Kölner Tage IT-Recht 2026

• Data Act: Cloud-Switching im Vertrag

• Einsatz von KI-Systemen, GenAI und Agentic AI

• Recht und Haftung bei KI: Urheberrecht, DSGVO und Verantwortlichkeiten

• Compliance-with-law-Klauseln

• Anforderungen der IT-Sicherheit (E-Mail-Sicherheit, NIS2 und ISMS)

• Koelner_Tage_IT_Recht.pdf

Donnerstag, 12.03.2026
9.15 Uhr
Begrüßung und Eröffnung

9.30 Uhr
Data Act – Anwendbarkeit der Cloud-Switching-Regelungen
Carsten Gerlach

• „Datenverarbeitungsdienste“ nach dem Data Act

• Insbesondere: Anwendbarkeit auf SaaS-Dienste

• Anwendbarkeit auf Bestandsverträge

10.15 Uhr
Diskussion

10.30 Uhr
Cloud-Hopping leicht gemacht? – Was leisten die EU Standardvertragsklauseln für den Wechsel zwischen Cloud-Anbietern?
Dr. Andreas Sattler

• Hintergrund der Regelungen zum Anbieterwechsel im Data Act

• Zwingende Vorgaben des Data Acts

• Ausnahmen des Data Acts

• EU Standardvertragsklauseln: Was ist gelungen – was nicht?

11.15 Uhr
Diskussion

11.30 Uhr
Kaffeepause

12.00 Uhr
KI und Urheberrecht
Prof. Dr. Malte Grützmacher

• Kommt es beim Training und der Nutzung von KI-Systemen zu Urheberrechtsverletzungen?

• Rechtlicher Rahmen: die TDM-Schranken der §§ 44a, 60d, 69d Abs. 4 UrhG sowie Art. 53 Abs. 1 KI-VO

• Überblick über die aktuelle Rechtsprechung

• Beurteilung von Trainingsmaterialien und Training, Input und Output

• Dreistufentest und Grundrechte

12.45 Uhr
Diskussion

13.00 Uhr
Mittagessen

14.00 Uhr
KI und Datenschutzrecht – Anwendungsfälle, Spielräume und Grenzen
Dr. Kai-Uwe Plath

• Datenschutz beim Training der KI

• Personenbezug von LLMs

• Rollen und Verantwortlichkeiten aus datenschutzrechtlicher Sicht

• Verwendung personenbezogener Daten in Prompts

• Generierung personenbezogener Daten beim Output der KI

14.45 Uhr
Diskussion

15.00 Uhr
Hilfe oder Last durch GenAI: Prüfpflichten, Haftung und Risikominimierung
Dr. Kristina Schreiber

• Einbindung von GenAI: technisch-organisatorische Sicherungsmaßnahmen

• Input- und Output-Kontrolle zwischen DSGVO, BRAO, GeschGehG, KI-VO und NDAs

• Gewährleistung und Vertragsgestaltung: Risikominimierung durch Vertragsgestaltung

• Haftungsrisiken zwischen Produkthaftung und Organisationsverschulden

• Von der Pflicht zum perfekten KI-Ergebnis bis zur entschuldeten KI-Halluzination

15.45 Uhr
Diskussion

16.00 Uhr
Kaffeepause

16.30 Uhr
Agentic AI – eine 360-Grad-Perspektive
Dr. Thomas Sassenberg

• Anwendungsfälle von Agentic AI

• Rechtliche Risiken und Fragen der Haftung

• Auswirkungen auf die Governance

• Folgen für die Vertragsgestaltung

17.00 Uhr
Diskussion

17.15 Uhr
„Ich verpflichte mich, mich an alle Gesetze zu halten“ – Best Practices bei Compliance-with-laws-Klauseln
Dr. Sven Hunzinger

