Protection des données pour les technologies numériques à Francfort-sur-le-Main
Conformité RGPD, transferts cloud et AIPD pour les secteurs à forte intensité de données

Jurisprudence récente de Francfort-sur-le-Main et environs (État 2026)
Ces résumés sont en allemand. Ils concernent uniquement des juridictions et autorités allemandes. Abréviations courantes : BGH — Cour fédérale de justice (Allemagne) ; BPatG — Cour fédérale des brevets ; DPMA — Office allemand des brevets et des marques ; LG — tribunal régional ; OLG — cour d'appel ; AG — tribunal d'instance. Les intitulés développés figurent dans les titres et renvois ci-dessous.
Résumé en allemand · droit allemand · juridiction allemande
Faits : Die Klägerin war als Kommanditistin der XXX & Co. KG (Cour d'appel (Allemagne)) mit Sitz in Z-Stadt (eingetragen beim AG (Tribunal d'instance (Allemagne)) R-Stadt) mit einer siebenstelligen Einlage im online für jedermann abrufbaren Handelsregister verzeichnet. Nachdem sie von S-Stadt nach B-Stadt umgezogen war, beantragte sie dort die Eintragung einer Auskunftssperre im Melderegister. Sie argumentierte, dass sie durch die Kombination ihrer Meldedaten und ihres öffentlich einsehbaren Vermögens einer stark erhöhten Gefahr ausgesetzt sei, Opfer schwerer Straftaten zu werden.
Normes essentielles (droit allemand) :
- § 51 Abs. 1 BMG
- § 44 BMG
- Art. 7 und 8 GRC
- Art. 5 und 6 RGPD (appliqué en droit allemand)
Décision : Das Tribunal administratif Frankfurt (Allemagne) wies die Klage ab. Allein der Umstand, dass jemand mit einer hohen Haftsumme im Handelsregister eingetragen war und der Gewinn der Unternehmensgruppe online recherchiert werden konnte, begründete keine objektiv feststellbare Gefahrenlage. Die rein subjektive Furcht vor Kriminalität genügte nicht. Zudem stellte das Gericht klar, dass die voraussetzungslose einfache Melderegisterauskunft verhältnismäßig war und weder gegen die RGPD (appliqué en droit allemand) noch gegen europäische Grundrechte verstieß.
Conclusion et recommandation pratique : Digitale Transparenzregister zwingen Investoren zunehmend auf das öffentliche Präsentierteller. Für Unternehmer, Geschäftsführer und Gesellschafter der Digitalbranche bedeutet dieses Urteil, dass sie ihre privaten Wohnanschriften nicht allein unter Verweis auf ihren sichtbaren Reichtum aus dem Melderegister heraushalten können. Wer eine Auskunftssperre erwirken möchte, muss zwingend konkrete, objektiv belegbare Bedrohungen (z.B. polizeilich dokumentierte Nachstellungen oder Drohbriefe) nachweisen.
VG (Tribunal administratif (Allemagne)) Frankfurt (Tribunal administratif (Allemagne)) · Arrêt · 10/02/2026 · 6 K 2770/22.F
Résumé en allemand · droit allemand · juridiction allemande
Faits : Ein Kandidat bewarb sich per E-Mail aus C kommend auf eine Stelle im Forderungsmanagement bei der Zentrale der Beklagten in A (Gerichtsstand Frankfurt am Main). Nachdem er wochenlang keine Rückmeldung erhielt, zog er die Bewerbung zurück und forderte unter Fristsetzung eine umfassende Datenauskunft nach Art. 15 RGPD (appliqué en droit allemand). Ein Personaler las die E-Mail zwar, ignorierte sie jedoch aufgrund von Arbeitsüberlastung. Erst Monate später, im laufenden Verfahren vor dem Tribunal du travail Frankfurt am Main (Allemagne), erteilte die Beklagte die geforderte Auskunft. Der Kläger verlangte daraufhin einen immateriellen Schadensersatz wegen des erlittenen Kontrollverlusts und eines temporären Transparenzdefizits.
