News
Ist mein Unternehmen Anbieter nach der KI-Verordnung? Zum Begriff des „Inverkehrbringens“ nach der KI-VO
Die Einführung der KI-Verordnung (KI-VO) der Europäischen Union hat weitreichende Auswirkungen auf Unternehmen, die KI-Systeme entwickeln und / oder anbieten. Die KI-VO legt eine Vielzahl von Anforderungen fest, die in erster Linie von den Anbietern von KI-Systemen erfüllt werden müssen. Daher ist es für Unternehmen essenziell zu klären, ob sie als „Anbieter“ von KI-Systemen im Sinne der KI-VO gelten.
Definition des Anbieters nach der KI-VO
Die KI-VO definiert den Begriff „Anbieter“ in Art. 3 Nr. 3 wie folgt:
„„Anbieter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder das KI-System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich;“
Diese Definition hebt hervor, dass ein Anbieter nicht unbedingt der Entwickler des KI-Systems sein muss. Es reicht aus, dass das KI-System unter dem eigenen Namen oder der Handelsmarke des Anbieters in Verkehr gebracht oder in Betrieb genommen wird.
Inverkehrbringen eines KI-Systems als Voraussetzung für die Anbietereigenschaft
Umso entscheidender ist es also, wann ein „Inverkehrbringen“ durch ein Unternehmen vorliegt.
Der Begriff des Inverkehrbringens ist in der KI-VO nicht abschließend definiert, was zu Unsicherheiten in der Praxis führen kann. Als europäische Verordnung ist die KI-VO grundsätzlich europarechtsautonom auszulegen. Es bietet sich daher an, einen Blick über den Tellerrand zu werfen und zu schauen, wie der Begriff in anderen europäischen Regelwerken ausgelegt und verwendet wird.
Produkthaftungsrecht
Der Europäische Gerichtshof (EuGH) hat in mehreren Entscheidungen klargestellt, dass ein Produkt als in Verkehr gebracht gilt, sobald es den Herstellungsprozess verlassen hat und in den Prozess der Vermarktung eintritt (EuGH, Urt. v. 10.5.2001 – C-203/99 und Urt. v. 9.2.2006 – C-127/04). Dabei ist es unerheblich, ob das Produkt direkt an den Endverbraucher oder über eine Kette von Vertriebsunternehmen gelangt. Entscheidend ist, dass der Hersteller die Kontrolle über das Produkt abgegeben hat. Das heißt, der Begriff des Inverkehrbringens wird durch den EuGH also eher weit ausgelegt.
Markenrecht
Ähnlich weitgehend versteht der EuGH den Begriff im Markenrecht. So erfasst der Begriff dort jede Handlung, die es dem Inhaber erlaubt, den wirtschaftlichen Wert seiner Marke zu realisieren (EuGH, Urt. v. 30.11.2004 - C-173/98). Das dürfte praktisch mit jeder Verkaufsform der Fall sein. Nach dieser Interpretation des EuGH könnte man etwa auch ein Inverkehrbringen eines KI-Systems annehmen, wenn dieses B2B weiterverkauft wird, ohne dass der Käufer der Endnutzer sein muss – also etwa dann, wenn das KI-System in ein anderes Produkt integriert wird.
Darüber hinaus könnte man auch noch die Definitionen aus verschiedenen anderen EU-Normen heranziehen:
Lebensmittelrecht
Art. 3 Nr. 8 VO Nr. 178/2002:
„„Inverkehrbringen“ das Bereithalten von Lebensmitteln oder Futtermitteln für Verkaufszwecke einschließlich des Anbietens zum Verkauf oder jeder anderen Form der Weitergabe, gleichgültig, ob unentgeltlich oder nicht, sowie den Verkauf, den Vertrieb oder andere Formen der Weitergabe selbst;“
Umweltrecht
Art. 3 Nr. 9 VO Nr. 1107/2009
„„Inverkehrbringen“ das Bereithalten zum Zwecke des Verkaufs innerhalb der Gemeinschaft, einschließlich des Anbietens zum Verkauf oder jeder anderen Form der Weitergabe, unabhängig davon, ob entgeltlich oder unentgeltlich, sowie Verkauf, Vertrieb oder andere Formen der Weitergabe selbst, jedoch nicht die Rückgabe an den früheren Verkäufer. Die Überführung in den freien Verkehr des Gebiets der Gemeinschaft ist ein Inverkehrbringen im Sinne dieser Verordnung;“
Inverkehrbringen in der Praxis
Der Blick in andere Rechtsgebiete zeigt, dass der Begriff des Inverkehrbringens nicht vollständig einheitlich verwendet wird und damit auch nicht einheitlich definiert werden kann.
