Kategorie: Softwarerecht

KI unter Verschluss: US-Exportkontrolle stoppt Anthropics Fable 5 und Mythos 5
Software und KI im Exportrecht
Am Abend des 12. Juni 2026 erhielt Anthropic um 17:21 Uhr Ortszeit einen Brief von Handelsminister Howard Lutnick. Der Inhalt war knapp und folgenreich: Das US-Handelsministerium ordnete gestützt auf Exportkontrollrecht an, dass Claude Fable 5 und Claude Mythos 5 sämtlichen ausländischen Staatsangehörigen zu sperren seien, und zwar unabhängig davon, ob sie sich innerhalb oder außerhalb der USA aufhielten, einschließlich ausländischer Mitarbeiter von Anthropic selbst. Da es keinen verlässlichen technischen Mechanismus gibt, Staatsbürgerschaft auf API-Ebene zu verifizieren, tat Anthropic das einzig Mögliche: beide Modelle wurden weltweit für alle Nutzer abgeschaltet. Das erste Mal in der Geschichte des kommerziellen KI-Markts zwang eine staatliche Exportkontrollanordnung ein US-Unternehmen dazu, sein Flaggschiffprodukt in Echtzeit vom Netz zu nehmen.
Wer das für eine Kuriosität hält, unterschätzt die Tragweite. Es geht nicht um einen Einzelfall, sondern um eine grundlegende Verschiebung: KI-Modellgewichte werden rechtlich immer deutlicher als Exportgut behandelt – mit allen Konsequenzen, die das für Unternehmen, Nutzer und Strafverteidiger in Deutschland und der EU hat.
(mehr …)
13. Juni 2026
AWG und Software: Wenn Code-Commit zum Strafverfahren wird
Was Softwareentwickler und Manager über den Export von Dual-Use-Technologie wissen müssen
Es gibt Rechtsgebiete, die sich anfühlen wie ein schlecht dokumentiertes Legacy-System: komplex aufgebaut, selten angefasst, und wenn man doch hineinschaut, erschrickt man, was dort seit Jahren vor sich hinläuft. Das Exportkontrollrecht für Software und Mikrochips gehört dazu – mit dem entscheidenden Unterschied, dass eine fehlerhafte Entscheidung hier keine Downtime produziert, sondern ein Strafverfahren.
Seit dem russischen Angriff auf die Ukraine im Februar 2022 ist dieses Recht aus seinem Dornröschenschlaf gerissen worden. Das 20. Sanktionspaket der EU, verabschiedet Ende April 2026, ist inzwischen ein Regelwerk mit einer Komplexität, die selbst erfahrene Außenwirtschaftsanwälte auf Trab hält. Für Unternehmen, die Hardware oder Software in nicht-europäische Märkte liefern – oder auch nur API-Zugänge bereitstellen, Cloud-Instanzen vermieten oder Remote-Support leisten –, ist das Thema kein Compliance-Randproblem mehr. Es ist handfestes Strafrecht.
Ich berate und verteidige umfassend in diesem Bereich – spätestens seit dem Ukraine-Krieg ist der Beratungsbedarf erheblich gestiegen, wie ich immer wieder merke. Dabei lassen sich Unsicherheiten im Regelfall schnell ausräumen. Gerade mit meiner spezialisierten Ausrichtung zwischen Strafrecht und IT-Recht bei eigenem technologischem Hintergrund kann ich hier Blickrichtungen aufwerfen, die gerne aus dem Fokus geraten.
(mehr …)
10. Juni 2026
Cloud-Souveränität, Abhängigkeit: Warum der Anbieterwechsel zur Compliance-Pflicht wird
Es trifft den IT-Leiter mittelständischer Unternehmen mit voller Wucht in dem Moment, in dem er aussteigen will: Die Daten liegen bei einem US-Hyperscaler, die Schnittstellen sind proprietär, das Datenformat ist anbieterspezifisch, und ein Wechsel würde Monate dauern und Unsummen kosten. Wer einmal drin ist, kommt kaum wieder heraus. Genau diese Erfahrung – über Jahre als unvermeidlicher Preis der Cloud hingenommen – steht seit September 2025 unter einem neuen rechtlichen Vorzeichen. Die Europäische Union hat das Lock-in zum Regelungsgegenstand erklärt, und damit verschiebt sich die Cloud-Compliance vom freiwilligen Risikomanagement hin zu einer Pflichtenlage, die jeden Anbieter und mittelbar jeden Nutzer betrifft.
