Persönlich, hochwertig, keine Chatbots mit Kommunikationsstrategie: Bei uns kümmert sich ein persönlich erreichbar Mensch
Anwaltskanzlei Ferner Alsdorf - Kanzlei für moderne Strafverteidigung & IT-Recht

Anwaltskanzlei Ferner Alsdorf (Rechtsanwalt für Strafrecht & IT-Recht)

Schlagwort: Compliance

Compliance bezeichnet die Einhaltung von gesetzlichen Bestimmungen, Regeln und Standards sowie ethischen Grundsätzen innerhalb eines Unternehmens oder einer Organisation. Dabei geht es insbesondere um die Vermeidung von Gesetzes- und Regelverstößen, aber auch um die Sicherstellung von Transparenz und Integrität in allen Geschäftsprozessen. Die Umsetzung von Compliance-Anforderungen ist mittlerweile in vielen Branchen und Unternehmen ein zentrales Thema und kann durch entsprechende Maßnahmen und Schulungen sichergestellt werden.

Als Rechtsanwaltskanzlei für IT-Compliance und Wirtschaftsstrafrecht sind wir darauf spezialisiert, unsere Mandanten optimal zu beraten und zu vertreten. Wir verstehen die komplexen Anforderungen und Herausforderungen, denen Unternehmen und Organisationen in diesen Bereichen gegenüberstehen und bieten daher eine umfassende Beratung und Betreuung.

Unser erfahrenes Team besteht aus spezialisierten Rechtsanwältinnen und Rechtsanwälten mit langjähriger Erfahrung in den Bereichen IT-Compliance und Wirtschaftsstrafrecht. Wir unterstützen unsere Mandanten bei der effektiven Umsetzung von Compliance-Anforderungen, um mögliche Risiken zu minimieren und Haftungsansprüchen vorzubeugen.

Wir bieten unseren Mandanten eine maßgeschneiderte Beratung und Betreuung, die auf ihre spezifischen Bedürfnisse zugeschnitten ist. Wir unterstützen sie bei der Implementierung von Compliance-Systemen, der Überprüfung von Geschäftsprozessen und der Schulung von Mitarbeitern.

Weiterhin vertreten wir unsere Mandanten auch in strafrechtlichen Angelegenheiten, insbesondere bei Verdacht auf Wirtschaftskriminalität. Wir setzen uns engagiert für ihre Interessen ein und begleiten sie während des gesamten Verfahrens. Unsere Kanzlei zeichnet sich durch hohe Fachkompetenz, Zuverlässigkeit und Diskretion aus.

 

  • Vorratsdatenspeicherung 2026: Entwicklung und aktueller Stand

    Vorratsdatenspeicherung 2026: Entwicklung und aktueller Stand

    Der dritte Anlauf: Zehn Jahre lang hatte Deutschland keine funktionierende Vorratsdatenspeicherung. Jetzt versucht es die Bundesregierung erneut – diesmal mit dem Segen aus Luxemburg. Ob das reicht, entscheidet sich an einer Zahl: 26. Nun gibt es politische Vorhaben, die scheitern, und es gibt solche, die zur Endlosschleife werden … die Vorratsdatenspeicherung gehört in die zweite Kategorie: Seit beinahe zwei Jahrzehnten wird in Deutschland über sie gestritten, gesetzlich verankert, höchstrichterlich kassiert und erneut verankert. Am 22. April 2026 hat das Bundeskabinett den dritten Anlauf beschlossen.

    Bemerkenswert ist diesmal etwas anderes: Zum ersten Mal beruft sich der Gesetzgeber nicht auf eigene Überzeugung gegen die Rechtsprechung, sondern auf ein Szenario, das ihm der Europäische Gerichtshof aufgezeichnet hat. Die entscheidende Frage lautet daher nicht mehr, ob eine anlasslose Speicherung von IP-Adressen grundsätzlich zulässig ist – sondern ob die Bundesregierung den engen Pfad einhält, den Luxemburg gezogen hat. Und genau hier wird es interessant, denn an mehreren Stellen tritt der Entwurf erkennbar daneben.

    Ich kommentiere im BeckOK StPO Teile des TDDDG und TKG und im Speziellen die Vorratsdatenspeicherung. Vor dem Hintergrund beschäftige ich mich regelmäßig mit Entwicklungen in diesem sensiblen Bereich der Überwachung und Ermittlungen.

    (mehr …)
  • Compliance-Versagen durch KI-Agenten: Wer haftet wenn Chatbots Grenzen überschreiten?

