Rechtsanwalt Dr. Christian Zeilinger – Dr. Mag. jur., B.A., LL.M., Rechtsanwalt (Österreich), Master of Laws (Deutschland), Certified Mediator (UK), Tel.: 0699-81694184, office@christianzeilinger.at

Unsere Leidenschaft für Ihr Recht

Spezialist in IT-Recht, Internet-, AGB- und Vertragsrecht, Künstlicher Intelligenz (KI/AI), sowie Datenschutzrecht (DSGVO/GDPR)

Spezialist für Förderberatung und -antragsabwicklung www.foerdertopf.at, insb. zu Digitalisierung und Innovation

Als Insolvenzverwalter Abwicklung von Insolvenzen, Sanierungen, Restrukturierungen, Geschäftsauflösungen

Vertretung in gerichtlichen Zivilprozessen (Schadenersatz, Produkthaftung, Arzthaftung, Vertragsstreitigkeiten, Verkehrsunfälle etc), dabei insbesondere Spezialist für die

Vertretung ausländischer Unternehmen vor österreichischen Gerichten.

Dr. Zeilinger und seine Mitarbeiter helfen Ihnen mit diversen Experten und Projektteams je nach Bedarf mit Ihrer Umsetzung der DSGVO; als Vernetzer und Wissensmanager organisieren wir Wissen und modulieren, leiten & kontrollieren Ihre dazugehörigen Prozesse.

Technisches Verständnis bietet Dr. Zeilinger seinen Kunden und Mandanten durch seine früheren, langjährigen Tätigkeiten als Elektroanlagentechniker, Webdesigner und Programmierer; seine über 20 Jahre reichenden Erfahrungen als selbständiger Unternehmer in verschiedenen Branchen und Ländern bieten eine gute Grundlage für erfolgreiches Prozessmanagement.

Als Software für das idR erforderliche Verarbeitungsverzeichnis empfiehlt Dr. Zeilinger zur Kosten-/Nutzenmaximierung www.intervalid.com, wobei er Mandanten auch gerne mit einer kurzen Einschulung und rechtlichen Betreuung begleitet.

Besuchen Sie auch Dr. Zeilinger’s YouTube-Kanal mit vielen kostenfreien Videos zur DSGVO sowie seine Facebook Page (offizielle Folgen/Like Buttons verwenden wir aus datenschutzrechtlichen Gründen nicht).

Als Lektüre zur DSGVO-Compliance empfiehlt Dr. Zeilinger die aktuelle 2. Auflage des Datenschutz-Audit von Dr. M. Pachinger / G. Beham, MSc / P. Kleebauer, MSc / T. Jost.

Wenn der KI‑Einkaufsassistent an der Schranke scheitert: Amazon vs. Perplexity

In den USA läuft derzeit ein Verfahren, das zeigen könnte, wie weit KI‑Agenten im Online‑Handel künftig gehen dürfen – und wer am Ende tatsächlich die Kontrolle über digitale Zugänge hat. Amazon ist gegen das KI‑Unternehmen Perplexity AI vorgegangen, dessen Browser‑Agent „Comet“ für Nutzerinnen und Nutzer automatisiert auf Amazon einkaufte.

Der Vorwurf: Comet nutzte die Login‑Daten der Kunden, griff automatisiert auf die passwortgeschützten Bereiche ihrer Konten zu, tarnte sich dabei als normaler Chrome‑Browser und umging gezielt technische Schutzmaßnahmen von Amazon. Aus Sicht von Amazon ist das kein harmloser Komfort‑Service, sondern ein unbefugter Eingriff in ein geschütztes System – mit potenziellen Sicherheitsrisiken und Folgen für Amazons Geschäftsmodell.

Eine Bundesrichterin in Kalifornien hat Amazon nun eine einstweilige Verfügung zugesprochen: Perplexity muss seinen KI‑Agenten vorläufig daran hindern, auf Amazon‑Konten zuzugreifen und Bestellungen auszulösen. Juristisch stützt sich das Gericht insbesondere auf den Computer Fraud and Abuse Act (CFAA) und ein kalifornisches Computer‑Kriminalitätsgesetz und hält Amazon insoweit für „voraussichtlich erfolgreich“.

Spannend ist vor allem die Begründung: Die Richterin betont, dass Comet zwar „mit Erlaubnis des Amazon‑Nutzers, aber ohne Autorisierung von Amazon“ auf die Konten zugreift. Damit trennt das Gericht sehr klar zwischen der Zustimmung des Kontoinhabers und der Autorisierung durch die Plattform. Die Botschaft: Die Einwilligung der Nutzerin allein legitimiert keinen KI‑Agenten, technische Schranken und vertragliche Nutzungsbedingungen der Plattform zu umgehen.

