Schlagwort: Cloud-Computing & Cloud-Recht

Rechtsanwalt für Cloud-Computing und Cloud-Recht – rechtssichere Beratung rund um Cloud-Computing – Cloud-Computing verlagert Daten, Software und Rechenleistung in fremde Rechenzentren – und damit auch zahlreiche rechtliche Fragen: Vertragsgestaltung, Haftung, IT-Sicherheit und Datenschutz greifen hier ineinander. Als Fachanwalt für IT-Recht berate ich Unternehmen, Anbieter und Anwender bei der Gestaltung und Prüfung von Cloud-Verträgen, bei IaaS-, PaaS- und SaaS-Modellen sowie an der Schnittstelle zum Datenschutz (Auftragsverarbeitung) und zur IT-Sicherheit.

Die folgenden Fachbeiträge zeigen meine inhaltliche Auseinandersetzung mit dem Cloud-Recht. Wenn Sie konkrete Unterstützung bei einem Vertrag, einer Auslagerung oder einer Streitigkeit benötigen: Vereinbaren Sie ein Erstgespräch.

KI: Transparenz, Deepfakes und digitale Gewalt bei künstlicher Intelligenz (Update 2026)
KI-Transparenz betrifft Unternehmen unmittelbar
Für viele Unternehmen war KI lange ein technisches Thema: spannend fürs Marketing, interessant für die IT, aber ohne existenzielle Relevanz für das eigene Risiko‑Profil. Diese Phase ist vorbei. Generative KI erzeugt heute in Sekunden Bilder, Videos, Stimmen und Texte, die sich von „echten“ Inhalten kaum noch unterscheiden – und genau das ist der Punkt, an dem Recht und Compliance sehr ungemütlich werden.
Mit Art. 50 der KI‑Verordnung, flankiert vom Digital Services Act, Datenschutzrecht, Persönlichkeitsrecht und einem neuen Gesetz gegen digitale Gewalt, wird Transparenz zur Pflichtaufgabe. Wer KI‑Inhalte nutzt, muss künftig nicht nur abstrakt „verantwortungsvoll“ handeln, sondern konkret kennzeichnen, wie Inhalte entstanden sind, welche Systeme im Einsatz waren und wo synthetische Medien im Spiel sind. Das ist kein kosmetisches Thema, sondern berührt Haftung, Governance und letztlich das Vertrauen in die eigene Kommunikation.
Im Folgenden geht es deshalb um drei Ebenen: zunächst die rechtliche Einordnung von Deepfakes und synthetischen Medien aus Sicht des Persönlichkeits‑ und Strafrechts, dann die – durchaus kritische – Rolle des geplanten Gesetzes gegen digitale Gewalt und schließlich den Kern: Art. 50 KI‑VO und seine praktische Umsetzung im Management, abgeschlossen mit einer bewusst ausführlichen Checkliste. Den früheren Beitrag habe ich im Juni 2026 unter Berücksichtigung des EU-Verhaltenskodex für die Kennzeichnung KI-generierter Inhalte aktualisiert.
(mehr …)
17. Juni 2026
KI unter Verschluss: US-Exportkontrolle stoppt Anthropics Fable 5 und Mythos 5
Software und KI im Exportrecht
Am Abend des 12. Juni 2026 erhielt Anthropic um 17:21 Uhr Ortszeit einen Brief von Handelsminister Howard Lutnick. Der Inhalt war knapp und folgenreich: Das US-Handelsministerium ordnete gestützt auf Exportkontrollrecht an, dass Claude Fable 5 und Claude Mythos 5 sämtlichen ausländischen Staatsangehörigen zu sperren seien, und zwar unabhängig davon, ob sie sich innerhalb oder außerhalb der USA aufhielten, einschließlich ausländischer Mitarbeiter von Anthropic selbst. Da es keinen verlässlichen technischen Mechanismus gibt, Staatsbürgerschaft auf API-Ebene zu verifizieren, tat Anthropic das einzig Mögliche: beide Modelle wurden weltweit für alle Nutzer abgeschaltet. Das erste Mal in der Geschichte des kommerziellen KI-Markts zwang eine staatliche Exportkontrollanordnung ein US-Unternehmen dazu, sein Flaggschiffprodukt in Echtzeit vom Netz zu nehmen.