    Compliance-Versagen durch KI-Agenten: Wer haftet wenn Chatbots Grenzen überschreiten?

    Vorgestellt: Ein Kundenberater würde einer offensichtlich verwirrten älteren Dame am Telefon zuerst Verständnis signalisieren, fürsorglich fragen, ob sie Hilfe holen möchte – um ihr dann trotzdem einen Vertrag aufzuschwatzen. Kein seriöser Verkäufer würde das tun, so wenig wie ein Mensch mit Gewissen und Berufserfahrung. Ein KI-Agent hingegen macht es, in jedem getesteten Fall, ohne Ausnahme.

    Das ist kein Gedankenexperiment, sondern der Befund einer Studie, die Ende Mai 2026 für einiges Aufsehen gesorgt hat. Die Amsterdamer Aithos Research Foundation, eine gemeinnützige Non-Profit-Stiftung, hat mit ihrem Framework LARA (Legal Assessment for Real-world Agents) zwölf der führenden KI-Sprachmodelle unter realistischen Bedingungen auf EU-Rechtskonformität getestet. Das Ergebnis ist unmissverständlich: Kein einziges besteht den Test.

    (mehr …)
  • Schatten-KI im Betrieb

    Schatten-KI im Betrieb

    Während Schatten-IT – also die Nutzung nicht autorisierter Software oder Hardware – bereits seit Längerem bekannt ist, gewinnt nun ein verwandtes Phänomen an Bedeutung: Schatten-KI. Gemeint ist der Einsatz künstlicher Intelligenz durch Mitarbeiter ohne Wissen oder Genehmigung der Unternehmensführung.

    Eine aktuelle Umfrage zeigt auf, dass ein beträchtlicher Teil der Fachkräfte, insbesondere in MINT-Berufen, KI-Tools wie ChatGPT, Google Gemini oder andere generative Systeme im Arbeitsalltag nutzt, oft ohne dass dies von der IT-Abteilung oder Geschäftsleitung autorisiert wurde. Die Rede ist hier von drei von vier MINT-Fachkräften (77 Prozent). Durch einen solchen (unkontrollierten) Einsatz werden nicht nur technische, sondern vor allem rechtliche und organisatorische Fragen aufgeworfen.

    Hinweis/Update: Zu dem Thema habe ich dem IT-Fachmagazin t3n im Juni 2026 ein Interview gegeben.

    (mehr …)
  • KI: Transparenz, Deepfakes und digitale Gewalt bei künstlicher Intelligenz (Update 2026)

    KI: Transparenz, Deepfakes und digitale Gewalt bei künstlicher Intelligenz (Update 2026)

    KI-Transparenz betrifft Unternehmen unmittelbar

    Für viele Unternehmen war KI lange ein technisches Thema: spannend fürs Marketing, interessant für die IT, aber ohne existenzielle Relevanz für das eigene Risiko‑Profil. Diese Phase ist vorbei. Generative KI erzeugt heute in Sekunden Bilder, Videos, Stimmen und Texte, die sich von „echten“ Inhalten kaum noch unterscheiden – und genau das ist der Punkt, an dem Recht und Compliance sehr ungemütlich werden.

    Mit Art. 50 der KI‑Verordnung, flankiert vom Digital Services Act, Datenschutzrecht, Persönlichkeitsrecht und einem neuen Gesetz gegen digitale Gewalt, wird Transparenz zur Pflichtaufgabe. Wer KI‑Inhalte nutzt, muss künftig nicht nur abstrakt „verantwortungsvoll“ handeln, sondern konkret kennzeichnen, wie Inhalte entstanden sind, welche Systeme im Einsatz waren und wo synthetische Medien im Spiel sind. Das ist kein kosmetisches Thema, sondern berührt Haftung, Governance und letztlich das Vertrauen in die eigene Kommunikation.

    Im Folgenden geht es deshalb um drei Ebenen: zunächst die rechtliche Einordnung von Deepfakes und synthetischen Medien aus Sicht des Persönlichkeits‑ und Strafrechts, dann die – durchaus kritische – Rolle des geplanten Gesetzes gegen digitale Gewalt und schließlich den Kern: Art. 50 KI‑VO und seine praktische Umsetzung im Management, abgeschlossen mit einer bewusst ausführlichen Checkliste. Den früheren Beitrag habe ich im Juni 2026 unter Berücksichtigung des EU-Verhaltenskodex für die Kennzeichnung KI-generierter Inhalte aktualisiert.

