Suchergebnisse für

Dr. Dorothee Altenburg berät und vertritt Mandanten in allen Aspekten des gewerblichen Rechtsschutzes, insbesondere beim Aufbau von Markenstrategien im In- und Ausland sowie der Verwertung und Verteidigung von Marken, Geschmacksmustern und Patenten. Neben der Recherche von Marken und Geschmacksmustern sowie deren Durchsetzung bei den Ämtern Deutschlands, der EU sowie der WIPO verwaltet und überwacht Dorothee Altenburg Markeneintragungen und -portfolios weltweit. Sie verfügt über langjährige Expertise in der Konzeption von Lizenz- und Abgrenzungsverträgen sowie in der Prozessführung vor deutschen Gerichten im Immaterialgüter- und Wettbewerbsrecht. Zur Sicherung effektiven Rechtsschutzes vertritt Dr. Altenburg Schutzrechtsinhaber vor den Zollbehörden in Fällen von Produktpiraterie und koordiniert EU-weite Grenzbeschlagnahmeverfahren.

Ein weiterer Schwerpunkt ihrer Tätigkeit liegt in der Beratung und Vertretung von Verlagen, Medienunternehmen und Künstlern auf den Gebieten des Urheber- und Verlagsrechts sowie des Persönlichkeitsrechts.

Einer der beiden Schwerpunkte von Frank van Alen liegt in der Prozessführung und Beratung von Banken und Sparkassen. Die Prozessführung überwiegt hierbei aktuell und erstreckt sich auf alle Bereiche des Bankrechts. Die Beratung umfasst ein Spektrum von bankaufsichtsrechtlichen Themen bis hin zur Einführung neuer Produkte. Im Gesellschaftsrecht berät er überwiegend Gesellschafter und Geschäftsführer von GmbHs und Kommanditgesellschaften sowie eingetragene Vereine. Das Beratungsfeld erstreckt sich von der Gesellschaftsgründung über die Umstrukturierung von Unternehmensgruppen bis zur Sanierungsberatung und der streitigen Auseinandersetzung zwischen Gesellschaftern. Herr van Alen ist ferner im Bereich M&A tätig und begleitet den Erwerb und Verkauf von Unternehmen und Beteiligungsgesellschaften.

Nikolaus Bertermann war rund zehn Jahre lang Justiziar eines europaweit führenden Internet-Service-Providers und kann daher bei der Beratung auf vertieftes technisches Know-how, gute Kenntnisse der IT-Branche und langjährige Erfahrung als Unternehmensjurist zurückgreifen.

Er berät umfassend, zu allen Formen von klassischen und agilen Softwareerstellungs- und IT-Projektverträgen, zur Nutzung und Anpassung von Open-Source-Software sowie zum Cloud Computing innerhalb und außerhalb der EU.

Herr Bertermann führt Datenschutzaudits durch, berät Unternehmen bei der rechtskonformen Gestaltung von Datenverarbeitungsprozessen innerhalb und außerhalb von Konzernstrukturen und begleitet Mandanten in Projekten zur Umsetzung der Anforderungen der EU-Datenschutz-Grundverordnung. Für den Verlag C.H.Beck hat er zentrale Vorschriften der DS-GVO kommentiert.

Eva Bonacker berät in- und ausländische Mandanten bei allen Fragen des europäischen und deutschen Kartell- und Wettbewerbsrechts sowie im Gesellschaftsrecht und bei Unternehmenskäufen und sonstigen Unternehmenstransaktionen.

Die von Eva Bonacker betreuten Mandanten kommen aus verschiedenen Branchen. Dazu gehören insbesondere Medien, IT und Software, E-Commerce, Verlagswesen, Energie, Klimatechnologie und Konsumgüter.

Dr. Mathias Pajunk berät in allen Fragen des öffentlichen Wirtschaftsrechts. Der Schwerpunkt seiner Tätigkeit liegt in der Beratung von öffentlichen Auftraggebern bei der Vergabe von öffentlichen Aufträgen und Dienstleistungskonzessionen. Dies umfasst die Begleitung von Vergaben in sämtlichen Phasen, einschließlich der Vertragsgestaltung. Zugleich vertritt Dr. Mathias Pajunk gleichermaßen öffentliche Auftraggeber und Bieter im Rahmen von vergaberechtlichen Nachprüfungsverfahren. Zu seinen weiteren Tätigkeitsfeldern zählt die Bearbeitung komplexer Fragestellungen auf den Gebieten des Beihilfen- und Kartellrechts. 

Dr. Brock ist spezialisiert auf den Schutz geistigen Eigentums (Marken, Patente, Designs, Urheberrecht etc.), das Lauterkeits- bzw. Wettbewerbsrecht (einschließlich des Werberechts), das IT- und Datenschutzrecht sowie das Vertriebs- und Vertragsrecht.

Seine umfassende Beratung zum geistigen Eigentum beinhaltet sowohl die Anmeldung nationaler und internationaler Schutzrechte als auch deren vertragliche Lizenzierung sowie deren Durchsetzung in gerichtlichen und außergerichtlichen Auseinandersetzungen. Daneben berät er seine Mandanten seit vielen Jahren zu Fragen des Innovations- und Know-how-Schutzes (einschließlich des Schutzes von Geschäftsgeheimnissen), zu grenzüberschreitenden Forschungs- und Entwicklungsprojekten, zu Fragen des Arbeitnehmererfinderrechts sowie zu standardessentiellen Patenten (SEP). Ferner beinhaltet seine Beratung den Aufbau von markenbasierten Gütezeichen-, Label- und Siegelsystemen.

Seine Mandanten kommen aus einer Vielzahl von Branchen (z.B. aus den Bereichen Health Care & Life Sciences, Information Technology und Konsumgüter), wobei der Schwerpunkt bei technologiebasierten und innovativen Unternehmen liegt, deren Unternehmensgröße von Start-ups über mittelständische Unternehmen bis hin zu weltweit agierenden Großkonzernen reicht.

Dr. Oliver M. Bühr berät seit vielen Jahren in allen Themen rund um die Informationstechnologie. Dazu gehören insbesondere Software, Hardware, Projekte, Outsourcing. Häufig unterstützt er seine Mandanten auch bei allen Fragen rund um den Datenschutz, insbesondere bei der Umsetzung der DS-GVO. Er hat ebenfalls im Bereich des E-Business vertiefte Erfahrungen und unterstützt Unternehmen bei der Gestaltung ihrer Angebote im Internet. Auch innovative Themen wie Cloud Computing oder die Beratung von FinTechs gehören zu seinen Tätigkeitsgebieten. Viele der von ihm begleiteten Projekte haben einen internationalen Bezug und er arbeitet dabei eng mit Anwälten aus anderen Rechtsordnungen zusammen.

Als Notar ist er insbesondere in den Bereichen des Immobilienrechts, des Gesellschaftsrechts und des Erbrechts tätig.

Markus von Fuchs ist im Bereich des gewerblichen Rechtsschutzes, insbesondere im Wettbewerbs-, Patent- und Markenrecht sowie im Know-how-Schutz tätig. Er berät Unternehmen bei der Absicherung und wirtschaftlichen Verwertung geistigen Eigentums, zum Beispiel durch Lizenz-, Vertriebs-, F&E- sowie Kooperationsverträge. Ein weiterer Schwerpunkt liegt in der gerichtlichen und außergerichtlichen Verteidigung von geistigen Schutzrechten durch einstweilige Verfügungsverfahren und Hauptsacheklagen, durch Grenzbeschlagnahmeverfahren sowie durch Einleitung und Begleitung strafrechtlicher Maßnahmen bei Produkt- und Markenpiraterie und bei Verletzung von Betriebs- und Geschäftsgeheimnissen. Darüber hinaus berät Markus von Fuchs viele Unternehmen bei der Entwicklung und Einführung neuer Technologien und Geschäftsmodelle. Über besondere Branchenerfahrungen verfügt Markus von Fuchs in der optischen und medizintechnischen Industrie. 

Der Tätigkeitsbereich von Christoph Haesner deckt die gesamte Bandbreite des Medien-, Urheber- und Entertainmentrechts ab. Im Film- und Fernsehbereich sowie im Bereich des Vertriebs und des Lizenzgeschäfts betreut er Mandanten bei rechtlichen Fragen in allen Phasen der Entwicklung, Herstellung, des Vertriebs und der Auswertung von audiovisuellen Produktionen, sowohl im nationalen als auch im internationalen Bereich.

Einen Schwerpunkt der Tätigkeit bilden dabei sämtliche Fragen in und um die Filmfinanzierung, nicht nur bei rein nationalen Projekten, sondern auch bei solchen mit vielfältigem internationalen Bezug.

Ein weiterer Tätigkeitsfokus liegt in der rechtlichen Beratung im Transaktionsgeschäft (M&A) innerhalb der Medienbranche. Hier betreut Christoph Haesner regelmäßig Unternehmen während der gesamten Transaktionsphase und berät bei allen sich im Zuge von M&A-Transaktionen ergebenden sowohl gesellschaftsrechtlichen als auch vertrags-, urheber- und medienrechtlichen Fragen.

Dr. Johann Heyde berät umfassend im gesamten Medien- und Entertainmentrecht. Einer seiner Tätigkeitsschwerpunkte liegt im Bereich von Film und Fernsehen. Im Fokus steht hierbei die rechtliche Begleitung von nationalen und internationalen Film- und TV-Produktionen in allen Belangen – beginnend mit der Filmfinanzierung, dem Filmförderrecht, der Rechteklärung insbesondere im Urheber- und Persönlichkeitsrecht, dem Lizenzvertragsrecht bis hin zur Auswertung der Produktionen.

Ferner umfasst die anwaltliche Tätigkeit von Dr. Johann Heyde die Beratung auf allen Ebenen des Digital Business. Er beschäftigt sich hierbei insbesondere mit Internet-Portalen, Online-Diensten und sonstigen digitalen Medien (einschließlich On-Demand-Plattformen) in Bezug auf sämtliche hierfür relevanten rechtlichen Fragestellungen im E-Commerce-Bereich wie etwa AGB, Verbraucherschutz, Werbe- und Wettbewerbsrecht, Lizenzierung und Verbreitung von Inhalten im Internet.

Dr. Johann Heyde verfügt darüber hinaus über eine besondere Expertise im Musikrecht einschließlich des Rechts der Verwertungsgesellschaften – gerade auch im Bereich der digitalen Medien.

Die Tätigkeit von Dr. Magnus Hirsch umfasst unter anderem die Beratung deutscher und ausländischer Mandanten beim Aufbau von nationalen und internationalen Markenstrategien, grenzüberschreitende Verfolgung von Marken-, Patent- und Designverletzungen sowie bei der Entwicklung von Werbekonzepten, vor allem bei der Werbung und der Gestaltung von Verträgen, wie zum Beispiel Lizenzverträgen, Abgrenzungs- und Vorrechtsvereinbarungen, Werbeagenturverträgen etc. Sie umfasst ferner äußerungs- und presserechtliche Beratung und Vertretung.

Dr. Magnus Hirsch hat mehr als 25 Jahre Erfahrung in der Prozessführung vor zahlreichen Land- und Oberlandesgerichten in Deutschland in Kennzeichen-, Design-, Wettbewerbs- und Urheberrechtsstreitigkeiten und hat mehrere von ihm geführte Verfahren auch bis zum BGH begleitet.

Ein weiterer Schwerpunkt liegt im Bereich Marken- und Wettbewerbsverletzungen im Internet, vor allem im Führen von gerichtlichen und außergerichtlichen Streitigkeiten auch im Zusammenhang mit Internet-Domains sowie der Verfolgung von Patentverletzungen.

Dr. Magnus Hirsch war einige Monate am Standort Hongkong einer internationalen Wirtschaftskanzlei tätig, wobei der Schwerpunkt seiner Tätigkeit im Bereich des gewerblichen Rechtsschutzes in Asien insbesondere in der gerichtlichen und außergerichtlichen Durchsetzung von gewerblichen Schutzrechten sowie der Verfolgung von Marken- und Produktpiraterie in Südostasien lag.

