EU-Konformitätserklärung und CE-Kennzeichnung
Die EU-Konformitätserklärung ist ein rechtsverbindliches Dokument, mit dem der Hersteller bestätigt, dass sein Produkt alle anwendbaren EU-Anforderungen erfüllt. Die CE-Kennzeichnung wird auf dieser…
Rechtliches
Konformitätsbewertungsverfahren
Ein Konformitätsbewertungsverfahren ist der formale Nachweis, dass ein Hochrisiko-KI-System alle gesetzlichen Anforderungen der EU-KI-Verordnung erfüllt, bevor es in Verkehr gebracht oder in Betrieb…
Biometrische Identifikation
Biometrische Identifikation bezeichnet die Erkennung von Personen anhand einzigartiger körperlicher oder verhaltensbezogener Merkmale wie Fingerabdruck, Gesicht oder Iris. Sie gilt unter dem EU AI…
Digitale Souveränität
Digitale Souveränität bezeichnet die Fähigkeit von Staaten, Organisationen und Unternehmen, ihre digitalen Ressourcen, Infrastrukturen und Daten eigenständig zu kontrollieren und selbstbestimmt über…
Business Continuity
Business Continuity (Geschäftskontinuität) bezeichnet die Fähigkeit eines Unternehmens, kritische Geschäftsprozesse auch bei schwerwiegenden Störungen aufrechtzuerhalten oder schnellstmöglich…
Betriebsrat
Der Betriebsrat ist die gewählte Interessenvertretung der Arbeitnehmerinnen und Arbeitnehmer auf Betriebsebene. Er hat gesetzlich verankerte Mitbestimmungs-, Informations- und Überwachungsrechte und…
Risikomanagement (NIS2-Kontext)
Risikomanagement im NIS2-Kontext bezeichnet die systematische Identifikation, Bewertung und Behandlung von Cyberrisiken, die von betroffenen Unternehmen nach der NIS2-Richtlinie umzusetzen sind. Es…
Self-Assessment
Eigenverantwortliche Prüfung durch ein Unternehmen, ob Compliance-Anforderungen erfüllt sind – etwa bei DSGVO oder AI Act. Dient der Selbsteinschätzung von Risiken und Umsetzungsstand ohne externe…
Cybersicherheitsbehörde
Eine Cybersicherheitsbehörde ist eine staatliche Stelle, die für die Überwachung, Durchsetzung und Koordination von Cybersicherheitsmaßnahmen zuständig ist. Sie fungiert als zentrale Anlaufstelle bei…
Incident-Reporting
Incident-Reporting bezeichnet die rechtlich verpflichtende oder freiwillige Meldung von Sicherheitsvorfällen, Datenschutzverletzungen oder KI-Fehlfunktionen an zuständige Behörden. Bei…
Kritische Infrastruktur
Kritische Infrastruktur (KRITIS) umfasst Organisationen, Einrichtungen und Systeme, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe, Gefährdungen der öffentlichen Sicherheit oder…
Risikoklasse
Risikoklassen sind die vier Kategorien (minimal, begrenzt, hoch, inakzeptabel), in die KI-Systeme gemäß der EU-KI-Verordnung eingeordnet werden. Die Klassifizierung bestimmt, welche rechtlichen…
Spear-Phishing
Spear-Phishing ist eine gezielte Form des Phishing-Betrugs, bei der Angreifer einzelne Personen oder Unternehmen mit personalisierten Nachrichten attackieren. Im Gegensatz zu Massen-Phishing werden…
CEO-Fraud (Betrugsmethode im Geschäftsverkehr)
CEO-Fraud ist eine Betrugsmasche, bei der sich Kriminelle als Geschäftsführung oder hochrangige Führungskraft eines Unternehmens ausgeben und Mitarbeitende per E-Mail, Telefon oder Nachricht dazu…
Compliance
Compliance bezeichnet die Gesamtheit aller Maßnahmen, die sicherstellen, dass ein Unternehmen geltende Gesetze, Verordnungen und interne Regeln einhält. Für KMU ist dies nicht nur rechtliche Pflicht,…
Operative Risiken
Operative Risiken bezeichnen die Gefahr von Verlusten, die durch unzureichende oder fehlerhafte interne Prozesse, Systeme, menschliches Versagen oder externe Ereignisse entstehen. Im KI-Kontext…
Genehmigter Tool-Katalog
Ein genehmigter Tool-Katalog ist eine verbindliche Liste jener KI-Tools und -Dienste, die in einem Unternehmen nach datenschutzrechtlicher und technischer Prüfung für bestimmte Zwecke freigegeben…
CLOUD Act
