Digital BusinessIT-Recht und Datenschutz26.03.2024 Newsletter
Fokus IT&C – 1. Quartal 2024
Wir haben für Sie wichtige und spannende Neuerungen und Rechtsprechung aus dem IT-Recht und Datenschutz zusammengestellt. Viel Spaß beim Lesen!
1. Apples Reaktion auf den DMA – Wichtige Änderungen für Nutzer in der EU
2. Einkauf von KI-Lösungen – wie man Risiken minimiert
3. AI-Act verabschiedet: Ein Blick auf die überarbeitete Fassung des EU-Parlaments
4. LG Tübingen: Erste Entscheidung zur Cyberversicherung
5. Neuer inoffizieller Referentenentwurf zur Umsetzung der NIS-2-Richtlinie veröffentlicht
6. BaFin veröffentlicht aktualisierte Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter
1. Apples Reaktion auf den DMA – Wichtige Änderungen für Nutzer in der EU
Der Digital Markets Act („DMA“) soll für mehr Fairness und Wettbewerb im digitalen Sektor des europäischen Binnenmarktes sorgen. Insbesondere soll durch die Regulierung ein Missbrauch der Marktmacht großer Onlineplattformen, sogenannter Gatekeeper, aufgebrochen werden. Seit dem 6. März 2024 ist der DMA von den adressierten Gatekeepern zu befolgen. Um den dort festgelegten hohen Sanktionen zu entgehen, musste Apple das eigene Konzept für iOS, Safari und den App Store intensiv überarbeiten. So steht den Nutzern seit dem 5. März die iOS-Version 17.4 zur Verfügung, die vor allem im Hinblick auf den App Store für Softwareentwickler in der EU sehr relevante Neuerungen enthält.
1. DMA ab März für Gatekeeper verpflichtend
Bei den adressierten Gatekeepern handelt es sich um Unternehmen, welche durch die EU-Kommission als Gatekeeper benannt worden sind. Ihre Benennung hängt gemäß Art. 3 DMA von drei Voraussetzungen ab:
a) Sie müssen einen erheblichen Einfluss auf den Binnenmarkt haben,
b) einen zentralen Plattformdienst bereitstellen, welcher für gewerbliche Nutzer ein wichtiges Zugangstor zu Endnutzern darstellt und
c) hinsichtlich ihrer Tätigkeiten eine gefestigte und dauerhafte Position innehaben oder es muss absehbar sein, dass sie eine solche in naher Zukunft erlangen werden.
Apple ist ein solcher benannter Gatekeeper und der App Store ein zentraler Plattformdienst. Der DMA regelt umfangreiche Verhaltenspflichten und sieht strenge Geldbußen bei Verstößen vor. Die möglichen Sanktionen können bis zu 10 % des weltweit erzielten Gesamtumsatzes, im Wiederholungsfall sogar bis zu 20 % betragen.
Eine der Verpflichtungen der Gatekeeper besteht darin, nicht zu verhindern, dass Produkte oder Dienstleistungen über andere Online-Vermittlungsdienste Dritter oder über eigene Online-Vertriebskanäle zu anderen Preisen oder Bedingungen angeboten werden als über den Online-Vermittlungsdienst des Gatekeepers (Art. 5 Abs. 3 DMA).
Außerdem muss es möglich sein, Software-Anwendungen auch auf andere Weise als lediglich über den von Apple gestellten App Store zu installieren und zu nutzen (Art. 6 Abs. 4 DMA). Apple darf somit die Installation und Nutzung eines App Stores von einem Drittanbieter nicht mehr verhindern.
2. Apples neues Konzept: Was ändert sich für Nutzer in der EU?
Apple weigerte sich lange App Stores anderer Anbieter zuzulassen und argumentierte primär mit Sicherheitsbedenken. Durch den DMA wurde Apple nun zum Handeln gezwungen und hat das neue Konzept in einer Pressemitteilung am 25. Januar 2024 vorgestellt. Die daraus resultierenden umfangreichen Änderungen in iOS, Safari und dem App Store wurden am 5. März 2024 durch ein Update umgesetzt.
So können Apps nun auch auf alternativen App-Marktplätzen vertrieben werden, was Softwareentwicklern neue Freiheiten bieten sollte. Apple versucht trotzdem weiterhin die Kontrolle zu behalten und sieht etwa eine Autorisierung der Marktplatz-Entwickler vor. Dadurch wird ein traditionelles „Sideloading“, also die Installation einer Anwendung aus einer beliebigen Quelle, weiterhin verhindert. Dies führte zu Kritik, woraufhin Apple Anfang März die Möglichkeit einer „Web Distribution“ von Apps vorgestellt hat, die noch im Frühjahr umgesetzt werden soll. Entwickler können danach Apps von ihrer Webseite aus vertreiben, ohne dass auf einen Marktplatz zurückgegriffen werden muss. Allerdings plant Apple auch hier einschränkende Maßnahmen wie die Voraussetzung einer ununterbrochenen Mitgliedschaft im Apple Developer Program von mindestens zwei Jahren und die Veröffentlichung einer App, die im vorangegangenen Kalenderjahr in der EU mehr als eine Million Mal installiert wurde. Zusätzlich sieht Apple eine Zertifizierung für iOS-Apps vor, einschließlich solcher aus alternativen Marktplätzen oder durch die Web Distribution.
Die an Apple zu zahlenden Provisionen ändern sich, fallen aber nicht weg. Während diese ursprünglich bis zu 30 % erreichen konnten, betragen sie nun zehn oder 17 %. Soll ebenfalls die Zahlungsabwicklung des App Stores genutzt werden, fällt eine zusätzliche Gebühr von drei Prozent an. Neu ist bei der Verwendung der neuen Gebührenordnung eine sogenannte „Core Technology Fee“, die sowohl für Apps aus dem App Store als auch für solche aus alternativen App-Marktplätzen oder bei der Web Distribution anfällt. Wird die Schwelle von einer Million Downloads überschritten, muss für jede weitere erste jährliche Installation der App durch ein Apple-Konto von den Entwicklern 50 Cent an Apple gezahlt werden. Diese Gebühr soll auch für kostenlose Installationen greifen und kann daher für kleine Softwareentwickler, deren kostenlose App plötzlich ein großer Erfolg wird, sehr gefährlich werden. Softwareentwickler aus der EU können wählen, ob sie die neuen Geschäftsbedingungen von Apple übernehmen oder weiterhin bei dem ursprünglichen Konzept bleiben wollen. Dann entfällt auch die „Core Technology Fee“. Entwickler sollten daher sorgfältig abwägen, welche Bedingungen für sie am sinnvollsten sind. Apple hat zu diesem Zweck auch einen Gebührenrechner veröffentlicht.
