Cologne
+49 221 20 52-436 +49 221 20 52-1 l.keppeler@heuking.de
Languages
German,
English,
Spanish
Practice groups/Expertise
Consulting focuses
- Data Protection Law
- Open Source Projects
- Information Technology (IT)
- Internet Law
- IT-Outsourcing Tech-driven transactions
- Telecommunications Law
- Unfair Competition Law
- Media Law
- Cyber Security
- Automotive
- Artificial Intelligence
Vita
- Lecturer for Data Protection Law at TH Köln
- Certified Specialist Lawyer in Information Technology Law
- Admitted to the bar since 2013
- Education and former activities
- Certification: ISO/IEC 27001 Foundation and Security Officer
- Specialist lawyer training course in IT Law 2016
- Clifford Chance, Düsseldorf, lawyer 2013 - 2014
- Freshfields Bruckhaus Deringer, research assistant 2013
- University Cologne, PhD 2012
- Heuking Kühn Lüer Wojtek, Cologne, research assistant 2011-2012
- Higher Regional Court Cologne, legal clerkship 2011-2013
- Institute for modern history of Civil Law, University Cologne, research assistant 2009-2011
- Linklaters, research assistant 2009
- "Klausurenkurs" University Cologne, research assistant 2008
- Universidad de La Coruña 2005
- University Cologne 2002-2008
Affiliations
- International Bar Association (IBA)
- German Association of Law and Informatics
- Member of the European Legal Network of FSFE/FTF
- Fellow der European Free Software Foundation (FSFE)
- Member of the Cloud Security working group at TeleTrust e. V.
- Board member of the EDP and Law Working Group e. V.
Dr. Lutz Martin Keppeler's Distinctions
JUVE Ranking Wirtschaftskanzleien 2025/2026
Legal 500 Deutschland 2025
Handelsblatt: Deutschlands beste Anwälte 2025
Best Lawyers 2026
JUVE Handbuch Wirtschaftskanzleien 2024/2025
Leaders League 2024
Handelsblatt: Deutschlands Beste Anwälte 2024
Best Lawyers 2025
Legal 500 EMEA 2024
Legal 500 Germany 2024
JUVE Handbuch Wirtschaftskanzleien 2023/2024
Legal 500 Germany 2023
Latest news
Videos
Publications
2025
Aktuelle Rechtsfragen zur Anwendung des Digital Operational Resilience Act
Cyber Security Quarterly, Issue 2/2025, June 26, 2025,
together with
Markus Lennartz
Brussels Court of Appeal confirms ECJ line regarding IAB TCF 2.0: TC strings are person-related, IAB partly jointly responsible
Update Data Protection No. 213, June 25, 2025,
together with
Jutta Schumann
Kommentierung von Art. 27-30
Cyber Resilience Act: CRA (Ed.: Heckmann / Paschke), Beck Verlag, „Gelbe Reihe”,1st edition 2025,
together with
Manuel Poncza
EU: What DPA enforcement decisions can tell us about DPO appointment
OneTrust DataGuidance, May 2025,
together with
Georg Thomas, LL.M. (University of Glasgow)
Cyberversicherung: Die Krönung der IT-Sicherheitsmaßnahmen
IT-Business – Das Magazin für den IT-Markt, Issue 8/2025, pp. 16,
together with
Manuel Poncza
2024
Definition von KI in der KI-VO: Abgrenzung zu herkömmlicher Software in der Praxis
ITRB 2024, pp. 320-324,
together with
Georg Thomas, LL.M. (University of Glasgow)
European Commission publishes FAQ on the Data Act
Update Data Protection No. 187, October 17, 2024
Bundesregierung erlässt Einwilligungsverwaltungsverordnung – (K)ein Ende der Cookie-Banner?
Update Data Protection No. 184, September 20, 2024
Der „Dateninhaber“ im Data Act - faktische Datenherrschaft als Ausweg aus der Definitionsmisere des Art. 2 Nr. 13 DA
ITRB 2024, pp. 180-184
TC-String ist ein personenbezogenes Datum
MMR 2024, pp. 390-397
Was der "AI Act" für den Finanzsektor und Vermittler bedeutet
FONDS professionell Online, June 3, 2024
EuGH: TC-String ist ein personenbezogenes Datum
MMR Zeitschrift für IT-Recht und Recht der Digitalisierung, 5/2024, pp. 390
European Commission violates GDPR – reviving the debate on the use of Microsoft 365?