Der CLOUD Act ist ein US-amerikanisches Gesetz aus dem Jahr 2018, das US-Behörden den Zugriff auf Daten von US-Unternehmen ermöglicht – unabhängig davon, wo diese Daten weltweit gespeichert sind. Das…
Auditrecht
Das Auditrecht bezeichnet die vertragliche Befugnis des Auftraggebers, bei Dienstleistern (insbesondere Auftragsverarbeitern) die Einhaltung vereinbarter Datenschutz- und Sicherheitsanforderungen…
Datensouveränität
Datensouveränität bezeichnet die Fähigkeit eines Unternehmens, vollständige Kontrolle über Erhebung, Speicherung, Verarbeitung und Löschung seiner Daten auszuüben – unabhängig davon, ob diese…
Zero-Day
Zero-Day bezeichnet eine Sicherheitslücke in Software oder Hardware, die dem Hersteller zum Zeitpunkt ihrer Ausnutzung noch nicht bekannt ist und für die daher kein Sicherheitsupdate existiert. Der…
Shadow IT
Shadow IT bezeichnet IT-Systeme, Software oder Cloud-Dienste, die Mitarbeiter:innen ohne Wissen oder Genehmigung der IT-Abteilung im Arbeitsalltag einsetzen. Beispiele sind private Cloud-Speicher,…
persönliche Haftung der Leitungsorgane
Persönliche Haftung der Leitungsorgane bezeichnet die zivilrechtliche Verantwortung von Geschäftsführer:innen und Vorständen mit ihrem Privatvermögen für Pflichtverletzungen. Das NISG 2026 verschärft…
NIS2 (EU-Richtlinie für Netz- und Informationssystemsicherheit)
Die NIS2-Richtlinie ist eine EU-Richtlinie zur Stärkung der Cybersicherheit von Unternehmen und Einrichtungen in 18 kritischen Sektoren. Sie verpflichtet mittlere und große Organisationen zu…
Bug-Bounty-Programm
Ein Bug-Bounty-Programm ist eine Initiative, bei der Unternehmen externe Sicherheitsexpert:innen finanziell belohnen, wenn diese Schwachstellen in Software, Webanwendungen oder IT-Systemen entdecken…
Vulnerability Disclosure Policy
Eine Vulnerability Disclosure Policy (VDP) ist ein veröffentlichtes Regelwerk, das festlegt, wie Sicherheitsforscher und externe Personen dem Unternehmen Sicherheitslücken melden können – inklusive…
Erforderlichkeit (Dreistufentest beim AI Act)
Erforderlichkeit ist der zweite Prüfschritt im Dreistufentest der Verhältnismäßigkeit, der bei der Bewertung von Hochrisiko-KI-Systemen im Rahmen des AI Act angewendet wird. Er prüft, ob ein…
Datenschutzgesetz
Ein Datenschutzgesetz regelt den Schutz personenbezogener Daten auf nationaler Ebene. In Österreich und Deutschland ergänzen die nationalen Datenschutzgesetze (DSG bzw. BDSG) seit 2018 die EU-weit…
Geeignetheit (Dreistufentest beim AI Act)
Geeignetheit ist die erste Stufe des Dreistufentests aus dem Datenschutzrecht, der prüft, ob eine KI-Maßnahme grundsätzlich geeignet ist, den verfolgten Zweck zu erreichen. Der Test stammt aus der…
Angemessenheit
Angemessenheit ist die dritte und letzte Stufe der rechtlichen Verhältnismäßigkeitsprüfung. Sie prüft, ob eine Maßnahme – selbst wenn sie geeignet und erforderlich ist – in einem ausgewogenen…
BetrVG §87 Abs. 1 Nr. 6 (Mitbestimmungsrecht bei KI-Systemen)
§ 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein zwingendes Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die zur Überwachung von Verhalten oder Leistung der…
Externes IT-Sicherheitsaudit
Ein externes IT-Sicherheitsaudit ist die systematische Überprüfung der IT-Infrastruktur eines Unternehmens durch unabhängige Fachkräfte, um Schwachstellen, Fehlkonfigurationen und Sicherheitslücken…
NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026)
Das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) ist das österreichische Bundesgesetz zur Umsetzung der EU-NIS-2-Richtlinie. Es verpflichtet rund 4.000 mittlere und große…
Berufsgeheimnis (nach WTBG)
Das Berufsgeheimnis nach WTBG (§ 80 Wirtschaftstreuhandberufsgesetz 2017) verpflichtet Steuerberater:innen und Wirtschaftsprüfer:innen zur umfassenden Verschwiegenheit über anvertraute…
GoBD