Wer das für eine Kuriosität hält, unterschätzt die Tragweite. Es geht nicht um einen Einzelfall, sondern um eine grundlegende Verschiebung: KI-Modellgewichte werden rechtlich immer deutlicher als Exportgut behandelt – mit allen Konsequenzen, die das für Unternehmen, Nutzer und Strafverteidiger in Deutschland und der EU hat.
(mehr …)
13. Juni 2026
Wenn der eigene Mitarbeiter eine Sicherheitslücke findet: Rechtliche Risiken für Unternehmen
Ein Mitarbeiter Ihrer IT-Abteilung bemerkt bei der Nutzung einer eingekauften Softwarelösung, dass die Anwendung Datenbankzugangsdaten im Klartext übermittelt und der Zugriff auf deutlich mehr Datensätze möglich ist, als der eigene Account eigentlich erlaubt. Er dokumentiert den Fund, greift kurz auf eine der fremden Kundendaten zu, um die Lücke zu belegen – und meldet den Vorfall intern.
Was harmlos klingt und gutgläubig gemeint war, kann erhebliche strafrechtliche und zivilrechtliche Konsequenzen haben. Für das Unternehmen selbst, für den Mitarbeiter – und im schlimmsten Fall für beide.
(mehr …)
12. Juni 2026
Auf der Flucht und Haftbefehl – was tun?
Sie sind auf der Flucht – was tun? Wenn Sie im Ausland festsitzen und eine deutsche Staatsanwaltschaft nach Ihnen sucht, gehen Ihnen wahrscheinlich Begriffe wie internationaler Haftbefehl, europäischer Haftbefehl, Auslieferung, Interpol und Red Notice durch den Kopf. In diesem Moment sind Sie zumindest förmlich „auf der Flucht”, wobei wir wissen, dass sich diese Situation auch ergeben kann, ohne dass Sie sie bewusst herbeigeführt haben.
In dieser Situation leben viele Betroffene in einer Mischung aus Angst, Schlaflosigkeit und ständiger Wachsamkeit: Jede Grenzkontrolle, jede Flugbuchung, ja sogar ein Hotel‑Check‑in kann zum Risiko werden, wenn ein europäischer Haftbefehl oder eine Interpol‑Ausschreibung im System steht. Genau an diesem Punkt geht es nicht mehr um „tapfer Durchhalten“, sondern um Strategie: Wer seine Lage nüchtern analysiert und professionell steuern lässt, hat deutlich bessere Chancen, wieder ein normales Leben führen zu können – ob mit Rückkehr, mit Verfahrensbeendigung oder mit einem sicheren neuen Lebensmittelpunkt.
Es werden dann viele Nächte damit verbracht, im Internet zu suchen, und man lebt lange im Ungewissen, teilweise unter schlimmsten Bedingungen. Denn die Länder, die nicht ausliefern, haben selten angenehme Lebensbedingungen. Wir wissen, wovon wir reden: Unsere Mandanten kommen unter anderem aus dem Libanon, der Türkei, Nordafrika oder Syrien. Gerade unsere Tätigkeit im Bereich Cybercrime, BtMG und Encrochat ist eng mit den Fragen der Auslieferungshaft verbunden.
Was Interpol wirklich ist – und was nicht: Interpol unterhält derzeit über 60.000 aktive Red Notices weltweit (Stand: Interpol-Jahresbericht 2024) – hinzu kommen zehntausende weitere Notices in anderen Farben, darunter Blue Notices zur stillen Informationsbeschaffung. Interpol hat dabei keine eigene Polizeigewalt: Die Organisation ist ein Kommunikationsnetzwerk, kein Vollzugsorgan. Ob aus einer Red Notice eine tatsächliche Festnahme folgt, hängt ausschließlich vom nationalen Recht des jeweiligen Aufenthaltslandes ab. Ein Land, das keine Auslieferungsverträge mit Deutschland unterhält oder politische Einwände hat, wird auf eine Red Notice schlicht nicht reagieren. Das macht die Lage nicht entspannt – aber es macht sie kalkulierbar, wenn man sie versteht.
Unser Strafverteidiger-Notruf unter 0175 1075646 steht bei den akuten strafrechtlichen Notfällen Hausdurchsuchung, Haftbefehl oder Anklageschrift kurzfristig zur Verfügung.

