Fachanwalt für IT-Recht: Ihr Partner für digitale Unternehmen

In den meisten Fällen rechne ich meine Tätigkeit im IT-Recht nach Zeitaufwand ab. Die Abrechnung erfolgt minutengenau auf Basis eines transparenten Stundenhonorars. Bevor ich einen Leistungsschritt beginne, erhalten Sie von mir eine möglichst konkrete Einschätzung des zu erwartenden Zeitaufwands, in der Regel in Form einer Spanne zwischen x und y Stunden. So behalten Sie jederzeit die volle Kostenkontrolle.

In bestimmten Konstellationen kann auch ein anderes Abrechnungsmodell sinnvoll sein. Bei klar umrissenen Projekten, etwa der Erstellung von AGB oder Datenschutzerklärungen, kommt häufig ein Pauschalhonorar in Betracht. Auch bei der Löschung negativer Bewertungen kommt oft ein Pauschalhonorar zum Einsatz. Bei Abmahnungen erfolgt die Abrechnung häufig nach den gesetzlichen Gebühren nach dem Rechtsanwaltsvergütungsgesetz (RVG).

Ein SaaS-Vertrag (Software as a Service) ist rechtlich hochkomplex. Da die Software nicht einmalig gekauft, sondern als fortlaufende Dienstleistung über die Cloud zur Verfügung gestellt wird, ordnet die deutsche Rechtsprechung SaaS-Modelle primär dem Mietrecht zu.

Ein rechtssicheres Vertragswerk erfordert zahlreiche, präzise auf das jeweilige Geschäftsmodell abgestimmte Bausteine. Die folgenden fünf Punkte sind daher lediglich die wichtigsten Praxisbeispiele – ein vollständiger SaaS-Vertrag muss noch deutlich mehr Regelungen umfassen, um Anbieter vor teuren Haftungsfallen zu schützen:

1. Die Haftungsfalle im Mietrecht (§ 536a BGB) ausschließen
Nach dem gesetzlichen Mietrecht haftet der Bereitsteller der Software bei anfänglichen Mängeln (Bugs, die schon bei Vertragsschluss im Code steckten) auf Schadensersatz – und zwar verschuldensunabhängig. Das bedeutet, der Anbieter haftet für Systemausfälle oder Datenverluste des Kunden, selbst wenn ihn gar kein Verschulden trifft. Diese sogenannte Garantiehaftung muss in einem SaaS-Vertrag zwingend wirksam ausgeschlossen werden.

2. Service Level Agreements (SLAs)
Cloud-Software kann nicht zu 100 % fehlerfrei und pausenlos laufen. Der Vertrag muss exakt definieren, welche Leistung konkret geschuldet wird. Dazu gehören die Festlegung der garantierten Verfügbarkeit im Jahresmittel (z. B. 99,5 %), klare Support-Reaktionszeiten und die vertragliche Verankerung von geplanten, haftungsfreien Wartungsfenstern (Maintenance).

3. Klare Nutzungsrechte und Lizenzmetriken
Es muss unmissverständlich geregelt sein, wer die Software in welchem Umfang nutzen darf. Dies umfasst die Definition der Lizenzart (z. B. Named-User-Lizenzen oder Concurrent-User), das strikte Verbot von Account-Sharing (Weitergabe von Passwörtern) sowie die rechtlichen und finanziellen Konsequenzen, wenn der Kunde das vereinbarte Nutzungskontingent überschreitet.

4. Datenschutz und Auftragsverarbeitung (AVV)
Da SaaS-Anbieter im Regelfall personenbezogene Daten der Kunden auf ihren Servern hosten und verarbeiten, sind sie gesetzlich verpflichtet, zusätzlich zum Hauptvertrag einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abzuschließen. Fehlt dieser, drohen sowohl dem Anbieter als auch dem Kunden empfindliche DSGVO-Bußgelder.

5. Daten-Exit und Vendor-Lock-in
Kunden wollen wissen, was mit ihrem wertvollsten Gut passiert, wenn sie kündigen. Ein guter SaaS-Vertrag regelt detailliert den sogenannten Daten-Exit: In welchem maschinenlesbaren Format (z. B. CSV, JSON) erhält der Kunde seine Daten bei Vertragsende zurück, wie lange werden die Daten noch vorgehalten und wann werden sie endgültig datenschutzkonform gelöscht?