Normes essentielles (droit allemand) :
- Art. 12 Abs. 3 RGPD (appliqué en droit allemand)
- Art. 15 RGPD (appliqué en droit allemand)
- Art. 82 Abs. 1 RGPD (appliqué en droit allemand)
Décision : Das Hessische Cour régionale du travail wies den Schadensersatzanspruch ab und hob das anderslautende erstinstanzliche Urteil auf (Allemagne). Das Gericht urteilte, dass eine bloße Verspätung bei der Auskunftserteilung keinen automatischen immateriellen Schaden auslöste. Der Kläger musste einen konkret erlittenen, tatsächlichen Schaden nachweisen. Da die Bewerbungsunterlagen unstreitig lediglich im E-Mail-Postfach eines einzigen Mitarbeiters verblieben und nicht unbefugt weiterverarbeitet wurden, bestand zu keinem Zeitpunkt eine objektiv begründete Gefahr eines Datenmissbrauchs. Ein rein subjektives Ungewissheitsgefühl begründete keine Zahlungspflicht.
Conclusion et recommandation pratique : Dieses Urteil wirkte wie ein rettender Anker für die Personalabteilungen. Eine bloße Fristüberschreitung bei RGPD (appliqué en droit allemand)-Auskünften führt nicht mehr zwingend zu Schmerzensgeldzahlungen, solange kein echter Datenverlust droht. Dennoch sollten Unternehmen der Digitalwirtschaft ihre Betroffenenanfragen ernst nehmen und professionell strukturieren. Es empfiehlt sich dringend, den Posteingang für Bewerberdaten und Auskunftsersuchen durch den Einsatz von Künstlicher Intelligenz oder spezialisierten Legal-Tech-Tools automatisiert zu überwachen und zu triagieren, um Fristverletzungen und die damit einhergehenden, vermeidbaren Prozesskosten von vornherein auszuschließen.
Hess. LAG · Arrêt · 10/04/2025 · 3 SLa 623/24
Résumé en allemand · droit allemand · juridiction allemande
Faits : Ein Nutzer bestellte in einem Online-Shop Waren und rügte anschließend, dass die Website der Beklagten beim Aufruf seine IP-Adresse sowie weitere Daten ohne seine Einwilligung an verschiedene Drittdienste (wie Google Fonts, Google Analytics, YouTube und Facebook) übermittelte. Die Daten landeten unter anderem auf Servern in den USA. Der Kläger verlangte zunächst vor dem Landgericht Wiesbaden und später in der Berufung vor dem Cour d'appel Frankfurt am Main (Allemagne), der Beklagten diese Datenübermittlungen gerichtlich zu untersagen.
Normes essentielles (droit allemand) :
- Art. 17 RGPD (appliqué en droit allemand)
- Art. 79 RGPD (appliqué en droit allemand)
- Art. 82 RGPD (appliqué en droit allemand)
- § 823 Abs. 2 Code civil allemand (BGB)
- § 1004 Abs. 1 S. 2 Code civil allemand (BGB)
Décision : Das OLG (Cour d'appel (Allemagne)) Frankfurt am Main wies die Klage ab. Das Gericht stellte klar, dass die RGPD (appliqué en droit allemand) keinen generellen Individualanspruch auf Unterlassung einer Datenübermittlung an Dritte vorsah. Aus Art. 17 RGPD (appliqué en droit allemand) ließe sich zwar ein Löschungsanspruch und damit ein Verbot der weiteren Speicherung ableiten, jedoch kein Verbot der reinen Datenweitergabe. Ein Unterlassungsanspruch aus Art. 82 RGPD (appliqué en droit allemand) scheiterte daran, dass der Kläger keinen konkreten, andauernden Schaden nachgewiesen hatte. Zudem entfaltete die europäische RGPD (appliqué en droit allemand) eine Sperrwirkung für das nationale Recht: Unterlassungsansprüche auf Basis des Bürgerlichen Gesetzbuches (§§ 1004, 823 BGB) waren ausgeschlossen, da die Verordnung den Datenschutz unionsweit abschließend harmonisierte. Die Sanktionierung derartiger Verstöße oblag vielmehr primär den Datenschutzbehörden.