• Einordnung und Zwecke der Klauseln

• Umfang der einzuhaltenden Gesetze

• AGB-rechtliche Grenzen

• Rechtsfolgen bei Nichteinhaltung

18.00 Uhr
Diskussion

18.15 Uhr
Ausklang des ersten Tages beim Kölschen Buffet

Freitag, 13.03.2026

9.00 Uhr
E-Mail-Sicherheit und Rechtspflicht zur Verschlüsselung
Dr. Bernhard Freund/Fabian Unucka

• Technischer Hintergrund: Transportverschlüsselung versus

• Ende-zu-Ende-Verschlüsselung

• Risikoanalyse nach aktuellem Stand

• Rechtsprechung zur E-Mail-Verschlüsselung

• Reichweite von Sicherungspflichten aus DSGVO und BGB

10.00 Uhr Diskussion

10.15 Uhr
NIS2: Regulierung als Chance oder Bürokratiemonster?
Dr. Judith Nink

• NIS2 im europäischen Regulierungskontext

• NIS2:
  Warum ist NIS2 notwendig?
  Was ist zu tun?
  Wie setzen Unternehmen um?

• Rolle des BSI: zwischen Kooperation und Aufsicht

11.00 Uhr
Diskussion

11.15 Uhr
Kaffeepause und Imbiss

11.45 Uhr
Das lausige launige Lagebild der IT-Sicherheit – Hackinggeschichten, die das Leben schreibt, durch die Brille der IT-Forensik
Martin Wundram

• Gauner, Cyber-Piraten, Agenten, Kollegen – wer gefährdet wirklich unsere IT?

• Blick hinter die Kulissen – was lauert unter der Spitze des Eisbergs?

• Mini-Live-Hacking: „How to become a Hacker in 5 Minutes“

• fITness-Training: Kontrolle behalten, kritische Handgriffe trainieren und sicher zurück in den Normalbetrieb

12.30 Uhr
Diskussion

12.45 Uhr
Vom Gesetzestext zum gelebten ISMS
Diana Musenbrock

• Erfolgsfaktoren für IT-Compliance-Audits nach NIS2, CER und Co.

• Erwartungen der Aufsichtsbehörden oder notifizierenden Stellen

• Praxisnahe Umsetzung anhand bewährter Standards (Fokus ISO 27001)
  - Schnittstelle Compliance – Managementsysteme – IT-Security

• Konkrete Umsetzungsbeispiele

13.15 Uhr
Diskussion

13.30 Uhr
Ende der Tagung

Die Kölner Tage IT-Recht vermitteln auch in diesem Jahr einen komprimierten Überblick zu wesentlichen aktuellen Themen im Bereich Data Act, KI, Compliance und IT-Sicherheit.

Ein viele Anbieter und Kunden betreffendes Element des Data Act, das Cloud Switching, wird hinsichtlich der Anwendbarkeit auf SaaS-Dienste und Bestandsverträge sowie im Rahmen der EUStandardvertragsklauseln beleuchtet, da hierzu weiterhin zahlreiche praktische Fragen bestehen.

Die enorm gewachsene Bedeutung der Nutzung von KI spiegelt sich im entsprechenden Themenschwerpunkt wider. Dort werden das Urheberrecht, das Datenschutzrecht, die Gewährleistung und Haftung bei der Nutzung von KI sowie KI-Agenten besonders in den Fokus genommen. Teilnehmer erhalten hiermit eine Grundlage für die Nutzung von KI im eigenen Unternehmen, aber auch für den Einkauf von KI-Leistungen.

Im Rahmen des weiteren Schwerpunktes zum Thema Compliance werden Klauseln zivilrechtlich geprüft, mit denen sich Anbieter verpflichten, sich an alle Gesetze zu halten. Anschließend wird diskutiert, ob sich aus dem Gesetz Pflichten zur Ende-zu-Ende-Verschlüsselung bei E-Mails ergeben, welche Regulierung sich aus der NIS2-Richtlinie ergibt, welche Lehren aus praktischen Fällen der Forensik bei Hacking-Fällen gezogen werden können und wie ein Unternehmen von der theoretischen Compliance-Pflicht bei der IT-Sicherheit zu einem gelebten Managementsystem kommt.