News
Ist mein Unternehmen Anbieter nach der KI-Verordnung? Zum Begriff des „Inverkehrbringens“ nach der KI-VO
Die Einführung der KI-Verordnung (KI-VO) der Europäischen Union hat weitreichende Auswirkungen auf Unternehmen, die KI-Systeme entwickeln und / oder anbieten. Die KI-VO legt eine Vielzahl von Anforderungen fest, die in erster Linie von den Anbietern von KI-Systemen erfüllt werden müssen. Daher ist es für Unternehmen essenziell zu klären, ob sie als „Anbieter“ von KI-Systemen im Sinne der KI-VO gelten.
Definition des Anbieters nach der KI-VO
Die KI-VO definiert den Begriff „Anbieter“ in Art. 3 Nr. 3 wie folgt:
„„Anbieter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder das KI-System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich;“
Diese Definition hebt hervor, dass ein Anbieter nicht unbedingt der Entwickler des KI-Systems sein muss. Es reicht aus, dass das KI-System unter dem eigenen Namen oder der Handelsmarke des Anbieters in Verkehr gebracht oder in Betrieb genommen wird.
Inverkehrbringen eines KI-Systems als Voraussetzung für die Anbietereigenschaft
Umso entscheidender ist es also, wann ein „Inverkehrbringen“ durch ein Unternehmen vorliegt.
Der Begriff des Inverkehrbringens ist in der KI-VO nicht abschließend definiert, was zu Unsicherheiten in der Praxis führen kann. Als europäische Verordnung ist die KI-VO grundsätzlich europarechtsautonom auszulegen. Es bietet sich daher an, einen Blick über den Tellerrand zu werfen und zu schauen, wie der Begriff in anderen europäischen Regelwerken ausgelegt und verwendet wird.
Produkthaftungsrecht
Der Europäische Gerichtshof (EuGH) hat in mehreren Entscheidungen klargestellt, dass ein Produkt als in Verkehr gebracht gilt, sobald es den Herstellungsprozess verlassen hat und in den Prozess der Vermarktung eintritt (EuGH, Urt. v. 10.5.2001 – C-203/99 und Urt. v. 9.2.2006 – C-127/04). Dabei ist es unerheblich, ob das Produkt direkt an den Endverbraucher oder über eine Kette von Vertriebsunternehmen gelangt. Entscheidend ist, dass der Hersteller die Kontrolle über das Produkt abgegeben hat. Das heißt, der Begriff des Inverkehrbringens wird durch den EuGH also eher weit ausgelegt.
Markenrecht
Ähnlich weitgehend versteht der EuGH den Begriff im Markenrecht. So erfasst der Begriff dort jede Handlung, die es dem Inhaber erlaubt, den wirtschaftlichen Wert seiner Marke zu realisieren (EuGH, Urt. v. 30.11.2004 - C-173/98). Das dürfte praktisch mit jeder Verkaufsform der Fall sein. Nach dieser Interpretation des EuGH könnte man etwa auch ein Inverkehrbringen eines KI-Systems annehmen, wenn dieses B2B weiterverkauft wird, ohne dass der Käufer der Endnutzer sein muss – also etwa dann, wenn das KI-System in ein anderes Produkt integriert wird.
Darüber hinaus könnte man auch noch die Definitionen aus verschiedenen anderen EU-Normen heranziehen:
Lebensmittelrecht
Art. 3 Nr. 8 VO Nr. 178/2002:
„„Inverkehrbringen“ das Bereithalten von Lebensmitteln oder Futtermitteln für Verkaufszwecke einschließlich des Anbietens zum Verkauf oder jeder anderen Form der Weitergabe, gleichgültig, ob unentgeltlich oder nicht, sowie den Verkauf, den Vertrieb oder andere Formen der Weitergabe selbst;“
Umweltrecht
Art. 3 Nr. 9 VO Nr. 1107/2009
„„Inverkehrbringen“ das Bereithalten zum Zwecke des Verkaufs innerhalb der Gemeinschaft, einschließlich des Anbietens zum Verkauf oder jeder anderen Form der Weitergabe, unabhängig davon, ob entgeltlich oder unentgeltlich, sowie Verkauf, Vertrieb oder andere Formen der Weitergabe selbst, jedoch nicht die Rückgabe an den früheren Verkäufer. Die Überführung in den freien Verkehr des Gebiets der Gemeinschaft ist ein Inverkehrbringen im Sinne dieser Verordnung;“
Inverkehrbringen in der Praxis
Der Blick in andere Rechtsgebiete zeigt, dass der Begriff des Inverkehrbringens nicht vollständig einheitlich verwendet wird und damit auch nicht einheitlich definiert werden kann.