Doch nicht nur der App Store erfuhr umfangreiche Änderungen. So können beispielsweise in der EU auch andere Banking- und Wallet-Apps nun die Near Field Communication („NFC“) – Technologie verwenden. Dies konnte zuvor nur Apples eigener Bezahldienst Apple Pay. Nutzer können sich nun auch beim ersten Starten des Webbrowsers Safari aus einem Auswahlbildschirm für einen Standardbrowser entscheiden.
3. Verhält sich Apple DMA konform? Wie geht es weiter?
Dass Apple diese Änderungen aus Zwang und nicht freiwillig umsetzt, zeigt sich bereits in der Einleitung der Pressemitteilung. Dort hebt das Unternehmen besonders die neuen Möglichkeiten für Malware, Betrug und die Datenschutzrisiken hervor, welche die kontrollerhaltenden Maßnahmen rechtfertigen sollen. Viele sind jedoch mit der Umsetzung der DMA-Vorgaben durch Apple nicht zufrieden, so dass sich bereits Anfang März 34 Unternehmen in einem offenen Brief an die EU-Kommission gewandt haben. Darin kritisieren sie insbesondere die „Core Technology Fee“ und die unzureichende Umsetzung des „Sideloadings“.
Apple verteidigte daraufhin sein Vorgehen zur Erreichung der DMA-Konformität in einer Anhörung vor der EU-Kommission. Margrethe Vestager, EU-Kommissarin für Wettbewerb, äußerte ebenfalls Bedenken bezüglich der „Core Technology Fee“. Sie befürchtet, dass die neuen Geschäftsbedingungen so unattraktiv sein könnten, dass kein Anreiz besteht, sich für sie zu entscheiden und die Vorteile des DMA zu nutzen.
Apple versucht mit der aktuellen Strategie, die Vorgaben des DMA in bestimmten Aspekten zu entschärfen, stößt damit aber zunehmend auf Kritik. Die EU-Kommission hat nun ein Wettbewerbsverfahren sowohl gegen Apple als auch gegen Meta und Alphabet eröffnet, um die Einhaltung der Anforderungen aus dem DMA zu überprüfen. Es ist somit anzunehmen, dass die Umsetzung des DMA durch Apple noch nicht abgeschlossen ist und weitere Anpassungen folgen werden.
Dr. Hanna Schmidt
2. Einkauf von KI-Lösungen – wie man Risiken minimiert
Das KI-Gesetz (AI Act) der EU ist kurz vor der Verabschiedung und wird voraussichtlich in 2026 vollumfassend zur Anwendung gelangen. Welche Fragen stellen sich im Vorgriff darauf bereits heute?
1. Handelt es sich tatsächlich um ein KI-System?
Nicht alles, was als KI vermarktet wird, ist auch KI. Die Definition in Art. 3 (1) KI-Gesetz orientiert sich an der Definition der OECD, ist aber recht vage. Entscheidend ist, ob das System über ein gewisses Maß an Autonomie verfügt und ob es aus den Eingaben, die es erhält, auf die Erzeugung der Resultate schließt. Angesichts dessen, dass auch ein automatischer Scheibenwischer „ein bisschen“ autonom ist und schlicht jede Software in der Lage ist, aus dem Eingabebefehl die gewünschten Ergebnisse zu generieren, sind selbst diese Tatbestandsvoraussetzungen unklar. Licht ins Dunkel bringt zumindest teilweise Erwägungsgrund 6, in dem z. B. klargestellt wird, dass KI-Systeme keine Systeme umfassen sollten, die auf Regeln beruhen, die ausschließlich von natürlichen Personen für die automatische Ausführung von Operationen festgelegt wurden. Regelbasierte deterministische Systeme können zwar intelligent erscheinen und sein (und unerwartete Ergebnisse liefern), sind aber keine KI-Systeme im Sinne des Gesetzes.
Due Diligence bei KI-Systemen ist mangels Zugang zu (verlässlichen) Informationen schwierig. Der Anbieter sollte daher eine verbindliche Erklärung abgeben, ob es sich bei seiner Lösung um eine KI (im Sinne des Gesetzes) handelt, verbunden mit einer Haftungsfreistellung, falls die Erklärung unzutreffend sein sollte.
2. Handelt es sich um ein Hochrisiko-KI-System?
Ob es sich bei einem KI-System um ein Hochrisiko-KI-System handelt, lässt sich teilweise leichter feststellen, da Art. 6 spezifische Bereiche mit hohem Risiko abschließend aufzählt. Dennoch bleiben verschiedene Fragen offen, z. B. in Anhang III Nr. 4 (b) über HR-Systeme: "KI, die dazu bestimmt ist, (i) Entscheidungen zu treffen, die sich auf die Bedingungen der arbeitsbezogenen Beziehungen, die Beförderung und die Beendigung arbeitsbezogener Vertragsverhältnisse auswirken, (ii) Aufgaben auf der Grundlage von individuellem Verhalten oder persönlichen Merkmalen oder Eigenschaften zuzuweisen und (iii) die Leistung und das Verhalten von Personen in solchen Beziehungen zu überwachen und zu bewerten." Was dies genau beinhaltet, bleibt abzuwarten, zumal die Variante (iii) exakt den Wortlaut von § 87 Nr. 6 BetrVG spiegelt, der bekanntlich zumindest vom BAG extrem weit ausgelegt wird.
Wenn das KI-System grundsätzlich als hochriskant einzustufen ist, sind die wichtigen Ausnahmen in Art. 6 (3) zu prüfen, der dem Gesetz im Januar in letzter Minute hinzugefügt wurde.
3. Was sollte bei vertraglichen Vereinbarungen beachtet werden?
In Verträgen über den Kauf von KI-Systemen (allgemeine Software-Einkaufsbedingungen sollten entsprechend angepasst werden) sollte sichergestellt werden, dass das KI-System selbst den Anforderungen des AI Acts genügt. Zudem sollte folgendes geregelt werden:
- Der Anbieter sollte verbindlich bestätigen, ob das System unter den AI Act fällt oder nicht (siehe oben).
- Der Anbieter sollte verpflichtet werden, Updates zu liefern und über die erforderlichen technischen und organisatorischen Maßnahmen und jegliche Änderungen zu informieren.
- Es sollte geklärt werden, wer die (Online-)Schulungen bezüglich des spezifischen Systems durchführt (wenn der Anbieter dies nicht mit anbietet). Dies dient dazu, den Mitarbeitenden die für die Nutzung von KI erforderlichen Kenntnisse (Art. 4) zu verschaffen.
- Das KI-System sollte über ein eingebautes Monitoring (oder Schnittstellen zu KI-Monitoring-Software) verfügen.
- Das KI-System muss Protokolle generieren und diese archivieren (sonst ist für eine anderweitige Archivierung zu sorgen)
Schließlich sind alle Aspekte, die für den Einkauf von „normaler“ Software relevant sind, zu berücksichtigen.
Die obigen Ausführungen spiegeln die Anforderungen an die Betreiber von KI-Systemen mit hohem Risiko wider. Die Maßnahmen sind jedoch auch für jedes andere KI-System ratsam.
Was ist sonst zu beachten?
Ungeachtet des AI Acts gelten die bestehenden gesetzlichen Vorschriften weiter. Es bedarf der Gewährleistung, dass die erforderlichen Trainings- und Eingabedaten verfügbar sind und in Übereinstimmung mit der DSGVO verarbeitet werden können. Stellen Sie sicher, dass die Verwendung der Trainings- und Eingabedaten und die Erzeugung der Ergebnisse nicht gegen die Rechte am geistigen Eigentum Dritter verstößt. Weisen Sie Verantwortlichkeiten für die menschliche Aufsicht innerhalb Ihrer KI-Governance-Strukturen zu.
Und nicht zuletzt: Ist es klug, dies bereits heute zu berücksichtigen? Ja, das ist es! Denn auch Altsysteme fallen bei wesentlichen Änderungen unter das KI-Gesetz. Schließlich bestehen die grundsätzlichen Gefahren auch bei anderen als Hochrisiko-KI-Systemen, wie z.B. Intransparenz, Unkontrollierbarkeit oder Ängste um den Wegfall von Arbeitsplätzen.
Dr. Marc Hilber
3. AI-Act verabschiedet: Ein Blick auf die überarbeitete Fassung des EU-Parlaments
Das EU-Parlament verabschiedete am 13. März 2024 den AI-Act. Nun steht nur noch die Bestätigung durch den Rat aus. Der AI-Act könnte damit im Juni 2024 in Kraft treten. In der überarbeiteten Fassung des EU-Parlaments wurden viele Vorschriften verschoben. Umso mehr lohnt sich ein genauer Blick in den aktualisierten Text der Verordnung.
Der AI-Act differenziert zwischen verbotenen Systemen mit einem „unannehmbaren Risiko“ (dazu Ziffer 1), sog. Hochrisikosystemen, die den zentralen Regelungsgegenstand des Gesetzes ausmachen (dazu Ziffer 2), KI-Systemen mit geringem Risiko (Ziffer 3) sowie grundlegenden KI Modellen (sog. General Purpose AI), die vielfältig einsetzbar sind und daher nicht ohne weiteres einer Risikoklasse zugeordnet werden können (dazu Ziffer 4).
1. Risikoklasse „Unannehmbares Risiko“:
KI-Systeme mit unannehmbarem Risiko sind nach Art. 5 AI-Act verboten, einschließlich solcher, die manipulative Techniken einsetzen oder persönliche Schwächen ausnutzen und dadurch Personen schädigen können (ErwG 29 AI-Act). Das sind z.B. KI-Systeme zum Social Scoring.
Ausnahmen gelten für militärische, Verteidigungs- oder nationale Sicherheitszwecke sowie für wissenschaftliche Forschung und Entwicklung (Art. 2 Abs. 3 bzw. 6 AI-Act).
2. Risikoklasse „Hohes Risiko“:
Hochrisiko-KI-Systeme gemäß Art. 6 AI-Act stellen Risiken für Gesundheit, Sicherheit und Grundrechte dar und sind in Anhang I und III des AI-Act aufgeführt. Systeme nach Anhang I unterfallen den dort aufgeführten EU-Produktsicherheitsregelungen, z.B. KI in Spielzeug, Medizinprodukten oder Schutzausrüstung. Anhang III nennt weitere Bereiche, die zu einer Einstufung als Hochrisiko-KI-System führen, wie z.B. KI im HR-Bereich für Bewerbungsprozesse. Die Kommission kann gemäß Art. 7 AI-Act weitere Hochrisikosysteme in Anhang III aufnehmen.
2.1 Vorgaben für die Konzipierung und Entwicklung von Hochrisiko-KI-Systemen
Art. 8 bis Art. 15 AI-Act stellen Anforderungen an die Konzipierung und Entwicklung der Hochrisiko-KI-Systeme:
- Der Anbieter muss gemäß Art. 9 AI-Act potentielle Risiken des Systems identifizieren, bewerten und durch Risikomanagementmaßnahmen eingrenzen (Risikomanagement-System), um die Restrisiken auf ein annehmbares Maß zu reduzieren. Übertragen auf KI-Systeme zum Arbeitnehmermanagement können insbesondere Unternehmensrichtlinien, die Berechtigungen und Anwendung der Systeme regeln, Risiken eines fehlerhaften Einsatzes reduzieren (vgl. Art. 9 Abs. 5 lit. c AI-Act).
- Trainingsdaten für Hochrisiko-KI-Systeme müssen nach Art. 10 AI-Act bestimmte Qualitätsvorgaben erfüllen. Sie sollen relevant, hinreichend repräsentativ und im Hinblick auf ihren Zweck möglichst fehlerfrei und vollständig sein. Dies soll sog. Bias verhindern.
- Art. 11 bis 13 AI-Act behandeln die technische Dokumentation und Aufzeichnungspflichten. Hochrisiko-KI-Systeme müssen so gestaltet werden, dass sie von Menschen überwacht werden können (Art. 14 AI-Act). Die Aufsichtsmaßnahmen richten sich nach dem Autonomiegrad, die sich für vollautonome Systeme auf eine Überwachung und Kontrolle des Outputs beschränken und gegebenenfalls eine Abschaltung des Systems erfordern dürften (Art. 14 Abs. 3 und 4 AI-Act).
- Gemäß Art. 15 AI-Act müssen KI-Systeme so entwickelt werden, dass sie ein angemessenes Maß an Robustheit gegenüber Umwelteinflüssen wie neue Nutzungskontexte, Cyberangriffe und Fehler innerhalb der verwendeten Algorithmen aufweisen. Dies betrifft insbesondere KI-Systeme, die auf Künstlichen Neuronalen Netzen basieren, da sie theoretisch kontinuierlich lernen und sich anpassen können. Sie sind anfällig für fehlerhafte Datensätze, was zu unerwünschten Verhaltensweisen führen kann.
2.2 Pflichtenprogramm für Anbieter, Einführer, Händler und Betreiber von Hochrisiko-KI-Systemen
Art. 16 bis Art. 27 AI-Act verpflichten Anbieter, Einführer, Händler und Betreiber von Hochrisiko-KI-Systemen:
- Die umfangreichsten Pflichten treffen die Anbieter und Betreiber von KI-Systemen. Anbieter entwickeln ein KI-System oder GPAI-Modell und bringen es unter ihrem eigenen Namen oder Marke auf den Markt oder nehmen es in Betrieb, Art. 3 Nr. 3 AI-Act. Betreiber verwenden KI-Systeme in eigener Verantwortung im Rahmen einer beruflichen Tätigkeit, Art. 3 Nr. 4 AI-Act. Anbieter sind daher in der Regel Entwickler von KI-Systemen, während Betreiber fremde Systeme kommerziell nutzen. Betreiber können Anbieterpflichten treffen, wenn sie nachträglich ihren Namen oder ihre Marke auf ein Hochrisiko-KI-System anbringen oder das System wesentlich verändern, Art. 25 AI-Act.
- Anbieter müssen zudem unverzüglich Korrekturmaßnahmen ergreifen, wenn ein Hochrisiko-KI-System nicht AI-Act-konform funktioniert. In diesem Falle können Anbieter zum Rückruf und zur Deaktivierung ihres Systems verpflichtet sein, Art. 20 Abs. 1 AI-Act.
- Vergleichbar mit Art. 27 DSGVO müssen Anbieter von Hochrisiko-KI-Systemen, die außerhalb der EU niedergelassen sind, einen in der Union niedergelassenen bevollmächtigten Vertreter benennen, Art. 22 AI-Act.
- Art. 23 AI-Act verpflichtet die Einführer von Hochrisiko-KI-Systemen, getreu des Vier-Augen-Prinzips dazu, die Umsetzung verschiedener Pflichten, wie der Dokumentationspflicht aus Art. 11 AI-Act, vor dem Inverkehrbringen des Systems zu prüfen. Ergänzt wird diese Kontrolle durch eine weitere Prüfung der Händler, Art. 24 AI-Act.
- Die Betreiber müssen die Hochrisiko-KI-Systeme kontinuierlich überwachen und kontrollieren, vgl. Art. 26 AI-Act. Einerseits müssen Sie angemessene technische Maßnahmen ergreifen, um das System sicher betreiben zu können, andererseits die intellektuellen Ressourcen bereitstellen, um die zuständigen Personen zur Aufsicht zu befähigen (Art. 26 Abs. 1 AI-Act). Zudem sind Betreiber verpflichtet, die Qualität ihrer Daten zu prüfen, um sicherzustellen, dass sie für den Einsatzbereich des Systems relevant und repräsentativ sind (Art. 26 Abs. 4).
- Betreiber von KI-Systemen für die Kreditwürdigkeitsbewertung oder Preisgestaltung in Versicherungen müssen gemäß Art. 27 AI-Act eine grundrechtliche Folgenabschätzung durchführen. Dies soll die spezifischen Risiken für Grundrechte identifizieren, insbesondere mögliche Verletzungen des Gleichheitssatzes (Art. 3 GG).
2.3 Sonderregeln für notifizierende Behörden und Zertifikate
Art. 28 bis Art. 39 AI-Act richten sich unmittelbar an notifizierende Behörden und Stellen, die auf Hochrisiko-KI-Systeme zurückgreifen. Weiterhin enthalten Art. 40 bis Art. 49 AI-Act Regelungen zu Konformitätsbewertungen, Bescheinigungen und Registrierungen für diese Hochrisiko-KI-Systeme.
3. Pflichtenprogramm für Anbieter, Einführer, Händler und Betreiber von Hochrisiko-KI-Systemen
Sind KI-Systeme nicht als Hochrisiko-KI-Systeme einzustufen oder verboten, handelt es sich um KI-Systeme mit geringem oder minimalem Risiko. Das „AI Office“ und die Mitgliedstaaten sollen nach Art. 95 AI-Act die Aufstellung von Verhaltenskodizes über die freiwillige Einhaltung bestimmter Vorschriften des AI-Act fördern und erleichtern. Für KI-Systeme, die mit dem Menschen kommunizieren, gelten darüber hinaus Transparenzpflichten, Art. 50 AI-Act. Dem Nutzer der KI muss mitgeteilt werden, dass er mit einer KI interagiert.
4. GPAI-Modelle
Die neue Fassung des AI-Act führt die Kategorie der General Purpose AI Modelle („GPAI-Modelle“) ein, vgl. Kapitel V AI-Act. Diese Modelle, wie etwa GPT-Modelle, auf denen ChatGPT basiert, sind für allgemeine Zwecke konzipiert und dienen nach dem AI-Act als Basis für die Entwicklung von KI-Systemen. Erst durch Integration mit Komponenten wie einer Benutzerschnittstelle oder Implementierung in andere Systeme wird ein GPAI-Modell zu einem KI-System, vgl. ErwG 97 AI-Act. Aufgrund ihrer Vielseitigkeit und Möglichkeit zur Weiterentwicklung können ihre Anwendungen unterschiedliche Risiken bergen.
- Grundlegend gelten für GPAI-Modelle die Transparenzpflichten aus Art. 50 AI-Act Act sowie besondere Pflichten für ihre Anbieter nach Art. 53 AI-Act. Natürliche Personen müssen beim Einsatz dieser KI insbesondere erkennen können, dass sie mit einer KI interagieren.
- Die GPAI-Modelle können infolge ihrer Implementierung in ein anderes KI-System auch als Hochrisiko-KI-Systeme einzuordnen sein, vgl. ErwG 85 AI-Act. Damit gilt für diese das entsprechende erweiterte Pflichtenprogramm.
