フランクフルト・アム・マインのデジタル技術のデータ保護法

データ集約型産業向けのGDPRコンプライアンス、クラウド転送およびDPIA

フランクフルト・アム・マインおよび周辺の最新判例（2026年時点）

以下の判例要約はドイツ語の原文です。いずれもドイツの裁判所・当局の決定に関するものです。略称の例：BGH＝ドイツ連邦最高裁判所、BPatG＝ドイツ連邦特許裁判所、DPMA＝ドイツ特許商標庁、LG＝地方裁判所、OLG＝高等地方裁判所、AG＝初級裁判所。見出しと引用行では可能な限り正式名称を併記しています。

Auskunftssperre

Handelsregister

Keine Melderegister-Auskunftssperre allein wegen sichtbaren Reichtums im Handelsregister (VG (ドイツ行政裁判所) Frankfurt)

事案: Die Klägerin war als Kommanditistin der XXX & Co. KG (ドイツ控訴裁判所) mit Sitz in Z-Stadt (eingetragen beim AG (ドイツ初級裁判所) R-Stadt) mit einer siebenstelligen Einlage im online für jedermann abrufbaren Handelsregister verzeichnet. Nachdem sie von S-Stadt nach B-Stadt umgezogen war, beantragte sie dort die Eintragung einer Auskunftssperre im Melderegister. Sie argumentierte, dass sie durch die Kombination ihrer Meldedaten und ihres öffentlich einsehbaren Vermögens einer stark erhöhten Gefahr ausgesetzt sei, Opfer schwerer Straftaten zu werden.

主要な規範:

§ 51 Abs. 1 BMG
§ 44 BMG
Art. 7 und 8 GRC
Art. 5 und 6 DSGVO

判断: Das Verwaltungsgericht Frankfurt wies die Klage ab. Allein der Umstand, dass jemand mit einer hohen Haftsumme im Handelsregister eingetragen war und der Gewinn der Unternehmensgruppe online recherchiert werden konnte, begründete keine objektiv feststellbare Gefahrenlage. Die rein subjektive Furcht vor Kriminalität genügte nicht. Zudem stellte das Gericht klar, dass die voraussetzungslose einfache Melderegisterauskunft verhältnismäßig war und weder gegen die DSGVO noch gegen europäische Grundrechte verstieß.

結論と実務上の示唆: Digitale Transparenzregister zwingen Investoren zunehmend auf das öffentliche Präsentierteller. Für Unternehmer, Geschäftsführer und Gesellschafter der Digitalbranche bedeutet dieses Urteil, dass sie ihre privaten Wohnanschriften nicht allein unter Verweis auf ihren sichtbaren Reichtum aus dem Melderegister heraushalten können. Wer eine Auskunftssperre erwirken möchte, muss zwingend konkrete, objektiv belegbare Bedrohungen (z.B. polizeilich dokumentierte Nachstellungen oder Drohbriefe) nachweisen.

VG (ドイツ行政裁判所) Frankfurt · 判決 · 2026/2/10 · 6 K 2770/22.F

DSGVO

Schadensersatz

Kein automatischer Schadensersatz bei verspäteter DSGVO-Auskunft im HR-Prozess (Hess. LAG)

事案: Ein Kandidat bewarb sich per E-Mail aus C kommend auf eine Stelle im Forderungsmanagement bei der Zentrale der Beklagten in A (Gerichtsstand Frankfurt am Main). Nachdem er wochenlang keine Rückmeldung erhielt, zog er die Bewerbung zurück und forderte unter Fristsetzung eine umfassende Datenauskunft nach Art. 15 DSGVO. Ein Personaler las die E-Mail zwar, ignorierte sie jedoch aufgrund von Arbeitsüberlastung. Erst Monate später, im laufenden Verfahren vor dem Arbeitsgericht Frankfurt am Main, erteilte die Beklagte die geforderte Auskunft. Der Kläger verlangte daraufhin einen immateriellen Schadensersatz wegen des erlittenen Kontrollverlusts und eines temporären Transparenzdefizits.

