Münchner SAP Tage 2024:  Aktuelles zu SAP On-Premise-Verträgen und zu SAP-Cloud-Verträgen

Dr. Michael Karger referiert am 26.09.2024 bei den Münchner SAP Tagen zum Thema „Aktuelles zur SAP-On-Premise- und Cloud-Lizensierung.“ Themen sind u.a.:

  • Überblick über die SAP-Vertragslandschaft
  • On Premise: Erhöhung der Vergütung für Pflege und Support zum 01.01.2025
  • Cloud-Verträge:
    • Vertragsdokumente
    • Leistungsbeschreibung
    • Implementierungsleistungen
    • Wechsel zu einem anderen Cloud-Anbieter und Data Act
    • Neues DPA

Weitere Informationen zu den Münchner SAP Tagen 2024 finden Sie hier: http://www.sap-tage.de/201.html

Dr. Thomas Stögmüller referiert zu „Immaterialgüterrechtlicher Schutz KI-generierter Werke“

Am 26. September 2024 findet im Tagungs- und Veranstaltungshaus Alte Mensa der Georg-August-Universität Göttingen von 11:00 – 18:00 Uhr die wissenschaftliche Tagung „Daten — Information — Recht“ zu Ehren von Prof. Dr. Andreas Wiebe, LL.M. (Virginia) anlässlich seines 65. Geburtstages statt. Dr. Thomas Stögmüller, Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner von TCI Rechtsanwälte wird dort einen Vortrag zum Thema „Immaterialgüterrechtlicher Schutz KI-generierter Werke“ halten.

Tagungsprogramm und Anmeldung unter: www.forum-iprecht.de

SAP-Verträge On Premise und Cloud): Seminar der DSAG-Academy mit Dr. Michael Karger

Dr. Michael Karger ist Referent des im halbjährlichen Turnus stattfindenden Seminars der DSAG-Academy „SAP-Verträge verstehen und gestalten: Rechtliche Grundlagen, wichtige Regelungen, Fallstricke“. Das Seminar findet am 16.09.2024 als Präsenztraining in Leimen statt.

Ziel des Seminars ist es, den Teilnehmenden einen Überblick zur Struktur der „SAP-Vertragswelt“ zu geben, sie mit den Grundzügen der unterschiedlichen Vertragswerke im On Premise-Kontext und für Cloud-Services vertraut zu machen und einzelne, besonders wichtige rechtliche Bestimmungen zu erläutern. Angesprochen werden auch die Themen S/4 HANA Conversion und RISE with SAP, Cloud-Switching nach dem Data Act sowie der IT-Sicherheitsrecht (NIS-2-Richtlinie und neues BSIG).

Das Seminar ist schon weitgehend ausgebucht. Es findet voraussichtlich ein weiterer Termin im Frühjahr 2025 statt.

Cybersicherheit im Finanzsektor – Welche Auswirkungen hat DORA auf IT-Dienstleiser im Bankensektor? 

Rechtsgrundlage 

Mit DORA (Digital Operational Resilience Act, https://eur-lex.europa.eu/eli/reg/2022/2554/oj) verfolgt die Europäische Union das Ziel, ein einheitliches Regelwerk für den gesamten Finanzsektor in Bezug auf IKT-Risiken und Cybersicherheit zu schaffen. Damit soll der europäische Finanzmarkt vor technischen Risiken geschützt werden. Die DORA-Verordnung findet ab dem 17. Januar 2025 Anwendung. Sie ist in Bezug auf Cybersicherheit für die Finanzbranche lex spezialis und gilt damit vorrangig zur NIS2-Richtlinie. 

Zielgruppe 

DORA richtet sich in erster Linie an Finanzunternehmen und regelt die Anforderungen an das IKT-Risikomanagement. 

Darüber hinaus hat DORA auch erhebliche Auswirkungen auf den Teil der IT-Branche, der sogenannte IKT-Dienstleistungen für den Finanzsektor erbringt (IKT-Dienstleister). Hierbei wird weiter unterschieden zwischen Drittanbietern (IKT-Drittdienstleister) und gruppeninternen Dienstleistern (gruppeninterne IKT-Dienstleister) unterschieden. 