- Ergänzend werden in Art. 51 AI-Act „GPAI-Modelle mit systemischen Risiko“ adressiert, deren Einsatz zusätzliche Pflichten zur Risikominimierung nach Art. 55 AI-Act auslöst. Die Einstufung stützt sich hauptsächlich darauf, ob diese Modelle über Fähigkeiten mit einem hohen Wirkungsgrad verfügen, kann aber auch durch eine Entscheidung der Kommission erfolgen, wenn sie ein Modell als dazu gleichwertig ansieht. Die Pflichten der Anbieter von GPAI-Modellen gemäß Art. 53 AI-Act umfassen unter anderem die Erstellung und Aktualisierung einer technischen Dokumentation, eine Zusammenfassung der für das Training verwendeten Daten sowie die Einführung einer Urheberrechtspolitik.
- Anbieter von GPAI-Modellen mit systemischen Risiko müssen gemäß Art. 55 AI-Act Modellevaluierungen durchführen, Systemrisiken bewerten bzw. Eindämmen sowie ein angemessenes Niveau an Cybersicherheit und physischer Infrastruktur aufweisen.
Dr. Axel Grätz
4. LG Tübingen: Erste Entscheidung zur Cyberversicherung
Cyberversicherungen werden aufgrund der zunehmenden Bedrohung durch Cyberangriffe und der damit verbundenen finanziellen Risiken immer relevanter. Nach dem „Allianz Risk Barometer“ galten Cybervorfälle in den Jahren 2022 und 2023 als die weltweit größten Geschäftsrisiken für Unternehmen (im Jahre 2023 gleichauf mit Betriebsunterbrechungen). Bei der Cyberversicherung handelt es sich um ein relativ junges Produkt, weshalb diesbezüglich noch einige rechtliche Unklarheiten bestehen. So war etwa unklar, ob die ergangene Rechtsprechung in Bezug auf andere Versicherungssparten auch auf diese übertragen werden kann. Am 26. Mai 2023 erging durch das Landgericht Tübingen das erste Urteil zum Deckungsschutz bei Cyberversicherungen (Az. 4 O 193/21). Dies ermöglicht erste Erkenntnisse:
1. Der Fall
Der Fall befasste sich mit der Erstattung von verschiedenen Schadenspositionen durch den Cyberversicherer, die eine Versicherungsnehmerin infolge eines Cyberangriffs erlitten hatte. Bei dem Angriff handelte es sich um eine sogenannte „Pass-the-Hash“-Attacke, bei welcher über einen geöffneten Anhang einer Phishing-Mail ein Verschlüsselungstrojaner (sogenannte Ransomware) eingeschleust wurde. Dieser verschlüsselte mehrere Server der Versicherungsnehmerin und legte dadurch die gesamte IT-Infrastruktur lahm. Die Versicherungsnehmerin kam der Lösegeldforderung des Angreifers nicht nach, sodass die Verschlüsselung der IT-Infrastruktur aufrechterhalten blieb. Dies hatte zur Folge, dass die IT-Infrastruktur neu aufgebaut werden musste.
Der Versicherer berief sich darauf, dass die Versicherungsnehmerin die Risikofragen objektiv und arglistig falsch beantwortet habe. Dies stelle eine vorvertragliche Anzeigepflichtverletzung dar (§§ 19, 21 VVG). Die Versicherungsnehmerin hatte 11 ihrer 21 Server nicht mit aktuellen Sicherheits-Updates versorgt. Die Vornahme solcher Aktualisierungen war eine von verschiedenen Risikofragen des Versicherers im Vorfeld des Vertragsschlusses gewesen. Er erklärte daher unter Berufung auf die Allgemeinen Versicherungsbedingungen den Rücktritt vom Versicherungsvertrag.
Hilfsweise berief sich der beklagte Versicherer auf eine Gefahrerhöhung (§§ 23 ff. VVG) bzw. auf eine grob fahrlässige Herbeiführung des Versicherungsfalles (§ 81 Abs. 2 VVG) seitens der Versicherungsnehmerin durch fehlende bzw. unzureichende Sicherheitsmaßnahmen. Als mögliche Maßnahmen nannte der Versicherer eine Zwei-Faktoren-Authentifizierung sowie ein Monitoring des IT-Systems durch Mitarbeiter oder ähnliche Maßnahmen, welche Cyberangriffe vermeiden können.
2. Entscheidung des Gerichts
Hinsichtlich des Rücktritts vom Versicherungsvertrag entschied das Gericht, dass zwar die Risikofrage bezüglich der Sicherheits-Updates womöglich falsch beantwortet wurde, der Versicherungsschutz jedoch aufgrund eines sogenannten Kausalitätsgegenbeweises nach § 21 Abs. 2 S. 1 VVG nicht versagt werden dürfe. Ein solcher läge vor, da nachgewiesen wurde, dass eine möglicherweise falsche Beantwortung der Risikofragen weder für den Eintritt des Versicherungsfalles noch für die Feststellung oder den Umfang der Leistung ursächlich gewesen sei. Durch ein Sachverständigengutachten wurde festgestellt, dass der Cyberangriff eine bekannte Schwachstelle von Windows ausgenutzt hat und der Angriff auch bei Servern erfolgreich war, welche über die erforderlichen Sicherheits-Updates verfügten. Ein solcher Kausalitätsgegenbeweis scheitert nur im Falle einer arglistigen Verletzung der Anzeigepflicht, welche das Gericht jedoch nicht annahm. Das begründete das Landgericht damit, dass in einer Veranstaltung im Vorfeld des Vertragsschlusses der Versicherer den Eindruck erweckt habe, keine besonders hohen Anforderungen an die IT-Sicherheit der Versicherungsnehmerin zu stellen.
Auch einen Ausschluss oder eine Kürzung des Anspruchs wegen einer Gefahrerhöhung nach Vertragsschluss verneinte das Gericht im Hinblick auf den geführten Kausalitätsgegenbeweis.
