Data protection law for digital technologies in Frankfurt am Main
GDPR Compliance, Cloud Transfers and DPIAs for Data-Intensive Industries
Recent judgments from Frankfurt am Main and the region (As of 2026)
These case summaries are provided in German. They concern German courts and authorities only. Common abbreviations: BGH — Federal Court of Justice of Germany; BPatG — Federal Patent Court; DPMA — German Patent and Trade Mark Office; LG — Regional Court; OLG — Higher Regional Court; AG — Local Court. Expanded names appear in headings and citations below.
Facts: Die Klägerin war als Kommanditistin der XXX & Co. KG (Court of Appeal (Germany)) mit Sitz in Z-Stadt (eingetragen beim AG (Local Court (Germany)) R-Stadt) mit einer siebenstelligen Einlage im online für jedermann abrufbaren Handelsregister verzeichnet. Nachdem sie von S-Stadt nach B-Stadt umgezogen war, beantragte sie dort die Eintragung einer Auskunftssperre im Melderegister. Sie argumentierte, dass sie durch die Kombination ihrer Meldedaten und ihres öffentlich einsehbaren Vermögens einer stark erhöhten Gefahr ausgesetzt sei, Opfer schwerer Straftaten zu werden.
Key provisions:
- § 51 Abs. 1 BMG
- § 44 BMG
- Art. 7 und 8 GRC
- Art. 5 und 6 DSGVO
Decision: Das Verwaltungsgericht Frankfurt wies die Klage ab. Allein der Umstand, dass jemand mit einer hohen Haftsumme im Handelsregister eingetragen war und der Gewinn der Unternehmensgruppe online recherchiert werden konnte, begründete keine objektiv feststellbare Gefahrenlage. Die rein subjektive Furcht vor Kriminalität genügte nicht. Zudem stellte das Gericht klar, dass die voraussetzungslose einfache Melderegisterauskunft verhältnismäßig war und weder gegen die DSGVO noch gegen europäische Grundrechte verstieß.
Conclusion & practical takeaway: Digitale Transparenzregister zwingen Investoren zunehmend auf das öffentliche Präsentierteller. Für Unternehmer, Geschäftsführer und Gesellschafter der Digitalbranche bedeutet dieses Urteil, dass sie ihre privaten Wohnanschriften nicht allein unter Verweis auf ihren sichtbaren Reichtum aus dem Melderegister heraushalten können. Wer eine Auskunftssperre erwirken möchte, muss zwingend konkrete, objektiv belegbare Bedrohungen (z.B. polizeilich dokumentierte Nachstellungen oder Drohbriefe) nachweisen.
VG (Administrative Court (Germany)) Frankfurt · Judgment · 10/02/2026 · 6 K 2770/22.F
Facts: Ein Kandidat bewarb sich per E-Mail aus C kommend auf eine Stelle im Forderungsmanagement bei der Zentrale der Beklagten in A (Gerichtsstand Frankfurt am Main). Nachdem er wochenlang keine Rückmeldung erhielt, zog er die Bewerbung zurück und forderte unter Fristsetzung eine umfassende Datenauskunft nach Art. 15 DSGVO. Ein Personaler las die E-Mail zwar, ignorierte sie jedoch aufgrund von Arbeitsüberlastung. Erst Monate später, im laufenden Verfahren vor dem Arbeitsgericht Frankfurt am Main, erteilte die Beklagte die geforderte Auskunft. Der Kläger verlangte daraufhin einen immateriellen Schadensersatz wegen des erlittenen Kontrollverlusts und eines temporären Transparenzdefizits.
Key provisions:
- Art. 12 Abs. 3 DSGVO
- Art. 15 DSGVO
- Art. 82 Abs. 1 DSGVO
Decision: Das Hessische Landesarbeitsgericht wies den Schadensersatzanspruch ab und hob das anderslautende erstinstanzliche Urteil auf. Das Gericht urteilte, dass eine bloße Verspätung bei der Auskunftserteilung keinen automatischen immateriellen Schaden auslöste. Der Kläger musste einen konkret erlittenen, tatsächlichen Schaden nachweisen. Da die Bewerbungsunterlagen unstreitig lediglich im E-Mail-Postfach eines einzigen Mitarbeiters verblieben und nicht unbefugt weiterverarbeitet wurden, bestand zu keinem Zeitpunkt eine objektiv begründete Gefahr eines Datenmissbrauchs. Ein rein subjektives Ungewissheitsgefühl begründete keine Zahlungspflicht.
