ABSTRACT. In Deutschland wird seit längerem diskutiert, wie der Zivilprozess modernisiert werden kann. Vor dem Hintergrund rückläufiger Verfahrenszahlen in der Zivilgerichtsbarkeit vor allem im Bereich niedriger Streitwerte erfährt der Aspekt eines verbesserten Zu-gangs zur Justiz durch ein Online-Verfahren große Aufmerksamkeit. Ein aktuelles Ge-setzesvorhaben sieht die Erprobung dieses Verfahrens vor, das konzeptuell vor großen Herausforderungen steht. Bedeutend sind vor allem verschiedene Elemente der Gesetz-gebung wie die Kommunikationsplattform, die Einführung eines Verfahrensdokuments sowie das Aufgreifen des Konzepts Reallabor.

ABSTRACT. The presented article seeks to demonstrate the state of eJustice across selected European countries, most notably in relation to their use of advanced technological solutions, specifically automation, within the judicial process. The presented countries demonstrate varied level of not only automation and the possibilities of automation in the near future, but more crucially they display great variety on the „lower“ technological level of a mere electronisation and digitalization of judicial procedures. By describing these differences and current status via analysis of national reports this article seeks to show that while advanced automation presents an interesting and emerging opportunity for eJustice, the current fragmented approach and the state of infrastructure across Europe does not provide ample opportunity for its realization.

ABSTRACT. The growing cooperation between humans and machines is reshaping the way society interacts and all sectors are being affected by this transformation, including the Judiciary. Within this context of profound change, the research seeks to critically assess the tangible benefits and emerging risks of human–machine cooperation within the Brazilian Judiciary. Specifically, it aims to: examine the trajectory of the Judiciary’s digital transformation; identify artificial intelligence systems currently under development, as well as those already implemented or in operation within the courts; and analyze the potential implications of human–machine cooperation for the paradigm of justice. Methodologically, the study adopts a deductive approach, combining qualitative and quantitative perspectives and relying on bibliographic and documentary research techniques. The findings indicate that the Brazilian Judiciary has been undergoing an official process of digital transformation since 2006. The analysis on the adoption of artificial intelligence systems reveals that several courts have either developed their own solutions or are in the process of doing so. Moreover, the data show that most machine-assisted tasks are currently confined to administrative functions, repetitive procedures, and features designed to support human activity. More recently, research and development efforts have begun to focus on decision-making systems. From the analysis of the ideal of justice, the study identifies potential benefits, but also emerging risks such as excessive objectivity in decision-making, loss of contextual and semantic interpretation, the standardization and massification of judgments, and technological power asymmetries. The article concludes by proposing regulatory and ethical guidelines aimed at safeguarding fundamental rights and preventing the transformation of justice into an opaque, automated decision-making system devoid of human connection.

ABSTRACT. Wir stellen vor dem Hintergrund der Entwicklung eines digitalen Basis- bzw. Verfahrensdokumentes eine Pilotstudie vor, in der untersucht wird, wie sich generative Künstliche Intelligenz nutzen lässt, um aus Schriftsätzen in Zivilprozessen automatische Relationstabellen zu erzeugen. Dazu verwenden wir wenige verfügbare Schriftsatzpaare (Klägervortrag und Beklagtenvortrag) als Testmaterial, um unter Anwendung von Retrieval-Augmented Generation (RAG) bzw. Cache-Augmented Generation (CAG) Relationstabellen automatisch erstellen zu lassen. Ergänzend betrachten wir, ob generative KI auch genutzt werden kann, um aus veröffentlichten Urteilen Schriftsätze zu rekonstruieren (reverse document engineering), die dann wiederum als Trainingsmaterial für die Relationserzeugung dienen könnten.

ABSTRACT. Die Größe der neuronalen Netze, die von den wichtigsten KI-Konzernen trainiert werden, hat viele Debatten ausgelöst. Unter anderem wurden Umweltauswirkungen, Trainings- und Betriebskosten, digitale Souveränität und Compliance erwähnt, aber auch ethische und soziale Probleme. Aus einer wissenschaftlichen Perspektive wurde der zutiefst fehlerhafte theoretische Hintergrund der Technologie kritisiert. (Sprachmodelle haben sehr wenig mit Sprache zu tun: Bender and Koller, 2020). Aus rechtlicher Sicht ist der letztere Aspekt wahrscheinlich der beunruhigendste. Wenn KI-Systeme in Bereichen eingesetzt werden sollen, die Vorschriften und Regelungen unterliegen, müssen sie fähig sein, Datenstrukturen zu kodieren, die die relevanten Aspekte dieser realen Welt widerspiegeln. In ihrer derzeitigen Form sind sie aber, per Design, unfähig, dies zu tun. In diesem Beitrag untersuchen wir den Einsatz von großen Sprachmodellen im geschäftlichen Kontext. Wir besprechen, wann und wo die Technologie der LLMs in ihrer jetzigen Form angewendet werden kann und zeigen Problembereiche auf. Abschliessend schlagen wir eine Alternative in Form von hybriden ‘kleinen’ Sprachmodellen vor, die die Stärken von Transformer-basierten Architekturen und semantischen Algorithmen kombinieren und damit gleichzeitig auch weitere positive Effekte auf Kosten, Umwelt, Souveränität, Compliance und Ethik einhergehen.

ABSTRACT. Viele Ansätze zur Rechtsvisualisierung sollen vor allem fachfremden Personen zu einem besseren Verständnis juristischer Inhalte verhelfen als jenes, das „klassische“ juristische Fachtexte vermitteln. Allerdings fehlen bislang Evaluationen, die ihre Wirksamkeit bestätigen. Daneben rückt – mit ähnlicher Zielsetzung – zunehmend auch die Nutzung großer KI-Sprachmodelle (LLMs) wie ChatGPT in den Fokus. In diesem Beitrag wird die Nutzung von Rechtsvisualisierungen und LLMs den Fachtexten gegenübergestellt und ihr jeweiliger Beitrag zum Verständnis rechtlicher Inhalte durch Laien empirisch untersucht. Dadurch soll ein tieferer Einblick in ihren Nutzen gegeben und zum Aufbau einer empirischen Basis beigetragen werden.

