Der Report des früheren EZB-Präsidenten Mario Draghi prangerte Ende 2024 an, was Unternehmen in Deutschland und Europa schon länger beklagen: Das wachsende Dickicht der Digitalregulierung bremse Innovationen aus, weshalb die europäische Wettbewerbsfähigkeit leide. Umso gefragter waren erneut strategische Berater wie CMS Hasche Sigle, Freshfields oder Osborne Clarke, die in den neuen EU-Datengesetzen oder dem AI Act nicht nur Risiken für Bußgelder sehen, sondern auch wissen, wie sich Wachstumschancen nutzen lassen. Landauf, landab waren die IT- und Datenrechtler im Einsatz, um für ihre Mandanten Licht in den Regulierungsdschungel in und außerhalb der EU zu bringen und Lösungswege aufzuzeigen. Viele Praxen verbuchten ein zweistelliges Umsatzwachstum.
Großen Anteil an dieser Entwicklung hat, dass künstliche Intelligenz (KI) inzwischen zum Alltag der Unternehmen gehört: im Büro mit generativer KI wie ChatGPT oder Copilot, in KI-Agenten, die logistische Abläufe autonom steuern, in der Produktion oder in vernetzten Produkten – vom Robo-Auto bis zum schlauen Melkroboter. Wenn es darum geht, eine unternehmensweite KI-Governance zu entwickeln, punkten Kanzleien mit einer Beratung aus einer Hand, wie Noerr für große Unternehmen oder im Mittelstand zuletzt häufiger FPS und Heuking.
KI-Regulierung nimmt Form an
Nicht nur die EU setzt der KI Grenzen, auch in China sind spezifische Vorschriften in Kraft, entsprechende Pläne gibt es etwa auch in Kanada oder Südkorea. Für weltweite Produkt-Roll-outs setzen Mandanten typischerweise auf Kanzleien mit globaler Aufstellung wie Baker McKenzie, DLA Piper, Hogan Lovells und Greenberg Traurig. Doch nationale Wettbewerber wie Gleiss Lutz mit einem funktionierenden weltweiten Netzwerk und engagierten Partnern an Desks in Übersee und Asien überlassen ihnen das Feld nicht allein, wenn es darum geht, für europäische Mandanten globale KI-Regeln zu durchleuchten.
Hierzulande geht die Digitalisierung der Verwaltung weiterhin schleppend voran. Doch einzelne Ministerien und Behörden wollen mit Blick auf KI nicht ins Hintertreffen geraten. Dafür setzen sie beispielsweise KI-Reallabore auf. Kanzleien wie CSW Rechtsanwälte, die um die Besonderheiten der öffentlichen Hand wissen und zugleich durch hohe Kompetenz im Datenschutz hervorstechen, können bei solchen Digitalisierungsprojekten ebenso punkten wie etwa GvW Graf von Westphalen, Luther, Redeker Sellner Dahs und SKW Schwarz, die ihre Erfahrung aus komplexen Software- und Cloudprojekten kombinieren mit einer starken Praxis im Vergaberecht.
Neues Datenrecht, neues Skillset
Ob Behörde, Old Economy oder Start-up: Entwicklung und Einsatz von KI-Modellen und -Systemen sind untrennbar verbunden mit Fragen zum neuen Datenrecht, dessen Fokus sich im Vergleich zur DSGVO erweitert hat. Es geht darum, Risiken durch Datenschutzverstöße zu vermeiden, aber zugleich mittels KI mehr aus den Daten vernetzter IoT-Geräte zu machen und Geschäftschancen der Datenökonomie zu nutzen. Vor diesem Hintergrund sind Kanzleien wie Taylor Wessing oder die Datenschutzboutique Baumgartner Baumann nun häufiger in Mandaten an der Schnittstelle KI und Datenrecht aktiv, unter anderem zu KI-Agenten. Und Latham & Watkins als eine der Vorreiterpraxen für DSGVO-Beratung hat sich mit einem Neuzugang verstärkt, der Kompetenz an der Schnittstelle Datenrecht und KI im Gesundheitssektor mitbringt. Neben tiefem Wissen für die Monetarisierung von Daten und die Nutzung von Data Lakes, um KI-Modelle zu trainieren, ist immer mehr technisches Know-how gefragt. So kann die Implementierung von Governance-Strukturen gemäß AI Act und Data Act eine andere Produktgestaltung erfordern – mit neuen Prozessen, Abläufen und entsprechenden Umstrukturierungen.
Dafür müssen die Anwälte tief in technologische Strukturen eintauchen. Tech-Boutiquen wie Schürmann Rosenthal Dreyer und die vor rund zwei Jahren gegründete Kanzlei Aitava haben diesen Bedarf erkannt. Etabliert für Fragen der Datenökonomie ist zudem die IT- und Datenrechtspraxis von Ashurst, die für die Autoindustrie Pionierarbeit bei standardisierten Datenaustauschverträgen im Datenraum Catena-X leistete und das Projekt zuletzt nach China begleitete. Bei geschäftskritischen Fragen etwa von Cloudanbietern zu den neuen Switching-Vorgaben nach Data Act zählt beispielsweise Bird & Bird zu den Go-to-Kanzleien.
Cybersecurity bleibt Großbaustelle
Ein Wachstumsmarkt für IT- und Datenrechtspraxen bleibt die IT-Sicherheit. Gefragt für die Abwehr von Massenklagen infolge von Hackerangriffen oder Data Breaches sind Spezialisten mit Tech-Angeboten wie Fieldfisher, oft auch global eingespielte Teams wie bei Eversheds Sutherland, Jones Day, Norton Rose Fulbright sowie White & Case. Praxen mit sektorspezifischem Wissen in Branchen der kritischen Infrastruktur wie Clifford Chance und Oppenhoff & Partner waren beispielsweise im Einsatz, um Banken, Versicherungen oder Dienstleister für DORA fit zu machen, den seit diesem Jahr geltenden Cybersecurity-Anforderungen für die Finanzindustrie. Dabei gewinnt in großen Projekten mit mehreren tausend IT-Verträgen die technologiegestützte und skalierbare Beratung immer mehr an Bedeutung. Fragen zur Cybersecurity dürften weiterhin für Auslastung bei den IT- und Datenrechtlern sorgen: Die Vorbereitungen für die Anforderungen der NIS2-Richtlinie laufen, auch wenn Deutschland mit dem nationalen Umsetzungsgesetz hinterherhinkt. Zudem wirft der ab 2027 geltende EU-Cyber Resilience Act seine Schatten voraus.
