Autor: Trenchant

NIS-2-Betroffenheit: Auch der aktuelle Entwurf des Umsetzungsgesetzes vom 26. Mai 2025 ist nicht richtlinienkonform

Posted on by Trenchant

NIS-2-Betroffenheit: Auch der aktuelle Entwurf des Umsetzungsgesetzes vom 26. Mai 2025 ist nicht richtlinienkonform

NIS-2-Richtlinie: Seit nunmehr 2 1/2 Jahren wird in Berlin über die richtige Umsetzung der NIS-2-Richtlinie zur Cybersicherheit diskutiert. Auch die neue Bundesregierung schafft es in ihrem aktuellen Entwurf vom 26. Mai 2025 nicht, im Hinblick auf die Betroffenheit Rechtssicherheit herzustellen.

Stand der Dinge

Nachdem in Berlin das Gesetzgebungsverfahren zur Umsetzung der NIS-2-Richtlinie (EU) in deutsches Recht in der vergangenen Legislaturperiode nicht abgeschlossen werden konnte, hat das Bundesministerium des Innern (BMI) am 26.05.2025 einen neuen Bearbeitungsstand veröffentlicht.

Bemerkenswert ist, dass auch dieser trotz Kritik aus der Anwaltschaft weiterhin in einem wesentlichen Punkt nicht richtlinienkonform ausgestaltet ist und damit zu erheblichen rechtlichen Unsicherheiten führt.

Worum geht es:

Nach der NIS-2-Richtlinie liegen bestimmte Unternehmen benannter Sektoren

Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von B2B-IKT-Diensten und Weltraum mit

a) mindestens 50 Mitarbeitenden oder

b) mehr als 10 Mio. Euro Jahresumsatz und mehr als 10 Mio. Euro Jahresbilanzsumme

als „wichtige Einrichtungen“ im Anwendungsbereich der NIS-2-Richtlinie (dort Anhang I).

Nicht relevant ist, ob es sich bei der Tätigkeit (z.B. Erzeugung von Elektrizität – Anhang I Ziffer 1. a)) um die Haupttätigkeit des Unternehmens handelt oder nur um eine Nebentätigkeit.

So kann schon der Betrieb einer einzigen Photovoltaik-Anlage für eigene Zwecke zur Anwendbarkeit der rechtlichen Vorgaben zur IT-Sicherheit führen, wenn die oben genannten Schwellwerte (Mitarbeiterzahl oder Umsatz/Bilanzsumme) im Unternehmen insgesamt erreicht werden. Das gilt auch dann, wenn das betreffende Unternehmen in ihrer Haupttätigkeit überhaupt nichts mit den genannten Sektoren zu tun hat.

Was sagt nun der Entwurf des Umsetzungsgesetz vom 26.05.2025:

„Bei der Bestimmung von Mitarbeiterzahl, Jahresumsatz und Jahresbilanzsumme ist auf die der Einrichtungsart zuzuordnenden Geschäftstätigkeit abzustellen.“

Die Gesetzesbegründung macht es noch deutlicher:

Bei der Bestimmung der maßgeblichen Mitarbeiterzahlen und des Umsatzes sind nur diejenigen Teile der Einrichtung einzubeziehen, die tatsächlich im Bereich der in den Anlagen 1 und 2 genannten Definitionen der Einrichtungskategorien tätig sind, Querschnittsaufgaben wie beispielsweise Personal, Buchhaltung etc. sind hierbei anteilig zu berücksichtigen. Hierdurch wird sichergestellt, dass Einrichtungen, die insgesamt die Größenschwelle für Mitarbeiteranzahl, Jahresumsatz oder Jahresbilanzsumme überschreiten, deren hauptsächliche Geschäftstätigkeit jedoch nicht einer Einrichtungskategorie gemäß Anlage 1 oder 2 dieses Gesetzes zuzuordnen ist, nicht in unverhältnismäßiger Weise erfasst werden.

Hiernach wäre das Unternehmen von NIS-2 nicht betroffen, wenn der Bereich, der sich mit der Erzeugung der Elektrizität beschäftig, die Kennzahlen nicht erreicht.

Was bedeutet das nun:

Das mag aus Sicht der Wirtschaft äußerst begrüßenswert sein, ändert aber nichts daran, dass diese Art der Berechnung europarechtswidrig ist. Sie verkennt die Systematik der NIS-2-Richtlinie. Die Schwellenwerte sind kein Indiz für die Kritikalität der Einrichtung. Sie soll vielmehr eine faire Lastenverteilung gewährleisten und kleine und Kleinstunternehmen mit der Umsetzung nicht überfordern. Falls der deutsche Gesetzgeber dabei bleibt, droht diese Einschränkung an einer europarechtskonformen Auslegung zu scheitern. Aus rechtlicher Sicht ist daher zu empfehlen, sich an die klaren Vorgaben der NIS-2-Richtlinie zu halten.

Was sollten Betroffene tun:

  • Für alle Unternehmen gilt, dass sie vor dem Hintergrund des Aktiengesetzes, des GmbH-Gesetzes bzw. des HGB zum angemessenen Management ihrer Risiken verpflichtet sind. An Unternehmen, die in „kritischen“ Sektoren tätig sind, werden schon hieraus höhere Anforderungen zu stellen sein, als an andere. Sollte der Reifegrad eines Risikomanagementsystems nicht dem der ISO/IEC27001 oder der NIS-2-Regulierung genügen, sollte das Gap effektiv und effizient zu schließen sein.
  • Für bestimmte Arten grenzüberschreitender Dienste wie z.B. Anbietern von Cloud-Computing-Diensten (auch Inter-Compay) oder Anbietern von Rechenzentrumsdiensten gilt: Seit November 2024 ist die NIS-2-Durchführungsverordnung („NIS-2-VO“) unmittelbar anwendbar. Für diese Dienste ist im Hinblick auf die Betroffenheit allein die NIS-2-Richtlinie einschlägig.
  • Für andere Sektoren gilt: Die NIS-2-VO hält einen Katalog von Anforderungen an die IT-Sicherheit der Unternehmen bereit, den ich als Rechtsanwältin und Information-Security-Officer TÜV mit den Anforderungen („Controls“) der ISO/IEC 27001 gemappt habe. Es hat sich herausgestellt, dass ein wesentlicher Teil der Anforderungen der NIS-2-VO unter bestimmten Bedingungen mit dem „Werkzeug ISO/IEC 27001/2“ gut umgesetzt werden kann. Da es nach dem Inkrafttreten des deutschen NIS-2-Umsetzungsgesetzes keine weitere Übergangsfrist mehr geben dürfte und die Wahrscheinlichkeit groß ist, dass die Anforderungen aus der NIS-2-VO mehr oder weniger durch den Bundesgesetzgeber entsprechend übernommen werden, empfiehlt sich die Nutzung der Durchführungsverordnung zur Vorbereitung.

IT-Sicherheits-Rechtsberatung

Bei der NIS-2-Richtlinie, der NIS-2-VO und dem Umsetzungsgesetz handelt es sich um Gesetze, die – anders als internationale Normen wie die ISO/IEC 27001 – in einem komplexen digitalrechtlichen Kontext stehen und an zahlreichen Stellen einer europarechtskonformen Auslegung durch Rechtsanwälte bedürfen. Dabei ist zu beachten, dass sie als Teil des öffentlich-rechtlichen Sicherheitsrechts nicht dem Schutz der Unternehmen vor Bußgeldern oder der Förderung ihrer Marktchancen dienen (so ISO/IEC 27001), sondern allein die kontinuierliche Verfügbarkeit kritischer Dienste und Infrastrukturen im Falle von Cybervorfällen sicherstellen.

EU-Rechtsakt zur Förderung von Cloud-Kapazitäten und KI-Entwicklung

Posted on by Trenchant

EU-Rechtsakt zur Förderung von Cloud-Kapazitäten und KI-Entwicklung – Mehr als GAIA-X 2.0

Die Europäische Kommission plant einen neuen Rechtsrahmen zur Förderung nachhaltiger Rechenzentren und sicherer Cloud-Dienste. Ziel ist es, Europas digitale Souveränität und Wettbewerbsfähigkeit zu stärken – insbesondere im Hinblick auf KI-Anwendungen.

Ziel und Hintergrund

Am 9. April 2025 stellte die EU-Kommission einen ehrgeizigen „Aktionsplan“ für einen europäischen KI-Kontinent vor, dessen Ziel es ist, auf dem Gebiet der künstlichen Intelligenz weltweit führend zu werden – und das am besten auf Basis digitaler Souveränität. Als Hemmnis für dieses Ziel wurde u.a. das zunehmende Ungleichgewicht zwischen dem wachsenden Bedarf und den aktuell verfügbaren Rechenkapazitäten in der EU ausgemacht. Während die USA und China bei Rechenzentren führend sind, besteht in Europa erheblicher Nachholbedarf. So will die Kommission nun ein Netz von KI-Fabriken aufbauen – ein gutes Dutzend davon sollen bereits im Umfeld weltweit führender Supercomputer in Europa in der Entstehung sein. Im „Kompass für Wettbewerbsfähigkeit“ kündigte die EU zudem die Einrichtung von KI-Gigafabriken an, sofern dies für erforderlich erachtet wird. Ein entsprechender „Call for expression of interest“ läuft bereits: 

https://eurohpc-ju.europa.eu/document/download/47492db7-592e-4ad8-b672-9c822f94afa0_en?filename=AI%20GIGAFACTORIES%20CONSULTATION.pdf

Um Anreize für Investitionen des Privatsektors in Cloud-Kapazitäten und Rechenzentren zu schaffen, schlägt die Kommission zudem einen „Rechtsakt über Cloud- und KI-Entwicklung“ vor.

