auf internationaler Ebene schaffen kann.

Interessante Randnotiz von Beatriz de Anchorena, Chair of the Committee of Convention 108 and Head of the Agency for Access to Public Information (AAIP), Argentinian Data Protection Authority am Rande: Es gibt einen neuen Angemessenheitsbeschluss zwischen der EU und Brasilien.

Art. 14 der Convention 108+ bringt übrigens neue Regelungen zu automatisierten Entscheidungen sowie Anforderungen zur Datenqualität und -relevanz. Das Prinzip des freien Datenverkehrs spielt dabei eine zentrale Rolle.

Digital Omnibus: Vereinfachung oder Deregulierung?

Die Diskussion zum Digital Omnibus geht weiter und war lebhaft. Geht es hier wirklich um Vereinfachung oder versteckt sich dahinter eine schleichende Deregulierung?

Das Helsinki-Statement der EDPB zeigt, dass die Datenschutzbehörden an verschiedenen Tools arbeiten, wie zu Datenschutz-Folgenabschätzungen, zur Datenpannenmeldung und mehr. Im Februar soll es mehr Klarheit geben. Der Brussels Privacy Hub wird hier sicherlich auch eine wichtige Rolle spielen.

Unsere wichtigsten Take Aways

Die Diskussionen waren auf hohem Niveau, praxisnah und haben uns viele Denkanstöße mitgegeben. Zudem waren sie auch an vielen Stellen sehr unterhaltsam und mitunter sehr kurzweilig. Besonders die Frage, wie wir mit pseudonymisierten Daten umgehen sollen und welche Dokumentationspflichten sich daraus ergeben, wird uns in den nächsten Monaten sicher noch beschäftigen.

Innovation und Spezifikation wurden vorangetrieben und auch die technischen Aspekte kamen nicht zu kurz. Wir haben erneut einen Einblick in die aktuellen Diskussionen der Datenschutz-Community erhalten. Insgesamt hat sich gezeigt, dass sich Austausch lohnt und durch nichts zu ersetzen ist.

Wir sind jetzt schon gespannt, welche Themen uns beim nächsten Mal erwarten werden!

AUTOREN

Matthias Rosa ist Rechtsanwalt und Fachanwalt für IT-Recht und schwerpunktmäßig im Datenschutz-, KI- und Datenrecht tätig.

Sarah Tavcer ist Rechtsanwältin und seit einigen Jahren als externe Datenschutzbeauftragte und Datenschutzberaterin tätig. Außerdem ist die zertifizierte KI-Compliance-Beauftragte.

KI-Output = Urheberrechtsverletzung? GEMA vs. Open AI

von

1. Ausgangslage: Der Fall vor dem Landgericht München I

Die GEMA verklagte vor dem Landgericht (LG) München I (42 O 14139/24)1 OpenAI. Sie ist eine Organisation, die die Rechte von Musikschaffenden vertritt, also Einnahmen aus der Nutzung von Musik in der Öffentlichkeit verteilt. Hintergrund der Klage seien Verstößen gegen das Urheberecht. Im Kern ging es um die Frage, ob das Urheberrecht der Musikschaffenden verletzt wird, wenn in den KI-Modellen urheberrechtlich geschützte Liedtexte gespeichert, verarbeitet und abschließend diese Texte durch die KI-Systeme bzw. Chatbots als Output an Nutzende ausgegeben werden.

Kleine Vereine müssen bereits GEMA-Gebühren zahlen, wenn sie Musik öffentlich abspielen, etwa bei Festen oder Sportveranstaltungen. Dies gilt auch für Gastronomiebetreiber, wenn in ihren Restaurants, Bars oder Clubs Musik läuft.

OpenAI nutzen aktuell ca. 800 Millionen Menschen. Daher kommen Nachfragen, wie es sein kann, dass OpenAI seine KI-Modelle (Generative Pretrained Transformers – GPT) ohne Lizenzzahlung mit riesigen Datenmengen, darunter auch Werke der Mitglieder der GEMA, trainiert, die aus öffentlich zugänglichen Webseiten stammen.

In diesem Zusammenhang hatte die GEMA seit 2024 im Impressum ihrer Webseite einen Nutzungsvorbehalt zum sogenannten Text und Data Mining2, die automatisierte Analyse großer Mengen digitaler Daten, um Muster, Zusammenhänge und neue Erkenntnisse zu gewinnen, für die in ihrem Repertoire enthaltenen Werke aufgenommen.

2. „Wie lautet der Text von [Liedtitel]“

Die GEMA hatte den Chatbot von OpenAI (Modell 4 und 4o) durch Pompt-Eingaben programmiert, sodass der Output bestimmte Liedtexte anzeigte. dazugehörten Eingaben wie „Wie lautet der Text von [Liedtitel]“, „Von wem stammt der Text“, „Wie lautet der Refrain von [Liedtitel]“, „Bitte nenne mir auch die 1. Strophe“ und „Bitte nenne mir auch die 2. Strophe“. So wurden die Texte von neun prominenten Werken generiert. Darunter gehörten Werke wie „Atemlos“ der Autorin Kristina Bach, „36 Grad“ von Tommi Eckart, Inga Humpe, Peter Plate und Ulf Leo Sommer (2raumwohnung). Aber auch „Bochum“ und „Männer“ von Herbert Grönemeyer, „Über den Wolken“ von Reinhard Mey, „Junge“ von Jan Vetter sowie „Es schneit“, „In der Weihnachtsbäckerei“ und „Wie schön, dass du geboren bist“ von Rolf Zuckowski sind dabei. Das Modell hatte auch „halluziniert“. Die Texte waren teilweise leicht verändert und Strophen vertauscht. Darin jedoch sah die GEMA eine unzulässige Veränderung der ursprünglichen Liedtexte.

