Data protection law for digital technologies in Cologne

GDPR Compliance in Cologne's Rhine Metropolis

Attorney for Data protection law for digital technologies in Cologne

Recent judgments from Cologne and the region (As of 2026)

These case summaries are provided in German. They concern German courts and authorities only. Common abbreviations: BGH — Federal Court of Justice of Germany; BPatG — Federal Patent Court; DPMA — German Patent and Trade Mark Office; LG — Regional Court; OLG — Higher Regional Court; AG — Local Court. Expanded names appear in headings and citations below.

Quellen-TKÜ
IT-System-Grundrecht
Trojaner I: Verfassungsmäßigkeit der präventiven Quellen-TKÜ (BVerfG (Federal Constitutional Court of Germany) (Federal Constitutional Court of Germany))

Facts: Die Beschwerdeführer wehrten sich gegen die im Jahr 2018 neu eingeführten Überwachungsbefugnisse im Polizeigesetz des Landes Nordrhein-Westfalen (NRW). Konkret ging es um die polizeilichen Ermächtigungen zur präventiven Telekommunikationsüberwachung (TKÜ) und Quellen-TKÜ (sogenannte Staatstrojaner) zur Abwehr terroristischer Gefahren im Vorfeld. Die Kläger befürchteten als Nutzer von internetfähigen Endgeräten in NRW, durch die heimliche Infiltration ihrer Systeme in ihren Grundrechten verletzt zu werden.

Key provisions:

  • Art. 10 Abs. 1 GG (Fernmeldegeheimnis)
  • Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG (IT-System-Grundrecht)
  • § 20c PolG NRW
  • § 8 Abs. 4 PolG NRW

Decision: Das Bundesverfassungsgericht stufte die Verfassungsbeschwerde als unbegründet ein. Die Richter stellten fest, dass die Befugnis zur Quellen-TKÜ kumulativ sowohl in das Fernmeldegeheimnis als auch in das IT-System-Grundrecht eingriff. Mit dem gezielten Eindringen in das IT-System öffnete der Staat gleichsam eine digitale Büchse der Pandora, da die Systemintegrität und die Vertraulichkeit sämtlicher darauf befindlichen Daten strukturell gefährdet wurden. Dennoch bewertete das Gericht die Eingriffe im Rahmen des PolG NRW als verhältnismäßig, da das Gesetz den Einsatz strikt an eine konkretisierte Gefahr und den Schutz höchstrangiger Rechtsgüter (Verhütung schwerer terroristischer Straftaten) knüpfte.

Conclusion & practical takeaway: Die Entscheidung festigte das „IT-System-Grundrecht“ als eigenständigen Schutzbereich, legitimierte aber den staatlichen Zugriff auf Endgeräte bei herausragenden Gefahrenlagen. Für Unternehmen der Digitalwirtschaft – insbesondere Messenger-Dienste, Cloud-Anbieter und Hardware-Hersteller – bedeutet dies, dass Ende-zu-Ende-Verschlüsselungen durch Behörden direkt am Nutzergerät (Quellen-TKÜ) rechtmäßig umgangen werden dürfen. Geschäftsführer und Inhouse-Juristen sollten bei polizeilichen Auskunfts- oder Mitwirkungsersuchen (etwa zur Ausnutzung von Schwachstellen) minutiös prüfen, ob die extrem hohen gesetzlichen Hürden einer Terrorismusgefahr dokumentiert sind. Zudem empfiehlt sich die Etablierung klarer interner Compliance-Richtlinien für den Umgang mit behördlichen Überwachungsmaßnahmen.

BVerfG (Federal Constitutional Court of Germany) (Federal Constitutional Court of Germany) · Order · 24/06/2025 · 1 BvR 2466/19

Betriebsverfassung
SaaS
Zuständigkeits-Wirrwarr bei Cloud-Software: Einigungsstelle klärt eigene Zuständigkeit (LAG Köln)

Facts: Ein Konzernunternehmen plante in Bonn die übergreifende Einführung einer cloudbasierten Software-as-a-Service-Lösung zur Arbeitszeiterfassung im Ein-Mandanten-Modell. Daraufhin entbrannte ein Streit darüber, ob der Konzernbetriebsrat oder der Gesamtbetriebsrat für die Mitbestimmung zuständig war. Um den Verhandlungsstillstand zu überwinden, leiteten die Beteiligten gerichtliche Einsetzungsverfahren ein. Das Arbeitsgericht Bonn und im Beschwerdeverfahren das Landesarbeitsgericht Köln mussten beurteilen, ob für beide Gremien parallel Einigungsstellen mit demselben Vorsitzenden eingesetzt werden durften.

Key provisions:

  • § 100 ArbGG
  • § 58 Abs. 1 S. 1 BetrVG
  • § 87 Abs. 1 Nr. 6 BetrVG

Decision: Das Landesarbeitsgericht Köln bestätigte die Einsetzung der Einigungsstelle und die Ernennung desselben Vorsitzenden für beide Gremien. Das Gericht urteilte, dass die extrem komplexen technischen und rechtlichen Fragestellungen rund um Cloud-Architektur und Mandantentrennung nicht bereits im summarischen Einsetzungsverfahren abschließend geklärt werden mussten. Die Vorfragenkompetenz zur Klärung der exakten Zuständigkeit fiel vielmehr der Einigungsstelle selbst zu, um den gordischen Knoten vorab zu durchschlagen. Durch den einheitlichen Vorsitzenden für beide potenziell zuständigen Stellen beugte das Gericht widersprüchlichen Beschlüssen vor.

Conclusion & practical takeaway: Bei der unternehmensübergreifenden Einführung von HR- oder IT-Systemen ist die exakte Mitbestimmungsebene technisch oft schwer zu isolieren. Arbeitgeber der Digitalbranche sollten die Architektur von SaaS-Lösungen (insbesondere Rechtekonzepte, Datenflüsse und Mandantentrennung) frühzeitig präzise dokumentieren, da diese Details die Zuständigkeit diktieren. Sofern sich Gremien aus Zuständigkeitszweifeln blockieren, empfiehlt es sich als Arbeitgeber, parallele Einigungsstellen mit identischer Besetzung anzustreben, um das Digitalisierungsprojekt rechtssicher und zügig voranzutreiben.

LAG Köln · Order · 28/01/2025 · 9 TaBV 88/24

From our blog on Data protection law

31. May 2026

AI agents in e-commerce: what online shop operators must observe under data protection law

AI agents shop on users' behalf—and change the data-protection risk profile of online shops.

Dr. Valentin Zipfel

Dr. Valentin Zipfel

E-commerce lawData protection lawAI law

Not in Cologne? We also serve clients in other cities:

Data protection law in Frankfurt am MainData protection law in BerlinData protection law in Munich

Contact

Have an issue? Tell us by email or via the contact form.
Write email
Standort Frankfurt am Main
Rechtsanwalt Dr. Valentin Zipfel
c/o GÖRG Partnerschaft von Rechtsanwälten mbB
Ulmenstraße 30, 60325 Frankfurt am Main
Telefon: +49 69 170 000 202