ABSTRACT. As data has become a critical asset in today’s digital economies, the sharing and reuse of data has received high attention from researchers. New concepts of data intermediaries have evolved, addressing the strategic goal of greater digital sovereignty while ensuring compliance with European legal frameworks. Among these concepts is Data Trusts, which act as intermediaries facilitating secure and trustworthy data stewardship and sharing within relevant ecosystems. In literature, Data Trusts are defined as legal, technical, and organizational entities established to responsibly manage and facilitate the sharing of data while preserving the interests of the data subjects and/or the data owners. Data Trusts operate as a trusted intermediary, ensuring data accessibility, transparency, security, and compliance with relevant regulations and ethical standards throughout the data lifecycle (Austin and Lie 2021; Ayappane et al. 2024; Feth and Rauch 2024; Stachon et al. 2023). While a number of research publications exist on data governance, a systematization of the different concepts of what data governance comprises is lacking. The underlying research goal is to develop a comprehensive understanding of key assets and components of comprehensive Data Governance Frameworks for ensuring trustworthiness in data trust ecosystems. In the presentation, we will share insights from the EG-DAS project, where we have conducted a structured analysis of existing literature on the different concepts - distinguishing the assets to achieve and the corresponding components with which these assets can be achieved. We then synthesize the findings and develop them into a data governance framework that maps the assets assets of data governance which represent desired values to achieve, and the corresponding components that help acieving these desired governance values. Among the data governance assets, we identified for example data quality, data security, data privacy, data value, legal compliance, data interoperability and standardization, data accuracy, accountability, data accessibility, data transparency and business goal alignment. Components to achieve these assets are e.g. data and data lifecycle management, data ownership and provenance management, metadata management, compliance and risk management, data architecure management, stakeholder management, identity and access management, and trust management.

ABSTRACT. Affective Computing ist ein Teilbereich der Künstlichen Intelligenz, der sich mit der Erkennung, Interpretation und Simulation menschlicher Emotionen befasst. Mithilfe von Sensoren und Gesichtserkennung werden Emotionen erfasst, analysiert und mittels Machine Learning für die Interaktion zwischen Mensch und Maschine nutzbar gemacht.

Die fortschreitende Entwicklung von KI-Systemen ermöglicht es Maschinen, menschliche Emotionen mit zunehmender Präzision zu erkennen und darauf zu reagieren. Diese Fähigkeit eröffnet neue Möglichkeiten in Bereichen wie Gesundheitswesen und Pflege, Marketing oder Sicherheit im Straßenverkehr, oder beim Einsatz von Maschinen durch Menschen in anderen gefährlichen Situationen, wirft jedoch gleichzeitig grundlegende rechtliche Fragen auf. Besonders brisant ist das Potenzial zur Manipulation von Menschen durch gezielte emotionale Ansprache – sei es in der Werbung, politischen Kommunikation oder personalisierten Dienstleistungen.

Der Vortrag beleuchtet zunächst den aktuellen Stand der Emotionserkennung durch KI. Im Fokus steht dabei die Frage, wie zuverlässig und valide diese Systeme bereits sind und welche Grenzen ihrer Anwendung gesetzt sind.

Anschließend wird zunächst versucht, den Begriff eines „Emotionserkennungssystems“ nach der KI-VO (so sind das nach Art 3 Z 39 KI‑Systeme, die dem Zweck dienen, Emotio-nen oder Absichten natürlicher Personen auf der Grundlage ihrer biometrischen Daten festzustellen oder daraus abzuleiten), von anderen Systemen, die allein den Gesichtsausdruck, die Stimme oder Sprache erkennen, oder die dem Zweck dienen physische Zustände wie Schmerz oder Ermüdung festzustellen, abzugrenzen. Im Weiteren werden die rechtlichen Implikationen dieser Technologien außerhalb der KI-VO diskutiert, insbesondere im Hinblick auf Datenschutz (DSGVO), Persönlichkeitsrechte und das Verbot manipulativen Verhaltens. Zentrale Aspekte sind dabei die informierte Einwilligung, die Transparenz von Algorithmen sowie die Abgrenzung zwischen legitimer Nutzung und unzulässiger Beeinflussung.

In dem Kontext soll zuletzt das Regelwerk der KI-VO, das spezielle Vorschriften für KI-basierte Anwendungen zur Emotionserkennung geschaffen hat, die die bereits vorhandenen Spielregeln durch die DSGVO ergänzen, erörtert werden. Zentral ist dabei die Einordnung dieser Technologie als Hochrisiko-KI-System sowie die damit verbundenen Pflichten für den Anbieter und Betreiber.

ABSTRACT. Dieser Beitrag widmet sich der Vorgeschichte und Entstehung der Definition des KI-Systems. Dabei werden unterschiedliche Ansätze zur Begriffsbestimmung künstlicher Intelligenz herangezogen. Definitionsansätze der KI-Forschung heben etwa die Ziele hervor, die mit KI verfolgt werden, vergleichen sie mit menschlicher Intelligenz oder wollen diesen Vergleich dringend vermeiden. KI wird etwa als Entwicklung von Agenten und Anwendung bestimmter Technologien und Methoden beschrieben. In diesen Kontext soll die Legaldefinition des KI-Systems gem Art 3 Z 1 KI-VO eingebettet werden. Zum einen soll untersucht werden, inwiefern sich diese Definition mit dem aus ausgewählter Literatur hervorgehenden Verständnis der KI-Forschung deckt oder sich davon unterscheidet. Zum anderen sollen etwaige, mit der Definition zusammenhängende Rechtsunsicherheiten hervorgehoben werden.