Conclusion & practical takeaway: Dieses Urteil wirkte wie ein rettender Anker für die Personalabteilungen. Eine bloße Fristüberschreitung bei DSGVO-Auskünften führt nicht mehr zwingend zu Schmerzensgeldzahlungen, solange kein echter Datenverlust droht. Dennoch sollten Unternehmen der Digitalwirtschaft ihre Betroffenenanfragen ernst nehmen und professionell strukturieren. Es empfiehlt sich dringend, den Posteingang für Bewerberdaten und Auskunftsersuchen durch den Einsatz von Künstlicher Intelligenz oder spezialisierten Legal-Tech-Tools automatisiert zu überwachen und zu triagieren, um Fristverletzungen und die damit einhergehenden, vermeidbaren Prozesskosten von vornherein auszuschließen.
Hess. LAG · Judgment · 10/04/2025 · 3 SLa 623/24
Facts: Ein Nutzer bestellte in einem Online-Shop Waren und rügte anschließend, dass die Website der Beklagten beim Aufruf seine IP-Adresse sowie weitere Daten ohne seine Einwilligung an verschiedene Drittdienste (wie Google Fonts, Google Analytics, YouTube und Facebook) übermittelte. Die Daten landeten unter anderem auf Servern in den USA. Der Kläger verlangte zunächst vor dem Landgericht Wiesbaden und später in der Berufung vor dem Oberlandesgericht Frankfurt am Main, der Beklagten diese Datenübermittlungen gerichtlich zu untersagen.
Key provisions:
- Art. 17 DSGVO
- Art. 79 DSGVO
- Art. 82 DSGVO
- § 823 Abs. 2 BGB
- § 1004 Abs. 1 S. 2 BGB
Decision: Das OLG (Higher Regional Court (Germany)) Frankfurt am Main wies die Klage ab. Das Gericht stellte klar, dass die DSGVO keinen generellen Individualanspruch auf Unterlassung einer Datenübermittlung an Dritte vorsah. Aus Art. 17 DSGVO ließe sich zwar ein Löschungsanspruch und damit ein Verbot der weiteren Speicherung ableiten, jedoch kein Verbot der reinen Datenweitergabe. Ein Unterlassungsanspruch aus Art. 82 DSGVO scheiterte daran, dass der Kläger keinen konkreten, andauernden Schaden nachgewiesen hatte. Zudem entfaltete die europäische DSGVO eine Sperrwirkung für das nationale Recht: Unterlassungsansprüche auf Basis des Bürgerlichen Gesetzbuches (§§ 1004, 823 BGB) waren ausgeschlossen, da die Verordnung den Datenschutz unionsweit abschließend harmonisierte. Die Sanktionierung derartiger Verstöße oblag vielmehr primär den Datenschutzbehörden.
Conclusion & practical takeaway: Die DSGVO erweist sich für isolierte, private Unterlassungsklagen gegen übliche Website-Einbindungen als zahnloser Tiger, solange Betroffene keinen handfesten materiellen oder immateriellen Schaden belegen können. Für Shop-Betreiber und die digitale Wirtschaft bedeutet das Urteil eine erhebliche rechtliche Erleichterung bei der Abwehr von Nutzerklagen beim Einsatz von Tracking- und Analyse-Tools. Dennoch sollten Unternehmen das Thema US-Datentransfers und Consent-Management nicht vernachlässigen: Die Aufsichtsbehörden haben weiterhin die Befugnis, fehlerhafte Einbindungen auf behördlichem Wege abzumahnen und mit hohen Bußgeldern zu sanktionieren.
OLG (Higher Regional Court (Germany)) Frankfurt · Judgment · 30/03/2023 · 16 U 22/22
Facts: Ein Unternehmen führte zu Testzwecken die cloudbasierte HR-Software Workday ein und speicherte dort Echtdaten eines Mitarbeiters (u.a. Gehaltsdaten, Steuer-ID, Alter), obwohl die reguläre Entgeltabrechnung parallel über ein On-Premise-SAP-System lief. Der Arbeitgeber schloss mit dem Betriebsrat nachträglich eine Duldungs-Betriebsvereinbarung. Der betroffene Arbeitnehmer sah in der Verarbeitung seiner Daten zu bloßen Testzwecken ab dem Geltungstag der DSGVO einen massiven Verstoß gegen seine Persönlichkeitsrechte und klagte auf immateriellen Schadensersatz.
Key provisions:
- Art. 88 Abs. 1 DSGVO (Öffnungsklausel Beschäftigtenkontext)
- Art. 82 Abs. 1 DSGVO (Immaterieller Schadensersatzanspruch)
- § 26 Abs. 1, Abs. 4 BDSG
- § 87 Abs. 1 Nr. 6 BetrVG (Mitbestimmung bei technischen Einrichtungen)
Decision: Das Bundesarbeitsgericht (BAG (Federal Labour Court of Germany)) setzte das Verfahren aus und legte dem Europäischen Gerichtshof (EuGH) wegweisende Fragen vor. Die Erfurter Richter äußerten erhebliche Zweifel daran, ob Betriebsparteien über Betriebsvereinbarungen das gesetzliche Datenschutzniveau der DSGVO zulasten der Beschäftigten absenken dürfen. Zudem vertrat das BAG (Federal Labour Court of Germany) die verbraucherfreundliche Linie, dass für einen immateriellen Schadensersatz nach Art. 82 DSGVO die bloße Verordnungswidrigkeit der Datenverarbeitung ausreicht – ohne dass der Kläger einen zusätzlichen Schaden von besonderem Gewicht nachweisen muss.
