IT-Recht 

Ihr Ansprechpartner für dieses Rechtsgebiet:

  • Roman Ronneburger (Software-Verträge, Plattformrecht, Open-Source-Compliance, internationale Datentransfers, KI im Urheber- und Medienrecht)
  • Linda Seiffert (IT-Verträge, Datenschutz, E-Commerce, Plattform- und Influencer-Recht)
  • Johannes Schleuning (IT-Vertragsrecht, Schnittstelle zum Gesellschaftsrecht)
  • Alessandra von Piechowski (Datenschutz und KI im Arbeitsverhältnis, Beschäftigtendatenschutz)
  • In technischer Kooperation: Robin Data und Prof. Dr. Döring (Technikexperten)

Die Digitalisierung der Wirtschaft hat in den vergangenen zwei Jahren eine regulatorische Welle ausgelöst, die in Tempo, Tiefe und Detailgrad alles übertrifft, was Unternehmen aus der DSGVO-Einführung 2018 in Erinnerung haben. Cyber Resilience Act, NIS-2-Umsetzungsgesetz, DORA, KI-Verordnung, Data Act, die neue Produkthaftungsrichtlinie und der Digital Services Act greifen ineinander, überlagern sich teilweise und schaffen einen Rechtsrahmen, in dem Software, Daten und digitale Geschäftsmodelle nicht mehr ohne sorgfältige juristische Begleitung betrieben werden können. Wer heute eine SaaS-Anwendung anbietet, ein KI-Modell trainiert, einen Online-Shop führt oder als Konzern den Datenverkehr in die USA organisiert, hat mit einer Vielzahl paralleler Regelwerke zu tun, deren Umsetzungsfristen sich in den Monaten zwischen September 2025 und August 2027 dicht hintereinander reihen.

SES Berlin begleitet Unternehmen aus Berlin und dem gesamten deutschsprachigen Raum seit über vier Jahrzehnten als wirtschaftsrechtliche Kanzlei. Wir kombinieren das wirtschaftsrechtliche Fundament — Gesellschaftsrecht, Vertragsrecht, Arbeitsrecht, Steuerrecht — mit einer technisch fundierten Beratung im IT- und Datenschutzrecht. Wir verstehen Software-Architekturen, Cloud-Modelle und KI-Pipelines nicht nur dogmatisch, sondern auch in ihrer betriebswirtschaftlichen und technischen Logik. Unsere Mandanten sind Startups in Berlin-Mitte ebenso wie traditionsreiche Mittelständler, börsennotierte Konzerne, Plattformbetreiber, Software-Hersteller und Forschungseinrichtungen.

Im Bereich IT-Recht und Datenschutz beraten wir auf den drei großen Säulen, die das digitale Wirtschaftsrecht heute prägen: Softwareverträge in allen Spielarten, Datenschutzrecht mit Schwerpunkt auf internationalen Datenflüssen — und der neu entstandene Schwerpunkt der Software-Compliance, in dem CRA, NIS-2, DORA, AI Act und Produkthaftungsrichtlinie zusammenlaufen. Hinzu kommen E-Commerce-Recht, Open-Source-Compliance, Telemedien- und Plattformrecht sowie die zukunftsweisenden Themen rund um Digitalisierung und Industrie 4.0. Bei technisch komplexen Fragestellungen arbeiten wir mit Robin Data und Prof. Dr. Döring als Technikexperten zusammen und verbinden so juristische Präzision mit technischer Tiefe.

Beratungsschwerpunkte im IT-Recht und Datenschutz im Überblick

Wir beraten Mandanten in mehr als fünfzehn typischen Konstellationen des IT- und Datenschutzrechts:

  • Erstellung, Verhandlung und Prüfung von Softwareverträgen aller Art einschließlich SaaS, Outsourcing, Softwaremiete, Softwarekauf, Softwareerstellung und Service-Level-Agreements
  • Cloud- und Hosting-Verträge, Rechenzentrumsverträge, Verträge mit Internet-Service-Providern und Content-Delivery-Networks
  • Open-Source-Compliance entlang der Software-Lieferkette einschließlich Lizenzanalyse für GPL, LGPL, MPL, MIT, Apache, BSD, EPL und SSPL
  • Datenschutzkonzepte, Datenschutzerklärungen, AVV-Werke und gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
  • Internationale Datentransfers, Transfer Impact Assessments und Begleitung beim EU-US Data Privacy Framework
  • Cyber Resilience Act: Konformitätsbewertung, Schwachstellenmanagement, SBOM und Meldepflichten
  • NIS-2-Umsetzungsgesetz: Registrierung, Risikomanagement, Meldewege, Geschäftsleiterhaftung
  • DORA-Compliance für Finanzdienstleister und ihre IKT-Drittdienstleister
  • KI-Verordnung: Risikoklassifizierung, GPAI-Pflichten, Transparenzanforderungen
  • Telemedien-, Plattform- und DSA-Recht
  • E-Commerce-Recht einschließlich AGB, Widerrufsrecht und Preisangabenverordnung
  • Influencer-Marketing rechtssicher gestalten
  • Bußgeld- und Aufsichtsverfahren vor BlnBDI und BfDI
  • Beschäftigtendatenschutz, Auskunfts- und Löschungsansprüche, betrieblicher Datenschutzbeauftragter
  • Schulungen für Geschäftsleitung, IT, HR und Marketing

Softwareverträge und SaaS-Verträge

Software ist heute das Rückgrat fast jeden Geschäftsmodells. Wer Software einkauft, vermietet, lizenziert, hostet oder selbst entwickelt, bewegt sich in einem Vertragstyp, dem das BGB kein eigenes Kapitel widmet und der trotzdem in Sekundenbruchteilen über Erfolg und Misserfolg eines Projekts entscheiden kann. Die typischen Spannungsfelder sind aus unserer Beratungspraxis hinlänglich bekannt: nicht passgenaue Leistungsbeschreibungen, unklare Abnahme- und Eskalationsregelungen, mangelhafte Service-Level-Definitionen, ungeklärte Eigentums- und Nutzungsrechte an Sourcecode und Daten, fehlerhafte Open-Source-Klauseln und fragwürdige Exit-Szenarien beim Anbieterwechsel.

Wir gestalten und verhandeln Softwareverträge in sämtlichen typischen Varianten. Beim klassischen Softwareerstellungsvertrag prüfen wir Pflichtenheft, Meilensteine, Vergütungsmodell, Abnahmeprozedur, Mängelrechte, Rechtekette und Mitwirkungspflichten des Auftraggebers. Beim Customizing achten wir auf die saubere Trennung zwischen Standardsoftware und individueller Anpassung, denn diese Trennung entscheidet später über Gewährleistung, Wartungspflichten und die Wahrung von Investitionsschutz. Bei SaaS-Verträgen geht es um Verfügbarkeit, Reaktions- und Wiederherstellungszeiten, Pönalen, Audit-Rechte, Datenmigration und vor allem um die rechtssichere Verknüpfung mit dem Datenschutzrecht.