Mehr dazu: Haft | Haftbefehl | Hausdurchsuchung | Bewährungswiderruf | Beschuldigtenvernehmung | Vermögensarrest | Internationaler Haftbefehl | Anklageschrift erhalten | Strafbefehl | digitale Beweismittel
(mehr …)
10. Juni 2026
AWG und Software: Wenn Code-Commit zum Strafverfahren wird
Was Softwareentwickler und Manager über den Export von Dual-Use-Technologie wissen müssen
Es gibt Rechtsgebiete, die sich anfühlen wie ein schlecht dokumentiertes Legacy-System: komplex aufgebaut, selten angefasst, und wenn man doch hineinschaut, erschrickt man, was dort seit Jahren vor sich hinläuft. Das Exportkontrollrecht für Software und Mikrochips gehört dazu – mit dem entscheidenden Unterschied, dass eine fehlerhafte Entscheidung hier keine Downtime produziert, sondern ein Strafverfahren.
Seit dem russischen Angriff auf die Ukraine im Februar 2022 ist dieses Recht aus seinem Dornröschenschlaf gerissen worden. Das 20. Sanktionspaket der EU, verabschiedet Ende April 2026, ist inzwischen ein Regelwerk mit einer Komplexität, die selbst erfahrene Außenwirtschaftsanwälte auf Trab hält. Für Unternehmen, die Hardware oder Software in nicht-europäische Märkte liefern – oder auch nur API-Zugänge bereitstellen, Cloud-Instanzen vermieten oder Remote-Support leisten –, ist das Thema kein Compliance-Randproblem mehr. Es ist handfestes Strafrecht.
Ich berate und verteidige umfassend in diesem Bereich – spätestens seit dem Ukraine-Krieg ist der Beratungsbedarf erheblich gestiegen, wie ich immer wieder merke. Dabei lassen sich Unsicherheiten im Regelfall schnell ausräumen. Gerade mit meiner spezialisierten Ausrichtung zwischen Strafrecht und IT-Recht bei eigenem technologischem Hintergrund kann ich hier Blickrichtungen aufwerfen, die gerne aus dem Fokus geraten.
(mehr …)
10. Juni 2026
Trojanische Pferde in Unternehmen
Unsichtbare Bedrohung durch nordkoreanische Hacker
Eine der gravierendsten modernen Cyberrisiken ist die Gefahr durch nordkoreanische IT-Arbeiter, die sich als trojanische Pferde in Unternehmen auf der ganzen Welt einschleichen. Derart hochqualifizierte Hacker agieren verdeckt, tarnen ihre wahre Identität und dringen so in die Netzwerke von Firmen ein, um enorme Summen zu generieren – Gelder, die letztlich das nordkoreanische Waffenprogramm finanzieren. Im Folgenden kurz dazu, wie diese Hacker vorgehen, welche Risiken sie darstellen und warum es unerlässlich ist, funktionierende Verifikationsprozesse für externe IT-Remote-Arbeiter zu etablieren.
Updates: Im Oktober 2024 hat auch das Bundesamt für Verfassungsschutz eine entsprechende Warnung herausgegeben, die hier aufgenommen wurde. Im Dezember 2025 wurden ein Erfahrungsbericht von Amazon sowie weitere aktuelle Daten in den Beitrag aufgenommen. Und im Juni 2026 habe ich nochmals um aktuelle Entwicklungen erweitert.
(mehr …)
8. Juni 2026
Cloud-Souveränität, Abhängigkeit: Warum der Anbieterwechsel zur Compliance-Pflicht wird
Es trifft den IT-Leiter mittelständischer Unternehmen mit voller Wucht in dem Moment, in dem er aussteigen will: Die Daten liegen bei einem US-Hyperscaler, die Schnittstellen sind proprietär, das Datenformat ist anbieterspezifisch, und ein Wechsel würde Monate dauern und Unsummen kosten. Wer einmal drin ist, kommt kaum wieder heraus. Genau diese Erfahrung – über Jahre als unvermeidlicher Preis der Cloud hingenommen – steht seit September 2025 unter einem neuen rechtlichen Vorzeichen. Die Europäische Union hat das Lock-in zum Regelungsgegenstand erklärt, und damit verschiebt sich die Cloud-Compliance vom freiwilligen Risikomanagement hin zu einer Pflichtenlage, die jeden Anbieter und mittelbar jeden Nutzer betrifft.
