Datenschutzrecht für Digitale Technologien in Köln

DSGVO-Compliance in der Kölner Rheinmetropole

Rechtsanwalt für Datenschutzrecht und digitale Technologien in Köln

Aktuelle Urteile aus Köln und Umgebung (Stand 2026)

Quellen-TKÜ
IT-System-Grundrecht
Trojaner I: Verfassungsmäßigkeit der präventiven Quellen-TKÜ (BVerfG)

Sachverhalt: Die Beschwerdeführer wehrten sich gegen die im Jahr 2018 neu eingeführten Überwachungsbefugnisse im Polizeigesetz des Landes Nordrhein-Westfalen (NRW). Konkret ging es um die polizeilichen Ermächtigungen zur präventiven Telekommunikationsüberwachung (TKÜ) und Quellen-TKÜ (sogenannte Staatstrojaner) zur Abwehr terroristischer Gefahren im Vorfeld. Die Kläger befürchteten als Nutzer von internetfähigen Endgeräten in NRW, durch die heimliche Infiltration ihrer Systeme in ihren Grundrechten verletzt zu werden.

Wesentliche Normen:

  • Art. 10 Abs. 1 GG (Fernmeldegeheimnis)
  • Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG (IT-System-Grundrecht)
  • § 20c PolG NRW
  • § 8 Abs. 4 PolG NRW

Entscheidung: Das Bundesverfassungsgericht stufte die Verfassungsbeschwerde als unbegründet ein. Die Richter stellten fest, dass die Befugnis zur Quellen-TKÜ kumulativ sowohl in das Fernmeldegeheimnis als auch in das IT-System-Grundrecht eingriff. Mit dem gezielten Eindringen in das IT-System öffnete der Staat gleichsam eine digitale Büchse der Pandora, da die Systemintegrität und die Vertraulichkeit sämtlicher darauf befindlichen Daten strukturell gefährdet wurden. Dennoch bewertete das Gericht die Eingriffe im Rahmen des PolG NRW als verhältnismäßig, da das Gesetz den Einsatz strikt an eine konkretisierte Gefahr und den Schutz höchstrangiger Rechtsgüter (Verhütung schwerer terroristischer Straftaten) knüpfte.

Fazit & Praxis-Empfehlung: Die Entscheidung festigte das „IT-System-Grundrecht“ als eigenständigen Schutzbereich, legitimierte aber den staatlichen Zugriff auf Endgeräte bei herausragenden Gefahrenlagen. Für Unternehmen der Digitalwirtschaft – insbesondere Messenger-Dienste, Cloud-Anbieter und Hardware-Hersteller – bedeutet dies, dass Ende-zu-Ende-Verschlüsselungen durch Behörden direkt am Nutzergerät (Quellen-TKÜ) rechtmäßig umgangen werden dürfen. Geschäftsführer und Inhouse-Juristen sollten bei polizeilichen Auskunfts- oder Mitwirkungsersuchen (etwa zur Ausnutzung von Schwachstellen) minutiös prüfen, ob die extrem hohen gesetzlichen Hürden einer Terrorismusgefahr dokumentiert sind. Zudem empfiehlt sich die Etablierung klarer interner Compliance-Richtlinien für den Umgang mit behördlichen Überwachungsmaßnahmen.

BVerfG · Beschluss · 24.6.2025 · 1 BvR 2466/19

Betriebsverfassung
SaaS
Zuständigkeits-Wirrwarr bei Cloud-Software: Einigungsstelle klärt eigene Zuständigkeit (LAG Köln)

Sachverhalt: Ein Konzernunternehmen plante in Bonn die übergreifende Einführung einer cloudbasierten Software-as-a-Service-Lösung zur Arbeitszeiterfassung im Ein-Mandanten-Modell. Daraufhin entbrannte ein Streit darüber, ob der Konzernbetriebsrat oder der Gesamtbetriebsrat für die Mitbestimmung zuständig war. Um den Verhandlungsstillstand zu überwinden, leiteten die Beteiligten gerichtliche Einsetzungsverfahren ein. Das Arbeitsgericht Bonn und im Beschwerdeverfahren das Landesarbeitsgericht Köln mussten beurteilen, ob für beide Gremien parallel Einigungsstellen mit demselben Vorsitzenden eingesetzt werden durften.

Wesentliche Normen:

  • § 100 ArbGG
  • § 58 Abs. 1 S. 1 BetrVG
  • § 87 Abs. 1 Nr. 6 BetrVG

Entscheidung: Das Landesarbeitsgericht Köln bestätigte die Einsetzung der Einigungsstelle und die Ernennung desselben Vorsitzenden für beide Gremien. Das Gericht urteilte, dass die extrem komplexen technischen und rechtlichen Fragestellungen rund um Cloud-Architektur und Mandantentrennung nicht bereits im summarischen Einsetzungsverfahren abschließend geklärt werden mussten. Die Vorfragenkompetenz zur Klärung der exakten Zuständigkeit fiel vielmehr der Einigungsstelle selbst zu, um den gordischen Knoten vorab zu durchschlagen. Durch den einheitlichen Vorsitzenden für beide potenziell zuständigen Stellen beugte das Gericht widersprüchlichen Beschlüssen vor.

Fazit & Praxis-Empfehlung: Bei der unternehmensübergreifenden Einführung von HR- oder IT-Systemen ist die exakte Mitbestimmungsebene technisch oft schwer zu isolieren. Arbeitgeber der Digitalbranche sollten die Architektur von SaaS-Lösungen (insbesondere Rechtekonzepte, Datenflüsse und Mandantentrennung) frühzeitig präzise dokumentieren, da diese Details die Zuständigkeit diktieren. Sofern sich Gremien aus Zuständigkeitszweifeln blockieren, empfiehlt es sich als Arbeitgeber, parallele Einigungsstellen mit identischer Besetzung anzustreben, um das Digitalisierungsprojekt rechtssicher und zügig voranzutreiben.

LAG Köln · Beschluss · 28.1.2025 · 9 TaBV 88/24

Aus dem Blog zum Datenschutzrecht

31. Mai 2026

KI-Agenten im E-Commerce: Was Shopbetreiber datenschutzrechtlich beachten müssen

KI-Agenten kaufen im Auftrag von Nutzern ein – und verändern das datenschutzrechtliche Risikoprofil von Onlineshops.

Dr. Valentin Zipfel

Dr. Valentin Zipfel

E-Commerce-RechtDatenschutzrechtKI-Recht

Nicht in Köln? Wir sind auch in anderen Städten für Sie da:

Datenschutzrecht in Frankfurt am MainDatenschutzrecht in BerlinDatenschutzrecht in München

Kontakt

Sie haben ein Problem? Schildern Sie es per Email oder Kontaktformular.
E-Mail schreiben
Standort Frankfurt am Main
Rechtsanwalt Dr. Valentin Zipfel
c/o GÖRG Partnerschaft von Rechtsanwälten mbB
Ulmenstraße 30, 60325 Frankfurt am Main
Telefon: +49 69 170 000 202