In der IT-Praxis hält sich hartnäckig der Irrtum, dass der Auftraggeber mit der vollständigen Vergütung einer Individualsoftware automatisch die vollumfängliche Rechtsinhaberschaft an dem Code erwirbt. Nach deutschem Recht ist diese Annahme unzutreffend und birgt erhebliche wirtschaftliche Risiken.

Software genießt als persönliche geistige Schöpfung den Schutz des Urheberrechtsgesetzes (§ 2 Abs. 1 Nr. 1 i.V.m. § 69a UrhG). Da das deutsche Urheberrecht nicht im Ganzen übertragbar ist und das formelle Urheberpersönlichkeitsrecht unabdingbar beim Programmierer (dem Schöpfer) verbleibt, findet an einer Software keine dingliche Eigentumsübertragung wie bei einer körperlichen Sache statt. Der Auftraggeber leitet stattdessen lediglich vertragliche Verwertungs- und Nutzungsrechte ab.

Ohne einen präzisen, schriftlichen Softwareerstellungsvertrag ergeben sich für den Auftraggeber meist folgende rechtliche Problemfelder:

1. Gesetzliche Auslegungsregel: Die Zweckübertragungslehre (§ 31 Abs. 5 UrhG)
Wurden die Nutzungsrechte im Vertrag nicht ausdrücklich geregelt, wendet das Gesetz die Zweckübertragungslehre an. Danach räumt der Entwickler dem Auftraggeber Rechte nur in dem Umfang ein, wie es der ursprüngliche Vertragszweck unbedingt erfordert.

Die Konsequenz: Der Auftraggeber erhält im Zweifel nur ein einfaches (nicht-exklusives) Nutzungsrecht. Das Recht, die Software exklusiv zu vermarkten oder als White-Label-Lösung zu lizenzieren, verbleibt beim Entwickler.

2. Voraussetzungen für die Herausgabe des Quellcodes (BGH-Rechtsprechung)
Es gibt keinen gesetzlichen Automatismus zur Herausgabe des Quellcodes (Source Code). Schweigt der Vertrag zu diesem Punkt, muss der Vertragszweck nach ständiger Rechtsprechung des Bundesgerichtshofs (BGH, Urteil vom 16.12.2003, Az.: X ZR 129/01) durch das Gericht ausgelegt werden.

Die Indizien für die Herausgabe: Der BGH bejaht einen stillschweigend vereinbarten Herausgabeanspruch insbesondere dann, wenn der Auftraggeber die Software aktiv weitervermarkten (z. B. als eigenes Softwareprodukt vertreiben), selbst warten oder weiterentwickeln soll.

Das prozessuale Risiko: Wer sich jedoch auf diese gerichtlichen Auslegungsregeln verlassen muss, riskiert langwierige Beweisaufnahmen über den genauen ursprünglichen Zweck des Projekts. Unterliegt man vor Gericht, ist man technisch an die ursprüngliche Agentur gebunden (Vendor-Lock-in).

3. Notwendigkeit eines ausdrücklichen Bearbeitungsrechts (§ 39 UrhG)
Selbst wenn der Quellcode vorliegt, darf dieser rechtlich nicht ohne Weiteres verändert werden. Ohne die Einräumung eines Bearbeitungsrechts ist es dem Auftraggeber untersagt, den Code durch eine andere Agentur oder eigene Inhouse-Entwickler umschreiben, erweitern oder in eine andere Programmiersprache portieren zu lassen.

4. IP-Compliance im Rahmen von M&A-Transaktionen (Due Diligence)
Besonders kritisch wird die unklare Rechteinhaberschaft bei Unternehmensverkäufen oder Finanzierungsrunden. Investoren prüfen im Rahmen der rechtlichen Due Diligence die lückenlose Rechte-Kette an der Kerntechnologie. Können umfassende Nutzungsrechte am Code nicht nachgewiesen werden, ist das geistige Eigentum (IP) des Unternehmens nicht gesichert, was die Unternehmensbewertung (Valuation) massiv reduziert.