Die GoBD legen fest, wie Unternehmen in Deutschland steuerrelevante Bücher, Belege und Unterlagen in elektronischer Form führen und aufbewahren müssen. Sie regeln die Anforderungen an digitale…
EAR (Einnahmen-Ausgaben-Rechnung)
Die Einnahmen-Ausgaben-Rechnung (EAR) ist eine vereinfachte Methode der Gewinnermittlung für kleinere Unternehmen in Österreich, bei der der Gewinn als Differenz zwischen tatsächlich zugeflossenen…
Betriebsvereinbarung
Eine Betriebsvereinbarung ist eine schriftliche, rechtsverbindliche Vereinbarung zwischen Arbeitgeber und Betriebsrat, die betriebliche Angelegenheiten regelt und für alle Arbeitnehmer eines Betriebs…
Automatisierte Entscheidungsfindung
Automatisierte Entscheidungsfindung bezeichnet Entscheidungen, die ausschließlich durch Computer-Algorithmen ohne menschliches Eingreifen getroffen werden und rechtliche Wirkung entfalten oder eine…
Digital Omnibus
Der Digital Omnibus ist ein von der EU-Kommission im November 2025 vorgeschlagenes Gesetzespaket, das Anpassungen an bestehenden EU-Digitalgesetzen (DSGVO, KI-Verordnung, Data Act, NIS2, ePrivacy)…
Wesentliche Einrichtungen
Wesentliche Einrichtungen sind Unternehmen und Organisationen aus hochkritischen Sektoren, die aufgrund ihrer Größe oder Funktion unter die NIS-2-Richtlinie fallen und strengeren…
Kennzeichnungspflicht
Kennzeichnungspflicht bezeichnet die gesetzliche Verpflichtung, KI-generierte oder KI-manipulierte Inhalte als solche erkennbar zu machen. Ab dem 2. August 2026 regelt Artikel 50 der…
RTR (Rundfunk und Telekom Regulierungs-GmbH)
Die Rundfunk und Telekom Regulierungs-GmbH (RTR) ist die österreichische Regulierungsbehörde für Medien, Telekommunikation und Post. Sie fungiert als Geschäftsstelle für die KommAustria und die…
Wichtige Einrichtungen
Wichtige Einrichtungen sind Unternehmen, die aufgrund ihrer Größe und Branchenzugehörigkeit unter die NIS-2-Richtlinie fallen und strengen Cybersicherheitspflichten unterliegen. Sie werden im…
Anbieter
Anbieter im Sinne der EU-KI-Verordnung ist, wer ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt. Im Gegensatz zum…
Betreiber
Ein Betreiber ist eine natürliche oder juristische Person, die ein KI-System in eigener Verantwortung für berufliche Zwecke einsetzt, ohne es selbst zu entwickeln oder unter eigenem Namen zu…
Dark Patterns
Dark Patterns sind manipulative Designelemente auf Websites und in Apps, die Nutzer durch gezielte Gestaltung zu Entscheidungen verleiten sollen, die ihren eigentlichen Interessen widersprechen –…
ePrivacy-Richtlinie
Die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) regelt seit 2002 EU-weite Mindestvorgaben für den Datenschutz in der elektronischen Kommunikation, insbesondere Cookie-Verwendung, Telefon- und…
Cookie-Banner
Ein Cookie-Banner ist ein Pop-up-Element auf einer Website, das Nutzer:innen vor dem Setzen nicht notwendiger Cookies um eine aktive Einwilligung bittet. In Österreich und Deutschland ist es…
TKG 2021, § 165 Abs. 3 (Telekommunikationsgesetz 2021)
§ 165 Abs. 3 TKG 2021 ist die österreichische Rechtsgrundlage für die Verwendung von Cookies und regelt, dass das Speichern von Informationen auf Endgeräten oder der Zugriff darauf grundsätzlich nur…
Beschwerdeverfahren
Ein Beschwerdeverfahren ist das in der DSGVO verankerte Recht jeder betroffenen Person, bei einer Datenschutzbehörde gegen vermutete Datenschutzverstöße vorzugehen. Es ermöglicht KMU-Kund:innen oder…
Hochrisiko-KI-System
Ein Hochrisiko-KI-System ist ein KI-System, das gemäß der EU-KI-Verordnung (AI Act) aufgrund seines Einsatzbereichs oder seiner Funktion erhebliche Risiken für die Gesundheit, Sicherheit oder…
AI Act (EU-KI-Verordnung)
Der EU AI Act (Verordnung 2024/1689) ist die weltweit erste umfassende Rechtsverordnung zur Regulierung künstlicher Intelligenz. Die am 1. August 2024 in Kraft getretene Verordnung klassifiziert…