Update Datenschutz No. 176, April 25, 2024
Kommentierung von Art 2, 7-9, 29 und 30
Paschke/Rücker (Hrsg.), Data Governance Act: DGA, Beck-Verlag „Gelbe Reihe“, 1st edition 2024
Branchenstandards für Datenschutz-Compliance in der Onlinewerbewirtschaft
ITRB 2024, pp. 71-75
Attention online marketers: New ECJ ruling on the IAB TCF
Data Protection Update No. 174, March 20, 2024
Lockert der EuGH durch sein FIN-Urteil den strengen „Personenbezug“? Eine kritische Analyse der EuGH-Rechtsprechung anlässlich EuGH, Urt. v. 9.1.2023 – C-319/22
CR 2024, p. 18-22,
together with Dr. Lutz Martin Keppeler, Manuel Poncza, Annika Wölke
2023
Online-Plattformen i.S.d. DSA
ITRB 2023, pp. 317-320
Cyber Resilience Act (CRA), MaRisk und BAIT: Jetzt wird es für Banken richtig ungemütlich
IT Finanzmagazin, December 5, 2023,
together with
Manuel Poncza
Neues vom EuGH zum „Personenbezug“
Data Protection Update No. 157, November 20, 2023,
together with
Manuel Poncza
Lockert der EuGH durch sein FIN-Urteil den strengen „Personenbezug“? - Eine kritische Analyse der EuGH-Rechtsprechung anlässlich EuGH, Urt. v. 9.11.2023 - C-319/22
CR 2023, 798,
by Dr. Lutz Martin Keppeler, Manuel Poncza, Annika Wölke
OLG Karlsruhe: Hacker manipuliert E-Mail-Rechnung – Muss ein zweites Mal gezahlt werden?
Update Data Protection No. 156, November 2, 2023,
together with
Manuel Poncza
Deadline October 1, 2023 - The implementation period for the IAB TCF 2.2 expires
Update Data Protection No. 155
Vorgaben des DSA für Online-Marketing vor dem Hintergrund der DSGVO
ITRB 2023, pp. 243-246
IT-Sicherheit nach den „berechtigten Sicherheitserwartungen des Verkehrs“ - Anforderungen an die Absicherung geschäftlichen E-Mail-Verkehrs nach OLG Karlsruhe, Urt. v. 27.7.2023 - 19 U 83/22
CR 2023, 787-792,
together with
Manuel Poncza
Die Open-Source-Bereichsausnahme im Entwurf des Cyber-Resilience-Act
Zeitschrift für Product Compliance (ZfPC) 2023, pp. 117-123,
together with
Markus Lennartz
, Manuel Poncza
EuGH: Kein Schadenersatz ohne Schaden!
Update Data Protection No. 141,
together with
Michael Kuska, LL.M., LL.M.
Online Marketing pursuant to the Digital Services Act
Update Data Protection No. 135
Belgian Data Protection Authority Approves Action Plan of IAB Europe with respect to TCF 2.0 – Decision by the Court of Justice of the European Union still Pending
Update Data Protection No. 131
ICLG Telecommunications, Media & Internet 2023
Germany: Telecoms, Media and Internet Laws and Regulations 2023
2022
Kapitel „IAB TCF“ und „§ 13 TTDSG“ in Schwartmann/Benedikt/Reif (Hrsg.)
Handbook on Data Protection on the Internet, 1st edition 2022 (forthcoming)
Kommentierung von §§ 8, 13 und 20 (§ 20 gemeinsam mit Schwartmann/Burkhard) in Schwartmann/Jaspers/Eckhardt (Hrsg.) TTDSG
Telecommunications Telemedia Data Protection Act, 1st edition 2022
Kommentierung von §§ 21-14 in Riechert/Wilmer (Hrsg.) TTDSG
Telecommunications Telemedia Data Protection Act, 1st edition 2022
Belgische Datenschutzaufsichtsbehörde entscheidet: TCF 2.0 – Weite Teile des programmatischen Online-Marketings – rechtswidrig!
Update Data Protection No. 109,
together with
Michael Kuska, LL.M., LL.M.
New requirements for cookies under the TTDSG – German Data Protection Authorities publish Guidance for Telemedia Providers
Update Data Protection No. 108,
together with
Michael Kuska, LL.M., LL.M.
2021
Red Warning Level – The Log4Shell Vulnerability
Update Data Protection No. 107,
together with
Manuel Poncza
Cyber-Versicherungen: Auf die Details kommt es an
Tagesspiegel Background, December 16, 2021
ICLG Telecommunications, Media & Internet 2022
Germany: Telecoms, Media and Internet Laws and Regulations 2022
Kommentierung von § 4a, 4b, 5b, 7a, 7b,7c, 9b BSIG, § 11 EnWG und § 109 TKG in Ritter (Hrsg.)