Service Level Agreements sind in unserer Beratung kein Anhang, sondern ein Kernstück des Vertrages. Wir achten auf realistische und messbare KPIs, auf eine saubere Definition der Bezugsgröße — etwa monatlich, quartalsweise oder jährlich —, auf die Berücksichtigung von Wartungsfenstern, auf eine pragmatische Eskalationskette und auf Pönalen, die nicht zur AGB-rechtlichen Falle nach §§ 305 ff. BGB werden. Bei Outsourcing-Projekten kombinieren wir die IT-vertragsrechtliche Begleitung mit gesellschafts- und arbeitsrechtlicher Beratung, weil dort regelmäßig Betriebsübergänge, Betriebsratsbeteiligung und Mitbestimmungsrechte zu klären sind.

Verträge mit Hosting-Anbietern, Cloud-Dienstleistern, Telekommunikationsunternehmen und Content-Delivery-Networks bilden inzwischen ein eigenes vertragsrechtliches Feld. Hier mischen sich miet-, dienst-, werk- und kaufrechtliche Elemente, hinzu kommen datenschutz- und sicherheitsrechtliche Pflichten aus DSGVO, NIS-2 und DORA. Wir prüfen Standard-AGB von Hyperscalern wie Amazon Web Services, Microsoft Azure und Google Cloud Platform genauso wie individuelle Verträge mit europäischen Anbietern. Insbesondere die Cloud-Act-Problematik und die Folgen für Drittlandstransfers nach Art. 44 ff. DSGVO behandeln wir gemeinsam mit unseren US-Korrespondenzkanzleien.

Datenschutz und DSGVO-Beratung in Berlin

Der Datenschutz hat sich seit Geltungsbeginn der DSGVO am 25. Mai 2018 zu einem Querschnittsthema entwickelt, das aus keinem Unternehmensprozess mehr wegzudenken ist. Bußgelder europäischer Aufsichtsbehörden überschreiten regelmäßig die Hundert-Millionen-Euro-Marke, deutsche Behörden zeigen sich zunehmend durchsetzungsfreudig, und gerade die Berliner Beauftragte für Datenschutz und Informationsfreiheit, die Berliner BlnBDI, hat sich in den vergangenen Jahren als eine der aktiveren Aufsichtsbehörden im Bundesgebiet etabliert. Hinzu kommen die EDSA-Leitlinien, die EuGH-Rechtsprechung — von Schrems II bis zur jüngeren Judikatur zum immateriellen Schadensersatz nach Art. 82 DSGVO — und ein zunehmend aktivierter Privatdurchsetzungsweg durch Verbraucherverbände, Wettbewerber und einzelne Betroffene.

Wir erstellen Datenschutzkonzepte für Unternehmen aller Größenordnungen, vom Startup mit zwölf Mitarbeitenden bis zum international agierenden Konzern. Im Mittelpunkt steht ein praxistauglicher Verarbeitungsverzeichnis-Aufbau nach Art. 30 DSGVO, eine belastbare Rechtsgrundlagen-Matrix nach Art. 6 und 9 DSGVO, ein durchdachter Prozess für Betroffenenrechte nach Art. 15 bis 22 DSGVO, eine wirksame Datenschutz-Folgenabschätzung nach Art. 35 DSGVO sowie ein Notfallplan für Datenpannen nach Art. 33 und 34 DSGVO.

Auftragsverarbeitungsverträge nach Art. 28 DSGVO sind ein Klassiker unserer Beratung. Wir erstellen Mustervorlagen, prüfen Anbieter-AVV, verhandeln einzeln und vor allem klären die Abgrenzung zwischen Auftragsverarbeitung, gemeinsamer Verantwortlichkeit und getrennter Verantwortlichkeit. Gerade bei modernen Plattform- und Marketing-Modellen verschwimmen diese Rollen, mit teils dramatischen Folgen für Haftung und Aufsicht.

Beim internationalen Datentransfer beraten wir umfassend zu den Standardvertragsklauseln 2021, zum Transfer Impact Assessment in Anlehnung an die EDSA-Empfehlungen 01/2020, zu zusätzlichen Maßnahmen im Sinne von Schrems II und zur Anwendung des EU-US Data Privacy Framework, das nach dem Adäquanzbeschluss vom 10. Juli 2023 die zentrale Brücke für transatlantische Datenflüsse bildet. Wir kennen die Implikationen des Cloud Act, des FISA 702 und der Executive Order 14086 und übersetzen diese in vertragliche Schutzmechanismen, technische und organisatorische Maßnahmen und realistische Risikobewertungen für die Geschäftsleitung.

Im Beschäftigtendatenschutz beraten wir zu allen Phasen des Arbeitsverhältnisses — von Bewerbermanagement über interne Ermittlungen, Whistleblower-Systeme, Mitarbeiter-Monitoring und die Einführung neuer IT-Werkzeuge bis hin zur Beendigung mit ihren typischen datenschutzrechtlichen Fragestellungen. Wir arbeiten dabei eng mit den Arbeitsrechtlern unserer Kanzlei zusammen, denn fast jede datenschutzrechtliche Frage im Personalbereich ist zugleich eine mitbestimmungsrechtliche und individualarbeitsrechtliche.

Bußgeldverfahren vor der BlnBDI, dem BfDI und anderen Aufsichtsbehörden begleiten wir von der ersten Anhörung bis zum gerichtlichen Verfahren vor dem Verwaltungsgericht und gegebenenfalls dem Bundesverwaltungsgericht. Unsere Verteidigungsstrategie kombiniert dogmatische Tiefe mit prozessualem Fingerspitzengefühl und betriebswirtschaftlichem Augenmaß.

Software-Compliance in Berlin: CRA, NIS-2, DORA und AI Act

Mit Cyber Resilience Act, NIS-2-Umsetzungsgesetz, DORA, KI-Verordnung, Produkthaftungsrichtlinie und Data Act ist 2025 und 2026 die größte regulatorische Welle des digitalen Binnenmarkts seit der DSGVO über die Unternehmen hereingebrochen. Wer Software herstellt, in Verkehr bringt, importiert, vertreibt oder betrieblich einsetzt, muss sich mit einem Geflecht europäischer Verordnungen und Richtlinien auseinandersetzen, deren Vorgaben sich teilweise überschneiden, teilweise ergänzen und in der Summe ein erhebliches Compliance-Programm erfordern. Wir haben hierzu in den vergangenen Monaten eine eigene Beratungspraxis aufgebaut und begleiten Unternehmen entlang aller relevanten Regelwerke.

Cyber Resilience Act (CRA)

Der Cyber Resilience Act, formal Verordnung (EU) 2024/2847, ist am 10. Dezember 2024 im Amtsblatt veröffentlicht worden und am 10. Dezember 2024 in Kraft getreten. Die meisten materiellen Pflichten gelten ab dem 11. Dezember 2027. Die zentrale Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle greift jedoch bereits ab dem 11. September 2026 — eine Frist, die viele Unternehmen unterschätzen.

Der CRA erfasst alle Produkte mit digitalen Elementen, deren bestimmungsgemäße Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netzwerk umfasst. Erfasst sind also Hard- und Softwareprodukte vom IoT-Sensor bis zur Business-Software, von der Smartwatch bis zum Industrieroboter, von der mobilen App bis zum Embedded-Linux-Image in einer Industriesteuerung. Ausgenommen sind nur wenige Bereiche, etwa Medizinprodukte, Kraftfahrzeuge, zivile Luftfahrt und bestimmte SaaS-Konstellationen, die durch andere sektorspezifische Cybersecurity-Regeln erfasst sind.

Hersteller sind verpflichtet, eine Risikobewertung durchzuführen, grundlegende Anforderungen an die Cybersicherheit ab dem Design einzuhalten (Security by Design), eine Software Bill of Materials (SBOM) zu führen und für den vom Hersteller definierten Support-Zeitraum kostenlose Sicherheitsupdates bereitzustellen. Sie müssen ein Schwachstellenmanagement etablieren, das aktive Erkennung, Behebung und Information umfasst.

Die Meldepflichten sind dreistufig und treten zum 11. September 2026 in Kraft: Eine erste Frühwarnung an die zuständige nationale CSIRT und die ENISA muss binnen 24 Stunden nach Kenntnis erfolgen. Eine zweite, ausführlichere Meldung folgt binnen 72 Stunden. Eine abschließende Meldung mit Wurzelanalyse muss spätestens 14 Tage nach Behebung übermittelt werden. Die deutsche Aufsicht liegt voraussichtlich beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Verstöße können mit Bußgeldern von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden. Wir begleiten Hersteller, Importeure und Händler bei der Konformitätsbewertung, der technischen Dokumentation, dem Schwachstellenmanagement und der Vorbereitung der Meldeprozesse.

NIS-2-Richtlinie und NIS2UmsuCG

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) ist in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt worden, das am 6. Dezember 2025 in Kraft getreten ist. Betroffen sind nun rund 30.000 Unternehmen in 18 Sektoren statt der bisher rund 4.500 KRITIS-Unternehmen — von Energie, Verkehr, Gesundheit und digitaler Infrastruktur über das verarbeitende Gewerbe bis zu digitalen Anbietern und Cloud-Diensten. Die Einstufung als wesentliche oder wichtige Einrichtung richtet sich nach Sektor und Größe.

Drei Monate nach Geltungsbeginn — also bis zum 6. März 2026 — müssen sich betroffene Unternehmen bei der zentralen Anlaufstelle des BSI registrieren. Daneben treten umfangreiche Risikomanagement-Pflichten: Informationssicherheits-Managementsystem, Backup- und Wiederherstellungskonzepte, Lieferkettensicherheit, Kryptografie, Multi-Faktor-Authentifizierung, Schulungspflichten. Die Meldepflichten orientieren sich an einem 24/72-Stunden-Schema mit Abschlussbericht binnen eines Monats. Besonders ernst zu nehmen ist die persönliche Haftung der Geschäftsleitung nach § 38 NIS2UmsuCG. Verstöße können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden.

DORA — Digital Operational Resilience Act

Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA) gilt seit dem 17. Januar 2025 unmittelbar. DORA verpflichtet Finanzunternehmen — Banken, Versicherungen, Wertpapierdienstleister, Krypto-Dienstleister und viele weitere — zu einem umfassenden IKT-Risikomanagement, zu Tests der digitalen operationalen Resilienz, zu einem standardisierten Meldewesen für schwerwiegende IKT-Vorfälle und zu einem strengen Drittparteienmanagement.

Im Mittelpunkt steht das Drittparteienregister, in dem alle IKT-Drittdienstleister mit ihren Funktionen erfasst werden. Verträge mit IKT-Drittdienstleistern müssen den Mindestinhalten nach Art. 30 DORA entsprechen, darunter klare Service-Level, Audit-Rechte der Finanzaufsicht, Datenstandort-Regelungen, Exit-Strategien und Subunternehmer-Kontrollen. Wir begleiten Finanzdienstleister und ihre IKT-Drittdienstleister bei der Gap-Analyse, der Vertragsanpassung, dem Aufbau des Drittparteienregisters und der Begleitung von Threat-Led Penetration Tests (TLPT).

KI-Verordnung (AI Act)

Die Verordnung (EU) 2024/1689 über künstliche Intelligenz (KI-VO oder AI Act) ist die weltweit erste umfassende Regulierung von KI-Systemen und gilt seit dem 1. August 2024 schrittweise. Sie verfolgt einen risikobasierten Ansatz, der KI-Systeme in vier Kategorien einteilt: verbotene Praktiken (Art. 5), Hochrisiko-KI (Art. 6 ff.), KI mit Transparenzpflichten (Art. 50) und KI mit minimalem Risiko.

Die Fristenkaskade ist eng getaktet: Seit dem 2. Februar 2025 gelten die Verbote nach Art. 5. Seit dem 2. August 2025 sind die Regelungen zu allgemeinen KI-Modellen (GPAI-Modelle nach Art. 51 ff.) und die Governance-Vorschriften anwendbar. Ab dem 2. August 2026 greifen die zentralen Pflichten für Hochrisiko-KI-Systeme nach Anhang III, ab dem 2. August 2027 auch für Hochrisiko-KI-Systeme nach Anhang I.

Anbieter von Hochrisiko-KI müssen ein Risikomanagementsystem etablieren, Daten-Governance betreiben, eine technische Dokumentation erstellen, Protokollierungs- und Transparenzpflichten erfüllen, menschliche Aufsicht ermöglichen sowie Genauigkeit, Robustheit und Cybersicherheit gewährleisten. Vor dem Inverkehrbringen sind eine Konformitätsbewertung und die CE-Kennzeichnung erforderlich. Auch Betreiber treffen eigene Pflichten, darunter die Grundrechte-Folgenabschätzung (FRIA). Für GPAI-Modelle gelten besondere Transparenz-, Dokumentations- und Urheberrechts-Compliance-Pflichten. Bußgelder können bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen. Wir beraten Anbieter, Importeure, Händler und Betreiber von KI-Systemen entlang der gesamten Wertschöpfungskette.

Produkthaftungsrichtlinie neu (2024/2853)

Die neue Produkthaftungsrichtlinie (EU) 2024/2853 ist am 8. November 2024 im Amtsblatt veröffentlicht worden und muss bis zum 9. Dezember 2026 in nationales Recht umgesetzt werden. Sie bringt drei zentrale Änderungen: Erstens ist Software nun ausdrücklich Produkt — von der Desktop-Software über die mobile App bis zur SaaS-Lösung. Zweitens gelten auch digitale Dienstleistungen, die für das Funktionieren des Produkts notwendig sind, als Produktbestandteil. Drittens ist die Lieferantenhaftung erweitert; auch Fulfillment-Dienstleister können als Hersteller behandelt werden.

Hinzu kommen prozedurale Erleichterungen für Geschädigte: eine Offenlegungspflicht für Beweismittel, Beweislasterleichterungen bei komplexen technischen Sachverhalten und eine Vermutung der Fehlerhaftigkeit bei offensichtlichen Verstößen gegen Produktsicherheits- oder Cybersecurity-Anforderungen. Wer einen CRA-Verstoß begeht, riskiert damit nicht nur Bußgelder, sondern auch zivilrechtliche Haftung. Wir analysieren die Auswirkungen für Hersteller, Software-Anbieter und IoT-Anbieter und unterstützen bei der Anpassung von Versicherungsschutz, Vertragsklauseln und internen Prozessen.

Data Act (Verordnung (EU) 2023/2854)

Der Data Act gilt seit dem 12. September 2025 und schafft erstmals einen horizontalen Rechtsrahmen für den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und damit verbundenen Diensten. Hersteller vernetzter Produkte sind verpflichtet, Nutzern und auf deren Verlangen Dritten den Zugriff auf die durch Produktnutzung generierten Daten zu ermöglichen. Cloud-Anbieter müssen Wechselmechanismen schaffen, Interoperabilität ermöglichen und unangemessene Wechselgebühren bis zum 12. Januar 2027 vollständig abschaffen. Daneben enthält der Data Act eine AGB-Kontrolle für B2B-Datenverträge und Regelungen zum Datenzugang für öffentliche Stellen in Notlagen. Wir beraten Hersteller, Datenempfänger, Cloud-Anbieter und Nutzer bei Vertragsgestaltung, Datenzugangsmodellen und der Abgrenzung zu DSGVO und Geschäftsgeheimnisgesetz.

Synergien und integrierte Governance

Die größte Herausforderung liegt nicht darin, jede einzelne Verordnung isoliert umzusetzen, sondern darin, die Synergien zwischen CRA, NIS-2, DORA, AI Act, DSGVO und Produkthaftung zu nutzen. Ein integriertes Incident-Response-Management kann Meldepflichten nach CRA, NIS-2, DORA und Art. 33 DSGVO simultan bedienen. Ein einheitliches Schwachstellen- und Asset-Management deckt CRA-Pflichten und NIS-2-Risikomanagement ab. Eine konsolidierte Lieferanten-Due-Diligence reduziert die Belastung in Open-Source-Compliance, NIS-2-Supply-Chain und CRA-Schwachstellenpflichten.

Wir entwickeln mit unseren Mandanten eine integrierte Compliance-Architektur, die nicht in Silos denkt, sondern Regelungsschnittmengen produktiv ausnutzt. Bei technisch komplexen Fragestellungen — etwa der technischen Bewertung von Schwachstellen, SBOM-Strukturen oder Security-by-Design-Konzepten — arbeiten wir mit Robin Data und Prof. Dr. Döring als Technikexperten zusammen.

Open-Source-Compliance

Open-Source-Software ist heute integraler Bestandteil praktisch jedes Softwareprodukts. Studien zeigen, dass eine durchschnittliche Geschäftsanwendung zu 70 bis 90 Prozent aus Open-Source-Komponenten besteht. Wer Open Source einsetzt, muss die Lizenzbedingungen einhalten — von Copyleft-Pflichten der GPL und LGPL über die Hinweispflichten von MIT, BSD und Apache 2.0 bis hin zu Sonderkonstellationen wie der MPL, der EPL und der jüngeren SSPL.

Wir analysieren Software-Bestände auf Lizenzkonformität, prüfen SBOMs, beraten zu Compliance-Prozessen in der Entwicklungsabteilung und unterstützen bei M&A-Transaktionen, in denen Open-Source-Risiken Bestandteil der Software-Due-Diligence sind. Wir kennen die einschlägige Rechtsprechung zur Durchsetzbarkeit von Open-Source-Lizenzen und vertreten sowohl Lizenznehmer als auch Rechteinhaber. Mit dem CRA verschärft sich die Bedeutung der Open-Source-Compliance zusätzlich: Hersteller bleiben für die Sicherheit auch der eingebetteten Open-Source-Komponenten verantwortlich.

Cloud und Datentransfer in Drittländer

Die Nutzung von Cloud-Diensten amerikanischer Hyperscaler ist aus dem digitalen Wirtschaftsalltag nicht wegzudenken. Gleichzeitig stellt sie hohe datenschutzrechtliche Anforderungen, die spätestens nach dem Schrems-II-Urteil des EuGH (Urteil vom 16. Juli 2020, C-311/18) im Mittelpunkt jeder Cloud-Beratung stehen. Wir begleiten Mandanten bei der Auswahl von Cloud-Anbietern, prüfen Standard-AGB und individuelle Vereinbarungen, erstellen Transfer Impact Assessments und unterstützen bei der Implementierung zusätzlicher technischer Maßnahmen wie Verschlüsselung, Pseudonymisierung und Tokenisierung.

Das EU-US Data Privacy Framework hat seit dem 10. Juli 2023 eine neue Grundlage für transatlantische Datenflüsse geschaffen. Wir prüfen die Zertifizierung amerikanischer Empfänger über die DPF-Liste, beraten zur Wechselwirkung mit Standardvertragsklauseln und behalten die Entwicklungen in der laufenden EuGH-Diskussion um die Wirksamkeit des Frameworks genau im Blick. Bei besonders sensiblen Datenströmen empfehlen wir oft die Migration auf europäische Anbieter oder die Einrichtung souveräner Cloud-Lösungen mit deutschen Rechenzentren.

E-Commerce-Recht

Online-Shops, Plattformen und Marktplätze sind ein eigener Schwerpunkt unserer Beratung. Wir erstellen maßgeschneiderte AGB, Widerrufsbelehrungen, Datenschutzerklärungen und Impressen für B2C-Shops, B2B-Shops, hybride Modelle und Plattformbetreiber. Wir beraten zur neuen Preisangabenverordnung mit ihrem 30-Tage-Niedrigstpreis-Hinweis, zum Kündigungsbutton nach § 312k BGB, zur Plattform-zu-Geschäftskunden-Verordnung (P2B-VO) und zu den umfangreichen Pflichten aus dem Digital Services Act, der seit dem 17. Februar 2024 für alle Online-Dienste gilt.

Plattformbetreiber treffen erweiterte Pflichten nach dem DSA: Notice-and-Action-Verfahren nach Art. 16, transparente AGB und Moderationsregeln, einheitliche Schnittstellen für vertrauenswürdige Hinweisgeber, Risikomanagement bei sehr großen Online-Plattformen (VLOPs). Hinzu kommen Marketplace-Mandate auf Amazon, eBay, Etsy, Shopify und Otto Market, in denen wir Händler bei AGB-Anpassungen, Account-Sperrungen und Markenrechtsfragen begleiten. Eine vertiefte Darstellung des E-Commerce-Rechts findet sich im separaten Beratungsfeld E-Commerce und AGB-Recht.

Digitalisierung und Industrie 4.0

Die digitale Transformation klassischer Industrieunternehmen wirft eigene rechtliche Fragen auf, die wir mit großer Routine begleiten. Wir gestalten Verträge zur Implementierung neuer Technologien — von IoT-Sensorik über Predictive Maintenance bis zur Robotic Process Automation —, beraten zu neuen Geschäftsmodellen rund um Datenmonetarisierung und Data-as-a-Service und unterstützen bei der vertraglichen Gestaltung selbstlernender Algorithmen. Im Bereich Automotive und autonomes Fahren begleiten wir Hersteller, Zulieferer und Mobilitätsanbieter bei der vertraglichen Strukturierung von Datenflüssen, der haftungsrechtlichen Bewertung von SAE-Level-3- und Level-4-Systemen und der Umsetzung der UNECE-Regelungen.

Tools für DPO- und CISO-Teams

Datenschutzbeauftragte und Chief Information Security Officers stehen heute vor der Aufgabe, eine schnell wachsende Zahl von Pflichten in begrenzter Zeit umzusetzen. Wir unterstützen DPO- und CISO-Teams mit ausgearbeiteten Mustern, Checklisten und Schulungsmaterialien — von der Datenschutz-Folgenabschätzung über das Verzeichnis von Verarbeitungstätigkeiten und das Drittland-Transferregister bis zur Schwachstellenmeldung nach CRA und NIS-2. Wir bieten Inhouse-Workshops, Webinare und maßgeschneiderte Schulungen für Geschäftsleitung, Datenschutz-Team, IT-Sicherheits-Team, HR, Einkauf und Vertrieb an.

IT-Recht 

Ihr Ansprechpartner für dieses Rechtsgebiet:

  • Roman Ronneburger (Software-Verträge, Plattformrecht, Open-Source-Compliance, internationale Datentransfers, KI im Urheber- und Medienrecht)
  • Linda Seiffert (IT-Verträge, Datenschutz, E-Commerce, Plattform- und Influencer-Recht)
  • Johannes Schleuning (IT-Vertragsrecht, Schnittstelle zum Gesellschaftsrecht)
  • Alessandra von Piechowski (Datenschutz und KI im Arbeitsverhältnis, Beschäftigtendatenschutz)
  • In technischer Kooperation: Robin Data und Prof. Dr. Döring (Technikexperten)

Die Digitalisierung der Wirtschaft hat in den vergangenen zwei Jahren eine regulatorische Welle ausgelöst, die in Tempo, Tiefe und Detailgrad alles übertrifft, was Unternehmen aus der DSGVO-Einführung 2018 in Erinnerung haben. Cyber Resilience Act, NIS-2-Umsetzungsgesetz, DORA, KI-Verordnung, Data Act, die neue Produkthaftungsrichtlinie und der Digital Services Act greifen ineinander, überlagern sich teilweise und schaffen einen Rechtsrahmen, in dem Software, Daten und digitale Geschäftsmodelle nicht mehr ohne sorgfältige juristische Begleitung betrieben werden können. Wer heute eine SaaS-Anwendung anbietet, ein KI-Modell trainiert, einen Online-Shop führt oder als Konzern den Datenverkehr in die USA organisiert, hat mit einer Vielzahl paralleler Regelwerke zu tun, deren Umsetzungsfristen sich in den Monaten zwischen September 2025 und August 2027 dicht hintereinander reihen.

SES Berlin begleitet Unternehmen aus Berlin und dem gesamten deutschsprachigen Raum seit über vier Jahrzehnten als wirtschaftsrechtliche Kanzlei. Wir kombinieren das wirtschaftsrechtliche Fundament — Gesellschaftsrecht, Vertragsrecht, Arbeitsrecht, Steuerrecht — mit einer technisch fundierten Beratung im IT- und Datenschutzrecht. Wir verstehen Software-Architekturen, Cloud-Modelle und KI-Pipelines nicht nur dogmatisch, sondern auch in ihrer betriebswirtschaftlichen und technischen Logik. Unsere Mandanten sind Startups in Berlin-Mitte ebenso wie traditionsreiche Mittelständler, börsennotierte Konzerne, Plattformbetreiber, Software-Hersteller und Forschungseinrichtungen.

Im Bereich IT-Recht und Datenschutz beraten wir auf den drei großen Säulen, die das digitale Wirtschaftsrecht heute prägen: Softwareverträge in allen Spielarten, Datenschutzrecht mit Schwerpunkt auf internationalen Datenflüssen — und der neu entstandene Schwerpunkt der Software-Compliance, in dem CRA, NIS-2, DORA, AI Act und Produkthaftungsrichtlinie zusammenlaufen. Hinzu kommen E-Commerce-Recht, Open-Source-Compliance, Telemedien- und Plattformrecht sowie die zukunftsweisenden Themen rund um Digitalisierung und Industrie 4.0. Bei technisch komplexen Fragestellungen arbeiten wir mit Robin Data und Prof. Dr. Döring als Technikexperten zusammen und verbinden so juristische Präzision mit technischer Tiefe.

Beratungsschwerpunkte im IT-Recht und Datenschutz im Überblick

Wir beraten Mandanten in mehr als fünfzehn typischen Konstellationen des IT- und Datenschutzrechts:

  • Erstellung, Verhandlung und Prüfung von Softwareverträgen aller Art einschließlich SaaS, Outsourcing, Softwaremiete, Softwarekauf, Softwareerstellung und Service-Level-Agreements
  • Cloud- und Hosting-Verträge, Rechenzentrumsverträge, Verträge mit Internet-Service-Providern und Content-Delivery-Networks
  • Open-Source-Compliance entlang der Software-Lieferkette einschließlich Lizenzanalyse für GPL, LGPL, MPL, MIT, Apache, BSD, EPL und SSPL
  • Datenschutzkonzepte, Datenschutzerklärungen, AVV-Werke und gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
  • Internationale Datentransfers, Transfer Impact Assessments und Begleitung beim EU-US Data Privacy Framework
  • Cyber Resilience Act: Konformitätsbewertung, Schwachstellenmanagement, SBOM und Meldepflichten
  • NIS-2-Umsetzungsgesetz: Registrierung, Risikomanagement, Meldewege, Geschäftsleiterhaftung
  • DORA-Compliance für Finanzdienstleister und ihre IKT-Drittdienstleister
  • KI-Verordnung: Risikoklassifizierung, GPAI-Pflichten, Transparenzanforderungen
  • Telemedien-, Plattform- und DSA-Recht
  • E-Commerce-Recht einschließlich AGB, Widerrufsrecht und Preisangabenverordnung
  • Influencer-Marketing rechtssicher gestalten
  • Bußgeld- und Aufsichtsverfahren vor BlnBDI und BfDI
  • Beschäftigtendatenschutz, Auskunfts- und Löschungsansprüche, betrieblicher Datenschutzbeauftragter
  • Schulungen für Geschäftsleitung, IT, HR und Marketing

Softwareverträge und SaaS-Verträge

Software ist heute das Rückgrat fast jeden Geschäftsmodells. Wer Software einkauft, vermietet, lizenziert, hostet oder selbst entwickelt, bewegt sich in einem Vertragstyp, dem das BGB kein eigenes Kapitel widmet und der trotzdem in Sekundenbruchteilen über Erfolg und Misserfolg eines Projekts entscheiden kann. Die typischen Spannungsfelder sind aus unserer Beratungspraxis hinlänglich bekannt: nicht passgenaue Leistungsbeschreibungen, unklare Abnahme- und Eskalationsregelungen, mangelhafte Service-Level-Definitionen, ungeklärte Eigentums- und Nutzungsrechte an Sourcecode und Daten, fehlerhafte Open-Source-Klauseln und fragwürdige Exit-Szenarien beim Anbieterwechsel.

Wir gestalten und verhandeln Softwareverträge in sämtlichen typischen Varianten. Beim klassischen Softwareerstellungsvertrag prüfen wir Pflichtenheft, Meilensteine, Vergütungsmodell, Abnahmeprozedur, Mängelrechte, Rechtekette und Mitwirkungspflichten des Auftraggebers. Beim Customizing achten wir auf die saubere Trennung zwischen Standardsoftware und individueller Anpassung, denn diese Trennung entscheidet später über Gewährleistung, Wartungspflichten und die Wahrung von Investitionsschutz. Bei SaaS-Verträgen geht es um Verfügbarkeit, Reaktions- und Wiederherstellungszeiten, Pönalen, Audit-Rechte, Datenmigration und vor allem um die rechtssichere Verknüpfung mit dem Datenschutzrecht.

