ケルンのデジタル技術のデータ保護法

ケルン・ライン地域圏におけるGDPRコンプライアンス

ケルンおよび周辺の最新判例（2026年時点）

以下の判例要約はドイツ語の原文です。いずれもドイツの裁判所・当局の決定に関するものです。略称の例：BGH＝ドイツ連邦最高裁判所、BPatG＝ドイツ連邦特許裁判所、DPMA＝ドイツ特許商標庁、LG＝地方裁判所、OLG＝高等地方裁判所、AG＝初級裁判所。見出しと引用行では可能な限り正式名称を併記しています。

Quellen-TKÜ

IT-System-Grundrecht

Trojaner I: Verfassungsmäßigkeit der präventiven Quellen-TKÜ (BVerfG (ドイツ連邦憲法裁判所) (ドイツ連邦憲法裁判所))

事案: Die Beschwerdeführer wehrten sich gegen die im Jahr 2018 neu eingeführten Überwachungsbefugnisse im Polizeigesetz des Landes Nordrhein-Westfalen (NRW). Konkret ging es um die polizeilichen Ermächtigungen zur präventiven Telekommunikationsüberwachung (TKÜ) und Quellen-TKÜ (sogenannte Staatstrojaner) zur Abwehr terroristischer Gefahren im Vorfeld. Die Kläger befürchteten als Nutzer von internetfähigen Endgeräten in NRW, durch die heimliche Infiltration ihrer Systeme in ihren Grundrechten verletzt zu werden.

主要な規範:

Art. 10 Abs. 1 GG (Fernmeldegeheimnis)
Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG (IT-System-Grundrecht)
§ 20c PolG NRW
§ 8 Abs. 4 PolG NRW

判断: Das Bundesverfassungsgericht stufte die Verfassungsbeschwerde als unbegründet ein. Die Richter stellten fest, dass die Befugnis zur Quellen-TKÜ kumulativ sowohl in das Fernmeldegeheimnis als auch in das IT-System-Grundrecht eingriff. Mit dem gezielten Eindringen in das IT-System öffnete der Staat gleichsam eine digitale Büchse der Pandora, da die Systemintegrität und die Vertraulichkeit sämtlicher darauf befindlichen Daten strukturell gefährdet wurden. Dennoch bewertete das Gericht die Eingriffe im Rahmen des PolG NRW als verhältnismäßig, da das Gesetz den Einsatz strikt an eine konkretisierte Gefahr und den Schutz höchstrangiger Rechtsgüter (Verhütung schwerer terroristischer Straftaten) knüpfte.

結論と実務上の示唆: Die Entscheidung festigte das „IT-System-Grundrecht“ als eigenständigen Schutzbereich, legitimierte aber den staatlichen Zugriff auf Endgeräte bei herausragenden Gefahrenlagen. Für Unternehmen der Digitalwirtschaft – insbesondere Messenger-Dienste, Cloud-Anbieter und Hardware-Hersteller – bedeutet dies, dass Ende-zu-Ende-Verschlüsselungen durch Behörden direkt am Nutzergerät (Quellen-TKÜ) rechtmäßig umgangen werden dürfen. Geschäftsführer und Inhouse-Juristen sollten bei polizeilichen Auskunfts- oder Mitwirkungsersuchen (etwa zur Ausnutzung von Schwachstellen) minutiös prüfen, ob die extrem hohen gesetzlichen Hürden einer Terrorismusgefahr dokumentiert sind. Zudem empfiehlt sich die Etablierung klarer interner Compliance-Richtlinien für den Umgang mit behördlichen Überwachungsmaßnahmen.

BVerfG (ドイツ連邦憲法裁判所) (ドイツ連邦憲法裁判所) · 決定 · 2025/6/24 · 1 BvR 2466/19

Betriebsverfassung

SaaS

Zuständigkeits-Wirrwarr bei Cloud-Software: Einigungsstelle klärt eigene Zuständigkeit (LAG Köln)

事案: Ein Konzernunternehmen plante in Bonn die übergreifende Einführung einer cloudbasierten Software-as-a-Service-Lösung zur Arbeitszeiterfassung im Ein-Mandanten-Modell. Daraufhin entbrannte ein Streit darüber, ob der Konzernbetriebsrat oder der Gesamtbetriebsrat für die Mitbestimmung zuständig war. Um den Verhandlungsstillstand zu überwinden, leiteten die Beteiligten gerichtliche Einsetzungsverfahren ein. Das Arbeitsgericht Bonn und im Beschwerdeverfahren das Landesarbeitsgericht Köln mussten beurteilen, ob für beide Gremien parallel Einigungsstellen mit demselben Vorsitzenden eingesetzt werden durften.

主要な規範:

§ 100 ArbGG
§ 58 Abs. 1 S. 1 BetrVG
§ 87 Abs. 1 Nr. 6 BetrVG

判断: Das Landesarbeitsgericht Köln bestätigte die Einsetzung der Einigungsstelle und die Ernennung desselben Vorsitzenden für beide Gremien. Das Gericht urteilte, dass die extrem komplexen technischen und rechtlichen Fragestellungen rund um Cloud-Architektur und Mandantentrennung nicht bereits im summarischen Einsetzungsverfahren abschließend geklärt werden mussten. Die Vorfragenkompetenz zur Klärung der exakten Zuständigkeit fiel vielmehr der Einigungsstelle selbst zu, um den gordischen Knoten vorab zu durchschlagen. Durch den einheitlichen Vorsitzenden für beide potenziell zuständigen Stellen beugte das Gericht widersprüchlichen Beschlüssen vor.

結論と実務上の示唆: Bei der unternehmensübergreifenden Einführung von HR- oder IT-Systemen ist die exakte Mitbestimmungsebene technisch oft schwer zu isolieren. Arbeitgeber der Digitalbranche sollten die Architektur von SaaS-Lösungen (insbesondere Rechtekonzepte, Datenflüsse und Mandantentrennung) frühzeitig präzise dokumentieren, da diese Details die Zuständigkeit diktieren. Sofern sich Gremien aus Zuständigkeitszweifeln blockieren, empfiehlt es sich als Arbeitgeber, parallele Einigungsstellen mit identischer Besetzung anzustreben, um das Digitalisierungsprojekt rechtssicher und zügig voranzutreiben.

LAG Köln · 決定 · 2025/1/28 · 9 TaBV 88/24