5. Empfehlungen zur Vertragsgestaltung
Um das IT-Projekt rechtssicher in das eigene Anlagevermögen zu überführen, müssen im Vertrag zwingend folgende Punkte fixiert werden:

• Einräumung von räumlich, zeitlich und inhaltlich unbeschränkten, ausschließlichen (exklusiven) Nutzungsrechten.
• Die ausdrückliche Einräumung des umfassenden Bearbeitungsrechts.
• Die vertragliche Pflicht zur Herausgabe des unverschlüsselten, gut dokumentierten Quellcodes bei Meilenstein-Abschlüssen oder Projektende

Beim sogenannten Customizing von Standardsoftware (wie ERP- oder CRM-Systemen) kommt es in der Praxis besonders häufig zu rechtlichen Streitigkeiten. Unter diesem Oberbegriff werden technisch zwei unterschiedliche Vorgänge zusammengefasst: zum einen die bloße Einstellung der Software über vorhandene Bordmittel (Parametrisierung), zum anderen die tiefergehende, individuelle Programmierung von neuem Code (Softwareanpassung).

Werden Standardlösungen für Kunden individualisiert, müssen insbesondere drei rechtliche Aspekte zwingend beachtet werden:

1. Nebenpflicht oder eigenständiger Werkvertrag?
Während die bloße Überlassung von Standardsoftware meist dem Kauf- oder Mietrecht unterfällt, ist die Einordnung des Customizings juristisch komplex. Sowohl die Parametrisierung als auch die Code-Anpassung zielen auf einen bestimmten Erfolg ab, was grundsätzlich für das Werkvertragsrecht (§§ 631 ff. BGB) spricht. In Rechtsprechung und juristischer Literatur wird jedoch nicht einheitlich beurteilt, ob diese Leistungen bei gleichzeitiger Überlassung der Standardsoftware lediglich unselbstständige Nebenpflichten ohne vertragsprägenden Charakter darstellen (dann teilen sie das rechtliche Schicksal des Hauptvertrags) oder ob sie als eigenständige Hauptleistungspflichten zu werten sind. Jedenfalls bei tiefergehenden Anpassungen dürfte in der Regel das Werkvertragsrecht greifen. Dies hat der BGH etwa in einem Fall der Softwareanpassung mit einer Schnittstellen-Programmierung angenommen (BGH, Urteil vom 25.03.2010, Az.: VII ZR 224/08). Die Folge: Der Entwickler schuldet nicht nur ein fachgerechtes Tätigwerden, sondern die Herbeiführung eines konkreten, mangelfreien Erfolgs.

2. Die Abnahme (§ 640 BGB)
Sobald für die Customizing-Leistungen das Werkvertragsrecht greift, ist die formelle Abnahme durch den Auftraggeber der wichtigste Meilenstein im Projekt. Mit der Abnahme wird nicht nur die Vergütung fällig, sondern es beginnt auch die Gewährleistungsfrist, und die Beweislast für Mängel geht auf den Kunden über. Ein rechtssicherer IT-Projektvertrag muss daher exakte Abnahmekriterien, Testphasen und Regelungen zur sogenannten „fingierten Abnahme“ (wenn der Kunde die Prüfung grundlos verzögert) enthalten.

3. Spezifikationen und Mitwirkungspflichten
Die meisten IT-Projekte scheitern rechtlich an unklaren Anforderungen. Der Vertrag muss genau definieren, auf welcher Basis entwickelt wird (klassisches Lasten-/Pflichtenheft oder agile Methoden wie Scrum) und welche strengen Mitwirkungspflichten der Auftraggeber hat (z. B. zeitgerechte Bereitstellung von Testdaten oder Systemzugängen). Verletzt der Kunde diese Pflichten, muss der Vertrag den Entwickler wirksam vor Haftung und Verzugsschäden schützen.

Nein, es gibt im deutschen Recht keine allgemeine gesetzliche Pflicht, Allgemeine Geschäftsbedingungen (AGB) zu verwenden. Verträge können auch ohne AGB wirksam geschlossen werden. Wer im E-Commerce oder B2B-Umfeld jedoch auf AGB verzichtet, geht ein hohes wirtschaftliches Risiko ein und verschenkt seinen rechtlichen Gestaltungsspielraum.

