Deutsche Unternehmen befinden sich in einem Prozess der digitalen Transformation. Dass etablierte Geschäftsmodelle regelmäßig auf den Prüfstand gestellt werden müssen, wurde zuletzt durch neue KI-Sprachmodelle deutlich. Bei der digitalen Transformation sind jedoch nicht nur technische und wirtschaftliche Aspekte zu berücksichtigen, sondern auch juristische Fragestellungen.
Unternehmen sollten bei der digitalen Transformation unbedingt auch rechtliche Aspekte berücksichtigen.
(Bild: Olivier Le Moal - stock.adobe.com)
Die Einführung neuer Technologien bringt zunächst Rechtsfragen im Bereich des IT- Vertragsrechts hervor: Anschaffung und Betrieb solcher Systeme erfordern ein belastbares Vertragswerk mit IT-Anbietern, insbesondere im Hinblick auf Verfügbarkeit, Aktualisierung, Service-Levels und Haftung. Da es zudem kaum möglich ist, ein System ohne personenbezogene Daten zu betreiben, müssen die Verarbeitungsprozesse datenschutzrechtlich analysiert und die notwendigen technischen und organisatorischen Konformitätsmaßnahmen umgesetzt werden. Dies ist eine Schnittstelle zum Arbeitsrecht, denn die rechtskonforme Verarbeitung von Mitarbeiterdaten setzt oft voraus, dass Arbeitsverträge angepasst, Einwilligungen eingeholt oder Betriebsvereinbarungen geschlossen werden müssen. Werden digitale Zahlungsmethoden für Kunden eingeführt, so sind die strengen Kreditwesen- und Zahlungsdienstevorgaben zu beachten.
Bei der Transformation von Logistikprozessen zeigt sich, dass zunehmend urheberrechtliche Aspekte in den Vordergrund rücken, etwa wenn unterschiedliche Datenbestände zusammengeführt wurden (Lagerbestandsdaten, externe Kunden- sowie Lieferantendaten oder externe Verkehrsdaten) und sich die Frage nach den Nutzungsrechten stellt. Eine ähnliche Problematik ergibt sich bei der technischen Anbindung von Industrieanlagen an vernetzte IT-Systeme, etwa zu Zwecken der vorausschauenden Wartung, die eine Fülle wertvoller Daten aus unterschiedlichen Quellen zusammenführt.
Aktuelle Fallbeispiele aus der Praxis
Die anwaltliche Beratungspraxis zeigt, dass sich derzeit insbesondere in den Bereichen des gewerblichen Rechtsschutzes sowie des Datenschutzes rechtliche Hürden auftun. So musste ein großer Mittelständler kürzlich sein Hauptprodukt, eine vernetzte Reinigungsmaschine, kurzzeitig vom Markt nehmen, weil sich herausstellte, dass die dort integrierte Software eines Drittherstellers nicht frei von Rechten Dritter war und die Rechteinhaber eine einstweilige Verfügung erwirkt hatten.
Ein großes Unternehmen der Medizintechnik wurde im Hinblick auf die Verarbeitung von Gesundheitsdaten durch vernetzte Geräte von der zuständigen Datenschutzbehörde zur Unterlassung aufgefordert. Erst nach Verschärfung der technischen Sicherheitsvorkehrungen, der Anonymisierung von Daten sowie der Durchführung einer erweiterten Datenschutz-Folgenabschätzung konnte eine Aufhebung der Untersagung erreicht werden.
Risiken ergeben sich aktuell auch im Bereich der Cybersecurity. So wurde die Muttergesellschaft eines internationalen Handelskonzerns kürzlich nach Einführung einer Plattform zur automatisierten Einbindung von Lieferanten aufgrund einer fahrlässigen Sicherheitslücke mit Schadsoftware infiziert und musste die Plattform vom Netz nehmen, die Behörden informieren und das gesamte System nach forensischer Analyse neu aufsetzen; ein Verwaltungsverfahren wegen möglicher Verletzung von Art. 32 DSGVO wurde behördenseitig eingeleitet.
Zunehmende Regulierung
Die Gesetzgebung hat erkannt, dass der Einsatz neuer Technologien nicht nur Vorteile für Unternehmen bietet, sondern auch Risiken für Verbraucher. Insbesondere die EU-Kommission hat zuletzt eine umfassende Neuregelung des EU-Digitalrechts eingeleitet.