(mehr …)
4. Juni 2026
Privacy by Design und Mangelhaftung: Wenn nicht-datenschutzkonforme Software den Käufer trifft
Stellen Sie sich vor, ein mittelständisches Unternehmen kauft für teures Geld eine Personalverwaltungssoftware – modern, funktional, vom etablierten Anbieter. Zwei Jahre später steht die Aufsichtsbehörde im Haus, weil sich Bewerberdaten nicht löschen lassen, jeder Sachbearbeiter sämtliche Personalakten einsehen kann und im Hintergrund Datenbestände schlummern, von denen niemand wusste. Das Bußgeld trifft nicht den Hersteller, sondern den Käufer. Genau hier liegt der wunde Punkt, an dem datenschutzfreundliche Technikgestaltung von einer abstrakten Programmieridee zum handfesten wirtschaftlichen Risiko wird – und an dem sich entscheidet, wer am Ende für die Versäumnisse haftet.
(mehr …)
4. Juni 2026
Digitale Beweismittel
Digitale Beweismittel sind im modernen Strafprozess der Regelfall. Dazu zählen unter anderem Chatverläufe, Smartphone-Daten, Cloud-Logs und Fahrzeugdaten aus der „Blackbox“ von Pkws. Digitale Beweise entscheiden heute über den Ausgang von Strafverfahren im allgemeinen Strafrecht ebenso wie im Wirtschafts- und Cybercrime-Bereich. Im Folgenden zeige ich, was darunter zu verstehen ist, wie ihr Beweiswert im Strafprozess zu beurteilen ist und welche forensischen Mindeststandards aus Sicht der Strafverteidigung gelten müssen. Der Schwerpunkt liegt auf der praktischen Arbeit mit digitalen Beweismitteln – von der IT-Forensik über Screenshots und E-Mails bis hin zur Car-Forensik und der seit 2026 anwendbaren E-Evidence-Verordnung der EU.
Ich widme einen wesentlichen Teil meines Alltags technischen und rechtlichen Fragen von IT-Forensik und digitalen Beweismitteln: Ich halte seit Jahren Fortbildungen und publiziere zum Thema digitale Beweismittel, so in:
Kommentierung zur Car-Forensik – Ferner, in: BeckOK StPO, § 2 TTDSG Rn. 18.1 ff.
„Transparenz als rechtsstaatlicher Grundsatz digitaler Beweismittel“ in: „Überzeugung und Zweifel“, Festschrift für Ralf Neuhaus, 2025
Digitale Beweismittel in der Ermittler-Praxis – Die Polizei, 5/2025, S. 159-164
Strafprozessuale Verwertung biometrischer Daten zur Beweiserhebung – jurisPR-StrafR 15/2025
Verwertbarkeit von ANOM-Messengerdaten in Strafverfahren – jurisPR-ITR 16/2024
DNA im Strafprozess – jurisPR-StrafR 20/2023 Anm. 1
IT-Forensik, rechtliche Grundlagen – AnwZert ITR 13/2023 Anm. 3
IT-Sachverständige im Strafverfahren – AnwZert ITR 16/2023 Anm. 2
Den Beitrag aktualisiere ich fortlaufend, zuletzt im Juni 2026.
(mehr …)
4. Juni 2026
Gesetz gegen digitale Gewalt (2026): Ein Entwurf, der mehr verspricht als er hält
Wenn ein Gesetz nach dem Phänomen benannt wird, das es bekämpfen soll, ist Skepsis angebracht. Der Referentenentwurf des Bundesjustizministeriums für ein „Gesetz zur Stärkung des zivilrechtlichen und strafrechtlichen Schutzes vor digitaler Gewalt“ vom April 2026 trägt seinen politischen Auftrag schon im Titel. Bundesjustizministerin Hubig will damit auf eine Welle medial sichtbarer Fälle reagieren – von gefälschten Pornovideos bis zu heimlichen Aufnahmen mit Smart Glasses – und legt dafür ein Bündel aus neuen Straftatbeständen, Plattformpflichten und einem zivilrechtlichen Auskunfts‑ und Sperrverfahren vor. Der Entwurf hat juristisches Gewicht, aber er hat auch Schwächen, die weit über handwerkliche Details hinausgehen.
