Dr. Matthias Lachenmann

Attorney-at-law | Partner

Dr. Matthias Lachenmann joined BHO Legal as a partner in April 2019. He specializes in advising on Technology and Data Protection Law, in particular with a focus on data protection for international groups, employee data protection as well as Industry 4.0/Smart Factory. Due to his industry focus on digital business/marketing, fashion and manufacturing companies, he primarily advises on data protection law aspects, such as IoT, AI, autonomous systems and GDPR implementation. Furthermore, he is active in litigating and defending companies in data protection proceedings (e.g., Rights of Access to data, civil enforcement of data protection claims, communication with supervisory authorities or fine proceedings). His clients include international corporations (in the Fortune 500 and Fortune 2000), German mid-sized companies with a global focus, and data-driven SMEs. He is regularly named in rankings as a leading lawyer in data protection law, most recently named in Wirtschaftswoche 2020 as a “TOP lawyer in data protection law” and 2021 in Handelsblatt/Best Lawyers as one of “Germany’s best lawyers”. Furthermore, he is Co-Chair of the privacy organization IAPP Chapter Rhein-Ruhr in 2022/23 and member of the scientific advisory council of the German privacy law magazine „Zeitschrift für Datenschutz“ (ZD).

Dr. Lachenmann was admitted to the bar in 2011 and previously worked for the Bonn-based employment and data protection law boutique Pauly & Partner and as Data Protection Officer (UDIScert) at DPA Drewes Privacy Advice GmbH. He studied law in Augsburg, completed his training in Frankfurt a.M. and Milan and received his doctorate under Prof. Dr. Jürgen Taeger at the University of Oldenburg on “Data Transmission within Groups”. He regularly lectures at (inter)national conferences and training courses on data protection law, e.g. at the CodeBlue Conference in Tokyo 2019. He is also a lecturer in the training of specialist lawyers for IT and labour law at the publishing house Dr. Otto Schmidt and in the training of Data Protection Officers at UDIS Ulmer Gesellschaft für Datenschutz und IT-Sicherheit gGmbH. He publishes continuously on data protection, e.g. in the book “Work 4.0”, in a commentary on German and EU ePrivacy laws and is known nationwide as the editor of the “Formularhandbuch Datenschutzrecht” (form manual on data protection law) at the publishing house C.H. Beck.


  • 2015
    Doctor iuris (summa cum laude)
  • 2011
    Degree in German Law (2nd State Exam), Wiesbaden, Germany
  • 2008
    Degree in German Law (1st State Exam) , University of Augsburg, Germany

Work experience:

  • Present
    Attorney-at-law and Partner at BHO Legal and Data Protection Officer (UDISzert)
  • 2015 - 2019
    Attorney-at-law at law at Pauly & Partner and Data Protection Officer (UDISzert)
  • 2011 - 2015
    Self employed attorney at law and PhD


  • German
  • English
  • Italian

Publications (selection):


  • Forms Manual Data Protection Law (original: Formularhandbuch Datenschutzrecht), 3rd Edition, C.H. Beck 2021 (with Ansgar Koreng).
  • Forms Manual Data Protection Law (original: Formularhandbuch Datenschutzrecht), 2nd Edition, C. H. Beck 2018 (with Ansgar Koreng). Presentation on YouTube via: https://youtu.be/nt2rAmddNI8.
  • Forms Manual Data Protection Law (original: Formularhandbuch Datenschutzrecht), C. H. Beck 2015 (with Ansgar Koreng).


  • Data Transfers within Groups (original: Datenübermittlung im Konzern), Dissertation, OlWIR Verlag 2016.