Inhalte des geplanten Rechtsaktes

Das Vorhaben zielt darauf ab, den derzeit ungünstigen Bedingungen für den Privatsektor für den Aufbau von Rechenkapazitäten abzuhelfen. Dabei stehen nicht nur technische, sondern auch rechtliche und wirtschaftliche Rahmenbedingungen im Fokus. Im Einzelnen geht es um

  • die Förderung von Forschung und Innovation zur Verbesserung des Energiemanagements, der Kühlung, des allgemeinen Betriebs und der Integration in Energie- und Wasserversorgungssysteme zur Errichtung effizienter und nachhaltiger Rechenzentren;
  • Anreize und Unterstützung von Investitionen in nachhaltige Rechenzentren durch Abbau von Hürden wie langen Genehmigungszeiten und Schwierigkeiten beim Zugang zu Energie, Wasser, Grund und Boden sowie Kapital und durch Bereitstellung möglicher finanzieller Unterstützung;
  • die Schaffung hochsicherer, in der EU angesiedelter Cloud-Kapazitäten für bestimmte hochkritische Anwendungsfälle, etwa im Bereich kritischer Infrastrukturen.

Regulierungsoptionen und Konsultationsprozess

Die Kommission prüft aktuell verschiedene Regulierungsoptionen – von unverbindlichen Leitlinien über eine Richtlinie bis hin zu einer umfassenden Verordnung mit zentraler Durchsetzungsbehörde. Die bevorzugte Option soll dabei nicht nur für einheitliche Mindeststandards sorgen, sondern auch gemeinsame Investitionen der Mitgliedstaaten in ein europäisches Cloud-Ökosystem ermöglichen.

Für IT-Unternehmen und industrielle Anwender ergeben sich hieraus potenziell weitreichende Veränderungen – nicht nur in der Nutzung von Cloud- und KI-Diensten, sondern auch bei der Auswahl von Anbietern, der Planung eigener Infrastrukturprojekte und der Integration in europäische Wertschöpfungsketten. Auch rechtlich ist mit neuen Anforderungen und Kooperationsmöglichkeiten zu rechnen, etwa bei der Vergabe öffentlicher Aufträge, der Nutzung von Fördermitteln oder der Umsetzung von Nachhaltigkeitsvorgaben.

Im Laufe des Jahres 2025 wird eine umfassende Folgenabschätzung durchgeführt, bei der auch Unternehmen und Stakeholder zur Mitwirkung eingeladen sind. Für Akteure aus der Digitalwirtschaft empfiehlt es sich, diese Entwicklung aktiv zu begleiten – nicht zuletzt, um die eigenen Interessen frühzeitig einzubringen und sich auf kommende regulatorische Anforderungen vorzubereiten.

Vergleich Europäische Cloud vs. EU-Rechtsakt zu Cloud- und KI-Infrastruktur

Weiterführende Links:

Möglichkeit zur Einsicht in das Papier und zur Mitwirkung (Call for evidence): 
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14628-Cloud-and-AI-Development-Act_en

Aktionsplan der EU für einen KI-Kontinent:
https://ec.europa.eu/commission/presscorner/detail/de/ip_25_1013

Web-Crawling vs. Urheberrecht

Posted on by Trenchant
Web-Crawling vs. Urheberrecht

KI-Trainingsdaten aus dem Netz
Web-Crawling vs. Urheberrecht –
1:0 für Innovation

Für das grundlegende Training von KI-Modellen bedarf es einer möglichst großen Menge qualitativ hochwertiger Daten. Diese können von Datenplattformen bezogen oder aus dem Internet generiert werden. Letzteres, auch Web-Crawling oder Data Mining genannt, ging bisher für Unternehmen mit erheblichen rechtlichen Unsicherheiten einher, denn die im Internet verfügbaren Bilder und Texte (Werke) sind im Grundsatz erstmal urheberrechtlich geschützt, ihre Nutzung von der Zustimmung des Urhebers abhängig.

Rechtliche Grundlagen

Verfassungsrechtliche Grundlagen des Urheberrechts sind Art. 14 Abs. 1 GG und Art. 17 Satz 1 EU-Grundrechtscharta (GRCh), die den Schutz des Eigentums gewährleisten. Allerdings unterliegt dieses Recht Schranken, da gemäß Art. 14 Abs. 2 GG und Art. 17 Satz 3 GRCh Eigentum auch der Allgemeinwohlverpflichtung unterliegt. Entsprechend müssen Ausnahmen die Entwicklung und den Einsatz neuer Technologien zum gesellschaftlichen Nutzen rechtlich sicher ermöglichen und gewährleisten, siehe auch EuGH, Urteil vom 05.06.2014 – C-360/13. Gewicht hat in diesem Zusammenhang zudem das Grundrecht der unternehmerische Freiheit der KI-Trainer aus Art. 12 GG und Art. 16 GRCh, das mit dem Urheberrecht in Ausgleich zu bringen ist ➡ Grundrechtsabwägung

Um in der Privatwirtschaft Innovationen anzuregen, definierte die EU im Jahr 2019 darauf basierend mit der so genannten DSM-Richtlinie (Richtlinie (EU) 2019/790) den Begriff des Text und Data Mining und legte Ausnahmen vom Urheberrechtsschutz fest. Dem unternehmerischen KI-Trainer wurde ohne Zustimmung des Urhebers ermöglicht, Kopien der Werke anzufertigen und so lange wie zum Zweck des Text und Data Mining erforderlich aufzubewahren. 

Umsetzung der Richtlinie in deutsches Recht

Die Richtlinie wurde mit Wirkung zum 07.06.2021 in Deutschland umgesetzt:

§ 44b UrhG

(1) Text und Data Mining ist die automatisierte Analyse von einzelnen oder mehreren digitalen oder digitalisierten Werken, um daraus Informationen insbesondere über Muster, Trends und Korrelationen zu gewinnen.

(2) Zulässig sind Vervielfältigungen von rechtmäßig zugänglichen Werken für das Text und Data Mining. Die Vervielfältigungen sind zu löschen, wenn sie für das Text und Data Mining nicht mehr erforderlich sind.

(3) Nutzungen nach Absatz 2 Satz 1 sind nur zulässig, wenn der Rechtsinhaber sich diese nicht vorbehalten hat. Ein Nutzungsvorbehalt bei online zugänglichen Werken ist nur dann wirksam, wenn er in maschinenlesbarer Form erfolgt.

Der Wortlaut des § 44b UrhG scheint auf den ersten Blick eindeutig. Tatsächlich gibt es aber auch hier eingehende Diskussionen. Ein wesentlicher Aspekt ist, dass eine wichtige europarechtliche Vorgabe zum Schutz der Urheber vom deutschen Gesetzgeber nicht umgesetzt wurde. Aus Art. 5 Abs. 5 InfoSoc-RiLi iVm Art. 7 Abs. 2 S. 1 DSM-RiLi ergibt sich: 

➡ § 44b UrhG darf „nur in bestimmten Sonderfällen angewandt werden, in denen die normale Verwertung des Werks oder des sonstigen Schutzgegenstands nicht beeinträchtigt wird und die berechtigten Interessen des Rechtsinhabers nicht ungebührlich verletzt werden.“

Klarstellungen des Landgericht Hamburg

  1. Die Berufung des Urhebers auf Art. 5 Abs. 5 InfoSoc-RiLi iVm Art. 7 Abs. 2 S. 1 DSM-RiLi mit der Behauptung, dass Text und Data Mining immer zu einer ungebührlichen Verletzung der Interessen des Rechtsinhabers führt, überzeugte das Gericht nicht. Beim Zusammenstellen des Trainigssatzes (1. Handlung) mag die Nutzung zur Herstellung eines konkurrierenden Werks zwar angestrebt sein, absehbar ist aber weder, ob das Training (2. Handlung) erfolgreich sein wird, noch welche konkreten Inhalte mit der trainierten KI generiert  werden (3. Handlung). Bei der Bewertung der Rechtmäßigkeit der Vervielfältigungshandlung zum Zweck der Erstellung des Trainingsdatensatzes könne es wegen der anderenfalls entstehenden Rechtsunsicherheit allein auf den Einfluss dieser Handlung auf die Rechtsposition des Urhebers ankommen und dieser sei nicht ungebührlich. Jede andere Bewertung würde dem Zweck der Innovationsförderung gänzlich zuwiderlaufen. Die Risiken für KI-Trainer wären schlicht nicht akzeptabel. 
  2. Eine in der juristischen Literatur teilweise geforderte einschränkende Auslegung (teleologische Reduktion) dahingehend, dass mit § 44b Abs. 1 UrhG nur die Erschließung der „in den Daten verborgenen Information“, nicht aber die Nutzung des „Inhalts der geistigen Schöpfung“ ausnahmsweise erlaubt sei, überzeugt nach Auffassung des Gerichts nicht, weil eine hinreichend rechtssichere Abgrenzung der verborgenen Informationen von dem Inhalt der geistigen Schöpfung nicht möglich ist. 
  3. Davon abgesehen habe der europäische Gesetzgeber mit Art. 53 Abs. 1 lit. c) KI-VO unzweifelhaft zum Ausdruck gebracht, dass die Erstellung von zum Training künstlicher neuronaler Netze bestimmten Datensätzen durch Text und Data Mining grundsätzlich zulässig ist, wenn a) der Urheber nicht in maschinenlesbarer Form einen diesbezüglichen Vorbehalt erklärt hat (§ 44b Abs. 3 UrhG), b) die normale Verwendung des Schutzgegenstandes nicht beeinträchtigt wird und c) die berechtigten Interessen des Rechtsinhabers nicht ungebührlich verletzt werden, s.o.