ABSTRACT. Die KI-VO (EU) 2024/1689 trat am 1.8.2024 in Kraft und steht gestaffelt in Geltung; wesentliches Datum ist - insb für die Anforderungen an Hochrisiko-KI-Systeme - der 2.8.2026. Um die Erfüllung dieser Anforderungen zu erleichtern, sieht Art 40 KI-VO "harmonisierte Normen", sog hEN, vor. Die EK hat den Normungsauftrag bereits im Mai 2023 erteilt; CEN/Cenelec haben ihn angenommen und mit JTC21 ein eigens dieser Aufgabe gewidmetes Joint Technical Committe eingesetzt. Trotz Fristablaufs Ende April 2025 wurden die 10 hEN nicht an die EK übermittelt. Unter Berufung auf die inzwischen rechtskräftige KI-VO hob die EK im Juni 2025 mittels neuen Durchführungsbeschlusses die DVO aus 2023 auf. Sie erwähnt darin auch „erhebliche Verzögerungen“, die CEN und Cenelec im Halbjahresbericht aus September 2024 gemeldet hatten. In der neuen DVO wiederholt die EK im Wesentlichen die Ausführungen zum Normungsauftrag aus 2023. Mitte Oktober 2025 wurde mit prEN 18286:2025 die erste hEN zu QMS für Hochrisiko-KI-Systeme von CEN in Form der sog „Direkt-Publikation nach Enquiry bei positivem Votum“ veröffentlicht und auf den Markt gebracht; die ausstehenden neun hEN sollen in 2026 folgen. Der Beitrag geht am konkreten Beispiel dieses Normungsauftrags dem koregulatorischen Konzept des sog "New Approach" bzw "New Legislative Framework" nach und untersucht dessen Wirksamkeit. Dass Zweifel daran bestehen, ist in Anbetracht laufender Konsultations- und Evaluierungsmaßnahmen ebenso evident, wie dass die (Rechts-)Wissenschaften sich bislang noch zu wenig mit der Europäischen Standardisierung befasst haben. Die intensive Diskussion neuer Ansätze - wie zB des Vorschlags von Delimatsis (2025), den Prozess als „Shared Regulatory Space“ zu verstehen - aber auch das Bemühen um fundierte (rechts-)wissenschaftliche Erklärungsversuche des komplexen Prozesses - wie zB die Sichtbarmachung des starken „Command&Control“-Anteils dieser spezifischen Form der Koregulierung durch Hennessy/Mügge (2025) - sind dringend nötig.

ABSTRACT. Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA-VO, Digital Operational Resilience Act) legt Maßnahmen zur Sicherstellung der Betriebssicherheit und des Risikomanagements fest, insb. bei schwerwiegenden Vorfällen. Diese Arbeit untersucht die rechtlichen Implikationen solcher Angriffe unter besonderer Berücksichtigung der Haftungsfragen im Kontext der DORA-VO und des ZaDiG (Zahlungsdienstegesetzes). Dabei wird die Verantwortung der Banken sowie der Kunden analysiert, insb. in Bezug auf die Sorgfaltspflicht und die Verpflichtungen zur Gewährleistung der Systemsicherheit. Es wird untersucht, ob das Plündern einzelner Bankkonten unter die Regelungen dieser Verordnung fällt, ob gehäufte Vorfälle als schwerwiegender Vorfall im Sinne der DORA-VO zu werten sind und wie die Haftungsfrage im Zusammenhang mit verbreiteten Sicherheitsmechanismen wie dem SMS-TAN System und den modernen Echtzeitüberweisungen aussieht. Die Analyse wird durch reale Fallbeispiele gestützt.

ABSTRACT. In CG v Bezirkshauptmannschaft Landeck (C-548/21), the Court of Justice of the European Union held that searches of mobile phones by criminal investigation authorities must be subject to prior review by a court or an independent administrative body. In this paper, I examine whether the same procedural requirement applies under EU law to searches of mobile phones and other digital searches carried out by administrative authorities in the course of administrative investigations. While the CJEU has already been asked a similar question in relation to business e-mails seized in competition investigation ‘dawn raids’ in Imagens Médicas (Joined Cases C-258/23 to C-260/23), the objective of this paper is to examine the issue in broader terms and to consider also other sectors of enforcement where administrative authorities have similar investigatory powers at their disposal. I conclude that although unlimited access to data can constitute a serious, or even particularly serious, interference with the fundamental rights of the targeted individual regardless of the authority or proceedings, the data that is accessed in administrative investigations is often of a less personal, private, and sensitive nature than that stored on personal mobile devices. Thus, a categorical requirement of prior judicial review for digital searches in punitive administrative investigations should be rejected, although there may be situations where the measure should be authorised by a court.

ABSTRACT. Artificial intelligence is rapidly reshaping cybersecurity, offering unprecedented capabilities for both digital defense and offense. While AI-driven systems enhance threat detection, automate incident responses, and enable pre-dictive security, they simultaneously empower new forms of cyberattacks and other malicious use. This dual-use nature — the ability of the same technology to serve both protective and malicious purposes — represents a challenging aspect of AI technology. The paper explores the dual-use character of AI in cybersecurity, examining how the same systems can act as both shield and sword. It first defines the concept of dual-use, highlighting that unlike traditional tools, AI systems may exhibit unexpected patterns of behavior after deployment, and the cause may not be obvious. Building on this theoretical foundation, the study analyzes defensive applications and contrasts them with offensive uses. The analysis further considers the European regulatory landscape, focusing on the EU AI Act and the NIS 2 Directive. As part of the analysis, we seek to discuss whether the regulatory framework responds to the specific feature of artificial intelligence under discussion. Recognizing AI’s two faces — protector and aggressor — is crucial for building resilient cybersecurity frameworks in an increasingly AI-driven world.

ABSTRACT. Das Projekt Justitia 4.0 zielt darauf ab, die Papierakten in der Schweizer Justiz durch elektronische Dossiers zu ersetzen und die elektronische Kommunikation zwischen Verfahrensbeteiligten und Justizbehörden zu fördern. Verfahrensbeteiligte sollen in Zukunft die zentrale Plattform justitia.swiss für den elektronischen Rechtsverkehr sowie die Akteneinsicht nutzen. Mit einer eJustizakte-Applikation wird zudem sichergestellt, dass Justizbehörden elektronische Akten effizient verwalten, bearbeiten und übermitteln können. Das Projekt wird von den Gerichten, den Staatsanwaltschaften und der Anwaltschaft gemeinsam getragen.

ABSTRACT. Im Rahmen der strategischen Initiative Justiz 3.0 wird die digitale Akten- und Verfahrensführung an den österreichischen Gerichten und Staatsanwaltschaften etabliert. Bereits heute profitieren alle rund 160 Justizdienststellen von den Vorteilen und Möglichkeiten, die diese Digitalisierung mit sich bringt. Die dabei im Einsatz befindlichen IT-Systeme werden mit Praktiker:innen aus der Justiz für die Justiz entwickelt. Damit können einerseits justizintern jahrzehntelang gewachsene Abläufe neu gestaltet und optimiert und andererseits zusätzliche digitale Services wie die elektronische Akteneinsicht via JustizOnline bereitgestellt werden.