主要な規範:

Art. 12 Abs. 3 DSGVO
Art. 15 DSGVO
Art. 82 Abs. 1 DSGVO

判断: Das Hessische Landesarbeitsgericht wies den Schadensersatzanspruch ab und hob das anderslautende erstinstanzliche Urteil auf. Das Gericht urteilte, dass eine bloße Verspätung bei der Auskunftserteilung keinen automatischen immateriellen Schaden auslöste. Der Kläger musste einen konkret erlittenen, tatsächlichen Schaden nachweisen. Da die Bewerbungsunterlagen unstreitig lediglich im E-Mail-Postfach eines einzigen Mitarbeiters verblieben und nicht unbefugt weiterverarbeitet wurden, bestand zu keinem Zeitpunkt eine objektiv begründete Gefahr eines Datenmissbrauchs. Ein rein subjektives Ungewissheitsgefühl begründete keine Zahlungspflicht.

結論と実務上の示唆: Dieses Urteil wirkte wie ein rettender Anker für die Personalabteilungen. Eine bloße Fristüberschreitung bei DSGVO-Auskünften führt nicht mehr zwingend zu Schmerzensgeldzahlungen, solange kein echter Datenverlust droht. Dennoch sollten Unternehmen der Digitalwirtschaft ihre Betroffenenanfragen ernst nehmen und professionell strukturieren. Es empfiehlt sich dringend, den Posteingang für Bewerberdaten und Auskunftsersuchen durch den Einsatz von Künstlicher Intelligenz oder spezialisierten Legal-Tech-Tools automatisiert zu überwachen und zu triagieren, um Fristverletzungen und die damit einhergehenden, vermeidbaren Prozesskosten von vornherein auszuschließen.

Hess. LAG · 判決 · 2025/4/10 · 3 SLa 623/24

DSGVO

Unterlassungsanspruch

Kein genereller Unterlassungsanspruch bei DSGVO-Verstößen durch Einbindung von Drittdiensten (OLG (ドイツ高等地方裁判所) Frankfurt)

事案: Ein Nutzer bestellte in einem Online-Shop Waren und rügte anschließend, dass die Website der Beklagten beim Aufruf seine IP-Adresse sowie weitere Daten ohne seine Einwilligung an verschiedene Drittdienste (wie Google Fonts, Google Analytics, YouTube und Facebook) übermittelte. Die Daten landeten unter anderem auf Servern in den USA. Der Kläger verlangte zunächst vor dem Landgericht Wiesbaden und später in der Berufung vor dem Oberlandesgericht Frankfurt am Main, der Beklagten diese Datenübermittlungen gerichtlich zu untersagen.

主要な規範:

Art. 17 DSGVO
Art. 79 DSGVO
Art. 82 DSGVO
§ 823 Abs. 2 BGB
§ 1004 Abs. 1 S. 2 BGB

判断: Das OLG (ドイツ高等地方裁判所) Frankfurt am Main wies die Klage ab. Das Gericht stellte klar, dass die DSGVO keinen generellen Individualanspruch auf Unterlassung einer Datenübermittlung an Dritte vorsah. Aus Art. 17 DSGVO ließe sich zwar ein Löschungsanspruch und damit ein Verbot der weiteren Speicherung ableiten, jedoch kein Verbot der reinen Datenweitergabe. Ein Unterlassungsanspruch aus Art. 82 DSGVO scheiterte daran, dass der Kläger keinen konkreten, andauernden Schaden nachgewiesen hatte. Zudem entfaltete die europäische DSGVO eine Sperrwirkung für das nationale Recht: Unterlassungsansprüche auf Basis des Bürgerlichen Gesetzbuches (§§ 1004, 823 BGB) waren ausgeschlossen, da die Verordnung den Datenschutz unionsweit abschließend harmonisierte. Die Sanktionierung derartiger Verstöße oblag vielmehr primär den Datenschutzbehörden.