Articles in books

  • Chapter in: Gierschmann/Baumgartner, Telekommunikation-Telemedien-Datenschutz-Gesetz: TTDSG, Commentary, C.H. Beck 2023: “§§ 22-24 TTDSG, inventory and usage data disclosure” (original: Bestands- und Nutzungsdatenauskunft)“.
  • Chapter in Mes (Ed.), Münchener Prozessformularbuch Gewerblicher Rechtsschutz, Urheber- und Presserecht, 6th ed. 2022: multiple forms on data protection law.
  • Chapter in: Besgen/Prinz (Eds.), Working 4.0 – Labour Law and Dataprotection in the digitalised world (original: Arbeiten 4.0 – Arbeitsrecht und Datenschutz in der digitalisierten Arbeitswelt), 5th edition 2022 (planned).
  • Chapter in: Buchner/Heinze/Specht/Oliver Thomsen (Eds.) Commemorative publication for Prof. Jürgen Taeger (original: Festschrift für Professor Jürgen Taeger), RuW Verlag, 2020 (planned): Artificial intelligence in Healthcare (original: Künstliche Intelligenz im Gesundheitswesen).
  • Chapter in: Koreng/Lachenmann (Eds.), Forms Manual Data Protection Law (original: Formularhandbuch Datenschutzrecht), 3rd Edition 2020 (planned), C. H. Beck: 1. Accountability (original: Rechenschaftspflicht); 2. Duties to provide information when collecting personal data (data protection declarations) (original: Informationspflichten bei Erhebung von personenbezogenen Daten (Datenschutzerklärungen)); 3. Directive on processing of orders and comparison with joint responsibility (original: Richtlinie Auftragsverarbeitung und Vergleich mit gemeinsamer Verantwortlichkeit) (with Sebastian Schwiering); 4. Confidentiality agreement for service contracts (original: Vertraulichkeitsvereinbarung bei Dienstleistungverträgen) (with Jörg Jaenichen/Sebastian Schwiering); 5. Joint data controller, checklist and sample contracts (original: Gemeinsam für die Verarbeitung Verantwortliche, Checkliste und Vertragsmuster); 6. Video surveillance on company premises (original: Videoüberwachung auf Firmengeländen); 7. Advertising mailing/newsletter (original: Werbeversand/Newsletter) (with Frederike Rehker); 8. Credit assessment (original: Bonitätsprüfung) (with Holger Achtermann); 9. Criminal proceedings and administrative offences (original: Strafverfahren und Ordnungswidrigkeiten) (with Anja Stürzl).
  • in: Besgen/Prinz (Eds.), Compendium Working 4.0 (original: Handbuch Arbeiten 4.0), 4th Edition 2018: 1. Employment data protection (original: Beschäftigtendatenschutz).
  • in: Koreng/Lachenmann (Eds.), Forms Manual Data Protection Law (original: Formularhandbuch Datenschutzrecht), 2nd Edition 2018, C. H. Beck: 1. Accountability (original: Rechenschaftspflicht); 2. Duties to provide information when collecting personal data (data protection declarations) (original: Informationspflichten bei Erhebung von personenbezogenen Daten (Datenschutzerklärungen)); 3. Comparison and guideline for order data processing (original: Vergleich und Richtlinie Auftragsdatenverarbeitung) (with Sebastian Schwiering); 4. Confidentiality agreement for service contracts (original: Vertraulichkeitsvereinbarung bei Dienstleistungverträgen) (with Jörg Jaenichen/Sebastian Schwiering); 5. Joint data controller (original: Gemeinsam für die Verarbeitung Verantwortliche); 6. Video surveillance on company premises (original: Videoüberwachung auf Firmengeländen); 7. Advertising mailing/newsletter (original: Werbeversand/Newsletter) (with Frederike Rehker).
  • Chapter in: Koreng/Lachenmann (Eds.), Forms Manual Data Protection Law (original: Formularhandbuch Datenschutzrecht), C. H. Beck 2015: 1. Confidentiality agreement/NDA (original: Vertraulichkeitsvereinbarung/NDA) (with Jörg Jaenichen); 2. Custom data processing in the company (original: Auftragsdatenverarbeitung im Unternehmen); 3. Video surveillance on company premises (original: Videoüberwachung auf Firmengeländen); 4. Data protection information and consent forms (original: Datenschutzinformationen und Einwilligungen; 5. Data protection in e-commerce and TMG (original: Datenschutz in E-Commerce und TMG).
  • in: Solmecke/Taeger/Feldmann (Eds.), Mobile Apps – Legal issues and legal framework(original: Mobile Apps – Rechtsfragen und rechtliche Rahmenbedingungen), De Gruyter 2013 ( the external information page): 1. Participating persons and contractual relations (original: Beteiligte Personen und Vertragsbeziehungen); 2. App developer contracts (original: App-Entwicklerverträge) (with Christian Solmecke); 3. End customer contracts (original: Endkundenverträge).