Die GEMA sah darin einen Verstoß gegen die Rechte der Urheber, hier von Textdichterinnen und Textdichtern sowie von Musikverlagen. Sie verklagte OpenAI unter anderem auf Unterlassung. Dabei vertrat sie die Auffassung, dass hier die deliktsrechtliche Verantwortlichkeit für die streitgegenständlichen Outputs bei OpenAI liege, welche die Modelle mit den Liedtexten trainiert hätten.

3. Der Vorwurf:  Kopieren, Verändern und Verbreiten

Der Vorwurf der GEMA bestand darin, dass das KI-Modell selbst eine illegale Kopie des Werkes enthalten müsse. Zusätzlich liege aber auch immer dann ein weiterer Urheberrechtsverstoß vor, wenn eine Person den Chatbot per Prompt auffordere, den Text auszugeben. Daneben sei durch die Generierung veränderter Versionen der geschützten Werke eine unzulässige Veränderung3 entstanden, die das Ergebnis bewusster Designentscheidungen von OpenAI sei. Die durch Randomisierungs-Mechanismen auf Decoding-Ebene stelle Abweichungen vom korrekt memorisierten Text dar. Halluzinationen seien gezielt herbeigeführt worden. Damit habe OpenAI willentlich in Kauf genommen, urheberrechtlich geschützte Inhalte mit werkfremden Inhalten zu verbinden und dadurch zu entstellen.

4. Keine Kopien, sondern Wahrscheinlichkeiten

OpenAI beantragte, die Klage abzuweisen. Zur Verteidigung stellte OpenAI die Gründung als gemeinnütziges Unternehmen in den Vordergrund und betonte, es sei bis heute gemeinnützig geblieben. Zudem speichere oder kopiere das KI-Modell keine spezifischen Trainingsdaten. Vielmehr zerlege man im Training die Texte in kleinste Bausteine („Token“). Das System lerne, welche Token häufig zusammen vorkommen, und speichere diese Erkenntnisse in Milliarden von Zahlen (den „Parametern“).

Wenn demnach ein User eine Frage stellt, berechnet das Modell, welches Wort wahrscheinlich als nächstes passt. So entsteht Wort für Wort eine Antwort. Anders ausgedrückt, lerne das System nicht den Text von „Bochum“ sondern, dass es mit 99%iger wahrscheinlich ist, dass auf „Du bist keine Schönheit“, der Passus „vor Arbeit ganz grau“ folge.

Somit verwende OpenAI nach eigenen Angaben keine Kopie, sondern generiere vielmehr jedes Mal ein neues Werk. Eine Verwendung des Textes selbst als Wissen sei ausgeschlossen, sondern finde in Form von mathematischen Werten, Parametern oder Vektoren statt. OpenAI argumentierte, die Antworten seien neue Schöpfungen und keine Kopien gespeicherter Daten.

5. Technologieneutralität

Dies sahen die Münchner Richter anders. Das LG München setzte hier den Grundsatz der Technologieneutralität an. Unerheblich ist demnach, welche Technologie für die Verkörperung genutzt wird, also die Methode, wie die Speicherung funktioniere.

Entscheidend sei allein, dass die Liedtexte, die als Trainingsdaten dienten, im Modell verkörpert sind. Mittels des Chatbots sei eine Wahnehmung für die menschlichen Sinne wieder möglich.

Das Gericht sah dies insbesondere dadurch bewiesen, dass durch die Eingabe einer simplen Frage die wiedererkennbare Version des geschützten Werkes als Output herauskam. Dies könne bei komplexen Texten kein Zufall sein, sodass im Ergebnis der Output die Speicherung im urheberrechtlichen Sinne beweise.

Hierbei verglich das Gericht den vorliegenden Sachverhalt mit der Speicherung eines Musikwerks als MP3 Datei. Dabei kommt ein Verfahren zur verlustbehafteten Kompression zum Einsatz, bei der digital gespeicherte Audiodaten nur die für den Menschen wahrnehmbaren Signalanteile enthalten und somit eine starke Reduktion der Datenmenge erfolgt. Diese Komprimierung stellt jedoch eine urheberrechtliche Vervielfältigung nach höchstrichterlicher Rechtsprechung dar4[iv].

„Im Hinblick auf die streitgegenständlichen Liedtexte, die als Trainingsdaten verwendet wurden, ist es ausreichend, wenn das Modell aufgrund der im Training abgeleiteten statistischen Information dazu befähigt ist, statistisch wahrscheinliche Tokenfolgen zu generieren, die die Liedtexte erkennbar wiedergeben.“5

6. Ausnahme: Text und Data Mining

Open AI stützte sich allerdings auf die urheberrechtliche Ausnahme der Text und Data Mining-Schrankenbestimmungen6. Hiernach ist die automatisierte Analyse von einzelnen oder mehreren digitalen oder digitalisierten Werken, um daraus Informationen insbesondere über Muster, Trends und Korrelationen zu gewinnen, gestattet. Zulässig sind Vervielfältigungen von rechtmäßig zugänglichen Werken für das Text und Data Mining. Die Vervielfältigungen sind zu löschen, wenn sie für das Text und Data Mining nicht mehr erforderlich sind.

