Persönlich, keine Chatbots, klare Kommunikation: Bei uns kümmert sich ein persönlich erreichbarer Mensch

Schlagwort: SaaS

Rechtsanwalt für SaaS-Verträge: Software as a Service rechtssicher gestalten – Bei Software as a Service (SaaS) wird eine Anwendung zeitlich befristet über das Internet zur Nutzung bereitgestellt, ohne lokale Installation – der Anbieter betreibt Software, Updates und Infrastruktur. Rechtlich ist die Einordnung entscheidend: Sie prägt Gewährleistung, Leistungsbeschreibung, SLAs, Haftung und die datenschutzrechtliche Auftragsverarbeitung.

Als Fachanwalt für IT-Recht und zugleich praktizierender Softwareentwickler gestalte und prüfe ich SaaS-Verträge mit Blick auf Technik und Recht – für Anbieter wie für Kunden. Die folgenden Beiträge geben einen Einblick in das Thema; für Ihren konkreten Vertrag sprechen Sie mich an.

  • KI unter Verschluss: US-Exportkontrolle stoppt Anthropics Fable 5 und Mythos 5

    KI unter Verschluss: US-Exportkontrolle stoppt Anthropics Fable 5 und Mythos 5

    Software und KI im Exportrecht

    Am Abend des 12. Juni 2026 erhielt Anthropic um 17:21 Uhr Ortszeit einen Brief von Handelsminister Howard Lutnick. Der Inhalt war knapp und folgenreich: Das US-Handelsministerium ordnete gestützt auf Exportkontrollrecht an, dass Claude Fable 5 und Claude Mythos 5 sämtlichen ausländischen Staatsangehörigen zu sperren seien, und zwar unabhängig davon, ob sie sich innerhalb oder außerhalb der USA aufhielten, einschließlich ausländischer Mitarbeiter von Anthropic selbst. Da es keinen verlässlichen technischen Mechanismus gibt, Staatsbürgerschaft auf API-Ebene zu verifizieren, tat Anthropic das einzig Mögliche: beide Modelle wurden weltweit für alle Nutzer abgeschaltet. Das erste Mal in der Geschichte des kommerziellen KI-Markts zwang eine staatliche Exportkontrollanordnung ein US-Unternehmen dazu, sein Flaggschiffprodukt in Echtzeit vom Netz zu nehmen.

    Wer das für eine Kuriosität hält, unterschätzt die Tragweite. Es geht nicht um einen Einzelfall, sondern um eine grundlegende Verschiebung: KI-Modellgewichte werden rechtlich immer deutlicher als Exportgut behandelt – mit allen Konsequenzen, die das für Unternehmen, Nutzer und Strafverteidiger in Deutschland und der EU hat.

    (mehr …)
  • Cloud-Souveränität, Abhängigkeit: Warum der Anbieterwechsel zur Compliance-Pflicht wird

    Cloud-Souveränität, Abhängigkeit: Warum der Anbieterwechsel zur Compliance-Pflicht wird

    Es trifft den IT-Leiter mittelständischer Unternehmen mit voller Wucht in dem Moment, in dem er aussteigen will: Die Daten liegen bei einem US-Hyperscaler, die Schnittstellen sind proprietär, das Datenformat ist anbieterspezifisch, und ein Wechsel würde Monate dauern und Unsummen kosten. Wer einmal drin ist, kommt kaum wieder heraus. Genau diese Erfahrung – über Jahre als unvermeidlicher Preis der Cloud hingenommen – steht seit September 2025 unter einem neuen rechtlichen Vorzeichen. Die Europäische Union hat das Lock-in zum Regelungsgegenstand erklärt, und damit verschiebt sich die Cloud-Compliance vom freiwilligen Risikomanagement hin zu einer Pflichtenlage, die jeden Anbieter und mittelbar jeden Nutzer betrifft.

    (mehr …)
  • Privacy by Design und Mangelhaftung: Wenn nicht-datenschutzkonforme Software den Käufer trifft

    Privacy by Design und Mangelhaftung: Wenn nicht-datenschutzkonforme Software den Käufer trifft

    Stellen Sie sich vor, ein mittelständisches Unternehmen kauft für teures Geld eine Personalverwaltungssoftware – modern, funktional, vom etablierten Anbieter. Zwei Jahre später steht die Aufsichtsbehörde im Haus, weil sich Bewerberdaten nicht löschen lassen, jeder Sachbearbeiter sämtliche Personalakten einsehen kann und im Hintergrund Datenbestände schlummern, von denen niemand wusste. Das Bußgeld trifft nicht den Hersteller, sondern den Käufer. Genau hier liegt der wunde Punkt, an dem datenschutzfreundliche Technikgestaltung von einer abstrakten Programmieridee zum handfesten wirtschaftlichen Risiko wird – und an dem sich entscheidet, wer am Ende für die Versäumnisse haftet.