(mehr …)
14. Mai 2026
BGH: Streaming ist Dienstvertrag
Mit Urteil vom 16. April 2026 (III ZR 152/25) hat der III. Zivilsenat des Bundesgerichtshofs eine seit Inkrafttreten des § 548a BGB schwelende Streitfrage des digitalen Vertragsrechts entschieden: Verträge über die Bereitstellung von Streamingdiensten sind nicht als Mietvertrag, sondern als Dienstvertrag zu qualifizieren. Konkret hatte der Senat über eine Klausel in den Geschenkkartenbedingungen eines marktbeherrschenden Streaminganbieters zu befinden, wonach eine Kündigung der Mitgliedschaft erst mit dem vollständigen Verbrauch eines aufgeladenen Prepaid-Guthabens wirksam werden sollte – unter Umständen also erst rund 39 Monate nach Kündigungserklärung.
(mehr …)
13. Mai 2026
KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden
KI steht aktuell vorwiegend für Chatbots, die Texte schreiben oder Präsentationen vorbereiten, doch die wirklich brisante Entwicklung spielt sich an anderer Stelle ab: bei agentischen KI‑Systemen, die nicht nur antworten, sondern handeln – E‑Mails verschicken, Software installieren, Konfigurationen ändern, Kalender pflegen und eigenständig im Unternehmensnetzwerk operieren. Die neue Frage im Umgang mit KI sollte daher nicht mehr zentral sein, ob eine KI halluziniert, sondern was passiert, wenn ein solcher Agent mit weitreichenden Rechten Fehler macht, manipuliert wird oder schlicht „kreative“ Wege zur Zielerreichung wählt.
(mehr …)
14. März 2026
Cyberfähigkeiten von Israel und Iran
Die Cyberfähigkeiten Israels und Irans haben sich über zwei Jahrzehnte in einer Art stillen Rüstungswettlauf entwickelt. Beide Staaten betrachten den digitalen Raum längst nicht mehr nur als Nebenbühne militärischer oder politischer Auseinandersetzungen, sondern als eigenständiges Operationsfeld mit unmittelbarem Einfluss auf nationale Sicherheit, wirtschaftliche Stabilität und geopolitische Handlungsfreiheit. Dabei spiegelt der Cyberkonflikt zentrale Merkmale ihrer Rivalität wider: hohe wechselseitige Bedrohungswahrnehmung, asymmetrische Taktiken und eine bewusste Nutzung von Ambiguität und Deniability.
Hinweis: In meiner fachlichen Publikation „Cyberwar, Hackbacks und Desinformation – Juristische und technische Implikationen unklarer Begriffe“, erschienen bei Juris im AnwZert ITR 3/2025, gehe ich aus juristischer Sicht den Fragen rund um Cyberwar auf den Grund. Der Beitrag wurde zuletzt im März 2026 aktualisiert.
(mehr …)
7. März 2026
Irans Cyberfähigkeiten und Hacker
In den letzten Jahren hat der Iran seine Cyberfähigkeiten erheblich ausgebaut und nutzt diese aggressiv gegen westliche Staaten. Diese Maßnahmen umfassen eine Vielzahl von Angriffen, die von Datendiebstahl bis hin zu destruktiven Cyberangriffen reichen. Die iranische Cyberstrategie spiegelt die allgemeine asymmetrische Kriegsführung des Landes wider und zeigt, wie Teheran seine begrenzten Ressourcen einsetzt, um erhebliche Auswirkungen zu erzielen.
Der Beitrag aus dem Februar 2024 wurde im März 2026 aktualisiert. Berücksichtigt wurde neue Entwicklungen und natürlich der IRAN-Krieg.
(mehr …)
7. März 2026
Gesetzentwurf zur Stärkung der Cybersicherheit 2026
In einem aktuellen Entwurf eines „Gesetzes zur Stärkung der Cybersicherheit“ wird den Schwerpunkt der deutschen Cyberpolitik spürbar in Richtung einer aktiven Gefahrenabwehr im Netz verschoben – mit massiven neuen Befugnissen für BKA, Bundespolizei und BSI, aber auch mit spürbaren Folgen für Unternehmen und offene Fragen für Bürgerrechte.
(mehr …)
1. März 2026