    (mehr …)
  • KI unter Verschluss: US-Exportkontrolle stoppt Anthropics Fable 5 und Mythos 5

    KI unter Verschluss: US-Exportkontrolle stoppt Anthropics Fable 5 und Mythos 5

    Software und KI im Exportrecht

    Am Abend des 12. Juni 2026 erhielt Anthropic um 17:21 Uhr Ortszeit einen Brief von Handelsminister Howard Lutnick. Der Inhalt war knapp und folgenreich: Das US-Handelsministerium ordnete gestützt auf Exportkontrollrecht an, dass Claude Fable 5 und Claude Mythos 5 sämtlichen ausländischen Staatsangehörigen zu sperren seien, und zwar unabhängig davon, ob sie sich innerhalb oder außerhalb der USA aufhielten, einschließlich ausländischer Mitarbeiter von Anthropic selbst. Da es keinen verlässlichen technischen Mechanismus gibt, Staatsbürgerschaft auf API-Ebene zu verifizieren, tat Anthropic das einzig Mögliche: beide Modelle wurden weltweit für alle Nutzer abgeschaltet. Das erste Mal in der Geschichte des kommerziellen KI-Markts zwang eine staatliche Exportkontrollanordnung ein US-Unternehmen dazu, sein Flaggschiffprodukt in Echtzeit vom Netz zu nehmen.

    Wer das für eine Kuriosität hält, unterschätzt die Tragweite. Es geht nicht um einen Einzelfall, sondern um eine grundlegende Verschiebung: KI-Modellgewichte werden rechtlich immer deutlicher als Exportgut behandelt – mit allen Konsequenzen, die das für Unternehmen, Nutzer und Strafverteidiger in Deutschland und der EU hat.

    (mehr …)
  • Deutschland bekommt ein KI-Gesetz: Bündelung der nationalen KI-Aufsicht bei der Bundesnetzagentur

    Deutschland bekommt ein KI-Gesetz: Bündelung der nationalen KI-Aufsicht bei der Bundesnetzagentur

    Mit dem am 10. Juni 2026 vom Ausschuss für Digitales und Staatsmodernisierung zur Annahme empfohlenen und sodann beschlossenen Gesetz zur Durchführung der Verordnung (EU) 2024/1689 schafft der Bund die nationale Vollzugsarchitektur für den AI Act. Kernstück des Artikelgesetzes ist Artikel 1, mit dem das KI-Marktüberwachungs- und Innovationsförderungs-Gesetz (KI‑MIG) geschaffen wird und das die Bundesnetzagentur (BNetzA) zur zentralen Marktüberwachungsbehörde, Anlaufstelle und Beschwerdestelle bestimmt … und zugleich ein verschachteltes System sektoraler und föderaler Zuständigkeiten konserviert.

    (mehr …)
  • Wenn der eigene Mitarbeiter eine Sicherheitslücke findet: Rechtliche Risiken für Unternehmen

    Wenn der eigene Mitarbeiter eine Sicherheitslücke findet: Rechtliche Risiken für Unternehmen

    Ein Mitarbeiter Ihrer IT-Abteilung bemerkt bei der Nutzung einer eingekauften Softwarelösung, dass die Anwendung Datenbankzugangsdaten im Klartext übermittelt und der Zugriff auf deutlich mehr Datensätze möglich ist, als der eigene Account eigentlich erlaubt. Er dokumentiert den Fund, greift kurz auf eine der fremden Kundendaten zu, um die Lücke zu belegen – und meldet den Vorfall intern.

    Was harmlos klingt und gutgläubig gemeint war, kann erhebliche strafrechtliche und zivilrechtliche Konsequenzen haben. Für das Unternehmen selbst, für den Mitarbeiter – und im schlimmsten Fall für beide.

    (mehr …)
  • Kontrollverlust, Authentifizierungslücke: Vodafone und das (bislang) wohl teuerste DSGVO-Bußgeld Deutschlands

    Kontrollverlust, Authentifizierungslücke: Vodafone und das (bislang) wohl teuerste DSGVO-Bußgeld Deutschlands

    Wer morgens sein Smartphone entsperrt und feststellt, dass die SIM-Karte kein Netz mehr hat, ahnt zunächst einen Funkmastausfall. Was hinter solchen Ausfällen stecken kann, ist weit bedrohlicher: Ein Angreifer hat die eigene Mobilfunkidentität übernommen, empfängt nun alle SMS – einschließlich der TANs für das Onlinebanking. Genau dieses Szenario stand im Mittelpunkt des größten DSGVO-Bußgeldbescheids, den eine deutsche Datenschutzbehörde je erlassen hat.