Die Weiterentwicklung des IT-Sicherheitsgesetzes, 2021
Corona-Virus und Impfung: FAQ Arbeitsrecht
Update Employment Law September 2021,
together with
Kerstin Deiters, LL.M., EMBA
, Astrid Reich
, Torsten Groß, LL.M. (University of Westminster)
, Regina Glaser, LL.M. (Suffolk University Boston)
, Anna Schenke
, Laura-Felicia Bokranz, LL.M. (University of Cape Town)
The German Federal Network Agency activates “Lex Huawei”
Cross-State Review of Websites and Use of Cookies by German Supervisory Authorities
Update Data Protection No. 102,
together with
Michael Kuska, LL.M., LL.M.
Draft European Regulation on the Supervision of Artificial Intelligence
Update Data Protection No. 94
Die Auswirkungen des Schrems-II-Urteils in der Praxis
Legal-Tech.de, March, 2, 2021
Cyberversicherungen
Aktueller Stand und Potenzial einer dynamischen Entwicklung, <kes> 1/2021
ICLG Telecommunications, Media & Internet 2021
Germany: Telecoms, Media and Internet Laws and Regulations 2021
2020
Kommentierung der Art 16, Art. 17, Art. 18-19, Art. 25, Art. 77 und Art. 80-82
in Schwartmann/Jaspers/Thüsing/Kugelmann Heidelberger Kommentar DS-GVO/BDSG, 2. Auflage August 2020
Cyberversicherungen
in: Wollinger / Schulze (Hrsg.) Handbuch Cybersecurity für die öffentliche Verwaltung, 2020
Lösung für das Cookie-Chaos? - GeplanteNeuregelung des Datenschutzes im Bereich der Telemedien und Telekommunikation
Update Datenschutz, No. 83,
together with
Michael Kuska, LL.M., LL.M.
Kommentierung von §§10, 13-15 und 24
24 in Schwartmann/Pabst (Hrsg.) Landesdatenschutzgesetz DSG NRW, 1. Auflage 2020
Rechtliche Risiken bei Nutzung internationaler Cloud-Anbieter
gridscale, 2020
Dataguidance Cybersecurity Guidance in Germany
published in April 2020 on the Dataguidance-Platform
2019
Rezension zu „Hövermann, Jan, Recht und Elektrizität. Der juristische Sachbegriff und das Wesen der Elektrizität 1887 bis 1938“
in: Savigny Zeitschrift 2019, p. 514-516
Draft bill on IT security law 2.0
Newsletter Update Data Protection, No 62
DSGVO: „Man sollte in der Praxis nicht zu ängstlich sein“
AssCompact, June 20, 2019
Die Millionenbußgelder der DSGVO und andere datenschutzrechtliche Fallstricke für Geschäftsführer
in: Laschet/Held (pub.) Ratgeber Geschäftsführer-Haftung und D&O-Versicherung, 3rd Edition 2019
Cyberschutz in der Anwaltskanzlei
Kompakter Leitfaden über Rechtliche Anforderungen, IT-Sicherheit und Datenschutz, MkG-Spezial, May 7, 2019
Tiber-EU: Sicherheitsstandards stärken Cyberversicherungen
Börsen-Zeitung, March 30, 2019
Warum Anwälte nach der DGSVO nicht (zwingend) Ende-zu-Ende verschlüsselt kommunizieren müssen
Computer und Recht, 1/2019
2018
Auswirkung der DS-GVO auf Jahresabschluss und Lagebericht von Unternehmen
ZD 2018, 157-161, together with Wilhelm Berning
DSGVO-Compliance für Webseiten: Webtracking, Datenschutzerklärung, Social Media-Plugins und weitere Aspekte
Der Betrieb, September 14, 2018, p. 2225
Das „Radierverbot“ als „Rettung“ vor den umfangreichen DS-GVO-Löschpflichten
RDV - 2018, S. 70-75
DS-GVO: Löschpflichten im Forderungsmanagement – Teil II
zfm 2018 66-70 von Wilhelm Berning und Dr. Lutz M. Keppeler
Kommentierung der Art 16., Anhang zu Art. 17, Art. 18-19, Art. 25, Art. 77 und Art. 80-82
in Schwartmann/Jaspers/Thüsing/Kugelmann Heidelberger Kommentar DS-GVO/BDSG, 1. Auflage May, 2018.