(mehr …)
4. Juni 2026
Privacy by Design und Mangelhaftung: Wenn nicht-datenschutzkonforme Software den Käufer trifft
Stellen Sie sich vor, ein mittelständisches Unternehmen kauft für teures Geld eine Personalverwaltungssoftware – modern, funktional, vom etablierten Anbieter. Zwei Jahre später steht die Aufsichtsbehörde im Haus, weil sich Bewerberdaten nicht löschen lassen, jeder Sachbearbeiter sämtliche Personalakten einsehen kann und im Hintergrund Datenbestände schlummern, von denen niemand wusste. Das Bußgeld trifft nicht den Hersteller, sondern den Käufer. Genau hier liegt der wunde Punkt, an dem datenschutzfreundliche Technikgestaltung von einer abstrakten Programmieridee zum handfesten wirtschaftlichen Risiko wird – und an dem sich entscheidet, wer am Ende für die Versäumnisse haftet.
(mehr …)
4. Juni 2026
KI-Verordnung (2026)
Die KI-Verordnung („KI-VO“, auch „AI-Act“ – VO (EU) 2024/1689) ist seit dem 1. August 2024 in Kraft und wird im Sommer 2026 in ihrer Substanz wirksam. Mit der politischen Einigung zum sogenannten KI-Omnibus vom 7. Mai 2026 verschiebt der Unionsgesetzgeber zentrale Pflichten für Hochrisiko-Systeme; gleichzeitig erweitert er den Verbotskatalog und zieht die Kennzeichnungspflichten für synthetische Inhalte vor. Im Folgenden möchte ich die Verordnung in ihrem aktuellen Stand einordnen und beschreiben, was Geschäftsführungen und Compliance-Abteilungen (voraussichtlich) in den nächsten Monaten beachten müssen.
Hinweis: Der Beitrag wurde im Mai 2026 neu gefasst und hat den Stand 14. Mai 2026, berücksichtigt also die Trilogeinigung zum KI-Omnibus.
(mehr …)
4. Juni 2026
EVB-IT: Open Source wird zum Standard
Was die modernisierten EVB-IT für die öffentliche Beschaffung mit Open Source bedeuten
Ende März 2026 hat der Bund die wichtigsten Vertragsvorlagen für IT-Beschaffung grundlegend überarbeitet. Wer Software an die öffentliche Hand liefert – oder als Behörde beschafft – sollte die neuen Spielregeln kennen. Sie verschieben nicht nur Detailklauseln, sondern eine grundsätzliche Logik … wofür es auch an der Zeit war.
(mehr …)
1. Juni 2026
Software steuert das Auto, nicht den Vertrag: OLG Bamberg zieht Grenzen für Rückabwicklung von Tesla-Käufen
Mit Urteil vom 22.12.2025 (Az. 4 U 43/25 e) hat das Oberlandesgericht Bamberg eine zentrale Frage des modernisierten Kaufrechts beantwortet: Wer ein hochgradig softwaregesteuertes Elektrofahrzeug kauft, kann sich beim Versagen einzelner digitaler Funktionen nicht mehr ohne Weiteres aus dem gesamten Vertrag lösen. Das Gericht weist die Berufung eines Tesla-Käufers zurück, der sein Model 3 unter Berufung auf Mängel an Autopilot, Einparkhilfe und Scheibenwischerautomatik vollständig zurückgeben wollte.