Fazit

Das Landgericht Hamburg hat sich in diesem ersten deutschen Urteil zum Thema

Text und Data Mining zum Zweck des KI-Training

deutlich zum Erfordernis der Rechtsklarheit zu Gunsten der Innovation bekannt. Einschränkungen dieser Technologie müssen für Entwickler so klar sein, dass rechtliche Risiken erkannt und bewertet werden können.

Quellen

LG Hamburg, Urt. v. 27.09.2024 – 310 O 227/23
EuGH, Urt. v. 05.06.2014, Az. C-360/13, Rn. 43 
EuGH, Urt. v. 16.07.2009, Az. C-5/98

  • Richtlinie 2001/29/EG des EP und des Rates vom 22.5.2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft (InfoSoc-RiLi)
  • Richtlinie (EU) 2019/790 des EP und des Rates vom 17.4.2019 über das Urheberrecht und die verwandten Schutzrechte im digitalen Binnenmarkt und zur Änderung der Richtlinie 96/9/EG und 2001/29/EG (DSM-RiLi)

Data Act – Datenzugang und Geschäftsgeheimnisse

Posted on by Trenchant

Data Act – Machen Sie aus Daten Geschäftsgeheimnisse

Nach einem mehrjährigen Gesetzgebungsprozess ist am 11.01.2024 der Data Act (DA) in Kraft getreten. Er gilt in seinen wesentlichen Teilen ab dem 12.09.2025. Von besonderer Bedeutung für Hersteller von Produktionsmaschinen, Medizingeräten oder anderen vernetzten Produkten ist der Schutz von Geschäftsgeheimnissen. Auf diesen werden sich nur gut vorbereitete Unternehmen erfolgreich berufen können.

Um welche Daten geht es?


Es geht um Daten, die bei der Nutzung vernetzter Produkte entstehen und von datengenerierenden Sensoren oder Systemen erfasst werden. Außerdem geht es um Daten von sogenannten „verbundenen Diensten“. Interessant sind solche Daten, weil mit ihnen komplementäre Leistungen erbracht oder KI-Modelle trainiert werden können. Soweit der DA nun anordnet, dass der Nutzer der Maschine oder des Geräts die Bereitstellung dieser Daten an sich oder an einen Dritten verlangen kann, ist das wettbewerbsrechtlich relevant. Aus diesem Grund hat der Gesetzgeber dem Hersteller gewisse Möglichkeiten an die Hand gegeben, sich zu schützen. Unter engen Voraussetzungen kann der Hersteller die Bereitstellung der Daten unter Berufung auf das Geschäftsgeheimnisgesetz (GeschGehG) verweigern.

Was sind überhaupt Geschäftsgeheimnisse?


Bis zum 25.04.2019 waren im „geschäftlichen Verkehr anvertraute Vorlagen oder Vorschriften technischer Art“ (Geschäftsinformationen) per Gesetz geschützt. Die unbefugte Verwendung oder Mitteilung an Dritte war strafbar. Vertraulichkeitsvereinbarungen mit Kunden oder Lieferanten umfassten, wenn sie überhaupt geschlossen wurden, alle übergebenen oder offengelegten Informationen (catch-all-Vereinbarung). Besondere Schutzmaßnahmen, wie z.B. die verschlüsselte Übertragung oder Speicherung, waren selten Gegenstand der Regelungen.

Relativ unbeachtet hat sich diese Rechtslage aber mit dem Inkrafttreten des GeschGehG am 26.04.2019 fundamental geändert.

Seitdem sind Geschäftsinformationen nur dann geschützt, wenn sie – verkürzt

a) von wirtschaftlichem Wert sind, weil sie Dritten nicht bekannt sind,
b) wenn der Unternehmer ein berechtigtes Interesse an der Geheimhaltung hat und
c) wenn sie Gegenstand von „den Umständen nach angemessenen Geheimhaltungsmaßnahmen“ sind.

Hierbei handelt es sich um konstitutiven Voraussetzungen. Werden sie nicht erfüllt, sind Ihre Geschäftsinformationen keine Geschäftsgeheimnisse i.S.d. GeschGehG und damit auch nicht i.S.d. DA.

Was sind „den Umständen nach angemessene“ Geheimhaltungsmaßnahmen?

Zu den geforderten Geheimhaltungsmaßnahmen gehören sowohl technische und organisatorische Maßnahmen (TOM) als auch der Abschluss qualifizierter Vertraulichkeitsvereinbarungen. So genannte „Catch-all-Vereinbarungen“ genügen nicht mehr.

Die Vereinbarungen müssen nun die Geschäftsinformationen in verschiedene Klassen einteilen und dann für jede Klasse angemessene technische und organisatorische Maßnahmen (TOM) vorschreiben. Wer ISO/IEC 27001-zertifiziert ist, kennt das aus „Control“ A.5.12 i.V.m. der „Informationssicherheit in Lieferantenbeziehungen“.

Etabliert haben sich in Deutschland in Anlehnung an BSI-Standard 200-2 Klassen wie a) offen, b) intern, c) vertraulich und d) streng vertraulich.  Werden hier Fehler gemacht, kann das zur Unwirksamkeit der Vereinbarung führen, denn strengste Vorgaben für nur „interne“ Informationen könnten „überraschend“ i.S.d. deutschen AGB-Rechts sein.

Hersteller vernetzter Produkte sollten bis spätestens 11.09.2025 sicherstellen, dass sensible Daten, die nach dem DA dem Nutzer oder sogar Dritten zugänglich gemacht werden müssten „Geschäftsgeheimnisse“ in diesem Sinne sind. Wenn das schon nicht gegeben ist, braucht man die Schutzmöglichkeiten nach dem DA gar nicht erst prüfen.

Konkret

  • Sammeln oder verarbeiten Sie die generierten Daten in einer fremden SaaS-Lösung?
  • Möchten Sie die Daten einem Datenpool oder einem KI-Trainer zur Verfügung stellen?
  • Werden Sie fremde Service-Unternehmen mit der Wartung des vernetzten Produkts beauftragen?

Dann sollten Sie mit diesen Anbietern geeignete Vereinbarungen zum Schutz Ihrer Daten abschließen.

Urteil: Bestellung von Zeitkontingenten – Rückzahlungsanspruch bei Nichtausschöpfung

Posted on by Trenchant

Urteil: Bestellung von Zeitkontingenten – Kein Rückzahlungsanspruch bei Nichtausschöpfung

Im Juli 2023 hatte das Landgericht Hannover entschieden, dass ein IT-Anbieter im Falle des Kaufs eines Dienstleistungskontingents auch dann keine Rückzahlung schuldet, wenn das Kontingent vom Kunden nicht aufgebraucht wurde. Aus den Urteilsgründen ergibt sich, worauf bei der richtigen Formulierung der Vertragsklauseln zu achten ist.

Sachverhalt

In dem beurteilten Fall hatte der Kunde bei einem IT-Anbieter ein Dienstleistungskontingent über 200 Stunden à 120,00 Euro gekauft. Die Rechnung in Höhe von insgesamt 24.000,00 Euro war mit dem Kauf des Kontingents zur Zahlung fällig.

Gegenstand der Dienstleistungen waren u.a. Helpdesk, Unterstützung via Remote-Zugriff und Installationsleistungen. Die Abrechnung (Darlegung des Kontingentverbrauchs) erfolgte auf der Basis von Tätigkeitsnachweisen nach jeweiliger Auftragserteilung [z.B. via Ticket].

Der Auftraggeber „kündigte“ den Vertrag zu einem Zeitpunkt, an dem 52 Stunden des Kontingents noch nicht verbraucht waren und verlangte die Rückzahlung von 6.240,00 Euro. Der IT-Anbieter verweigerte die Zahlung.

Das Urteil und die Begründung

Das Gericht gab dem IT-Anbieter recht.

Gegenstand des Vertrages sei der Erwerb eines Guthabens von 200 Dienstleistungsstunden gewesen, entsprechend dem Erwerb einer Telefonkarte oder eines Gutscheins. Mit dem Verkauf des Kontingents habe sich der IT-Anbieter verpflichtet, bestimmte Leistungen anzubieten und das Kontingent als Zahlungsmittel für noch zu beauftragende („nach jeweiliger Auftragserteilung„) und abzurechnende Leistungen zu akzeptieren. Nutzt der Kunde das von ihm gekaufte Guthaben nicht, besteht kein Rückzahlungsanspruch des Kunden gegenüber den IT-Anbieter.

Die Kündigung eines Kaufvertrages kommt aus Rechtsgründen nicht in Betracht.

Abgegrenzt wurde in dem Urteil der Fall einer Vorauszahlung im Rahmen eines bereits vereinbarten Dauerschuldverhältnisses. Ein typisches Beispiel hierfür ist die Wartung einer Dritt-Standardsoftware durch unverzügliches Einspielen von durch den Hersteller bereitgestellte Updates für einen bestimmten Zeitraum. Im Rahmen eines solchen Vertragsverhältnisses besteht die Leistungspflicht des IT-Anbieters ohne weitere Beauftragung [z.B. via Ticket]. Bei wirksamer Kündigung vor Verbrauch der Anzahlung dürfte i.d.R. ein Rückzahlungsanspruch möglich sein.