Die praktische Notwendigkeit von AGB unterscheidet sich je nach Zielgruppe und Geschäftsmodell:

1. Gesetzliche Informationspflichten (B2C & B2B)
Wer Waren oder Dienstleistungen online anbietet (E-Commerce), muss diverse vorvertragliche Informationspflichten erfüllen (z. B. nach § 312i BGB). Diese Grundpflichten – etwa die Aufklärung über den technischen Ablauf des Vertragsschlusses – gelten sowohl im B2B- als auch im B2C-Bereich. Richtet sich Ihr Angebot (auch) an Verbraucher (B2C), werden diese Pflichten noch deutlich umfangreicher. Es greift zusätzlich der zwingende Katalog des Art. 246a EGBGB, der Sie zur detaillierten Aufklärung über das gesetzliche Widerrufsrecht, Lieferbedingungen und Zahlungsarten zwingt. Ohne ein sauberes AGB-Regelwerk lassen sich diese Pflichten auf einer Website praktisch nicht rechtssicher und abmahnsicher abbilden.

2. B2B & Tech (Strategische Risikominimierung)
Im reinen B2B-Bereich (z. B. bei SaaS-Anbietern, Softwareentwicklern oder Agenturen) dienen AGB über die Erfüllung von Basis-Informationspflichten hinaus in erster Linie als rechtlicher Schutzschild. Hier fokussieren sich die Klauseln auf die Reduzierung des eigenen unternehmerischen Risikos. Essenziell sind hierbei z.B.:

• Die wirksame Beschränkung der eigenen Haftung (z. B. bei Serverausfällen oder Datenverlust).
• Die genaue Definition von Mitwirkungspflichten des Kunden.
• Die Festlegung von Nutzungsrechten (Software-Lizenzen).
• Die Vereinbarung Ihres eigenen Unternehmenssitzes als ausschließlichen Gerichtsstand (§ 38 ZPO), damit Sie bei Streitigkeiten nicht am Sitz des Kunden klagen müssen.

3. Der Nachteil des „gesetzlichen Standards“ (BGB)
Der wichtigste rechtliche Grund für AGB: Fehlen sie, gelten automatisch und vollumfänglich die gesetzlichen Standardregelungen des Bürgerlichen Gesetzbuches (BGB). Das BGB ist jedoch stark käufer- und „bestellerfreundlich“ geprägt. Außerdem wurde es nicht für moderne, digitale Geschäftsmodelle wie Cloud-Hosting oder agile Softwareentwicklung geschrieben. Mit maßgeschneiderten AGB ersetzen Sie diese für Sie unpassenden und oft nachteiligen Standardregeln durch Klauseln, die Ihr Geschäftsmodell absichern.

Das unreflektierte Kopieren von Allgemeinen Geschäftsbedingungen der Konkurrenz (Copy & Paste) oder die Nutzung kostenloser Standard-Muster aus dem Internet ist eines der häufigsten und teuersten rechtlichen Risiken für Online-Shops und digitale Geschäftsmodelle.

Wer bei seinen AGB auf Fremdtexte oder Generatoren setzt, begibt sich aus vier Gründen juristisch auf sehr dünnes Eis:

1. Das Risiko der Urheberrechtsverletzung (§ 2 UrhG)
Juristische Texte sind keine lizenzfreien Allgemeingüter. Individuell erstellte, auf ein spezifisches Geschäftsmodell zugeschnittene AGB weisen häufig die erforderliche „Schöpfungshöhe“ auf und genießen damit urheberrechtlichen Schutz. Wer die AGB eines Mitbewerbers einfach kopiert, riskiert eine urheberrechtliche Abmahnung inklusive Schadensersatzforderungen durch den ursprünglichen Verfasser oder die beauftragte Kanzlei.

2. Fehlende Passgenauigkeit bei Tech- und SaaS-Modellen
Ein Standard-Muster aus dem Netz deckt meist nur simple Kaufverträge ab. Für komplexe Leistungsbilder wie Software-as-a-Service (SaaS), Cloud-Hosting, agile Softwareentwicklung oder fortlaufende Agenturleistungen sind diese Vorlagen völlig ungeeignet. Passen die AGB-Klauseln nicht exakt zu Ihren tatsächlichen Leistungsbeschreibungen, Support-Level-Agreements (SLA) und Lizenzmodellen, entstehen gefährliche Vertragslücken.