Bei der zukünftigen praktischen Anwendung der KI-VO stellt sich die Frage des Inverkehrbringens besonders bei ausdifferenzierten Lieferketten. Unternehmen, die KI-Systeme entwickeln und diese als Zulieferer an andere Unternehmen liefern, welche das KI-System als Teil in ihr Gesamtprodukt integrieren, müssen daher klären, ob und wenn ja, wann genau das Inverkehrbringen erfolgt. Denn oftmals treten diese Zulieferer gerade nicht unter eigenem Namen oder eigener Marke am Markt auf, sondern liefern ihre Produkte, ohne dass ein entsprechendes Kennzeichen (Unternehmensname oder Marke) ersichtlich wäre. Es dürfte daher fraglich sein, ob solche Zulieferer überhaupt in vorstehend beschriebenen Konstellationen ein KI-System nach der KI-VO in den Verkehr bringen.
Relevant könnte in diesem Zusammenhang auch ein aktuelles Vorabentscheidungsersuchen an den EuGH werden. Der österreichische Verwaltungsgerichtshof befasst sich dort in Bezug auf die Europäische Tabak-Produkt-Richtlinie insoweit teilweise mit dem Begriff des Inverkehrbringens. Die Verwaltungsrichter legten nämlich dem EuGH die Frage vor, ob nach dieser Richtlinie bereits der Großhändler, der einem Kioskhändler die Zigarettenpackung liefert, das Tabakerzeugnis "in Verkehr bringt" oder erst der Kioskhändler, der die Zigaretten zum Kauf an den Endverbraucher anbietet. Überträgt man diese Frage auf das Inverkehrbringen nach der KI-VO, so wäre es denkbar, dass bereits die B2B-Weitergabe durch den KI-Entwickler an ein Unternehmen, das das KI-System in sein Produkt integriert und dieses dann weiterverkauft, ein Inverkehrbringen darstellt.
Die vorstehende Thematik findet sich auch in einer gesetzlichen Regelung wieder: Das deutsche Batteriegesetz (BattG) stellt eine Umsetzung der Europäischen Richtlinie zu Batterien und Akkumulatoren dar. Und eben diese deutsche Umsetzung regelt zum Begriff des Inverkehrbringens in § 2 Abs. 16 S. 4 BattG: „Die Abgabe von unter der Marke oder nach den speziellen Anforderungen eines Auftraggebers gefertigten und zum Weitervertrieb bestimmten Batterien an den Auftraggeber gilt nicht als Inverkehrbringen im Sinne von Satz 1“. Hiernach könnte man den Verkauf eines KI-Systems in der B2B-Lieferkette noch nicht als ein Inverkehrbringen ansehen.
Fazit
Das Merkmal des Inverkehrbringens eines KI-Systems ist ein entscheidender Punkt in der KI-VO. Die KI-VO selbst definiert den Begriff nicht. Der Blick in andere EU-Gesetze und die Rechtsprechung liefert, wie gezeigt, Argumentationspunkte für eine weite als auch enge Auslegung. Erforderlich dürfte in jedem Fall das Verlassen des Herstellungsprozesses und der Eintritt in den Prozess der Vermarktung sein. Welche Anforderungen insoweit genau erfüllt werden müssen, damit ein Inverkehrbringen vorliegt, wird sich wohl erst im Rahmen der Rechtsanwendung zeigen. Bis dahin sind Unternehmen sicher gut beraten, für eigene Produkte und Lieferketten eine juristisch valide Position hinsichtlich der Annahme oder Ablehnung eines Inverkehrbringens zu etablieren.
Um die Anwendbarkeit der KI-VO in Bezug auf das eigene Unternehmen zu klären, empfiehlt sich also die genaue Auslegung des Inverkehrbringens, was anhand des Einzelfalls bestimmt werden sollte - insbesondere in komplexen Lieferketten. Unternehmen sollten daher sorgfältig prüfen, ob sie als Anbieter nach der KI-VO gelten und welche Pflichten daraus resultieren.