結論と実務上の示唆: Die DSGVO erweist sich für isolierte, private Unterlassungsklagen gegen übliche Website-Einbindungen als zahnloser Tiger, solange Betroffene keinen handfesten materiellen oder immateriellen Schaden belegen können. Für Shop-Betreiber und die digitale Wirtschaft bedeutet das Urteil eine erhebliche rechtliche Erleichterung bei der Abwehr von Nutzerklagen beim Einsatz von Tracking- und Analyse-Tools. Dennoch sollten Unternehmen das Thema US-Datentransfers und Consent-Management nicht vernachlässigen: Die Aufsichtsbehörden haben weiterhin die Befugnis, fehlerhafte Einbindungen auf behördlichem Wege abzumahnen und mit hohen Bußgeldern zu sanktionieren.

OLG (ドイツ高等地方裁判所) Frankfurt · 判決 · 2023/3/30 · 16 U 22/22

Beschäftigten-Datenschutz

SaaS

Workday im Fokus: BAG (ドイツ連邦労働裁判所) fordert EuGH-Klärung zu HR-Cloud-Software und DSGVO-Schadensersatz (BAG (ドイツ連邦労働裁判所) (ドイツ連邦労働裁判所))

事案: Ein Unternehmen führte zu Testzwecken die cloudbasierte HR-Software Workday ein und speicherte dort Echtdaten eines Mitarbeiters (u.a. Gehaltsdaten, Steuer-ID, Alter), obwohl die reguläre Entgeltabrechnung parallel über ein On-Premise-SAP-System lief. Der Arbeitgeber schloss mit dem Betriebsrat nachträglich eine Duldungs-Betriebsvereinbarung. Der betroffene Arbeitnehmer sah in der Verarbeitung seiner Daten zu bloßen Testzwecken ab dem Geltungstag der DSGVO einen massiven Verstoß gegen seine Persönlichkeitsrechte und klagte auf immateriellen Schadensersatz.

主要な規範:

Art. 88 Abs. 1 DSGVO (Öffnungsklausel Beschäftigtenkontext)
Art. 82 Abs. 1 DSGVO (Immaterieller Schadensersatzanspruch)
§ 26 Abs. 1, Abs. 4 BDSG
§ 87 Abs. 1 Nr. 6 BetrVG (Mitbestimmung bei technischen Einrichtungen)

判断: Das Bundesarbeitsgericht (BAG (ドイツ連邦労働裁判所)) setzte das Verfahren aus und legte dem Europäischen Gerichtshof (EuGH) wegweisende Fragen vor. Die Erfurter Richter äußerten erhebliche Zweifel daran, ob Betriebsparteien über Betriebsvereinbarungen das gesetzliche Datenschutzniveau der DSGVO zulasten der Beschäftigten absenken dürfen. Zudem vertrat das BAG (ドイツ連邦労働裁判所) die verbraucherfreundliche Linie, dass für einen immateriellen Schadensersatz nach Art. 82 DSGVO die bloße Verordnungswidrigkeit der Datenverarbeitung ausreicht – ohne dass der Kläger einen zusätzlichen Schaden von besonderem Gewicht nachweisen muss.

結論と実務上の示唆: Dieses Verfahren markierte das Ende rechtlicher Grauzonen bei der Migration von HR-Systemen in die Cloud. Für HR-Leiter, Geschäftsführer und Inhouse-Juristen der Digitalbranche bedeutet dies, dass das unreflektierte Spiegeln von echten Mitarbeiterdaten in Testumgebungen (Sandboxes) von Cloud-Lösungen wie Workday oder Salesforce ein extremes Haftungsrisiko darstellt; für reine Systemtests müssen konsequent anonymisierte Dummy-Daten verwendet werden. Da Betriebsvereinbarungen laut BAG (ドイツ連邦労働裁判所) kein Freibrief zur Aufweichung von DSGVO-Standards sind, sollten IT-Betriebsvereinbarungen für SaaS-Plattformen zwingend ein restriktives Rollenkonzept, klare Update-Prozeduren und Zweckbindungsklauseln enthalten, um teure Schadensersatzwellen effektiv zu verhindern.