3. Der Bumerang-Effekt: Unwirksame Haftungsbeschränkungen
Das deutsche AGB-Recht (§§ 305 ff. BGB) ist im internationalen Vergleich extrem streng. Übernehmen Sie ungeprüft fremde Haftungsklauseln, die fehlerhaft oder durch neue BGH-Urteile veraltet sind (z. B. ein pauschaler Haftungsausschluss auch für grobe Fahrlässigkeit), führt dies zur vollständigen Unwirksamkeit der gesamten Klausel. Das bedeutet: Sie haften plötzlich unbeschränkt nach den strengen gesetzlichen Regelungen, statt Ihr wirtschaftliches Risiko zu minimieren.

4. Zielscheibe für wettbewerbsrechtliche Abmahnungen (UWG)
Unpassende oder veraltete AGB enthalten oft unzulässige Regelungen (z. B. unzulässige Fristen, fehlerhafte Widerrufsbelehrungen oder unvollständige gesetzliche Informationspflichten). Solche fehlerhaften Klauseln stellen im E-Commerce einen klassischen Wettbewerbsverstoß dar. Konkurrenten oder „Abmahnvereine“ können diese Fehler mit professioneller Software systematisch aufspüren und kostenpflichtig abmahnen.

Fazit: AGB sind das rechtliche Fundament Ihres Unternehmens. Nur ein individuell erstelltes und juristisch geprüftes Regelwerk stellt sicher, dass Ihre spezifischen Haftungsrisiken abgefedert werden und Ihr Geschäftsmodell wettbewerbsrechtlich unangreifbar ist.

Die Haftung von Website- und Plattformbetreibern für rechtswidrige fremde Inhalte (z. B. Beleidigungen in Foren oder von Nutzern hochgeladene, urheberrechtlich geschützte Bilder) richtet sich strikt danach, ob es sich um eigene oder fremde Inhalte handelt – und wie schnell der Betreiber reagiert.

1. Volle Haftung für eigene Inhalte
Für Inhalte, die ein Plattform- oder Websitebetreiber selbst erstellt oder sich aktiv zu eigen macht (beispielsweise durch redaktionelle Bearbeitung oder inhaltliche Vorauswahl), haftet er vollumfänglich und ab dem ersten Moment der Veröffentlichung nach den allgemeinen Gesetzen.

2. Das Hostprovider-Privileg für fremde Inhalte
Bieten Betreiber lediglich die technische Infrastruktur für nutzergenerierte Inhalte (User Generated Content), greift zunächst ein Haftungsprivileg. Nach den Vorgaben des europäischen Digital Services Act (DSA), der in Deutschland durch das Digitale-Dienste-Gesetz (DDG) flankiert wird, sind Hostprovider und Plattformbetreiber grundsätzlich nicht verpflichtet, die von Nutzern hochgeladenen Inhalte proaktiv auf Rechtsverletzungen zu überwachen.

3. Kenntniserlangung und Notice-and-Takedown
Dieses Haftungsprivileg entfällt jedoch sofort, sobald der Betreiber Kenntnis von einer konkreten Rechtsverletzung erlangt. Wird er beispielsweise durch den Hinweis eines Betroffenen auf eine Urheber- oder Persönlichkeitsrechtsverletzung hingewiesen, ist er gesetzlich gezwungen, unverzüglich tätig zu werden (Notice-and-Takedown). Er muss den Hinweis prüfen und den rechtswidrigen Inhalt zügig entfernen oder den Zugang sperren. Reagiert der Betreiber nicht oder zu langsam, greift die sogenannte Störerhaftung, die ihn zur Unterlassung verpflichtet und zur Übernahme der gegnerischen Anwaltskosten zwingt. Macht er sich den fremden Inhalt durch das bewusste Stehenlassen gar zu eigen, droht zudem eine direkte Täterhaftung auf Schadensersatz.

