JAVASCRIPT
<h3>Was ist AI literacy (KI-Kompetenz)?</h3>
<p>AI literacy (Artikel 4 AI Act) ist die Pflicht für jeden Anbieter oder Betreiber von KI-Systemen, seinem Personal ein hinreichendes Niveau an KI-Verständnis zu sichern, angemessen zum Einsatzkontext.</p>
<p>Durchsetzbar seit 2. Februar 2025, Sanktionen anwendbar ab 2. August 2026, ohne Größenschwelle. Für <a href="https://letzagents.lu/de/solutions/rechtsanwaelte-notare">Rechtsanwaltskanzleien und Notare</a> ist die Dokumentation der KI-Schulungen eine Priorität. Quelle: <a href="https://artificialintelligenceact.eu/article/4/" rel="noopener">Artikel 4 AI Act</a>.</p>
<h3>Was ist der Digital Services Act (DSA)?</h3>
<p>Der DSA (EU-Verordnung 2022/2065) regelt digitale Vermittlungsdienste (Plattformen, Marktplätze, Suchmaschinen) mit Moderationspflichten, Transparenz der Empfehlungen und einem verschärften Regime für sehr große Plattformen.</p>
<p>Für ein KMU findet der DSA selten direkt Anwendung, betrifft aber jeden Akteur, der einen öffentlich sichtbaren KI-Chatbot oder KI-Inhalte auf einer abgedeckten Plattform veröffentlicht. Quelle: <a href="https://eur-lex.europa.eu/eli/reg/2022/2065/oj" rel="noopener">EU-Verordnung 2022/2065</a>.</p>
<h3>Was ist der Digital Markets Act (DMA)?</h3>
<p>Der DMA (EU-Verordnung 2022/1925) regelt die Torwächter (Gatekeeper), große strukturbildende digitale Plattformen, um die Bestreitbarkeit der digitalen Märkte zu sichern.</p>
<p>Zielgruppe sind benannte Gatekeeper (Alphabet, Amazon, Apple, Meta, Microsoft, ByteDance, Booking). Ein KMU, das auf Microsoft Copilot oder Google Workspace AI angewiesen ist, profitiert indirekt von den Interoperabilitätspflichten. Quelle: <a href="https://eur-lex.europa.eu/eli/reg/2022/1925/oj" rel="noopener">EU-Verordnung 2022/1925</a>.</p>JAVASCRIPT
<h3>Was ist das Schrems-II-Urteil?</h3>
<p>Das Schrems-II-Urteil (EuGH, C-311/18, 16. Juli 2020) hat das Privacy Shield für ungültig erklärt, weil die US-Überwachungsgesetze kein Schutzniveau gewährleisten, das dem der DSGVO gleichwertig ist.</p>
<p>Deshalb erfordert jede Übermittlung personenbezogener Daten in die USA ein gültiges DPF oder verstärkte Standardvertragsklauseln. Ausgangspunkt jeder Souveränitätsanalyse. Siehe unseren Anwendungsfall <a href="https://letzagents.lu/de/anwendungsfaelle/daten-mit-privater-ki-schuetzen">Daten mit privater KI schützen</a>. Quelle: <a href="https://curia.europa.eu/juris/liste.jsf?num=C-311/18" rel="noopener">Urteil C-311/18</a>.</p>
<h3>Was ist der Cloud Act?</h3>
<p>Der Cloud Act (H.R.4943, 23. März 2018) ist das US-Gesetz, das US-Behörden ermöglicht, einen Anbieter US-amerikanischer Nationalität zur Herausgabe der von ihm gehosteten Daten zu verpflichten, unabhängig vom physischen Hostingland, einschließlich eines EU-Rechenzentrums.</p>
<p>Ein US-KI-Anbieter bleibt auch mit einem Rechenzentrum in Dublin oder Frankfurt US-zugriffspflichtig. Strukturelles Argument für KI, die von einem nicht-US-amerikanischen Akteur gehostet wird. Siehe unseren <a href="https://letzagents.lu/de/blog/ai-act-cloud-act-dsgvo-ki-unternehmen-luxemburg">Vergleich DSGVO, Cloud Act und AI Act</a>. Quelle: <a href="https://www.congress.gov/bill/115th-congress/house-bill/4943" rel="noopener">H.R.4943</a>.</p>