Darüber hinaus gibt es sogenannte kritische IKT-Drittdienstleister (Art. 31 DORA). Das sind Dienstleister, die von der ESA nach den Kriterien des Art. 31 Abs. 2 DORA als kritisch eingestuft wurden. Näheres regeln delegierte Rechtsakte. Kritische ITK-Drittdienstleister werden über ihre Einstufung informiert.  

IKT-Dienstleistungen 

Die Definition der betroffenen Dienstleistungen ist sehr weit gefasst. Diese umfassen „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“. 

Auswirkung auf IKT-Drittdienstleister 

Während sich der weit überwiegende Teil der Regelungen von DORA (wie schon bei der MaRisk) sich an die Finanzunternehmen richtet und diese in die Pflicht nimmt, setzt DORA auch für Dienstleister neue Maßstäbe. 

Dies geschieht zunächst indirekt im Kapitel V mit Regelungen, die Finanzunternehmen zum Management des IKT-Drittparteienrisikos zu beachten haben. Zu den Risiken zählen mögliche Abhängigkeiten aber auch Risiken aus vertraglichen Vereinbarungen. Es wird klargestellt, dass die Finanzunternehmen selbst in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen aus der DORA und dem anwendbaren Finanzdienstleistungsrecht verantwortlich sind. Hieraus leitet sich eine umfangreiche Steuerungs- und Überwachungspflicht ab. Diese besteht vor allem im Management der Risiken, sich aus der Einbindung Dritter ergeben.  

In der Folge sehen sich IKT-Drittdienstleister mit zusätzlichen vertraglichen Anforderungen konfrontiert. Diese ergeben sich insbesondere aus Art. 30 DORA, einem umfangreichen Katalog von zu regelnden Vertragsbestimmungen. 

Darüber hinaus fallen kritische IKT-Drittdienstleister künftig direkt unter den Aufsichtsrahmen von DORA (Kapitel V, Abschnitt II, Artikel 31 bis 44). Dies hat zur Folge, dass die Aufsichtsbehörde direkt auf die kritischen IKT-Drittdienstleister zugreifen kann (z.B. Auskunftsersuchen, Untersuchungen vor Ort). Bei nicht kritischen IKT-Dienstleistern kann dies nur auf Grundlage von vertraglich vereinbarten Pflichten zwischen dem IKT-Drittdienstleister und dem Finanzunternehmen erfolgen (z.B. Auditrechte). 

Anforderungen an Verträge 

Da also nur ein Teil der IKT-Dienstleister (die kritischen) der direkten Regulierung durch die Aufsicht unterliegt, kommt den vertraglichen Regelungen eine hohe Bedeutung zu. Dies ist an sich nicht neu, da bereits die MaRisk Vorgaben für die Vertragsbeziehungen bei Auslagerungen gemacht haben. Neu ist die Definition der erfassten IKT-Drittdienstleistungen sowie der Detailierungsgrad der erforderlichen Vertragsbestandteile sowie deren Manifestierung auf Gesetzesebene. 

Während Art. 30 DORA zwar vorgibt, welche Bereiche geregelt werden müssen, ist nicht für alle Regelungspunkte zwingend vorgeschrieben, wie sie zu regeln sind. Teilweise ergeben sich bestimmte Mindestanforderungen an die Regelungen allerdings auch aus anderen finanzaufsichtsrechtlichen Regelungen.  

Zudem ist Art. 30 DORA zweistufig aufgebaut, so dass es allgemeine Anforderungen für alle IKT-Dienstleistungen gibt und erhöhte Anforderungen für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen. Hierbei bezieht sich der Begriff kritisch nicht auf den Dienstleister selbst, sondern auf die Kritikalität der Dienstleistungen. 

Eine erste Folge dürfte sein, dass vertragliche Regelungen künftig deutlich umfangreicher sein müssen. Dies bezieht sich nicht nur auf die „typischen“ Vertragsklauseln, sondern auch auf die Spezifizierung von z.B. Leistungsinhalten, Leistungsorten, Verfügbarkeiten. Zudem wird dem Datenschutz eine besondere Stellung eingeräumt. 