ABSTRACT. Die für die Umsetzung der europäischen e-Justice zuständige Ratsarbeitsgruppe setzt gemeinsam mit der EU Kommission die bereits in Kraft stehende EU Digitalisierungsverordnung rechtlich und technisch um. Zudem werden die vor kurzem veröffentlichten Strategien DigitalJustice@2030 und European Judicial Training Strategy 2025-2023 behandelt. Ferner sind e-CODEX (e-justice communication via online data exchange), grenzüberschreitende Videokonferenzen, Künstliche Intelligenz und die Zukunft der Ratsarbeitsgruppe e-Justice weitere Themen.

ABSTRACT. Die DSGVO sieht sich als sog. "Gold-Standard". In der Tat ist die anfängliche Skepsis gewichen und zahlreiche internationale Datenschutzgesetze orientieren sich an der DSGVO. Kann der AI Act eine ähnliche internationale Karriere machen oder wird er als zu streng und innovationsfeindlich wahrgenommen? Aktuell ist die internationale Landschaft der KI-Regulierungen uneinheitlich. So existieren wesentliche Elemente des AI Acts übernehmende Gesetze in Brasilien und Südkorea. Gegenüber dem AI Act offenere risikobasierte Regulierungsmodelle finden sich u.a. in Singapur, Hong Kong und Dubai. Uneinheitlich wiederum ist die Rechtslage in den USA. Während auf Bundesebene eine KI-Regulierung abgelehnt wird, finden sich auf Ebene der Bundesstaaten durchaus Gesetze, die jedenfalls in Teilen dem AI Act vergleichbar sind. So wurden jüngst in Kalifornien und Texas, mithin in den Standorten großer KI-Unternehmen, entsprechende Gesetze implementiert. In Kalifornien wird sogar schon von einem "Sacramento Effect" gesprochen. In China schließlich ist die Rechtsentwicklung noch unentschlossen. So existiert keine umfassende und abschließende KI-Regulierung. Dennoch gibt es in China Stimmen, die gerade einen "global consensus on AI regulation" anstreben. Kann der AI Act Vorbild für diesen globalen Konsens sein? Der AI Act leidet an einem wichtigen "Verkaufsargument": Er ist nicht stringent mit anderen EU-Regularien, insb. nicht mit der DSGVO. Zwar gehen beide von einem risikobasieren Ansatz aus. Tatsächlich handelt es sich aber um zwei verschiedene Regulierungsmodelle. Die DSGVO basiert auf einem offenen risikobasierten Ansatz. Der Verantwortliche bestimmt das Risiko der jeweiligen Datenverarbeitung und implementiert davon ausgehend die entsprechenden Maßnahmen. Demgegenüber sieht der AI Act vordefinierte und geschlossene Risikokategorien vor. Es ist somit zu hinterfragen, ob der AI Act einen Brüssel-Effekt auslösen kann. Dieser Beitrag möchte diesen Fragen nachgehen.

ABSTRACT. Ziel der Arbeit ist es, rechtssichere Szenarien für die Integration von großen Sprachmodellen (LLM) in die Geschäftsprozesse von kleinen und mittleren Unternehmen (KMU) im europäischen Kontext zu untersuchen, wobei die Erfahrungen des Projekts RADIUS (FH JOANNEUM) genutzt werden.

ABSTRACT. KI-Systeme und große Sprachmodelle haben in den letzten Jahren mehr und mehr Einzug in die juristische Praxis gehalten. Auch die rechtswissenschaftliche Forschung sieht viele Anwendungsmöglichkeiten für künstliche Intelligenz. Offen ist jedoch, welche Anwendungen von künstlicher Intelligenz Juristen für ihre tägliche Arbeit als sinnvoll ansehen und welche Aspekte sie bspw. als wichtig zur Bestimmung der Güte von KI-generierten Texten erach-ten. Um diese Lücke in der Forschung zu füllen, stellt der vorliegende Beitrag die Ergeb-nisse einer durchgeführten Studie vor, in der Juristen zu ihren Wünschen und Anforderun-gen an KI-Systeme und KI-generierte Texte befragt wurden.

ABSTRACT. This paper examines the EU’s legislative framework governing cybersecurity and information technology, with particular attention to how it addresses Free and Open Source Software (F/OSS). As a global phenomenon, F/OSS contributes substantially to innovation, transparency, and security. This raises the question of whether EU legislators are paying sufficient attention to F/OSS and whether or how they incorporated the specific characteristics and challenges of F/OSS into their regulatory approach. This paper therefore seeks to critically analyse the position of F/OSS within the EU’s cybersecurity and IT legislation, identifying potential inconsistencies, gaps, and implications for stakeholders involved in its development and distribution. The research adopts a legal analysis of selected key EU legislative acts that shape the cybersecurity and information technology legal framework. The study focuses primarily on the Cyber Resilience Act (CRA) and its criterium of commercial use of products with a digital element. Further, paper also analyses the Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), but also the Artificial Intelligence Act (AI Act) and others. By examining these instruments, the paper aims to uncover what is EU’s general approach towards F/OSS and how EU regulators conceptualize software accountability, product security, and compliance obligations, and whether these frameworks adequately reflect the collaborative, non-commercial, and decentralized nature of F/OSS projects. The study also introduces special provisions and legal exceptions concerning F/OSS contained in EU regulations and directives, providing comprehensive overview of F/OSS regulation. Ultimately, this paper sheds light on how F/OSS is regulated in EU and analyses what measures have been taken to avoid unnecessary regulatory burdens on F/OSS, such as legal exceptions, conditions and criteria used in aforementioned legislation.