  • The Data Protection Adequacy Decision with the Republic of Korea – A Review of the Draft of the EU Commission and the Response of the European Data Protection Committee, ZDAktuell 2022 (forthcoming; co-author: Dirk Reinartz).
  • Data Processing in the Development of AI Systems in an AI Real Lab, DSB 2021, p. 261. (co-author: Dirk Reinartz).
  • EU Commission’s proposal for the regulation of AI – a discussion in full swing (original: Vorschlag der EU-Kommission zur Regulierung von KI – eine Diskussion in vollem Gange), MMR-Aktuell 2021, 440578 (with: Johanna Meyer).
  • EU Commission is planning a “European concept for artificial intelligence“ (original: EU-Kommission plant ein „europäisches Konzept für die künstliche Intelligenz“), MMR-Aktuell 2021, 438173 (with: Johanna Meyer).
  • Official deletion bans from a criminal procedural and data protection point of view (original: Behördliche Löschungsverbote aus strafprozessualer und datenschutzrechtlicher Sicht), WiSTRA 2021, 184 (with: Anja Stürzl).
  • Assessment of the technical-organisational safeguarding of business operations in cases of pandemic situations (original: Bewertung der technisch-organisatorische Sicherstellung des Geschäftsbetriebs bei pandemischen Lagen), CoVuR 2020 (i.E.)
  • Japanese data protection law in the light of the DSGVO (original: Das japanische Datenschutzrecht im Lichte der DSGVO), in: Taeger (Hrsg.), Tagungsband DSRI-Herbstakademie 2020 (i.E.).
  • The new Japanese Act of Protection of Personal Information (APPI) and it’s impact on trade with the EU, Cri 2020 (i. E.).
  • Official deletion prohibitions from a criminal procedural and deaeta protection perspective (original: Behördliche Löschungsverbote aus strafprozessualer und datenschutzrechtlicher Sicht), WiSTRA 2020 (i. E.; Mitautorin: Anja Stürzl).
  • Data Protection vs. Corona Virus – Recommendations for action for companies on protective measures (original: Datenschutz vs. Corona-Virus – Handlungsempfehlungen für Unternehmen bei Schutzmaßnahmen), DSB 2020, 84.
  • Data protection vs. corona virus – Legal bases and permissible measures, ZD-Aktuell 2020, Heft 6 (Mitautorin: Karolina Berthold).
  • EU Commission publishes White Paper on the regulation of artificial intelligence (original: EU-Kommission veröffentlicht Weißbuch für die Regulierung von Künstlicher Intelligenz), ZD-Aktuell 2020, 07021.
  • Opinion of the German data protection supervisory authorities on Internet tracking (original: Stellungnahme der deutschen Datenschutzaufsichtsbehörden zum Tracking im Internet), ZD-Aktuell 2019, 06643 (with Diana Ettig).
  • Brexit and Privacy: Immediate Action for Businesses (original: Brexit und Datenschutz: Sofortmaßnahmen für Unternehmen), ZD-Aktuell 2019, 06442 (with Kevin Leibold)
  • Inspection catalogues of the supervisory authorities for the implementation of the DS-GVO specifications (original: Prüfkataloge der Aufsichtsbehörden zur Umsetzung der DS-GVO-Vorgaben), ZD-Aktuell 2019, 06419 (with Kevin Leibold)
  • The data protection rights of employees under the GDPR (original: Die Datenschutz-Rechte der Beschäftigten nach der DSGVO), AE 2018, No. 3.
  • Bodycams: Use by private security services (original: Bodycams: Nutzung durch private Sicherheitsdienste), in: Taeger (Ed.), Conference Transcript Autumn Academy (original: Tagungsband Herbstakademie 2018 = DuD) 2018, p. 777.
