Persönlich, keine Chatbots, klare Kommunikation: Bei uns kümmert sich ein persönlich erreichbarer Mensch

Schlagwort: Cloud Act

  • Status des EU-US Data Privacy Framework auf der Kippe (2026)

    Status des EU-US Data Privacy Framework auf der Kippe (2026)

    Unternehmen müssen jetzt ihre digitale Souveränität organisieren

    Wer als Geschäftsführer oder Compliance-Verantwortlicher in den vergangenen Jahren beruhigt auf das EU-US Data Privacy Framework verwiesen hat, wenn Kunden oder Aufsichtsbehörden nach der Rechtsgrundlage für Datenübermittlungen in die USA fragten, sollte diese Gewissheit spätestens seit dem 29. Juni 2026 überprüfen. An diesem Tag hat der US Supreme Court in der Sache Trump v. Slaughter entschieden, dass die Unabhängigkeit der Federal Trade Commission, jener Behörde, deren Aufsicht das gesamte transatlantische Datenschutzabkommen trägt, mit der amerikanischen Verfassung nicht vereinbar ist.

    Was zunächst wie ein innenpolitisches Detail des amerikanischen Verwaltungsrechts klingt, entzieht in Wahrheit dem dritten Anlauf für einen funktionierenden Datentransferrahmen zwischen Europa und den Vereinigten Staaten die rechtliche Grundlage, auf der Unternehmen ihre globalen Datenflüsse organisiert haben.

    (mehr …)
  • Vorratsdatenspeicherung 2026: Entwicklung und aktueller Stand

    Vorratsdatenspeicherung 2026: Entwicklung und aktueller Stand

    Der dritte Anlauf: Zehn Jahre lang hatte Deutschland keine funktionierende Vorratsdatenspeicherung. Jetzt versucht es die Bundesregierung erneut – diesmal mit dem Segen aus Luxemburg. Ob das reicht, entscheidet sich an einer Zahl: 26. Nun gibt es politische Vorhaben, die scheitern, und es gibt solche, die zur Endlosschleife werden … die Vorratsdatenspeicherung gehört in die zweite Kategorie: Seit beinahe zwei Jahrzehnten wird in Deutschland über sie gestritten, gesetzlich verankert, höchstrichterlich kassiert und erneut verankert. Am 22. April 2026 hat das Bundeskabinett den dritten Anlauf beschlossen.

    Bemerkenswert ist diesmal etwas anderes: Zum ersten Mal beruft sich der Gesetzgeber nicht auf eigene Überzeugung gegen die Rechtsprechung, sondern auf ein Szenario, das ihm der Europäische Gerichtshof aufgezeichnet hat. Die entscheidende Frage lautet daher nicht mehr, ob eine anlasslose Speicherung von IP-Adressen grundsätzlich zulässig ist – sondern ob die Bundesregierung den engen Pfad einhält, den Luxemburg gezogen hat. Und genau hier wird es interessant, denn an mehreren Stellen tritt der Entwurf erkennbar daneben.

    Ich kommentiere im BeckOK StPO Teile des TDDDG und TKG und im Speziellen die Vorratsdatenspeicherung. Vor dem Hintergrund beschäftige ich mich regelmäßig mit Entwicklungen in diesem sensiblen Bereich der Überwachung und Ermittlungen.

    (mehr …)
  • Schatten-KI im Betrieb

    Schatten-KI im Betrieb

    Während Schatten-IT – also die Nutzung nicht autorisierter Software oder Hardware – bereits seit Längerem bekannt ist, gewinnt nun ein verwandtes Phänomen an Bedeutung: Schatten-KI. Gemeint ist der Einsatz künstlicher Intelligenz durch Mitarbeiter ohne Wissen oder Genehmigung der Unternehmensführung.