ABSTRACT. Cyber Threat Intelligence (CTI) ist essenzieller Bestandteil aktueller Cybersicherheits-strategien und gehört somit zu den wichtigsten Tätigkeiten von Anbietern verwalteter Sicherheitsdienste (Managed Security Service Providers, MSSP). Das Teilen von Daten zu Cyberbedrohung bzw. von CTI steht prinzipiell im Interesse der Akteure, die Cyberbedrohungen ausgesetzt sind, und zwar erst-recht dann, wenn diese Cyberbedrohun-gen ähnlicher Natur sind. Damit entsteht indes ein potenzieller Interessenskonflikt mit den MSSP, die sich durch das Teilen solcher Daten bspw. in ihren Immaterialgüterrechten verletzt sehen könnten. Der vorliegende Beitrag diskutiert den rechtlichen Rahmen für föderierte CTI mit besonderem Fokus auf urheberrechtliche und daten-rechtliche Anforderungen.

ABSTRACT. Das Übereinkommen des Europarats über die Cyberkriminalität vom November 2001 ist das erste internationale Übereinkommen im Bereich des «Computerstrafrechts». Im Rahmen der Konvention stellt die indirekte Beschaffung von Daten im Ausland mittels Rechtshilfe den Standard für die Erhebung von Beweismitteln im Ausland dar, während der direkte Zugriff auf Daten in anderen Staaten unter den Vorbehalt der Zustimmung der betroffenen Person gestellt wird. Die 2018 in Kraft getretenen Bestimmungen des US-Amerikanischen CLOUD-Acts über direkte Zugriffsmöglichkeiten US-Amerikanischer Ge-richte auf gewisse Daten im Ausland haben im schweizerischen Recht zu einer Diskussion darüber geführt, inwiefern Art. 18 des Übereinkommens die Staaten dazu ermächtigt, unilaterale Rechtsgrundlagen für die extraterritoriale Datenerhebungen durch ihre Behörden zu erlassen. Der Beitrag untersucht das rechtliche Verhältnis zwischen den Vorgaben der Konvention zur indirekten und direkten Datenerhebung im Ausland und stellt diese in Beziehung zur Hanoi-Konvention der Vereinten Nationen gegen Computerkriminalität.

ABSTRACT. Eine Auszeichnung von Treibstoffpreisen auf einer für alle per Internet zugänglichen Preistransparenzdatenbank dient der besseren Orientierung für Auto- und Motorradfahrer und der Verbesserung der Vergleichbarkeit der Preise. Durch die Transparenz wird ein verstärkter Wettbewerb zwischen den Anbietern beabsichtigt. In Österreich wurde durch BGBl. I Nr. 54/2011 die gesetzliche Grundlage für eine solche Preistransparenzdatenbank geschaffen. Die E-Control hat die Preistransparenzdatenbank nach den Vorgaben des Bundesministers für Wirtschaft, Energie und Tourismus zu betreiben und im Internet zu veröffentlichen. Eine entsprechende Preistransparenzverordnung Treibstoffpreise hat der Bundesminister mit BGBl. II Nr. 246/2011 erlassen. Die Verordnung hat ein zeitliches Ablaufdatum, welches jedoch immer wieder nach hinten verschoben wird, zuletzt mit BGBl. II Nr. 320/2025. Der Frage, ob die Preistransparenzdatenbank und deren Abfragemöglichkeit in Österreich zu einem stärken Wettbewerb zwischen den Anbietern und damit zu einer Senkung des Preisniveaus geführt hat, wird in der Literatur bezweifelt.

ABSTRACT. Online manipulation has gained increasing attention alongside digitalization and data processing. Practices such as targeted advertising and manipulative interface design show how consumer manipulation has evolved in the digital sphere. Yet, both scholarship and legislation struggle to define and address what constitutes “online manipulation.” The recently adopted Digital Services Act (DSA) is the first European legislative framework to explicitly reference manipulation in the context of digital markets and consumer protection. The DSA implicitly recognizes manipulative potential in practices like targeted advertising and dark patterns. The article aims to conceptualize manipulation in the digital environment and examines the notion of manipulation within the DSA’s legal framework.

ABSTRACT. The big online platforms, especially social media, gain bigger influence in modern society every day. With opaque algorithms, they can affect one’s thinking and even elections by amplifying content from selected candidates. The Digital Services Act sets boundaries for content moderation and shifts the power from private companies back to states and users. It also creates a new architecture for user disputes, which will be central to my paper.

The DSA allows platforms to set their own rules but requires them to meet basic standards. Article 14(4) sets one of them – respect for users’ fundamental rights. The definition is vague, and the recitals give little clarification. Although aimed at terms and conditions, this rule will matter also for disputes, especially before internal reviewers under Article 20 and out-of-court bodies under Article 21. Meta’s Oversight Board has played a similar role since 2021. In its decisions, it relies on the ICCPR and UNGP, mentioned in the DSA’s Recital 47. While it cannot match the independence of DSA’s ODS bodies, it offers a unique example of applying fundamental rights horizontally between a platform and its users.

The aim of my paper is (1) to show how the Oversight Board applies fundamental rights in its decisions, and (2) to assess whether the new DSA system can follow its example. The paper thus has three parts: first, I describe Article 14(4) and its place within the DSA framework; second, I present the Oversight Board and its procedures; and third, I analyse the argumentation in selected decisions, concluding with recommendations for the DSA system.

ABSTRACT. Regulating and enforcing compliance on online platforms under the EU Digital Services Act (DSA) is a paradigmatic “wicked problem.” This article argues that complexity is not a defect to be engineered away but a structural condition of the DSA’s socio-technical and socio-legal gover- nance. We synthesize doctrinal analysis with a systems view of content moderation to show how overlapping legal norms, heterogeneous national definitions of “illegal content,” fragmented reporting artefacts (Articles 15, 17, 34, 37), and hybrid human–AI moderation generate persistent ambiguity for platforms, regulators, auditors, and users. Using reporting mechanisms as the empirical interface between law and infrastructure, we outline how transparency reports, the EU Transparency Database, sys- temic risk assessments, and independent audits translate practice into compliance claims, while also producing contradictions that challenge le- gal certainty and auditability at scale. Reframing complexity as a design condition, we propose five interlocking requirements for governing through complexity: (1) consistency analysis across reporting artefacts; (2) im- proved, mixed-method methodologies for systemic risk assessment; (3) in- dependent usability audits of user reporting (Article 16); (4) AI support that scaffolds rather than substitutes human judgment, with bias, error, and contestability testing; and (5) collaborative, human-in-the-loop audit protocols (Articles 34, 37). Understanding how the DSA’s layered obliga- tions operate in practice is crucial, as compliance now structures much of Europe’s digital public sphere. We discuss implications for law, computer science, HCI, and regulatory practice. The contribution is a conceptual and methodological blueprint that treats the DSA as a system-of-systems: one that can transform complexity into accountable, reproducible, and en- forceable governance rather than attempting to eliminate it.