Dr. Oliver Hornung berät nationale und internationale IT-Dienstleister und Anwender, und zwar bei der rechtlichen Strukturierung und Verhandlung von IT-, Projekt- und Outsourcingverträgen, sowie in Fragen des Urheberrechts und der Lizenzierung. Er ist dabei auch regelmäßig in notleidenden Projekten (Konfliktbewältigung) tätig und betreut Mandanten in Schlichtungs- und Schiedsverfahren und widrigenfalls in gerichtlichen Auseinandersetzungen.

Das regulatorische Umfeld für die Nutzung von Daten und entsprechenden Technologien ist komplex und ständig kommen neue Rechtsakte der Europäischen Kommission hinzu. In diesem dynamischen Umfeld berät Dr. Oliver Hornung seine Mandanten zu allen Rechtsfragen, insbesondere mit Fokus KI-Compliance, Data Act, NIS-2, Cyber-Security, Cloud Computing und Datenrecht. 

Ein weiterer Schwerpunkt der anwaltlichen Beratung sind der Datenschutz im Fokus auf Digital Health und die Digital Decade der EU. Falls erforderlich, verteidigt Dr. Oliver Hornung und sein Team die Rechte seiner Mandanten gegenüber Aufsichtsbehörden oder vor Gericht. 

Schließlich betreut Dr. Oliver Hornung Start-ups in allen Fragen rund um das IT-Recht und das Datenschutzrecht. Neben seiner umfangreichen praktischen Arbeit ist Dr. Oliver Hornung auch ein häufig gefragter Vortragender im Datenschutzrecht und IT-Recht.

Klaus Jankowski berät bei komplexen Investitionsprojekten und Unternehmensansiedlungen, schwerpunktmäßig im öffentlichen Bau- und Planungsrecht.

Seit einigen Jahren berät er zudem die Öffentliche Hand bei Gesetzgebungsvorhaben und sensiblen Infrastrukturprojekten.

Er ist im internationalen Anwaltsnetzwerk First Law International an der Spitze aktiv und verfügt über exzellente Kontakte zu Anwaltskanzleien weltweit.

Dr. Bernd Joch gestaltet Unternehmensumstrukturierungen im arbeitsrechtlichen und gesellschaftsrechtlichen Bereich, führt Interessenausgleichs- und Sozialplanverhandlungen und vertritt seine Mandanten in Einigungsstellenverfahren.

Er verfügt über langjährige Erfahrung bei der Beratung von Unternehmen, Vorständen, Geschäftsführern sowie Angestellten insbesondere auch in Kündigungsschutzsachen.

Im handelsrechtlichen Bereich berät und vertritt er Unternehmen insbesondere in Handelsvertreterangelegenheiten.

René M. Kieselmann ist auf EU-Vergaberecht und damit verbundene Gebiete spezialisiert. Er ist u.a. in der Praxisgruppe IT & Digital Business bei SKW Schwarz sowie Life Sciences & Health aktiv und verfügt über umfassende technische Kenntnisse in unterschiedlichen Bereichen. Neben dem IT-Recht berät er im Beihilfenrecht, Fördermittelrecht/Zuwendungsrecht und im Bereich Rettungsdienst und Bevölkerungsschutz, also der gesundheitlichen Gefahrenabwehr. Er gestaltet mit seinem Team komplexe Vergabeprojekte. René Kieselmann achtet auf eine adäquate Kommunikation zwischen Bietern und Auftraggebern und gestaltet Verhandlungen konstruktiv. SKW Schwarz begleitet große Ausschreibungsprojekte u.a. in der Wohnungswirtschaft, im Gesundheitswesen/Pharma und im IT-/Bankbereich. Ebenfalls kennt er die Strukturen in Rettungsdienst und Bevölkerungsschutz bzw. Katastrophenschutz und den regulatorischen Kontext (SGB). Er gestaltet auch dort Vergabeverfahren langfristig konstruktiv („Planungsmodell“, v.a. im Kontext der Bereichsausnahme Rettungsdienst bzw – präziser – Bereichsausnahme Gefahrenabwehr). In diesem Zusammenhang befasst er sich auch mit Fragen des Medizinrechts vom Notarzt bis zum Notfallsanitäter. Er muss zwar nicht oft vor Gericht bzw. vor die Vergabekammer, hat dennoch seit 2009 erhebliche forensische Erfahrung bis hin zum EuGH gesammelt.

Norbert Klingner ist auf nationale und internationale Film- / TV- und Werbefilmproduktion, -finanzierung, -versicherung und -vertrieb spezialisiert. Er vertritt namhafte Produzenten, Verleiher, Weltvertriebe und Filmfinanziers. Seine Expertise reicht damit in der Verhandlung und Vertragsgestaltung vom Beginn der Stoffentwicklung über sämtliche Fragen im Zusammenhang mit der Produktion und deren Finanzierung bis hin zur strategisch richtigen Auswertung und Lizensierung. Eine Auswahl von Filmproduktionen, an denen Herr Klingner mitgewirkt hat, finden Sie auf der Internet Movie Database IMDb.

Margret Knitter berät Ihre Mandanten in allen Belangen des gewerblichen Rechtsschutzes und Wettbewerbsrechts. Dies umfasst nicht nur die strategische Beratung, sondern auch gerichtliche Streitigkeiten. Schwerpunkte ihrer Tätigkeit sind der Aufbau und die Verteidigung von Marken- und Designportfolios, Grenzbeschlagnahmeverfahren sowie die Beratung bei der Entwicklung von Marketingkampagnen. Zudem berät sie zu Kennzeichnungsverpflichtungen, Labeling (Packungsgestaltung), Vermarktungsstrategien & regulatorischen Fragen, insbesondere von Kosmetika, Waschmitteln, Spielwaren, Lebensmitteln sowie im Bereich Cannabis. Ihre Mandanten vertritt sie gegenüber Behörden, Gerichten und der Staatsanwaltschaft.

Im Medien- und Entertainmentrecht berät sie hauptsächlich in Fragen des Werberechts, insbesondere des Product Placements, Branded Entertainment und des Influencer Marketings. Sie ist Mitglied des Vorstands der Branded Content Marketing Association (BCMA) für die DACH Länder sowie des INTA Non-Traditional Marks Committee.

Dr. Olaf Kreißl ist Notar und Rechtsanwalt und schwerpunktmäßig im Bereich des Immobilien-, Gesellschafts- und Erbrechts tätig. Er begleitet hier u.a. bei Immobilientransaktionen, Bauträgerprojekten, Grundstücks- und Wohnungseigentumskaufverträgen sowie Unternehmenstransaktionen (M&A) und allen gesellschaftsrechtlichen Vorgängen (Corporate Housekeeping, Kapitalerhöhungen, Umwandlungs- und Umstrukturierungsmaßnahmen etc.). Im Bereich der Vermögensvorsorge und in der Nachfolgegestaltung bzw. vorweggenommener Erbfolge konzipiert und beurkundet er Schenkungen, Testamente, Eheverträge, Scheidungsfolgevereinbarungen sowie Vorsorge- und Spezialvollmachten.

Er hat zudem langjährige anwaltliche Expertise im Bereich des Real Estate Managements sowie im privaten Bau- und Architektenrecht.  Im Vordergrund steht hier auch die Beratung bei Rechtsfragen im Zusammenhang mit der Verwaltung von Immobilien (gewerbliche Vermietung, Asset Management etc.), bei der Realisierung einer Baumaßnahme sowie der Gestaltung und Verhandlung der entsprechenden immobilienspezifischen Verträge.  

Stefan Kridlo berät laufend nationale und internationale Unternehmen in allen wesentlichen Fragen des Wirtschafts-, Handels- und Gesellschaftsrechts, insbesondere auch bei Unternehmenskäufen.

Schwerpunkte seiner langjährigen Tätigkeit sind die Betreuung von Immobilieninvestoren bei Transaktionen von Immobilien und Immobilienportfolios, deren Strukturierung und Verwaltung. Stefan Kridlo war als Notar bis April 2025 in den Bereichen des Gesellschaftsrechts, des Immobilienrechts und des Erbrechts tätig. Er arbeitet zudem als Testamentsvollstrecker.

Sabine Kröger ist Fachanwältin für Handels- und Gesellschaftsrecht sowie für Bank- und Kapitalmarktrecht und berät und vertritt nationale und internationale Unternehmen, Führungskräfte und Gesellschafter umfassend im Bereich des Gesellschaftsrechts und des Bankrechts.

Sie ist dabei für ihre Mandanten als erfahrene Prozessanwältin auch umfassend forensisch tätig (Corporate Litigation / Banking Litigation).

Besondere Schwerpunkte der Tätigkeiten von Frau Kröger liegen in:

• der Beratung und Vertretung von mittelständischen Unternehmen bzw. deren Geschäftsführer oder Gesellschafter in Gesellschafterstreitigkeiten und gesellschafterinternen Auseinandersetzungen;
• der Übernahme von Gremienvertretungen für Gesellschafter;
• der Beratung und Vertretung von Finanzinvestoren und Kreditinstituten auf dem Gebiet des Kredit- und Kreditsicherungsrechts und bei der Abwehr von Forderungen von Kunden/Anlegern, einschließlich der Vertretung in Masseklageverfahren.

Traditioneller Schwerpunkt ist im Bereich Medien das Entertainment- und Musikrecht. Hier betreut Dr. Kromer Künstler, Musikverlage, Labels, Internetdienstleister, Managements und Veranstalter. Ebenso ist er seit den Anfangstagen des Internet im Bereich Digital Business zuhause. Der schnelle Wandel von E-Commerce-Modellen, Social-Media-Plattformen und Digitalisierungstiefe (Web 4.0, Internet der Dinge) ist laufender Begleiter seiner Arbeit.

Dr. Kromers Erfahrungen als früherer Chefjustiziar und Business-Affairs-Verantwortlicher in einem internationalen Medienkonzern helfen ihm, die operativen und strukturellen Stärken und Schwächen von Unternehmen zu erkennen. Mit diesen Stärken oder auch Schwächen kann man arbeiten und Lösungen finden.

Franziska Ladiges berät Mandanten in allen Fragen des IT- und Datenschutzrechts. Aufgrund von Secondments und langjähriger Erfahrung, verfügt sie über vertiefte Kenntnisse im Datenschutz. In diesem Bereich unterstützt sie Unternehmen (von Kleinunternehmen bis zu börsennotierten Unternehmen) aus verschiedenen Branchen bei der Einführung einer Datenschutz-Compliance. Zudem berät sie zu verschiedenen Einzelfragen aus dem Bereich Datenschutz, unter anderem Auftragsverarbeitung, Betroffenenrechte oder im internationalen Datentransfer. Schließlich führt sie regelmäßig Datenschutz-Quickchecks bei Unternehmen vor Ort durch.

Darüber hinaus verfügt Franziska Ladiges über Erfahrung bei der Gestaltung von Verträgen, welche die Softwareerstellung, -nutzung oder -übertragung regeln. Weiterhin gestaltet und prüft sie AGB (sowohl Einkauf als auch Verkauf und Internet-Plattformen) oder berät bei dem Aufbau von Online-Shops und Internetplattformen. Häufig vertritt sie ihre Mandanten vor staatlichen Gerichten bei Vertragsstreitigkeiten oder datenschutzrechtlichen Angelegenheiten.

Christine Lingenfelser ist auf das Gebiet des nationalen und internationalen Handels- und Vertragsrechtes sowie des Produkthaftungsrechtes spezialisiert. Sie begleitet ihre Mandanten bei der Planung und Gestaltung neuer Projekte und unterstützt sie bei den Vertragsverhandlungen.

Im Bereich des Immobilienrechtes berät Christine Lingenfelser Unternehmen bei der Gestaltung von Bau- und Mietverträgen und unterstützt ihre Mandanten bei der außergerichtlichen oder gerichtlichen Durchsetzung ihrer Forderungen.