Service Level Agreements sind in unserer Beratung kein Anhang, sondern ein Kernstück des Vertrages. Wir achten auf realistische und messbare KPIs, auf eine saubere Definition der Bezugsgröße — etwa monatlich, quartalsweise oder jährlich —, auf die Berücksichtigung von Wartungsfenstern, auf eine pragmatische Eskalationskette und auf Pönalen, die nicht zur AGB-rechtlichen Falle nach §§ 305 ff. BGB werden. Bei Outsourcing-Projekten kombinieren wir die IT-vertragsrechtliche Begleitung mit gesellschafts- und arbeitsrechtlicher Beratung, weil dort regelmäßig Betriebsübergänge, Betriebsratsbeteiligung und Mitbestimmungsrechte zu klären sind.

Verträge mit Hosting-Anbietern, Cloud-Dienstleistern, Telekommunikationsunternehmen und Content-Delivery-Networks bilden inzwischen ein eigenes vertragsrechtliches Feld. Hier mischen sich miet-, dienst-, werk- und kaufrechtliche Elemente, hinzu kommen datenschutz- und sicherheitsrechtliche Pflichten aus DSGVO, NIS-2 und DORA. Wir prüfen Standard-AGB von Hyperscalern wie Amazon Web Services, Microsoft Azure und Google Cloud Platform genauso wie individuelle Verträge mit europäischen Anbietern. Insbesondere die Cloud-Act-Problematik und die Folgen für Drittlandstransfers nach Art. 44 ff. DSGVO behandeln wir gemeinsam mit unseren US-Korrespondenzkanzleien.

Datenschutz und DSGVO-Beratung in Berlin

Der Datenschutz hat sich seit Geltungsbeginn der DSGVO am 25. Mai 2018 zu einem Querschnittsthema entwickelt, das aus keinem Unternehmensprozess mehr wegzudenken ist. Bußgelder europäischer Aufsichtsbehörden überschreiten regelmäßig die Hundert-Millionen-Euro-Marke, deutsche Behörden zeigen sich zunehmend durchsetzungsfreudig, und gerade die Berliner Beauftragte für Datenschutz und Informationsfreiheit, die Berliner BlnBDI, hat sich in den vergangenen Jahren als eine der aktiveren Aufsichtsbehörden im Bundesgebiet etabliert. Hinzu kommen die EDSA-Leitlinien, die EuGH-Rechtsprechung — von Schrems II bis zur jüngeren Judikatur zum immateriellen Schadensersatz nach Art. 82 DSGVO — und ein zunehmend aktivierter Privatdurchsetzungsweg durch Verbraucherverbände, Wettbewerber und einzelne Betroffene.

Wir erstellen Datenschutzkonzepte für Unternehmen aller Größenordnungen, vom Startup mit zwölf Mitarbeitenden bis zum international agierenden Konzern. Im Mittelpunkt steht ein praxistauglicher Verarbeitungsverzeichnis-Aufbau nach Art. 30 DSGVO, eine belastbare Rechtsgrundlagen-Matrix nach Art. 6 und 9 DSGVO, ein durchdachter Prozess für Betroffenenrechte nach Art. 15 bis 22 DSGVO, eine wirksame Datenschutz-Folgenabschätzung nach Art. 35 DSGVO sowie ein Notfallplan für Datenpannen nach Art. 33 und 34 DSGVO.

Auftragsverarbeitungsverträge nach Art. 28 DSGVO sind ein Klassiker unserer Beratung. Wir erstellen Mustervorlagen, prüfen Anbieter-AVV, verhandeln einzeln und vor allem klären die Abgrenzung zwischen Auftragsverarbeitung, gemeinsamer Verantwortlichkeit und getrennter Verantwortlichkeit. Gerade bei modernen Plattform- und Marketing-Modellen verschwimmen diese Rollen, mit teils dramatischen Folgen für Haftung und Aufsicht.

Beim internationalen Datentransfer beraten wir umfassend zu den Standardvertragsklauseln 2021, zum Transfer Impact Assessment in Anlehnung an die EDSA-Empfehlungen 01/2020, zu zusätzlichen Maßnahmen im Sinne von Schrems II und zur Anwendung des EU-US Data Privacy Framework, das nach dem Adäquanzbeschluss vom 10. Juli 2023 die zentrale Brücke für transatlantische Datenflüsse bildet. Wir kennen die Implikationen des Cloud Act, des FISA 702 und der Executive Order 14086 und übersetzen diese in vertragliche Schutzmechanismen, technische und organisatorische Maßnahmen und realistische Risikobewertungen für die Geschäftsleitung.

Im Beschäftigtendatenschutz beraten wir zu allen Phasen des Arbeitsverhältnisses — von Bewerbermanagement über interne Ermittlungen, Whistleblower-Systeme, Mitarbeiter-Monitoring und die Einführung neuer IT-Werkzeuge bis hin zur Beendigung mit ihren typischen datenschutzrechtlichen Fragestellungen. Wir arbeiten dabei eng mit den Arbeitsrechtlern unserer Kanzlei zusammen, denn fast jede datenschutzrechtliche Frage im Personalbereich ist zugleich eine mitbestimmungsrechtliche und individualarbeitsrechtliche.

Bußgeldverfahren vor der BlnBDI, dem BfDI und anderen Aufsichtsbehörden begleiten wir von der ersten Anhörung bis zum gerichtlichen Verfahren vor dem Verwaltungsgericht und gegebenenfalls dem Bundesverwaltungsgericht. Unsere Verteidigungsstrategie kombiniert dogmatische Tiefe mit prozessualem Fingerspitzengefühl und betriebswirtschaftlichem Augenmaß.

Software-Compliance in Berlin: CRA, NIS-2, DORA und AI Act

Mit Cyber Resilience Act, NIS-2-Umsetzungsgesetz, DORA, KI-Verordnung, Produkthaftungsrichtlinie und Data Act ist 2025 und 2026 die größte regulatorische Welle des digitalen Binnenmarkts seit der DSGVO über die Unternehmen hereingebrochen. Wer Software herstellt, in Verkehr bringt, importiert, vertreibt oder betrieblich einsetzt, muss sich mit einem Geflecht europäischer Verordnungen und Richtlinien auseinandersetzen, deren Vorgaben sich teilweise überschneiden, teilweise ergänzen und in der Summe ein erhebliches Compliance-Programm erfordern. Wir haben hierzu in den vergangenen Monaten eine eigene Beratungspraxis aufgebaut und begleiten Unternehmen entlang aller relevanten Regelwerke.

Cyber Resilience Act (CRA)

Der Cyber Resilience Act, formal Verordnung (EU) 2024/2847, ist am 10. Dezember 2024 im Amtsblatt veröffentlicht worden und am 10. Dezember 2024 in Kraft getreten. Die meisten materiellen Pflichten gelten ab dem 11. Dezember 2027. Die zentrale Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle greift jedoch bereits ab dem 11. September 2026 — eine Frist, die viele Unternehmen unterschätzen.

Der CRA erfasst alle Produkte mit digitalen Elementen, deren bestimmungsgemäße Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netzwerk umfasst. Erfasst sind also Hard- und Softwareprodukte vom IoT-Sensor bis zur Business-Software, von der Smartwatch bis zum Industrieroboter, von der mobilen App bis zum Embedded-Linux-Image in einer Industriesteuerung. Ausgenommen sind nur wenige Bereiche, etwa Medizinprodukte, Kraftfahrzeuge, zivile Luftfahrt und bestimmte SaaS-Konstellationen, die durch andere sektorspezifische Cybersecurity-Regeln erfasst sind.

