Protection des données pour les technologies numériques à Cologne

Conformité RGPD dans la métropole rhénane de Cologne

Jurisprudence récente de Cologne et environs (État 2026)

Ces résumés sont en allemand. Ils concernent uniquement des juridictions et autorités allemandes. Abréviations courantes : BGH — Cour fédérale de justice (Allemagne) ; BPatG — Cour fédérale des brevets ; DPMA — Office allemand des brevets et des marques ; LG — tribunal régional ; OLG — cour d'appel ; AG — tribunal d'instance. Les intitulés développés figurent dans les titres et renvois ci-dessous.

Quellen-TKÜ

IT-System-Grundrecht

Trojaner I: Verfassungsmäßigkeit der präventiven Quellen-TKÜ (BVerfG (Cour constitutionnelle fédérale (Allemagne)) (Cour constitutionnelle fédérale (Allemagne)))

Faits : Die Beschwerdeführer wehrten sich gegen die im Jahr 2018 neu eingeführten Überwachungsbefugnisse im Polizeigesetz des Landes Nordrhein-Westfalen (NRW). Konkret ging es um die polizeilichen Ermächtigungen zur präventiven Telekommunikationsüberwachung (TKÜ) und Quellen-TKÜ (sogenannte Staatstrojaner) zur Abwehr terroristischer Gefahren im Vorfeld. Die Kläger befürchteten als Nutzer von internetfähigen Endgeräten in NRW, durch die heimliche Infiltration ihrer Systeme in ihren Grundrechten verletzt zu werden.

Normes essentielles :

Art. 10 Abs. 1 GG (Fernmeldegeheimnis)
Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG (IT-System-Grundrecht)
§ 20c PolG NRW
§ 8 Abs. 4 PolG NRW

Décision : Das Bundesverfassungsgericht stufte die Verfassungsbeschwerde als unbegründet ein. Die Richter stellten fest, dass die Befugnis zur Quellen-TKÜ kumulativ sowohl in das Fernmeldegeheimnis als auch in das IT-System-Grundrecht eingriff. Mit dem gezielten Eindringen in das IT-System öffnete der Staat gleichsam eine digitale Büchse der Pandora, da die Systemintegrität und die Vertraulichkeit sämtlicher darauf befindlichen Daten strukturell gefährdet wurden. Dennoch bewertete das Gericht die Eingriffe im Rahmen des PolG NRW als verhältnismäßig, da das Gesetz den Einsatz strikt an eine konkretisierte Gefahr und den Schutz höchstrangiger Rechtsgüter (Verhütung schwerer terroristischer Straftaten) knüpfte.

Conclusion et recommandation pratique : Die Entscheidung festigte das „IT-System-Grundrecht“ als eigenständigen Schutzbereich, legitimierte aber den staatlichen Zugriff auf Endgeräte bei herausragenden Gefahrenlagen. Für Unternehmen der Digitalwirtschaft – insbesondere Messenger-Dienste, Cloud-Anbieter und Hardware-Hersteller – bedeutet dies, dass Ende-zu-Ende-Verschlüsselungen durch Behörden direkt am Nutzergerät (Quellen-TKÜ) rechtmäßig umgangen werden dürfen. Geschäftsführer und Inhouse-Juristen sollten bei polizeilichen Auskunfts- oder Mitwirkungsersuchen (etwa zur Ausnutzung von Schwachstellen) minutiös prüfen, ob die extrem hohen gesetzlichen Hürden einer Terrorismusgefahr dokumentiert sind. Zudem empfiehlt sich die Etablierung klarer interner Compliance-Richtlinien für den Umgang mit behördlichen Überwachungsmaßnahmen.

BVerfG (Cour constitutionnelle fédérale (Allemagne)) (Cour constitutionnelle fédérale (Allemagne)) · Ordonnance · 24/06/2025 · 1 BvR 2466/19

Betriebsverfassung

SaaS

Zuständigkeits-Wirrwarr bei Cloud-Software: Einigungsstelle klärt eigene Zuständigkeit (LAG Köln)

Faits : Ein Konzernunternehmen plante in Bonn die übergreifende Einführung einer cloudbasierten Software-as-a-Service-Lösung zur Arbeitszeiterfassung im Ein-Mandanten-Modell. Daraufhin entbrannte ein Streit darüber, ob der Konzernbetriebsrat oder der Gesamtbetriebsrat für die Mitbestimmung zuständig war. Um den Verhandlungsstillstand zu überwinden, leiteten die Beteiligten gerichtliche Einsetzungsverfahren ein. Das Arbeitsgericht Bonn und im Beschwerdeverfahren das Landesarbeitsgericht Köln mussten beurteilen, ob für beide Gremien parallel Einigungsstellen mit demselben Vorsitzenden eingesetzt werden durften.

Normes essentielles :

§ 100 ArbGG
§ 58 Abs. 1 S. 1 BetrVG
§ 87 Abs. 1 Nr. 6 BetrVG

Décision : Das Landesarbeitsgericht Köln bestätigte die Einsetzung der Einigungsstelle und die Ernennung desselben Vorsitzenden für beide Gremien. Das Gericht urteilte, dass die extrem komplexen technischen und rechtlichen Fragestellungen rund um Cloud-Architektur und Mandantentrennung nicht bereits im summarischen Einsetzungsverfahren abschließend geklärt werden mussten. Die Vorfragenkompetenz zur Klärung der exakten Zuständigkeit fiel vielmehr der Einigungsstelle selbst zu, um den gordischen Knoten vorab zu durchschlagen. Durch den einheitlichen Vorsitzenden für beide potenziell zuständigen Stellen beugte das Gericht widersprüchlichen Beschlüssen vor.

Conclusion et recommandation pratique : Bei der unternehmensübergreifenden Einführung von HR- oder IT-Systemen ist die exakte Mitbestimmungsebene technisch oft schwer zu isolieren. Arbeitgeber der Digitalbranche sollten die Architektur von SaaS-Lösungen (insbesondere Rechtekonzepte, Datenflüsse und Mandantentrennung) frühzeitig präzise dokumentieren, da diese Details die Zuständigkeit diktieren. Sofern sich Gremien aus Zuständigkeitszweifeln blockieren, empfiehlt es sich als Arbeitgeber, parallele Einigungsstellen mit identischer Besetzung anzustreben, um das Digitalisierungsprojekt rechtssicher und zügig voranzutreiben.

LAG Köln · Ordonnance · 28/01/2025 · 9 TaBV 88/24