    Eine aktuelle Umfrage zeigt auf, dass ein beträchtlicher Teil der Fachkräfte, insbesondere in MINT-Berufen, KI-Tools wie ChatGPT, Google Gemini oder andere generative Systeme im Arbeitsalltag nutzt, oft ohne dass dies von der IT-Abteilung oder Geschäftsleitung autorisiert wurde. Die Rede ist hier von drei von vier MINT-Fachkräften (77 Prozent). Durch einen solchen (unkontrollierten) Einsatz werden nicht nur technische, sondern vor allem rechtliche und organisatorische Fragen aufgeworfen.

    Hinweis/Update: Zu dem Thema habe ich dem IT-Fachmagazin t3n im Juni 2026 ein Interview gegeben.

    (mehr …)
  • Cloud-Souveränität, Abhängigkeit: Warum der Anbieterwechsel zur Compliance-Pflicht wird

    Cloud-Souveränität, Abhängigkeit: Warum der Anbieterwechsel zur Compliance-Pflicht wird

    Es trifft den IT-Leiter mittelständischer Unternehmen mit voller Wucht in dem Moment, in dem er aussteigen will: Die Daten liegen bei einem US-Hyperscaler, die Schnittstellen sind proprietär, das Datenformat ist anbieterspezifisch, und ein Wechsel würde Monate dauern und Unsummen kosten. Wer einmal drin ist, kommt kaum wieder heraus. Genau diese Erfahrung – über Jahre als unvermeidlicher Preis der Cloud hingenommen – steht seit September 2025 unter einem neuen rechtlichen Vorzeichen. Die Europäische Union hat das Lock-in zum Regelungsgegenstand erklärt, und damit verschiebt sich die Cloud-Compliance vom freiwilligen Risikomanagement hin zu einer Pflichtenlage, die jeden Anbieter und mittelbar jeden Nutzer betrifft.

    (mehr …)
  • Digitale Beweismittel

    Digitale Beweismittel

    Digitale Beweismittel sind im modernen Strafprozess der Regelfall. Dazu zählen unter anderem Chatverläufe, Smartphone-Daten, Cloud-Logs und Fahrzeugdaten aus der „Blackbox“ von Pkws. Digitale Beweise entscheiden heute über den Ausgang von Strafverfahren im allgemeinen Strafrecht ebenso wie im Wirtschafts- und Cybercrime-Bereich. Im Folgenden zeige ich, was darunter zu verstehen ist, wie ihr Beweiswert im Strafprozess zu beurteilen ist und welche forensischen Mindeststandards aus Sicht der Strafverteidigung gelten müssen. Der Schwerpunkt liegt auf der praktischen Arbeit mit digitalen Beweismitteln – von der IT-Forensik über Screenshots und E-Mails bis hin zur Car-Forensik und der seit 2026 anwendbaren E-Evidence-Verordnung der EU.

    Ich widme einen wesentlichen Teil meines Alltags technischen und rechtlichen Fragen von IT-Forensik und digitalen Beweismitteln: Ich halte seit Jahren Fortbildungen und publiziere zum Thema digitale Beweismittel, so in:

    • Kommentierung zur Car-Forensik – Ferner, in: BeckOK StPO, § 2 TTDSG Rn. 18.1 ff.
    • Transparenz als rechtsstaatlicher Grundsatz digitaler Beweismittel“ in: „Überzeugung und Zweifel“, Festschrift für Ralf Neuhaus, 2025
    • Digitale Beweismittel in der Ermittler-Praxis – Die Polizei, 5/2025, S. 159-164
    • Strafprozessuale Verwertung biometrischer Daten zur Beweiserhebung – jurisPR-StrafR 15/2025
    • Verwertbarkeit von ANOM-Messengerdaten in Strafverfahren – jurisPR-ITR 16/2024
    • DNA im Strafprozess – jurisPR-StrafR 20/2023 Anm. 1
    • IT-Forensik, rechtliche Grundlagen – AnwZert ITR 13/2023 Anm. 3
    • IT-Sachverständige im Strafverfahren – AnwZert ITR 16/2023 Anm. 2

    Den Beitrag aktualisiere ich fortlaufend, zuletzt im Juni 2026.