Das Rechtstaatsproblem der DSGVO
Bonner Rechtsjournal 2018, p. 23-30 by Thea Schenk-Busch and
Digitale Risiken absichern
die Bank, April 27, 2018
DS-GVO: Löschpflichten im Forderungsmanagement –Teil I
zfm 2018 8-14 by Wilhelm Berning and Dr. Lutz M. Keppeler
Cyber-Risikomanagement in Zeiten von EU-DSGVO und WannaCry: Das Organhaftungsrisiko der Zukunft?
On the portal D&O Versicherung von MRH Trowe, together with Boris Prochazka und Björn Stressenreuter (both MRH Trowe)
Cyber-Versicherung: Welche Firmen eine Police gegen Hackerangriffe brauchen
Assekuranz Info-Portal, February 7, 2018
Der Schaden durch Cyber-Angriffe gefährdet schnell die Existenz
Manager-Magazin, February 7, 2018
Die Pflicht zur Löschung von Daten nach der DSGVO
DSB 2018, p. 32-34
Die Bußgeldrisiken nach Art. 83 der Datenschutz-Grundverordnung – auch ein Risiko für den Jahresabschluss?!
DStR 2018, 91, by Dr. Lutz Keppeler und Wilhelm Berning
2017
OLG Hamm: Free distribution of software under GNU by the university
Computer und Recht: IT and Software, Edition 12/2017
Das Verhältnis von DSGVO und ePrivacy-VO zu § 7 Abs. 2 und 3 UWG
IPRB (2017), p. 248-251
Anmerkungen zu BGH, Urt. v. 16.05.2017 – VI ZR 135/13 m. Anm. Lutz Keppeler
CR 2017, 662-667
Worauf Makler beim Verkauf von Cyberpolicen achten sollten
Pfefferminzia, November 15, 2017
Datenschutz wird das neue Kartellrecht
azur Karrieremagazin 2/2017, p. 148-149
Dynamische IP-Adressen mit Personenbezug? Zum EuGH-Urteil Breyer gg. Bundesrepublik Deutschland
MR-Int 2017. p. 73-76
Die Datenschutzgrundverordnung im Überblick
IPRB 2017, p. 224-229.
Cyber-Versicherungen gegen Online-Kriminalität
FAZ, October 10, 2017
Versicherungsschutz gegen Cyber-Attacken
Computer Reseller News, August 31, 2017,
together with
Dr. Stefan Jöster, LL.M.
Cyber-Versicherungen: Fallschirm für Bauunternehmer
Der BauUnternehmer, August 2017, No. 8,
together with
Dr. Stefan Jöster, LL.M.
Telecoms in Germany
Lexology, August 18, 2017
Datenschutzrechtliche und strafrechtliche Implikationen der SSL-Decryption
Kommunikation & Recht (K&R), July/August 2017, p. 453-460
IT procurement projects: particular problems - Part III (in German)
in: der ITRB - IT-Rechtsberater (Heft 7/2017), by Dr. Thomas Fischer, Patrick Bartels,
Technische und rechtliche Probleme bei der Umsetzung der DS-GVO-Löschpflichten
in: ZD 2017, 314-319
IT security law in Germany
in: Thomson Reuters - Practical Law,
Datenschutz-konformes Löschen personenbezogener Daten in betrieblichen Anwendungssystemen – Methodik und Praxisempfehlungen mit Blick auf die EU DS-GVO
HMD Praxis der Wirtschaftsinformatik, June 2017
IT procurement projects: particular problems - Part II (in German)
in: ITRB - IT-Rechtsberater (Edition 6/2017), by Dr. Thomas Fischer, Thorsten Schulz, Patrick Bartels
Rechtliche Implikationen der Einbettung von (Open Source-) Software in technischen Normen und Dokumenten
in: InTeR, 2017, 79-85 by Anton Amman
Aktionsplan zur Neuen Datenschutz-Grundverordnung – Präsentationsfolien und Aktionsplan zur Vorlage für die Geschäftsführung
1st Edition 2017 (ISBN: 978-3-8125-2468-1)
IT procurement projects: particular problems - Part I (in German)
in: ITRB - IT-Rechtsberater (Edition 5/2017), by Dr.Thomas Fischer, Thorsten Schulz, Patrick Bartels
2016
Verbraucherschutz im Datenschutzrecht – Einwilligungserklärungen und Transparenzpflichten
in PRev, 2016, p. 280 -285
Typische Fehler bei Einwilligungen zu Werbezwecken
Datenschutz Digital, Edition November No. 15/16
Telecoms, Media & Internet Laws & Regulations 2017
The International Comparative Legal Guide, A practical cross-border insight into telecoms, media and internet laws and regulations
Einwilligungserklärungen und transparente Datenschutzhinweise – eine Kunst für sich
Datenschutz und -sicherheit im privaten Krankenversicherungswesen, September 2, 2016 ,
together with
Dr. Stefan Jöster, LL.M.