Für den noch jungen Bereich des „agentic commerce“ – KI‑Assistenten, die Preise vergleichen, Warenkörbe füllen und Bestellungen auslösen – ist das ein deutliches Signal. Künftig wird es nicht reichen, dass Nutzer ihren Agenten „freigeben“; Plattformen behalten die Hoheit darüber, ob und wie automatisierte Zugriffe gestattet werden. Für Anbieter von KI‑Agenten bedeutet dies: Ohne klare vertragliche Vereinbarungen, API‑basierte Zugänge und ein sauberes Compliance‑Konzept droht schnell der Vorwurf des unbefugten Zugriffs – mit entsprechenden Haftungs‑ und Strafbarkeitsrisiken.

Aus österreichischer und europäischer Sicht drängen sich Parallelen zu Vorschriften über Datenverarbeitungsmissbrauch, unbefugten Zugang zu IT‑Systemen sowie zu datenschutzrechtlichen Verantwortlichkeiten auf. Die US‑Rechtsprechung ist nicht eins zu eins übertragbar, sie markiert jedoch eine Tendenz: KI‑Agenten bewegen sich nicht in einem rechtsfreien Raum, sondern an der Schnittstelle von Strafrecht, Vertragsrecht, Datenschutz und Plattformregulierung. Wer hier neue KI‑Services entwickeln oder einsetzen will, sollte die Frage der „Autorisierung“ nicht der Technik überlassen, sondern bewusst in seine rechtliche Gestaltung einbauen.

KI und Urheberrecht: Stephen Thaler vor dem US-Supreme Court

Die rasante Verbreitung generativer künstlicher Intelligenz hat in den letzten Jahren auch im Urheberrecht grundlegende Fragen aufgeworfen. Systeme wie Bild- oder Textgeneratoren ermöglichen es, in kurzer Zeit Werke zu erstellen, die früher ausschließlich menschlicher Kreativität vorbehalten waren. Damit stellt sich zunehmend die Frage, wem – oder ob überhaupt jemandem – an solchen KI-generierten Inhalten Urheberrechte zustehen. Diese Problematik stand im Zentrum eines vielbeachteten Verfahrens rund um den US-Informatiker Stephen Thaler, das schließlich den US-Supreme Court erreichte.

Hintergrund und Entscheidung

Stephen Thaler beantragte beim U.S. Copyright Office die Registrierung eines Urheberrechts für das Bild „A Recent Entrance to Paradise“, das nach seiner Darstellung vollständig autonom von seinem KI-System „DABUS“ erstellt wurde. In dem Antrag wurde daher die KI – und nicht ein Mensch – als Urheber angegeben. Das Copyright Office lehnte die Registrierung jedoch ab, weil nach US-Recht urheberrechtlicher Schutz eine menschliche Urheberschaft voraussetzt. Diese Auffassung wurde sowohl von einem Bundesgericht als auch vom U.S. Court of Appeals bestätigt. Der US-Supreme Court lehnte schließlich im März 2026 die Behandlung der Beschwerde ab, sodass die Entscheidungen der Vorinstanzen bestehen bleiben und Werke ohne menschlichen Urheber weiterhin nicht urheberrechtlich geschützt sind.

Bedeutung für die Praxis

Die Entscheidung bedeutet nicht, dass sämtliche mit KI erstellten Inhalte automatisch schutzlos sind. Vielmehr kommt es weiterhin darauf an, ob und in welchem Umfang ein menschlicher kreativer Beitrag vorliegt. Wird KI lediglich als Werkzeug eingesetzt und trifft ein Mensch die maßgeblichen kreativen Entscheidungen, kann grundsätzlich weiterhin Urheberrechtsschutz bestehen. Entscheidend bleibt somit die menschliche Urheberschaft.

Einordnung aus europäischer Sicht

Auch wenn diese Entscheidung keine unmittelbare Wirkung für Österreich oder die Europäische Union entfaltet, zeigt sie deutlich, in welche Richtung sich die Diskussion in den USA entwickelt. Die amerikanischen Gerichte halten derzeit klar am Grundsatz fest, dass Urheberrechtsschutz an menschliche Kreativität anknüpft. Für die internationale Rechtsentwicklung – insbesondere in einem Bereich, der von global eingesetzten Technologien geprägt ist – stellt dies dennoch einen wichtigen Orientierungspunkt dar.

