Ab dem 27. Mai 2025 plant Meta – also Facebook, Instagram und WhatsApp – öffentlich zugängliche Inhalte von Nutzerinnen und Nutzern in Europa für das Training seiner Künstlichen Intelligenz „Meta AI“ zu verwenden. Das betrifft Beiträge, Kommentare, Reaktionen, Fotos, Videos oder auch dein Profilbild – kurz: alles, was öffentlich einsehbar ist.
Viele wissen gar nicht, dass sie der Verwendung ihrer Inhalte widersprechen können – und wie das geht. Das zeigt einmal mehr, wie wichtig es ist, sich mit Künstlicher Intelligenz und den damit verbundenen Rechten und Pflichten auseinanderzusetzen.
Das Merkblatt zur Nutzung von Meta AI erklärt dir Schritt für Schritt, wie du über die Datenschutzrichtlinien in deinem Facebook- oder Instagram-Profil den Widerspruch einlegen kannst – schnell und ohne Angabe von Gründen. Wichtig zu wissen: Sobald du mit „Meta AI“ interagierst, z. B. in einem Chat, dürfen auch diese Inhalte verwendet werden. Sensible Daten wie Geburtsdatum oder Gesundheitsinfos solltest du also besser nicht eingeben.
Was das für dein Unternehmen bedeutet
Gerade Unternehmen stehen nun vor der Herausforderung, Datenschutz, KI-Nutzung und Aufklärung unter einen Hut zu bringen. Die KI-Verordnung verpflichtet dazu, Kompetenzen im Umgang mit KI aufzubauen, Risiken zu analysieren und Mitarbeitende entsprechend zu schulen.
Wenn du KI im Unternehmen sinnvoll und rechtssicher nutzen willst, brauchst du ein solides Grundverständnis – über die Technik, über rechtliche Vorgaben und über die ethischen Implikationen.
Und wir helfen dir dabei!
Wir beraten dich individuell zum Einsatz von KI im Unternehmen, bieten mit der MORGENSTERN Academy praxisnahe Seminare und den wertvollen Lehrgang „KI-Beauftragte*r“ an – und demnächst startet auch unser AI Circle: ein regelmäßiger Austausch zu aktuellen Entwicklungen, Best Practices und regulatorischen Neuerungen im KI-Bereich.
Neugierig geworden?
Dann schreib uns– wir helfen dir dabei, die richtigen Fragen zu stellen, und gemeinsam die passenden Antworten zu finden.
Hinweisgeber-Systeme: Endlich Klarheit bei der Mitbestimmung?
Mit dem Hinweisgeberschutzgesetz (HinSchG) ist der Schutz von Whistleblowern zur Pflichtaufgabe für Unternehmen mit mehr als 50 Beschäftigten geworden. Seither ist rechtlich umstritten, ob und in welchem Umfang dabei ein Mitbestimmungsrecht des Betriebsrats besteht. In einem aktuellen Fall befasste sich das Arbeitsgericht Zwickau mit dieser Frage. Bringt der neulich veröffentlichte Beschluss des Gerichtes (19.03.2025, Az. 9 BV 12/24) nun endlich Klarheit?
Zumindest bei der Nutzung der internen Meldestelle sieht das Gericht ein Mitbestimmungsrecht auf Grundlage des § 87 Abs. 1 Nr. 1 BetrVG. Nach dieser Vorschrift hat der Betriebsrat (soweit eine gesetzliche oder tarifliche Regelung nicht besteht) bei Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb mitzubestimmen. „Soweit ein Mitbestimmungsrecht bei der Nutzung der Meldestelle geltend gemacht wird, betrifft dies das Verhalten der Arbeitnehmer (…)“ so das Gericht. Denn aus dem Hinweisgebersystem ergeben sich konkrete Anforderungen an das Verhalten der Beschäftigten: Wer meldet was? Wie konkret müssen Hinweise sein?