ABSTRACT. This paper asks the question of when AI rules are valid in practice and answers: when institutions can observe, intervene, and enforce. Using the law-of-cyberspace insight that "code regulates" we propose an Institutional Validity Test - competence, observability, technical leverage, enforceability, and interoperability and map it on the chain of deployment (compute, cloud, GPAI developers, APIs, integrators, deployers). We argue for capability-triggered upstream duties for GPAI providers and downstream duties of care for deployers, enabling authorities to proceed against integrators whose choices create foreseeable risks. Telecommunications regulators are singled out as infrastructure governors with special traceability and incident response capabilities. Given the EU AI Act's approach to GPAI and the possibility of rapid capability growth (e.g., Kokotajlo's timelines), we identify institutional needs: technical teams, sandbox/audit powers, access to logs under due process, cross-border cooperation, operationalizing the maxim: where institutions act, law exists.

ABSTRACT. Foundation AI models are a vital resource for artificial intelligence downstream applications. Yet their development exhibits natural monopoly characteristics, with market control concentrated among a small number of companies connected to Big Tech. This concentration threatens innovation in downstream AI applications and raises systemic risks such as technological dependence, foreclosure of specific markets and reduced market competition. While competition law mechanisms have proven mostly inadequate for addressing the structural challenges of foundation model markets, the EU's regulatory innovation through the Digital Markets Act demonstrates that ex ante regulation, complementary to traditional antitrust enforcement, could effectively preserve contestability in concentrated markets. This paper proposes an ex ante regulatory approach aimed at foundation AI models, drawing on DMA principles and ex ante obligations common in the telecommunications sector. The proposed approach focuses on mandatory access obligations and non-discrimination principles for systemically important foundation models. It is intended to enable competitive downstream markets. By extending ex ante model access obligations to foundation AI model providers, the proposed approach addresses vertical foreclosure risks, ensures fair downstream access, and facilitates a systemic protection of competition in downstream markets. The paper will outline the problem of market concentration in foundation AI model markets and the possible impacts of it. After that, the paper will provide a summary of proposed regulatory approaches, which include a public utilities approach to foundation models and making accessible training data from dominant companies. These approaches will be contrasted with a new possible accessibility approach broadly proposed in this paper. The proposed approach lies in ex-ante model access regulation following the examples of the DMA and telecommunications regulation.

ABSTRACT. Deepfakes sind vom Randphänomen zur Alltagsrealität geworden: von Rachevideos bis CEO-Fraud. Generative KI senkt die Hürden für täuschend echte Manipulationen drastisch. Der Beitrag beleuchtet, welche Antworten der AI Act darauf gibt: neue Transparenz- und Kennzeichnungspflichten für KI-erzeugte oder -veränderte Inhalte, Verantwortungszuordnung zwischen Anbietern und Betreibern von KI-Systemen sowie technische Maßnahmen wie maschinenlesbare Markierungen. Der Beitrag zeigt auf, wo Ausnahmen gelten (etwa für künstlerische oder journalistische Zwecke) und wie sich die neuen Regeln mit DSA, Datenschutz- und Urheberrecht verzahnen. Abschließend bespricht der Beitrag, wie Unternehmen und Institutionen ihre Compliance- und Governance-Strukturen an die neuen Anforderungen anpassen können.

ABSTRACT. This paper proposes a doctrinal framework for attributing criminal responsibility in human-AI systems, focusing on human-machine collaboration through the concept of hybrid intention. Hybrid intention exists when a human initiates a purposive course of conduct, the realisation of that purpose is constitutively mediated by an artificial system that contributes more than a mere instrument, and a limited yet assessable veto or control window is available to the human agent. A three-part attribution test follows from this structure and aligns with continental principles of legality and guilt while avoiding the personification of machines. The test directs courts to examine initiation, technological mediation and the existence and use of a control window, drawing on evidence of foreseeability, traceability and realistic opportunities to intervene. The paper develops the test through a hypothetical case study of surgical AI in which a hospital deploys an AI-assisted system for laparoscopic procedures and a manoeuvre based on real-time imaging results in a vascular injury. The framework provides court-usable criteria for present technologies and informs compliance by design for regulators and developers while preserving anthropocentric culpability and narrowing responsibility gaps in posthuman contexts.

ABSTRACT. The observation that children are widely present in the digital sphere may sound almost like a cliché today. Yet it remains a crucial starting point: as a vital part of society, children are inevitably present wherever human activity unfolds, including the online environment. Their participation in digital spaces is not marginal but structural, including fields like education, socialization, entertainment, and increasingly, civic engagement. This reality exposes them to a wide range of risks that are different from those encountered offline. These risks are not merely extension of traditional risks into new medium. As Pierre Lévy argues, the virtual does not signify the unreal, but rather a potential waiting to be actualized. This conceptualization offers an exact description of the threats that await children in the online sphere. Such risks are not merely imagined or hypothetical; they are embedded as latent possibilities within the very architecture of digital systems. Platform design, the circulation of data, and—most recently—the rapid expansion of artificial intelligence all embody these potentials. When children interact with these systems, the latent risks may become actualized as exposure to inter alia harmful content, profiling, or manipulation. Understanding threats as virtual in Lévy’s sense thus highlights the need to examine not only the moment of harm but also the structural conditions that make such harms possible, and to reconsider how responsibility and liability should be attributed in this socio‑technical environment. The paper aims to analyse how, in such a nuanced environment, responsibility for the occurrence of these risks should be allocated, particularly when artificial intelligence and its agents also emerge as relevant actors. The paper will be divided to 3 parts. In first there will be presented a conceptual basis on risks which can emerge for children in online environment. In the second part, the paper will examine possible concepts of attribution of liability for actualisation of risk in the online environment – whether is shall be human based, platform based, shared liability (including role of the parents) or systemic due diligence approach shall prevail. The last one will provide a conclusion on how effective regulation shall be built, which reflects the balance between children rights, privacy of users (and children) and right to protection from harm. The research question of the paper (and presentation) is therefore: How should responsibility for actualization of online risks to children be allocated and on which basis, to balance rights of different actors in the digital environment

ABSTRACT. The justice system requires technological advancement through AI tools, which the EU's AI Act regulates via regulatory sandboxes (Articles 57-60). These flexible frameworks allow tested AI deployment in high-risk settings, including judiciaries, though implementation varies significantly across Member States.