Conclusion & practical takeaway: Dieses Verfahren markierte das Ende rechtlicher Grauzonen bei der Migration von HR-Systemen in die Cloud. Für HR-Leiter, Geschäftsführer und Inhouse-Juristen der Digitalbranche bedeutet dies, dass das unreflektierte Spiegeln von echten Mitarbeiterdaten in Testumgebungen (Sandboxes) von Cloud-Lösungen wie Workday oder Salesforce ein extremes Haftungsrisiko darstellt; für reine Systemtests müssen konsequent anonymisierte Dummy-Daten verwendet werden. Da Betriebsvereinbarungen laut BAG (Federal Labour Court of Germany) kein Freibrief zur Aufweichung von DSGVO-Standards sind, sollten IT-Betriebsvereinbarungen für SaaS-Plattformen zwingend ein restriktives Rollenkonzept, klare Update-Prozeduren und Zweckbindungsklauseln enthalten, um teure Schadensersatzwellen effektiv zu verhindern.
BAG (Federal Labour Court of Germany) (Federal Labour Court of Germany) · Order · 22/09/2022 · 8 AZR 209/21 (A)
Facts: Im Zuge einer automatisierten Datenmigration zweier verschmolzener Banken in Frankfurt am Main (mit Registergericht in Stadt3) kam es zu einem schwerwiegenden Zuordnungsfehler. Die Bank versendete den Kontoabschluss des in Stadt2 wohnhaften Klägers an einen namensgleichen, unbeteiligten Dritten in Stadt1. Zudem meldete die Bank die falsche Adresse in Stadt1 an die SCHUFA. Der Fehler basierte auf einer unzureichenden automatisierten Verknüpfung der Kundenprofile. Der Kläger forderte Unterlassung und immateriellen Schadensersatz wegen des eingetretenen Kontrollverlusts über seine Finanzdaten.
Key provisions:
- Art. 6 DSGVO
- Art. 79 DSGVO
- Art. 82 DSGVO
Decision: Das OLG (Higher Regional Court (Germany)) Frankfurt am Main verurteilte die Bank zur Unterlassung und zur Zahlung eines Schmerzensgeldes in Höhe von 500 Euro. Das Gericht betonte, dass fehlerhafte automatisierte Datenverarbeitungen (ebenso wie künftige KI-gestützte Systeme), die zu einem Kontrollverlust über personenbezogene Daten führen, einen ersatzfähigen immateriellen Schaden nach Art. 82 DSGVO begründen. Eine strenge Bagatellgrenze existierte hier nicht; bereits das ungute Gefühl der unrechtmäßigen Offenlegung und der Aufwand für die SCHUFA-Korrektur reichten für einen Schadensersatz aus. Die Bank konnte sich nicht entlasten, da ihre Algorithmen zur Datenmigration unzureichende Legitimationsdaten abglichen.
Conclusion & practical takeaway: Die fehlerhafte Datenzusammenführung wirkte hier wie ein unkontrollierbares Lauffeuer im System. Für die digitale Wirtschaft belegt dieses Urteil: Wenn Unternehmen Massendaten automatisiert migrieren oder Künstliche Intelligenz zum Matching von Nutzerprofilen einsetzen, müssen die Identifikationsparameter zwingend trennscharf konfiguriert sein (z. B. Abgleich zusätzlicher Datenpunkte wie Geburtsort). Wer sich auf fehleranfällige Automatismen verlässt, haftet bei Verwechslungen schnell auf DSGVO-Schadensersatz, da bereits der bloße Datenkontrollverlust der Betroffenen hierfür ausreicht.
OLG (Higher Regional Court (Germany)) Frankfurt · Judgment · 14/04/2022 · 3 U 21/20
Facts: Ein Bewerber rügte eine Datenschutzverletzung durch eine Privatbank. Der Bewerbungsprozess lief über die Plattform XING. Eine Mitarbeiterin der Beklagten versendete versehentlich eine für den Bewerber bestimmte Nachricht mit konkreten Gehaltsinformationen („80k + variable Vergütung“) über den XING-Messenger an einen unbeteiligten Dritten. Dieser kannte den Kläger und leitete ihm den Chatverlauf weiter. Vor dem Landgericht Darmstadt forderte der Kläger daraufhin Unterlassung und immateriellen Schadensersatz, woraufhin der Fall in die Berufung vor das Oberlandesgericht Frankfurt am Main ging.