<h3>Was ist das Data Privacy Framework (DPF)?</h3>
<p>Das DPF (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023) erlaubt die Übermittlung personenbezogener Daten aus der EU an DPF-zertifizierte US-Unternehmen, unter Zusagen zur Begrenzung des Zugriffs durch US-Behörden.</p>
<p>Die Prüfung der DPF-Zertifizierung eines US-Anbieters ist eine operative Voraussetzung. Sie bedeutet keine Immunität gegenüber dem Cloud Act. Das DPF steht unter gerichtlicher Beobachtung, mehrere Klagen sind beim Gericht der EU anhängig. Quelle: <a href="https://cnpd.public.lu/de/dossiers-thematiques/transferts-internationaux-donnees-personnelles/transferts-usa.html" rel="noopener">CNPD-Dossier USA-Übermittlungen</a>.</p>JAVASCRIPT
<h3>Was ist NIS2?</h3>
<p>NIS2 (EU-Richtlinie 2022/2555) ist die europäische Cybersicherheitsrichtlinie, die den Anwendungsbereich von NIS1 auf weitere Sektoren ausdehnt (Gesundheit, Handel, Verwaltung, digitale Dienste) und die Pflichten zum Risikomanagement und zur Meldung von Vorfällen verschärft.</p>
<p>Die luxemburgische Umsetzung läuft. Betrifft "wesentliche" und "wichtige" Einrichtungen ab der Schwelle eines mittelgroßen Unternehmens. Ein KI-Einsatz innerhalb einer NIS2-Einrichtung erbt die damit verbundenen Cyber-Pflichten. <a href="https://letzagents.lu/de/solutions/oeffentliche-einrichtungen">Para-öffentliche Einrichtungen und Verwaltungen</a> sind besonders betroffen. Quelle: <a href="https://eur-lex.europa.eu/eli/dir/2022/2555/oj" rel="noopener">EU-Richtlinie 2022/2555</a>.</p>
<h3>Was ist der Data Act?</h3>
<p>Der Data Act (EU-Verordnung 2023/2854) betrifft den fairen Zugang zu Daten, die von vernetzten Geräten und digitalen Diensten erzeugt werden, verpflichtet zum Teilen mit dem Nutzer und regelt B2B-Verträge.</p>
<p>Anwendbar seit 12. September 2025. Betrifft KMU, die vernetzte Geräte herstellen oder einsetzen (Industrie, vernetzte Gesundheit, Versicherungstelematik). Quelle: <a href="https://eur-lex.europa.eu/eli/reg/2023/2854/oj" rel="noopener">EU-Verordnung 2023/2854</a>.</p>
<h3>Was ist der Data Governance Act (DGA)?</h3>
<p>Der DGA (EU-Verordnung 2022/868) schafft einen Rahmen für die Wiederverwendung geschützter Daten des öffentlichen Sektors sowie für Datenvermittlungsdienste (europäische Datenräume).</p>
<p>Anwendbar seit 24. September 2023. Nützlich für ein KMU, das über europäische Datenräume auf sektorspezifische Daten (Gesundheit, Mobilität, Finanzen) zugreifen möchte. Quelle: <a href="https://eur-lex.europa.eu/eli/reg/2022/868/oj" rel="noopener">EU-Verordnung 2022/868</a>.</p>JAVASCRIPT
<div class="article-table">
<table>
<caption>Zuständige luxemburgische Behörden je Text</caption>
<thead>
<tr>
<th scope="col">Text</th>
<th scope="col">Hauptbehörde</th>
<th scope="col">Geltungsbereich</th>
</tr>
</thead>
<tbody>
<tr>
<td>AI Act</td>