(mehr …)
19. Mai 2026
Physical AI – Wenn Künstliche Intelligenz Hände und Füße bekommt
Im BMW-Werk Leipzig stehen, wie das Handelsblatt berichtet, seit Februar 2026 humanoide Roboter am Band. In der Hyundai-Fabrik in Georgia sortiert der Atlas von Boston Dynamics Dachträger weitgehend ohne menschliche Hilfe. Und NVIDIA-Chef Jensen Huang proklamierte auf der CES 2026, der „ChatGPT-Moment für die Robotik“ sei gekommen. Was nach Science-Fiction klingt, wird gerade zum Gegenstand industrieller Routineplanung – und wirft eine Reihe rechtlicher Fragen auf, die das bestehende Regulierungsgerüst an seine Grenzen bringen.
(mehr …)
27. Februar 2026
Softwareupdates im Vertragsrecht
Software wird heute nicht mehr einmalig ausgeliefert und dann „fertig“ genutzt, sondern lebt von dauernden Updates – genau an dieser Schnittstelle zwischen Technik und Recht setzen meine beiden aktuellen juristischen Fachaufsätze an, die ich hier kurz vorstellen möchte. Denn die juristische Landschaft hat sich verändert und wo wir vor kurzem noch diskutieren mussten, ob und wann Softwareupdates überhaupt zwingend sind, mehrt sich inzwischen die Liste, woraus sich Pflichten zu Updates ergeben – während nicht jedes Update auch ein Update im juristischen Sinne ist, denn Veränderungen an Software können sogar verboten sein.
Hinweis: Die vertragliche Seite der Softwareupdates habe ich sowohl hier als auch hier im Detail vorgestellt.
(mehr …)
6. Februar 2026
Weitergabe von Datenbank-Zugangsdaten im Konzern
Datenbanken mit branchenspezifischen Informationen sind zu wertvollen Wirtschaftsgütern geworden, deren Nutzung oft an strenge Lizenzbedingungen geknüpft ist – aber was geschieht, wenn Zugangsdaten zu solchen Datenbanken innerhalb eines Konzerns weitergegeben werden, ohne dass eine zusätzliche Lizenz erworben wird? Handelt es sich dabei um einen unlauteren Wettbewerbsverstoß, eine Verletzung von Geschäftsgeheimnissen oder gar eine Urheberrechtsverletzung? Mit diesen Fragen setzte sich das Oberlandesgericht Nürnberg (3 U 158/25) in einem aktuellen Beschluss vom 18. Dezember 2025 auseinander.
Der Fall betraf einen Anbieter einer kostenpflichtigen Datenbank mit gesundheitspolitischen Informationen, der gegen ein Pharmaunternehmen klagte, das Zugangsdaten an konzerninterne Mitarbeiter weitergegeben hatte. Das Gericht verneinte sowohl einen Verstoß gegen das Lauterkeitsrecht als auch gegen das Geschäftsgeheimnisgesetz und lehnte eine Urteilsveröffentlichung ab. Die Begründung des Senats zeigt, wie eng die Grenzen zwischen zulässiger interner Nutzung und unlauterem Marktverhalten gezogen sind – und wo die rechtlichen Instrumente des Schutzes von Datenbanken an ihre Grenzen stoßen.
(mehr …)
16. Januar 2026
Probleme mit der Update-Pflicht in der Ökodesign-Verordnung?
Eine aktuelle Kontroverse um die Reichweite der Update‑Pflichten für Smartphones – ausgelöst durch die restriktive Auslegung der Ökodesign‑Verordnung (EU) 2023/1670 durch einen bekannten Hersteller – legt eine deutliche Spannung zwischen dem unionsrechtlichen Ziel und seiner technischen Umsetzung im Sekundärrecht offen. Oder einfacher gesagt: Während die EU darauf hinwirkt, die Lebensdauer digitaler Produkte zu verlängern, scheinen einige Hersteller vor allem darin engagiert, die Grenzen dieser neuen Pflichten auszuloten.
Zum Thema „Rechtliche Grundlagen von Softwareupdates und -upgrades” habe ich in AnwZert ITR 16/2025 Anm. 3 übrigens einen Beitrag veröffentlicht. Dieser konzentriert sich allerdings auf die zivilrechtlichen Fragestellungen.