Hersteller sind verpflichtet, eine Risikobewertung durchzuführen, grundlegende Anforderungen an die Cybersicherheit ab dem Design einzuhalten (Security by Design), eine Software Bill of Materials (SBOM) zu führen und für den vom Hersteller definierten Support-Zeitraum kostenlose Sicherheitsupdates bereitzustellen. Sie müssen ein Schwachstellenmanagement etablieren, das aktive Erkennung, Behebung und Information umfasst.

Die Meldepflichten sind dreistufig und treten zum 11. September 2026 in Kraft: Eine erste Frühwarnung an die zuständige nationale CSIRT und die ENISA muss binnen 24 Stunden nach Kenntnis erfolgen. Eine zweite, ausführlichere Meldung folgt binnen 72 Stunden. Eine abschließende Meldung mit Wurzelanalyse muss spätestens 14 Tage nach Behebung übermittelt werden. Die deutsche Aufsicht liegt voraussichtlich beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Verstöße können mit Bußgeldern von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden. Wir begleiten Hersteller, Importeure und Händler bei der Konformitätsbewertung, der technischen Dokumentation, dem Schwachstellenmanagement und der Vorbereitung der Meldeprozesse.

NIS-2-Richtlinie und NIS2UmsuCG

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) ist in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt worden, das am 6. Dezember 2025 in Kraft getreten ist. Betroffen sind nun rund 30.000 Unternehmen in 18 Sektoren statt der bisher rund 4.500 KRITIS-Unternehmen — von Energie, Verkehr, Gesundheit und digitaler Infrastruktur über das verarbeitende Gewerbe bis zu digitalen Anbietern und Cloud-Diensten. Die Einstufung als wesentliche oder wichtige Einrichtung richtet sich nach Sektor und Größe.

Drei Monate nach Geltungsbeginn — also bis zum 6. März 2026 — müssen sich betroffene Unternehmen bei der zentralen Anlaufstelle des BSI registrieren. Daneben treten umfangreiche Risikomanagement-Pflichten: Informationssicherheits-Managementsystem, Backup- und Wiederherstellungskonzepte, Lieferkettensicherheit, Kryptografie, Multi-Faktor-Authentifizierung, Schulungspflichten. Die Meldepflichten orientieren sich an einem 24/72-Stunden-Schema mit Abschlussbericht binnen eines Monats. Besonders ernst zu nehmen ist die persönliche Haftung der Geschäftsleitung nach § 38 NIS2UmsuCG. Verstöße können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden.

DORA — Digital Operational Resilience Act

Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA) gilt seit dem 17. Januar 2025 unmittelbar. DORA verpflichtet Finanzunternehmen — Banken, Versicherungen, Wertpapierdienstleister, Krypto-Dienstleister und viele weitere — zu einem umfassenden IKT-Risikomanagement, zu Tests der digitalen operationalen Resilienz, zu einem standardisierten Meldewesen für schwerwiegende IKT-Vorfälle und zu einem strengen Drittparteienmanagement.

Im Mittelpunkt steht das Drittparteienregister, in dem alle IKT-Drittdienstleister mit ihren Funktionen erfasst werden. Verträge mit IKT-Drittdienstleistern müssen den Mindestinhalten nach Art. 30 DORA entsprechen, darunter klare Service-Level, Audit-Rechte der Finanzaufsicht, Datenstandort-Regelungen, Exit-Strategien und Subunternehmer-Kontrollen. Wir begleiten Finanzdienstleister und ihre IKT-Drittdienstleister bei der Gap-Analyse, der Vertragsanpassung, dem Aufbau des Drittparteienregisters und der Begleitung von Threat-Led Penetration Tests (TLPT).

KI-Verordnung (AI Act)

Die Verordnung (EU) 2024/1689 über künstliche Intelligenz (KI-VO oder AI Act) ist die weltweit erste umfassende Regulierung von KI-Systemen und gilt seit dem 1. August 2024 schrittweise. Sie verfolgt einen risikobasierten Ansatz, der KI-Systeme in vier Kategorien einteilt: verbotene Praktiken (Art. 5), Hochrisiko-KI (Art. 6 ff.), KI mit Transparenzpflichten (Art. 50) und KI mit minimalem Risiko.

Die Fristenkaskade ist eng getaktet: Seit dem 2. Februar 2025 gelten die Verbote nach Art. 5. Seit dem 2. August 2025 sind die Regelungen zu allgemeinen KI-Modellen (GPAI-Modelle nach Art. 51 ff.) und die Governance-Vorschriften anwendbar. Ab dem 2. August 2026 greifen die zentralen Pflichten für Hochrisiko-KI-Systeme nach Anhang III, ab dem 2. August 2027 auch für Hochrisiko-KI-Systeme nach Anhang I.

Anbieter von Hochrisiko-KI müssen ein Risikomanagementsystem etablieren, Daten-Governance betreiben, eine technische Dokumentation erstellen, Protokollierungs- und Transparenzpflichten erfüllen, menschliche Aufsicht ermöglichen sowie Genauigkeit, Robustheit und Cybersicherheit gewährleisten. Vor dem Inverkehrbringen sind eine Konformitätsbewertung und die CE-Kennzeichnung erforderlich. Auch Betreiber treffen eigene Pflichten, darunter die Grundrechte-Folgenabschätzung (FRIA). Für GPAI-Modelle gelten besondere Transparenz-, Dokumentations- und Urheberrechts-Compliance-Pflichten. Bußgelder können bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen. Wir beraten Anbieter, Importeure, Händler und Betreiber von KI-Systemen entlang der gesamten Wertschöpfungskette.

Produkthaftungsrichtlinie neu (2024/2853)

Die neue Produkthaftungsrichtlinie (EU) 2024/2853 ist am 8. November 2024 im Amtsblatt veröffentlicht worden und muss bis zum 9. Dezember 2026 in nationales Recht umgesetzt werden. Sie bringt drei zentrale Änderungen: Erstens ist Software nun ausdrücklich Produkt — von der Desktop-Software über die mobile App bis zur SaaS-Lösung. Zweitens gelten auch digitale Dienstleistungen, die für das Funktionieren des Produkts notwendig sind, als Produktbestandteil. Drittens ist die Lieferantenhaftung erweitert; auch Fulfillment-Dienstleister können als Hersteller behandelt werden.

Hinzu kommen prozedurale Erleichterungen für Geschädigte: eine Offenlegungspflicht für Beweismittel, Beweislasterleichterungen bei komplexen technischen Sachverhalten und eine Vermutung der Fehlerhaftigkeit bei offensichtlichen Verstößen gegen Produktsicherheits- oder Cybersecurity-Anforderungen. Wer einen CRA-Verstoß begeht, riskiert damit nicht nur Bußgelder, sondern auch zivilrechtliche Haftung. Wir analysieren die Auswirkungen für Hersteller, Software-Anbieter und IoT-Anbieter und unterstützen bei der Anpassung von Versicherungsschutz, Vertragsklauseln und internen Prozessen.

Data Act (Verordnung (EU) 2023/2854)

Der Data Act gilt seit dem 12. September 2025 und schafft erstmals einen horizontalen Rechtsrahmen für den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und damit verbundenen Diensten. Hersteller vernetzter Produkte sind verpflichtet, Nutzern und auf deren Verlangen Dritten den Zugriff auf die durch Produktnutzung generierten Daten zu ermöglichen. Cloud-Anbieter müssen Wechselmechanismen schaffen, Interoperabilität ermöglichen und unangemessene Wechselgebühren bis zum 12. Januar 2027 vollständig abschaffen. Daneben enthält der Data Act eine AGB-Kontrolle für B2B-Datenverträge und Regelungen zum Datenzugang für öffentliche Stellen in Notlagen. Wir beraten Hersteller, Datenempfänger, Cloud-Anbieter und Nutzer bei Vertragsgestaltung, Datenzugangsmodellen und der Abgrenzung zu DSGVO und Geschäftsgeheimnisgesetz.