Empfehlung

Achten Sie bei der Vertragsgestaltung auf eindeutige Formulierungen. Unterscheiden Sie zwischen dem a) Abschluss eines Dauerschuldverhältnisses mit anschließenden Vorauszahlungen für bestimmte Zeiträume oder b) einem Guthabenvertrag z.B. zur Sicherung von Preisen oder Kapazitäten für künftig zu bestellende Leistungen.

Data Act und KI im industriellen Umfeld – Haftungsfragen

Posted on by Trenchant

Data-Act und KI im industriellen Umfeld: Wenn aus mangelhaften Maschinendaten eine fehlerhafte KI wird – Haftungsfragen.

Im Juni 2024 endet die Legislaturperiode des 9. Europäischen Parlaments. Gesetzesinitiativen, die bis dahin nicht abgeschlossen sind, drohen vom nächsten Parlament neu ausgerollt zu werden. Aus diesem Grund überschlagen sich derzeit Nachrichten über politische Einigungen zu verschiedenen EU-Digitalgesetzen. Alle sind generisch und komplex. Technische oder rechtliche Umsetzungshindernisse fanden trotz reichlich Lobby-Arbeit im Gesetzgebungsprozess wenig Gehör.

Konkrete Beispiele lassen die Herausforderungen greifbarer werden.

Beispiel

Automobilzulieferer A nutzt in seiner Produktionshalle eine vom Maschinenbauer M geleaste Maschine. M bietet zwar predictive Maintenance an, A möchte dennoch künftig die KI-gestützte Lösung des D mit modernem Dashboard und einer Verbindung zu einem Meldesystem zur Brandwarnung nutzen.

Am 12.09.2025, dem Tag des Wirksamwerdens des EU Data-Act, verlangt A von M die laufende Übermittlung sämtlicher relevanter Maschinendaten samt Metadaten direkt an D. Gleiches begehren zahlreiche weitere Kunden des M.

D trainiert mit diesen Daten sein KI-System. Mit seiner App zur Brandwarnung sollen vorkritische Zustände der Maschinen registriert werden, die bei Nichtbeachtung zu einem Brand führen können. Hierfür verwendet D die übermittelten Temperaturdaten der Maschine. Am 8. Januar 2026 kommt es in der Produktionshalle des A zu einem schweren Maschinenbrand. Die App zur Warnung hatte den vorkritischen Zustand nicht registriert. Zwei Mitarbeiter des A erleiden schwere Verletzungen. Als Ursache wurden später von M übermittelte, fehlerhafte Metadaten festgestellt.

D fordert Schadensersatz von M. Neben eigenem Schaden hatten A und die Mitarbeiter des A Schadenersatzansprüche gegen D geltend gemacht.

Es ergeben sich folgende Fragen:
a. Warum hat M sich diesem Risiko ausgesetzt, indem er D Daten und Metadaten zur Verfügung stellte?
b. Kann A mit seiner Schadensersatzforderung Erfolg haben?

Pflicht zum Data Sharing

Auch wenn vielfach darüber diskutiert wurde, hat sich ein rechtliches Eigentum an Daten bis heute nicht durchgesetzt. Kraft Entscheidung über das Produktdesign standen bisher de facto allein den Herstellern von IoT-Produkten Daten zur Verfügung, die durch die Nutzung der Produkte oder der korrespondierenden Dienste entstanden. Datengetriebene Anschlussservices waren ihr Hoheitsgebiet. Die Durchbrechung dieser Datensilos war erklärtes Ziel des EU-Gesetzgebers, als er die „Dateninhaber“ zwang, auf Anforderung der „Nutzer“ diese Daten zugänglich zu machen. Der EU Data-Act ordnet mit Wirkung zum 12.09.2025 folgende, hier relevante Rechte und Pflichten an:

  • Dateninhaber:
    • Zugangsgewährung an vom Nutzer bestimmte Dritte („Datenempfänger“) in Bezug auf sämtliche Daten, die der Dateninhaber im Rahmen der Nutzung der Maschinen und der verbundenen Dienste durch den Nutzer generiert und selbst erhält.
    • Gewährung eines standardmäßigen, einfachen, sicheren, unentgeltlichen Zugangs in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und zwar, soweit relevant und technisch durchführbar, direkt, sonst via Cloud.
  • Datenempfänger: Nutzung zu dem mit dem Nutzer vereinbarten Zweck, auch für wettbewerblichen Folgemarkt. Einhaltung von mit dem Dateninhaber getroffenen Vereinbarungen zum Schutz von Geschäftsgeheimnissen, sofern relevant.

Zu unserem Beispiel: Da die vorausschauende Wartung der Maschinen von Anfang an zum Geschäftsmodell von M gehörte, hat er seine Maschinen so designed und gefertigt, dass er sämtliche hierfür benötigte Daten standardmäßig von den Maschinen bzw. aus dem Maintenance-Service übermittelt bekommt. Dazu gehörten auch die Messwerte, die D für das Training seiner KI nutzte. Nach den zwingenden Vorschriften des EU Data-Act war M also verpflichtet, die Daten mit den korrespondierenden Metadaten D zur Verfügung zu stellen.

Haftung des Dateninhabers M für die Qualität der Daten und Metadaten

Produkthaftung

Nach der aktuellen Rechtslage besteht keine Produkthaftung für fehlerhafte Daten. Am 14.12.2023 gab es jedoch eine politische Einigung des Europaparlaments und des Rates zu einer neuen Produkthaftungsrichtlinie. Nach derzeitigem Kenntnisstand wird klargestellt, dass auch fehlerhafte Software und Produktionsdateien eine Produkthaftung auslösen können. Eine Haftung für fehlerhafte Daten wurde jedoch nicht aufgenommen. Sobald auch die formelle Zustimmung erfolgt ist, tritt die Richtlinie nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft. Danach haben die Mitgliedstaaten 2 Jahre Zeit, die Richtlinie in nationales Recht umzusetzen.

Zivilrechtliche Ansprüche aus § 327i BGB

Die mangelhafte Beschaffenheit von Daten kann nach § 327i BGB zur Haftung derjenigen Person führen, die die Daten bereitstellt.

Im Zusammenhang mit dem EU Data-Act ist jedoch zu berücksichtigen, dass dieser eine gesetzliche Beschaffenheitsfestlegung enthält. Danach erstrecken sich die Rechtspflichten des M nicht darauf sicherzustellen, dass die Daten und Metadaten fehlerfrei sind, sondern nur darauf, dass er sie in derselben Qualität, die ihm selbst zur Verfügung steht, bereitstellt. Nur dann, wenn die Qualität der bereitgestellten Daten hinter der dem M selbst vorliegenden Qualität zurückbleibt, kann eine mangelhafte Beschaffenheit i.S.d. § 327i BGB vorliegen. Ausdrücklich ergeben sich die Ansprüche aus 327i BGB zwar nur für Verbraucher. Mit einer entsprechenden Anwendung durch die Gerichte im B2B-Geschäft muss jedoch gerechnet werden.

Mögliche Haftungsbeschränkungen und Beweislast

Teilweise wird angenommen, ein Haftungsausschluss oder eine Haftungsbeschränkung bezüglich der Datenqualität sei grundsätzlich nicht wirksam möglich. Das ist bedingt richtig.

Vor dem Hintergrund der Beschaffenheitsfestlegung des EU Data-Act dürfte zumindest folgende klarstellende Klausel selbst in Allgemeinen Geschäftsbedingungen empfehlenswert sein: „Ein haftungsbegründende Pflichtverletzung bezüglich der Qualität bereitgestellter Daten liegt nur dann vor, wenn der Dateninhaber Daten in einer geringeren Qualität bereitgestellt hat, als sie für in selbst verfügbar waren.“

Nach den allgemeinen Regeln zu Beweislast obliegt dem Geschädigten der Nachweis einer solchen Pflichtverletzung durch den Dateninhaber. Das dürfte oftmals schwer zu bewerkstelligen sein.

Zur Möglichkeit des Ausschlusses oder der Beschränkung einer Haftung in diesem so eingegrenzten Pflichtenkreis gelten die allgemeinen Regeln.

Zu unserem Fall: Wenn also der Brand durch falsche Metadaten entstanden ist, M jedoch selbst nur diese Datenqualität zur Verfügung stand, haftet er nicht.

Die RED-Verordnung und ihre praktische Umsetzung

Posted on by Trenchant

Die RED-Verordnung und ihre praktische Umsetzung

Vor dem Hintergrund, dass IoT-Produkte immer öfter nicht nur über Funk, sondern auch über das Internet miteinander kommunizieren, hat die EU-Kommission mit Wirkung zum 01.08.2025 durch delegierte Rechtsverordnung (EU) 2022/30 (RED-Verordnung) die Security-Anforderungen an reine Funkanlagen aus der Richtlinie 2014/53/EU (RED-Richtlinie) ausdrücklich auf mittelbar oder unmittelbar mit dem Internet verbundene Funkanlagen ausgedehnt und sich aus einer Internetverbindung ergebende Risiken adressiert.

Die Umsetzung bereitet erhebliche Schwierigkeiten.

Unbestimmte Anforderungen

Die Cybersecurity-Anforderungen aus der RED-Verordnung in Verbindung mit der RED-Richtlinie sind derart generisch, dass ein Normungsauftrag vergeben wurde. Der Zweck einer „harmonisierten Norm“ besteht darin, ein generisches Gesetz zu konkretisieren, indem sie technische Einzelheiten und Lösungen für die Sicherheits- und Leistungsanforderungen bereitstellt. Sie werden rechtlich verbindlich, wenn Rechtsakte wie die RED-Verordnung oder die RED-Richtlinie darauf verweisen und können einfacher als diese der technischen Entwicklung angepasst werden.

Erste Entwürfe dafür liegen vor, helfen den Anwendern aber nur bedingt.

