Anwalt für IoT-Recht

IoT-Recht

Vernetzte Produkte rechtssicher denken

Wir begleiten Entwicklung, Implementierung und Betrieb vernetzter Produkte – praxisnah, nachvollziehbar, belastbar.

Erstgespräch vereinbaren

Herausforderungen

Typische Stolperfallen
im IoT-Recht

  1. Datenschutz & Datenflüsse
    IoT ist datengetrieben – Zwecke, Rechtsgrundlagen, Transparenz und Minimierung müssen je Use Case klar sein.
  2. Lizenzen & Open Source
    Eingesetzte Komponenten/Protokolle unterliegen Bedingungen, die einzuhalten sind – sonst drohen Nutzungshürden.
  3. Verträge über alle Komponenten
    Hardware, Embedded-Software, App und Cloud müssen rechtlich zusammenpassen – sonst entstehen Lücken und Widersprüche.
  4. Haftung & Updatepflichten
    Verantwortlichkeiten bei Fehlern, Sicherheitslücken und verspäteten Updates müssen eindeutig festgelegt werden.
  5. Regulierung & Datenzugang
    Data Act, Cyber Resilience Act & Co. setzen zusätzliche Anforderungen an Sicherheit, Zugriff und Governance.

Relevanz

Wem wir helfen und warum

Für Daten-Verantwortliche, Inhouse-Jurist:innen und Unternehmen mit IoT-Projekten: Wir gestalten Datennutzung, Lizenzen und Verträge so, dass vernetzte Produkte wirkliche Wirkung entfalten – rechtssicher und praxistauglich.

Head of Engineering

Wir ordnen Rollen, Pflichten und Updateprozesse – verständlich formuliert.

Head of Engineering

Wir integrieren Hardware, Firmware, App und Cloud – uns fehlen klare Compliance-Vorgaben.

Inhouse-JuristInnen

Wir helfen Ihnen, Synergien zu erkennen und zu nutzen.

Inhouse-JuristInnen

Wir müssen Datenschutz, Data Act und IT-Sicherheitsanforderungen zusammenbringen.

IoT-Anbieter

Wir definieren Datenzugang, Nutzungsrechte und Sharing-Regeln, die skalieren.

IoT-Anbieter

Wir teilen Daten mit Partnern – Verträge, Lizenzen und Zugriffsrechte müssen wasserdicht sein.

Gerätehersteller

Wir übersetzen Regulierung in klare Anforderungen und dokumentieren sie prüffest.

Gerätehersteller

Wir wollen vernetzen – sind aber unsicher bei Sicherheitsanforderungen und Updatepflichten.

So beraten wir Sie

Klarheit statt Risiko: Vernetzte Geräte rechtssicher betreiben

Unser Beratungsangebot im IoT-Recht:

  1. Datenschutzkonforme IoT-Entwicklung & -Nutzung – Zwecke, Rechtsgrundlagen und Datenströme
  2. Lizenz- & Komponentenstrategie – Auswahl/Nutzung standardisierter Soft-/Hardware inkl. Open-Source-Vorgaben
  3. Datenzugang, Datenteilung & Pooling – Vertrags- und Governance-Regeln (inkl. wettbewerbsrechtlicher Aspekte)
  4. IoT-Verträge über alle Ebenen – Hardware, Embedded-Software, App und Cloud konsistent gestalten
  5. Haftung & Updatepflichten – Verantwortlichkeiten, Sicherheits-Updates, Reaktions- und Informationspflichten
  6. IT-Sicherheitsrecht für IoT – Anforderungen und Prozesse, u. a. im Kontext offener Komponenten
  7. Regulatorische Einordnung – Berücksichtigung von Data Act, Cyber Resilience Act & Co.
  8. Monetarisierungsmodelle für Daten – rechtliche Leitplanken für Nutzung und Wertschöpfung
  9. Kooperationen & Partnerökosysteme – Daten- und Lizenzbeziehungen vertraglich absichern
  10. Projektbegleitende Verhandlung & Streitbeilegung – bei Mängeln, Verzögerungen oder Konflikten mit Dienstleistern

Ihr Ergebnis

Klare Maßnahmen, sichere 
Verträge, handfeste Lösungen

Sie bringen IoT-Produkte marktreif

Wir ordnen Verträge, Datenflüsse und Pflichten schlank und verständlich.

Ihre Komponenten greifen rechtlich ineinander

Wir verzahnen Hardware, Firmware, App und Cloud in konsistenten Klauseln.

Ihre Update- und Sicherheitsprozesse sind klar

Wir legen Verantwortlichkeiten, Fristen und Informationswege fest.

Sie nutzen Daten ohne Grauzonen

Wir bestimmen Zwecke, Zugriffe und Rechte – nachvollziehbar dokumentiert.

Ihre Partnerbeziehungen skalieren

Wir definieren Sharing-, Lizenz- und Zugriffsregeln, die Wachstum tragen.

Sie bestehen Anforderungen aus Data Act, CRA & Co.

Wir übersetzen Vorgaben in handhabbare Maßnahmen und Nachweise.

Erstgespräch kostenlos

In 30 Minuten zu Klarheit und Plan bei IoT.