4. Der weite Anwendungsbereich des Digital Services Act (DSA)
Ein weit verbreiteter juristischer Irrtum ist, dass der Digital Services Act (DSA) nur für große Tech-Giganten gilt. Tatsächlich fallen auch kleine Betreiber unter die strengen Pflichten (wie die Einrichtung elektronischer Meldeverfahren nach Art. 16 DSA), sobald sie als sogenannte „Hosting-Dienste“ fungieren. Hier ist jedoch anwaltliche Präzision gefragt: Eine simple Kommentarspalte unter einem Blogbeitrag reicht dafür in der Regel nicht aus. Der DSA nimmt Dienste ausdrücklich aus, bei denen die Speicherung fremder Inhalte nur eine „reine Nebenfunktion“ darstellt (Erwägungsgrund 13 DSA).

Anders sieht die rechtliche Lage jedoch aus, wenn Websitebetreiber ein aktives Kundenforum unterhalten, als Marktplatz fungieren (auf dem Nutzer eigene Verkaufsanzeigen oder Inserate einstellen) oder ein dediziertes Bewertungssystem betreiben. Hier greift der DSA meist vollumfänglich. Wer in diesen Fällen kein rechtskonformes Notice-and-Action-Verfahren anbietet, riskiert den Verlust des Haftungsprivilegs und empfindliche Bußgelder.

Der Einsatz von Künstlicher Intelligenz im Arbeitsalltag stellt Unternehmen vor komplexe Compliance-Herausforderungen. Dabei müssen die völlig neuen Pflichten aus dem europäischen EU AI Act (KI-Verordnung) streng von den Hürden bereits bestehender Gesetze (wie DSGVO und Urheberrecht) getrennt werden.

Für Unternehmen, die KI-Tools nutzen, sind insbesondere vier rechtliche Säulen maßgeblich:

1. Betreiberpflichten bei Hochrisiko-Systemen (Art. 26 KI-VO)
Der AI Act unterscheidet strikt zwischen Anbietern (Entwicklern) und Betreibern (Deployern) von KI. Nutzt ein Unternehmen ein KI-Tool im beruflichen Kontext, gilt es rechtlich als Betreiber. Kommt ein „Hochrisiko-KI-System“ zum Einsatz (z. B. eine KI-gestützte Lebenslaufanalyse im HR-Bereich oder biometrische Systeme), greifen nach Art. 26 KI-VO weitreichende Pflichten. Dazu zählen die Gewährleistung menschlicher Aufsicht (Human Oversight), die systematische Protokollierung der Nutzung (Logging) sowie Informationspflichten gegenüber den betroffenen Mitarbeitern.

2. Transparenz- und Kennzeichnungspflichten (Art. 50 KI-VO)
Für den Einsatz von generativer KI (wie ChatGPT oder Midjourney) sieht der AI Act spezifische Transparenzpflichten vor. Kommunizieren Unternehmen über KI-gestützte Chatbots mit Kunden, muss dem Nutzer mitgeteilt werden, dass er mit einer Maschine interagiert (Art. 50 Abs. 1). Eine Kennzeichnungspflicht gilt für Betreiber zudem, wenn sie maschinell erzeugte Inhalte veröffentlichen, die echten Personen ähneln (Deepfakes), oder KI-generierte Texte zu Themen von öffentlichem Interesse verbreiten (Art. 50 Abs. 4).

3. Datenschutz (DSGVO) und Geheimnisschutz (§ 2 GeschGehG)
Diese Bereiche werden vom AI Act nicht ersetzt, sondern laufen parallel. Die unbedachte Eingabe von personenbezogenen Kundendaten in frei zugängliche KI-Tools (wie die Standardversion von ChatGPT) ist datenschutzrechtlich hochproblematisch: Da die Daten an externe US-Anbieter übermittelt und oftmals für das weitere Training der Modelle genutzt werden, fehlt es hierfür an einer Rechtsgrundlage sowie an einem zwingend erforderlichen Auftragsverarbeitungsvertrag (AVV). Eine solche unbefugte Datenübermittlung stellt einen klaren Verstoß gegen die DSGVO dar.

Zudem droht der sofortige Verlust des rechtlichen Schutzes von Geschäftsgeheimnissen: Die Eingabe interner Daten in öffentliche KI-Tools (die diese oft zum weiteren Training nutzen) bricht die gesetzlich geforderten „angemessenen Geheimhaltungsmaßnahmen“ nach § 2 Nr. 1 lit. b GeschGehG. Rechtssicher ist der Einsatz meist nur über geschlossene Enterprise-Lizenzen (API) samt Auftragsverarbeitungsvertrag (AVV).