Informationsfreiheitsgesetz und DSGVO: Wie zwei Grundrechte im Gleichgewicht bleiben

Mit dem Inkrafttreten des Informationsfreiheitsgesetzes (IFG) ist das tradierte Amtsgeheimnis einem grundrechtlich verankerten Zugang zu amtlichen Informationen gewichen – ein Paradigmenwechsel, der datenschutzrechtlich sorgfältig gestaltet werden muss. Aus fachlicher Sicht stehen damit zwei Grundrechte in einem strukturierten Spannungsverhältnis: das Recht auf Zugang zu Informationen einerseits und das Recht auf Schutz personenbezogener Daten andererseits, die im Einzelfall in eine nachvollziehbare Interessenabwägung gebracht werden müssen. Das neue Zugangsrecht und die proaktive Informationspflicht öffentlicher Stellen entfalten ihre Wirkung nur dann rechtssicher, wenn klar definiert ist, wann Informationen personenbezogene Daten enthalten, wer datenschutzrechtlich verantwortlich ist und welche Geheimhaltungsgründe – einschließlich besonderer Kategorien von Daten – einer Offenlegung (teilweise) entgegenstehen können.

Neues Zugangsrecht und proaktive Informationspflicht

Mit dem Informationsfreiheitsgesetz (IFG) ist das jahrzehntelang prägende Amtsgeheimnis in Österreich einem verfassungsrechtlich verankerten Recht auf Zugang zu Informationen gewichen. Seit 1. September 2025 besteht nicht mehr bloß ein Auskunftsrecht nach den bisherigen Auskunftspflichtgesetzen, sondern ein moderner Anspruch auf Informationszugang, der durch eine proaktive Veröffentlichungspflicht vieler Behörden ergänzt wird, etwa über Websites oder Open-Data-Plattformen. Kern des IFG ist das Recht jeder Person, Zugang zu Informationen von informationspflichtigen Stellen zu erhalten, ohne ein besonderes rechtliches Interesse darlegen zu müssen. Damit verschiebt sich der Schwerpunkt von der punktuellen Aktenauskunft hin zu einer strukturierten, planbaren Informationsordnung, die Transparenz als Regelfall und Geheimhaltung als begründete Ausnahme versteht. Diese neue Transparenzordnung wirft unweigerlich die Frage auf, wie sie mit dem Grundrecht auf Datenschutz zusammenspielt – insbesondere dann, wenn angefragte oder proaktiv veröffentlichte Inhalte personenbezogene Daten enthalten.

Personenbezogene Daten als Prüfstein

Nicht jede Informationserteilung oder Veröffentlichung ist datenschutzrechtlich relevant – entscheidend ist, ob personenbezogene Daten betroffen sind. Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen und diese identifizierbar machen, also etwa Namen, Kontakt- und Identifikationsdaten, aber auch Kombinationen von Umständen, die Rückschlüsse auf eine Person zulassen. Erst wenn solche Daten verarbeitet werden, greifen die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und es stellt sich die Frage, ob und in welchem Umfang eine Offenlegung zulässig ist.

Wer ist datenschutzrechtlich verantwortlich?

Datenschutzrechtlich verantwortlich ist jene Stelle, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. In der Praxis wird das meist jene Behörde oder sonstige öffentliche Stelle sein, die nach dem IFG informationspflichtig ist, also etwa ein Ministerium, eine Gemeinde oder eine andere Verwaltungseinheit. Im Einzelfall können diese Rollen auseinanderfallen – etwa wenn mehrere Stellen gemeinsam über Datenverarbeitungen entscheiden oder ausgelagerte Einheiten technisch-organisatorische Aufgaben übernehmen.

Kein automatischer Vorrang des Datenschutzes

Enthält eine Information personenbezogene Daten, ist sie nicht allein deshalb vom Zugang ausgeschlossen. Das Recht auf Schutz personenbezogener Daten ist „bloß“ ein Geheimhaltungsgrund im Sinne des IFG, der der Herausgabe entgegenstehen kann, aber nicht zwingend entgegenstehen muss. Sowohl das Recht auf Informationszugang als auch das Recht auf Datenschutz sind verfassungsrechtlich geschützte Grundrechte, zwischen denen eine Interessenabwägung im Einzelfall vorzunehmen ist. Es gibt keinen pauschalen Vorrang des einen Grundrechts vor dem anderen; vielmehr sind Kontext, Sensibilität der Daten, Intensität des Eingriffs und Gewicht des Informationsinteresses zu berücksichtigen.

Weitere Geheimhaltungsgründe

Der Schutz personenbezogener Daten ist nur einer von mehreren möglichen Geheimhaltungsgründen. Weitere Gründe finden sich auf verfassungsrechtlicher Ebene in Art. 22a Abs. 2 S 2 B-VG und sind einfachgesetzlich in § 6 IFG näher konkretisiert. Dazu zählen etwa der Schutz der nationalen Sicherheit, die unbeeinträchtigte Vorbereitung von Entscheidungen oder die Wahrung von Rechten am geistigen Eigentum. Auch diese Gründe können einer Informationsgewährung entgegenstehen, müssen aber stets im Lichte des Transparenzgebots und des öffentlichen Interesses an Information interpretiert werden.

