use_caseArticlemaschinenlesbar

Spam- und Schadsoftware-Filterung: Risikoklasse und Pflichten im EU-KI-Recht

MenschMarkdown öffnen

KI-gestützte Spam- und Schadsoftware-Filterung (E-Mail-/Nachrichten-Filter, Antiviren-KI, Bot-Erkennung) ist nach dem AI Act KI mit MINIMALEM RISIKO — keine Konformitätsbewertung, keine CE, keine AI-Act-Pflicht. Die Anwendung gehört zum breiten Kreis der minimal-risk-KI und ist Verteidigungsinfrastruktur. Überlagert: Telekommunikationsgeheimnis (TKG § 88, § 90) — bei E-Mail-/Nachrichtenverarbeitung, strenge Anforderungen an Inhaltsauswertung; DSGVO (personenbezogene Nachrichteninhalte, Auftragsverarbeitung); Cyber Resilience Act für Sicherheitsprodukte. Eine Grenze zum Hochrisiko entsteht nicht — reine Filterung bleibt minimal. Praktisch: DSGVO-/TK-konforme Verarbeitung, klare Zweckbindung, Datenminimierung.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
minimal

Minimales Risiko — Verteidigungsinfrastruktur

Spam-/Schadsoftware-Filterung ist minimal riskant. Beispiele: E-Mail-Spam-Filter (Bayes-/KI-Klassifikation), Antiviren-KI, Bot-Erkennung, Phishing-Erkennung, Netzwerk-Anomalie-Detection zur Abwehr. Keine Konformitätsbewertung, keine CE, keine AI-Act-Pflicht — die Anwendung ist defensive Infrastruktur und gehört zum breiten Kreis der minimal-risk-KI. Der AI Act regelt diese Anwendung nicht. Eine Grenze zum Hochrisiko entsteht praktisch nicht — reine Filterung/Erkennung zur Abwehr bleibt minimal, auch wenn sie in kritischer IT-Infrastruktur läuft (diese IT-Infrastruktur selbst kann nach Anhang III Nr. 2 hochriskant sein, die Filterung als Abwehr-Komponente nicht zwingend).

tk geheimnis

TK-Geheimnis und DSGVO

Überlagert: Telekommunikationsgeheimnis (TKG § 88, § 90) — bei geschäftsmäßiger E-Mail-/Nachrichtenverarbeitung; Inhaltsauswertung zur Spam-Erkennung ist zulässig, aber unter strengen Anforderungen (Zweckbindung, keine inhaltliche Kenntnisnahme durch Personen, Löschpflicht). DSGVO: personenbezogene Nachrichteninhalte (Absender, Betreff, Inhalt), Auftragsverarbeitung mit Filterdienst-Anbieter (Art. 28), Zweckbindung (nur Filterung, keine sekundäre Auswertung), Datenminimierung, Löschkonzept. Cyber Resilience Act: regelt Sicherheit von Produkten mit digitalen Elementen, betrifft Antiviren-/Sicherheitssoftware als Produkt. Berufsgeheimnisse bei sensiblen Inhalten (Anwalts-/Ärzte-/Steuergeheimnis) — besondere Schutzvorkehrungen.

praxis

Praxis: Defensive AI und Adversarial

Praktisch sind Spam-/Schadsoftware-Filter ein Standardfall defensiver KI. Herausforderungen: Adversarial Attacks (gezielte Umgehung der Filter), Model Evasion, neue Spam-/Malware-Varianten. Schutz: kontinuierliches Training, Red-Teaming, Kombination mit Signatur-/heuristischen Verfahren. Eine saubere Architektur trennt Filterung (automatisch) von inhaltlicher Kenntnisnahme (durch Personen, nur bei begründetem Verdacht, dokumentiert). Für Anbieter von Filter-/Sicherheitslösungen bedeutet das: TK-Geheimnis-konforme Architektur, DSGVO-konforme Auftragsverarbeitung, klare Dokumentation, regelmäßige Sicherheits-Audits. Die Cybersecurity-Profession hat hier eine etablierte Praxis, die der AI Act nicht verändert.

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.

European Data Protection Board (EDPB)

EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.

Datenschutzkonferenz (DSK)

DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.

Der Bundesbeauftragte für Datenschutz (BfDI)

BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.

Rat für Künstliche Intelligenz (Österreich)

Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.

FAQ

Häufige Fragen

Welche Risikostufe hat Spam-/Malware-Filterung?

Minimal (keine AI-Act-Pflicht). Defensive Infrastruktur, breiter Kreis der minimal-risk-KI. Eine Grenze zum Hochrisiko entsteht praktisch nicht.

Greift das TK-Geheimnis?

Ja bei E-Mail-/Nachrichtenverarbeitung (TKG § 88, § 90). Inhaltsauswertung zur Spam-Erkennung zulässig, aber unter strengen Anforderungen (Zweckbindung, keine inhaltliche Kenntnisnahme durch Personen).

Welche adversarialen Risiken bestehen?

Gezielte Umgehung der Filter (Adversarial), Model Evasion, neue Varianten. Schutz: kontinuierliches Training, Red-Teaming, Kombination mit Signatur-/heuristischen Verfahren.

Compliance für deinen Fall

Rechtskonforme Umsetzung für Spam- und Schadsoftware-Filterung?

Wenn du Spam- und Schadsoftware-Filterung rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.

Jetzt beraten lassen
Related