    Die Bundesbeauftragte für den Datenschutz verhängte am 3. Juni 2025 zwei Bußgelder gegen die Vodafone GmbH in Höhe von zusammen 45 Millionen Euro. Die Bescheide sind bestandskräftig; Vodafone hat beide akzeptiert und den Betrag bereits vollständig an die Bundeskasse gezahlt. Das vorherige Rekordbußgeld einer deutschen Aufsichtsbehörde hatte bei 35,3 Millionen Euro gelegen.

    (mehr …)
  • AWG und Software: Wenn Code-Commit zum Strafverfahren wird

    AWG und Software: Wenn Code-Commit zum Strafverfahren wird

    Was Softwareentwickler und Manager über den Export von Dual-Use-Technologie wissen müssen

    Es gibt Rechtsgebiete, die sich anfühlen wie ein schlecht dokumentiertes Legacy-System: komplex aufgebaut, selten angefasst, und wenn man doch hineinschaut, erschrickt man, was dort seit Jahren vor sich hinläuft. Das Exportkontrollrecht für Software und Mikrochips gehört dazu – mit dem entscheidenden Unterschied, dass eine fehlerhafte Entscheidung hier keine Downtime produziert, sondern ein Strafverfahren.

    Seit dem russischen Angriff auf die Ukraine im Februar 2022 ist dieses Recht aus seinem Dornröschenschlaf gerissen worden. Das 20. Sanktionspaket der EU, verabschiedet Ende April 2026, ist inzwischen ein Regelwerk mit einer Komplexität, die selbst erfahrene Außenwirtschaftsanwälte auf Trab hält. Für Unternehmen, die Hardware oder Software in nicht-europäische Märkte liefern – oder auch nur API-Zugänge bereitstellen, Cloud-Instanzen vermieten oder Remote-Support leisten –, ist das Thema kein Compliance-Randproblem mehr. Es ist handfestes Strafrecht.

    Ich berate und verteidige umfassend in diesem Bereich – spätestens seit dem Ukraine-Krieg ist der Beratungsbedarf erheblich gestiegen, wie ich immer wieder merke. Dabei lassen sich Unsicherheiten im Regelfall schnell ausräumen. Gerade mit meiner spezialisierten Ausrichtung zwischen Strafrecht und IT-Recht bei eigenem technologischem Hintergrund kann ich hier Blickrichtungen aufwerfen, die gerne aus dem Fokus geraten.

    (mehr …)
  • Trojanische Pferde in Unternehmen

    Trojanische Pferde in Unternehmen

    Unsichtbare Bedrohung durch nordkoreanische Hacker

    Eine der gravierendsten modernen Cyberrisiken ist die Gefahr durch nordkoreanische IT-Arbeiter, die sich als trojanische Pferde in Unternehmen auf der ganzen Welt einschleichen. Derart hochqualifizierte Hacker agieren verdeckt, tarnen ihre wahre Identität und dringen so in die Netzwerke von Firmen ein, um enorme Summen zu generieren – Gelder, die letztlich das nordkoreanische Waffenprogramm finanzieren. Im Folgenden kurz dazu, wie diese Hacker vorgehen, welche Risiken sie darstellen und warum es unerlässlich ist, funktionierende Verifikationsprozesse für externe IT-Remote-Arbeiter zu etablieren.

    Updates: Im Oktober 2024 hat auch das Bundesamt für Verfassungsschutz eine entsprechende Warnung herausgegeben, die hier aufgenommen wurde. Im Dezember 2025 wurden ein Erfahrungsbericht von Amazon sowie weitere aktuelle Daten in den Beitrag aufgenommen. Und im Juni 2026 habe ich nochmals um aktuelle Entwicklungen erweitert.