Im Bereich Private Clients besteht besonderes Know-how im Bereich der Gründung und Administrierung von Familienstiftungen, der Erstellung von Nachfolgeregelungen für mittelständische Unternehmen und vermögende Privatpersonen sowie in allen Fragen im Zusammenhang mit dem Familienrecht, wobei auch hier der Fokus auf komplexere Vermögenssituationen gerichtet ist. Die Errichtung von Testamenten, Vorsorgevollmachten und Eheverträgen spielt ebenfalls eine große Rolle, wobei ein erheblicher Teil der Fälle einen internationalen Bezug aufweist. Sollten einvernehmliche Lösungen nicht zu erzielen sein, begleitet Herr Meyer die Mandanten im Rahmen einer sorgfältigen strategischen und taktischen Planung auch mit der gebotenen Konfliktbereitschaft durch etwaige Gerichtsverfahren vor den Zivil- und Finanzgerichten. 

Dr. Ulrich Muth berät Unternehmen, insbesondere Kreditinstitute und Finanzdienstleister. Besondere Schwerpunkte seiner Tätigkeit liegen in der Beratung von Gläubigern immobiliengesicherter Kreditforderungen, der Begleitung von Kredit- und Sanierungsverhandlungen, der Abwehr von Schadensersatzansprüchen wegen angeblicher Aufklärungs- und Beratungspflichtverletzungen sowie der Durchsetzung von Gläubigerinteressen in der Insolvenz des Schuldners. Auf der Grundlage langjähriger Prozesserfahrung in den Bereichen Bank-, Handels- und Gesellschaftsrecht sowie in wettbewerbsrechtlichen Auseinandersetzungen entwickelt Dr. Muth gemeinsam mit den Mandanten wirtschaftliche Lösungen zur Vermeidung von Rechtsstreitigkeiten ebenso wie effiziente Prozessstrategien.

Dr. Matthias Nordmann berät internationale Konzerne, Mittelständler, Investoren und Unternehmer bei Fragen des Unternehmens-, Handels- und Gesellschaftsrechts, insbesondere bei Strukturierungen und Mergers & Acquisitions. Ein spezieller Fokus liegt auf Transaktionen in IP/IT getriebenen Branchen sowie Real Estate.

Dr. Orthwein berät seine Mandanten in allen Bereichen des IT-Rechts, insbesondere im Softwarevertragsrecht und bei IT-Outsourcing und sonstigen IT-Projekten. Er ist ein erfahrener Experte für nationale und internationale Datenschutzrechtsfragen und hält regelmäßig Vorträge und Seminare zu diesen Themen. 

Dr. Andreas Peschel-Mehner begleitet seit Beginn des Internets alle Formen des Digital Business, von Start-ups über Multichannel-Angebote bis zu internationalen Internet-Konzernen. Im Mittelpunkt der Beratung stehen alle hierfür relevanten rechtlichen Bereiche, insbesondere Datenschutz- und Nutzungskonzepte, AGB und Verbraucherschutz, Compliance, Werbe-, Gewinnspiel- und Wettbewerbsrecht und andere mehr.
Ein weiterer Schwerpunkt der anwaltlichen Beratung von Dr. Andreas Peschel-Mehner ist das Medien- und Entertainmentrecht, insbesondere sämtliche Belange der Film- und Fernsehbranche. Im Fokus stehen hier alle Aspekte der Finanzierung und weltweiten Auswertung der Produktionen sowie der Rechteerwerb. Einen besonderen Ausschnitt stellen dabei die digitalen Medien dar, sowohl hinsichtlich der Veränderung der Nutzungskonzepte und Erlösströme als auch die Begleitung von Video-On-Demand Plattformen. Einen Auszug der von ihm betreuten Film- und Serien-Projekte finden Sie hier auf der Internet Movie Database IMDb.
Er berät außerdem seit jeher nationale und internationale Computer-Game Publisher und Studios und seit einigen Jahren die Esport-Branche.
Ein wichtiges Querschnittsthema ist für ihn inzwischen in seiner Beratung die Entwicklung und der Einsatz von KI-Technologien geworden.

Ulrich Reber ist Fachanwalt für Internationales Wirtschaftsrecht, er berät und vertritt in- und ausländische Unternehmen im Bereich des Zivil- und Wirtschaftsrechts, insbesondere auf dem Gebiet der Prozessführung (Litigation), etwa in handels- und gesellschaftsrechtlichen Streitigkeiten vor Zivil- und Schiedsgerichten. Ein besonderer Fokus liegt dabei auf der grenzüberschreitenden Forderungsdurchsetzung und Rechtsverteidigung vor Gericht. Zu den Mandanten zählen Unternehmen aus dem europäischen und außereuropäischen Ausland mit Rechtsproblemen in Deutschland. Einen weiteren Tätigkeitsschwerpunkt bilden Spezialfragen auf dem Gebiet des Insolvenzrechts. Zahlreiche Mandanten kommen dabei aus dem Medien- und Entertainment- und IT-Bereich.

Doch wer haftet, wenn der in Auftrag gegebene Content, den der Influencer produziert und veröffentlicht hat, rechtswidrig ist? Das Oberlandesgericht Köln musste sich im Zusammenhang mit der Bewerbung eines Arzneimittels erneut mit dieser Frage auseinandersetzen (Urteil vom 11.09.2025, Az. 6 U 118/24), die auch uns in unserer Praxis regelmäßig beschäftigt.

Das Urteil zeigt deutlich, dass Unternehmen bei Influencer-Marketing-Kampagnen nicht nur die kreative Gestaltung im Blick haben sollten, sondern auch die rechtlichen Rahmenbedingungen. Denn die Rechtsprechung nimmt die beauftragenden Unternehmen immer mehr mit in die Haftung und sieht in den Influencern regelmäßig „Beauftragte“ des jeweiligen Unternehmens im wettbewerbsrechtlichen Sinne, § 8 Abs. 2 Gesetz gegen den unlauteren Wettbewerb (UWG).

Für Heilmittelwerbung (für Arzneimittel & Co.) gelten zum Schutz der Verbraucherinnen und Verbraucher zudem besonders strenge Anforderungen. Hintergrund ist, dass irreführende Werbung in diesem Bereich besonders gravierende Folgen haben kann. Das gilt insbesondere, wenn sie – wie hier – durch eine „bekannte Person“ (siehe § 11 Abs. 1 Nr. 2 Heilmittelwerbegesetz, hier bereits bei 130.000 Followern bejaht) ausgesprochen wird und wenn diese Empfehlungen den Arzneimittelverbrauch fördern könnten. Aus Sicht des Gerichts gilt keine starre Grenze für die Bekanntheit. Entscheidend sei vielmehr, ob die Zielgruppe die Person als „bekannt“ wahrnimmt und ihr vertraut. 

Influencer und Influencerinnen sind sich der rechtlichen Voraussetzungen bei Erstellung ihrer Werbeinhalte möglicherweise nicht bewusst. In dem zu entscheidenden Fall fehlte bspw. die gesetzlich vorgeschriebene Einblendung „Zu Risiken und Nebenwirkungen …“. Diese gelte, für Werbetreibende möglicherweise überraschend, auch für sog. Short-Content in audio-visuellen Medien wie Instagram-Beiträge. Eine Verlinkung des Pflichttexts reiche hier nicht aus.

Praxistipp: Beauftragt ein Unternehmen daher eine Influencerin mit der Bewerbung seines Produkts, sollte es ihr hinreichende Vorgaben zur Gestaltung der zu produzierenden Inhalte machen. Unsere Erfahrung zeigt, dass vor allem detaillierte vertragliche Regelungen die Unternehmen absichern. Wird das Unternehmen dann aufgrund der Influencer-Werbung von einem Wettbewerber oder bspw. der Verbraucherschutzzentrale in Anspruch genommen, kann es auf vertraglicher Grundlage zumindest bei dem Influencer oder der Influencerin Regress nehmen. Gelten in Ihrer Branche besondere regulatorische Vorgaben? Informieren Sie die Influencer über rechtliche Vorgaben, die für die Bewerbung Ihrer Produkte gelten. Zu Risiken und Nebenwirkungen …beim Influencer-Marketing helfen wir Ihnen gern.

Chancen, Risiken und Nebenwirkungen beim Influencer-Marketing: Was alle Beteiligten zur Risikovermeidung in Sachen Haftung für Influencer-Beiträge, insbesondere in sensiblen Bereichen wie der Arzneimittelwerbung, beachten sollten, lesen Sie im heutigen Rechtsprechungs-Update. 

>> Zum vollständigen Guide auf Lexology <<

• Jessica Biastoch (Brea Health) verdeutlichte, dass Krebspatientinnen unterschiedliche Bedürfnisse je nach Lebenssituation haben. Digitale Angebote können Beratung besser personalisieren.
• Frederike Kugland (Femote) zeigte, wie Schnelltests und digitaler Zugang zu Behandlung Intimgesundheit enttabuisieren und verbessern können.
• Eva-Maria Mejinen (Evela Health) adressierte die Menopause als Lebensphase, die lange unterforscht war, obwohl 50 % der Gesellschaft betroffen sind und 90 % Symptome erleben. Erst jetzt entstehen Studien zu den Folgen unbehandelter Beschwerden.
• Dr. med. Therese Pross, MBA (Charité) präsentierte ein Monitoring-Projekt, das Brustkrebspatientinnen per wöchentlichem Fragenbogen unterstützt. Das führt zu signifikant weniger Krankenhausaufenthalten und mehr Lebensqualität.
• Hannah Mugler (SKW Schwarz) brachte die rechtliche Perspektive ein: Gesundheitsdaten sind hochsensibel. Datenschutz, DSGVO und KI-Regulierung bleiben Schlüsselthemen. Nicht zuletzt weil Patientinnen zunehmend bereit sind, Daten zu teilen, wenn sie davon profitieren.

Ein zentraler Konsens:
Digitale Lösungen schaffen Datensätze, die die Realität von Patientinnen deutlich besser abbilden als alles, was heute in Praxen erfasst wird. Und Frauengesundheit ist kein Randgruppenthema. KI kann Forschungslücken schließen – aber nur, wenn sie nicht auf männlich dominierten Daten basiert. 

Danke an unsere Speakerinnen, unsere Moderatorin Alexa von Busse und alle Gäste für einen inspirierenden Abend.

>> Sehen Sie sich hier unseren Aftermovie an <<

Nachdem zahlreiche Digitalverordnungen der EU im Rahmen der Digital Decade in den vergangenen Jahren schrittweise in Kraft getreten sind und teilweise schon Anwendung finden (eine Übersicht über den Status der Gesetze finden Sie auf unserer Digital Decade Landingpage), möchte die EU in eine Konsolidierungs- und Vereinfachungsphase übertreten – vor allem wohl auch auf Druck der Industrie hin, die sich dem zunehmend erheblichen Compliance-Aufwand und teilweise sich überschneidenden Pflichten gegenübersieht. Das Paket soll nun genau hier ansetzen und bestehende Vorschriften besser aufeinander abstimmen, Doppelanforderungen reduzieren und die Anwendung und Umsetzung für Unternehmen praxistauglicher gestalten.

Ergänzt wird der Digital Omnibus, der vor allem eine Konsolidierung der Vorschriften zu Künstlicher Intelligenz, Cybersicherheit und Daten vorsieht, durch die Data Union Strategy, die den Zugang zu hochwertigen Daten für KI erleichtern soll, sowie durch die European Business Wallets, die Unternehmen eine einzige digitale Identität zur Verfügung stellen. 

Nachfolgend möchten wir einen ersten Überblick über die Änderungen des Digital Omnibus aufzeigen:

Was sind die wesentlichen Änderungen beim EU-Datenrecht?

Mit dem Digital Omnibus verfolgt die EU eine konsolidierte Weiterentwicklung des Datenrechts. Ziel sind eine Vereinfachung der Regelungen, die Reduzierung administrativer Lasten und ein klarerer Rahmen für datengestützte Innovation. Im Mittelpunkt stehen Anpassungen am Data Act und punktuelle Änderungen an der DSGVO – alle Datenregeln sollen in diesen beiden Hauptgesetzen konsolidiert werden.