Die Schwierigkeiten ergeben sich daraus, dass eine Norm einerseits die sehr unterschiedlichen Risiken nicht berücksichtigen kann, die sich aus oder für einzelne mit dem Internet verbundene Produkte ergeben. Die Bandbreite ist zu groß. Andererseits hat der Normgeber das Grundrecht der unternehmerischen Freiheit aus Art. 16 EU-Grundrechtscharta zu berücksichtigen, welches dem Unternehmer das Recht gewährt, frei über seine wirtschaftlichen, technischen und finanziellen Ressourcen zu verfügen.

Gesetzliche oder normierte Anforderungen dürfen dieses Unternehmergrundrecht nur so weit einschränken, wie es erforderlich ist, legitime Zwecke zu erfüllen. Diese sind ausweislich der Erwägungsgründe der RED-Verordnung insbesondere der Schutz des Netzes vor Schaden, Schutz personenbezogener Daten und der Privatsphäre des Nutzers, sowie Schutz vor Betrug im Finanzumfeld („Schutzziele“).

Risikomanagement durch das Unternehmen

Die RED-Verordnung mit ihrer entstehenden harmonisierten Norm überlässt es letztlich den Unternehmen, innerhalb eines bestimmten Rahmens die produktspezifischen Maßnahmen zu bestimmen, die zur Sicherung der Schutzziele zu treffen sind. Somit können sie sich für die Umsetzung derjenigen Maßnahmen entscheiden, die ihren Ressourcen und Möglichkeiten am besten entsprechen und mit den übrigen von ihnen bei der Ausführung ihrer Tätigkeit zu erfüllenden Pflichten und Anforderungen vereinbar sind (siehe hierzu ausführlich EuGH, Urteil v. 27.03.2014, C-314/12). Zu diesen übrigen Pflichten gehört auch die Sicherung des Fortbestandes des Unternehmens gemäß §§ 76, 91 Abs. 2, 93 Abs. 1 AktG bzw. § 43 Abs. 1 GmbHG und § 347 Abs. 1 HGB und damit der Schutz des Vermögens vor unangemessenen Sicherheitsmaßnahmen.

Die erforderliche Risikobewertung ist mit den getroffenen Maßnahmen zu dokumentieren, denn – so schreibt es der EuGH in seiner o.g. Entscheidung – dies ermöglicht es dem Unternehmer, sich von einer Haftung zu befreien, indem er nachweist, dass er alle zumutbaren Maßnahmen ergriffen hat.

Ein mühsames und interdisziplinäres Unterfangen

Einen Freifahrtschein hat der EuGH mit seinem Urteil jedoch nicht gegeben. Auch ein finanziell schwaches Unternehmen darf keine Anlage auf dem EU-Markt platzieren, welche unannehmbare Risiken für die oben genannten Schutzziele birgt.

Für eine juristisch valide Anwendung der RED-Verordnung und der harmonisierten Norm und eine qualifizierte Risikobewertung bedarf es einer engen Zusammenarbeit von Rechtsanwälten, Produktentwicklern und Entwicklern von Embedded Software.

In a Nutshell

Bis zum 01.08.2025 müssen Hersteller

  • im Rahmen der RED-Normung
  • mit Blick auf die notwendige Netzwerksicherheit und den notwendigen Schutz von personenbezogenen Daten
  • in Ausübung ihrer unternehmerischen Freiheit und ihrer Vermögensschutzpflichten

eine angemessene Cyberresiliez ihrer Funkanlagen hergestellt haben. Unannehmbare Risiken werden nicht akzeptiert.

Cyber Resilience Act (CRA) – neue Herausforderungen beim Zukauf von SPS im Maschinen- und Anlagenbau

Posted on by Trenchant
Web-Crawling vs. Urheberrecht

Cyber Resilience Act und Speicherprogrammierbare Steuerungen – eine Herausforderung für Maschinen- und Anlagenbauer

Ab dem 10.12.2027 wird der EU Cyber Resilience Act (CRA) vollumfänglich anwendbar sein. Er stellt weitere Cybersicherheitsanforderungen u.a. an Hersteller von Maschinen und Anlagen, die SPS und andere Steuerungen mit digitalen Elementen in ihre Produkte einbauen.

SPS und CRA

Speicherprogrammierbare Steuerungen (SPS) sind programmierbare Geräte, die Maschinen und Prozesse steuern. Sie ersetzen klassische Relais- und Schützschaltungen und ermöglichen eine flexible Anpassung an verschiedene Produktionsanforderungen. Damit sind sie essenzielle Komponenten moderner Automatisierungstechnik. Die meisten Maschinen- und Anlagenbauer stellen ihre Steuerungen nicht selbst her, sondern beziehen sie von spezialisierten Herstellern. 

Der CRA der Europäischen Union zielt darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen zu erhöhen. Hersteller von Maschinen und Anlagen werden ausdrücklich angesprochen, ebenso Hersteller der darin verbauten Steuerungen. Es wird klargestellt, dass die in dem Rechtsakt aufgeführten Cybersicherheitsanforderungen einzuhalten sind, bevor die Maschine, die Anlage oder auch ihre Steuerung auf dem EU-Markt in Verkehr gebracht werden darf. 

Die Anforderungen des CRA ergänzen die grundlegenden Anforderungen des Anhang III, Abschnitte 1.1.9. und 1.2.1. der Maschinen-Verordnung (EU) 2023/1230. 

Der CRA ist am 10.12.2024 in Kraft getreten und wird ab dem 10.12.2027 vollumfänglich anwendbar sein. Einige Bestimmungen gelten bereits früher. So müssen z.B. Hersteller ab dem 10.09.2026 aktiv ausgenutzte Schwachstellen, von denen sie Kenntnis erlangen, melden. 

Einige konkrete Aspekte: 

Updatepflicht

Die so genannte „Updatepflicht“ wird im CRA unter dem Aspekt „Unterstützungszeitraum“ behandelt. Die Unterstützung umfasst die wirksame Behandlung von Cybersicherheits-Schwachstellen über die gesamte Lebensdauer des Produkts, i.d.R. mindestens 5 Jahre. Im Hinblick auf die Verwendung im industriellen Umfeld wird unter ausdrücklicher Bezugnahme auf Steuerungssysteme klargestellt, dass dieser Zeitraum deutlich länger sein kann. Möglicherweise in Anerkennung dessen, dass die Updatepflicht über die nicht selten Jahrzehnte dauernde Nutzung einer Maschine nicht realistisch ist, eröffnet der CRA Herstellern die Möglichkeit, 

den Quellcode entweder gegenüber anderen Unternehmen, die sich zu einer verlängerten Bereitstellung von Diensten zur Behandlung von Schwachstellen verpflichten, oder für die Öffentlichkeit freizugeben, damit Schwachstellen auch nach Ablauf des Unterstützungszeitraums behandelt werden können.

Ab wann sich der Hersteller damit aber der Updatepflicht entziehen kann, ist völlig unklar.

➡ Im Hinblick auf die Updatepflicht sollten Hersteller von Maschinen und Anlagen sowohl mit ihren Kunden als auch mit ihren SPS-Lieferanten sorgfältig ausgearbeitete Vertragsklauseln erstellen.

Software Bill-of-Material

Hersteller von Maschinen und Anlagen mit SPS müssen sicherstellen, dass diese keine cyberanfälligen Komponenten enthalten. Das gilt auch dann, wenn sie die SPS von einem Lieferanten zukaufen. Unter anderem zur Erleichterung der Schwachstellenanalyse sollen Hersteller von Maschinen und Anlagen daher dokumentieren, welche „Komponenten mit digitalen Elementen in der Maschine bzw. Anlage enthalten sind, und dazu eine „Software-Stückliste“ (auch „Software-BoM“ genannt) aufstellen und pflegen. Diese Pflicht trifft zwar auch die Hersteller der SPS selbst. Die Zurverfügungstellung der Software-BoM durch den SPS-Lieferanten an den Maschinen- oder Anlagenbauer ist aber im CRA nicht ausdrücklich verpflichtend festgelegt.

➡ Auch hier sollten daher differenzierte vertragliche Regelungen Klarheit schaffen.

Haftung des Herstellers von Maschinen und Anlagen für Sicherheitslücken in der SPS:

Dieses Thema ist keine Frage des EU-Digitalrechts, sondern des Schuldrechts. Für Kaufverträge, auf die das deutsche Recht anzuwenden ist, hat der BGH mehrfach klargestellt, dass der Zulieferer nicht Erfüllungsgehilfe des Herstellers ist (z.B. in BGH Urteil vom 2. April 2014 – VIII ZR 46/13). Maschinenhersteller dürften daher i.d.R. nicht für Fehler oder Sicherheitslücken in der zugekauften SPS haften, wenn sie den Zulieferer sorgfältig ausgewählt haben.  

KI-generierter Quellcode

Posted on by Trenchant

KI-generierter Quellcode – wer hat die Nutzungsrechte?

Eine immer effizientere und schnellere Entwicklung neuer Produkte mit embedded Software ist entscheidend für den Erfolg vieler produzierender Unternehmen. Die zunehmende Reife digitaler Technologien gibt ihnen jetzt einen Time-to-Market-Anschub.

Entwickler fragen sich jedoch, ob ihre mithilfe dieser Technologien entwickelte Software rechtlich geschützt ist oder ob sie womöglich Schutzrechte Dritter verletzen.

Von Low-Code zu KI

Low-Code-generierter Quellcode

Die Entwicklung von Software mit Low-Coding hat sich in letzter Zeit zu einem echten Trendthema entwickelt.