Allgemeine Auswirkung auf die Leistungserbringung 

Die Übertragung von Aufgaben und Anforderungen an Dienstleister wird aber vor allem dazu führen, dass Dienstleister einen höheren Aufwand und damit zusätzliche Kosten haben werden. Um diese abzudecken, wird es notwendig sein, die Vertragsgestaltung eng mit der Preisgestaltung zu verknüpfen. 

Interview zu Cybersicherheit mit Stephan Schmidt in der NJW

Die Neue Juristische Wochenschrift (NJW), die wohl renommierteste deutsche Fachzeitschrift, hat die globale IT-Panne durch ein CrowdStrike-Update Mitte Juli zum Anlass genommen, um mit unserem Mainzer Partner Stephan Schmidt über das Thema Cybersicherheit und aktuelle Regulierungsvorhaben hierzu zu sprechen.

Das Interview ist in Heft 33/2024 erschienen und hier auch online verfügbar.

IT-Compliance: Neuauflage des juristischen Leitfadens von Trend Micro klärt aktuelle Fragen

Trend Micro, einer der weltweit führenden Anbieter für Cybersicherheitslösungen, stellt die Neuauflage seines juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmenvor. Dieser gibt einen Einblick in wichtige juristische Themengebiete, die für den Einsatz von IT und Internet in Unternehmen relevant sind. Der Leitfaden wurde im Zuge von NIS2 und DORA von TCI Partner Dr. Thomas Stögmüller überarbeitet. Hinzugekommen sind insbesondere Kapitel zu den Verantwortlichkeiten und Pflichten, die die neuen EU-Regularien mit sich bringen. Außerdem beantwortet der Ratgeber Fragen zur DSGVO-Compliance beim Einsatz von Cybersicherheitslösungen und zu den Sicherheitsanforderungen an Cloud-Dienste gemäß C5-Kriterienkatalog.

Seit dem 16. Januar 2023 sind die NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) in Kraft. Beide definieren Mindestanforderungen an die Cybersicherheit in Unternehmen. Während sich NIS2 an Unternehmen in 18 als wichtig oder besonders wichtig eigestuften Branchen richtet, adressiert DORA Finanzunternehmen und deren IKT-Dienstleister. Viele IT-Verantwortliche und Geschäftsführungen fragen sich jetzt, was sie tun müssen, um compliant zu sein. Die Neuauflage des juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmen stellt NIS2 und DORA ausführlich dar und veranschaulicht komplexe Sachverhalte anhand von Praxisbeispielen. Außerdem beantwortet der Ratgeber wichtige Fragen rund um Datenschutz und Datensouveränität beim Einsatz von Cloud-Lösungen.

„Wir freuen uns, dass wir auch für die neue Auflage des juristischen Leitfadens wieder Dr. Thomas Stögmüller als Autor gewinnen konnten, einen erfahrenen Rechtsanwalt und Fachanwalt für Informationstechnologierecht“, sagt Richard Werner, Security Advisor bei Trend Micro. „NIS2 und DORA werfen viele Fragen auf. Unser Leitfaden hilft Verantwortlichen dabei, mehr Sicherheit zu gewinnen und die richtigen Entscheidungen zu treffen – gerade auch im Hinblick auf Security-Lösungen aus der Cloud. Denn ohne Cloud-basierte Technologien wie XDR (Extended Detection & Response) und ASRM (Attack Surface Risk Management) ist es heute kaum noch möglich, die gesetzlich vorgegebenen Sicherheitsanforderungen zu erfüllen.“

Download des Leitfadens: https://resources.trendmicro.com/juristischerLeitfaden_Auflage8_Mai_2024.html?utm_source=pr&utm_medium=referral&utm_campaign=cm_corporate_lg_e_de_int_juristischer+leitfaden_2024

Das KI-Gesetz der EU tritt in Kraft – was Unternehmen nun beachten müssen

Die „Verordnung über Künstliche Intelligenz“ – kurz „KI-Gesetz“ – der Europäischen Union wurde am 13. Juni 2024 erlassen. Sie tritt 20 Tage nach der Veröffentlichung im Amtsblatt der EU in Kraft und die Vorschriften gelten – mit einigen wenigen Ausnahmen – nach einer Übergangsfrist von zwei Jahren.