Bezüglich einer im Raum stehenden grob fahrlässigen Herbeiführung des Versicherungsfalles und einer daraus resultierenden Anspruchskürzung, argumentierte das Gericht mit einem Urteil des OLG Hamm vom 18. Mai 1988 (Az. 20 U 232/87). Bestand die Gefahrenlage bereits bei Vertragsschluss und war diese somit Grundlage der Risikoprüfung oder hätte eine solche sein können, sei § 81 Abs. 2 VVG nicht anwendbar. Der Versicherer hätte demnach selbst die Existenz zusätzlicher Sicherheitsmaßnahmen durch passende Risikofragen abklären müssen. Durch einen Verzicht auf solche Fragen, hätte der Versicherer die Versicherungsnehmerin und ihre bestehende Risikolage akzeptiert. Die von Beginn an bestehenden Risiken könne der Versicherer im Anschluss auch nicht teilweise über § 81 Abs. 2 VVG der Versicherungsnehmerin aufbürden. Vorzunehmende Maßnahmen hätten somit im Vorfeld des Vertragsschlusses Vertragsbestandteil werden müssen.
3. Fazit
Dem Urteil des Landgerichts Tübingen folgend, ist die bisherige Rechtsprechung aus anderen Versicherungssparten auf die Cyberversicherung anzuwenden. Dennoch ist zweifelhaft, ob das Urteil in seiner aktuellen Form Bestand haben wird. Die Beklagte hat Berufung gegen die Entscheidung beim Oberlandesgericht Stuttgart eingelegt (Az. 7 U 262/23). In der versicherungsrechtlichen Literatur hat die Entscheidung aus Tübingen bereits einige Kritik erfahren.
Problematisch aus Sicht der Versicherungsbranche erscheinen insbesondere die Ausführungen des Landgerichts zu der grob fahrlässigen Herbeiführung des Versicherungsfalles nach § 81 Abs. 2 VVG. Denn nach der Interpretation des Gerichts zwingt die Vorschrift den Versicherer zu einer umfassenden Risikoaufklärung und erlaubt dem Versicherungsnehmer, sich vollkommen sorglos zu verhalten, wenn es keine Vereinbarungen über eine vor Vertragsschluss bestehenden Gefahrenlage gibt.. Dies widerspricht dem Charakter des § 81 VVG. Dieser wird herrschend als subjektiver Risikoausschluss bewertet, wenn ein vorwerfbares Fehlverhalten des Versicherungsnehmers vorliegt. Das erklärt auch die systematische Einordnung der Vorschrift im Gesetz, wonach die Herbeiführung des Versicherungsfalles gerade nicht im Abschnitt der gesetzlichen Obliegenheiten (§§ 19 – 32 VVG) geregelt ist.
Es bleibt daher mit Spannung zu erwarten, wie die Berufungsinstanz entscheiden wird. Es ist jedoch davon auszugehen, insbesondere wenn die Entscheidung auch im Berufungsverfahren Bestand haben wird, dass sich die Risikoprüfung der Versicherer noch verschärft. Versicherer sollten sicherheitshalber hinterfragen, ob ihre Risikofragen im Rahmen der vorvertraglichen Risikoprüfung ausreichend sind. Vorzunehmende Maßnahmen bezüglich der bestehenden Gefahrenlagen sollten zum Vertragsinhalt gemacht werden. So kann aus Sicht der Versicherer die Gefahr minimiert werden, dass ein Gericht davon ausgeht, der Versicherer hätte den Versicherungsnehmer mit seiner bestehenden Risikolage akzeptiert.
Dr. Hanna Schmidt
5. Neuer inoffizieller Referentenentwurf zur Umsetzung der NIS-2-Richtlinie veröffentlicht
Am 14. Dezember 2022 verabschiedete die Europäische Union die NIS-2-Richtlinie ((EU) 2022/2555) zur Bekämpfung zunehmender Cybergefahren, zur Gewährleistung der Funktionsfähigkeit des Binnenmarktes und zum Schutz der Versorgungssicherheit. Diese Richtlinie zielt darauf ab, die bestehenden Fragmentierungen im Binnenmarkt im Bereich Cybersicherheit zu überwinden und ein einheitlich hohes Niveau an Cybersicherheit in der gesamten Union zu etablieren.
Im Laufe des letzten Jahres wurden erste Entwürfe und ein Diskussionspapier zum NIS-2-Umsetzungsgesetz veröffentlicht, worüber wir bereits berichtet haben (siehe dazu ITC 3. Quartal, ITC 4. Quartal). Seit dem 7. März 2024 liegt nun ein aktualisierter, "inoffizieller" Referentenentwurf vor, datiert auf den 22. Dezember 2023.
Dieser aktualisierte Referentenentwurf enthält zahlreiche Regelungen aus dem vorherigen Diskussionspapier, bietet jedoch ein umfassenderes Bild der geplanten Gesetzgebung. Neben den anstehenden Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) sind auch anstehende Änderungen und Anpassungen in weiteren Gesetzen, wie dem Energiewirtschaftsgesetz (EnWG) und dem Telekommunikationsgesetz (TKG), enthalten.
Relevanz von Cybersicherheit auf Führungsebene
Für die Geschäftsleitung ist wichtig, dass die Regelung nach § 38 Abs. 2 BSIG-E, die Unternehmen daran hindert, auf Regressansprüche gegenüber ihrer Geschäftsleitung zu verzichten, wenn diese gegen ihre IT-Sicherheitspflichten nach § 38 Abs. 1 BSIG-E verstößt. Diese Bestimmung unterstreicht die zunehmende Bedeutung von Cybersicherheit auf der Führungsebene (Cybersicherheit ist Chefsache). Wir haben auf diese Anforderungen bereits reagiert und bieten gemeinsam mit unserem Partner ENUR spezielle Schulungen für die Geschäftsleitung an, damit diese ihren kommenden Pflichten optimal nachkommen kann und persönliche Haftungsrisiken minimiert.
Konkrete Anforderungen an Risikomanagementmaßnahmen
Erwähnenswert ist zudem, dass sich der Gesetzgeber wohl dahingehend positioniert, dass die zu ergreifenden Risikomanagementmaßnahmen nach § 30 BSIG-E nicht nur auf die kritischen Versorgungsdienstleistungen zu beschränken sind, sondern auch weite Teile der IT umfassen. Nach § 30 BSIG-E sind „(…) Einrichtungen (…) verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten (…)". Der Gesetzgeber führt hierzu aus, dass der Begriff (Anmerkung: Dienste) nicht mit der Erbringung (kritischer) Versorgungsdienstleistungen zu verwechseln ist. Vielmehr sind die hier gemeinten Dienste sämtliche Aktivitäten der Einrichtung, für die IT-Systeme eingesetzt werden. Dies beinhaltet beispielsweise auch Büro-IT oder andere IT-Systeme, die durch die Einrichtung betrieben werden (aktualisierter, "inoffizieller" Referentenentwurf, S. 124 f.).