    (mehr …)
  • BGH: Streaming ist Dienstvertrag

    BGH: Streaming ist Dienstvertrag

    Mit Urteil vom 16. April 2026 (III ZR 152/25) hat der III. Zivilsenat des Bundesgerichtshofs eine seit Inkrafttreten des § 548a BGB schwelende Streitfrage des digitalen Vertragsrechts entschieden: Verträge über die Bereitstellung von Streamingdiensten sind nicht als Mietvertrag, sondern als Dienstvertrag zu qualifizieren. Konkret hatte der Senat über eine Klausel in den Geschenkkartenbedingungen eines marktbeherrschenden Streaminganbieters zu befinden, wonach eine Kündigung der Mitgliedschaft erst mit dem vollständigen Verbrauch eines aufgeladenen Prepaid-Guthabens wirksam werden sollte – unter Umständen also erst rund 39 Monate nach Kündigungserklärung.

    (mehr …)
  • KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden

    KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden

    KI steht aktuell vorwiegend für Chatbots, die Texte schreiben oder Präsentationen vorbereiten, doch die wirklich brisante Entwicklung spielt sich an anderer Stelle ab: bei agentischen KI‑Systemen, die nicht nur antworten, sondern handeln – E‑Mails verschicken, Software installieren, Konfigurationen ändern, Kalender pflegen und eigenständig im Unternehmensnetzwerk operieren. Die neue Frage im Umgang mit KI sollte daher nicht mehr zentral sein, ob eine KI halluziniert, sondern was passiert, wenn ein solcher Agent mit weitreichenden Rechten Fehler macht, manipuliert wird oder schlicht „kreative“ Wege zur Zielerreichung wählt.

    (mehr …)
  • Irans Cyberfähigkeiten und Hacker

    Irans Cyberfähigkeiten und Hacker

    In den letzten Jahren hat der Iran seine Cyberfähigkeiten erheblich ausgebaut und nutzt diese aggressiv gegen westliche Staaten. Diese Maßnahmen umfassen eine Vielzahl von Angriffen, die von Datendiebstahl bis hin zu destruktiven Cyberangriffen reichen. Die iranische Cyberstrategie spiegelt die allgemeine asymmetrische Kriegsführung des Landes wider und zeigt, wie Teheran seine begrenzten Ressourcen einsetzt, um erhebliche Auswirkungen zu erzielen.

    Der Beitrag aus dem Februar 2024 wurde im März 2026 aktualisiert. Berücksichtigt wurde neue Entwicklungen und natürlich der IRAN-Krieg.

    (mehr …)
  • Softwareupdates im Vertragsrecht

    Softwareupdates im Vertragsrecht

    Software wird heute nicht mehr einmalig ausgeliefert und dann „fertig“ genutzt, sondern lebt von dauernden Updates – genau an dieser Schnittstelle zwischen Technik und Recht setzen meine beiden aktuellen juristischen Fachaufsätze an, die ich hier kurz vorstellen möchte. Denn die juristische Landschaft hat sich verändert und wo wir vor kurzem noch diskutieren mussten, ob und wann Softwareupdates überhaupt zwingend sind, mehrt sich inzwischen die Liste, woraus sich Pflichten zu Updates ergeben – während nicht jedes Update auch ein Update im juristischen Sinne ist, denn Veränderungen an Software können sogar verboten sein.

    Hinweis: Die vertragliche Seite der Softwareupdates habe ich sowohl hier als auch hier im Detail vorgestellt.

    (mehr …)
  • Cost‑Steering‑Attacke

    Cost‑Steering‑Attacke

    Die Cost‑Steering‑Attacke ist ein bislang nicht benanntes, aber technisch ebenso simples wie zunehmend beliebtes Angriffsmodell im Umfeld von Cloud‑Diensten und KI‑Agenten. Die Wortschöpfung stammt in Ermangelung anderer Begrifflichkeiten von mir, um dieses neue und wichtige Phänomen zu erfassen.