Für den Data Act sind die folgenden Anpassungen vorgesehen:

• Konsolidierung früherer Rechtsakte: Mehrere bisher nebeneinander bestehende Rechtsakte, darunter die Open Data Directive, die Free Flow of Non-Personal Data Regulation und der Data Governance Act, sollen in den Data Act integriert werden, um ein einheitliches Regelwerk für nicht-personenbezogene Daten zu schaffen.
   
• Datenintermediationsdienste: Die verpflichtende Registrierung sowie das EU-Label für Datenintermediäre sollen entfallen, sodass der regulatorische Rahmen insgesamt deutlich verschlankt wird. Neue Vermittlungsmodelle sollen schneller und mit weniger Formalitäten angeboten werden können, da die Markteintrittshürden sinken.
   
• Datenaltruismus: Der rechtliche Rahmen für gemeinwohlorientiertes Datenteilen wird vereinfacht, damit bisherige komplexe Strukturen und Anforderungen reduziert werden. Organisationen sollen Daten leichter für Forschungs-, Gesundheits- oder Nachhaltigkeitszwecke bereitstellen können, ohne umfangreiche administrative Prozesse erfüllen zu müssen.
   
• Datenbestände des öffentlichen Sektors: Die bestehenden Vorgaben zu öffentlichen Datenbeständen sollen zusammengeführt und vereinheitlicht werden, um bestehende Fragmentierungen zu beseitigen. Unternehmen sollen einfacher nachvollziehen können, welche öffentlichen Daten unter welchen Bedingungen genutzt werden können, um Innovation im Binnenmarkt zu stärken.
   
• Business-to-Government-Zugänge (B2G): Der Zugriff staatlicher Stellen auf Unternehmensdaten soll klar auf echte Not- und Krisenlagen wie Naturkatastrophen oder Pandemien begrenzt werden. Unternehmen sollen außerhalb solcher Situationen keinen zusätzlichen oder unklaren Offenlegungspflichten unterliegen.
   
• Entlastung durch Bürokratieabbau und Harmonisierung: Der regulatorische Rahmen in den Bereichen Daten, Datenschutz, Cybersicherheit und KI soll bereinigt und harmonisiert werden, indem Meldesysteme zentralisiert und Informationspflichten reduziert werden.

Folgende Änderungen sind beim Anwendungsbereich der Cloud-Switching-Pflichten vorgesehen:

Der Omnibus-Vorschlag nimmt eine gezielte Neuausrichtung des Anwendungsbereichs der Cloud-Switching-Regeln des Data Act vor. Das Grundprinzip der leichteren Wechselbarkeit zwischen Cloud-, Edge- und Datenverarbeitungsdiensten bleibt bestehen, wird aber präziser gefasst und auf eine stärker verhältnismäßige und risikobasierte Grundlage gestellt. Nachfolgend die wichtigsten Anpassungen im Überblick:

• Einschränkung des Anwendungsbereichs für KMU und Kleinstunternehmen: Die Wechselpflichten sollen nur noch gelten, sofern sie für diese Anbieter technisch realisierbar und wirtschaftlich zumutbar sind. Damit sollen kleinere Marktteilnehmer von unverhältnismäßigen regulatorischen Anforderungen entlastet werden.
   
• Ausnahme kundenspezifischer Datenverarbeitungsdienste: Individuell entwickelte Datenverarbeitungslösungen, die ausschließlich für einen einzelnen Kunden bereitgestellt werden, sollen nicht mehr den vollen Cloud-Switching-Pflichten unterliegen. Hintergrund ist, dass Interoperabilität und standardisierte Datenportabilität bei solchen maßgeschneiderten Architekturen häufig weder technisch sinnvoll noch praktikabel umsetzbar sind.
   
• Betonung technischer und wirtschaftlicher Machbarkeit des Switchings: Der Omnibus präzisiert, dass die Anforderungen nur dann gelten sollen, wenn sie mit vertretbarem Aufwand erfüllt werden können. Diese Klarstellung reduziert bestehende Rechtsunsicherheiten und verhindert, dass Anbieter in Situationen geraten, in denen die Einhaltung faktisch unmöglich oder unverhältnismäßig teuer wäre.
   
• Stärkung bestehender Industriestandards: Die Reform stellt klar, dass Dienstanbieter keine neuen proprietären Schnittstellen entwickeln müssen. Die Verwendung branchenüblicher Datenformate und Protokolle soll genügen, um die Anforderungen zu erfüllen. Dies verringert insbesondere für kleinere Anbieter Entwicklungsaufwand und Integrationskosten.
   
• Weiterhin nutzerfreundlicher Wechselrahmen: Die EU hält am Ziel fest, Wechselkosten zu reduzieren und Nutzerinnen und Nutzern echte Anbieterwechselmöglichkeiten einzuräumen. Gleichzeitig soll die Reform sicherstellen, dass spezialisierte oder kleinere Anbieter nicht durch übermäßige Compliance-Lasten verdrängt werden.

Insgesamt soll ein stärker differenzierter, verhältnismäßiger und risikobasierter Wechselrahmen entstehen. Das Cloud-Switching-Regime des Data Act bleibt funktional erhalten, konzentriert sich künftig aber klarer auf standardisierbare Services und auf Anbieter, für die die Umsetzung der Pflichten realistisch und wirtschaftlich vertretbar ist.

Für die DSGVO und die Regeln für Cookies sind folgende Anpassungen vorgesehen:

• Neuer Ansatz für Cookie-Banner und Consent-Management: Bisher basierte die Regulierung auf einem zweigeteilten Modell: Der Zugriff auf Endgeräte fiel unter die ePrivacy-Richtlinie, während die anschließende Verarbeitung personenbezogener Daten der DSGVO unterlag. Der neue Vorschlag der Kommission beendet dieses Dualsystem. Künftig werden Cookies und vergleichbare Tracking-Technologien vollständig in die DSGVO integriert, sodass ein harmonisierter Rechtsrahmen mit gemeinsamen Grundsätzen, Durchsetzungsmechanismen und Sanktionen gilt.
  Die Kommission erkennt dabei ein bestehendes Problem: Consent-Management funktioniert in der Praxis häufig schlecht. Nutzer werden mit komplexen Pop-ups konfrontiert, viele klicken reflexartig auf „Zustimmen“, ohne sich zu informieren – das entspricht kaum einer informierten Einwilligung wie ursprünglich vom Gesetzgeber vorgesehen. Ziel der Reform ist es daher, die Einwilligung wieder zu einer funktionalen und glaubwürdigen Rechtsgrundlage zu machen. Der Vorschlag schreibt unter anderem vor, dass Cookie-Banner eine echte „Ein-Klick-Option“ zur Ablehnung aller nicht essenziellen Cookies bieten müssen – sichtbar, gleichwertig und ebenso leicht erreichbar wie die Option „Alle akzeptieren“. Eine Ablehnung muss mindestens sechs Monate lang gelten.
   
• Zentrales System für Datenschutzpräferenzen: Noch weitreichender sind die geplanten Regeln zu technischen Präferenzsignalen: Nutzer sollen Datenschutzentscheidungen einmalig (z. B. im Browser oder Betriebssystem) festlegen können. Websites und Apps müssen diese maschinenlesbaren Signale künftig automatisch respektieren. Unternehmen müssen ihre Consent-Mechanismen deshalb technisch so gestalten, dass diese Standards verarbeitet werden können.
   
• Differenzierung zwischen risikoreichem Tracking und risikoarmen Nutzungen: Der Vorschlag führt eine „Whitelist“ bestimmter, datenschutzfreundlicher Nutzungsarten ein, beispielsweise für statistische Auswertungen oder aggregierte Reichweitenmessungen. Wenn die festgelegten Bedingungen erfüllt sind, dürfen Unternehmen Gerätedaten für eng definierte Zwecke ohne Einwilligung und ohne Cookie-Banner verarbeiten. Für Unternehmen, die primär Performance-Analysen oder Serviceoptimierungen durchführen, bedeutet dies weniger Banner, geringeren Compliance-Aufwand und ein nutzerfreundlicheres Erlebnis.
   
• Strengere Durchsetzung, aber mehr Rechtssicherheit: Durch die Integration in die DSGVO unterliegen Verstöße gegen Regeln zum Endgerätezugriff künftig unmittelbar dem bestehenden Sanktionsrahmen. Gleichzeitig soll die Reform die Rechtssicherheit erhöhen, indem sie Fragmentierung reduziert und Schutzstandards präzisiert.
   
• Präzisierungen zur Definition personenbezogener Daten: Der Vorschlag setzt aktuelle EuGH-Rechtsprechung um. Daten gelten für einen Empfänger nicht als personenbezogen, wenn dieser realistischerweise keine Möglichkeit zur Re-Identifizierung hat. Der ursprüngliche Verantwortliche, der pseudonymisiert hat, behält jedoch vollständig die Pflichten aus der DSGVO.
   
• Technische Leitlinien per Durchführungsrechtsakten: Die Kommission erhält die Befugnis, technische Kriterien und Methoden für Pseudonymisierung und die Bewertung von Re-Identifizierungsrisiken festzulegen. Damit sollen Unternehmen künftig über klarere Bewertungsmaßstäbe und praktische Orientierung verfügen.
   
• Änderungen in der DSGVO: Der „Digitale Omnibus“ verändert die Grundstruktur der DSGVO nicht, sondern adressiert konkret identifizierte Problemfelder:
   
  • Innovation und KI: Der Vorschlag stellt klar, dass die Entwicklung und der Betrieb von KI-Systemen und Modellen auf die Rechtsgrundlage des „berechtigten Interesses“ gestützt werden können, solange die Verarbeitung alle Anforderungen der DSGVO erfüllt und nicht durch andere EU- oder nationale Vorschriften untersagt oder an eine Einwilligung geknüpft ist. o Wenn besondere Kategorien personenbezogener Daten lediglich vereinzelt in Trainings- oder Testdatensätzen auftreten und nicht Gegenstand der Sammlung sind, wird eine enge Ausnahme vom üblichen Verarbeitungsverbot eingeführt. Verantwortliche müssen angemessene Schutzmaßnahmen über den gesamten KI-Lebenszyklus hinweg umsetzen, solche Daten entfernen, sobald sie identifiziert werden, und sicherstellen, dass sie weder zur Ableitung von Ergebnissen genutzt noch Dritten zugänglich gemacht werden. Betroffene behalten ein uneingeschränktes Widerspruchsrecht gegen die Verarbeitung ihrer personenbezogenen Daten für diese KI-Zwecke.
     
  • Vereinfachung alltäglicher Compliance-Pflichten: Informationspflichten entfallen, wenn berechtigte Gründe dafür sprechen, dass betroffene Personen die Informationen bereits besitzen und die Verarbeitung kein hohes Risiko darstellt. Davon profitieren vor allem kleinere Unternehmen mit begrenzter Datennutzung.
    Zudem wird das Auskunftsrecht vor missbräuchlicher Nutzung geschützt: Verantwortliche können auf offensichtlich unberechtigte Anfragen mit Ablehnung oder einer angemessenen Gebühr reagieren; die Anforderungen an den Missbrauchsnachweis werden gesenkt.
     
  • Datenschutz-Folgenabschätzungen werden durch EU-weit einheitliche Listen harmonisiert – sowohl für Verarbeitungstypen, die stets eine DSFA erfordern, als auch für solche, die keine benötigen. Dies wird ergänzt durch eine einheitliche Methodologie und Vorlage. 

  • Meldungen von Datenschutzverletzungen an Aufsichtsbehörden werden künftig an die Schwelle des „hohen Risikos“ angeglichen – dieselbe Schwelle, ab der bereits eine Benachrichtigung der betroffenen Personen erforderlich ist. Die Meldung erfolgt zentral über eine gemeinsame Anlaufstelle, die mit anderen digitalen und cybersicherheitsbezogenen Regelwerken verknüpft ist. Für Unternehmen bedeutet dies weniger Meldungen mit geringem Nutzen, eine besser kalkulierbare Risikobewertung sowie einen effizienteren Austausch mit den Aufsichtsbehörden. 