„Public watchdogs“ und gesteigertes Informationsinteresse

Ein besonderes Gewicht kommt dem Informationsinteresse sogenannter „public bzw. social watchdogs“ zu, wozu etwa Journalistinnen und Journalisten zählen. Personenbezogene Daten sind jedoch nicht allein deshalb offenzulegen sind, weil ein Medium sie anfragt; auch hier ist eine einzelfallbezogene Abwägung erforderlich. Dem Informationsinteresse bei Themen von öffentlichem Interesse kommt zwar eine erhöhte Bedeutung zu, doch bleibt der Schutz betroffener Personen ein relevanter Gegenpol. Damit wird vermieden, dass der Hinweis auf Medienanfragen pauschal jede datenschutzrechtliche Zurückhaltung verdrängt.

Schwärzung als datenschutzrechtliches Instrument

Ein zentrales praktisches Werkzeug zur Wahrung des Datenschutzes ist die Schwärzung personenbezogener Daten. Eine fehlerfrei durchgeführte Schwärzung kann eine geeignete technische Sicherheitsmaßnahme im Sinne von Art. 32 DSGVO sein. Entscheidend ist, dass geschwärzte Informationen vom Empfänger nicht wiederhergestellt werden können – etwa durch digitale Bearbeitung oder Vergleich mit anderen Quellen. Durch gezielte Schwärzung kann eine Behörde also den Informationsgehalt eines Dokuments weitgehend erhalten und zugleich einzelne schutzwürdige Daten unkenntlich machen.

Rechtsschutz bei unrechtmäßiger Offenlegung

Betroffene Personen sind nicht schutzlos gestellt, wenn sie die Offenlegung ihrer personenbezogenen Daten für rechtswidrig halten. Das IFG ändert nichts daran, dass bei behaupteter unrechtmäßiger Offenlegung eine Beschwerde an die zuständige Aufsichtsbehörde erhoben werden kann. Dieser Rechtsschutz ergänzt die gerichtlichen Wege, die sich gegen die Nichtgewährung von Informationen richten, und trägt dazu bei, das Spannungsverhältnis zwischen Transparenz und Datenschutz ausgewogen zu steuern.

Keine eigene Informationsfreiheitsbehörde

In Österreich existiert keine eigenständige Informationsfreiheitsbehörde, die über die Gewährung oder Verweigerung von Informationen entscheidet. Primär entscheidet die informationspflichtige Stelle selbst, ob sie eine Information zugänglich macht oder unter Berufung auf Geheimhaltungsgründe verweigert. Im Fall der Nichtgewährung steht den Informationswerberinnen und -werbern der Weg zu den zuständigen Verwaltungsgerichten offen. Das System setzt damit auf eine Kombination aus Eigenverantwortung der Verwaltung und nachgelagerter gerichtlicher Kontrolle.

In Summe zeigt sich das IFG als Versuch, Transparenz und Datenschutz in ein neues, strukturiertes Gleichgewicht zu bringen. Informationsfreiheit darf nicht als schrankenloses Offenbarungsgebot verstanden werden darf, sondern als grundrechtlich gerahmtes Zugangsrecht, das in jedem Einzelfall mit Geheimhaltungsinteressen – allen voran dem Schutz personenbezogener und sensibler Daten – abgewogen werden muss.

Pressemitteilung

Im Sommer 2022 erregte das Vorgehen eines Rechtsanwalts aus Niederösterreich Aufsehen, der im Namen seiner Mandantin zehntausende Abmahnungen aufgrund einer behaupteten rechtswidrigen Einbindung der Schriftart Google Fonts versendet hatte.

In weiterer Folge gab dieser Rechtsanwalt auf einem eigens dafür eingerichteten – nun nicht mehr aufrufbaren – Online-Auftritt die Information bekannt, er habe diesbezüglich bereits 3 Klagen eingebracht. Er veröffentlichte auch die zugehörigen Klagen in anonymisierter Form. Darin wurde sowohl die Unterlassung, als auch die Zahlung eines Schadenersatzbetrages in Höhe von EUR 100,00 begehrt.

Eine dieser Klagen wurde gegen eine Mandantschaft unserer Kanzlei erhoben.

Das Ergebnis: Das Landesgericht für Zivilrechtssachen Wien wies diese Klage in allen Punkten ab. Die durch diesen Rechtsanwalt eingebrachte Berufung gegen dieses Urteil wurde durch das Oberlandesgericht Wien als Berufungsgericht ebenso abgewiesen. Inzwischen ist die Rechtsmittelfrist gegen das Berufungsurteil abgelaufen und somit Rechtskraft eingetreten.

Damit wurde nicht nur ein klarer und umfassender Erfolg für unsere Mandantschaft erzielt – die klagende Partei ist mit ihren Forderungen somit in sämtlichen Instanzen gescheitert.