    (mehr …)
  • Cloud-Souveränität, Abhängigkeit: Warum der Anbieterwechsel zur Compliance-Pflicht wird

    Cloud-Souveränität, Abhängigkeit: Warum der Anbieterwechsel zur Compliance-Pflicht wird

    Es trifft den IT-Leiter mittelständischer Unternehmen mit voller Wucht in dem Moment, in dem er aussteigen will: Die Daten liegen bei einem US-Hyperscaler, die Schnittstellen sind proprietär, das Datenformat ist anbieterspezifisch, und ein Wechsel würde Monate dauern und Unsummen kosten. Wer einmal drin ist, kommt kaum wieder heraus. Genau diese Erfahrung – über Jahre als unvermeidlicher Preis der Cloud hingenommen – steht seit September 2025 unter einem neuen rechtlichen Vorzeichen. Die Europäische Union hat das Lock-in zum Regelungsgegenstand erklärt, und damit verschiebt sich die Cloud-Compliance vom freiwilligen Risikomanagement hin zu einer Pflichtenlage, die jeden Anbieter und mittelbar jeden Nutzer betrifft.

    (mehr …)
  • KI-Verordnung (2026)

    KI-Verordnung (2026)

    Die KI-Verordnung („KI-VO“, auch „AI-Act“ – VO (EU) 2024/1689) ist seit dem 1. August 2024 in Kraft und wird im Sommer 2026 in ihrer Substanz wirksam. Mit der politischen Einigung zum sogenannten KI-Omnibus vom 7. Mai 2026 verschiebt der Unionsgesetzgeber zentrale Pflichten für Hochrisiko-Systeme; gleichzeitig erweitert er den Verbotskatalog und zieht die Kennzeichnungspflichten für synthetische Inhalte vor. Im Folgenden möchte ich die Verordnung in ihrem aktuellen Stand einordnen und beschreiben, was Geschäftsführungen und Compliance-Abteilungen (voraussichtlich) in den nächsten Monaten beachten müssen.

    Hinweis: Der Beitrag wurde im Mai 2026 neu gefasst und hat den Stand 14. Mai 2026, berücksichtigt also die Trilogeinigung zum KI-Omnibus.

    (mehr …)
  • EVB-IT: Open Source wird zum Standard

    EVB-IT: Open Source wird zum Standard

    Was die modernisierten EVB-IT für die öffentliche Beschaffung mit Open Source bedeuten

    Ende März 2026 hat der Bund die wichtigsten Vertragsvorlagen für IT-Beschaffung grundlegend überarbeitet. Wer Software an die öffentliche Hand liefert – oder als Behörde beschafft – sollte die neuen Spielregeln kennen. Sie verschieben nicht nur Detailklauseln, sondern eine grundsätzliche Logik … wofür es auch an der Zeit war.

    (mehr …)
  • OLG Hamm zur KI-Werbung: Wer den Chatbot einsetzt, haftet für seine Aussagen

    OLG Hamm zur KI-Werbung: Wer den Chatbot einsetzt, haftet für seine Aussagen

    Das Oberlandesgericht Hamm (4. Zivilsenat, Urteil vom 12.05.2026 – 4 UKl 3/25) hatte zu klären, ob ein Unternehmen für irreführende Aussagen eines auf seiner Website eingebundenen KI‑Chatbots lauterkeitsrechtlich einsteht. Der Senat bejaht dies klar und qualifiziert die Antworten des Chatbots als eigene geschäftliche Handlungen der Betreiberin – mit weitreichenden Folgen für den Einsatz von KI im Marketing.

    (mehr …)
  • Einstweiliger Rechtsschutz nach Hackerangriff auf Social-Media-Konten

    Einstweiliger Rechtsschutz nach Hackerangriff auf Social-Media-Konten

    Mit Beschluss vom 7. April 2026 hat der 3. Zivilsenat des Oberlandesgerichts Rostock (Az. 3 W 62/25) die Konturen einstweiligen Rechtsschutzes nach einem Hackerangriff auf Social-Media-Konten in mehreren Punkten geschärft: Er bejaht den Verfügungsanspruch auf Wiedereinräumung des Zugangs aus § 241 Abs. 2 BGB, akzeptiert den Verfügungsgrund regelmäßig schon aufgrund der bloßen Tatsache des Hackerangriffs, begrenzt aber zugleich die zulässige Eilmaßnahme auf eine sichernde Sperre und schiebt das auf vollständige Zugangswiederherstellung gerichtete Begehren als unzulässige Vorwegnahme der Hauptsache beiseite.

    Praktisch ebenso bedeutsam ist die Kostenentscheidung: Ein in Deutschland ansässiger Nutzer, der lediglich eine englischsprachige E-Mail mit Bearbeiternummer erhält und auf anwaltliche Fristsetzung mit Schweigen bedacht wird, hat dem Anbieter unter dem Rechtsgedanken des § 93 ZPO Veranlassung zum Eilantrag zu geben.

    (mehr …)