7. Phasen-Betrachtung

Dies wurde zwar durch das Landgericht grundsätzlich bestätigt, jedoch teilten die Richter den Prozess in mehrere zeitlich aufeinanderfolgende Phasen auf:

  1. das Extrahieren und die Überführung des Trainingsmaterials in ein maschinenlesbares Format,
  2. dem Erstellen des Trainingsdatenmaterials, die Analyse des Datenmaterials und ihre Anreicherung mit Meta-Informationen, dem Training des Modells, und
  3. die nachfolgende Nutzung des trainierten Modells durch Prompts und Outputs.

Im Hinblick auf die Vervielfältigung war hier Phase 2 relevant. Das Gericht stellte fest, dass die streitgegenständlichen Liedtexte in den Modellen reproduzierbar enthalten sind. Deren Memorisierung ist eine urheberrechtlich relevante Vervielfältigung. Daher waren nach Auffassung der Richter die Texte auch in den Modellen enthalten. Denn sie stellten die Memorisierung konnte bereits durch einen Abgleich der Liedtexte mit den Outputs fest.

Allerdings stellte die Vervielfältigung der streitgegenständlichen Liedtexte in den Modellen kein Text und Data Mining dar. Bei Sprachmodellen ziele das Text und Data Mining auf die Auswertung von Informationen, wie abstrakter syntaktischer Regelungen, gängiger Begriffe und semantischer Zusammenhänge ab. Ausgewertet werden somit auch Ausdrucksebenen wie Wortwahl, Ausdrucksspektrum und Wiederholungen. Die Memorisierung der Liedtexte überschreitet hingegen eine solche Auswertung und ist daher kein bloßes Text und Data Mining. Diese wurden als Trainingsdaten nicht nur lediglich ausgewertet, sondern vollständig in die Parameter des Modells übernommen. Dies greift aber in die Verwertungsinteressen der Urheber ein, so jedenfalls das LG München I. Daher konnte sich OpenAI nicht auf die Ausnahmeregelung zum Text und Data Mining berufen.

OpenAI konnte zudem nicht hinreichend darlegen, eine Forschungseinrichtung zu sein, die das Ziel des Erkenntnisgewinns verfolge und sich somit auch nicht auf das Text und Data Mining für Zwecke der wissenschaftlichen Forschung berufen.7

8. „Custom Instructions“

Der Vorhalt von Open AI, die GEMA habe den Chatbot unzulässig durch teilweise benutzerdefinierte Agenten mit spezifischen Rollenzuweisungen durch Eingabe provoziert, also sogenannte „Custom Instructions“ verwendet, bestätigte das Gericht nicht. Zwar ging auch das Gericht davon aus, dass grundsätzlich Outputs durch Nutzende provoziert werden könnten, allerdings waren die hier verwendeten Prompts eher simpel. Dies kann man anhand der im Urteil genannten Beispiele auch eigentlich nicht anders sehen:

„Wie lautet der Text von [Liedtitel]“, „Von wem stammt der Text“, „Wie lautet der Refrain von [Liedtitel]“, „Bitte nenne mir auch die 1. Strophe“, und „Bitte nenne mir auch die 2. Strophe“8  

Wenn in dem fertigen Modell eine dauerhafte Vervielfältigung eines geschützten Werkes gespeichert bleibt, die man später wiedergeben kann, hat das nichts mit Analyse zu tun. Vielmehr liegt darin eine Speicherung, welche die Kernrechte des Urhebers verletzt, darüber zu entscheiden, wo und wie sein Werk vervielfältigt wird.

„Eine andere, mutmaßlich technik- und innovationsfreundliche Auslegung, die ebenfalls Vervielfältigungen im Modell von der Schranke als gedeckt ansehen wollte, verbiete sich angesichts des klaren Wortlauts der Bestimmung.“

9. OpenAI handelte mindestens fahrlässig

OpenAI musste sich vorhalten lassen, mindestens fahrlässig im Sinne des Urheberrechts gehandelt zu haben. So sei dem Unternehmen OpenAI bzw. deren Obergesellschaft seit 2021 die Memorisierung von Trainingsdaten in ihren Modellen und damit die Möglichkeit von Urheberrechtsverletzungen durch ihre Modelle bekannt gewesen. Zu diesem Zeitpunkt war nämlich eine Studie von Carlini et. al9 veröffentlicht worden, die genau dies bestätige. Die Forschenden hatten dabei OpenAI auch ausdrücklich in ihre Untersuchungen einbezogen und sich bestätigen lassen, dass die memorisierten Daten, die sie beim Modell 2 ermittelt hatten, tatsächlich in den Trainingsdaten enthalten waren. Dabei war auch eine Autorin und eine Wissenschaftlerin beteiligt, die im Zeitpunkt der Studienerstellung Mitarbeiterin von OpenAI gewesen war.