Sowohl die Entscheidung über das „Outsourcing“ der internen Meldestelle als auch die Entscheidung, welcher Dritte als interne Meldestelle agieren soll, unterliegt nach Auffassung des Gerichtes der mitbestimmungsfreien Organisation des Betriebes. Gegen den Beschluss kann allerdings noch Beschwerde eingelegt werden.
Was bedeutet dies nun für die Praxis?
Zunächst zeigt der Beschluss, dass zwischen Einrichtung, Betrieb und Nutzung des Hinweisgeber-Systems differenziert werden muss. Im nächsten Schritt ist zu prüfen, ob und auf welcher Grundlage unter Umständen ein Mitbestimmungsrecht des Betriebsrates besteht. Schließlich gilt es, die rechtlichen Anforderungen in Betriebsvereinbarung und Verfahrensanweisung umzusetzen. Dabei sind noch weitere rechtliche Aspekte – zum Beispiel der Datenschutz – zu berücksichtigen.
Du hast Fragen zum Thema? Oder brauchst Unterstützung bei der Erstellung von Betriebsvereinbarung und Verfahrensanweisung? Du suchst jemanden, dem du deine interne Meldestelle anvertrauen kannst? Dann schreibe eine kurze Nachricht an contact@morgenster-legal.com, wir helfen dir gerne!
In sechs Schritten zu KI-Richtlinien
Die Nutzung künstlicher Intelligenz bringt große Chancen, aber auch Risiken mit sich – zum Beispiel, wenn vertrauliche oder personenbezogene Daten eingegeben und dadurch öffentlich werden. Immer wieder sorgen solche Fälle für Schlagzeilen. Daher ist dringend zu empfehlen, die Nutzung von KI zu regeln. Doch wie geht man am besten dabei vor? Und was sollte überhaupt geregelt werden? Worauf kommt es in der Praxis besonders an? Dazu erhältst du nachfolgend einen Überblick.
Erster Schritt: Regelungsbedarf identifizieren
Zunächst müssen einige Vorüberlegungen getroffen werden: Welche KI-Systeme und KI-Modelle sind im Einsatz oder geplant? Welcher Zweck wird dabei verfolgt? Welche Gesetze und Richtlinien sind relevant? Welche Risiken sind mit dem Einsatz verbunden und welcher Regelungsbedarf resultiert daraus? Davon hängen Inhalt und Umfang der KI-Richtlinie im Wesentlichen ab.
Zweiter Schritt: Zielsetzung festlegen
In der Regel soll die KI-Richtlinie (Haftungs-) Risiken durch konkrete Handlungsanweisungen minimieren. Sie kann darüber hinaus noch weitere Ziele verfolgen: Zum Beispiel die Festlegung von strategischen Zielen, Maßnahmen zur KI-Kompetenz (Art. 4 KI-Verordnung) sowie Verantwortlichkeiten und Zuständigkeiten. Idealerweise vermittelt die KI-Richtlinie verständlich, worauf es bei der sicheren und rechtskonformen Nutzung von KI-Tools ankommt – und fördert dadurch den Einsatz der Technologie. Allerdings ist zu empfehlen, die KI-Richtlinie nicht zu „überladen“, sondern im Zweifel strategische Aspekte, Prozesse und konkrete Arbeitshilfen separat zu dokumentieren und darauf zu verweisen.
Dritter Schritt: Formale Umsetzung prüfen
Bei mitbestimmten Organisationen ist zu prüfen, inwiefern der Betriebs-/oder Personalrat zu involvieren ist. Zwar fällt die Nutzung von ChatGPT und vergleichbarer Tools in der Regel unter das „mitbestimmungsfreie Arbeitsverhalten“ (Arbeitsgericht Hamburg vom 16.01.2024, 24 BVGa 1/24), allerdings muss der Betriebsrat über die Planung von Arbeitsverfahren und Arbeitsabläufen einschließlich künstlicher Intelligenz unterrichtet werden (§ 90 Abs. 1 Nr. 3 BetrVG). Die KI-Richtlinien müssen arbeits- und dienstrechtlich wirksam gestaltet sein und sich formal und inhaltlich stimmig in den Richtlinien-Bestand der Organisation einfügen.