Three distinct approaches have emerged: lean structures (Lithuania, Spain) prioritizing conformity assessment; comprehensive systems (Netherlands, Ireland) with centralized access points; and less restrictive models (Germany, France) with distributed authority. Lithuania launched the first judicial AI sandbox in September 2025, while the Netherlands plans mid-2026 deployment.

AI is already deployed across EU justice systems in three ways: citizen-facing chatbots (Portugal's "Practical Guide to Justice"), risk-assessment tools (Spain's EPV-R for gender violence cases), and administrative analytics (Austria). These raise critical governance questions regarding transparency, fairness, and judicial independence.

The Czech regulatory framework presents specific challenges. At present, only a fintech sandbox operates as an advisory tool under private law. The draft implementation of the AI Act (Sections 13–15) introduces statutory regulatory sandboxes designed to allow AI testing with limited exemptions from certain legal obligations. In parallel, new comprehensive sandbox provisions under Section 63 of the Research and Innovation Act are expected to take effect in 2027; however, these explicitly exclude AI systems from their scope. This potential inconsistency will be examined in detail, as we assess both frameworks based on their efficiency, legal certainty, and protection of fundamental rights.

Key issues discussed in the contribution include whether regulatory sandboxes suit justice sectors directly and how Member States' implementations will determine sandbox applicability to judicial innovation testing.

ABSTRACT. Terms of Service are created by lawyers to define a contract’s provisions and resolve disputes. However, this does not meet the expectations of Internet users who want to quickly learn the conditions for the use of a service. Applying user-centered design and visual law techniques can adapt the presentation to the users’ expectations. Usability testing of the redesigned Facebook Terms of Service showed that its comprehensibility was significantly improved compared with the original documents. We argue that Terms of Service should be provided in two formats: one that is easy to understand for service users, and another that presents the legal provisions in a clear and concise manner for lawyers.

ABSTRACT. Digitale IDs sind eine zentrale Voraussetzung moderner Verwaltungsprozesse. Trotz der wei-terhin geltenden und durch eIDAS 2.0 angepassten eIDAS-Verordnung bestehen weiterhin rechtliche Unklarheiten in der technischen Spezifizierung. Die Analyse ordnet das europäi-sche Identitätsökosystem in fünf Technologietypen und zeigt, dass hardwarebasierte Systeme überwiegend hohe Datenschutzanforderungen erfüllen, während z.B. bestimmte Implementie-rungen verteilter Systeme im Widerspruch mit Prinzipien der DSGVO stehen (können). Die regulatorische Lücke liegt dabei weniger im Rechtsrahmen, sondern ist letztlich eine Folge fehlender technischer Spezifikationen und Prüfverfahren. Die EUDI Wallet verbindet etab-lierte Vertrauensdienste mit nutzerkontrollierten Nachweisen und initiiert den schrittweisen Übergang zu einer europäischen, interoperablen Identitätsinfrastruktur. Als Lösungsansätze werden die rasche Konkretisierung durch Implementing Acts und Common Specifications so-wie die Einrichtung eines EU-weiten Test- und Zertifizierungszentrums vorgeschlagen; ergän-zend werden adaptive regulatorische Ansätze über Pilotprojekte und Sandboxes empfohlen. Solche strategischen Anpassungen werden offene Spezifikationen und Standardisierungen in-nerhalb der europäischen Zertifizierungsstrukturen schließen und helfen somit die digitale ID Souveränität Europas konkret zu stärken.

ABSTRACT. While the eligibility-criterion for the Copyright protection has been harmonized through CJEU jurisprudence, and the interpretation of the concept of ‘substantial’ within the sui-generis protection under EU Database Directive 1996 – though seemingly clarified for the ‘eligibility criteria’ - remains doctrinally problematic regarding ‘scope’ of protection and the ‘renewal of duration’. This paper argues that the Directive's use of ‘substantially’ across three distinct legal contexts i.e. (i) substantial investment (eligibility), (ii) substantial part (scope/infringement), and (iii) substantial change (renewal) - requires its own interpretative criteria, rather than a unified, investment-based standard. The CJEU has tied the concept `of ‘substantiality’ for determining the scope of protection to the 'investment’ made to obtain the database right, therefore conflating the conceptually different standards of ‘eligibility’ and ‘scope’. While seemingly pragmatic, this conflation creates conceptual and practical inconsistencies. Such reasoning risks collapsing the distinction between investment-based eligibility and content-based use, undermining the Directive’s internal coherence. A more coherent approach would be to assess ‘substantiality’ of a part by reference to its capability to effect the normal exploitation of the database or prejudice to the legitimate interests of the database maker (as reflected in chapter III), while treating the ‘investment’ factor as an indicative factor. Moreover, the notion of ‘substantial change’ under Article 10(3) also warrants scholarly attention. The paper thus seeks to delineate the conceptual boundaries of ‘substantiality’ to enhance doctrinal clarity and to ensure a coherent balance with the exceptions under both Database Directive and the CDSM Directive.