     

Was bedeutet das für Unternehmen? - Für viele Unternehmen wird auf den ersten Blick vor allem die Aussicht auf weniger und vereinfachte Cookie-Banner im Vordergrund stehen. Tatsächlich geht die Reform jedoch deutlich weiter: Jeder gerätebasierte Datenzugriff wird in das einheitliche DSGVO-Regelwerk integriert – ergänzt durch zentrale Präferenzsignale, eine Whitelist für risikoarme Verarbeitungen und höhere Anforderungen an die Gestaltung von Einwilligungen. Gleichzeitig beseitigt der Gesetzgeber langjährige Unklarheiten, etwa zu pseudonymisierten Daten, KI-Training, Auskunftsersuchen, Informationspflichten, DSFAs sowie Meldepflichten bei Datenschutzverletzungen und schafft Strukturen für künftige technische Leitlinien. In der Praxis werden insbesondere diejenigen Unternehmen profitieren, die frühzeitig ihre Cookie- und Tracking-Praktiken an der neuen Whitelist ausrichten, Consent-Flows entlang von „Ein-Klick“-Entscheidungen und zentralen Signalen neu gestalten und KI- sowie Analyseprojekte auf Basis des präzisierten Rahmens zu berechtigtem Interesse und Pseudonymisierung entwickeln. Sie können die angekündigten Vereinfachungen am effektivsten nutzen und gleichzeitig vermeiden, zum Testobjekt für das verschärfte Durchsetzungsmodell zu werden.

Welche Änderungen bringt der Digital Omnibus im Bereich Cybersicherheitsrecht mit sich?

Vereinfachte Meldung von Cybersicherheitsvorfällen: Nach derzeitiger Rechtslage haben Unternehmen im Zuge eines Cybersicherheitsvorfalls verschiedene gesetzliche Meldepflichten nach unterschiedlichen Rechtsakten nebeneinander zu erfüllen (beispielsweise Art. 32 DSGVO, Art. 23 NIS-2-Richtlinie, Art. 14 CRA sowie viele weitere sektorspezifische Meldepflichten wie Art. 73 KI-VO für Hochrisiko-KI-Systeme, Art. 19 DORA im Finanzbereich usw.). Jede dieser Meldeverpflichtungen unterliegt abweichenden inhaltlichen Anforderungen, unterschiedlichen Meldefristen und richtet sich an jeweils unterschiedliche Stellen. Der Vorschlag der EU-Kommission soll die Meldungserstellung im Cybersicherheitsrecht vereinfachen und in einer einheitlichen Anlaufstelle bei der Europäischen Agentur für Cybersicherheit (ENISA) zusammenführen. Bei der ENISA soll dafür ein zentrales Meldeportal eingerichtet werden, in dem betroffene Unternehmen die verpflichtenden Meldungen bei Cybersicherheitsvorfällen gesammelt vornehmen können. Diese werden dann von der ENISA zentral verarbeitet und an die jeweils zuständigen Behörden weitergeleitet. Ermöglicht werden soll auch ein Austausch der jeweils gemeldeten Informationen zwischen den Behörden. Zur Umsetzung der Änderungen soll dabei die nach Art. 16 CRA angelegte Meldeplattform für Schwachstellen genutzt werden. Die EU-Kommission rechnet damit, dass die jährlichen Kosten im Zusammenhang mit der Meldung von Cybersicherheitsvorfällen dadurch um bis zu 50 % gesenkt werden können.
 

Ausdrücklich adressiert werden in dem Entwurf der Kommission bisher insbesondere die bestehenden Meldepflichten nach NIS-2, DSGVO, eIDAS-VO, DORA sowie die RCE-CER-Richtlinie. Die inhaltlichen Anforderungen an die einzelnen Meldepflichten und die hierfür jeweils zuständige Aufsichtsbehörde bleiben hingegen von den Änderungsvorschlägen weitestgehend unberührt. In einzelnen Punkten enthält der Vorschlag jedoch auch inhaltliche Stellschrauben. So soll etwa die Frist für Meldungen von Datenschutzvorfällen in Art. 33 DSGVO auf 96 Stunden erhöht werden und zukünftig nur noch bei Verletzungen mit hohem Betroffenenrisiko in Betracht kommen.

Was sind die wesentlichen Änderungen im Bereich Künstliche Intelligenz und dem AI Act?

Der AI Act trat im August 2024 in Kraft und findet stufenweise Anwendung: Einige Vorschriften, wie bestimmte Verbote, Anforderungen zur KI-Kompetenz und Regeln für General-Purpose-KI-Modelle, gelten bereits. Die restlichen Bestimmungen sollen ab dem 2. August 2026 verbindlich werden.Die Europäische Kommission hat im Rahmen der Stakeholder-Konsultationen 2025 mehrere Herausforderungen identifiziert und schlägt nun folgende Anpassungen vor:

• Neuer Zeitplan für Hochrisiko-KI-Systeme: Die Anwendung der Regeln wird an die Verfügbarkeit von Standards und Unterstützungsinstrumenten gekoppelt. Nach Bestätigung der Kommission, dass diese ausreichend verfügbar sind, treten die Regeln nach einer Übergangsfrist in Kraft.
  • Annex III KI-Systeme: 6 Monate nach der Entscheidung der Kommission oder spätestens bis 2. Dezember 2027.
  • Annex I Systeme: 12 Monate nach der Entscheidung oder spätestens bis 2. August 2028.
     
• KI-Kompetenz: Die Verpflichtung der Unternehmen, ein angemessenes Niveau an KI-Kompetenz sicherzustellen, entfällt. Stattdessen sollen Kommission und Mitgliedstaaten Anbieter und Anwender ermutigen, ausreichende KI-Kompetenz bereitzustellen.
   
• Verarbeitung besonderer Kategorien personenbezogener Daten: Anbieter und Anwender von KI-Systemen dürfen besondere Kategorien personenbezogener Daten für Bias-Erkennung und -Korrektur verarbeiten, sofern geeignete Schutzmaßnahmen eingehalten werden.
   
• Registrierung von Hochrisiko-KI-Systemen: Systeme, die in Hochrisikobereichen für Aufgaben genutzt werden, die selbst nicht als Hochrisiko gelten, müssen nicht mehr registriert werden.
   
• Erweiterung der Nutzung von KI-Regulierungs-Sandboxes und Real-World-Tests: Ab 2028 soll unter anderem eine EU-weite Regulierungs-Sandbox eingerichtet werden.
   
• Abschaffung der Vorschrift eines harmonisierten Post-Market-Monitoring-Plans.
   
• Ausweitung vereinfachter Compliance-Regelungen auf kleine Mid-Cap-Unternehmen (KMUs): Für SMCs sollen bspw. vereinfachte Regeln für die erforderliche technische Dokumentation für KI-Systeme gelten.
   
• Zentralisierung der Aufsicht über KI-Systeme auf Basis von General-Purpose-Modellen: Die Aufsicht wird beim AI Office gebündelt, um Governance-Fragmente zu reduzieren. Auch KI in sehr großen Online-Plattformen und Suchmaschinen wird auf EU-Ebene überwacht.
   
• Klarstellung des Zusammenspiels mit anderen EU-Rechtsvorschriften: Verfahren werden vereinfacht, um die rechtzeitige Verfügbarkeit von Konformitätsbewertungsstellen zu gewährleisten.

Der vollständige JUVE-Eintrag ist hier abrufbar.

Nachdem wir in unserem letzten KI-Flash über Agentic AI – Chancen und Grenzen steigender Autonomie berichtet haben, möchten wir Ihnen auch künftig in regelmäßigen Abständen rechtliche Impulse zu aktuellen Entwicklungen geben.

Heutiges Thema: Digital Omnibus: Auswirkungen auf Künstliche Intelligenz (KI) 

Am 19.11.2025 wurden von der Europäischen Kommission zwei Entwürfe für den sogenannten „Digital Omnibus“ vorgelegt, namentlich der Entwurf „Digital Omnibus on AI“ sowie der Entwurf „Digital Omnibus for the digital acquis“. Beide Entwürfe sollen eine Reaktion auf die bestehende Gesetzeslage im Bereich der Digitalregulierung darstellen und für einige Vereinfachungen sorgen. Anstatt hierbei völlig neue Vorgaben zu schaffen, konzentrieren sich die Digital Omnibus Entwürfe darauf, die aktuelle Rechtslage zu bündeln und klarer zu strukturieren – auch mit Blick auf den Einsatz von Künstlicher Intelligenz (KI).

I. Hintergrund des Digital-Omnibus

In den vergangenen Jahren wurden durch den europäischen Gesetzgeber mehrere Digitalverordnungen beschlossen, wozu u.a. die KI-VO, die DS-GVO, der Data Act und der Cyber Resilience Act zählen. Durch die vorgenannten Regelungen existiert eine Vielzahl unterschiedlicher Pflichten und Fristen für Unternehmen, welche nun durch den Digital Omnibus vereinfacht werden sollen.

Während die Einzelheiten zu den Digital Omnibus Entwürfen in einem umfangreichen Webseitenbeitrag behandelt werden, soll vorliegend lediglich ein Überblick zu den potenziellen Auswirkungen auf die KI-Verordnung („KI-VO“) erfolgen.

II. Zu den geplanten Änderungen der KI-Verordnung

Folgende geplante Änderungen der KI-VO sind besonders hervorzuheben:

• Der Digital Omnibus sieht u.a. vor, dass eine zentralisierte Aufsicht eingeführt werden soll, die umfassende Befugnisse bei der Marktüberwachung und der Durchsetzung von Sanktionen bündelt. Als zentrale Aufsichtsinstanz soll hierbei das AI Office dienen. 
• In einem neuen Artikel 4a KI-VO soll zudem eine Rechtsgrundlage für die Verarbeitung sensibler personenbezogener Daten u.a. zur Bias-Erkennung und -Korrektur eingeführt werden.
• Die KI-Verordnung sieht aktuell vor, dass Unternehmen verschiedene Transparenz- und Kennzeichnungspflichten ab August 2026 umsetzen müssen. Hierzu zählt insbesondere die Kennzeichnungspflicht von generativem KI-Output in einem maschinenlesbaren Format (als Pflicht für KI-Anbieter). Die Frist zur Erfüllung dieser Pflicht soll nun bis zum 02.02.2027 verlängert werden, sofern das jeweilige KI-System vor dem 02.08.2026 auf den Markt gebracht wird.
• Auch die Umsetzung der Anforderungen an sogenannte Hochrisiko-KI-Systeme soll um ein 1 Jahr – also je nach Art des Hochrisiko-KI-Systems – auf 2027 (Anhang III) bzw. 2028 (Anhang I) verschoben werden. Hochrisiko-KI-Systeme werden in der KI-VO in Anhang I und III geregelt und sehen bislang unterschiedliche Umsetzungsfristen vor. 
• Der Vorschlag der Europäischen Kommission sieht zudem Entlastungen für kleinere und mittelständige Unternehmen vor, was durch die Vereinfachung von Dokumentations- und Qualitätsmanagementpflichten sowie die Reduzierung von Bußgeldern erreicht werden soll. Angedacht ist, dass diese Erleichterungen sowohl für KMU als auch für Small-Mid-Caps gelten.
• Diskutiert wird ebenfalls darüber, inwieweit die Pflicht zur KI-Kompetenz aus Art. 4 KI-VO angepasst bzw. entschärft werden soll. 
• Schlussendlich ist eine Verzahnung mit dem Cyber Resilience Act (CRA) geplant, sodass die Einhaltung der Anforderungen des CRA auch für die IT-Sicherheit von KI-Systemen gelten soll.

Weitere Änderungen des Digital Omnibus betreffen u.a. die DS-GVO und dort die datenschutzrechtliche(n) Rechtsgrundlage(n) für das Trainieren von KI. Einzelheiten werden – wie bereits angeführt – in einem umfassenden Webseitenbeitrag zu dieser Thematik erläutert.