Bedeutsam ist bereits die Definition der „KI-Systeme“, die durch das KI-Gesetz reguliert werden:

„KI-System“ bezeichnet „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.“

Das KI-Gesetz erfasst nicht nur Anbieter sondern auch Betreiber von KI-Systemen in der EU. „Betreiber“ sind u.a. Unternehmen, Behörden und Einrichtungen, die ein KI-System in eigener Verantwortung beruflich verwenden.

Das KI-Gesetz verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines Schadens für die Gesellschaft ist, desto strenger sind die Vorschriften.

– Das KI-Gesetz verbietet bestimmte KI-Praktiken bzw. KI-Systeme generell, etwa Systeme zur kognitiven Verhaltensmanipulation, Sozialkreditsysteme und KI-Systeme, die biometrische Daten nutzen, um auf die Rasse, Religion, politische Einstellung, Gewerkschaftszugehörigkeit oder sexuelle Ausrichtung einer Person zu schließen, da ihr Risiko als unannehmbar gilt.

Nicht verbotene KI-Systeme werden nach Risiken kategorisiert:

– Hochrisiko-KI-Systeme: Darunter fallen bspw. KI-Systeme, die beim Betrieb kritischer Infrastruktur, im Personalmanagement, zur Bonitätsbewertung oder von einem Gericht bei der Rechtsanwendung verwendet werden. Für diese müssen bestimmte Anforderungen eingehalten werden, wie etwa die Einrichtung eines Risikomanagementsystems. Trainings-, Validierungs- und Testdatensätze müssen bestimmten Qualitätskriterien entsprechen. Eine menschliche Aufsicht muss sichergestellt werden. Hochrisiko-KI-Systeme bedürfen einer Konformitätsbewertung und CE-Kennzeichnung und in bestimmten Fällen muss vor ihrer Inbetriebnahme eine Grundrechte-Folgenabschätzung erfolgen.

– KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck: Das KI-Gesetz regelt auch die Verwendung von KI-Systemen und KI-Modellen mit allgemeinem Verwendungszweck („general-purpose AI“ – GPAI), zu denen bekannte Large Language Modelle wie ChatGPT zählen. Anbieter von KI-Modellen mit allgemeinem Verwendungszweck müssen u.a. bestimmte Transparenzanforderungen erfüllen, das EU-Urheberrecht einhalten und eine Zusammenfassung der Trainingsdaten veröffentlichen. Für GPAI-Modelle mit systemischen Risiken gelten strengere Vorschriften.

– KI-Systeme mit begrenztem Risiko: Für diese bestehen je nach Verwendungszweck und Risiko Transparenzpflichten. Dies umfasst insbesondere eine Offenlegung, dass der Inhalt durch KI generiert wurde.

Die Geldbußen für Verstöße gegen das KI-Gesetz können bis zu 35 Millionen EUR oder – im Falle von Unternehmen – bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist.

Der Einsatz von KI-Systemen in Unternehmen hat in den letzten Monaten rapide zugenommen. Da das KI-Gesetz sowohl für Anbieter als auch für Betreiber von KI-Systemen gilt, sollten Unternehmen, die KI anbieten oder einsetzen, prüfen, ob sie sich rechtskonform verhalten und welchen Risiken sie ausgesetzt sind. Dies umfasst insbesondere:

– Kategorisierung des eingesetzten KI-Systems unter dem KI-Gesetz

– Je nach Kategorisierung Ermittlung und Einhaltung der Pflichten unter dem KI-Gesetz wie bspw. Transparenzanforderungen

– Einhaltung des Urheberrechts insbesondere in Bezug auf Trainingsdaten, den Input bzw. Prompt und den Output

– Einhaltung des Datenschutzrechts, wenn in KI-Systeme personenbezogene Daten eingegeben und durch diese verarbeitet werden

– Abschätzung der Haftungsrisiken beim Einsatz von KI-Systemen, etwa im Falle eines fehlerhaften Outputs, der durch das Unternehmen verwendet wird