    (mehr …)
  • Bundestag beschließt E-Evidence-Gesetz: Europäische Ermittler erhalten direkten Zugriff auf digitale Daten

    Bundestag beschließt E-Evidence-Gesetz: Europäische Ermittler erhalten direkten Zugriff auf digitale Daten

    Der Deutsche Bundestag hat Ende Januar 2026 das Gesetz zur Umsetzung der europäischen E-Evidence-Regelungen verabschiedet. Damit schafft Deutschland die rechtlichen Voraussetzungen für einen grundlegenden Wandel in der grenzüberschreitenden Strafverfolgung innerhalb der Europäischen Union und ab dem 18. August 2026 können Ermittlungsbehörden eines Mitgliedstaates erstmals direkt bei Diensteanbietern in anderen EU-Ländern elektronische Beweismittel anfordern – und zwar ohne den umständlichen Weg der klassischen Rechtshilfe beschreiten zu müssen.

    Hinweis: Digitale Beweismittel sind mein Spezialgebiet und ich publiziere regelmäßig dazu – in Kürze wird von mir zur Umsetzung der eEvidence-VO ein detaillierter Fachaufsatz in der STRR erscheinen.

    (mehr …)
  • CLOUD Act und EU-eEvidence VO im Vergleich

    CLOUD Act und EU-eEvidence VO im Vergleich

    Europa bekommt die eEvidence-Verordnung, mit der auch grenzüberschreitende Zugriffe auf Daten möglich sind. Nun darf man fragen, ob das mit dem US Cloud Act vergleichbar ist … und vor allem: Taugt das zur Entschärfung der Kritik am US Cloud Act? Zwar bewegen sich der US CLOUD Act und die EU-eEvidence-Verordnung im selben Themenkomplex, dem grenzüberschreitenden Zugriff auf elektronische Beweismittel, in ihrer Logik und in ihren Folgen für die Datensouveränität sind sie jedoch grundverschieden. Gerade deshalb verbietet sich eine Gleichsetzung, wie ich in einem Nebensatz kürzlich auch in einem Beitrag bei BeckNews klargestellt habe. Der CLOUD Act bleibt für europäische Akteure deutlich gefährlicher, auch wenn eEvidence die Schwelle für staatlichen Zugriff innerhalb der EU absenkt.

    (mehr …)
  • Der Data Act ist da: Was er regelt – und was Unternehmen jetzt tun müssen

    Der Data Act ist da: Was er regelt – und was Unternehmen jetzt tun müssen

    Der Data Act (VO (EU) 2023/2854) ist seit dem 12. September 2025 in weiten Teilen anwendbar – mit dem erklärten Ziel, Datennutzung in Europa einfacher, fairer und interoperabler zu machen. Er richtet sich vor allem an Hersteller vernetzter Produkte, Dateninhaber und Nutzer, außerdem an Anbieter von Datenverarbeitungsdiensten (Cloud, PaaS, SaaS, IaaS). Die Verordnung ergänzt die DSGVO, sie ersetzt sie nicht: Wo personenbezogene Daten betroffen sind, gelten weiterhin die DSGVO-Spielregeln; der Data Act zielt primär auf nicht-personenbezogene Nutzungsdaten und damit verbundene Metadaten ab.

    Wer in diesen Kategorien fällt? Praktisch jedes Unternehmen, das smarte, datenproduzierende Güter herstellt oder betreibt – vom Industriegerät über Fahrzeuge bis zum Haushaltssystem – und alle, die entsprechende Cloud-Leistungen anbieten oder beziehen. Für Start-ups und Kleinstunternehmen gibt es punktuelle Ausnahmen, die Grundlinie bleibt aber: Datenzugang und -weitergabe sollen rechtlich und technisch möglich werden.