    Gemeint sind Konstellationen, in denen Angreifer nicht primär Daten stehlen oder Systeme verschlüsseln, sondern gezielt kostenrelevante Aktionen im Namen des Opfers auslösen – etwa das Hochfahren von GPU‑Instanzen, den Start rechenintensiver Container (Kryptomining, KI‑Training), das Buchen zusätzlicher SaaS‑Lizenzen oder das sinnlose Verfeuern von API‑Kontingenten. Charakteristisch ist, dass ausschließlich „legitime“ Funktionen der betroffenen Dienste genutzt werden: Es werden reguläre Ressourcen über reguläre Schnittstellen beauftragt, die Rechnung läuft vollständig über den Account des Opfers.

    Besonders anfällig sind selbstgehostete KI‑Agenten wie Moltbot, die mit weitreichenden Tools (Cloud‑CLI, CI/CD, Billing‑APIs) verdrahtet sind und Eingaben automatisiert in Aktionen übersetzen. Gelingt es einem Angreifer, durch Prompt‑Injection, Fehlkonfiguration oder Account‑Übernahme den Agenten zu steuern, kann er dessen Rechte verwenden, um Rechenleistung, Speicherplatz oder Abos im großen Stil zu buchen – die so erzeugten Infrastruktur‑ und Lizenzkosten verwandeln sich in einen indirekten Gewinn: etwa durch fremdfinanziertes Kryptomining, eigenen Kampagnenbetrieb auf den SaaS‑Konten des Opfers oder als Hebel für nachgelagerte Erpressung („wir stoppen die Kostenlawine, wenn …“).

    Aus strafrechtlicher Sicht bewegt sich die Cost‑Steering‑Attacke im Schnittfeld von Computerbetrug, Datenveränderung und unter Umständen Erpressung; zivilrechtlich stellt sich die Frage, ob der Betreiber durch grob fahrlässige Konfiguration seines Agents an den entstandenen Schäden festgehalten wird.

  • Lokale KI-Agenten wie OpenClaw als Haftungsrisiko begreifen

    Lokale KI-Agenten wie OpenClaw als Haftungsrisiko begreifen

    Haftungsrisiko KI-Agent: Der gerade im Hype stehende Moltbot OpenClaw steht exemplarisch für die nächste Welle „persönlicher KI‑Agenten“, die nicht mehr nur Texte beantworten, sondern unseren digitalen Alltag komfortabel steuern sollen: Sie lesen Mails, bewegen Dateien, führen Shell‑Befehle aus, steuern Browser und automatisieren Arbeitsabläufe quer durch Messaging‑Dienste – bevorzugt auf einem bezahlbaren Rechner wie einem durchlaufenden Mac mini im eigenen Heimnetz.

    Gleichzeitig aber zeigen Sicherheitsforschende bereits binnen weniger Wochen Hunderte offen im Netz stehende Instanzen, unsichere Protokolle und reale Angriffsversuche; die Euphorie über den „24/7‑Mitarbeiter im Wohnzimmer“ sollte daher als konkrete Risiko‑Debatte mit juristischem Einschlag gesehen werden.

    Hinweis: Im Rahmen meines Aufsatzes zum LLM-Hacking (erschienen in KIR 2025, 374ff.) habe ich herausgearbeitet, dass die unten thematisierten Prompt Injections strafbare Handlungen sind. Der Beitrag wurde aktualisiert mit Blick auf neue Entwicklungen in Punkte Sicherheit und natürlich den erneuten Namenswechsel.

    (mehr …)
  • Produkthaftung und Open-Source-Software

    Produkthaftung und Open-Source-Software

    Die anstehende Modernisierung des Produkthaftungsrechts zieht eine klare Linie: Nicht‑kommerzielle Open-Source-Projekte sollen von verschuldensunabhängiger Produkthaftung ausgenommen werden, wohl aber Unternehmen, die Open Source geschäftlich in ihre Produkte integrieren. Für Management und Open-Source-Entwickler stellt sich damit weniger die Frage „Haften wir?“, sondern „Wer haftet in welcher Rolle entlang der Wertschöpfungskette – und wie steuern wir dieses Risiko?“

    ​Dabei zeigt sich bei genauem Blick ein spürbares Risiko für die Opensource-Landschaft – denn was „Open-Source“ ist, ist nun einmal gesetzlich nicht definiert. Und der Gesetzgeber scheint da sehr eigene Vorstellungen zu haben, jedenfalls wenn es ums Geld geht.

    (mehr …)
  • Reform des Produkthaftungsrechts: Software und KI

    Reform des Produkthaftungsrechts: Software und KI

    Die EU und die Bundesregierung stellen das Produkthaftungsrecht bis 2026 grundlegend neu auf. Software und KI-Systeme werden künftig ausdrücklich als Produkte behandelt, verbunden mit erweiterten Haftungsrisiken, neuen Beweiserleichterungen für Geschädigte und einer Ausweitung des Kreises haftender Akteure.​ Ich hatte bereits auf LinkedIn dazu etwas geschrieben, medial wird das Thema längst reflektiert, etwa bei Handelsblatt oder Heise.