III. Wie sollten Unternehmen reagieren?

Unternehmen, die von der KI-Verordnung betroffen sind, sollten sich u.E. nicht auf ggf. längeren Übergangsfristen ausruhen, da die tatsächliche Umsetzung der geplanten Änderungen noch völlig offen ist, und der Kern der Anforderungen ohnehin der Gleiche bleibt. Durch den Digital Omnibus wird zwar versucht, die bestehenden Regelungen zu vereinheitlichen und besser aufeinander abzustimmen, allerdings bleiben die Pflichten selbst größtenteils unverändert. Die geplanten Änderungen sollten dennoch im Auge behalten werden, insbesondere, um die ggf. neu gewonnene Zeit bestmöglich zum Aufbau einer KI-Strategie und -Compliance zu nutzen.

IV. Ausblick

Zum Schluss lohnt sich ein Blick auf den weiteren Verlauf: Der Digital Omnibus befindet sich derzeit noch im Stadium eines Kommissionsentwurfs. Nun folgt der übliche EU-Gesetzgebungsprozess: Die Vorschläge werden zunächst im Rat der EU und im Europäischen Parlament beraten. Beide Institutionen erarbeiten ihre eigenen Positionen, die anschließend im sogenannten Trilog-Verfahren abgestimmt werden müssen. Ziel ist eine politische Einigung bis Ende 2026, damit die Anpassungen vor Inkrafttreten der betroffenen Regelungen der KI-VO greifen; realistischerweise ist jedoch mit Verzögerungen zu rechnen. Wir halten Sie daher weiterhin unterrichtet.

Der Beitrag wurde unter Mithilfe von Fabian Schubert (Rechtsreferendar, SKW Schwarz) verfasst.

Eine umfassende Vertretungsmöglichkeit für den Ehegatten kann nur erreicht werden, indem dieser bereits vor dem Notfall ausdrücklich bevollmächtigt wird. Regelmäßig empfiehlt sich hierzu neben der Bankvollmacht die Erteilung einer Vorsorgevollmacht, um die Handlungsfähigkeit des Ehegatten / Lebenspartners sicherzustellen. Weitere wichtige Informationen finden sie hier.

In der Vorsorgevollmacht, idealerweise auch in Kombination mit einer Patientenverfügung, kann umfassend und ausführlich geregelt werden, welche Rechte dem Partner (oder auch einem Dritten) im Vorsorgefall zustehen sollen und welche Behandlung (oder Nicht-Behandlung) man sich wünscht. 

Gerne beraten wir Sie zur Frage des Notvertretungsrechts sowie bei Fragen zur Vorsorgevollmacht und Patientenverfügung umfassend.

Auch dazu diskutieren wir im DVNWforum am 25.02.2026 in Berlin (mehr Informationen).

>> Zum Beitrag in der Freien Presse <<
>> Zum Rettungszweckverband “Südwestsachsen”<<

Hier geht’s zum vollständigen Beitrag.

Nachdem wir in unserem letzten KI-Flash über die neue Orientierungshilfe der DSK zu RAG-basierten KI-Systemen berichtet haben, möchten wir Ihnen auch künftig in regelmäßigen Abständen rechtliche Impulse zu aktuellen Entwicklungen geben. 

Heutiges Thema: Agentic AI – Chancen und Grenzen steigender Autonomie  

Unternehmen sehen sich mit einem immer größeren Druck zur Innovation und Effizienzsteigerung konfrontiert. Globale Abhängigkeiten, schwankende Märkte und auch der Mangel an qualifizierten Fachkräften machen eine kontinuierliche Optimierung von Prozessen unverzichtbar. In diesem Umfeld rückt auch der Einsatz von künstlicher Intelligenz (KI) zunehmend in den Vordergrund. Besonders im Fokus stehen derzeit sogenannte KI-Agenten – also Systeme, die eigenständig Entscheidungen treffen und Aufgaben ausführen können, ohne auf direkte menschliche Eingaben angewiesen zu sein. Die Technologie gilt als nächster Schritt in der Automatisierung und verspricht nicht nur Produktivitätsgewinne, sondern auch eine höhere Anpassungsfähigkeit und Widerstandsfähigkeit in komplexen Betriebsabläufen.

Der Einsatz von KI-Agenten wirft jedoch nicht nur technologische, sondern insbesondere auch rechtliche Fragen auf. Mit der europäischen KI-Verordnung (KI-VO) gilt seit August 2024 (mit weiteren zeitlichen Staffelungen) ein verbindlicher Rechtsrahmen für die Entwicklung und Nutzung von KI-Systemen. Unternehmen müssen daher insbesondere prüfen, ob ihre Agenten-Systeme unter diese regulatorischen Anforderungen fallen und welche Pflichten hieraus resultieren. Hinzu kommen u.a. Datenschutz-, Haftungs- und Zurechnungsaspekte. 

Wir möchten den vorliegenden KI-Flash nutzen, um die vorgenannten Fragen in einen ersten systematischen Kontext zu setzen. Für weitere Einblicke in die Thematik werben wir sodann ausdrücklich für unsere dazugehörige Veranstaltung (mehr Informationen). Wir freuen uns auf Ihre Teilnahme!

Unklarheiten bei der Begriffsbestimmung

Bereits die Frage, was überhaupt als „KI-Agent“ zu verstehen ist, kann zu praktischen Schwierigkeiten führen. Die Begriffe KI-Agent, KI-Assistent oder – etwas technischer – KI-gestützte Workflows sind in der betrieblichen Praxis weit verbreitet, werden jedoch häufig unscharf oder gar synonym verwendet. Eine gesetzliche Definition der vorgenannten Begriffe existiert bislang nicht. Auch die KI-VO verwendet sie nicht explizit; dort wird lediglich in Art. 3 Abs. 1 KI-VO der Begriff des KI-Systems verwendet. Hiernach handelt es sich bei einem KI-System um

„ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“

Für eine konsistente Bewertung der unterschiedlichen Automatisierungsstufen sollte jedoch eine funktionale Unterscheidung getroffen werden. Die nachfolgende Abgrenzung erfolgt daher anhand einer praxisorientierten Auslegung, die sich an Autonomiegrad, Zielverfolgung und Systemintegration orientiert:

• Ein KI-Assistent oder auch ein KI-gestützterWorkflow sollen hiernach als reaktive, eingebettete Funktionen innerhalb bestehender Software verstanden werden, die den Nutzer bei konkreten Aufgaben unterstützen, jedoch keine eigenen Ziele verfolgen und nicht selbstständig agieren. Typische Beispiele sind Textvorschläge oder einfache Chatfunktionen. Rechtlich sind diese Funktionen oft Teil eines KI-Systems, aber nicht zwingend selbst als solches einzustufen.
• Ein KI-Agent hingegen handelt autonom, trifft eigenständig Entscheidungen und kann Aufgaben initiieren, priorisieren und über mehrere Schritte hinweg verfolgen – auch ohne direkte Nutzereingabe. Er kann mit anderen Systemen interagieren und erfüllt regelmäßig selbst die Merkmale eines KI-Systems im Sinne der KI-VO.

Zusammenfassend: Assistenten und Workflows sind unterstützende Funktionen innerhalb einer Software und meist ohne eigene Zielverfolgung, während Agenten häufig eigenständige Systeme mit Entscheidungs- und Handlungskompetenz darstellen. Die Unterscheidung ist sowohl technisch als auch rechtlich relevant.

Beispiel: In der Microsoft-365-Copilot-Umgebung gibt es zwei Typen von (dort so bezeichneten) Agenten – jeweils mit unterschiedlichem Funktionsumfang und Autonomiegrad:

1. Copilot Agent Builder (ehemals „AgentBuilder“)

• Charakteristik: Einfach erstellbare, regelbasierte Agenten für standardisierte Aufgaben wie Onboarding, FAQ-Beantwortung oder einfache Informationsabfragen.
• Funktionsweise: Reaktiv – sie antworten auf Nutzereingaben basierend auf vordefinierten Wissensquellen (z. B. SharePoint, interne Dokumente). Keine eigenständige Zielverfolgung oder komplexe Workflow-Steuerung.
• Autonomiegrad: Niedrig. Keine selbstständige Prozessausführung, keine externe Systemintegration.
• Regulatorische Einordnung: In der Regel kein eigenständiges KI-System im Sinne der KI-VO, sondern eingebettete Komponenten innerhalb des übergeordneten KI-Systems „Microsoft Copilot“.

2. Copilot Studio Agents

• Charakteristik: Hochgradig anpassbare Agenten, die über Low-Code/Pro-Code erstellt werden und komplexe Aufgaben übernehmen können.
• Funktionsweise: Unterstützt die Integration externer Dienste (bspw. über APIs), Multi-Step-Workflows, Event-Trigger und teilweise autonome Prozessausführung.
• Autonomiegrad: Mittel bis hoch. Sie Können insbesondere eigenständig Workflows starten und orchestrieren.
• Regulatorische Einordnung: Copilot Studio Agents erfüllen regelmäßig die Kriterien eines KI-Systems nach der KI-VO, da sie nicht mehr „nur“ Komponente des Systems „Microsoft Copilot“ sind.

Im Rahmen unseres o.g. Webinars wird Frau Dr. Sara Jourdan (CEO & Co-founder, Genow GmbH) einen technischen Blick auf Agentensysteme werfen und hierbei die unterschiedlichen technischen Ansätze und Architekturen aufzeigen. 

KI-Agenten und Risikoklassen

Die Risikoklassifizierung eines KI-Agenten nach der KI-VO hängt maßgeblich vom konkreten Einsatzbereich und den damit verbundenen Risiken ab. Die KI-VO unterscheidet zwischen verbotenen, Hochrisiko-, und KI-Systemen mit Transparenzpflichten. Während verbotene KI-Praktiken in Art. 5 KI-VO abgebildet werden (dies betrifft bspw. die Emotionserkennung am Arbeitsplatz), hat die Einstufung als Hochrisiko-KI-System anhand der in Anhang I und III der KI-VO aufgeführten Anwendungsfälle zu erfolgen. KI-Agenten, die beispielsweise sicherheitsrelevante Aufgaben übernehmen und Entscheidungen mit erheblichen Auswirkungen auf Personen treffen (bspw. im Kontext von Medizinprodukten) oder in kritischen Infrastrukturen eingesetzt werden, können als Hochrisiko-KI-Systeme eingestuft werden. Ein weiterer, praxisrelevanter Hochrisiko-Bereich ist etwa der Einsatz von KI-Agenten im HR-Bereich, bspw. zur eigenständigen Bewertung und Auswahl von eingehenden Bewerbungen, wobei die konkrete Einordnung natürlich immer am Einzelfall zu erfolgen hat.

In diesen Fällen gelten umfangreiche Anforderungen, etwa zur technischen Dokumentation, zur Transparenz, zur menschlichen Aufsicht und zur regelmäßigen Überprüfung. Für KI-Agenten die demgegenüber außerhalb des Hochrisikobereichs gelten weniger strenge, aber dennoch relevante Pflichten, wie Kennzeichnung und grundlegende Transparenz. 

Unternehmen müssen daher für jeden KI-Agenten, der die Qualität eines KI-Systems erreicht, eine individuelle Risikobewertung vornehmen und die daraus resultierenden regulatorischen Anforderungen umsetzen. Dies setzt neben dem Bewusstsein über die rechtlichen Anforderungen eine praktisch umsetzbare Vorgehensweise zur Prüfung und Freigabe entsprechender Agenten voraus. Wie eine solche Vorgehensweise aussehen könnte, möchten wir in unserem o.g. Webinar aufzeigen.

Automatisierung und Datenschutz

Der Einsatz von KI-Agenten berührt auch zentrale Datenschutzfragen, da diese Systeme eigenständig personenbezogene Daten verarbeiten und ggf. sogar Entscheidungen treffen können. Nach der DS-GVO bleibt jedoch das Unternehmen Verantwortlicher für die Datenverarbeitung, auch wenn ein KI-Agent agiert. Unternehmen müssen daher sicherstellen, dass alle datenschutzrechtlichen Vorgaben eingehalten werden.