Hinter diesem Buzzword steckt eine relativ neue Art der Softwareerstellung. Anstelle Unmengen Code manuell zu schreiben, kann die Software mithilfe einer Low-Code-Plattform mit geringen Programmierkenntnissen erstellt werden.

Die Plattform stellt einen Baukasten mit Code-Bausteinen und Modulen zur Verfügung, die bestimmte Funktionen ausführen. Der Softwareentwickler kann diese über eine grafische Benutzeroberfläche einfach zusammenklicken. Programmierkenntnisse sind nur in geringem Umfang erforderlich. Lediglich spezielle Anforderungen oder gesonderte Schnittstellen werden selbst programmiert. So entstehen auch komplexe Anwendungen in kurzer Zeit und mit hoher Qualität. Die Plattformen mit ihren Bausteinen und Modulen werden i.d.R. lizenziert. Die Nutzungsrechte bestimmen sich nach den Vertragsbedingungen. Rechtliche Aspekte hierzu werden nachfolgend nicht behandelt.

DIE RICHTIGE AUSWAHL DER BAUSTEINE UND MODULE TRIFFT DER ENTWICKLER.

KI-generierter Quellcode

Am 30.11.2022 zog nun künstlich Intelligenz mit dem Chatbot ChatGPT des Unternehmens OpenAI als Werkzeug in unser aller Bewusstsein ein. Vom ersten Tag an wird es mit der gleichen Selbstverständlichkeit genutzt, wie Google. Mit seinen algorithmisch erzeugten sprachlich korrekten Texten ist ChatGPT in der Lage, nahezu jede Frage zu beantworten.

Die Diskussion um die Urheberrechte an KI-generierten Ergebnissen nimmt seit ChatGPT erheblich an Fahrt auf, obwohl z.B. die GitHub Inc. ihren KI-gestützten Copiloten zur Erstellung von Software schon im Juni 2022 als „Subscription“ gelauncht hat.

GitHub Copilot ist ein KI-Codierungspartner, der beim Programmieren Vorschläge zur automatischen Vervollständigung von Quellcode bereitstellt. Der Programmierer erhält Vorschläge, indem er Code-Ideen in das Fenster eingibt und/oder sein Anliegen in natürlicher Sprache beschreibt. Mithilfe eines KI-Systems leitet der Copilot aus der Eingabe den Kontext und das Ziel des entstehenden Programms ab, und schlägt dann neue Zeilen oder ganze Funktionen im Text-Editor vor.

DIE RICHTIGE AUSWAHL DER BAUSTEINE UND MODULE TRIFFT DIE KI AUF BASIS IHRER TRAININGSDATEN.

Rechtliche Aspekte

Während sich alltägliche Sachverhalte der Digitalisierung wenigstens ansatzweise unter bestehende Rechtsnormen einordnen lassen, ist die Übertragung auf KI-generierten Quellcode schwierig und immer einzelfallabhängig.

Von großer Relevanz ist die urheberrechtliche Einordnung des KI-Trainingscodes und der angebotenen Ergebnisse, denn die rechtswidrige Verwendung urheberrechtlich geschützter Werke Dritter kann nicht nur Schadensersatz- und Unterlassungsansprüche des Urhebers nach sich ziehen.

Sie ist auch strafrechtlich relevant.

Schutzrechte des Programmierers des Ausgangscodes

Schutzrechte des Entwicklers von Computerprogrammen, die als KI-Trainingscode genutzt werden, können nur dann verletzt sein, wenn das Computerprogramm (1) nach dem Urheberrecht schutzfähig ist, (2) seine Verwendung zu Trainingszwecken eine urheberrechtlich relevante Handlung ist und ein Erlaubnistatbestand nicht vorliegt und wenn (3) das Computerprogramm in den angebotenen Ergebnissen der Abfrage noch erkennbar enthalten ist.

  • Schutzfähigkeit: Computerprogramme genießen auch als Quellcode nach §§ 69a ff. Urhebergesetz (UrhG) urheberrechtlichen Schutz. Auf die Komplexität der Folge von Befehlen kommt es nicht an. Ein einzelner Befehl kann ausreichen, um eine Zeile Code als Computerprogramm anzusehen. Damit dürfte KI-Trainingscode vielfach dem urheberrechtlichen Schutz unterliegen.
  • Grundsätzlich zustimmungsbedürftige Handlung: Im Rahmen des Trainings einer KI kommt es zu einer Vervielfältigung des KI-Trainingscodes, indem er in den Arbeitsspeicher geladen und mittels Algorithmen ausgewertet wird. Seit der UsedSoft-Entscheidung des BGH  ist unstreitig, dass solch ein Laden von Computerprogrammen in den Arbeitsspeicher eine urheberrechtlich geschützte Vervielfältigung und somit eine zustimmungsbedürftige Handlung ist. Zu der Entscheidung des BGH: https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&nr=66601&pos=0&anz=1
  • Ausnahme vom Zustimmungsvorbehalt: Liegt keine Zustimmung des Urhebers vor, kann bei Verwendung von rechtmäßig oder gar öffentlich zugänglichem Quellcode unter bestimmten Umständen auf den mit Wirkung zum 07.06.2021 eingeführte Erlaubnistatbestand des § 44b Abs. 2 UrhG zum Text und Data Mining zurückgegriffen werden. Diese Vorschrift wurde mit dem Ziel der Innovationsförderung in das UrhG eingefügt.
  • Fortsetzung des Urheberrechts am Trainingscode bis zum KI generierten Quellcode: Aus den §§ 69a Abs. 2 und 23 Abs. 1 UrhG ergibt sich, dass eine Fortsetzung des Urheberrechts ausscheidet, wenn das Ergebnis der Abfrage „einen hinreichenden Abstand“ zum KI-Trainingscode hat und diesen nur als Ideengeber oder zur Generierung von Grundsätzen benutzt hat. Ob ein solcher Abstand gegeben ist, dürfte jeweils im Einzelfall auf struktureller und funktionaler Ebene es generierten Codes zu entscheiden sein.

Schutzrechte des KI-Programmierers und des Nutzers der KI

Nach derzeitiger Rechtslage in Deutschland ist der von einer selbständig arbeitenden KI verfasste Output nicht als Werk urheberrechtlich schutzfähig, da weder der Programmierer der KI, noch der Nutzer auf die eigentliche maschinelle Produktion des Textes Einfluss hat. Es fehlt die freie, kreative, menschliche Gestaltung, die allein Schutzobjekt des deutschen Urhebergesetzes ist. Dies entspricht einer Entscheidung des Europäischen Gerichtshofes (EuGH) zu den einschlägigen Regelungen der EU.

Während auch die Stellungnahmen zum US-amerikanischem Recht davon ausgehen, dass es sich im Fall des „kreativen“ Schaffens einer KI, bei der ein Programmierer der KI und der Verfasser des Inputs nicht gezielt zusammenarbeiten, um nicht geschützten Output handelt, schafft die gegenwärtige irische Regelung eine rechtliche Fiktion der Gestalt, dass das Urheberrecht an Computer-generierten Ergebnissen demjenigen zusteht, der die für die Schaffung des Werks erforderlichen Vorkehrungen getroffen hat.

Vor dem Hintergrund, dass zahlreiche US-amerikanische IT-Unternehmen, z.B. Microsoft mit ihrem Microsoft 365 Copilot, in ihren AGB für die Geschäftsbeziehung mit europäischen Unternehmen die Anwendbarkeit irischen Rechts vorsehen, ist dies für die Praxis deutscher Unternehmen durchaus relevant.

Die irische Regelung dürfte sich jedoch kaum in Einklang bringen lassen mit der Rechtsprechung des EuGHs. Sofern ein irisches Gericht letztinstanzlich darüber entscheiden muss, ist eine Vorlage an den EuGH gemäß Art. 267 Abs. 3 AEUV erforderlich. Es ist zu erwarten, das dieser die irische Regelung dann kippen wird.

Open Source Software als KI-Trainingscode

Die Verwendung von Open Source Software als KI-Trainingscode dürfte oftmals über die zugrundeliegenden Lizenzbedingungen zulässig sein. Neben zahlreichen anderen rechtlichen Fragestellungen ist besondere Vorsicht geboten, wenn der Trainingscode unter einer so genannten „strengen Copyleft-Lizenz“ bereitgestellt wird und der KI generierte Code in eigenen proprietären und als Geschäftsgeheimnis bewerteten Code eingehen soll.

Strenge Copyleft-Lizenzen verpflichten den Nutzer, alle von ihm verbreiteten oder veröffentlichen Werke, die ganz oder teilweise das Programm (also den Trainingscode) enthalten oder davon abgeleitet sind, als Ganzes unter dieselbe Lizenz zu stellen und zu veröffentlichen.

Die Nichtbeachtung dieses Risikos für eigene Geschäftsgeheimnisse könnte fatale Folgen haben.

Ausblicke

Zurzeit sind einige Verfahren anhängig:

Zu KI-generiertem Quellcode:

Butterick gegen GitHub Inc, Microsoft Corp. et al in USA (San Francisco). Zum Text: https://githubcopilotlitigation.com/pdf/06823/1-0-github_complaint.pdf

Zu KI-generierten Bildern:

Klage der US-amerikanischen Bildagentur Getty Images gegen Stability AI in USA (Delaware) zu der Frage der Rechtmäßigkeit des Kopierens von Fotos und Metadaten, um damit den KI-Kunstgenerator Stable Diffusion zu trainieren. Zum Text: https://bd6f.s3.amazonaws.com/media/documents/Getty_Images_Stability_AI_Complaint.pdf

Mitte Januar 2023 hatte Getty Images bereits in London eine ähnliche Klage gegen Stability AI eingereicht. Erst wenige Tage zuvor war eine Klage in den USA von drei Künstlerinnen und Künstlern bekannt geworden, die gegen die Hersteller der KI-Software Midjourney und Stability AI sowie die Künstlerplattform DeviantArt vorgehen. In beiden Verfahren geht es um die Urheberrechte und darum, dass die Entwickler unrechtmäßig Bilder aus dem Internet dazu verwendet hätten, die Künstliche Intelligenz damit zu trainieren.