    Das Highlight dabei: Die erweiterte Produkthaftungsrichtlinie der EU definiert Software, einschließlich Betriebssysteme, Firmware, Computerprogrammen, Apps und KI-Systeme, als Produkte. Diese Definition schließt die Software unabhängig davon ein, ob sie als eigenständiges Produkt, integriert in andere Produkte, oder über Cloud-Technologien bereitgestellt wird. Bisher ist dies noch anders. Der Quellcode von Software wird jedoch ausdrücklich nicht als Produkt angesehen, da er als reine Information gilt.

    (mehr …)
  • Opensource-Software-Compliance

    Opensource-Software-Compliance

    Open-Source-Software-Compliance samt Opensource-Lizenzen: Open-Source-Software (OSS) hat in den letzten Jahren massiv an Bedeutung gewonnen. Unternehmen nutzen OSS aus verschiedenen Gründen: Dazu zählen Kosteneinsparungen, der Zugang zu hochwertigen Technologien und die Möglichkeit, auf einer breiten Basis von Entwicklern aufzubauen.

    Doch der Einsatz von OSS bringt auch Herausforderungen mit sich, insbesondere im Bereich der Compliance. In diesem Kontext bedeutet Compliance die Einhaltung der verschiedenen Lizenzbedingungen, die mit Open-Source-Software verbunden sind. Verstöße gegen diese Bedingungen können erhebliche rechtliche und finanzielle Konsequenzen nach sich ziehen.

    (mehr …)
  • SaaS-Vertrag

    SaaS-Vertrag

    SaaS in der Praxis: Cloud-Services sind IT-Ressourcen und Anwendungen, die über das Internet bereitgestellt werden. Unternehmen müssen somit keine eigene Hardware und Software mehr vor Ort betreiben.

    Eine spezielle Form davon ist „Software as a Service“ (SaaS). Dabei wird die Software zentral auf den Servern des Anbieters gehostet und den Kunden über das Internet zur Verfügung gestellt. Das bedeutet, dass Kunden die Software direkt über einen Webbrowser nutzen können, ohne sie selbst installieren oder warten zu müssen. Doch welche rechtlichen Besonderheiten gelten bei SaaS-Verträgen?

    (mehr …)
  • KI-Gigafabrik in Jülich … ?

    KI-Gigafabrik in Jülich … ?

    Nur wenige Kilometer von Alsdorf entfernt entsteht in Jülich vielleicht – so die ganz grosse Hoffnung – in naher Zukunft ein Stück europäischer Digitalgeschichte: Der Supercomputer Jupiter, bereits heute der größte öffentliche Rechner außerhalb der USA, könnte zum Kern einer der ersten KI-Gigafabriken der EU werden. Warum das nicht nur eine technische, sondern auch eine rechtliche Chance ist.

    (mehr …)
  • Der Data Act ist da: Was er regelt – und was Unternehmen jetzt tun müssen

    Der Data Act ist da: Was er regelt – und was Unternehmen jetzt tun müssen

    Der Data Act (VO (EU) 2023/2854) ist seit dem 12. September 2025 in weiten Teilen anwendbar – mit dem erklärten Ziel, Datennutzung in Europa einfacher, fairer und interoperabler zu machen. Er richtet sich vor allem an Hersteller vernetzter Produkte, Dateninhaber und Nutzer, außerdem an Anbieter von Datenverarbeitungsdiensten (Cloud, PaaS, SaaS, IaaS). Die Verordnung ergänzt die DSGVO, sie ersetzt sie nicht: Wo personenbezogene Daten betroffen sind, gelten weiterhin die DSGVO-Spielregeln; der Data Act zielt primär auf nicht-personenbezogene Nutzungsdaten und damit verbundene Metadaten ab.

    Wer in diesen Kategorien fällt? Praktisch jedes Unternehmen, das smarte, datenproduzierende Güter herstellt oder betreibt – vom Industriegerät über Fahrzeuge bis zum Haushaltssystem – und alle, die entsprechende Cloud-Leistungen anbieten oder beziehen. Für Start-ups und Kleinstunternehmen gibt es punktuelle Ausnahmen, die Grundlinie bleibt aber: Datenzugang und -weitergabe sollen rechtlich und technisch möglich werden.

    (mehr …)