  • Federal High Court: Inadmissibility of a Dashcam in road traffic (original: BGH: Unzulässigkeit einer Dashcam im Straßenverkehr), ZD-Aktuell 2018, 06137 (with Olga Schulz).
  • The new regulation of the employee data protection by the data protection basic regulation (original: Die Neuregelung des Beschäftigtendatenschutzes durch die Datenschutzgrundverordnung), AE 2018, No. 1.
  • Use of Bodycams by police officers – Legal requirements and technical measures for the use of miniature cameras (original: Einsatz von Bodycams durch Polizeibeamte – Rechtliche Anforderungen und technische Maßnahmen zum Einsatz der Miniaturkameras), NVwZ 2017, 1424.
  • New requirements for video surveillance – A critical examination of the new regulations on video surveillance in the DS-GVO and the Federal Data Protection Act new version (original: Neue Anforderungen an die Videoüberwachung – Eine kritische Betrachtung der Neuregelungen zur Videoüberwachung in der DS-GVO und dem BDSG n. F.), ZD 2017, 407.
  • Smart Groups – Smart Transfers! – Group data transfer in the data protection basic regulation (original: Smart-Groups – Smart Transfers! – Konzerndatenübermittlung in der Datenschutzgrundverordnung), in: Taeger (Ed.), Conference Transcript DSRI Autumn Academy (original: Tagungsband DSRI-Herbstakademie 2016), OlWIR-Verlag 2016.
  • The end of the rule of law due to the late affair of the secret services, (original: Das Ende des Rechtsstaates aufgrund der Spähaffäre der Geheimdienste), in: – Conference Summary Assistants’ Conference Public Law, Nomos Verlag 2015, p. 95 = DÖV 2016, pp. 501-511.
  • No right of co-determination for the worker’s council with camera dummies (original: Kein Mitbestimmungsrecht bei Kamera-Attrappen), NZA 2015, pp. 591-595 (with Markus Lang).
  • The admissibility of video surveillance – a systematization of the current BGH case law (original: Die Zulässigkeit von Videoüberwachung – eine Systematisierung der aktuellen BGH-Rechtsprechung), in: Taeger, Jürgen (Ed.), Big Data & Co – Conference Transcript DSRI Autumn Academy 2014 (original: Big Data & Co – Tagungsband DSRI-Herbstakademie 2014), pp. 391-406 (available at Beck Online under pp. 395).
  • VG Ansbach: Inadmissibility of Dash-Cams due to Data Protection, (original: VG Ansbach: Datenschutzrechtliche Unzulässigkeit von Dash-Cams), ZD-Aktuell 2014, 04300 (with Sebastian Schwiering).
  • (In)permissibility of the operation of video cameras in passenger cars with Data protection law (original: Datenschutzrechtliche (Un-) Zulässigkeit des Betriebs von Videokameras in PKW), NZV 2014, pp. 291-297 (with Sebastian Schwiering).
  • Collection of personal data when visiting websites (original: Erhebung personenbezogener Daten beim Aufruf von Webseiten), ZD 2014, p. 133 (with Oliver Stiemerling).
  • Illegal offer of a stream converter – but no general inadmissibility (original: Unzulässiges Angebot eines Stream-Konverters – aber keine generelle Unzulässigkeit), MMR-Aktuell 2013, 352345 = MMR 1/2014, p. VIII (with Fabian Janisch).
  • Development contracts for mobile apps – Formulation proposals for contract design (original: Entwicklungsverträge für mobile Apps – Formulierungsvorschläge zur Vertragsgestaltung), ITRB 2013, pp. 190-195.
  • Conversion of Music Video Streams to Audio Files – An Analysis from the Perspective of German Copyright Law (original: Konvertierung von Musikvideo-Streams in Audiodateien – Eine Analyse aus Sicht des deutschen Urheberrechts), MMR 2013, pp. 213-216 (with Fabian Janisch)