Bei der zukünftigen praktischen Anwendung der KI-VO stellt sich die Frage des Inverkehrbringens besonders bei ausdifferenzierten Lieferketten. Unternehmen, die KI-Systeme entwickeln und diese als Zulieferer an andere Unternehmen liefern, welche das KI-System als Teil in ihr Gesamtprodukt integrieren, müssen daher klären, ob und wenn ja, wann genau das Inverkehrbringen erfolgt. Denn oftmals treten diese Zulieferer gerade nicht unter eigenem Namen oder eigener Marke am Markt auf, sondern liefern ihre Produkte, ohne dass ein entsprechendes Kennzeichen (Unternehmensname oder Marke) ersichtlich wäre. Es dürfte daher fraglich sein, ob solche Zulieferer überhaupt in vorstehend beschriebenen Konstellationen ein KI-System nach der KI-VO in den Verkehr bringen.
Relevant könnte in diesem Zusammenhang auch ein aktuelles Vorabentscheidungsersuchen an den EuGH werden. Der österreichische Verwaltungsgerichtshof befasst sich dort in Bezug auf die Europäische Tabak-Produkt-Richtlinie insoweit teilweise mit dem Begriff des Inverkehrbringens. Die Verwaltungsrichter legten nämlich dem EuGH die Frage vor, ob nach dieser Richtlinie bereits der Großhändler, der einem Kioskhändler die Zigarettenpackung liefert, das Tabakerzeugnis "in Verkehr bringt" oder erst der Kioskhändler, der die Zigaretten zum Kauf an den Endverbraucher anbietet. Überträgt man diese Frage auf das Inverkehrbringen nach der KI-VO, so wäre es denkbar, dass bereits die B2B-Weitergabe durch den KI-Entwickler an ein Unternehmen, das das KI-System in sein Produkt integriert und dieses dann weiterverkauft, ein Inverkehrbringen darstellt.
Die vorstehende Thematik findet sich auch in einer gesetzlichen Regelung wieder: Das deutsche Batteriegesetz (BattG) stellt eine Umsetzung der Europäischen Richtlinie zu Batterien und Akkumulatoren dar. Und eben diese deutsche Umsetzung regelt zum Begriff des Inverkehrbringens in § 2 Abs. 16 S. 4 BattG: „Die Abgabe von unter der Marke oder nach den speziellen Anforderungen eines Auftraggebers gefertigten und zum Weitervertrieb bestimmten Batterien an den Auftraggeber gilt nicht als Inverkehrbringen im Sinne von Satz 1“. Hiernach könnte man den Verkauf eines KI-Systems in der B2B-Lieferkette noch nicht als ein Inverkehrbringen ansehen.
Fazit
Das Merkmal des Inverkehrbringens eines KI-Systems ist ein entscheidender Punkt in der KI-VO. Die KI-VO selbst definiert den Begriff nicht. Der Blick in andere EU-Gesetze und die Rechtsprechung liefert, wie gezeigt, Argumentationspunkte für eine weite als auch enge Auslegung. Erforderlich dürfte in jedem Fall das Verlassen des Herstellungsprozesses und der Eintritt in den Prozess der Vermarktung sein. Welche Anforderungen insoweit genau erfüllt werden müssen, damit ein Inverkehrbringen vorliegt, wird sich wohl erst im Rahmen der Rechtsanwendung zeigen. Bis dahin sind Unternehmen sicher gut beraten, für eigene Produkte und Lieferketten eine juristisch valide Position hinsichtlich der Annahme oder Ablehnung eines Inverkehrbringens zu etablieren.
Um die Anwendbarkeit der KI-VO in Bezug auf das eigene Unternehmen zu klären, empfiehlt sich also die genaue Auslegung des Inverkehrbringens, was anhand des Einzelfalls bestimmt werden sollte - insbesondere in komplexen Lieferketten. Unternehmen sollten daher sorgfältig prüfen, ob sie als Anbieter nach der KI-VO gelten und welche Pflichten daraus resultieren.
News
Werbung mit „DSGVO-konform“: Wo liegen die Grenzen des Zulässigen?