4. Das Urheberrecht bei KI-Output (§ 2 UrhG)
Auch das Urheberrecht bleibt eine eigenständige Baustelle. Werden KI-generierte Texte, Bilder oder Codes kommerziell genutzt, fehlt es diesen nach deutschem Recht in der Regel an der persönlichen geistigen Schöpfung durch einen Menschen (§ 2 UrhG). Sie genießen somit in den meisten Fällen keinen eigenen urheberrechtlichen Schutz. Gleichzeitig besteht das Risiko, durch den KI-Output bestehende Urheberrechte Dritter zu verletzen, falls das erzeugte Ergebnis zu nah am ursprünglichen Trainingsmaterial liegt.

5. Risikominimierung durch Corporate AI Guidelines
Um all diese unterschiedlichen Haftungsrisiken – vom AI Act bis zur DSGVO – abzufedern, ist die Implementierung verbindlicher interner KI-Richtlinien (Corporate AI Guidelines) unerlässlich. Diese regeln vertrags- und arbeitsrechtlich, welche Tools genutzt werden dürfen, welche Daten tabu sind und wie Kennzeichnungspflichten praktisch umgesetzt werden.

Ausführliche FAQ zum KI-Recht
Weitere tiefgehende Informationen, praxisnahe Fallbeispiele und Antworten auf spezifische rechtliche Fragen rund um den AI Act, Datenschutz und das Urheberrecht bei Künstlicher Intelligenz finden Sie in den detaillierten FAQ im Bereich KI-Recht

Nein. Ein bloßer Verstoß gegen die Datenschutzgrundverordnung (DSGVO) – wie etwa ein unbeabsichtigtes Datenleck oder eine fehlerhafte Auskunft – führt nicht automatisch zu einem Anspruch auf Schadensersatz nach Art. 82 DSGVO.

1. Die drei zwingenden Voraussetzungen des EuGH
Der Europäische Gerichtshof (EuGH) hat klargestellt, dass ein Anspruch auf Schadensersatz stets drei kumulative Voraussetzungen erfordert:

• Es muss ein konkreter Verstoß gegen die DSGVO vorliegen.
• Der betroffenen Person muss ein tatsächlicher materieller oder immaterieller Schaden entstanden sein.
• Es muss ein direkter Kausalzusammenhang bestehen (der Schaden muss zwingend durch den Verstoß verursacht worden sein).
  Fehlt auch nur eine dieser Voraussetzungen, scheidet ein Zahlungsanspruch aus.

2. Kein Schadensersatz bei rein hypothetischen Risiken (EuGH, Urteil vom 25.01.2024, Az.: C-687/21).

Der pauschalen Geltendmachung von Schadensersatzansprüchen bei rein theoretischen Risiken hat der EuGH eine klare Absage erteilt. Ein kurzzeitiger Kontrollverlust über Daten (z. B. Fehlversand an einen falschen Empfänger) stellt keinen Schaden dar, wenn nicht nachgewiesen werden kann, dass ein unbefugter Dritter die Daten tatsächlich zur Kenntnis genommen hat. Eine rein theoretische Gefahr des Datenmissbrauchs reicht für einen Zahlungsanspruch nicht aus.

3. Negative Gefühle als Schaden – aber mit strenger Beweispflicht (EuGH, Urteil vom 04.09.2025, Az.:C-655/23).
in seinem Urteil vom vom 04.09.2025 hat der EuGH die Rechtslage weiter präzisiert: Zwar können nun auch „negative Gefühle“ wie Ärger, Unmut, Sorge oder Angst grundsätzlich einen immateriellen Schaden darstellen, da es keine rechtliche Bagatellgrenze gibt. Aber: Die Zivilgerichte verlangen hierfür einen strikten Individualbeweis. Die klagende Person muss aktiv und nachvollziehbar beweisen, dass sie diese negativen Gefühle und deren konkrete Folgen tatsächlich erlitten hat. Eine bloß abstrakte, pauschal behauptete Befürchtung – wie sie fast immer in standardisierten Klägerschreiben vorkommt – genügt den strengen Beweisanforderungen der Gerichte nicht. Zudem hat der EuGH klargestellt, dass der Schadensersatz eine reine Ausgleichsfunktion hat und keine Straf- oder Abschreckungsfunktion erfüllt.