10. Fazit und Ausblick: Stärkung der Urheberrechte in Sicht?

Das Gericht kommt zu dem Schluss, dass die Speicherung der Texte in den Modellparametern eine unzulässige Vervielfältigung ist. Somit hat OpenAI gegen Urheberrecht verstoßen. Das Urteil ist noch nicht rechtskräftig. Es beliebt damit abzuwarten, wie hier die weitere Entwicklung sein wird.

Sollte dies der Fall sein, würde diese Entscheidung die Rechte der Urheber und damit der Kreativwirtschaft gegenüber den großen Technologieunternehmen stärken.

Der Chefjustiziar der GEMA sagte jedenfalls hierzu:

„Was die Beklagte macht, ist nichts anderes, als was andere Dienste im Internet machen, die eine Lizenz von den Rechteinhabern, deren Werke sie nutzen, erwerben müssen.“10

AUTOR

Matthias Rosa ist Rechtsanwalt und Fachanwalt für IT-Recht und schwerpunktmäßig im Datenschutz-, KI- und Datenrecht tätig.

  1. https://www.justiz.bayern.de/gerichte-und-behoerden/landgericht/muenchen-1/presse/2025/11.php ↩︎
  2. vgl. § 44b UrhG ↩︎
  3. Vgl. § 14 UrhG ↩︎
  4. vgl. EuGH 05.03.2015, C-463/12 Rn. 35 – Copydan). ↩︎
  5. LG München I, Endurteil v. 11.11.2025 – 42 O 14139/24 Rn 183 ↩︎
  6. Vgl. § 44b UrhG ↩︎
  7. Vgl. § 60 d UrhG ↩︎
  8. LG München I, Endurteil v. 11.11.2025 – 42 O 14139/24 Rn 172 ↩︎
  9. Carlini et al. 2021, a.a.O., Anlage K 23.1, S. 2634: „[We] find that over 600 of [the examined samples] are verbatim samples from the [model]-2 training data (confirmed in collaboration with the creators of [model]-2) ↩︎
  10. https://www.tagesschau.de/wirtschaft/digitales/openai-gema-songtexte-100.html ↩︎

Der Data Act und seine Auswirkungen auf die Windenergie

von

1. Einleitung

Seit dem 12. September 2025 greift der Data Act der Europäischen Union (EU) und betrifft insbesondere Unternehmen der Windenergie-Branche. Vom intelligenten Sensor an der Windturbine über digitale Wartungssysteme bis hin zu vernetzten Windparks, ist das Internet der Dinge (IoT) längst bei den erneuerbaren Energien angekommen. Die Nutzung dieser Daten gewinnt durch den Einsatz künstlicher Intelligenz (KI) zunehmend an Attraktivität und wirtschaftlicher Bedeutung. 

2. Was regelt der Data Act?

Bislang verfügen häufig allein die Hersteller vernetzter Produkte oder Anbieter verbundener Dienste über die durch IoT-Geräte gesammelten Daten. Der Data Act soll für eine faire Wertschöpfungskette sorgen und regelt den gerechten Datenzugang sowie die faire Nutzung von Daten, die beim Einsatz von IoT entstehen. 

Profitieren sollen nicht nur Hersteller smarter Produkte bzw. verbundener Dienste, sondern auch die Nutzer – etwa Betreiber von Windenergieanlagen. Sie erhalten mehr Kontrolle darüber, wer ihre Daten einsehen und nutzen darf. 

3. Neue Möglichkeiten zur Datennutzung

Sensordaten einer Windturbine lagen bisher häufig exklusiv beim Hersteller. Der Data Act räumt dem Nutzer nun ein Zugangsrecht zu diesen Daten ein – einschließlich der Rohdaten. 

4. Kernbereiche des Data Acts

4.1 Datenzugang

Herzstück des Data Acts ist der Zugang zu Daten, die von vernetzten Produkten oder verbundenen Diensten erzeugt werden. 

Pflichten für Hersteller

Hersteller sind verpflichtet, den Datenzugang möglichst einfach zu gestalten. Dies soll etwa über eine Schnittstelle am Gerät oder ein Onlineportal geschehen. Das ist besonders relevant für Unternehmen, die solche Daten bislang ausschließlich für eigene Zwecke genutzt haben.

Selbst wenn bestimmte Daten bereits über ein Portal bereitgestellt werden, stellt sich mit dem Data Act die Frage nach dem Umfang: Eine Windenergieanlage kann beispielsweise mehrere zehntausend Fehlermeldungen, Warnungen und Systemhinweise erzeugen. 

Umfang der bereitzustellenden Daten 

Der Umfang ergibt sich aus Art. 2 Abs. 17 Data Act:

„Bereitzustellen sind solche Daten, die der sogenannte Dateninhaber ohne unverhältnismäßigen Aufwand rechtmäßig vom vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.“

Das Zugangsrecht umfasst bei der Nutzung erstellte Daten, sowohl personenbezogene als auch nicht personenbezogene Daten. 