    (mehr …)
  • Auswirkungen des Data Act auf Softwareentwicklung und Softwareangebote

    Auswirkungen des Data Act auf Softwareentwicklung und Softwareangebote

    Der Data Act (DA) zielt bekanntlich darauf ab, den Zugang zu und die Nutzung von Daten in der EU durch klare rechtliche Rahmenbedingungen zu regeln – dabei werden einige spezifische Regelungen zu Software getroffen, die bislang im öffentlichen Diskurs untergehen. Wobei der Data Act speziell bei den Regeln zum Cloud Switching alle Unternehmen betrifft, es gibt hier keine Ausnahme für KMU!

    So fokussiert sich der Data Act zum einen auf Datenportabilität, Interoperabilität und die Förderung eines fairen Wettbewerbs, was reflexartig spürbare Auswirkungen auf Softwareentwicklung und Softwareangebote hat, vornehmlich in Bereichen wie Software-as-a-Service (SaaS) und Cloud-Computing. Daneben werden ausdrückliche Regelungen zu Smart Contracts getroffen. Und Cybercrime kommt auch nicht zu kurz.

    (mehr …)
  • Rückzug aus der Cloud: Kosten, Herausforderungen und rechtliche Aspekte der Re-Migration

    Rückzug aus der Cloud: Kosten, Herausforderungen und rechtliche Aspekte der Re-Migration

    Die Cloud wurde über Jahre als Lösung für viele IT-Probleme vermarktet: flexible Skalierbarkeit, niedrigere Kosten und geringere Betriebskosten im Vergleich zu traditionellen, lokalen Serverstrukturen. Viele Unternehmen springen auf diesen Zug auf – doch mittlerweile zeichnet sich ein gegenteiliger Trend ab. Unternehmen migrieren Teile ihrer Workloads zurück in On-Premises- oder Private-Cloud-Lösungen. Doch warum entscheiden sich Unternehmen für diesen Schritt, und welche rechtlichen Hürden ergeben sich dabei?

    (mehr …)
  • Data Act

    Data Act

    Data Act, ein kleiner Überblick: Die Europäische Kommission hat bereits 2022 Regeln für die Nutzung und den Zugang zu in der EU erzeugten Daten in allen Wirtschaftsbereichen vorgelegt. Der Datenrechtsakt („Data Act“) soll für Fairness im digitalen Umfeld sorgen, einen wettbewerbsfähigen Datenmarkt fördern, Möglichkeiten für datengestützte Innovationen eröffnen und den Zugang zu Daten für alle erleichtern. Inzwischen ist der Data Act dabei, Realität zu werden und gilt bald europaweit.

    Der Data Act soll insbesondere zu neuen, innovativen Dienstleistungen und wettbewerbsfähigeren Preisen für Kundendienstleistungen und Reparaturen von vernetzten Gegenständen führen. Dieser letzte horizontale Baustein der Datenstrategie der Kommission wird eine Schlüsselrolle bei der digitalen Transformation im Einklang mit den digitalen Zielen für 2030 spielen.

    (mehr …)
  • Gesetz über Cyberresilienz (Cyber Resilience Act, CRA)

    Gesetz über Cyberresilienz (Cyber Resilience Act, CRA)

    Cyber Resilience Act, CRA: In der EU wurde ein Vorschlag für eine Verordnung über Cybersicherheitsanforderungen an Produkte mit digitalen Elementen, das sogenannte Gesetz über Cyberresilienz, vorgelegt. Dies soll die Cybersicherheitsvorschriften stärken, um sicherere Hardware- und Softwareprodukte zu gewährleisten.

    Hard- und Softwareprodukte sind aus Sicht der EU mit zwei großen Problemen konfrontiert, die die Kosten für die Nutzer und die Gesellschaft erhöhen:

    1. ein geringes Maß an Cybersicherheit, das sich in weitverbreiteten Schwachstellen und der unzureichenden und inkohärenten Bereitstellung von Sicherheitsaktualisierungen zu deren Behebung widerspiegelt, und
    2. unzureichendes Verständnis und unzureichender Zugang der Nutzer zu Informationen, wodurch sie daran gehindert werden, Produkte mit angemessenen Cybersicherheitseigenschaften auszuwählen oder sie auf sichere Weise zu nutzen. 
    (mehr …)