– Prüfung der Vertragsbedingungen des Anbieters des KI-Systems

Online-Vortrag „NIS-2: Rechtliche Anforderungen und Managementverantwortlichkeiten“

Mit der NIS-2-Richtlinie der EU werden für große Teile der Wirtschaft gesetzliche Pflichten zur Erreichung eines hohen Cybersicherheitsniveaus normiert. In Deutschland sind davon schätzungsweise ca. 30.000 Unternehmen betroffen. Die Richtlinie ist bis zum 17. Oktober 2024 in deutsches Recht umzusetzen.

Dr. Thomas Stögmüller, LL.M. (Berkeley), Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner von TCI Rechtanwälte referiert hierzu online auf dem DiMitEx-ExpertDay „NIS-2 kommt!“ am 6. Juni 2024. In seinem Vortrag behandelt er u.a.:

– Wer ist von NIS-2 betroffen?

– Welche rechtlichen Anforderungen an die Cybersicherheit bringt NIS-2 mit sich?

– Was müssen Betreiber kritischer Anlagen besonders beachten?

– Welche Pflichten und Verantwortlichkeiten hat die Geschäftsleitung?
– Welche Sanktionen drohen bei Verstößen?

– Wie ist der Stand des Gesetzgebungsverfahrens in Deutschland?

Weitere Informationen und Anmeldung unter https://event.gotowebinar.com/event/c48fa5a1-63c0-46ae-b2a8-e27d950d04b0

TCI Partner Stephan Schmidt spricht auf 3. Cyber-Sicherheitskongress

Cybersicherheit ist Chefsache und Cybersicherheit gehört auf die Mainstage.

Am 18.04.24 um 10:30 Uhr wird der Mainzer TCI Partner Stephan Schmidt daher in Ingelheim beim 3. Cyber-Sicherheitskongress des BVMW Mainz -Bingen auf der Mainstage über „Neue Regelungen im Cybersicherheitsrecht – Neue Anforderungen an Unternehmen und Geschäftsführung“ sprechen.

Zudem gibt es im Rahmen eines Kamingesprächs Gelegenheit ihm und anderen Experten Fragen zur NIS-2 Richtlinie, dem geplanten aber verzögerten deutschen Umsetzungsgesetz (NIS2UmsuCG), weiteren europäischen Rechtsakten zur Cybersicherheit und allen aktuellen Fragen des IT-Sicherheitsrechts zu stellen.

Anmeldung sind über die Kongressseite möglich.

TCI Partner Schmidt von der WirtschaftsWoche als Legal All Star 2023 ausgezeichnet

Die WirtschaftsWoche hat erneut die Auszeichnung „Legal All Stars“ vergeben, bei der in jedem der 31 Rechtgebiete lediglich drei Anwältinnen oder Anwälte benannt werden. Im diesjährigen Ranking hat die WirtschaftsWoche unseren Mainzer Partner Stephan Schmidt als „Legal All Star 2023“ ausgezeichnet. In einem mehrstufigen Auswahlverfahren setzte er sich gegen die anderen Nominierten durch und erreichte den 1. Platz im Bereich IT-Recht.


Das Handelsblatt Research Institute (HRI) verschickte für die WirtschaftsWoche fast 26.000 Befragungen an Wirtschaftsanwält:innen. Die größte Gruppe stellen Anwält:innen für Gesellschafts- und Arbeitsrecht mit je mehr als 5600 Teilnehmenden, die kleinste Medizinrecht mit 511 Jurist:innen aus 333 Kanzleien. In die Riege der Legal All Stars schafften es insgesamt 92 Anwält:innen aus 63 Kanzleien. Zunächst wurden die Anwält:innen nach den renommiertesten Konkurrenten in ihrem Gebiet befragt, dann stimmte eine Jury aus Unternehmensjurist:innen, Professor:innen, Prozessfinanzierer:innen und Berater:innen ab, gewichtete und ergänzte.

Das komplette Ranking findet sich in Ausgabe 13 der Wirtschaftswoche vom 22.03.2024 und hier online.