Datenschutzrechtliche Vorgaben

Beim Zugang zu personenbezogenen Daten gelten vorrangig die Regelungen der Datenschutz-Grundverordnung (DSGVO). Der Nutzer benötigt eine Rechtsgrundlage nach Art. 6 DSGVO. Personenbezogene Daten Dritter können aus Sicht eines Unternehmens auch die eigenen Beschäftigten betreffen. Eine Lösung kann die Anonymisierung bieten, da anonymisierte Daten vom Anwendungsbereich der DSGVO ausgenommen sind. 

Praxisbeispiel: Betriebsführer und Vergleichsanlagen

Verwaltet ein Betriebsführer Windenergieanlagen verschiedener Betreiber, darf er nicht ohne Weiteres alle Anlagendaten nutzen – etwa für sogenannte Ausfallberechnungen gegenüber Versicherungen. 

Bei einem Anlagenausfall zahlt die Versicherung den entgangenen Ertrag auf Basis der theoretisch möglichen Stromproduktion. Diese wird anhand von Vergleichsanlagen berechnet – also Anlagen desselben Herstellers und Typs in vergleichbarer Umgebung (z. B. im rheinhessischen Bergland). Gehören diese Anlagen unterschiedlichen Betreibern, greift der Data Act. Eine Nutzung dieser Daten erfordert dann beispielsweise eine vertragliche Grundlage. 

4.2 Notstandsregelung 

Behörden können Unternehmen unter bestimmten außergewöhnlichen Voraussetzungen, etwa bei Naturkatastrophen oder akuter Energieknappheit, verpflichten, bestimmte Daten herauszugeben. Voraussetzung ist, dass diese Daten dringend zur Bewältigung der Notlage benötigt werden und nicht anders beschaffbar sind. 

Bereitstellung und Ablehnungsfristen 

Die Daten sind grundsätzlich unverzüglich bereitzustellen. Um den Aufwand zu minimieren, sind technische, organisatorische und rechtliche Maßnahmen zu berücksichtigen. „Bereitstellen“ bedeutet nicht zwingend Übermittlung – eine sogenannte In-situ-Bereitstellung direkt am vernetzten Produkt genügt. 

Unternehmen können ein behördliches Datenverlangen ablehnen, müssen dies jedoch unverzüglich, spätestens innerhalb von fünf Arbeitstagen nach Eingang tun. In allen anderen Fällen außergewöhnlicher Notwendigkeit beträgt die Ablehnungsfrist 30 Arbeitstage. 

4.3 Cloud Switching

Um sogenannte „Lock-in-Effekte“ zu verhindern – also die Bindung an einen Anbieter, weil ein Wechsel zu kompliziert, zu teuer oder mit Datenverlust verbunden wäre -, verpflichtet der Data Act, Anbieter von Datenverarbeitungsdiensten, technische und vertragliche Hürden abzubauen. 

Der „Umzug“ eigener Daten von einem Cloud-Service zu einem anderen soll einfacher und unkomplizierter werden. Anbieter müssen den Wechsel innerhalb von maximal 30 Tagen ermöglichen. Vertragsklauseln, die einen Wechsel behindern, sind unwirksam. 

Der Data Act stärkt damit die Datensouveränität und ermöglicht die nahtlose Fortführung der eigenen Datenhistorie bei einem neuen Anbieter. 

Beispiel: Betreiber cloudbasierter Asset-Management- und SCADA-Software sollen künftig leichter den Anbieter wechseln können.

5. Schutz von Geschäftsgeheimnissen

Ein zentrales Anliegen des Data Acts ist der Schutz von Geschäftsgeheimnissen und vertraulichen Informationen, insbesondere wenn Unternehmen verpflichtet werden, solche Daten an Nutzer oder Dritte weiterzugeben. Der Data Act erkennt dieses Schutzbedürfnis ausdrücklich an. 

6. Keine Pflicht ohne Schutzmaßnahmen

Unternehmen, die Daten bereitstellen müssen, sind nicht verpflichtet, Geschäftsgeheimnisse oder vertrauliche Informationen preiszugeben, sofern keine angemessenen Schutzmaßnahmen getroffen werden (Art. 4 Abs. 6, Art. 8 Abs. 6). 

Das bedeutet: 

  • Der Datenempfänger muss geeignete Maßnahmen zum Schutz der erhaltenen Geschäftsgeheimnisse treffen. 
  • Es dürfen keine Daten weitergegeben werden, wenn dies mit einem unvertretbaren Risiko für die Preisgabe von Geschäftsgeheimnissen verbunden wäre. 

7. Vertragliche und technische Schutzmaßnahmen

Die Parteien können vertraglich festlegen, wie Geschäftsgeheimnisse geschützt werden – etwa über: 

  • Vertraulichkeitsvereinbarungen (NDAs) 
  • Beschränkungen der Nutzung und Weitergabe 
  • Technische Zugriffsbeschränkungen 

Der Data Act sieht vor, dass Empfänger von Daten, die Geschäftsgeheimnisse enthalten, diese nicht für eigene Zwecke außerhalb der vereinbarten Nutzung verwenden dürfen. 

Wenn trotz aller Maßnahmen ein unvertretbares Risiko für die Offenlegung von Geschäftsgeheimnissen besteht, können Unternehmen die Herausgabe verweigern.