Des Weiteren finden sich auch nähere Ausführungen zu Art und Umfang der zu gewährleistenden Sicherheit in der Lieferkette. Dies umfasst u.a.: vertragliche Vereinbarungen mit Zulieferern und Dienstleistern zu Risikomanagementmaßnahmen, Bewältigung von Cybersicherheitsvorfällen, Patchmanagement, Berücksichtigung von Empfehlungen des BSI in Bezug auf deren Produkte und Dienstleistungen sowie das Anhalten von Zulieferer und Dienstleister zur Beachtung von grundsätzlichen Prinzipien, wie Security by Design oder Security by Default (aktualisierter, "inoffizieller" Referentenentwurf, S. 125 f.)
Aussicht - Was ist zu tun?
Fallen Unternehmen in den Anwendungsbereich der NIS-2-Richtlinie, müssen sie sich frühzeitig um die Auswirkungen kümmern. Denn Übergangsfristen sind aktuell nicht vorgesehen. Wir unterstützen bei der Frage der Anwendbarkeit der NIS-2 Umsetzung auf Ihr Unternehmen (Sie können zudem mit unserem kostenlosen NIS-2-Check vorläufig prüfen, ob die NIS-2 Regelungen voraussichtlich für Sie gelten: NIS-2-Check) und beraten im Bereich Cybersecurity Unternehmen und Konzerne im Tagesgeschäft zu sämtlichen rechtlichen Fragestellungen. Außerdem bieten wir umfassende Schulungen an, die über die rechtlichen Fragestellungen hinausgehen und auch die technische Seite und das operative Risikomanagement umfassend behandeln.
Christian Saßenbach
6. BaFin veröffentlicht aktualisierte Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter
Die Finanzaufsicht BaFin hat am 1. Februar 2024 eine aktualisierte Aufsichtsmitteilung in Bezug auf die Anforderungen an eine Auslagerung an Cloud-Anbieter veröffentlicht. Die Aufsichtsmitteilung enthält wichtige Klarstellungen in Bezug auf die in der Praxis schwierige Gestaltung von Verträgen beaufsichtigter Unternehmen mit Cloud-Anbietern. Zusätzlich enthält die Aufsichtsmitteilung stark technisch geprägte Anforderungen zur Anwendungsentwicklung in der Cloud sowie zur Überwachung und Kontrolle von Auslagerungen an Cloud-Anbieter. Schließlich gewährt die Aufsichtsmitteilung zu den behandelten Themen jeweils einen Ausblick auf Regelungen des Digital Operational Resilience Act, die ab Mitte Januar 2025 anwendbar sein werden.
Die Mitteilung basiert auf der Orientierungshilfe zu Auslagerungen an Cloud-Anbieter aus November 2018 und gilt für sämtliche beaufsichtigte Unternehmen des Finanzsektors, also u. a. für Kreditinstitute, Finanzdienstleistungsinstitute und Versicherungsunternehmen. In der Sache gilt die Aufsichtsmitteilungen für die bekannten Arten von Cloud-Diensten, also insbesondere Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS).
1. Präzisierte Anforderungen an die Vertragsregelungen mit dem Cloud-Anbieter
Der für die rechtliche Praxis wichtigste Teil der Aufsichtsmitteilung ist ihr Abschnitt zur Vertragsgestaltung mit Cloud-Dienstleistern. Denn die Vertragsverhandlungen beaufsichtigter Unternehmen mit Dienstleistern gestalten sich häufig als schwierig. Während beaufsichtigte Unternehmen aufgrund gesetzlicher Vorschriften zu Auslagerungen (insbesondere nach § 32 VAG und § 25b KWG) eine ausreichende Kontrolle über die Erbringung der Dienstleistung behalten müssen (z. B. durch die Erteilung von Weisungen), setzen moderne Cloud-Anbieter auf ein hohes Maß an Standardisierung und möchten die Gewährung von Sonderrechten für einzelne Kunden regelmäßig vermeiden. Insofern ist die Rechtssicherheit bzgl. des Pflichtenkatalogs für beaufsichtigte Unternehmen von enormer Bedeutung. Vor diesem Hintergrund enthält die Aufsichtsmitteilung die folgenden bedeutenden Klarstellungen:
- Anders als in der ursprünglichen Orientierungshilfe aus November 2018 hebt die Aufsichtsmitteilung ausdrücklich die Geltung des Proportionalitätsprinzips für sämtliche Inhalte der Aufsichtsmitteilung hervor. Hierdurch eröffnet die BaFin einen weiteren Argumentationsspielraum gerade für nicht kritische bzw. wesentliche Auslagerungen mit geringerem Risikoprofil, in denen eine Abschwächung einzelner vertraglicher Rechte gegenüber dem Anbieter vertretbar sein kann, wenn eine Gefährdung der Interessen der Kunden des beaufsichtigten Unternehmens nicht zu befürchten ist.
- Sie fordert nach wie vor, dass Informations- und Prüfungsrechte nicht durch Vertragsvereinbarungen eingeschränkt werden dürfen und stellt dabei klar, dass dies auch nicht „durch die Hintertür“ mittels interner Umsetzungsrichtlinien des Cloud-Anbieters oder durch hohe Kosten der Ausübung geschehen darf. Gegen solche beliebten Praktiken von Cloud-Anbietern werden beaufsichtigte Unternehmen künftig eine bessere Verhandlungsposition haben.
- Zudem stellt die Aufsichtsmitteilung klar, dass Weisungen des regulierten Unternehmens auch auf technischem Wege mittels Managementkonsole bzw. APIs erteilt werden können. Demnach ist es teilweise – je nach Einzelfall – nicht erforderlich, ein universelles vertragliches Weisungsrecht des regulierten Unternehmens im Oursourcing-Vertrag vorzusehen.
- Sie präzisiert weitere „wichtige Gründe“ für eine außerordentliche Kündigung durch das beaufsichtigte Unternehmen. So soll das beaufsichtigte Unternehmen unter anderem im Fall von Verstößen des Cloud-Anbieters „im Hinblick auf den ausgelagerten Sachverhalt gegen geltendes Recht, Rechtsvorschriften oder Vertragsbestimmungen“ oder bei „wesentlichen Änderungen […], die sich auf die Auslagerungsvereinbarung oder den Cloud-Anbieter auswirken (z. B. eine Weiterverlagerung oder Änderungen bei den Subunternehmen)“ fristlos kündigen können. Der Wortlaut aller in der Aufsichtsmitteilung genannten Kündigungsgründe ist sehr weit, was in Verhandlungen voraussichtlich trotz der präzisierten Aufsichtsmitteilung zu Diskussionen führen dürfte.