KI-Agenten können personenbezogene Daten verarbeiten und hierbei automatisierte Entscheidungen treffen. Als Beispiel können intelligente Chatbots auf B2C-Online-Plattformen genannt werden. Eine entsprechende Vorgehensweise ist jedoch nur dann zulässig, sofern die Voraussetzungen des Art. 22 DS-GVO erfüllt sind. Automatisierte Einzelentscheidungen mit rechtlicher Wirkung sind hiernach grundsätzlich verboten, es sei denn, eine Einwilligung, eine spezifische gesetzliche Grundlage oder ein Vertrag liegt vor, der diese Vorgehensweise zulässt. In solchen Fällen sind jedoch Schutzmaßnahmen wie menschliche Eingriffsmöglichkeiten und Anfechtungsrechte für betroffene Personen zwingend erforderlich.

Auch Transparenz ist entscheidend: Unternehmen müssen Betroffene klar über den Einsatz von KI-Agenten, die verarbeiteten Daten und die Entscheidungslogik informieren. Bei hohem Risiko – etwa bei sensiblen Daten oder bei Profilbildung – ist zudem eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO erforderlich. Ergänzend sind technische und organisatorische Maßnahmen wie Zugriffsbeschränkungen, Verschlüsselung und kontinuierliches Monitoring umzusetzen, um Datenschutzverstöße zu verhindern.

Haben wir Ihr Interesse geweckt? 

Melden Sie sich gerne zu unserem interdisziplinären Webinar am Dienstag, den 25. November 2025 an, und lassen Sie sich einen weiteren spannenden digitalen bite, praktisch und kompakt in Ihrer Mittagspause näherbringen. Wir freuen uns auf Ihre Teilnahme!

Digital Bites

• Agentic AI – Chancen und Grenzen steigender Automatisierung
• am Dienstag, 25. November 2025, 12:30 Uhr – 13:30 Uhr, über MS-Teams
• >>Weiterführende Informationen hier<<

Das deutsche NIS-2-Umsetzungsgesetz ist gestern am 13.11.2025 – endlich! – vom Bundestag beschlossen worden (s. hier). Im nächsten Schritt wird sich der Bundesrat mit dem Gesetz befassen. Mit der Verkündung im Bundesgesetzblatt und dem Inkrafttreten des Gesetzes ist spätestens (!) Anfang 2026 zu rechnen. 

Unternehmen, die sich bislang darauf verlassen haben, dass der deutsche Gesetzgeber den Gesetzgebungsprozess nur schleppend (und im Übrigen europarechtswidrig) vorangetrieben hat, sollten sich also spätestens jetzt mit NIS-2 auseinandersetzen und in die Umsetzung einsteigen.   

Mit unserem Team, das in den vergangenen Monaten zahlreiche NIS-2-Umsetzungsprojekte begleitet hat, stehen wir Unternehmen zu allen Rechtsfragen zur IT-Sicherheit zur Verfügung. Wir verfügen zudem über ein Netzwerk von technischen Dienstleistern, mit denen wir bei Bedarf Ihr NIS-2 Projekt interdisziplinär begleiten und umsetzen. Gerne verweisen wir auch auf unser umfassendes Whitepaper, welches hier abrufbar ist: s. hier.

Drei Punkte, auf die wir Unternehmen nochmal hinweisen möchten: 

• Unternehmen müssen selbst prüfen, ob sie von dem Gesetz betroffen sind. Die konkrete Anwendbarkeitsprüfung ist eine Rechtsfrage. Anders, als man dies landläufig schon gehört hat, wird das BSI auch keine Liste mit den betroffenen Unternehmen veröffentlichen. Das ist elementar für die richtige Entscheidung und Enthaftung der Geschäftsleitung. Als erste Einordnung kann unser NIS-2-Betroffenheitstool dienen, welches hier abrufbar ist: s. hier.  
• Es gibt keine Übergangsfristen. Mit Inkrafttreten des Gesetzes gelten alle Pflichten, insbesondere zur Umsetzung der Cyber-Risikomanagementmaßnahmen, zur Registrierung beim BSI und zur Meldung von relevanten Sicherheitsvorfällen gegenüber Behörden und anderen Stellen.     
• Selbst wenn Ihr Unternehmen nicht direkt unter die NIS2-Regeln fällt, ist die Wahrscheinlichkeit erheblich gestiegen, dass einer oder mehrere Ihrer Kunden darunterfallen und daher von allen Lieferanten verlangen (müssen), dass sie dokumentieren können, ihren Teil der Cyberresilienz zu erfüllen. Die wenigsten Unternehmen sind auf solche Anfragen bereits vorbereitet, obwohl sie für die Wettbewerbsfähigkeit sehr wichtig sind. 

Für weitere Informationen sprechen Sie unser Team jederzeit gerne an.

Der vollständige Guide ist auf der Website von Lexology verfügbar.

Das vollständige Interview finden Abonnenten von Wohlfahrt intern hier und als Auszug in PDF-Format mit freundlicher Genehmigung von Wohlfahrt intern hier.

Zum vollständigen Beitrag in der WirtschaftsWoche:
Wann muss ich Trennungsunterhalt zahlen? (wiwo.de)

Das LG München I hat am 27. August 2025, Az. 33 O 635/25, ein interessantes Urteil zu einer Schadensersatzforderung nach Art. 82 DSGVO getroffen.

Das LG München I hat die Klage eines Nutzers einer amerikanischen Social Media Plattform u.a. abgewiesen, weil er sich widersprüchlich verhalten habe. 

Der Kläger hat aus der EU heraus eine amerikanische Social Media Plattform genutzt und dann im Rahmen seines Klagevortrags u.a. mit einer rechtswidrigen Übertragung seiner personenbezogenen Daten in die USA argumentiert (vgl. Rdnr. 43 ff).

Nach Auffassung des Gerichts handelt entgegen Treu und Glauben, wer einerseits den Kommunikationsdienst eines Anbieters in Kenntnis des behaupteten Rechtsverstoßes nutzt und andererseits den Anbieter gerade für das Anbieten (des Kommunikationsdienstes) auf Schadensersatz in Anspruch nimmt.

Hintergrund

Nach Art. 82 Abs. 1 DSGVO kann grundsätzlich jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Schadenersatz von dem Verantwortlichen und/oder vom dem Auftragsverarbeiter verlangen. Ein Schadensersatz kann dem Grunde nach gegeben sein, wenn die Datenverarbeitung rechtswidrig ist (hier: die Übermittlung von personenbezogenen Daten aus der EU heraus in die USA ohne Einhaltung der Anforderungen an eine internationale Datenübermittlung nach den Art. 44 ff DSGVO).

Am 16. Juli 2020 erklärte der EuGH in der Rs. Schrems II den EU-U.S. Privacy Shield für ungültig. Bis zum Inkrafttreten des EU-U.S. Data Privacy Framework am 11. Juli 2023 konnten daher keine Daten auf Grundlage des Art. 45 Abs. 1 DSGVO in die USA übermittelt werden. 

Nach Auffassung des Klägers waren Datenübermittlungen von einer europäischen Tochter an die U.S.-amerikanische Konzernmuttergesellschaft in diesem Zeitraum (2020 bis 2023) daher rechtswidrig. Aufgrund der Zugriffsmöglichkeit von U.S.-amerikanischen Behörden auf die übermittelten Daten habe der Kläger einen erheblichen Kontrollverlust erlitten und daraus resultierend einen Schaden iSd Art. 82 DSGVO.

Kernaussagen

1. Keine Rechtswidrigkeit der Datenübermittlung in Drittland bei Standardvertragsklauseln
   Eine Datenübermittlung in ein Drittland kann auch ohne Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO rechtmäßig sein, wenn zwischen dem Verantwortlichen/Auftragsverarbeiter und dem Empfänger Standardvertragsklauseln vereinbart sind und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1, Abs. 2 lit. c DSGVO).
    
2. Kein Anspruch auf eine Verarbeitung von personenbezogenen Daten nur in Europa
   Soziale Netzwerke, die „global konzipiert“ sind (vgl. Rdnr. 41), setzen technisch einen internationalen Austausch von personenbezogenen Daten voraus. 
   
   Einem Nutzer einer solcher Plattformen ist dieser Umstand hinlänglich bekannt. Es besteht auch kein Anspruch gegen die Betreiberin eines solchen Netzwerks, den Dienst als „rein europäische[…] Plattform[en]“ zu betreiben:
   „Die unternehmerische Entscheidung …, ein weltweites Netzwerk anzubieten […] und Daten in den USA zu verarbeiten, ist von den Nutzern, die sich freiwillig für eine entsprechende Nutzung entscheiden, hinzunehmen.“
    
3. Kein Schadensersatz bei widersprüchlichem Nutzerverhalten
   Zuletzt kann nach Auffassung des Gerichts einen Schadensersatzanspruch nicht geltend machen, wer bewusst eine weltweit agierende amerikanische Social Media Plattform nutzt, obwohl allgemein bekannt ist, dass dabei Daten in die USA übermittelt werden und U.S.-amerikanische Geheimdienste auf diese Daten unter Umständen zugreifen können. Ein solches Vorgehen verstoße gegen das Gebot von Treu und Glauben.

Ausblick

Das Urteil des LG München I ist zu begrüßen.

Mit dem Urteil erteilt das LG München I den „massenhaft[…]“ auftretenden, „weitgehend aus Textbausteinen bestehenden Klagen“ auf Schadensersatz aus Art. 82 DSGVO, bei denen bereits die tatsächliche Beeinträchtigung zweifelhaft ist und der Nutzer / Kläger sich widersprüchlich verhält, etwa indem dieser trotz behauptet schwerer Beeinträchtigung weiter einen anderen Dienst desselben Anbieters nutzt, eine klare Absage.

Nachdem wir in unserem letzten KI-Flash über die aktuellen FAQ der EU-Kommission zur Umsetzung der KI-Verordnung berichtet haben, möchten wir Ihnen auch künftig in regelmäßigen Abständen rechtliche Impulse zu aktuellen Entwicklungen geben.

Heutiges Thema: Neue Orientierungshilfe der DSK zu RAG-basierten KI-Systemen

Am 17. Oktober 2025 hat die Datenschutzkonferenz (DSK) eine neue Orientierungshilfe (OH) zu den datenschutzrechtlichen Anforderungen beim Einsatz generativer KI-Systeme mit Retrieval Augmented Generation (RAG) veröffentlicht. Das Dokument richtet sich insbesondere an Unternehmen und öffentliche Stellen, die solche Systeme bereits nutzen oder deren Einsatz planen. Es beleuchtet sowohl die technischen Grundlagen als auch die datenschutzrechtlichen Implikationen und gibt konkrete Empfehlungen für die Praxis. Da RAG-basierte Systeme zunehmend in verschiedenen Branchen eingesetzt werden, wurde diesem Themenfeld nun ein eigener KI-Flash gewidmet.

Technischer Hintergrund

Retrieval Augmented Generation (RAG) bezeichnet ein technisches Konzept zur Verbesserung des Outputs generativer KI-Systeme, insbesondere großer Sprachmodelle (Large Language Models, LLMs). Ziel ist es, die Qualität, Genauigkeit und Nachvollziehbarkeit der generierten Inhalte zu erhöhen, indem ausgewählte Wissensquellen in den Verarbeitungsschritt des KI-Systems eingebunden werden. Ein RAG-System besteht – vereinfacht dargestellt – aus zwei funktional getrennten, aber eng verzahnten Hauptkomponenten:

• Retriever: Diese Komponente identifiziert und extrahiert kontextrelevante Informationen aus einer externen Wissensquelle (z. B. Vektordatenbank, Dokumentenspeicher). Die Auswahl erfolgt typischerweise auf Basis semantischer Ähnlichkeit zur Nutzeranfrage – die DSK stellt hierbei auf die semantische Nähe durch die Distanz von Vektorrepräsentationen im Einbettungsraum ab. Diese Vektorrepräsentationen entstehen durch sogenannte Embeddings, also mathematische Abbildungen von Texten in einen Vektorraum, die semantische Ähnlichkeiten zwischen Textabschnitten rechnerisch erfassbar machen. Die eingebundenen Datenquellen können strukturierte oder unstrukturierte Inhalte enthalten, deren datenschutzrechtliche Bewertung – bei personenbezogenen Daten – gesondert erfolgen muss.