<td>CNPD (Gesetzentwurf Nr. 8476)</td>
<td>KI-Systeme, Regulierungssandbox</td>
</tr>
<tr>
<td>DSGVO, DPF, Schrems II</td>
<td>CNPD</td>
<td>Personenbezogene Daten, internationale Übermittlungen</td>
</tr>
<tr>
<td>DORA</td>
<td>CSSF</td>
<td>Finanzakteure, PSF, Vermögensverwalter</td>
</tr>
<tr>
<td>NIS2</td>
<td>HCPN und sektorale Behörden</td>
<td>Wesentliche und wichtige Einrichtungen</td>
</tr>
<tr>
<td>DSA, DMA, Data Act, DGA</td>
<td>Ministerium für Digitalisierung und ILR</td>
<td>Plattformen, Gatekeeper, Datenteilung</td>
</tr>
</tbody>
</table>
</div>JAVASCRIPT
<details>
<summary>1. Welches Schlüsseldatum gilt für den AI Act in Luxemburg?</summary>
<p>Der 2. August 2026 markiert die volle Anwendbarkeit des Hochrisiko-Regimes des AI Act (EU-Verordnung 2024/1689). Die Sanktionen werden anwendbar, auch für die AI literacy, die seit dem 2. Februar 2025 durchsetzbar ist. Die CNPD ist die Referenzbehörde. Die Compliance vorzubereiten ist keine Option, sondern eine Kalenderpflicht.</p>
</details>
<details>
<summary>2. Was ist der Unterschied zwischen DSGVO und AI Act?</summary>
<p>Die DSGVO (EU-Verordnung 2016/679) regelt seit 2018 die Verarbeitung personenbezogener Daten. Der AI Act (EU-Verordnung 2024/1689) regelt KI-Systeme in 4 Risikokategorien. Die beiden überlagern sich: Eine KI, die personenbezogene Daten verarbeitet, fällt unter beide Regime. Die CNPD ist für beide die nationale Behörde.</p>
</details>
<details>
<summary>3. Was bedeutet der Cloud Act für ein europäisches Unternehmen?</summary>
<p>Der Cloud Act (H.R.4943, 23. März 2018) erlaubt US-Behörden, einen Anbieter US-amerikanischer Nationalität zur Herausgabe der von ihm gehosteten Daten zu zwingen, auch in einem EU-Rechenzentrum. Ein US-KI-Anbieter bleibt mit einem Rechenzentrum in Dublin oder Frankfurt US-zugriffspflichtig. Das ist das strukturelle Argument für KI, die von einem nicht-US-amerikanischen Akteur für sensible Verarbeitungen gehostet wird.</p>
</details>
<details>
<summary>4. Reicht die DPF-Zertifizierung aus, um eine US-KI zu nutzen?</summary>
<p>Die DPF-Zertifizierung erlaubt seit dem 10. Juli 2023 die Übermittlung aus der EU an einen zertifizierten US-Anbieter. Sie neutralisiert nicht den Cloud Act: Eine US-Behörde kann die Daten weiterhin vom Anbieter verlangen. Das DPF steht unter gerichtlicher Beobachtung. Die Zertifizierung zu prüfen ist eine Voraussetzung, ersetzt jedoch keine Souveränitätsanalyse.</p>
</details>
<details>
<summary>5. Was bedeutet die NIS2-Richtlinie für ein luxemburgisches KMU?</summary>
<p>NIS2 (EU-Richtlinie 2022/2555) ist die europäische Cybersicherheitsrichtlinie, die derzeit in Luxemburg umgesetzt wird. Sie betrifft "wesentliche" und "wichtige" Einrichtungen (Gesundheit, Handel, Verwaltung, digitale Dienste), ab der Schwelle eines mittleren Unternehmens. Ein KI-Einsatz innerhalb einer NIS2-Einrichtung erbt die Pflichten zur Cybersicherheit und zur Meldung von Vorfällen. Den Geltungsbereich zu prüfen ist eine Voraussetzung für jedes sensible KI-Projekt.</p>
</details>