- Hinsichtlich der Vereinbarung des anwendbaren Rechts stellt die Aufsichtsmitteilung klar, dass bei der Wahl des Rechts eines Staates außerhalb des Europäischen Wirtschaftsraums „alle Anforderungen an die Rechtsdurchsetzbarkeit gewährleistet bleiben [sollten]“. Dies dürfte die Wahl des Rechts eines solchen Staates unattraktiv machen, da zunächst die Durchsetzbarkeit des Vertrages geprüft werden muss.
2. Sichere Anwendungsentwicklung und IT-Betrieb in der Cloud: neue Hinweise
Die Aufsichtsmitteilung enthält einen gänzlich neuen Abschnitt zur sicheren Anwendungsentwicklung und zum sicheren IT-Betrieb in der Cloud, welcher sehr detailliert und stark technisch geprägt ist. Danach hat das beaufsichtigte Unternehmen bei der Entwicklung von Anwendungsprogrammen in der Cloud die Pflicht, vor dem Hintergrund bestehender regulatorischer Vorgaben fortlaufend bestehende Risiken zu analysieren und – je nach Einzelfall – technische und/oder organisatorische Maßnahmen zur Einhegung solcher Risiken zu treffen. Die Aufsichtsmitteilung spricht zum Thema Anwendungsentwicklung in der Cloud insbesondere folgende Themen an:
- Beachtung von Cloud-Anbietern herausgegebener Best Practices für die Entwicklung und den IT-Betrieb sowie zur Dokumentation von Sicherheitseinstellungen. Diese sollten mit eigenen (Architektur-)Vorgaben des beaufsichtigten Unternehmens abgeglichen werden.
- Technische Umsetzung eigener (Architektur-)Vorgaben des beaufsichtigten Unternehmens, z. B. bzgl. des Einsatzes von Verschlüsselung / zulässiger kryptographischer Verfahren sowie der Trennung der Produktionsumgebungen von Entwicklungs-, Test- und weiteren Umgebungen. Wenn eine technische Umsetzung nicht möglich ist, sollen die aus der Nichtumsetzung entstehenden Risiken dokumentiert und im Rahmen des Risikomanagements gesteuert werden.
Der Abschnitt enthält zusätzlich Vorgaben zur Cyber- und Informationssicherheit, dem Notfallmanagement und der zu entwickelnden Ausstiegsstrategie. Die Aufsichtsmitteilung thematisiert hier insbesondere Maßnahmen (i) zur Absicherung von Netzwerkverbindungen gegen Störung und unbefugte Überwachung, (ii) zur Verhinderung des Eindringens Dritter oder einer Ausweitung unbefugt erlangter Zugriffe sowie (iii) zur Ermöglichung administrativer Zugriffe auch bei Störung der primären Verbindungswege und Endgeräte.
3. Überwachung und Kontrolle der Auslagerungen an Cloud-Anbieter
Die Aufsichtsmitteilung enthält einen neuen Abschnitt, zur Überwachung der Leistungen des Cloud-Anbieters. Das beaufsichtigte Unternehmen soll dabei risikoorientiert geeignete technische und prozessuale Vorkehrungen treffen, um die für die Überwachung notwendigen Informationen rechtzeitig, vollständig und umfassend erheben, analysieren und bewerten zu können. Die Aufsichtsmitteilung spricht dabei insbesondere die folgenden Themen an:
- Die Sicherstellung, dass der Cloud-Anbieter alle zur Überwachung benötigten Informationen in einem geeigneten Format bereitstellt und diese durch das beaufsichtigte Unternehmen abgerufen werden können.
- Die Möglichkeit einer anlassbezogenen Plausibilisierung der entsprechenden Daten durch geeignete Analysen oder Messungen. Für die laufende Überwachung sollen die beaufsichtigten Unternehmen interne Prozesse und Schwellenwerte für Warnstufen bei Annäherungen an eine inakzeptable Dienstleistungsgüte und Informationssicherheit definieren.
Die in diesem Abschnitt enthaltenen Vorgaben sind auch für die Vertragsgestaltung relevant. Die Vertragspartner sind gut beraten, ausreichend detaillierte Service-Level-Agreements (SLAs) zu vereinbaren, welche ein sinnvolles Reporting zur Leistungsgüte vorsehen, das den Vorgaben der BaFin entspricht.
4. Ausblick auf Regelungen der DORA
Schließlich gibt die Aufsichtsmitteilung einen Ausblick auf die Anforderungen an vertragliche Vereinbarungen über die Nutzung von Informations- und Kommunikationstechnologien (IKT) zwischen beaufsichtigten Unternehmen und IKT-Drittdienstleistern, die in der Verordnung des Europäischen Parlaments und des Rates über die digitale Resilienz im Finanzsektor (Digital Operational Resilience Act – DORA) geregelt sind. Am 16. Januar 2023 ist der DORA in Kraft getreten und ist ab dem 17. Januar 2025 direkt anzuwenden.
Spätestens zur Umsetzung der Vorgaben des DORA sollten beaufsichtigte Unternehmen ihre eigenen Prozesse und bestehenden Auslagerungsverträge überprüfen und ggf. anpassen.
Marco Degginger
Legal Tech Tools - Digitale Anwendungen für effizientere Lösungen
Endecken Sie unser umfangreiches Legal Tech Angebot! Erfahren Sie mehr ...
Neu: Oppenhoff Taskforce AI
Erfahren Sie hier, wie die fachbereichsübergreifende Oppenhoff Taskforce AI sicher stellt, dass Sie die Anforderungen des AI Act der EU, aber auch die vielfältigen sonstigen rechtlichen Anforderungen an KI, von Anfang an einhalten und KI-Systeme rechtssicher nutzen können.
Marco Degginger
Junior PartnerRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 365
M +49 162 1313 994
Dr. Hanna Schmidt
Junior PartnerinRechtsanwältin
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 613
M +49 172 1475 126
Christian Saßenbach
LL.M. (Norwich), CIPP/E
AssociateRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 115
M +49 151 1765 2240