Vierter Schritt: Inhaltliche Ausgestaltung
Die inhaltliche Ausgestaltung hängt individuell von der jeweiligen Organisation, dem Einsatzbereich der KI, dem Anwendungsfall und den KI-Tools selbst ab. Grundsätzlich ist zu empfehlen, nur geprüfte und genehmigte KI-Anwendungen zur Nutzung zu erlauben. Private Accounts sollten nicht für betriebliche Zwecke und betriebliche Accounts nicht für private Zwecke genutzt werden. Aufgrund der spezifischen Funktionsweise von KI-Systemen und KI-Modellen, rechtlicher Vorgaben und psychologischer Effekte (Menschen neigen dazu, den Ergebnissen von KI-Tools zu vertrauen und sich davon beeinflussen zu lassen), müssen menschliche Aufsicht und Kontrolle sichergestellt sein. Auch für den Schutz vertraulicher Informationen und den Datenschutz sind die Mitarbeitenden zu sensibilisieren, um nur einige Beispiele für mögliche Inhalte zu nennen. Aber Vorsicht: Eine zu detaillierte oder zu umfangreiche Richtlinie erschwert sowohl die Aufnahme der Informationen als auch die Aktualisierung.
Fünfter Schritt: Kommunikation und Schulung
Ob die KI-Richtlinie ihren Zweck erfüllt, hängt nicht nur von der Gestaltung ab, sondern ganz wesentlich von der begleitenden Kommunikation und Schulung.
Sechster Schritt: Regelmäßige Überprüfung und Anpassung
Eine regelmäßige Aktualisierung der KI-Richtlinie ist aufgrund der ständigen technischen und regulatorischen Entwicklungen im Bereich der künstlichen Intelligenz unerlässlich. Dabei muss nachvollziehbar sein, wann welche Version Gültigkeit hatte – zum Beispiel, wenn gegen die Richtlinien verstoßen wurde und dadurch ein Schaden entstanden ist.
Du brauchst Unterstützung oder Beratung bei den KI-Richtlinien für deine Organisation? Du hast Fragen zum Thema KI? Melde dich, wir beraten dich gerne!
Anforderungen des Barrierefreiheitsstärkungsgesetzes (BFSG) ab 28.06.2025: Was hat es damit auf sich?
Der Zweck des Barrierefreiheitsstärkungsgesetzes (BFSG) besteht darin, die Barrierefreiheit für Produkte und Dienstleistungen „im Interesse der Verbraucher und Nutzer“ (§ 1 Abs. 1 S. 1 BFSG) zu gewährleisten. Dadurch wird „für Menschen mit Behinderung ihr Recht auf Teilhabe am Leben in der Gesellschaft gestärkt“ (§ 1 Abs. 1 S. 2 BFSG). Dazu definiert das Gesetz – erstmals für die Privatwirtschaft – Anforderungen, die bei bestimmten Produkten und Dienstleistungen ab 28.06.2025 (sofern keine Übergangsvorschriften greifen) erfüllt sein müssen. Doch was bedeutet Barrierefreiheit eigentlich genau, welche Produkte und Dienstleistungen sind vom Gesetz betroffen und was ist jetzt zu tun? Darum geht es im Folgenden.
Was bedeutet Barrierefreiheit eigentlich?
Produkte und Dienstleistungen sind nach § 3 Abs. 1 BFSG barrierefrei, „wenn sie für Menschen mit Behinderung in der allgemein üblichen Weise, ohne besondere Erschwernis und grundsätzlich ohne fremde Hilfe auffindbar, zugänglich und nutzbar sind“. Was die konkreten Anforderungen angeht, verweist das BFSG auf die zugehörige Rechtsverordnung (BFSGV). Dort sind zum Beispiel Anforderungen an Produktverpackungen und Anleitungen ausführlich beschrieben (§ 5 BFSGV). Doch sowohl BFSG als auch BFSGV gelten nur für bestimmte Produkte und Dienstleistungen.