BAG (ドイツ連邦労働裁判所) (ドイツ連邦労働裁判所) · 決定 · 2022/9/22 · 8 AZR 209/21 (A)

DSGVO

Schadensersatz

DSGVO-Schmerzensgeld wegen fehlerhafter Algorithmen: Kontrollverlust bei automatisierter Datenmigration (OLG (ドイツ高等地方裁判所) Frankfurt)

事案: Im Zuge einer automatisierten Datenmigration zweier verschmolzener Banken in Frankfurt am Main (mit Registergericht in Stadt3) kam es zu einem schwerwiegenden Zuordnungsfehler. Die Bank versendete den Kontoabschluss des in Stadt2 wohnhaften Klägers an einen namensgleichen, unbeteiligten Dritten in Stadt1. Zudem meldete die Bank die falsche Adresse in Stadt1 an die SCHUFA. Der Fehler basierte auf einer unzureichenden automatisierten Verknüpfung der Kundenprofile. Der Kläger forderte Unterlassung und immateriellen Schadensersatz wegen des eingetretenen Kontrollverlusts über seine Finanzdaten.

主要な規範:

Art. 6 DSGVO
Art. 79 DSGVO
Art. 82 DSGVO

判断: Das OLG (ドイツ高等地方裁判所) Frankfurt am Main verurteilte die Bank zur Unterlassung und zur Zahlung eines Schmerzensgeldes in Höhe von 500 Euro. Das Gericht betonte, dass fehlerhafte automatisierte Datenverarbeitungen (ebenso wie künftige KI-gestützte Systeme), die zu einem Kontrollverlust über personenbezogene Daten führen, einen ersatzfähigen immateriellen Schaden nach Art. 82 DSGVO begründen. Eine strenge Bagatellgrenze existierte hier nicht; bereits das ungute Gefühl der unrechtmäßigen Offenlegung und der Aufwand für die SCHUFA-Korrektur reichten für einen Schadensersatz aus. Die Bank konnte sich nicht entlasten, da ihre Algorithmen zur Datenmigration unzureichende Legitimationsdaten abglichen.

結論と実務上の示唆: Die fehlerhafte Datenzusammenführung wirkte hier wie ein unkontrollierbares Lauffeuer im System. Für die digitale Wirtschaft belegt dieses Urteil: Wenn Unternehmen Massendaten automatisiert migrieren oder Künstliche Intelligenz zum Matching von Nutzerprofilen einsetzen, müssen die Identifikationsparameter zwingend trennscharf konfiguriert sein (z. B. Abgleich zusätzlicher Datenpunkte wie Geburtsort). Wer sich auf fehleranfällige Automatismen verlässt, haftet bei Verwechslungen schnell auf DSGVO-Schadensersatz, da bereits der bloße Datenkontrollverlust der Betroffenen hierfür ausreicht.

OLG (ドイツ高等地方裁判所) Frankfurt · 判決 · 2022/4/14 · 3 U 21/20

DSGVO

Schadensersatz

Kein DSGVO-Schadensersatz bei versehentlicher XING-Nachricht ohne konkreten Schaden (OLG (ドイツ高等地方裁判所) Frankfurt)

事案: Ein Bewerber rügte eine Datenschutzverletzung durch eine Privatbank. Der Bewerbungsprozess lief über die Plattform XING. Eine Mitarbeiterin der Beklagten versendete versehentlich eine für den Bewerber bestimmte Nachricht mit konkreten Gehaltsinformationen („80k + variable Vergütung“) über den XING-Messenger an einen unbeteiligten Dritten. Dieser kannte den Kläger und leitete ihm den Chatverlauf weiter. Vor dem Landgericht Darmstadt forderte der Kläger daraufhin Unterlassung und immateriellen Schadensersatz, woraufhin der Fall in die Berufung vor das Oberlandesgericht Frankfurt am Main ging.

主要な規範:

Art. 4 DSGVO
Art. 17 Abs. 1 DSGVO
Art. 82 Abs. 1 DSGVO

判断: Das Gericht sprach dem Kläger den Unterlassungsanspruch zu, wies die Forderung nach immateriellem Schadensersatz jedoch ab. Die Richter stellten klar, dass der Verarbeitungsbegriff der DSGVO extrem weit zu fassen ist: Er erfasst sowohl durch Künstliche Intelligenz oder Algorithmen gesteuerte, automatisierte Verfahren als auch rein manuelle Vorgänge. Dementsprechend stellte bereits das versehentliche „Verklicken“ durch einen Menschen eine unrechtmäßige Datenverarbeitung dar. Ein Schadensersatzanspruch scheiterte indes an einem fehlenden Nachweis. Ein bloßer DSGVO-Verstoß ohne einen konkret erlittenen, tatsächlichen Schaden begründete keine Zahlungspflicht. Das bloße subjektive Empfinden einer „Schmach“ reichte hierfür nicht aus.