So ist am 1.Juli 2022 das Umsetzungsgesetz zur neuen DIRL-Richtlinie (Digitale Inhalte) in Kraft getreten, wonach Unternehmen, die im Internet digitale Inhalte anbieten nun einen Kündigungsbutton bereitstellen und diverse Vorgaben erfüllen müssen. Unter Umsetzung der neuen WKRL-Richtlinie (Warenkauf) müssen Unternehmen beim Verkauf von Waren mit digitalen Elementen erweiterte Anforderungen erfüllen, wie neue Aktualisierungspflichten zur Software. Seit November 2022 ist der neue Digital Markets Act in Kraft, eine EU-Verordnung, die große Plattformbetreiber zur Zusammenarbeit mit anderen Providern verpflichtet. Nach dem neuen Digital Services Act müssen Online-Vermittler digitaler Dienste (z.B. Onlineshop-Betreiber) ergänzende Pflichten erfüllen, beispielsweise die Einführung von Verfahren zur Meldung und Löschung illegaler Inhalte. Seit dem 16. Januar 2023 hat die neue NIS2-Richtlinie zur Cybersicherheit Geltung, die bis zum 17. Oktober 2024 umgesetzt werden muss. Die Richtlinie enthält diverse neue Pflichten zur IT-Sicherheit und senkt den Anwendungsbereich für Betreiber kritischer Infrastrukturen deutlich herab. Ebenfalls im Januar in Kraft getreten ist die DORA-Verordnung (Digital Operational Resilience Act), die spätestens bis zum 17. Januar 2025 von Finanzdienstleistern und kritischen ITK-Drittanbietern umzusetzen ist und neue Anforderung zur IT-Sicherheit regelt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Derzeit befinden sich weitere EU-Verordnungen in der Vorbereitung. Eine besondere Bedeutung hat der aktuelle Entwurf zum Cyber Resilience Act, der Unternehmen zukünftig verpflichtet zu gewährleisten, dass die auf dem EU-Markt angebotenen Produkte mit digitalen Elementen frei von IT-Sicherheitslücken sind und über die notwendigen Aktualisierungen und Konformitätsbewertungen verfügen. Im Umlauf ist zudem der Entwurf zum Data Act, der Unternehmen Zugang zu fremden Datenbeständen (insbesondere auch des Staates) gewähren soll und nach Einigung zwischen EU-Rat und Europäischem Parlament vom 27. Juni 2023 nun in Kürze in Kraft treten dürfte. Erst am 14. Juni 2023 hatte das Parlament zudem seine finale Position zur neuen EU-Verordnung zum Einsatz von Künstlicher Intelligenz veröffentlicht („KI-Act“). Auch hierzu ist wohl in Kürze mit einem Inkrafttreten zu rechnen.
Fazit
Unternehmen sollten bei der digitalen Transformation auch rechtliche Aspekte berücksichtigen. Vorrangig spielen weiterhin das IT- und Datenschutzrecht eine Rolle. Jedoch zeigt die Praxis, dass sich Überschneidungen zum Arbeitsrecht, gewerblichen Rechtsschutz, Kartellrecht, Steuerrecht und insbesondere zum Recht der regulierten Sektoren (Finanzwesen, Versicherungswesen, Energie, Automotive, Gesundheit) ergeben. Infolge der neuen Welle an Gesetzesinitiativen aus Brüssel zum EU-Digitalrecht sollten hierbei nicht nur bestehende Regelungen, sondern auch aktuelle Gesetzgebungsverfahren Berücksichtigung finden.
Über den Autor: Dr. Hans Markus Wulf ist Partner und IT- und Datenschutzexperte bei der wirtschaftsberatenden Kanzlei Heuking Kühn Lüer Wojtek.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/56/eb/56eb26fd706af1e54a5d97a52cd5cd1c/0125831444v1.jpeg "Die EZB bemüht sich, die Bankenlandschaft gegen den Sturm der Cyberbedrohungen abzusichern. Neue Richtlinien zum Umgang mit Cloud-Dienstleistern wie DORA und strenge IT-Standards sollen die Resilienz der Finanzinstitute fördern. (Bild: © Саша Федюк - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")