   

• LLM-Komponente (generative KI-Modelle): Das Sprachmodell verarbeitet die vom Retriever bereitgestellten Inhalte und generiert darauf basierend eine Antwort. Die Ausgabe beruht somit nicht ausschließlich auf dem jeweiligen „Modellwissen“, sondern auf explizit eingebundenen, aktuellen und kontextbezogenen Informationen. Dies erhöht die Nachvollziehbarkeit der Ergebnisse, kann aber auch zu einer komplexeren Datenverarbeitung führen, insbesondere, da das Output durch die Kombination von externen Daten und modell-internem Wissen beeinflusst wird.

Die Architektur von RAG kann u.a. dazu beitragen, typische Schwächen generativer KI-Systeme – insbesondere die Tendenz zu „Halluzinationen“ – zu reduzieren und die Ausgaben besser nachvollziehbar zu gestalten. RAG-Systeme werden daher zunehmend in Unternehmen und Behörden eingesetzt, sowohl intern als auch extern. Sie unterstützen u.a. bei:

• der Informationsrecherche,
• der automatisierten Kundenkommunikation, sowie
• datenintensiven Bereichen wie Forschung und Entwicklung.

Durch die Einbindung unternehmensspezifischer Wissensquellen ermöglichen sie eine kontextbezogene und effiziente Bearbeitung komplexer Aufgaben. Die DSK hebt in ihrer OH explizit hervor, dass RAG-Systeme zur digitalen Souveränität beitragen können, etwa durch lokalen Betrieb (On-Premise) und geringere Abhängigkeit von Cloud-Anbietern.

Datenschutzrechtliche Herausforderungen

RAG-Systeme sind aus datenschutzrechtlicher Sicht dennoch differenziert zu betrachten. Zwar bieten sie Potenzial zur Verbesserung der Datenverarbeitung, gleichzeitig entstehen nach Ansicht der DSK jedoch neue Herausforderungen:

• Doppelte Datenverarbeitung: Personenbezogene Daten können sowohl im Retriever (z. B. durch eingebundene Dokumente) als auch „in“ der LLM-Komponente verarbeitet werden. Dies erhöht die Komplexität der datenschutzrechtlichen Bewertung.
• Transparenz und Zweckbindung: Die modulare Architektur erschwert die klare Zuordnung von Zwecken sowie die transparente Information der Betroffenen, da die Herkunft und Bedeutung der Embeddings sowie die genaue Entstehung des Outputs nach Ansicht der DSK oft nicht nachvollziehbar sind.
• Betroffenenrechte: Dynamisch generierte Inhalte können die Umsetzung von Auskunfts-, Berichtigungs- oder Löschrechten erschweren. Betroffenenrechte sind jedoch stets in allen Komponenten des RAG-Systems umzusetzen.
• Rechtswidriges Training: Die datenschutzrechtliche Bewertung eines RAG-Systems muss sowohl das RAG-Subsystem als auch das zugrunde liegende Sprachmodell (LLM) umfassen. Ein rechtswidrig trainiertes Modell bleibt auch dann rechtwidrig, wenn es im Rahmen eines RAG-Systems eingesetzt wird. Die Einbindung externer Datenquellen kann die Qualität der Ausgaben verbessern, hebt jedoch die Anforderungen an das Basismodell nicht auf (wir hatten zum Meinungsbild des EDSA bereits berichtet).
• Pflege der Datenquellen: Die Aktualisierung und Qualitätssicherung der eingebundenen Inhalte liegt in der Verantwortung des jeweiligen Betreibers und ist essenziell für die Verlässlichkeit der Ausgaben.

Datenschutzfreundliche Potenziale

Die DSK nennt jedoch auch einige Vorteile, die sich positiv auf die Datenschutzkonformität auswirken können. RAG

• ermöglicht erhöhte Genauigkeit und Nachvollziehbarkeit durch Zugriff auf überprüfbare Datenquellen.
• verringert Halluzinationen, da die generierten Inhalte auf reale, kontextbezogene Informationen gestützt werden.
• ermöglicht einen datenschutzfreundlicheren Betrieb, insbesondere bei lokalem Hosting (On-Premise).
• reduziert den Trainingsdatenbedarf, insbesondere im Vergleich zu Fine-Tuning-Ansätzen, da die RAG-Methode auf eine dynamische Anreicherung statt dauerhafte Modellanpassung setzt.
• fördert digitale Souveränität, da Unternehmen eigene Datenquellen nutzen und sich bspw. von großen Cloud-Anbietern unabhängig machen können.

Unternehmen und Behörden, die RAG-Systeme einsetzen oder deren Einsatz planen, sollten gezielt Maßnahmen ergreifen, um die datenschutzrechtlichen Anforderungen zu erfüllen und die Potenziale der Technologie verantwortungsvoll zu nutzen. Die DSK empfiehlt insbesondere:

• Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO, unter Berücksichtigung aller Komponenten des RAG-Systems (Retriever, Vektordatenbank, LLM).
• Klare Zweckdefinition und Zwecktrennung für die eingebundenen Datenquellen, insbesondere bei personenbezogenen Daten in Referenzdokumenten.
• Aktualisierung und Pflege der Dokumentation, z. B. des Verzeichnisses von Verarbeitungstätigkeiten, inklusive Beschreibung der erweiterten Anfrage und Datenflüsse.
• Implementierung technischer und organisatorischer Schutzmaßnahmen, etwa Mandantentrennung, Rechte- und Rollenkonzepte sowie Zugriffsbeschränkungen auf die Vektordatenbank.
• Sicherstellung der Rechtskonformität der eingesetzten KI-Modelle, insbesondere hinsichtlich des Trainingsdatensatzes und der Einhaltung aller DSGVO-Grundsätze.
• Etablierung von Kontrollmechanismen zur Qualitätssicherung, z. B. durch Systemprompts zur Quellenbindung, regelmäßige Prüfung der Referenzdokumente und Monitoring der KI-Ausgaben.
• Schulung der Mitarbeitenden, insbesondere zu den datenschutzrechtlichen Besonderheiten von RAG-Systemen und zur sicheren Nutzung der Systeme im jeweiligen Anwendungskontext.

Praxishinweis

Der Einsatz von RAG-Systemen bietet Unternehmen und öffentlichen Stellen erhebliche Potenziale – insbesondere hinsichtlich Effizienz, Genauigkeit und digitaler Souveränität. Gleichzeitig verlangt die komplexe Architektur solcher Systeme eine sorgfältige datenschutzrechtliche Bewertung. Entscheidend ist, dass die Einbindung externer Datenquellen nicht als Freifahrtschein für die Nutzung generativer KI-Systeme verstanden werden darf. Vielmehr müssen alle Komponenten – vom Retriever bis zum LLM selbst – in die datenschutzrechtliche Analyse einbezogen werden, einschließlich der Referenzdokumente, der Vektordatenbank und des Embedding-Modells. Unsere Expert:innen bei SKW Schwarz unterstützen Sie gerne jederzeit bei der datenschutzkonformen Bewertung und Implementierung von RAG-Systemen. 
 

Nachdem wir in unserem letzten KI-Flash über die stufenweise Anwendbarkeit der KI-Verordnung berichtet haben, möchten wir Ihnen auch künftig in regelmäßigen Abständen rechtliche Impulse zu aktuellen Entwicklungen geben. 

Heutiges Thema: Neues FAQ der Europäischen Kommission zu praxisrelevanten Fragen zur Anwendung und Umsetzung der KI-Verordnung 

Die KI-Verordnung ist am 1. August 2024 in Kraft getreten und sieht eine schrittweise Umsetzung ihrer Regelungen vor. Während Regelungen zur KI-Kompetenz sowie zu GPAIM bereits heute anwendbar sind, folgen ab August 2026 weitere Regelungen zur Transparenz sowie zu Hochrisiko-KI-Systemen. Im Oktober 2025 wurde nun das sog. AI Act Service Desk inkl. einer FAQ-Sektion von der Europäischen Kommission veröffentlicht. Ziel der Veröffentlichung ist es, Unternehmen bei der praktischen Umsetzung und Einordnung des Regelwerks zu unterstützen.

Überblick zu den Kerninhalten des FAQ

Das FAQ basiert direkt auf Anfragen von Unternehmen, Verbänden und weiteren Stakeholdern, sodass eine Vielzahl an Fragen abgedeckt wird, die in der Praxis regelmäßig aufkommen. Das Dokument ist als ein dynamisches Nachschlagewerk zu verstehen, das von der EU-Kommission kontinuierlich aktualisiert wird.

Das FAQ enthält insbesondere Ausführungen zu folgenden Themen:

• Allgemeine Fragen zur Verordnung: Was ist die KI-Verordnung und welche Ziele werden mit ihr verfolgt? 
• Anwendungsbereich und Zeitplan: Welche Pflichten gelten ab wann (z.B. Hochrisiko-KI-Systeme, Transparenzpflichten, etc.)?
• Risikoklassifizierung von KI-Systemen: Was sind verbotene KI-Praktiken und wann unterfällt ein KI-System einem hohen Risiko? 
• Unterscheidung zwischen KI-System und KI-Modell: Was ist ein KI-Modell, wann ist es als GPAIM zu klassifizieren und wann fällt es einem systemischen Risiko?
• Rollen der KI-Verordnung: Wer ist Anbieter und wer ist Betreiber, und wie können sich die Rollen bei der Modifizierung eines KI-Modells verändern?
• Praktische Hinweise für Unternehmen: Was erwartet die EU-Kommission im ersten Jahr vor der Durchsetzung der KI-Verordnung von Unternehmen?

Alles in allem bietet das FAQ eine umfassende Orientierungshilfe dafür, wie sich die EU-Kommission zu den einzelnen Fragestellungen und Pflichten der KI-Verordnung positioniert — ohne hierbei jedoch jede einzelne Verpflichtung im Detail zu behandeln.

Praktische Auswirkungen

Die Veröffentlichung des FAQ zeigt, dass die EU-Kommission bemüht ist, Unternehmen frühzeitig und umfassend bei der Umsetzung der KI-Verordnung zu unterstützen. Unternehmen sollten die Ausführungen daher sehr ernst nehmen – insbesondere, da das FAQ den offiziellen Standpunkt der EU-Kommission zu einer Vielzahl praxisrelevanter Fragestellungen widerspiegelt. Das FAQ kann und wird perspektivisch von nationalen Marktüberwachungsbehörden (insbesondere der Bundesnetzagentur) herangezogen — jedenfalls als Auslegungshilfe. Unternehmen, die aktuell in die Umsetzung der KI-Verordnung einsteigen, sind somit gut beraten, sich eng an den im FAQ dargestellten Praxisfragen auszurichten. 

SKW Schwarz unterstützt Sie gerne bei der Prüfung und Umsetzung der erforderlichen Maßnahmen. Wir werden in künftigen KI-Flashs ausgewählte Fragestellungen der KI-Verordnung im Detail aufgreifen, um Ihnen möglichst frühzeitig eine erste Einordnung zu ermöglichen.

Den vollständigen Artikel finden Sie in:
Margret Knitter, „Privilegierung von Kooperationsapotheken auf Cannabis-Telemedizin-Plattform verletzt freies Apothekenwahlrecht“, GRUR-Prax 2025, Heft 19, S. 682–683.
Zum Artikel auf beck-online

>> Lesen Sie hier den Artikel der WirtschaftsWoche <<

https://www.wiwo.de/finanzen/steuern-recht/zugewinngemeinschaft-wann-ist-der-ehevertrag-wirklich-sinnvoll/100157989.html