Lectures
2025
KI-Recht: In der EU vorbildlich geregelt?
TÜV Tech-Roundtable KI4KMU, May 21, 2025, Cologne
Cyber Resilience Act
LabtaTalk – Der Podcast der Labtagon GmbH, May 13, 2025,
together with
Markus Lennartz
Neues EU-Digitalrecht – Überblick über DA, DGA, AIA und CRA
Evergabe Academy, January 23, 2025
2024
CRA, SBOM und Supply Chain Sicherheit
heise academy, IT-Sicherheitstag, November 21, 2024, Gelsenkirchen
DORA im Überblick: Mit Expertenwissen auf Kurs zur Compliance
Kiteworks/DRACOON, Webinar, November 20, 2024,
together with
Markus Lennartz
Was bedeuten NIS-2 und BSIG-neu für Krankenhäuser?
Workshop zum Krankenhausrecht von michels.pmks, November 20, 2024, Hamm and November 21, 2024, Cologne
Juristisch konforme Realisierung im Rahmen des EU AI Acts
Data & Analytics Fokustag 2024, November 26, 2024,
together with
Georg Thomas, LL.M. (University of Glasgow)
Resilienz als neues Konzept des EU-gesetzgebers in CRA und DORA, aber auch bei NIS-2?
lud IDiTech e.V., ICT Resilienz: Von „nice-to-have“ zu „need-to-have“?, November 21, 2024, Hürth
Das neue EU Digitalrecht: AI Act, DORA, NIS-2 und mehr... Neue Anforderungen für die Finanz- und Investmentfondsindustrie?
27. Investment Forum, June 20, 2024, Frankfurt,
together with
Georg Thomas, LL.M. (University of Glasgow)
Das neue EU IT Sicherheitsrecht als Herausforderung in der Supply Chain
5. Deutor Cyber Security Best Practice Conference, June 12, 2024, Hamburg
NIS2-Richtlinie und Umsetzung ins Deutsche Recht – was Sie jetzt tun müssen!
Webinar, March 1, 2024, together with Kämmer Consulting GmbH
The ICO’s Monitoring at Work Guidance: Time for action
Employee monitoring in Germany and Europe, February 20, 2024, London
2023
Data Acts: Nach der Datenflut die Datenrechtsflut? GXFS-Roundtable: Die Datenwirtschaft – Turbo für die Realwirtschaft?
deutsche Medienakademie, Blockchain Reallabor, December 15, 2023, Hürth
Rechtlicher Rahmen: Edge wie Einfach? Cloud-to-Edge: Schwappt der Cloud-Hype auf die Edge hinüber?
deutsche Medienakademie, Blockchain Reallabor, November 23, 2023, Hürth
IT-Sicherheitsrecht in der Supply Chain Security vor und nach dem CRA
Internet Security Days 2023, September 21, 2023
NIS2-Richtlinie und IT-Sicherheitsgesetz 3.0: Was Unternehmen jetzt für ihre Cybersicherheit tun müssen
8. Kämmer Consulting Fachkonferenz „Cybersicherheit, Trafo Hub, September 11, 2023, Braunschweig
Zulassung und Haftung beim zukünftigen Autofahren: Zuviel noch offen?
Fraunhofer-Institut für Mikroelektronische Schaltungen und Systeme, „Future Car: Weniger Antriebs-, mehr Digitale Komplexität – Ein Erfolgsrezept?", August 30, 2023, Duisburg, together with Dr. Ruben Schneider
Immer mehr Daten = immer weniger oder immer mehr Datenrecht – und Datenschutz? Von proprietären Daten-Silos über Big Data-Hype zu Data Space-Business Cases
Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS, July 12, 2023, Sankt Augustin
Cyber Resilienz per EU-Verordnung
Kölner Kreis, June 21, 2023, together with Manuel Poncza
KI und Recht – AI-Act ,Urheberrecht, Open Source, Haftung, Datenschutz; Experten-Roundtable ChatGPT, GPT-4 et al.
Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS, May 16, 2023, Sankt Augustin