Erstgespräch vereinbaren

Sie erklären uns, was Sie brauchen – wir sagen Ihnen klar, was möglich ist.

Simone Rosenthal
Rechtsanwältin, Partnerin | Berlin

Intro

Bei uns gilt: sicher, radikal, digital

SRD ist die Boutique-Kanzlei für digitale Projekte – vom Kick-off bis zum Go-Live. Wir vereinbaren technische Innovationen mit Compliance. Und schaffen dafür radikal klare rechtliche Spielräume.

Unsere Auszeichnungen

Unsere Auszeichnungen

Unsere Marktlösungen

Unsere Marktlösungen

Sprechen Sie uns an

Ihre Experten und Expertinnen für
IoT-Recht

Simone Rosenthal

Rechtsanwältin, Partnerin Berlin

Roman von der Heide

Rechtsanwalt, Associated Partner, Fachanwalt für Informationstechnologierecht Berlin

Philipp Müller-Peltzer

Rechtsanwalt, Partner Berlin

Kontakt

Starten, während die anderen warten

Kein Standby, kein Stillstand – Sie launchen rechtssicher

SRD ins Projekt holen

FAQs

Häufige Fragen zum Datenschutz

Sie erklären uns Ihre Herausforderungen und wir sagen Ihnen, ob und wie wir unterstützen können, wie lange das voraussichtlich dauert und welche Kosten dafür in etwa anfallen würden.

  • Rechtsgrundlage zuerst: Jede Verarbeitung personenbezogener Daten (Training, Inputs, Ausgaben) braucht eine tragfähige Rechtsgrundlage (Art. 6 DSGVO); für besondere Kategorien gelten Art. 9-Voraussetzungen.

  • Zweckbindung & Zweckänderung: Bestandsdaten nicht „einfach so“ fürs KI-Training verwenden. Vor einer Zweckänderung ist eine Kompatibilitätsprüfung nach Art. 6 Abs. 4 durchzuführen; Betroffene sind zu informieren (Art. 13/14).

  • Datenminimierung: Nur so viel personenbezogene Daten wie nötig; wo möglich anonymisierte/synthetische Daten einsetzen – ohne die Modellqualität zu gefährden.

  • Schatten-KI stoppen: Interne KI-Nutzungsrichtlinie, zugelassene Tools benennen, klare Vorgaben für Datenarten und Freigaben; Need-to-know-Zugriffe sicherstellen.

  • DSFA früh verankern: Bei risikobehafteten KI-Anwendungen DSFA vor Beginn der Verarbeitung durchführen; Orientierung geben DSGVO-Tatbestände und die DSK-Positivliste (KI zur Interaktion/Profilbewertung).

  • AI-Governance: AIMS/Policies in bestehende DSMS/ISMS integrieren; Risikoklassifizierung nach AI Act (Rollen: Anbieter/Betreiber) und Dokumentation aller KI-Assets/Use-Cases.

In Deutschland ist ein/e DSB zu benennen, wenn mindestens 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Unabhängig von der Personenzahl besteht eine Pflicht, wenn die Kerntätigkeit in umfangreicher Überwachung, in der umfangreichen Verarbeitung besonderer Kategorien (Art. 9 DSGVO) liegt oder wenn eine DSFA erforderlich ist. Ein/e externe/r DSB ist oft die pragmatische Lösung für KMU.

  • Sofort handeln: Vorfall sichern, Fakten klären, Kategorien und Umfang der Daten bewerten (Risikoeinschätzung).

  • 72-Stunden-Frist: Besteht ein Risiko für Betroffene, Meldung an die Aufsichtsbehörde binnen 72 Stunden (Art. 33).

  • Benachrichtigung Betroffener: Bei hohem Risiko unverzüglich informieren (Art. 34), inkl. Art des Vorfalls, Folgen, Maßnahmen.

  • Dokumentation: Jeden Vorfall intern protokollieren – auch wenn nicht meldepflichtig.

  • Abhilfe & Prävention: Sofortmaßnahmen (z. B. Passwortrücksetzung, Sperrungen, Patches), Ursachenanalyse, TOMs nachschärfen, Team schulen, Notfall-Playbook testen.

Eine DSFA ist eine strukturierte Risikoanalyse nach Art. 35 DSGVO für Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen mit sich bringen (z. B. der Einsatz neuer Technologien, umfangreiche Profile, Scoring). Sie beschreibt die geplante Verarbeitung, prüft Notwendigkeit & Verhältnismäßigkeit, bewertet Risiken für Betroffene und definiert Abhilfemaßnahmen (technisch & organisatorisch). Ziel: Risiken vorab erkennen und auf ein akzeptables Maß senken – dokumentiert und prüffest.

Ein Datenschutzaudit ist eine unabhängige Prüfung Ihrer Prozesse, Systeme und Dokumentation auf DSGVO-Konformität. Geprüft werden u. a. Verzeichnis von Verarbeitungstätigkeiten, Rechtsgrundlagen, TOMs (Art. 32), Auftragsverarbeitung, Lösch- & Aufbewahrungskonzept, Betroffenenrechte und Website/Tracking-Setup. Ergebnis: ein Befundbericht mit Prioritätenplan (Quick Wins, Maßnahmen, Roadmap) – nützlich für Management, Zertifizierungen oder Due Diligence.