4. Handlungsempfehlung für betroffene Unternehmen
Spezialisierte Kanzleien fordern im Rahmen von Massenverfahren oft pauschale Summen für angebliche DSGVO-Verstöße. Erhalten Unternehmen solche Zahlungsaufforderungen, sollten diese niemals ungeprüft beglichen werden. Durch eine professionelle anwaltliche Abwehr lässt sich unter Verweis auf die jüngste EuGH-Rechtsprechung oft aufzeigen, dass es auf Klägerseite am strikten Nachweis des individuellen Schadens (der tatsächlichen Kenntnisnahme durch Dritte oder der individuell nachgewiesenen „negativen Gefühle“) mangelt. Unberechtigte Forderungen können so effektiv und kostensparend zurückgewiesen werden.

Gute Online-Bewertungen sind heute ein entscheidender Wirtschaftsfaktor. Ungerechtfertigte 1-Stern-Bewertungen können dagegen erheblichen finanziellen und reputativen Schaden anrichten. Betroffene Unternehmen müssen dies jedoch nicht hinnehmen: Verstößt eine Bewertung gegen geltendes Recht oder die Richtlinien der jeweiligen Plattform, besteht ein durchsetzbarer Löschanspruch.

1. Die rechtlichen Grenzen von Online-Bewertungen
Das Äußern subjektiver Meinungen (Werturteile) ist rechtlich geschützt, findet jedoch klare juristische Grenzen. Ein zwingender Löschanspruch besteht insbesondere bei unwahren Tatsachenbehauptungen, gezielter Schmähkritik, strafbaren Beleidigungen (§§ 185 ff. StGB) oder Fake-Bewertungen. Ein besonders wichtiger Hebel in der Praxis: Wenn eine bewertende Person nachweislich nie Kunde war oder keinen geschäftlichen Kontakt zum Unternehmen hatte, ist die Bewertung rechtswidrig und angreifbar.

2. Vorgehen gegen bekannte Verfasser (Abmahnung)
Ist die Identität des Verfassers zweifelsfrei bekannt (z. B. ein identifizierbarer Kunde, ein Ex-Mitarbeiter oder ein missgünstiger Mitbewerber), richtet sich das juristische Vorgehen in der Regel direkt gegen diesen. Über eine anwaltliche Abmahnung lassen sich die sofortige Löschung sowie ein Unterlassungsanspruch für die Zukunft durchsetzen. Da rechtswidrige Bewertungen das Unternehmenspersönlichkeitsrecht des betroffenen Unternehmens verletzten bzw. einen Eingriff in den so genannten „eingerichteten und ausgeübten Gewerbebetrieb“ (sonstiges Recht i.S.d. § 823 Abs. 1 BGB) darstellen, muss der Verfasser im Erfolgsfall auch die entstandenen anwaltlichen Kosten der Gegenseite erstatten.

3. Vorgehen gegen anonyme Profile (Die Prüfpflicht des BGH)
Handelt es sich um anonyme Fake-Profile, führt der effektivste Weg über das Prüfverfahren beim Plattformbetreiber (z. B. Google). Die Rechtsprechung des Bundesgerichtshofs (BGH, Urteil vom 09.08.2022, Az.: VI ZR 1244/20) stärkt hier massiv die Rechte der Unternehmen: Bestreitet ein betroffenes Unternehmen substantiiert, dass der anonyme Bewerter jemals Kunde war, löst dies eine zwingende Prüfpflicht für den Plattformbetreiber aus. Dieser muss den Verfasser kontaktieren und handfeste Nachweise für den Kundenkontakt (z. B. Rechnungen) einfordern. Kann der Verfasser den Kontakt nicht belegen, muss Google den Eintrag dauerhaft entfernen.

4. Der europäische Hebel gegen Plattformen: Der Digital Services Act (DSA)
Flankiert wird diese BGH-Rechtsprechung seit Anfang 2024 durch den europäischen Digital Services Act (DSA). Nach Art. 16 DSA sind große Plattformen wie Google nun gesetzlich verpflichtet, Meldungen über rechtswidrige Inhalte zügig, objektiv und nicht willkürlich zu bearbeiten.