Synergien und integrierte Governance

Die größte Herausforderung liegt nicht darin, jede einzelne Verordnung isoliert umzusetzen, sondern darin, die Synergien zwischen CRA, NIS-2, DORA, AI Act, DSGVO und Produkthaftung zu nutzen. Ein integriertes Incident-Response-Management kann Meldepflichten nach CRA, NIS-2, DORA und Art. 33 DSGVO simultan bedienen. Ein einheitliches Schwachstellen- und Asset-Management deckt CRA-Pflichten und NIS-2-Risikomanagement ab. Eine konsolidierte Lieferanten-Due-Diligence reduziert die Belastung in Open-Source-Compliance, NIS-2-Supply-Chain und CRA-Schwachstellenpflichten.

Wir entwickeln mit unseren Mandanten eine integrierte Compliance-Architektur, die nicht in Silos denkt, sondern Regelungsschnittmengen produktiv ausnutzt. Bei technisch komplexen Fragestellungen — etwa der technischen Bewertung von Schwachstellen, SBOM-Strukturen oder Security-by-Design-Konzepten — arbeiten wir mit Robin Data und Prof. Dr. Döring als Technikexperten zusammen.

Open-Source-Compliance

Open-Source-Software ist heute integraler Bestandteil praktisch jedes Softwareprodukts. Studien zeigen, dass eine durchschnittliche Geschäftsanwendung zu 70 bis 90 Prozent aus Open-Source-Komponenten besteht. Wer Open Source einsetzt, muss die Lizenzbedingungen einhalten — von Copyleft-Pflichten der GPL und LGPL über die Hinweispflichten von MIT, BSD und Apache 2.0 bis hin zu Sonderkonstellationen wie der MPL, der EPL und der jüngeren SSPL.

Wir analysieren Software-Bestände auf Lizenzkonformität, prüfen SBOMs, beraten zu Compliance-Prozessen in der Entwicklungsabteilung und unterstützen bei M&A-Transaktionen, in denen Open-Source-Risiken Bestandteil der Software-Due-Diligence sind. Wir kennen die einschlägige Rechtsprechung zur Durchsetzbarkeit von Open-Source-Lizenzen und vertreten sowohl Lizenznehmer als auch Rechteinhaber. Mit dem CRA verschärft sich die Bedeutung der Open-Source-Compliance zusätzlich: Hersteller bleiben für die Sicherheit auch der eingebetteten Open-Source-Komponenten verantwortlich.

Cloud und Datentransfer in Drittländer

Die Nutzung von Cloud-Diensten amerikanischer Hyperscaler ist aus dem digitalen Wirtschaftsalltag nicht wegzudenken. Gleichzeitig stellt sie hohe datenschutzrechtliche Anforderungen, die spätestens nach dem Schrems-II-Urteil des EuGH (Urteil vom 16. Juli 2020, C-311/18) im Mittelpunkt jeder Cloud-Beratung stehen. Wir begleiten Mandanten bei der Auswahl von Cloud-Anbietern, prüfen Standard-AGB und individuelle Vereinbarungen, erstellen Transfer Impact Assessments und unterstützen bei der Implementierung zusätzlicher technischer Maßnahmen wie Verschlüsselung, Pseudonymisierung und Tokenisierung.

Das EU-US Data Privacy Framework hat seit dem 10. Juli 2023 eine neue Grundlage für transatlantische Datenflüsse geschaffen. Wir prüfen die Zertifizierung amerikanischer Empfänger über die DPF-Liste, beraten zur Wechselwirkung mit Standardvertragsklauseln und behalten die Entwicklungen in der laufenden EuGH-Diskussion um die Wirksamkeit des Frameworks genau im Blick. Bei besonders sensiblen Datenströmen empfehlen wir oft die Migration auf europäische Anbieter oder die Einrichtung souveräner Cloud-Lösungen mit deutschen Rechenzentren.

E-Commerce-Recht

Online-Shops, Plattformen und Marktplätze sind ein eigener Schwerpunkt unserer Beratung. Wir erstellen maßgeschneiderte AGB, Widerrufsbelehrungen, Datenschutzerklärungen und Impressen für B2C-Shops, B2B-Shops, hybride Modelle und Plattformbetreiber. Wir beraten zur neuen Preisangabenverordnung mit ihrem 30-Tage-Niedrigstpreis-Hinweis, zum Kündigungsbutton nach § 312k BGB, zur Plattform-zu-Geschäftskunden-Verordnung (P2B-VO) und zu den umfangreichen Pflichten aus dem Digital Services Act, der seit dem 17. Februar 2024 für alle Online-Dienste gilt.

Plattformbetreiber treffen erweiterte Pflichten nach dem DSA: Notice-and-Action-Verfahren nach Art. 16, transparente AGB und Moderationsregeln, einheitliche Schnittstellen für vertrauenswürdige Hinweisgeber, Risikomanagement bei sehr großen Online-Plattformen (VLOPs). Hinzu kommen Marketplace-Mandate auf Amazon, eBay, Etsy, Shopify und Otto Market, in denen wir Händler bei AGB-Anpassungen, Account-Sperrungen und Markenrechtsfragen begleiten. Eine vertiefte Darstellung des E-Commerce-Rechts findet sich im separaten Beratungsfeld E-Commerce und AGB-Recht.

Digitalisierung und Industrie 4.0

Die digitale Transformation klassischer Industrieunternehmen wirft eigene rechtliche Fragen auf, die wir mit großer Routine begleiten. Wir gestalten Verträge zur Implementierung neuer Technologien — von IoT-Sensorik über Predictive Maintenance bis zur Robotic Process Automation —, beraten zu neuen Geschäftsmodellen rund um Datenmonetarisierung und Data-as-a-Service und unterstützen bei der vertraglichen Gestaltung selbstlernender Algorithmen. Im Bereich Automotive und autonomes Fahren begleiten wir Hersteller, Zulieferer und Mobilitätsanbieter bei der vertraglichen Strukturierung von Datenflüssen, der haftungsrechtlichen Bewertung von SAE-Level-3- und Level-4-Systemen und der Umsetzung der UNECE-Regelungen.

Tools für DPO- und CISO-Teams

Datenschutzbeauftragte und Chief Information Security Officers stehen heute vor der Aufgabe, eine schnell wachsende Zahl von Pflichten in begrenzter Zeit umzusetzen. Wir unterstützen DPO- und CISO-Teams mit ausgearbeiteten Mustern, Checklisten und Schulungsmaterialien — von der Datenschutz-Folgenabschätzung über das Verzeichnis von Verarbeitungstätigkeiten und das Drittland-Transferregister bis zur Schwachstellenmeldung nach CRA und NIS-2. Wir bieten Inhouse-Workshops, Webinare und maßgeschneiderte Schulungen für Geschäftsleitung, Datenschutz-Team, IT-Sicherheits-Team, HR, Einkauf und Vertrieb an.