Conclusion et recommandation pratique : Die RGPD (appliqué en droit allemand) erweist sich für isolierte, private Unterlassungsklagen gegen übliche Website-Einbindungen als zahnloser Tiger, solange Betroffene keinen handfesten materiellen oder immateriellen Schaden belegen können. Für Shop-Betreiber und die digitale Wirtschaft bedeutet das Urteil eine erhebliche rechtliche Erleichterung bei der Abwehr von Nutzerklagen beim Einsatz von Tracking- und Analyse-Tools. Dennoch sollten Unternehmen das Thema US-Datentransfers und Consent-Management nicht vernachlässigen: Die Aufsichtsbehörden haben weiterhin die Befugnis, fehlerhafte Einbindungen auf behördlichem Wege abzumahnen und mit hohen Bußgeldern zu sanktionieren.
OLG (Cour d'appel (Allemagne)) Frankfurt (Cour d'appel (Allemagne)) · Arrêt · 30/03/2023 · 16 U 22/22
Résumé en allemand · droit allemand · juridiction allemande
Faits : Ein Unternehmen führte zu Testzwecken die cloudbasierte HR-Software Workday ein und speicherte dort Echtdaten eines Mitarbeiters (u.a. Gehaltsdaten, Steuer-ID, Alter), obwohl die reguläre Entgeltabrechnung parallel über ein On-Premise-SAP-System lief. Der Arbeitgeber schloss mit dem Betriebsrat nachträglich eine Duldungs-Betriebsvereinbarung. Der betroffene Arbeitnehmer sah in der Verarbeitung seiner Daten zu bloßen Testzwecken ab dem Geltungstag der RGPD (appliqué en droit allemand) einen massiven Verstoß gegen seine Persönlichkeitsrechte und klagte auf immateriellen Schadensersatz.
Normes essentielles (droit allemand) :
- Art. 88 Abs. 1 RGPD (appliqué en droit allemand) (Öffnungsklausel Beschäftigtenkontext)
- Art. 82 Abs. 1 RGPD (appliqué en droit allemand) (Immaterieller Schadensersatzanspruch)
- § 26 Abs. 1, Abs. 4 Loi fédérale allemande sur la protection des données (BDSG)
- § 87 Abs. 1 Nr. 6 Loi allemande sur la constitution des entreprises (BetrVG) (Mitbestimmung bei technischen Einrichtungen)
Décision : Das Bundesarbeitsgericht (BAG (Cour fédérale du travail (Allemagne))) setzte das Verfahren aus und legte dem Europäischen Gerichtshof (EuGH) wegweisende Fragen vor. Die Erfurter Richter äußerten erhebliche Zweifel daran, ob Betriebsparteien über Betriebsvereinbarungen das gesetzliche Datenschutzniveau der RGPD (appliqué en droit allemand) zulasten der Beschäftigten absenken dürfen. Zudem vertrat das BAG (Cour fédérale du travail (Allemagne)) die verbraucherfreundliche Linie, dass für einen immateriellen Schadensersatz nach Art. 82 RGPD (appliqué en droit allemand) die bloße Verordnungswidrigkeit der Datenverarbeitung ausreicht – ohne dass der Kläger einen zusätzlichen Schaden von besonderem Gewicht nachweisen muss.
Conclusion et recommandation pratique : Dieses Verfahren markierte das Ende rechtlicher Grauzonen bei der Migration von HR-Systemen in die Cloud. Für HR-Leiter, Geschäftsführer und Inhouse-Juristen der Digitalbranche bedeutet dies, dass das unreflektierte Spiegeln von echten Mitarbeiterdaten in Testumgebungen (Sandboxes) von Cloud-Lösungen wie Workday oder Salesforce ein extremes Haftungsrisiko darstellt; für reine Systemtests müssen konsequent anonymisierte Dummy-Daten verwendet werden. Da Betriebsvereinbarungen laut BAG (Cour fédérale du travail (Allemagne)) kein Freibrief zur Aufweichung von RGPD (appliqué en droit allemand)-Standards sind, sollten IT-Betriebsvereinbarungen für SaaS-Plattformen zwingend ein restriktives Rollenkonzept, klare Update-Prozeduren und Zweckbindungsklauseln enthalten, um teure Schadensersatzwellen effektiv zu verhindern.