8. Beispiel für die Windenergie-Branche

Befürchtet ein Windturbinen-Hersteller, dass durch die Herausgabe von Sensordaten an Betreiber oder Dritte sensible Informationen – etwa zu Algorithmen, Betriebsstrategien oder Wartungsprozessen – offengelegt werden, kann er Schutzmaßnahmen verlangen. Erst wenn diese vereinbart und umgesetzt sind, muss er die Daten bereitstellen. Kommt es dennoch zu einem unvertretbaren Risiko, kann die Herausgabe abgelehnt werden.

9. Fazit

Der Data Act stellt einen Paradigmenwechsel dar. Er versucht, die enorme wirtschaftliche Kraft, die in den Daten des Internets der Dinge steckt, für alle nutzbar zu machen, während er gleichzeitig die Grundrechte des Datenschutzes wahren will. Dieses Spannungsfeld zwischen Öffnung und Schutz wird Hersteller und Anwender in den kommenden Jahren intensiv beschäftigen. 

Für Betreiber und Betriebsführer von Windenergieanlagen ist dies ein echter Gewinn: Kein Betteln mehr um Daten. Der Data Act liefert den rechtlichen Hebel zur Daten-Demokratisierung. 

Die entscheidende Frage für Unternehmen wird nun sein: Wie werden die Kompetenzen und die technische Infrastruktur aufgebaut, um aus dieser neuen Datenflut nicht nur Compliance-Pflichten, sondern echte Wettbewerbsvorteile zu generieren?

AUTOREN

Michael Darnieder ist Geschäftsführer der TEDEXA GmbH, KI-Experte und Redner zu KI-Themen. TEDEXA bietet 360-Grad-KI-Beratung und Produktentwicklung sowie individuelle Softwareentwicklung, insbesondere in der Branche der erneuerbaren Energien an.

Matthias Rosa ist Rechtsanwalt und Fachanwalt für IT-Recht und schwerpunktmäßig im Datenschutz-, KI- und Datenrecht tätig.

KI-KOMPETENZ

von

AI LITERACY – Eine Einführung in den Begriff und seine gesetzliche Verankerung im AI Act

1. Was bedeutet KI-Kompetenz?

KI-Kompetenz bezeichnet die Fähigkeit mit Künstlicher Intelligenz (KI) sachkundig, verantwortungsvoll und zielgerichtet umzugehen.

Dazu gehört nicht nur das rechtliche Wissen, das Unternehmen nach dem AI Act bzw. der KI-Verordnung sicherstellen müssen, sondern auch ein technisch-praktisches Grundverständnis.

2. Rechtliche Grundlagen: Wo ist KI-Kompetenz vorgeschrieben?

Die gesetzliche Grundlage dieser Verpflichtung ergibt sich aus Art. 4 der KI-Verordnung. Das Gesetz sieht dabei vor, dass ein ausreichendes Maß an KI-Kompetenz bei Personal und anderen Personen, die im Zusammenhang ihrer Tätigkeiten mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, sicherzustellen ist.

Der Begriff der KI-Kompetenz wird in Art. 3 Nr. 56 des AI Acts legaldefiniert.

Es geht um die Fähigkeiten, Kenntnisse und das Verständnis, die es Anbietern, Anwendern und Betroffenen ermöglichen, KI unter Berücksichtigung ihrer Rechte und Pflichten im Rahmen des AI Acts in Kenntnis der Sachlage einzusetzen und sich über Chancen und Risiken von KI und mögliche Schäden, die sie verursachen kann, bewusst zu werden.

Darüber hinaus wird KI-Kompetenz zunehmend auch in weiteren Standards und Regulierungen (z. B. ISO 42001, ISO/IEC 23894 zu KI-Risikomanagement) konkretisiert.

3. Warum ist KI-Kompetenz so wichtig? 

3.1 Chancen und Risiken von KI verstehen und Schäden minimieren

Der AI Act spricht hier ausdrücklich von Chancen und Risiken. Demnach geht es darum, den größtmöglichen Nutzen aus KI-Systemen für die eigene Organisation zu ziehen und dabei Grundrechte, Gesundheit und Sicherheit sicherzustellen. Um fundierte Entscheidungen über KI-Systeme zu treffen, sollen daher die notwendigen Kenntnisse vermittelt werden (vgl. ErwG. 20 AI Act).

KI-Kompetenz umfasst im Ergebnis somit mehrere Dimensionen:

  • Technisch: Die technische Kompetenz umfasst die Grundkenntnisse über Funktionsweisen von KI-Systemen (z. B. Datenqualität, Modellgrenzen und Wissenstiefe, Halluzinationen, Energieverbrauch), um deren Ergebnisse zu bewerten und verantwortungsvoll einsetzen zu können.
  • Rechtlich und ethisch: Unter rechtlicher und ethischer Kompetenz erfasst die Sicherstellung von Compliance (z. B. Datenschutz, KI-Verordnung der EU), Transparenz und Fairness im Umgang mit KI sowie Themen wie Urheberrecht, DeepFakes und Bias.
  • Anwendungsbezogen: Dies bezeichnet die Fähigkeit, KI-Tools produktiv und effizient einzusetzen (ziel­führende Use Cases, spezifisches Onboarding), Arbeitsbedingungen zu verbessern und Innovationen voranzutreiben.
  • Souveränität: Das ist die Entwicklung von Unabhängigkeit und Gestaltungsmacht im Umgang mit KI. Dazu gehört die Fähigkeit, eigene Entscheidungen fundiert zu treffen, nicht blind Ergebnissen von KI-Systemen zu vertrauen, Anbieterabhängigkeiten zu reduzieren und als Organisation oder Gesellschaft die technologische Entwicklung aktiv mitzugestalten.
  • Kontinuierliches Lernen: Da sich KI-Systeme und gesetzliche Rahmenwerke ständig weiterentwickeln, erfordert KI-Kompetenz eine fortlaufende Weiterbildung. Nur wer stetig lernt, bleibt handlungsfähig, innovativ und kann KI rechtskonform einsetzen.