ABSTRACT. The concept of originality constitutes a fundamental criterion for copyright protection, alongside the requirement that a work must be expressed in a perceptible form (STERLING, 2008, p. 328; KOUKAL, 2023). In the common law system, the requirement of originality is replaced by the criterion of sufficient labour and effort invested in the work (SAKSENA, 2009, p. 4). The continental legal system places greater emphasis on the stronger connection between the author and their work (NORDELL, 2002, p. 99). Particularly in French law, the notion of originality has undergone significant evolution, reflecting both doctrinal and judicial developments. Early scholarship, particularly HENRI DESBOIS’s subjective theory, linked originality to the author’s personality (DESBOIS, 1978, p. 6). French courts later refined this understanding, seeking balance between the subjective approach - focusing on the author’s personal imprint (Cour de Cassation, Chambre commerciale, No. 89-11.204, 25 March 1991) - and the objective approach, which stresses the work’s novel character (Cour de cassation, Chambre commerciale, No. 61-13.823, 23 March 1965; CARON, 2020, p. 88). This reconciliation was notably articulated in the Pachot decision of the Cour de cassation (Cour de Cassation, Assemblée plénière, No. 83-10.477, 7 March 1986), which emphasized the author’s effort, reflected in the scope for free creative activity, as the essence of originality (VIVANT, 2018, p. 289). At the European level, the Court of Justice of the European Union (CJEU) has harmonized the originality standard by defining it as “the author’s own intellectual creation,” a principle consistently reaffirmed in its case law (MARGONI, 2016). Recent CJEU decisions [Cofemel (C-683/17); Brompton Bicycle (C-833/18)] further clarify that this notion arises from the fusion of the author’s personal imprint and the exercise of free and conscious creative choices throughout the creation process. The dialogue between national and supranational understandings of originality demonstrates how EU copyright law transcends domestic notions while simultaneously drawing from them. The paper concludes by analysing the recent Opinion of Advocate General SZPUNAR in joined cases C-580/23 and C-795/23 (SZPUNAR, 2025, para. 30; DERCLAYE, 2025), which affirms that the EU concept of originality continues to be shaped by its French intellectual roots while evolving toward a more autonomous and harmonized European standard that could also be applicable to works produced with the assistance of AI systems.

ABSTRACT. Die rasante Entwicklung generativer KI-Systeme stellt das Urheberrecht vor neue Herausforderungen. Programme wie ChatGPT, Claude oder Midjourney können eigenständig Texte, Bilder und Musik erzeugen, doch die Frage, wer als Urheber:in solcher Werke gilt, bleibt bislang ungeklärt. In unserem Beitrag gehen wir der Frage nach, ob und unter welchen Voraussetzungen KI-generierte Inhalte urheberrechtlich geschützt sein können. Dabei beleuchten wir, welche Rolle die menschliche Mitwirkung bei der Schöpfung spielt und ob die derzeitigen gesetzlichen Regelungen, insbesondere das österreichische Urheberrechtsgesetz, ausreichend sind, um neue Formen kreativer Zusammenarbeit zwischen Mensch und Maschine zu erfassen. Darüber hinaus wird diskutiert, ob eine Zurechnung der Schöpfung an die KI-Nutzer, die Entwickler oder überhaupt an keine natürliche Person denkbar ist. Ziel des Beitrags ist es, einen Überblick über die aktuelle Rechtslage und die bestehenden Lücken zu geben sowie mögliche Reformansätze auf europäischer Ebene aufzuzeigen. Der Beitrag versteht sich als Versuch, das Spannungsfeld zwischen technologischem Fortschritt und urheberrechtlicher Systematik aus der Sicht zweier Studentinnen zu reflektieren.

ABSTRACT. Der Cyber Solidarity Act (CSA) schafft unionsweite operative Kapazitäten zur gemeinsamen Erkennung, Analyse und Bewältigung schwerwiegender Cybervorfälle, insbesondere durch das Warnsystem für Cybersicherheit und den Cybernotfallmechanismus. Dieser Beitrag untersucht, in welchem Verhältnis der CSA zu bestehenden Strukturen wie dem CSIRT-Netzwerk und EU-CyCLONe steht und inwiefern er sich in die Cybersicherheitsstrategie der EU einfügt, also ob er bestehende Kooperations- und Reaktionsmechanismen sinnvoll ergänzt.

ABSTRACT. Hochschulen, Behörden aber auch Unternehmen stehen vor der Herausforderung, die Informationssicherheit und das Bewusstsein darüber nicht nur bloß zu vermitteln, sondern dauerhaft im Alltag von Mitarbeitenden und Studierenden zu verankern. Diese Arbeit untersucht dabei verschiedene und kombinierte Ansätze aus der digitalen Sensibilisierung, Integration und praxisnaher Kommunikation, um die Sicherheitskultur an der Hochschule für öffentliche Verwaltung messbar zu beeinflussen. Dabei werden verschiedene Formate wie kurze Awareness-Filme, Lernmodule, begleitende studentische Projekte und auch Gewinnspiele hinsichtlich der Integrationsmöglichkeit, Akzeptanz und Wirksamkeit analysiert. Ziel ist es dabei die Entwicklung eines belastbaren Modells für eine nachhaltige und wirksame Awareness-Strategie im Hochschulkontext, welches über eine reine Kampagnenwirkung hinausgeht und dafür sorgt, dass die Sicherheitskultur als strategische Ressource der Hochschule gilt. Die Hochschule für öffentliche Verwaltung Kehl (Hochschule Kehl) bietet im Kontext der Informationssicherheit ein besonderes organisatorisches Umfeld, welches für die Wirksamkeit der vorgestellten Maßnahme ausschlaggebend ist, da die Informationssicherheit als Tandem-Modell zwischen Professorenschaft und der Verwaltung aufgebaut wird. Diese duale Struktur ermöglicht eine enge Verzahnung von Forschung, Lehre und der Verwaltung, wodurch es auch Studierenden in Form von verschiedenen Projekten ermöglicht wird, aktives Teil der Informationssicherheit zu werden. Zudem ist die Hochschule in dem landesweiten Arbeitskreis der Informationssicherheitsbeauftragten der Hochschulen des Landes Baden-Württemberg eingebunden, was den Vergleich, Erfahrungsaustausch und die Wirksamkeit verschiedener Maßnahmen begünstigt.

ABSTRACT. The adoption of Artificial Intelligence in the field of Digital Forensics facilitates the optimisation of the analysis of digital artefacts, which can be collected in a variety of formats (text, tables, images, and videos), as well as from diverse sources (datasets, networks, and devices). Recently, the widespread uptake of LLM (Large Language Models) appears to hold significant potentials also in this field, however concerns emerge relating to its technological limitations – distortions, hallucinations, data absorption – which can hinder law enforcement and compromise the balance between the rights of the defense and the powers of the judicial authorities. This paper addresses AI trustworthiness focusing on features inspired by quality compliance, proposing an experimental procedure that aims to create a training dataset and define a suitable methodology for assessing algorithms for forensic purposes. To this end, a fictitious criminal scenario is designed to generate a synthetic dataset of electronic evidence, which is prompted to assess the results of LLMs.