News
5. Auflage des Plath-Kommentars zu DSGVO, BDSG und TDDDG erschienen
Die 5. Auflage des Plath-Kommentars ist erschienen. Der Kommentar erläutert DSGVO, BDSG und TDDDG in einem Band und zeigt auch das Zusammenspiel der Regelungen dort auf, wo die DSGVO Öffnungsklauseln für den nationalen Gesetzgeber vorsieht. Die Schwerpunktsetzung ist bewusst unternehmensbezogen: Die Autoren ordnen aktuelle Rechtsprechung, Stellungnahmen der Aufsichtsbehörden, Leitlinien des EDSA, die Umsetzung im europäischen Ausland sowie Auslegungsfragen und Literaturstimmen für die Praxis ein. Neu aufgenommen wurden unter anderem das Verhältnis von DSGVO und KI-VO, die DSGVO-Verfahrensverordnung und das Data Privacy Framework.
Datenschutzrechtliche Aspekte der Betriebsratswahl
Die Vorbereitung der Betriebsratswahl ist datenschutzrechtlich anspruchsvoll. Für Arbeitgeber stellt sich vor allem die Frage, wer datenschutzrechtlich verantwortlich ist und wer welche Aufgaben übernimmt. Hinzu kommt, dass Wahlvorstände häufig eine eigene IT-Infrastruktur verlangen: getrennte Laufwerke, selbst kontrollierte Verschlüsselung, den Ausschluss administrativer Zugriffe durch die Unternehmens-IT. Weder die DSGVO noch das BetrVG setzen jedoch eine vollständig isolierte IT-Welt voraus, sondern ein angemessenes und dokumentiertes Schutzniveau.
Entwurf der Leitlinien der Europäischen Kommission zu Hochrisiko-KI-Systemen
Die Europäische Kommission hat einen Entwurf für ihre Leitlinien zu Hochrisiko-KI-Systemen (HRKIS) i.S.v. Art. 6 KI-Verordnung (KI-VO) veröffentlicht.
Nach Art. 6 Abs. 5 KI-VO ist die Europäische Kommission zur Veröffentlichung von Leitlinien zu HRKIS verpflichtet. Das Ziel ist, dass Anbieter und Betreiber von KI-Systemen durch die Leitlinien Unterstützung bei der Auslegung der relevanten Vorschriften erhalten sollen, um leichter bestimmen zu können, ob ihre KI-Systeme als HRKIS gemäß Art. 6 KI-VO gelten und welche Art von HRKIS vorliegt – ein System nach Anhang I oder nach Anhang III KI-VO. In diesem Beitrag möchten wir Ihnen einen Überblick über den Inhalt der Leitlinien geben.
Wieder ausgezeichnet!
Wir freuen uns sehr, dass Prof. Dr. Burghard Piltz, Dr. Carlo Piltz und Alexander Weiss weitere Auszeichnungen durch das Handelsblatt erhalten haben und in der 18. Edition der The Best Lawyers in Germany™ inkludiert wurden.
Transkription von Videokonferenzen: Was ist zu beachten?
KI-gestützte Transkriptionstools werfen in der Praxis eine Reihe datenschutzrechtlicher Fragen auf, von der Rechtsgrundlage bis zum Umgang mit besonderen Datenkategorien. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat am 10. Juni 2026 einen neuen Leitfaden zur KI-basierten Transkription von Gemeinderatssitzungen veröffentlicht. Die Hinweise richten sich zwar an öffentliche Stellen in Baden-Württemberg, lassen sich aber weitgehend auf den nichtöffentlichen Bereich übertragen.
Werbung mit „DSGVO-konform“: Wo liegen die Grenzen des Zulässigen?
Zahlreiche Anbieter von Software und Cloud-Diensten werben mit dem Versprechen, ihre Lösung erfülle die Anforderungen der DSGVO. Auch im KI-Bereich bezeichnen insbesondere kleinere Anbieter ihre Produkte in Werbematerialien nicht selten als „100 % DSGVO-konform". Was hinter solchen Aussagen steht, lässt sich oft nur schwer nachvollziehen. Das Zertifizierungsregime der DSGVO ist bis heute kaum praxistauglich und der Markt behilft sich mit freien Siegeln und eigenen Prüfstandards. Wer als Anbieter mit Datenschutz-Compliance wirbt, muss daher nicht nur die Grenzen der jeweiligen Zertifizierungen kennen, sondern auch die wettbewerbsrechtlichen Folgen pauschaler oder inhaltlich nicht gedeckter Aussagen im Blick behalten.