(mehr …)
11. Januar 2026
Vollstreckung digitaler Einsichtsansprüche in der Cloud
Die Digitalisierung verändert nicht nur die Art und Weise, wie Unternehmen ihre Geschäftsprozesse organisieren, sondern wirft auch neue juristische Fragen auf – insbesondere dann, wenn traditionelle Rechtsinstitute auf moderne Technologien treffen. Ein Beschluss des Landgerichts München I (AZ 5 HK O 12286/22 e), bestätigt durch das Bayerische Oberste Landesgericht im Jahr 2025, zeigt exemplarisch, wie Gerichte mit der Vollstreckung von Einsichtsansprüchen umgehen, wenn die geforderten Unterlagen ausschließlich in einer Cloud gespeichert sind. Die Entscheidung klärt nicht nur die zuständige Vollstreckungsnorm, sondern setzt auch Maßstäbe für die Erfüllung von Informationspflichten in einer papierlosen Wirtschaftswelt – der Beitrag wurde inzwischen auch bei Heise-Online aufgegriffen.
(mehr …)
6. Januar 2026
Softwareentwicklung und Zollwert: Immaterielle Leistungen steigern Warenwert
Ein älteres, gleichwohl interessantes Urteil des Finanzgerichts München (AZ 14 K 2609/18) zeigt, wie komplex die Bewertung von Software im Rahmen der Zollabfertigung sein kann. Im Mittelpunkt stand die Frage, ob Entwicklungskosten für Software, die ein Importeur einem drittländischen Hersteller unentgeltlich zur Verfügung stellt, dem Zollwert der eingeführten Ware hinzugerechnet werden müssen. Die Entscheidung des Gerichts, gestützt auf eine Vorabentscheidung des Europäischen Gerichtshofs, klärt wichtige Grundsätze für die zollrechtliche Behandlung immaterieller Leistungen – und unterstreicht, dass auch Software einen wirtschaftlichen Wert darstellen kann, der bei der Zollwertermittlung zu berücksichtigen ist.
(mehr …)
31. Dezember 2025
Produkthaftung und Open-Source-Software
Die anstehende Modernisierung des Produkthaftungsrechts zieht eine klare Linie: Nicht‑kommerzielle Open-Source-Projekte sollen von verschuldensunabhängiger Produkthaftung ausgenommen werden, wohl aber Unternehmen, die Open Source geschäftlich in ihre Produkte integrieren. Für Management und Open-Source-Entwickler stellt sich damit weniger die Frage „Haften wir?“, sondern „Wer haftet in welcher Rolle entlang der Wertschöpfungskette – und wie steuern wir dieses Risiko?“
Dabei zeigt sich bei genauem Blick ein spürbares Risiko für die Opensource-Landschaft – denn was „Open-Source“ ist, ist nun einmal gesetzlich nicht definiert. Und der Gesetzgeber scheint da sehr eigene Vorstellungen zu haben, jedenfalls wenn es ums Geld geht.
(mehr …)
30. Dezember 2025
Reform des Produkthaftungsrechts: Software und KI
Die EU und die Bundesregierung stellen das Produkthaftungsrecht bis 2026 grundlegend neu auf. Software und KI-Systeme werden künftig ausdrücklich als Produkte behandelt, verbunden mit erweiterten Haftungsrisiken, neuen Beweiserleichterungen für Geschädigte und einer Ausweitung des Kreises haftender Akteure. Ich hatte bereits auf LinkedIn dazu etwas geschrieben, medial wird das Thema längst reflektiert, etwa bei Handelsblatt oder Heise.
Das Highlight dabei: Die erweiterte Produkthaftungsrichtlinie der EU definiert Software, einschließlich Betriebssysteme, Firmware, Computerprogrammen, Apps und KI-Systeme, als Produkte. Diese Definition schließt die Software unabhängig davon ein, ob sie als eigenständiges Produkt, integriert in andere Produkte, oder über Cloud-Technologien bereitgestellt wird. Bisher ist dies noch anders. Der Quellcode von Software wird jedoch ausdrücklich nicht als Produkt angesehen, da er als reine Information gilt.
(mehr …)
30. Dezember 2025