Die Verfahrensdauer wird jeweils auf mehrere Jahre geschätzt.

Sollte sich in der juristischen Lehre eine Tendenz abzeichnen, werden Sie hier auf dem Laufenden gehalten.

Mehr als 20 Jahre Erfahrung an der
Schnittstelle von Recht, Wirtschaft
und Technik.

Kontakt aufnehmen
10. Juni 2025
NIS-2-Betroffenheit: Auch der aktuelle Entwurf des Umsetzungsgesetzes vom 26. Mai 2025 ist nicht richtlinienkonform
Neuer Entwurf NIS-2-Umsetzungsgesetz vom 26.05.2025 – weiter Rechtsunsicherheit bei der Bestimmung der Betroffenheit.
Artikel lesen
15. April 2025
EU-Rechtsakt zur Förderung von Cloud-Kapazitäten und KI-Entwicklung
EU-Rechtsakt zur Förderung von Cloud-Kapazitäten und KI-Entwicklung.
Artikel lesen
Web-Crawling vs. Urheberrecht
19. Februar 2025
Web-Crawling vs. Urheberrecht
Ein grundlegendes Urteil des LG Hamburg hat im September 2024 zu etwas mehr Rechtssicherheit für KI-Trainer geführt.
Artikel lesen
7. Februar 2025
Data Act – Datenzugang und Geschäftsgeheimnisse
Wer als Hersteller ab 12.09.2025 vom Data Act betroffen ist, muss seine Vertraulichkeitsvereinbarungen spätestens jetzt ändern und spezifische Maßnahmen für verschiedene Vertraulichkeitsklassen vereinbaren. Sonst hat die Berufung auf Geschäftsgeheimnisse keinen Erfolg.
Artikel lesen
2. September 2024
Urteil: Bestellung von Zeitkontingenten – Rückzahlungsanspruch bei Nichtausschöpfung
Artikel lesen
17. Februar 2024
Data Act und KI im industriellen Umfeld – Haftungsfragen
Industrial AI-Anwendungen beruhen oft auf KI-Modellen, die mithilfe sensorgenerierter Maschinendaten trainiert wurden. Hoch spannend ist die Frage, wer für die Richtigkeit dieser Daten haftet.
Artikel lesen
2. Februar 2024
Die RED-Verordnung und ihre praktische Umsetzung
Mit der ab 11.08.2025 anwendbaren RED-Verordnung hat die EU Cyber-Security-Anforderungen für Funkanlagen aufgestellt, die unmittelbar oder mittelbar mit dem Internet verbunden sind. Die Umsetzung im Unternehmen gestaltet sich schwierig.
Artikel lesen
Web-Crawling vs. Urheberrecht
2. Juli 2023
Cyber Resilience Act (CRA) – neue Herausforderungen beim Zukauf von SPS im Maschinen- und Anlagenbau
Am 10.12.2024 ist der Cyber Resilience Act in Kraft getreten, ab dem 10.12.2027 wird er vollumfänglich anwendbar sein. Er stellt weitere Cybersicherheitsanforderungen u.a. an Hersteller von Maschinen und Anlagen, die SPS und andere Steuerungen mit digitalen Elementen in ihre Produkte einbauen.
Artikel lesen
22. Mai 2023
KI-generierter Quellcode
KI generierter Quellcode – wem stehen die Nutzungsrechte zu?
Artikel lesen
5. Mai 2023
Der EU Data Act und die Folgen für das Design von IoT-Produkten
Die Pflicht zur Bereitstellung von Daten: Zwingt der EU Data Act Unternehmen zum Re-Design ihrer IoT-Produkte?
Artikel lesen
27. Januar 2023
Data Act – Datenregulierungs-Vorhaben der EU
Die EU-Kommission legt einen Entwurf für ein Datengesetz vor
Artikel lesen
30. November 2022
Updatepflicht für embedded Systems
Digitale-Inhalte-Richtlinie und die Warenkauf-Richtlinie der EU
Artikel lesen
25. November 2022
Agile Einführung einer Software
Fallbeispiel
Artikel lesen
25. November 2022
Vertraulichkeit und Geschäftsgeheimnisse in kollaborativer Cloud-Umgebung
Im Falle kollaborativen Zusammenarbeitens auf einer Plattform sind im Rahmen einer Cloud Security Policy projekt- und rollenbezogene, technische Zugriffsberechtigungen dringend zu empfehlen.
Artikel lesen
15. Mai 2022
CR 2022, 281: Nutzung von Cloud-Services im Unternehmen
Für die IT-Sicherheit ist ein Unternehmen auch bei der Nutzung von Cloud-Services nicht ganz aus der Verantwortung. Es gilt das Prinzip der "Shared Responsibility". Eine klare Abgrenzung ist entscheidend.
Artikel lesen
15. März 2021
CR 2021, 145: Vertragsklauseln zum IT-Projektmanagement
Zentrale Weichenstellungen
Artikel lesen

Der EU Data Act und die Folgen für das Design von IoT-Produkten

Posted on by Trenchant

Der EU Data Act und die Folgen für das Design von IoT-Produkten

Die Pflicht zur Bereitstellung von Daten: Zwingt der EU Data Act Unternehmen zum Re-Design ihrer IoT-Produkte?

Die Pflicht zur Bereitstellung von Daten: Zwingt der EU Data Act Unternehmen zum Re-Design ihrer IoT-Produkte?

Für Hersteller datengenerierender, internetfähiger Produkte und damit verbundener Dienste droht Ungemach aus Brüssel. Dort verhandelt seit dem 28.03.2023 die EU-Kommission mit dem EU-Parlament und dem EU-Rat über ihren am 23.02.2022 vorgelegten Vorschlag für ein Datengesetz (nachfolgend: „Data Act (E)“).

Setzt sich die EU-Kommission mit Ihrem Vorschlag durch, werden zahlreiche Produktentwickler und -hersteller ihr Design ändern müssen. Der so genannte „Trilog“ soll bis zum Ende der schwedischen Ratspräsidentschaft am 30.06.2023 abgeschlossen sein. Je nach Interessenlage ein Tag zur Freude oder zur Sorge.

Politischer Hintergrund:

IoT-fähige Produkte und bei deren Nutzung generierte Daten sind wesentliche Bestand-teile der digitalen Wirtschaft und zentrale Ressourcen für den weltweiten ökologischen und digitalen Wandel. Mit der Zunahme solcher Produkte steigt die Marktmacht derjenigen, die die entstehenden Daten durch das Produktdesign faktisch kontrollieren. Hersteller von Maschinen bieten digitale Produktionsleitsysteme (MES) an, Hersteller von Haushaltsgeräten haben Smart-Home-Plattformen etabliert, Automobilhersteller bieten „over-the-air“ Ferndiagnosen an, die sie an ihre Partnerwerkstätten leiten, um so den Kunden eine schnelle und kostengünstige Reparatur zu ermöglichen.

Mit ihren jüngsten Gesetzgebungsinitiativen zielt die EU-Kommission darauf ab, entstehende „Datensilos“ und Abhängigkeiten der Nutzer aufzubrechen. Viel wird darüber diskutiert, das neue Wertschöpfungspotential gerecht zu verteilen. Von Datenteilungspflichten und Cloud-Portabilität ist die Rede.

Bei genauer Betrachtung zielt aber der Vorschlag der EU-Kommission nicht nur auf die Öffnung bestehender Datensilos ab. Die Entscheidung darüber, ob durch Produkte er-zeugten Daten überhaupt einer weiteren Verwendung zugeführt werden, soll unter die Kontrolle der Nutzer gestellt werden.

Der Kommissionsvorschlag:

Hierfür sieht der Kommissionsvorschlag vor, dass

  • Entwickler oder Hersteller von IoT-Produkten und damit verbundener Dienste die bei deren Nutzung entstehenden Daten selbst nur auf der Grundlage eines Vertrages mit dem Nutzer verwenden dürfen und dass
  • IoT-fähige Produkte künftig so zu konzipieren und herzustellen und verbundene Dienste so zu erbringen sind, dass die erzeugten Daten standardmäßig für den Nutzer einfach, sicher und direkt zugänglich sind (Produktdesignpflicht).
    Darüber hinaus sollen sie von einem Datenspeicher auf dem Gerät oder in einer Cloud an vom Nutzer benannte Dritte bereitgestellt werden können. Der Zugang könne kabelgebunden oder drahtlos über lokale Funknetze ermöglicht werden.