BAG (Cour fédérale du travail (Allemagne)) (Cour fédérale du travail (Allemagne)) · Ordonnance · 22/09/2022 · 8 AZR 209/21 (A)
Résumé en allemand · droit allemand · juridiction allemande
Faits : Im Zuge einer automatisierten Datenmigration zweier verschmolzener Banken in Frankfurt am Main (mit Registergericht in Stadt3) kam es zu einem schwerwiegenden Zuordnungsfehler. Die Bank versendete den Kontoabschluss des in Stadt2 wohnhaften Klägers an einen namensgleichen, unbeteiligten Dritten in Stadt1. Zudem meldete die Bank die falsche Adresse in Stadt1 an die SCHUFA. Der Fehler basierte auf einer unzureichenden automatisierten Verknüpfung der Kundenprofile. Der Kläger forderte Unterlassung und immateriellen Schadensersatz wegen des eingetretenen Kontrollverlusts über seine Finanzdaten.
Normes essentielles (droit allemand) :
- Art. 6 RGPD (appliqué en droit allemand)
- Art. 79 RGPD (appliqué en droit allemand)
- Art. 82 RGPD (appliqué en droit allemand)
Décision : Das OLG (Cour d'appel (Allemagne)) Frankfurt am Main verurteilte die Bank zur Unterlassung und zur Zahlung eines Schmerzensgeldes in Höhe von 500 Euro. Das Gericht betonte, dass fehlerhafte automatisierte Datenverarbeitungen (ebenso wie künftige KI-gestützte Systeme), die zu einem Kontrollverlust über personenbezogene Daten führen, einen ersatzfähigen immateriellen Schaden nach Art. 82 RGPD (appliqué en droit allemand) begründen. Eine strenge Bagatellgrenze existierte hier nicht; bereits das ungute Gefühl der unrechtmäßigen Offenlegung und der Aufwand für die SCHUFA-Korrektur reichten für einen Schadensersatz aus. Die Bank konnte sich nicht entlasten, da ihre Algorithmen zur Datenmigration unzureichende Legitimationsdaten abglichen.
Conclusion et recommandation pratique : Die fehlerhafte Datenzusammenführung wirkte hier wie ein unkontrollierbares Lauffeuer im System. Für die digitale Wirtschaft belegt dieses Urteil: Wenn Unternehmen Massendaten automatisiert migrieren oder Künstliche Intelligenz zum Matching von Nutzerprofilen einsetzen, müssen die Identifikationsparameter zwingend trennscharf konfiguriert sein (z. B. Abgleich zusätzlicher Datenpunkte wie Geburtsort). Wer sich auf fehleranfällige Automatismen verlässt, haftet bei Verwechslungen schnell auf RGPD (appliqué en droit allemand)-Schadensersatz, da bereits der bloße Datenkontrollverlust der Betroffenen hierfür ausreicht.
OLG (Cour d'appel (Allemagne)) Frankfurt (Cour d'appel (Allemagne)) · Arrêt · 14/04/2022 · 3 U 21/20
Résumé en allemand · droit allemand · juridiction allemande
Faits : Ein Bewerber rügte eine Datenschutzverletzung durch eine Privatbank. Der Bewerbungsprozess lief über die Plattform XING. Eine Mitarbeiterin der Beklagten versendete versehentlich eine für den Bewerber bestimmte Nachricht mit konkreten Gehaltsinformationen („80k + variable Vergütung“) über den XING-Messenger an einen unbeteiligten Dritten. Dieser kannte den Kläger und leitete ihm den Chatverlauf weiter. Vor dem Tribunal régional Darmstadt forderte der Kläger daraufhin Unterlassung und immateriellen Schadensersatz (Allemagne), woraufhin der Fall in die Berufung vor das Cour d'appel Frankfurt am Main ging (Allemagne).
Normes essentielles (droit allemand) :
- Art. 4 RGPD (appliqué en droit allemand)
- Art. 17 Abs. 1 RGPD (appliqué en droit allemand)
- Art. 82 Abs. 1 RGPD (appliqué en droit allemand)
Décision : Das Gericht sprach dem Kläger den Unterlassungsanspruch zu, wies die Forderung nach immateriellem Schadensersatz jedoch ab. Die Richter stellten klar, dass der Verarbeitungsbegriff der RGPD (appliqué en droit allemand) extrem weit zu fassen ist: Er erfasst sowohl durch Künstliche Intelligenz oder Algorithmen gesteuerte, automatisierte Verfahren als auch rein manuelle Vorgänge. Dementsprechend stellte bereits das versehentliche „Verklicken“ durch einen Menschen eine unrechtmäßige Datenverarbeitung dar. Ein Schadensersatzanspruch scheiterte indes an einem fehlenden Nachweis. Ein bloßer RGPD (appliqué en droit allemand)-Verstoß ohne einen konkret erlittenen, tatsächlichen Schaden begründete keine Zahlungspflicht. Das bloße subjektive Empfinden einer „Schmach“ reichte hierfür nicht aus.
