Datenschutz­recht für digitale Technologien

Rechtsanwalt Datenschutzrecht - DSGVO-Compliance, Cloud-Datentransfers und DSFA
Umfassende Beratung zu allen Fragen des Datenschutzrechts, insbesondere DSGVO-Compliance für digitale Produkte und Geschäftsmodelle, Datenverträge, Betroffenenrechte und Geheimnisschutz.

Lösungen im Bereich Datenschutzrecht für digitale Technologien

DSGVO-Compliance für digitale Produkte und Prozesse

Datenschutzrechtliche Anforderungen durchziehen nahezu jeden Unternehmensbereich.

Ich unterstütze beim Aufbau und der Pflege von Compliance-Strukturen: Verarbeitungsverzeichnisse, Einwilligungsmanagement und datenschutzkonforme Gestaltung digitaler Produkte und Services.

Datenverträge und (internationale) Datentransfers

Der Umgang mit Daten erfordert passgenaue vertragliche Regelungen – von Auftragsverarbeitungsverträgen über Datenlizenzen bis zur gemeinsamen Verantwortlichkeit.

Besondere Herausforderungen ergeben sich bei internationalen Datentransfers, auch innerhalb eines Konzerns oder Unternehmensverbunds.

Ich gestalte datenschutzrechtliche Vertragswerke und begleite die Strukturierung grenzüberschreitender und unternehmensinterner Datenflüsse.

Referenzen

Begleitung einer regionalen Genossenschaftsbank bei der Implementierung ihrer KI-Governance
Erstellung einer unternehmensweiten KI-Richtlinie sowie Prüfung und Bewertung der eingesetzten KI-Anwendungen anhand der Verbotstatbestände des AI Act.

Governance-Paket

KI-Richtlinie & Verbotsprüfung
Unterstützung eines weltweit tätigen Elektronikkonzerns bei verschiedenen digitalen Services
Prüfung der rechtlichen Zulässigkeit einzelner Services, Überarbeitung und Neuentwurf von Vertragswerken sowie Sicherstellung der produktbezogenen Compliance, insbesondere im Hinblick auf Datenschutz, Verbraucherschutzrecht und regulatorische Anforderungen an digitale Produkte.

Beratungsumfang

Produktcompliance & Vertragswerk

Aktuelle Urteile (Stand: 1.6.2026)

Datenschutzrecht
DSGVO
Keine Sofortlöschungspflicht: BGH stärkt Bonitätsprüfung und präzisiert DSGVO-Speicherfristen für Auskunfteien (BGH)

Sachverhalt: Ein Verbraucher klagte gegen die Auskunftei SCHUFA auf Löschung von Einträgen über drei unbestrittene, aber verspätet beglichene Forderungen sowie auf immateriellen Schadensersatz. Das Oberlandesgericht Köln hatte dem Kläger zuvor 500 Euro Schadensersatz zugesprochen, da es annahm, die Speicherung der Daten sei nach der vollständigen Zahlung rechtswidrig geworden. Im Laufe des Instanzenzugs löschte die Beklagte die Einträge, teilweise gestützt auf neue branchenspezifische Verhaltensregeln, die vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit genehmigt worden waren. Vor dem BGH ging es in der Revision abschließend um die Frage, ob die fortdauernde Speicherung solcher erledigter Zahlungsstörungen gegen die DSGVO verstieß.

Wesentliche Normen:

  • Art. 6 Abs. 1 lit. f DSGVO (Rechtmäßigkeit der Verarbeitung / Berechtigtes Interesse)
  • Art. 17 DSGVO (Recht auf Löschung / "Recht auf Vergessenwerden")
  • Art. 40 DSGVO (Verhaltensregeln / Codes of Conduct)
  • Art. 82 DSGVO (Haftung und Recht auf Schadensersatz)
  • § 882e Abs. 3 Nr. 1 ZPO (Löschung im Schuldnerverzeichnis)

Entscheidung: Der BGH hob das Urteil des OLG Köln auf und wies die Sache zurück. Das Gericht urteilte, dass private Wirtschaftsauskunfteien Daten über beglichene Forderungen nicht zwingend sofort löschen mussten. Die strengen gesetzlichen Löschpflichten für das öffentliche Schuldnerverzeichnis (§ 882e ZPO) oder für Restschuldbefreiungen (EuGH-Rechtsprechung) ließen sich nicht pauschal auf privatwirtschaftliche Bonitätsdatenbanken übertragen. Die Kreditwirtschaft besaß ein berechtigtes Interesse an Bonitätsbewertungen, das eine längere Speicherung rechtfertigte. Zudem stellte der BGH klar, dass genehmigte Verhaltensregeln nach Art. 40 DSGVO als wichtige Richtschnur für die Interessenabwägung dienten. Eine typisierte Speicherdauer von drei Jahren – beziehungsweise 18 Monaten bei rasch beglichenen Einzelforderungen – bewertete das Gericht grundsätzlich als einen angemessenen Interessenausgleich.

Fazit & Praxis-Empfehlung: Das Urteil ist ein rettender Anker für das Risikomanagement der Digitalwirtschaft. E-Commerce-Plattformen, Payment-Service-Provider und Fintechs sind auf die historische Tiefe von Bonitätsdaten angewiesen, um Zahlungsausfälle wirksam zu prognostizieren und Betrugsprävention zu betreiben.
Handlungsempfehlung: Digitale Geschäftsmodelle, die Scoring-Mechanismen nutzen, können weiterhin rechtssicher auf Auskunfteidaten zurückgreifen, die bis zu drei Jahre in die Vergangenheit reichen. Betreiben Sie eigene interne Blacklists oder Zahlungshistorien, sollten Sie Ihre Löschkonzepte (Data Retention Policies) an den vom BGH gebilligten Fristen (18 bis 36 Monate für erledigte Störungen) ausrichten und sich an branchenspezifischen "Codes of Conduct" orientieren, um sich bei DSGVO-Schadensersatzklagen wirksam exkulpieren zu können.

BGH, Urteil vom 18.12.2025 (I ZR 97/25) - Vorinstanzen: Landgericht, OLG Köln (WM 2025

Aus dem Blog zum Datenschutzrecht

31. Mai 2026

KI-Agenten im E-Commerce: Was Shopbetreiber datenschutzrechtlich beachten müssen

KI-Agenten kaufen im Auftrag von Nutzern ein – und verändern das datenschutzrechtliche Risikoprofil von Onlineshops.

Dr. Valentin Zipfel

Dr. Valentin Zipfel

E-Commerce-RechtDatenschutzrechtKI-Recht

Regionale Praxisschwerpunkte

Frankfurt am Main

Kontakt

Sie haben ein Problem? Schildern Sie es per Email oder Kontaktformular.
E-Mail schreiben
Standort Frankfurt am Main
Rechtsanwalt Dr. Valentin Zipfel
c/o GÖRG Partnerschaft von Rechtsanwälten mbB
Ulmenstraße 30, 60325 Frankfurt am Main
Telefon: +49 69 170 000 202