Dabei gilt folgendes:

  • Inhalt der Bereitstellungspflicht gemäß Art. 3 Abs. 1 Data Act (E): Soweit der Nutzer nicht direkt vom Produkt aus auf die Daten zugreifen kann, stellt der Dateninhaber dem Nutzer die bei der Nutzung eines Produktes oder verbundenen Dienstes erzeugten Daten unverzüglich, kostenlos und gegebenenfalls kontinuierlich und in Echtzeit zur Verfügung. Dies geschieht auf einfaches Verlangen auf elektronischem Wege, soweit dies technisch machbar ist.
  • Inhalt der Weitergabepflicht gemäß Art. 4 Abs. 1 Data Act (E): Auf Verlangen eines Nutzers […] stellt der Dateninhaber die bei der Nutzung eines Produktes oder verbundenen Dienstes erzeugten Daten einem Dritten unverzüglich, für den Nutzer kosten-los, in derselben Qualität, die dem Dateninhaber zur Verfügung steht, und gegebenen-falls kontinuierlich und in Echtzeit bereit.
  • Definition von verbundenen Diensten: Ein digitaler Dienst, einschließlich Software, der so in ein Produkt integriert oder so mit ihm verbunden ist, dass das Produkt ohne ihn eine seiner Funktionen nicht ausführen könnte.

Notfall-App und Verbrauchsvergleichs-App als fiktive Beispiele:

Ein Unternehmen der Wasserversorgung integriert in seine intelligenten Messysteme Zähler eines beliebigen Herstellers. Wesentliche Funktionen der Zähler sind die Berechnung der Verbrauchsmenge durch Multiplikation der Rohdaten Durchflussgeschwindigkeit und Zeit mittels integrierter Software, sowie die Übermittlung der Verbrauchsmenge und der zur Abrechnung erforderlichen Metadaten an den Versorger. Es sei angenommen, die Rohdaten würden unmittelbar nach der Verarbeitung gelöscht. Daten über Zeiten der Nichtnutzung von Wasser (ein Nebenprodukt von Nutzeraktionen) würden nicht verarbeitet.

Nun möchte ein Start-up Unternehmen eine Notfall-App und eine Verbrauchsvergleichs-App entwickeln.

Die Notfall-App beruht auf dem Gedanken, dass Menschen, die über einen bestimmten Zeitraum in ihrer Wohnung kein Wasser nutzen, mit großer Wahrscheinlichkeit in Not sind und Hilfe benötigen. Hat die App Zugriff auf die Zeiten der Nichtnutzung, übermittelt sie nach einem bestimmten Zeitablauf einen Notruf an benannte Personen oder an eine Notrufzentrale.

In der Verbrauchsvergleichs-App können Nutzer die Anzahl und das Alter der im Haushalt lebenden Personen eingeben und anschließend ihren Verbrauch mit dem vergleichbarerer Haushalte abgleichen.

Auf Basis des Kommissionsentwurfs ergibt sich folgendes:

  • Nach Erwägungsgrund 17 sind Daten i.S.d. Data Act (E) auch solche, die als „Nebenprodukt von Nutzeraktionen“ ohne jegliche Nutzeraktion erzeugt werden, z.B. während sich das Produkt im Bereitschaftszustand befindet oder ausgeschaltet ist. Damit dürfte auch die Zeit der Nichtnutzung über die Produktdesignpflicht der Bereitstellungspflicht unterliegen – unentgeltlich für den Nutzer und gegen ein angemessenes Entgelt für das Start-up Unternehmen.
  • Die Verbrauchsmenge ist ein Datum, welches durch die Nutzung der in dem Zähler integrierten Software generiert wird. Da der Zähler ohne diese Software eine seiner Funktionen nicht ausführen könnte, dürfte es sich bei der Software um einen verbundenen Dienst i.S.d. Kommissionsvorschlages handeln und die Verbrauchsmenge unter die gleiche Datenbereitstellungspflicht wie die Zeit der Nichtnutzung fallen.

Entwickler und Hersteller der Zähler werden wohl das Produktdesign und das Design der Software so anpassen müssen, dass die Rohdaten und die Verbrauchsmenge dem Nutzer und einem von ihm benannten Dritten auf die genannte Art bereitgestellt werden können.

Die Stimmen des EU-Parlaments und des Rates dazu:

Das Parlament möchte die Datenbereitstellungspflicht auf solche Daten beschränken, die „readily available to the data holder“ sind. Die Produktdesignpflicht soll entsprechend reduziert werden, Erwägungsgrund 17 (s.o.) soll entfallen. Das würde in o.g. Beispiel dazu führen, dass der Zähler-Hersteller nichts unternehmen müsste. Ihm selbst sind keine Daten zugänglich.

Auch der Rat möchte Erwägungsgrund 17 streichen, nimmt „Nebenprodukte“, wie die Zeit der Nichtnutzung aber ausdrücklich in die Definition von Daten auf. Im Gegensatz zum Kommissionsvorschlag schließt der Rat sich dem Wunsch des Parlaments an, die Datenbereitstellungspflicht auf solche Daten zu beschränken, die „readily available to the data holder“ sind.

Liegt die Entscheidung vor, werden Sie hier auf dem Laufenden gehalten. Bei Fragen oder Beratungsbedarf stehe ich Ihnen gerne zur Verfügung.

Gegebenenfalls zu erstellende Verträge:

  • Datennutzungsvertrag mit dem Nutzer von IoT-Produkten.
  • Vertrag mit dem vom Nutzer benannten Dritten unter Beachtung der Regulatorik des Data Act.
  • Vertrag zum Schutz von offenzulegenden Geschäftsgeheimnissen.

Mehr als 20 Jahre Erfahrung an der
Schnittstelle von Recht, Wirtschaft
und Technik.

Kontakt aufnehmen
10. Juni 2025
NIS-2-Betroffenheit: Auch der aktuelle Entwurf des Umsetzungsgesetzes vom 26. Mai 2025 ist nicht richtlinienkonform
Neuer Entwurf NIS-2-Umsetzungsgesetz vom 26.05.2025 – weiter Rechtsunsicherheit bei der Bestimmung der Betroffenheit.
Artikel lesen
15. April 2025
EU-Rechtsakt zur Förderung von Cloud-Kapazitäten und KI-Entwicklung
EU-Rechtsakt zur Förderung von Cloud-Kapazitäten und KI-Entwicklung.
Artikel lesen
Web-Crawling vs. Urheberrecht
19. Februar 2025
Web-Crawling vs. Urheberrecht
Ein grundlegendes Urteil des LG Hamburg hat im September 2024 zu etwas mehr Rechtssicherheit für KI-Trainer geführt.
Artikel lesen
7. Februar 2025
Data Act – Datenzugang und Geschäftsgeheimnisse
Wer als Hersteller ab 12.09.2025 vom Data Act betroffen ist, muss seine Vertraulichkeitsvereinbarungen spätestens jetzt ändern und spezifische Maßnahmen für verschiedene Vertraulichkeitsklassen vereinbaren. Sonst hat die Berufung auf Geschäftsgeheimnisse keinen Erfolg.
Artikel lesen
2. September 2024
Urteil: Bestellung von Zeitkontingenten – Rückzahlungsanspruch bei Nichtausschöpfung
Artikel lesen
17. Februar 2024
Data Act und KI im industriellen Umfeld – Haftungsfragen
Industrial AI-Anwendungen beruhen oft auf KI-Modellen, die mithilfe sensorgenerierter Maschinendaten trainiert wurden. Hoch spannend ist die Frage, wer für die Richtigkeit dieser Daten haftet.
Artikel lesen
2. Februar 2024
Die RED-Verordnung und ihre praktische Umsetzung
Mit der ab 11.08.2025 anwendbaren RED-Verordnung hat die EU Cyber-Security-Anforderungen für Funkanlagen aufgestellt, die unmittelbar oder mittelbar mit dem Internet verbunden sind. Die Umsetzung im Unternehmen gestaltet sich schwierig.
Artikel lesen
Web-Crawling vs. Urheberrecht
2. Juli 2023
Cyber Resilience Act (CRA) – neue Herausforderungen beim Zukauf von SPS im Maschinen- und Anlagenbau
Am 10.12.2024 ist der Cyber Resilience Act in Kraft getreten, ab dem 10.12.2027 wird er vollumfänglich anwendbar sein. Er stellt weitere Cybersicherheitsanforderungen u.a. an Hersteller von Maschinen und Anlagen, die SPS und andere Steuerungen mit digitalen Elementen in ihre Produkte einbauen.
Artikel lesen
22. Mai 2023
KI-generierter Quellcode
KI generierter Quellcode – wem stehen die Nutzungsrechte zu?
Artikel lesen
5. Mai 2023
Der EU Data Act und die Folgen für das Design von IoT-Produkten
Die Pflicht zur Bereitstellung von Daten: Zwingt der EU Data Act Unternehmen zum Re-Design ihrer IoT-Produkte?
Artikel lesen
27. Januar 2023
Data Act – Datenregulierungs-Vorhaben der EU
Die EU-Kommission legt einen Entwurf für ein Datengesetz vor
Artikel lesen
30. November 2022
Updatepflicht für embedded Systems
Digitale-Inhalte-Richtlinie und die Warenkauf-Richtlinie der EU
Artikel lesen
25. November 2022
Agile Einführung einer Software
Fallbeispiel
Artikel lesen
25. November 2022
Vertraulichkeit und Geschäftsgeheimnisse in kollaborativer Cloud-Umgebung
Im Falle kollaborativen Zusammenarbeitens auf einer Plattform sind im Rahmen einer Cloud Security Policy projekt- und rollenbezogene, technische Zugriffsberechtigungen dringend zu empfehlen.
Artikel lesen
15. Mai 2022
CR 2022, 281: Nutzung von Cloud-Services im Unternehmen
Für die IT-Sicherheit ist ein Unternehmen auch bei der Nutzung von Cloud-Services nicht ganz aus der Verantwortung. Es gilt das Prinzip der "Shared Responsibility". Eine klare Abgrenzung ist entscheidend.
Artikel lesen
15. März 2021
CR 2021, 145: Vertragsklauseln zum IT-Projektmanagement
Zentrale Weichenstellungen
Artikel lesen