結論と実務上の示唆: Messenger-Dienste in Karriere-Netzwerken erweisen sich im HR-Alltag als digitaler Stolperdraht. Unternehmen sollten ihre Kommunikationswege im Recruiting kanalisieren und Mitarbeiter aktiv im Umgang mit Bewerberdaten auf Plattformen wie XING oder LinkedIn schulen. Nur durch explizite, dokumentierte Sensibilisierungsmaßnahmen lässt sich im Verletzungsfall die Wiederholungsgefahr für Unterlassungsansprüche widerlegen. Zugleich beruhigt das Urteil die Praxis: Nicht jeder manuelle Flüchtigkeitsfehler führt automatisch zu Schmerzensgeldern, solange der Betroffene keinen handfesten Schaden belegen kann.

OLG (ドイツ高等地方裁判所) Frankfurt · 判決 · 2022/3/2 · 13 U 206/20

Datenschutzrecht

Auftragsverarbeitung

Zulässige Datenweitergabe an externe Dienstleister: Kein DSGVO- oder Urheberrechtsverstoß bei externer Schadensprüfung (OLG (ドイツ高等地方裁判所) Frankfurt)

事案: Ein in einen Verkehrsunfall in Stadt1 verwickelter Kfz-Sachverständiger (Kläger) erstellte in der Region Delmenhorst für sein eigenes beschädigtes Fahrzeug ein Gutachten inklusive Lichtbildern. Er reichte dieses zur Regulierung bei der gegnerischen Haftpflichtversicherung ein. Die Versicherung übermittelte das Gutachten ohne explizite Einwilligung des Klägers an ein externes Prüfunternehmen (A GmbH in Stadt2), um die Kalkulation zu kontrollieren. Daraufhin kürzte die Versicherung die Auszahlung. Der Kläger machte datenschutzrechtliche Ansprüche (Löschung, Unterlassung, Schmerzensgeld) sowie urheberrechtliche Ansprüche bezüglich der weitergegebenen Fotos geltend.

主要な規範:

Art. 17 DSGVO
Art. 82 DSGVO
§ 11 BDSG a.F.
§ 15 UrhG
§ 97 UrhG

判断: Das OLG (ドイツ高等地方裁判所) Frankfurt am Main wies die Klage ab. Das Gericht entschied, dass die Weitergabe der Daten an den externen Prüfdienstleister eine rechtmäßige Auftragsverarbeitung darstellte. Die Versicherung besaß ein berechtigtes Interesse, die geltend gemachten Schadensersatzansprüche im Detail zu überprüfen. Ein urheberrechtlicher Verstoß lag ebenfalls nicht vor: Die rein zweckgebundene, interne Übermittlung des Gutachtens an das Prüfunternehmen zur Rechnungskontrolle stellte weder eine unzulässige öffentliche Zugänglichmachung noch eine unzulässige Verbreitung der geschützten Lichtbilder dar.

結論と実務上の示唆: Die Auslagerung von internen Prüfprozessen an externe Dienstleister erwies sich als datenschutzrechtlich zulässig, solange wirksame Verträge zur Auftragsverarbeitung (AVV) vorlagen. Für die digitale Wirtschaft ist dies essenziell: Werden zur Effizienzsteigerung externe Tools oder Künstliche Intelligenz zur automatisierten Rechnungs- und Vertragsprüfung eingesetzt, bedarf es hierfür keiner separaten Einwilligung des Betroffenen. Die Datenverarbeitung zur Wahrung berechtigter Interessen bietet hierfür ein rechtssicheres Fundament.

OLG (ドイツ高等地方裁判所) Frankfurt · 判決 · 2019/2/12 · 11 U 114/17