Welche Produkte und Dienstleistungen sind betroffen?
Die Vorschriften des BFSG finden nur auf die Produkte und Dienstleistungen Anwendung, die in § 1 Abs. 2 und 3 BFSG genannt sind. Beispiele für solche Produkte sind bestimmte Selbstbedienungsterminals, interaktive Verbraucherendgeräte und E-Book-Lesegeräte, sofern sie die gesetzlichen Merkmale erfüllen. Vom Gesetz umfasste Dienstleistungen sind zum Beispiel Telekommunikationsdienste, bestimmte Elemente von Personenbeförderungsdiensten (zum Beispiel die Webseite) und Dienstleistungen im elektronischen Geschäftsverkehr (beispielsweise Online-Shop). Verpflichtete Wirtschaftsakteure sind Hersteller, Einführer, Händler und Dienstleistungserbringer, wobei Kleinstunternehmen (weniger als zehn Beschäftigte und maximal 2 Millionen Euro Umsatz/Jahresbilanzsumme) die Anforderungen des Gesetzes nicht erfüllen müssen.
Was ist jetzt zu tun?
Unternehmen sollten prüfen, ob sie Produkte und Dienstleistungen anbieten, die in den Anwendungsbereich des Gesetzes fallen. Ist dies der Fall, müssen sie sich mit den konkreten Anforderungen auseinandersetzen. Doch auch ohne gesetzliche Verpflichtung ist zu empfehlen, Produkte und Dienstleistungen barrierefrei zu gestalten: Dadurch werden Zugang, Handhabung und Nutzung vereinfacht – was sich positiv auf den Absatz auswirken und Wettbewerbsvorteile mit sich bringen kann.
Du hast Fragen zum Thema? Dann schreib uns eine kurze Nachricht an contact@morgenstern-legal.com, wir melden uns bei dir!
Rückblick und Ausblick: Die größten Herausforderungen im Datenschutz
Der Datenschutz hat kein gutes Image, das zeigen Umfragen von Branchen- und Wirtschaftsverbänden immer wieder. Häufig wird der Datenschutz als Hindernis wahrgenommen, als Kostenfaktor gesehen oder als Belastung empfunden. Dabei gerät jedoch regelmäßig aus dem Blick, worum es beim Datenschutz eigentlich geht: Um den Schutz eines Grundrechtes, das Recht auf informationelle Selbstbestimmung. Ist dieses in Zeiten von internationalen Konflikten, antidemokratischen Bewegungen und der fortschreitenden Digitalisierung nicht wichtiger denn je? Die Antwort liegt auf die Hand. Daher stellt sich die Frage: Was macht es so schwierig, Datenschutz umzusetzen – was sind die größten Herausforderungen? Und wie können Verantwortliche damit umgehen? Im folgenden Rückblick auf das Jahr 2024 und Ausblick auf das Jahr 2025 gehen wir auf diese Fragen ein.
Eine Analyse der Herausforderungen bei der Umsetzung des Datenschutzes – genauer: der Datenschutz-Grundverordnung (DS-GVO) – und entsprechende Lösungsansätze finden sich beispielsweise im 2. Bericht der EU-Kommission über die Evaluation der DS-GVO, der 2024 veröffentlicht wurde. So sollen unter anderem die Leitlinien des Europäischen Datenschutz-Ausschusses (EDSA) verständlicher und praxisorientierter gestaltet werden. Die aktuelle Leitlinie des EDSA für kleine und mittlere Unternehmen erfüllt diese Anforderungen bereits – eine Entwicklung, die zu begrüßen ist.