Zahlreiche Anbieter von Software und Cloud-Diensten werben mit dem Versprechen, ihre Lösung erfülle die Anforderungen der DSGVO. Auch im KI-Bereich bezeichnen insbesondere kleinere Anbieter ihre Produkte in Werbematerialien nicht selten als „100 % DSGVO-konform". Was hinter solchen Aussagen steht, lässt sich oft nur schwer nachvollziehen. Das Zertifizierungsregime der DSGVO ist bis heute kaum praxistauglich und der Markt behilft sich mit freien Siegeln und eigenen Prüfstandards. Wer als Anbieter mit Datenschutz-Compliance wirbt, muss daher nicht nur die Grenzen der jeweiligen Zertifizierungen kennen, sondern auch die wettbewerbsrechtlichen Folgen pauschaler oder inhaltlich nicht gedeckter Aussagen im Blick behalten.
Kontaktformular nur mit Einwilligung?
Kontaktformulare sind auf nahezu jeder Website zu finden und datenschutzrechtlich in mehrfacher Hinsicht relevant. Im Mittelpunkt steht regelmäßig die Frage nach einer tragfähigen Rechtsgrundlage für die Verarbeitung der übermittelten personenbezogenen Daten. Häufig wird hierfür eine Einwilligung angenommen und per Checkbox eingeholt. Ähnlich stellt sich die Situation bei der Kontaktaufnahme per E-Mail dar. Auch hier stützen Verantwortliche die Verarbeitung nicht selten auf eine (vermeintlich konkludente) Einwilligung des Betroffenen. Rechtlich kommen aber neben der Einwilligung auch andere Rechtsgrundlagen in Betracht, die in der Praxis vorzugswürdig erscheinen.
Entwurf der Europäischen Kommission für die Leitlinien zum CRA
Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten. Vollständig gilt der CRA allerdings erst ab dem 11. Dezember 2027. Nachdem bereits im Dezember 2025 ein FAQ einer Dienststelle der Kommission veröffentlicht wurde, hat die Europäische Kommission nun einen Entwurf für die offiziellen Leitlinien zum CRA nach Art. 26 CRA veröffentlicht.
Außerdienstliche Straftaten unter Nutzung betrieblicher Mittel: Zur Reichweite des § 26 Abs. 1 Satz 2 BDSG
§ 26 Abs. 1 Satz 1 BDSG erlaubt Verantwortlichen, personenbezogene Daten von Beschäftigten zu verarbeiten, so weit dies zur Aufdeckung einer „im Beschäftigungsverhältnis begangenen“ Straftat erforderlich ist. Die Reichweite dieser Rechtsgrundlage wurde in der Rechtsprechung bislang aber kaum behandelt. Insbesondere ist unklar, wann eine Straftat als „im Beschäftigungsverhältnis begangen“ gilt. In der Praxis können Straftaten auch außerhalb der Arbeitszeit begangen werden, wobei zugleich betriebliche Mittel (etwa Laptop oder Mobiltelefon) zum Einsatz kommen. Hier stellt sich die Frage, ob sich interne Untersuchungen in solchen Konstellationen auf § 26 Abs. 1 Satz 2 BDSG stützen lassen oder ob hierfür eine Einwilligung der betroffenen Person erforderlich ist.
Mit dieser Frage befasst sich der aktuelle Beitrag von Carlo Piltz und Ilia Kukin im Datenschutz-Berater (03/2026).
LAG Rheinland-Pfalz: Datenschutzverstoß als Kündigungsgrund?
Mit Urteil vom 30. Juli 2025 hat das Landesarbeitsgericht Rheinland-Pfalz (Az. 7 SLa 293/24) entschieden, dass ein Jobcenter-Mitarbeiter nach einem Datenschutzverstoß unrechtmäßig gekündigt wurde.
GDNG in der Praxis: Zuständigkeiten und Anzeigeverfahren bei länderübergreifender Gesundheitsforschung
Auch wenn verschiedene Fragen rund um das Gesetz noch nicht geklärt sind (wie z. B. die Frage des Verhältnisses zu anderen relevanten Regelungen – insbesondere § 27 BDSG, Datenschutz- und ggf. Krankenhausgesetze der Länder - oder aber ob das GDNG selbst die Anforderungen des Art. 89 DSGVO erfüllt) kommt das Gesetz immer mehr in der Praxis des Gesundheitswesens an. So hat etwa die Datenschutzbehörde des Landes Nordrhein-Westfalen bereits vor über einem Jahr im Rahmen einer Sitzung der Datenschutzkonferenz (DSK) zu Protokoll gegeben, dass zahlreiche Anträge nach dem GDNG erwartet werden (siehe TOP 12, S. 9).