Data protection law for digital technologies

Data protection attorney—GDPR compliance, cloud transfers, and DPIAs

Full advice on data protection, in particular GDPR compliance for digital products and business models, data agreements, data subject rights, and trade-secret protection.

Solutions in data protection law for digital technologies

3.1 GDPR compliance for digital products and processes

Data protection requirements run through almost every part of a business.

I help build and maintain compliance structures: records of processing, consent management, and privacy-by-design for digital products and services.

3.2 Data agreements and (international) data transfers

Handling data needs precise contracts—from data processing agreements and data licences to joint controllership.

International transfers, including within a group, pose particular challenges.

I draft privacy agreements and help structure cross-border and intra-company data flows.

Referenzen

Supporting a regional cooperative bank implementing AI governance

Drafting a company-wide AI policy and reviewing and assessing deployed AI applications against AI Act prohibition grounds.

Governance package

AI policy & prohibition review

Supporting a global electronics group across multiple digital services

Review of the legal permissibility of individual services, revision and new drafting of contract suites, and product-related compliance—particularly data protection, consumer law, and regulatory requirements for digital products.

Scope of advice

Product compliance & contract framework

Recent judgments (As of: 01/06/2026)

These case summaries are provided in German. They concern German courts and authorities only. Common abbreviations: BGH — Federal Court of Justice of Germany; BPatG — Federal Patent Court; DPMA — German Patent and Trade Mark Office; LG — Regional Court; OLG — Higher Regional Court; AG — Local Court. Expanded names appear in headings and citations below.

Data protectionrecht

DSGVO

Keine Sofortlöschungspflicht: BGH (Federal Court of Justice of Germany) stärkt Bonitätsprüfung und präzisiert DSGVO-Speicherfristen für Auskunfteien (BGH (Federal Court of Justice of Germany) (Federal Court of Justice of Germany))

Facts: Ein Verbraucher klagte gegen die Auskunftei SCHUFA auf Löschung von Einträgen über drei unbestrittene, aber verspätet beglichene Forderungen sowie auf immateriellen Schadensersatz. Das Higher regional court Cologne hatte dem Kläger zuvor 500 Euro Schadensersatz zugesprochen, da es annahm, die Speicherung der Daten sei nach der vollständigen Zahlung rechtswidrig geworden. Im Laufe des Instanzenzugs löschte die Beklagte die Einträge, teilweise gestützt auf neue branchenspezifische Verhaltensregeln, die vom Hessischen Beauftragten für Data protection und Informationsfreiheit genehmigt worden waren. Vor dem BGH (Federal Court of Justice of Germany) ging es in der Revision abschließend um die Frage, ob die fortdauernde Speicherung solcher erledigter Zahlungsstörungen gegen die DSGVO verstieß.

Key provisions:

Art. 6 Abs. 1 lit. f DSGVO (Rechtmäßigkeit der Verarbeitung / Berechtigtes Interesse)
Art. 17 DSGVO (Recht auf Löschung / "Recht auf Vergessenwerden")
Art. 40 DSGVO (Verhaltensregeln / Codes of Conduct)
Art. 82 DSGVO (Haftung und Recht auf Schadensersatz)
§ 882e Abs. 3 Nr. 1 ZPO (Löschung im Schuldnerverzeichnis)

Decision: Der BGH (Federal Court of Justice of Germany) hob das Urteil des OLG (Higher Regional Court (Germany)) Cologne auf und wies die Sache zurück. Das Gericht urteilte, dass private Wirtschaftsauskunfteien Daten über beglichene Forderungen nicht zwingend sofort löschen mussten. Die strengen gesetzlichen Löschpflichten für das öffentliche Schuldnerverzeichnis (§ 882e ZPO) oder für Restschuldbefreiungen (EuGH-Rechtsprechung) ließen sich nicht pauschal auf privatwirtschaftliche Bonitätsdatenbanken übertragen. Die Kreditwirtschaft besaß ein berechtigtes Interesse an Bonitätsbewertungen, das eine längere Speicherung rechtfertigte. Zudem stellte der BGH (Federal Court of Justice of Germany) klar, dass genehmigte Verhaltensregeln nach Art. 40 DSGVO als wichtige Richtschnur für die Interessenabwägung dienten. Eine typisierte Speicherdauer von drei Jahren – beziehungsweise 18 Monaten bei rasch beglichenen Einzelforderungen – bewertete das Gericht grundsätzlich als einen angemessenen Interessenausgleich.

Conclusion & practical takeaway: Das Urteil ist ein rettender Anker für das Risikomanagement der Digitalwirtschaft. E-Commerce-Plattformen, Payment-Service-Provider und Fintechs sind auf die historische Tiefe von Bonitätsdaten angewiesen, um Zahlungsausfälle wirksam zu prognostizieren und Betrugsprävention zu betreiben.
Handlungsempfehlung: Digitale Geschäftsmodelle, die Scoring-Mechanismen nutzen, können weiterhin rechtssicher auf Auskunfteidaten zurückgreifen, die bis zu drei Jahre in die Vergangenheit reichen. Betreiben Sie eigene interne Blacklists oder Zahlungshistorien, sollten Sie Ihre Löschkonzepte (Data Retention Policies) an den vom BGH (Federal Court of Justice of Germany) gebilligten Fristen (18 bis 36 Monate für erledigte Störungen) ausrichten und sich an branchenspezifischen "Codes of Conduct" orientieren, um sich bei DSGVO-Schadensersatzklagen wirksam exkulpieren zu können.

BGH (Federal Court of Justice of Germany) (Federal Court of Justice of Germany), Judgment dated 18/12/2025 (I ZR 97/25) - Prior instances: Regional court, OLG (Higher Regional Court (Germany)) (Higher Regional Court (Germany)) Cologne (WM 2025