Solche Hilfestellungen sind auch dringend notwendig: Eine Vielzahl von europäischen Rechtsakten, die im Zuge der europäischen Digitalstrategie verabschiedet wurden oder noch werden, sind zu beachten. 2024 fanden erstmals die Vorschriften des Digital Services Act (DSA) Anwendung, der auf nationaler Ebene durch das Digitale-Dienste-Gesetz (DDG) und das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) umgesetzt wurde (wir haben hier darüber berichtet). Die KI-Verordnung, die den Einsatz von künstlicher Intelligenz regelt, trat ebenfalls in Kraft. Erste Vorschriften aus der KI-Verordnung sind bereits ab dem 02. Februar 2025 anzuwenden (mehr dazu findest du in diesem Beitrag). Es fällt selbst ausgewiesenen Expertinnen und Experten schwer, den Überblick über die Umsetzungsfristen, Pflichten und Wechselwirkungen der zahlreichen Rechtsakte zu behalten. Und auch, wenn die DS-GVO dem Gesetzestext nach in den europäischen Rechtsakten oft „unberührt“ bleibt, kommt der Datenschutz bei der Verarbeitung personenbezogener Daten immer mit ins Spiel. An dieser Stelle darf jedoch nicht außer Acht gelassen werden, dass die Regelungen auch zum Ziel haben, einen einheitlichen Rechtsrahmen zu schaffen und die Digitalisierung dadurch zu fördern (z.B. durch den geplanten European Data Health Space, EDHS).
Doch nicht nur die europäischen Rechtsakte, sondern auch die Entscheidungen des Europäischen Gerichtshofes (EuGH) waren und sind von großer Relevanz: So bestätigte der EuGH beispielsweise in mehreren Urteilen 2024 seine weite Auslegung von Gesundheitsdaten, was in der Praxis regelmäßig zu Problemen führt. Verantwortliche sollten daher immer prüfen, ob die verarbeiteten Daten möglicherweise Gesundheitsdaten darstellen, da in diesem Fall strengere Anforderungen gelten.
In Folge der europäischen Rechtsakte und Rechtsprechung ist der nationale Gesetzgeber an verschiedenen Stellen gefordert, nachzubessern. Doch einige dringend erforderliche Neuregelungen stehen nach wie vor aus, was zusätzlich für Rechtsunsicherheit sorgt: So bleibt beispielsweise zu hoffen, dass die längst überfällige Neuregelung des Beschäftigendatenschutzes in der nächsten Legislaturperiode endlich umgesetzt wird. Auch die Umsetzungsgesetze zur zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit („NIS-2-Richtlinie“) und zur KI-Verordnung stehen 2025 an. Mehr Informationen zur NIS-2-Richtlinie und zur Informationssicherheit findest du in einem separaten Rück- und Ausblick zum Thema.
Du siehst, viele Herausforderungen aus dem Jahr 2024 werden uns auch 2025 weiter beschäftigen – und neue hinzukommen. Es ist beispielsweise fraglich, ob das Abkommen zwischen den USA und der EU (EU.-US. Data Privacy Framework) weiter Bestand haben wird. Es ist Grundlage für den Angemessenheitsbeschluss der EU-Kommission, der den Transfer von personenbezogenen Daten in die USA gemäß Art. 45 DS-GVO ohne weitere Vorkehrungen ermöglicht. Verantwortliche sind gut beraten, sich auf dieses Risiko einzustellen.
Politik, staatliche Institutionen und Aufsichtsbehörden sind hingegen gefordert, ihren zugewiesenen Handlungsspielraum zu nutzen, den Datenschutz durch klare Regelungen, eine einheitliche Auslegung und gute Kommunikation zu verbessern. Dies gilt für die DS-GVO, aber auch andere Rechtsakte wie die KI-Verordnung.
Und wie können Verantwortliche diese Herausforderungen nun bewältigen?
Eine gut aufgestellte Datenschutz-Organisation ist die Grundlage: Auf dieser Basis ist es nicht nur möglich, die Pflichten aus der DS-GVO zu erfüllen, sondern auch Synergie-Effekte mit Verpflichtungen aus anderen Vorschriften zu realisieren – zum Beispiel bei den Schulungspflichten. Es ist wichtig, Datenschutz im Kontext zu betrachten, möglichst praktikabel umzusetzen und bei den aktuellen Entwicklungen auf dem Laufenden zu bleiben. Dann klappt es auch mit dem guten Image.
Wir helfen dir dabei!