Comments on Judgement

  • Comment on EuGH, Urteil vom 11.12.2019 – C-708/18 – Video surveillance by condominium community (original: Videoüberwachung durch eine WEG), ZD 2020, 148.
  • Comment on BVerwG, Urteil vom 27.03.2019 – 6 C 2.18 – Video surveillance in doctor’s office (original: Videoüberwachung in der Arztpraxis), ZD 2019.
  • Comment on OLG Frankfurt a.M., Urteil vom 17.12.2015 – 6 U 30/15 – Consent to advertising (original: Einwilligung in Werbung), MMR 2016, 245.
  • Comment on AG Nienburg, Urteil vom 20.1.2015 – 4 Ds 155/14 – Criminal usability of Dashcam recordings (original: Strafrechtliche Verwertbarkeit von Dashcam-Aufzeichnungen), CR 2015, pp. 402-403 (with Sebastian Schwiering).
  • Comment on EuGH, Urteil vom 11.12.2014 – C-212/13 – Interpretation of private and personal activities (original: Auslegung private und persönliche Tätigkeiten), ZD 2015, pp. 79-80.
  • Summary and comment on OVG Lüneburg, Urteil vom 29.9.2014 –11 LC 114/13 – Video surveillance in office buildings (original: Videoüberwachung in Bürogebäuden), ITRB 2014, pp. 273-274.
  • Comment on OLG Düsseldorf, Urteil vom 5.12.2013 – I-5 U 135/12 – Compensation claim for termination of contract for work and services (original: Ausgleichsanspruch Werkvertragskündigung), MMR 2014, pp. 521-525.
  • Comment on LG Hamburg, Beschluss vom 25.4.2013 – 310 O 144/13 – JDownloader2, CR 2013, pp. 547-548 (with Fabian Janisch).
  • Comment on LG Frankfurt, Urteil vom 6.6.2013 – Az. 2-24 O 246/12 – AppStore-AGB (Samsung), K&R 2013, pp. 505-506.

Short texts

  • Data protection law – a growing field for innovative lawyers (original: Datenschutzrecht – ein wachsendes Feld für innovative Juristen), in: www.beck-stellenmarkt.de/ratgeber, 20.12.2021.
  • The Eu’s new standard contractual clauses – ensuing international data transfers?, in: summer 2021 edition of the IBA Technology Law Committee eBulletin, 2021 (with Ingo Baumann).
  • Church institutions and data protection – Church data protection and the new basic data protection regulation (original: Kirchliche Institutionen und Datenschutz – Der kirchliche Datenschutz und die neue Datenschutzgrundvergordnung), SuS 2020 (forthcoming).
  • Processing geolocation data under the GDPR, InsideGNSS 2019 (co-author: Philip Lüghausen).
  • Data transfers between the EU and Japan: an introduction to the EU’s adequacy decision on Japan, Linkedin Blog 2019.
  • One year GDPR – an initial assessment (original: Ein Jahr DSGVO – eine erste Bilanz), SuS 2019.
  • Data Protection in Purchasing: Experiences with the GDPR (original: Datenschutz im Einkauf: Erfahrungen mit der DSGVO), Newsdienst MBI – Einkäufer im Markt, 2019.
  • The first birthday of the GDPR – experiences in purchasing (original: Der erste Geburtstag der DSGVO – Erfahrungen im Einkauf), CEBRA.biz 03_19
  • The new age of data protection has begun – Experiences and recommendations on the GDPR (original: Das neue Zeitalter des Datenschutzes hat begonnen – Erfahrungen und Empfehlungen zur DSGVO), AgrB (Agrarbetrieb) 2018, p. 344 (with Wolfgang Walchner).
  • New data protection rules secure individual personality rights (original: Neue Datenschutzregeln sichern individuelle Persönlichkeitsrechte), Umwelt Aktuell 2018, p. 29 (with Markus Giese)
  • Europe-wide uniform regulation of fundraising? – On the permissibility of advertising measures according to the EU- GDPR (original: Europaweit einheitliche Regelung der Spendenwerbung? – Zur Zulässigkeit von Werbemaßnahmen nach der EU-DSGVO), SuS 2016, pp. 36-37.
  • Data protection: Time to act – The new data protection law requires a rethinking of foundations and associations (original: Datenschutz: Zeit zu agieren – Das neue Datenschutzrecht erfordert ein Umdenken bei Stiftungen und Vereinen), SuS 2016, pp. 32-33.
  • Mobile Apps: Development and end customer contracts (original: Mobile Apps: Entwicklungs- und Endkundenverträge), ITRB 2015, pp. 99-100.
  • AI regulation: EU Council approves EU Council approves AI regulation – new obligations for companies (original: KI – Verordnung: EU Rat stimmt EU-Rat stimmt KI-Verordnung zu – neue Pflichten für Unternehmen) | News service MMR aktuell; Beck-Online database > MMR 2024 > Issue 4 > Short articles/ Commentaries