Conclusion et recommandation pratique : Messenger-Dienste in Karriere-Netzwerken erweisen sich im HR-Alltag als digitaler Stolperdraht. Unternehmen sollten ihre Kommunikationswege im Recruiting kanalisieren und Mitarbeiter aktiv im Umgang mit Bewerberdaten auf Plattformen wie XING oder LinkedIn schulen. Nur durch explizite, dokumentierte Sensibilisierungsmaßnahmen lässt sich im Verletzungsfall die Wiederholungsgefahr für Unterlassungsansprüche widerlegen. Zugleich beruhigt das Urteil die Praxis: Nicht jeder manuelle Flüchtigkeitsfehler führt automatisch zu Schmerzensgeldern, solange der Betroffene keinen handfesten Schaden belegen kann.
OLG (Cour d'appel (Allemagne)) Frankfurt (Cour d'appel (Allemagne)) · Arrêt · 02/03/2022 · 13 U 206/20
Résumé en allemand · droit allemand · juridiction allemande
Faits : Ein in einen Verkehrsunfall in Stadt1 verwickelter Kfz-Sachverständiger (Kläger) erstellte in der Region Delmenhorst für sein eigenes beschädigtes Fahrzeug ein Gutachten inklusive Lichtbildern. Er reichte dieses zur Regulierung bei der gegnerischen Haftpflichtversicherung ein. Die Versicherung übermittelte das Gutachten ohne explizite Einwilligung des Klägers an ein externes Prüfunternehmen (A GmbH in Stadt2), um die Kalkulation zu kontrollieren. Daraufhin kürzte die Versicherung die Auszahlung. Der Kläger machte datenschutzrechtliche Ansprüche (Löschung, Unterlassung, Schmerzensgeld) sowie urheberrechtliche Ansprüche bezüglich der weitergegebenen Fotos geltend.
Normes essentielles (droit allemand) :
- Art. 17 RGPD (appliqué en droit allemand)
- Art. 82 RGPD (appliqué en droit allemand)
- § 11 Loi fédérale allemande sur la protection des données (BDSG) a.F.
- § 15 Loi allemande sur le droit d'auteur (UrhG)
- § 97 Loi allemande sur le droit d'auteur (UrhG)
Décision : Das OLG (Cour d'appel (Allemagne)) Frankfurt am Main wies die Klage ab. Das Gericht entschied, dass die Weitergabe der Daten an den externen Prüfdienstleister eine rechtmäßige Auftragsverarbeitung darstellte. Die Versicherung besaß ein berechtigtes Interesse, die geltend gemachten Schadensersatzansprüche im Detail zu überprüfen. Ein urheberrechtlicher Verstoß lag ebenfalls nicht vor: Die rein zweckgebundene, interne Übermittlung des Gutachtens an das Prüfunternehmen zur Rechnungskontrolle stellte weder eine unzulässige öffentliche Zugänglichmachung noch eine unzulässige Verbreitung der geschützten Lichtbilder dar.
Conclusion et recommandation pratique : Die Auslagerung von internen Prüfprozessen an externe Dienstleister erwies sich als datenschutzrechtlich zulässig, solange wirksame Verträge zur Auftragsverarbeitung (AVV) vorlagen. Für die digitale Wirtschaft ist dies essenziell: Werden zur Effizienzsteigerung externe Tools oder Künstliche Intelligenz zur automatisierten Rechnungs- und Vertragsprüfung eingesetzt, bedarf es hierfür keiner separaten Einwilligung des Betroffenen. Die Datenverarbeitung zur Wahrung berechtigter Interessen bietet hierfür ein rechtssicheres Fundament.
OLG (Cour d'appel (Allemagne)) Frankfurt (Cour d'appel (Allemagne)) · Arrêt · 12/02/2019 · 11 U 114/17
Votre interlocuteur à Francfort-sur-le-Main
Pas à Francfort-sur-le-Main ? Nous sommes aussi présents dans d'autres villes :