3.2 „Ressourcen & Kompetenzen“

Neben dem AI Act findet sich eine entsprechende Vorgabe auch in der ISO 42001 (KI-Managementsystem). Diese fordert in Kapitel 7 „Ressourcen und Kompetenzen“ für ein effektives KI-Management die Ressourcenbereitstellung, Kompetenzsicherung und Bewusstseinsbildung.

Für Beschäftigte sind dabei insbesondere folgende Bereiche relevant:  

  • Bereitstellung von Ressourcen (Personal, Infrastruktur, Technologie)
  • Sicherstellung der Kompetenz der Beschäftigten
  • Bewusstseinsbildung zur KI-Politik und individuellen Rollen

3.3 Wer braucht KI-Kompetenz – und in welchem Umfang? 

Alle Personen, die innerhalb einer Organisation KI-Systeme betreiben oder nutzen, müssen über ausreichende KI-Kompetenz verfügen, einschließlich eigener Beschäftigter und externer Auftragnehmer. Anbieter und Betreiber von KI-Systemen, auch mit allgemeinem Verwendungszweck wie Chatbots, sind verpflichtet, diese Kompetenz sicherzustellen.

Verlangt wird hierbei ein ausreichendes Maß an KI-Kompetenz bei allen Personen, die im Auftrag der Organisation KI betreiben oder nutzen. Dies hat immer personen- und kontextbezogen zu erfolgen und bezieht sich somit auf die jeweilige Zielgruppe der KI-Anwender/-Betreiber. Dabei spielen vor allem die jeweiligen Anwendungsfälle, für die KI eingesetzt werden soll, eine entscheidende Rolle, da hiervon auch die potenziellen Risiken im Zusammenhang mit dem jeweiligen KI-System abhängen.

Neben einer möglichst effektiven Nutzung von KI-Systemen geht es bei der KI-Kompetenz inhaltlich vor allem darum, beim Einsatz und bei der Nutzung von KI-Systemen ein allgemeines Verständnis der Thematik sicherzustellen und dabei die Rolle der eigenen Organisation als Anbieter oder Betreiber im Blick zu behalten. Hintergrund ist, dass Anbieter und Betreiber von KI-Systemen, insbesondere im Hochrisikobereich, unterschiedliche gesetzliche Anforderungen erfüllen müssen. Insbesondere sollten die Personen, denen KI-Kompetenz vermittelt wird, die Risiken des spezifischen KI-Systems im konkreten Kontext berücksichtigen können, sowie aktuelle Entwicklung und Neuerungen einbezogen werden.

Daraus folgt: KI-Kompetenz ist kein einmaliges Projekt, sondern muss als kontinuierlicher Prozess der Qualifizierung, Anpassung und Organisationsentwicklung verstanden werden.

3.4 Nutzen für die Organisation

KI-Kompetenz bedeutet im Ergebnis den Einstieg in eine nachhaltige digitale Transformation, die tief in Prozesse, Arbeitsweisen und Wertschöpfung eingreift. Wer KI lediglich als Software versteht, verkennt ihr Potenzial – und verpasst damit den eigentlichen Zweck und Nutzen: die Weiterentwicklung von Organisationen, Innovationen und langfristiger Wertschöpfung.

Damit ist KI-Kompetenz nicht nur eine gesetzliche Verpflichtung, sondern auch ein strategischer Erfolgsfaktor.

Sie ermöglicht es Organisationen, das volle Potenzial von KI-Systemen auszuschöpfen, Risiken zu minimieren, digitale Souveränität zu sichern und die Wettbewerbsfähigkeit nachhaltig zu stärken.

4. Wie lässt sich KI-Kompetenz konkret umsetzen? 

4.1 Von Schulungen bis Dokumentation – Umsetzung in der Praxis 

Wie KI-Kompetenz umzusetzen ist, wird gesetzlich nicht vorgegeben. KI-Kompetenz ist ein kontinuierlicher Prozess, der interne und externe Schulungen umfasst, dokumentiert werden muss und sich an Zielgruppen und Anwendungsfällen orientiert. Das EU AI Office stellt ein “Living repository of AI Literacy Practices” mit Beispielen von Unternehmen zur Verfügung, die eine Orientierungshilfe für die Umsetzung von KI-Kompetenz bieten können.

Darüber hinaus ist eine enge Verzahnung mit internen Change-Management- und Digitalisierungsstrategien empfehlenswert, um KI-Kompetenz nicht isoliert, sondern als Bestandteil der digitalen Transformation zu verankern.

4.2 Drei Stufen der KI-Kompetenz: Ein möglicher Ansatz 

Ein Ansatz könnte in drei Kompetenzstufen liegen, bei denen zwischen Grundverständnis, fortgeschrittene Kenntnisse und toolspezifische Kompetenzen unterschieden wird.

Unternehmen können ihre Beschäftigten und sonstige Betroffene so entsprechend ihrem Vorwissen und ihrer Aufgaben gezielt weiterbilden:

  • Das Grundverständnis bildet dabei die Basis, um grundlegende Konzepte, Chancen und Risiken von KI zu verstehen und ein allgemeines Bewusstsein für den Einsatz von KI-Technologien zu schaffen.
  • Fortgeschrittene Kenntnisse ermöglichen es, komplexere Zusammenhänge zu durchdringen, KI-Anwendungen kritisch zu bewerten und aktiv an der Gestaltung und Implementierung von KI-Projekten mitzuwirken.
  • Toolspezifische Kompetenzen sind schließlich notwendig, um konkrete KI-Werkzeuge und -Plattformen effektiv und effizient im Arbeitsalltag nutzen zu können.

Diese Differenzierung erleichtert eine bedarfsgerechte Qualifizierung und fördert sowohl die breite Akzeptanz als auch die gezielte Anwendung von KI im Unternehmen bzw. in der Organisation.

Wichtig ist zudem, dass Beschäftigte über alle Stufen hinweg regelmäßig weitergebildet werden, da sich Tools, Methoden und regulatorische Rahmenbedingungen stetig ändern.

4.3 Die Frage könnte lauten: Wer wird KI wofür nutzen oder anbieten? 

Zielgruppenanalysen helfen hier, den Bedarf zu ermitteln und die erforderlichen Maßnahmen zu gestalten. Es kommt dabei insbesondere darauf an, wer in welcher Funktion mit dem KI-System interagiert. Entwickler von KI-Systemen haben dabei natürlich andere Bedarfe als Beschäftigte, die KI beispielsweise zu Marketingzwecken einsetzen.

Zum Grundverständnis könnten hier Grundlagen der KI, praktische Anwendungen (z. B. zum Prompting oder Umgang mit Ergebnissen), Ethik, regulatorische Anforderungen und gesetzlich definierte Begriffe (z. B. AI Act, DSGVO), Risikomanagement und technische Kenntnisse vermittelt werden. Dies könnten Definitionen, praktische Übungen, ethische Überlegungen, rechtliche Rahmenbedingungen und die Bewertung von KI-Systemen hinsichtlich Chancen und Risiken beinhalten.

Dabei sollte den Beschäftigten ein Verständnis sogenannte verbotene Praktiken gemäß AI Act und Risikoklassen: unannehmbares Risiko (Verbot), Hochrisiko (strenge Anforderungen), spezifisches Risiko (Transparenzpflichten) und geringes Risiko (freiwillige Anwendung) vermittelt werden.

Hier empfiehlt sich zusätzlich gegenenenfalls die Simulation realer Szenarien (z. B. Notfalltests, Bias-Erkennung), um die Aufsichtsfunktion praxisnah und belastbar zu trainieren.

4.4 Spezielle Anforderungen bei Hochrisiko-KI 

Vor allem bei sog. Hochrisiko-KI-Systemen bestehen erhöhte Anforderungen. Hochrisiko-KI-Systeme können etwa medizinische Geräte, autonome Fahrzeuge und biometrische Systeme umfassen. Beschäftigte in der Rolle der menschlichen Aufsicht über Hochrisiko-KI-Systeme müssen besondere KI-Kompetenzen besitzen. Solche Systeme erfordern effektive Überwachung durch natürliche Personen gemäß Art. 14 der KI-Verordnung und eine detaillierte Bedarfs- und Kompetenzanalyse, die Risiken, Anwendungsfälle und Nutzer berücksichtigt.

5. Fazit

KI-Kompetenz ist ein zentrales Element für den verantwortungsvollen und effektiven Einsatz von Künstlicher Intelligenz in Unternehmen und Organisationen. Der AI Act verpflichtet Anbieter und Anwender dazu, ein angemessenes Maß an Wissen, Fähigkeiten und Bewusstsein im Umgang mit KI-Systemen sicherzustellen – angepasst an die jeweilige Rolle, den Anwendungsfall und das Risikopotenzial. Die kontinuierliche Qualifizierung und Sensibilisierung aller beteiligten Personen ist dabei nicht nur eine rechtliche Notwendigkeit, sondern auch ein entscheidender Faktor für Innovation, Sicherheit und nachhaltigen Unternehmenserfolg im digitalen Zeitalter.

KI-Kompetenz ist somit nicht als Projekt mit Endpunkt zu verstehen, sondern als fortlaufende Lernreise, die eng mit der digitalen Transformation, Wettbewerbsfähigkeit und der Sicherung technologischer Souveränität verbunden ist.

AUTOREN

Sascha Scheffler ist diplomierter Maschinenbauingenieur und Experte für digitale Transformation. Er ist zertifizierter Lean Administration Expert, Master Business with AI (MBAI®) und derzeit in Ausbildung zum AI Integration Expert.

Matthias Rosa ist Rechtsanwalt und Fachanwalt für IT-Recht und schwerpunktmäßig im Datenschutz- und KI-Recht tätig.