Key provisions:
- Art. 4 DSGVO
- Art. 17 Abs. 1 DSGVO
- Art. 82 Abs. 1 DSGVO
Decision: Das Gericht sprach dem Kläger den Unterlassungsanspruch zu, wies die Forderung nach immateriellem Schadensersatz jedoch ab. Die Richter stellten klar, dass der Verarbeitungsbegriff der DSGVO extrem weit zu fassen ist: Er erfasst sowohl durch Künstliche Intelligenz oder Algorithmen gesteuerte, automatisierte Verfahren als auch rein manuelle Vorgänge. Dementsprechend stellte bereits das versehentliche „Verklicken“ durch einen Menschen eine unrechtmäßige Datenverarbeitung dar. Ein Schadensersatzanspruch scheiterte indes an einem fehlenden Nachweis. Ein bloßer DSGVO-Verstoß ohne einen konkret erlittenen, tatsächlichen Schaden begründete keine Zahlungspflicht. Das bloße subjektive Empfinden einer „Schmach“ reichte hierfür nicht aus.
Conclusion & practical takeaway: Messenger-Dienste in Karriere-Netzwerken erweisen sich im HR-Alltag als digitaler Stolperdraht. Unternehmen sollten ihre Kommunikationswege im Recruiting kanalisieren und Mitarbeiter aktiv im Umgang mit Bewerberdaten auf Plattformen wie XING oder LinkedIn schulen. Nur durch explizite, dokumentierte Sensibilisierungsmaßnahmen lässt sich im Verletzungsfall die Wiederholungsgefahr für Unterlassungsansprüche widerlegen. Zugleich beruhigt das Urteil die Praxis: Nicht jeder manuelle Flüchtigkeitsfehler führt automatisch zu Schmerzensgeldern, solange der Betroffene keinen handfesten Schaden belegen kann.
OLG (Higher Regional Court (Germany)) Frankfurt · Judgment · 02/03/2022 · 13 U 206/20
Facts: Ein in einen Verkehrsunfall in Stadt1 verwickelter Kfz-Sachverständiger (Kläger) erstellte in der Region Delmenhorst für sein eigenes beschädigtes Fahrzeug ein Gutachten inklusive Lichtbildern. Er reichte dieses zur Regulierung bei der gegnerischen Haftpflichtversicherung ein. Die Versicherung übermittelte das Gutachten ohne explizite Einwilligung des Klägers an ein externes Prüfunternehmen (A GmbH in Stadt2), um die Kalkulation zu kontrollieren. Daraufhin kürzte die Versicherung die Auszahlung. Der Kläger machte datenschutzrechtliche Ansprüche (Löschung, Unterlassung, Schmerzensgeld) sowie urheberrechtliche Ansprüche bezüglich der weitergegebenen Fotos geltend.
Key provisions:
- Art. 17 DSGVO
- Art. 82 DSGVO
- § 11 BDSG a.F.
- § 15 UrhG
- § 97 UrhG
Decision: Das OLG (Higher Regional Court (Germany)) Frankfurt am Main wies die Klage ab. Das Gericht entschied, dass die Weitergabe der Daten an den externen Prüfdienstleister eine rechtmäßige Auftragsverarbeitung darstellte. Die Versicherung besaß ein berechtigtes Interesse, die geltend gemachten Schadensersatzansprüche im Detail zu überprüfen. Ein urheberrechtlicher Verstoß lag ebenfalls nicht vor: Die rein zweckgebundene, interne Übermittlung des Gutachtens an das Prüfunternehmen zur Rechnungskontrolle stellte weder eine unzulässige öffentliche Zugänglichmachung noch eine unzulässige Verbreitung der geschützten Lichtbilder dar.
Conclusion & practical takeaway: Die Auslagerung von internen Prüfprozessen an externe Dienstleister erwies sich als datenschutzrechtlich zulässig, solange wirksame Verträge zur Auftragsverarbeitung (AVV) vorlagen. Für die digitale Wirtschaft ist dies essenziell: Werden zur Effizienzsteigerung externe Tools oder Künstliche Intelligenz zur automatisierten Rechnungs- und Vertragsprüfung eingesetzt, bedarf es hierfür keiner separaten Einwilligung des Betroffenen. Die Datenverarbeitung zur Wahrung berechtigter Interessen bietet hierfür ein rechtssicheres Fundament.
OLG (Higher Regional Court (Germany)) Frankfurt · Judgment · 12/02/2019 · 11 U 114/17
Your contact in Frankfurt am Main
Not in Frankfurt am Main? We also serve clients in other cities: