Dr. Matthias Lachenmann

Attorney at law, Partner

Dr. Matthias Lachenmann has been a partner at BHO Legal since April 2019. He specializes in advising on technology and data protection law, in particular with a focus on international group data protection, employee data protection and industry 4.0. Due to his industry focus on digital business/marketing, fashion and manufacturing companies, he primarily advises on data protection aspects such as IoT, AI, autonomous systems, GDPR implementation and the defense of companies in data protection proceedings (right of access cases, communication with supervisory authorities, penalties. His clients are international corporations (in Fortune 500 and Fortune 2000), start-ups with a global focus and data-driven SMEs. He is regularly awarded top nominations in rankings, e.g. he was voted “Top Lawyer 2020 in Data Protection Law” by Wirtschaftswoche or “one of Germany’s best Lawyers” in Data Protection by Handelsblatt/Best Lawyers. He is also a member of the scientific advisory board of the “Zeitschrift für Datenschutz” (ZD) published by C.H. Beck.

Dr. Lachenmann was admitted to the bar in 2011 and previously worked for the Bonn-based employment and data protection law boutique Pauly & Partner and as data protection officer (UDISzert) at DPA Drewes Privacy Advice GmbH. He studied law in Augsburg, completed his training in Frankfurt a.M. and Milan and received his doctorate under Prof. Dr. Jürgen Taeger at the University of Oldenburg on “Data Transmission within the Group”. He regularly lectures on data protection law at (inter)national conferences and training courses, e.g. at the CodeBlue conference in Tokyo 2019. He is also a lecturer in the training of data protection officers at UDIS gGmbH and in the training of specialist lawyers for IT and labour law at the publishing house Dr. Otto Schmidt. He publishes continuously on data protection, e.g. in the book Work 4.0 or on ePrivacy laws and is known nationwide as the editor of the “Formularhandbuch Datenschutzrecht” (form manual on data protection law) at the publishing house C.H. Beck.


  • 2015
    Doctor iuris (summa cum laude)
  • 2011
    Degree in German Law (2nd State Exam), Wiesbaden, Germany
  • 2008
    Degree in German Law (1st State Exam) , University of Augsburg, Germany

Work experience:

  • Present
    Attorney-at-law and Partner at BHO Legal and Data Protection Officer (UDISzert)
  • 2015 - 2019
    Attorney-at-law at law at Pauly & Partner and Data Protection Officer (UDISzert)
  • 2011 - 2015
    Self employed attorney at law and PhD


  • German
  • English
  • Italian

Publications (selection):


  • Forms Manual Data Protection Law (original: Formularhandbuch Datenschutzrecht), 3rd Edition, C.H. Beck 2020 (planned; with Ansgar Koreng).
  • Forms Manual Data Protection Law (original: Formularhandbuch Datenschutzrecht), 2nd Edition, C. H. Beck 2018 (with Ansgar Koreng).
  • Forms Manual Data Protection Law (original: Formularhandbuch Datenschutzrecht), C. H. Beck 2015 (with Ansgar Koreng).


  • Data Transfers within Groups (original: Datenübermittlung im Konzern), Dissertation, OlWIR Verlag 2016.

Articles in books

  • Chapter in the new commentary ePrivacy-VO, C.H. Beck 2022 (planned).
  • Chapter in new commentary TTDSG, C.H. Beck 2022 (planned).
  • Chapter in: Besgen/Prinz (Eds.), Working 4.0 – Labour Law and Dataprotection in the digitalised world (original: Arbeiten 4.0 – Arbeitsrecht und Datenschutz in der digitalisierten Arbeitswelt), 5th edition 2022 (planned).
  • in: Buchner/Heinze/Specht/Oliver Thomsen (Eds.) Commemorative publication for Prof. Jürgen Taeger (original: Festschrift für Professor Jürgen Taeger), RuW Verlag, 2020 (planned): Artificial intelligence in Healthcare (original: Künstliche Intelligenz im Gesundheitswesen).
  • in: Koreng/Lachenmann (Eds.), Forms Manual Data Protection Law (original: Formularhandbuch Datenschutzrecht), 3rd Edition 2020 (planned), C. H. Beck: 1. Accountability (original: Rechenschaftspflicht); 2. Duties to provide information when collecting personal data (data protection declarations) (original: Informationspflichten bei Erhebung von personenbezogenen Daten (Datenschutzerklärungen)); 3. Directive on processing of orders and comparison with joint responsibility (original: Richtlinie Auftragsverarbeitung und Vergleich mit gemeinsamer Verantwortlichkeit) (with Sebastian Schwiering); 4. Confidentiality agreement for service contracts (original: Vertraulichkeitsvereinbarung bei Dienstleistungverträgen) (with Jörg Jaenichen/Sebastian Schwiering); 5. Joint data controller, checklist and sample contracts (original: Gemeinsam für die Verarbeitung Verantwortliche, Checkliste und Vertragsmuster); 6. Video surveillance on company premises (original: Videoüberwachung auf Firmengeländen); 7. Advertising mailing/newsletter (original: Werbeversand/Newsletter) (with Frederike Rehker); 8. Credit assessment (original: Bonitätsprüfung) (with Holger Achtermann); 9. Criminal proceedings and administrative offences (original: Strafverfahren und Ordnungswidrigkeiten) (with Anja Stürzl).
  • in: Besgen/Prinz (Eds.), Compendium Working 4.0 (original: Handbuch Arbeiten 4.0), 4th Edition 2018: 1. Employment data protection (original: Beschäftigtendatenschutz).
  • in: Koreng/Lachenmann (Eds.), Forms Manual Data Protection Law (original: Formularhandbuch Datenschutzrecht), 2nd Edition 2018, C. H. Beck: 1. Accountability (original: Rechenschaftspflicht); 2. Duties to provide information when collecting personal data (data protection declarations) (original: Informationspflichten bei Erhebung von personenbezogenen Daten (Datenschutzerklärungen)); 3. Comparison and guideline for order data processing (original: Vergleich und Richtlinie Auftragsdatenverarbeitung) (with Sebastian Schwiering); 4. Confidentiality agreement for service contracts (original: Vertraulichkeitsvereinbarung bei Dienstleistungverträgen) (with Jörg Jaenichen/Sebastian Schwiering); 5. Joint data controller (original: Gemeinsam für die Verarbeitung Verantwortliche); 6. Video surveillance on company premises (original: Videoüberwachung auf Firmengeländen); 7. Advertising mailing/newsletter (original: Werbeversand/Newsletter) (with Frederike Rehker).
  • in: Koreng/Lachenmann (Eds.), Forms Manual Data Protection Law (original: Formularhandbuch Datenschutzrecht), C. H. Beck 2015: 1. Confidentiality agreement/NDA (original: Vertraulichkeitsvereinbarung/NDA) (with Jörg Jaenichen); 2. Custom data processing in the company (original: Auftragsdatenverarbeitung im Unternehmen); 3. Video surveillance on company premises (original: Videoüberwachung auf Firmengeländen); 4. Data protection information and consent forms (original: Datenschutzinformationen und Einwilligungen; 5. Data protection in e-commerce and TMG (original: Datenschutz in E-Commerce und TMG).
  • in: Solmecke/Taeger/Feldmann (Eds.), Mobile Apps – Legal issues and legal framework(original: Mobile Apps – Rechtsfragen und rechtliche Rahmenbedingungen), De Gruyter 2013 ( the external information page): 1. Participating persons and contractual relations (original: Beteiligte Personen und Vertragsbeziehungen); 2. App developer contracts (original: App-Entwicklerverträge) (with Christian Solmecke); 3. End customer contracts (original: Endkundenverträge).


  • The Data Governance Act – The EU´s plan to re-use of protected data of public enteties (original: Der Data Governance Act – Die Pläne der EU zur Weiterverwendung von geschützten Daten öffentlicher Stelle), MMR 2021.
  • The EU’s new standard contractual clauses – ensuring international data transfers?, in: summer 2021 edition of the IBA Technology Law Committee eBulletin, 2021 (with Ingo Baumann).
  • Assessment of the technical-organisational safeguarding of business operations in cases of pandemic situations (original: Bewertung der technisch-organisatorische Sicherstellung des Geschäftsbetriebs bei pandemischen Lagen), CoVuR 2020 (i.E.).
  • Japanese data protection law in the light of the DSGVO (original: Das japanische Datenschutzrecht im Lichte der DSGVO), in: Taeger (Hrsg.), Tagungsband DSRI-Herbstakademie 2020 (i.E.).
  • The new Japanese Act of Protection of Personal Information (APPI) and it’s impact on trade with the EU, Cri 2020 (i. E.).
  • Official deletion prohibitions from a criminal procedural and deaeta protection perspective (original: Behördliche Löschungsverbote aus strafprozessualer und datenschutzrechtlicher Sicht), WiSTRA 2020 (i. E.; Mitautorin: Anja Stürzl).
  • Data Protection vs. Corona Virus – Recommendations for action for companies on protective measures (original: Datenschutz vs. Corona-Virus – Handlungsempfehlungen für Unternehmen bei Schutzmaßnahmen), DSB 2020, 84.
  • Data protection vs. corona virus – Legal bases and permissible measures, ZD-Aktuell 2020, Heft 6 (Mitautorin: Karolina Berthold).
  • EU Commission publishes White Paper on the regulation of artificial intelligence (original: EU-Kommission veröffentlicht Weißbuch für die Regulierung von Künstlicher Intelligenz), ZD-Aktuell 2020, 07021.
  • Opinion of the German data protection supervisory authorities on Internet tracking (original: Stellungnahme der deutschen Datenschutzaufsichtsbehörden zum Tracking im Internet), ZD-Aktuell 2019, 06643 (with Diana Ettig).
  • Brexit and Privacy: Immediate Action for Businesses (original: Brexit und Datenschutz: Sofortmaßnahmen für Unternehmen), ZD-Aktuell 2019, 06442 (with Diana Ettig).
  • Inspection catalogues of the supervisory authorities for the implementation of the DS-GVO specifications (original: Prüfkataloge der Aufsichtsbehörden zur Umsetzung der DS-GVO-Vorgaben), ZD-Aktuell 2019, 06419 (with Kevin Leibold)
  • The data protection rights of employees under the GDPR (original: Die Datenschutz-Rechte der Beschäftigten nach der DSGVO), AE 2018, No. 3.
  • Bodycams: Use by private security services (original: Bodycams: Nutzung durch private Sicherheitsdienste), in: Taeger (Ed.), Conference Transcript Autumn Academy (original: Tagungsband Herbstakademie 2018 = DuD) 2018, p. 777.
  • Federal High Court: Inadmissibility of a Dashcam in road traffic (original: BGH: Unzulässigkeit einer Dashcam im Straßenverkehr), ZD-Aktuell 2018, 06137 (with Olga Schulz).
  • The new regulation of the employee data protection by the data protection basic regulation (original: Die Neuregelung des Beschäftigtendatenschutzes durch die Datenschutzgrundverordnung), AE 2018, No. 1.
  • Use of Bodycams by police officers – Legal requirements and technical measures for the use of miniature cameras (original: Einsatz von Bodycams durch Polizeibeamte – Rechtliche Anforderungen und technische Maßnahmen zum Einsatz der Miniaturkameras), NVwZ 2017, 1424.
  • New requirements for video surveillance – A critical examination of the new regulations on video surveillance in the DS-GVO and the Federal Data Protection Act new version (original: Neue Anforderungen an die Videoüberwachung – Eine kritische Betrachtung der Neuregelungen zur Videoüberwachung in der DS-GVO und dem BDSG n. F.), ZD 2017, 407.
  • Smart Groups – Smart Transfers! – Group data transfer in the data protection basic regulation (original: Smart-Groups – Smart Transfers! – Konzerndatenübermittlung in der Datenschutzgrundverordnung), in: Taeger (Ed.), Conference Transcript DSRI Autumn Academy (original: Tagungsband DSRI-Herbstakademie 2016), OlWIR-Verlag 2016.
  • The end of the rule of law due to the late affair of the secret services, (original: Das Ende des Rechtsstaates aufgrund der Spähaffäre der Geheimdienste), in: – Conference Summary Assistants’ Conference Public Law, Nomos Verlag 2015, p. 95 = DÖV 2016, pp. 501-511.
  • No right of co-determination for the worker’s council with camera dummies (original: Kein Mitbestimmungsrecht bei Kamera-Attrappen), NZA 2015, pp. 591-595 (with Markus Lang).
  • The admissibility of video surveillance – a systematization of the current BGH case law (original: Die Zulässigkeit von Videoüberwachung – eine Systematisierung der aktuellen BGH-Rechtsprechung), in: Taeger, Jürgen (Ed.), Big Data & Co – Conference Transcript DSRI Autumn Academy 2014 (original: Big Data & Co – Tagungsband DSRI-Herbstakademie 2014), pp. 391-406 (available at Beck Online under pp. 395).
  • VG Ansbach: Inadmissibility of Dash-Cams due to Data Protection, (original: VG Ansbach: Datenschutzrechtliche Unzulässigkeit von Dash-Cams), ZD-Aktuell 2014, 04300 (with Sebastian Schwiering).
  • (In)permissibility of the operation of video cameras in passenger cars with Data protection law (original: Datenschutzrechtliche (Un-) Zulässigkeit des Betriebs von Videokameras in PKW), NZV 2014, pp. 291-297 (with Sebastian Schwiering).
  • Collection of personal data when visiting websites (original: Erhebung personenbezogener Daten beim Aufruf von Webseiten), ZD 2014, p. 133 (with Oliver Stiemerling).
  • Illegal offer of a stream converter – but no general inadmissibility (original: Unzulässiges Angebot eines Stream-Konverters – aber keine generelle Unzulässigkeit), MMR-Aktuell 2013, 352345 = MMR 1/2014, p. VIII (with Fabian Janisch).
  • Development contracts for mobile apps – Formulation proposals for contract design (original: Entwicklungsverträge für mobile Apps – Formulierungsvorschläge zur Vertragsgestaltung), ITRB 2013, pp. 190-195.
  • Conversion of Music Video Streams to Audio Files – An Analysis from the Perspective of German Copyright Law (original: Konvertierung von Musikvideo-Streams in Audiodateien – Eine Analyse aus Sicht des deutschen Urheberrechts), MMR 2013, pp. 213-216 (with Fabian Janisch)

Judgement notes

  • Comment on EuGH, Urteil vom 11.12.2019 – C-708/18 – Video surveillance by condominium community (original: Videoüberwachung durch eine WEG), ZD 2020, 148.
  • Comment on BVerwG, Urteil vom 27.03.2019 – 6 C 2.18 – Video surveillance in doctor’s office (original: Videoüberwachung in der Arztpraxis), ZD 2019.
  • Comment on OLG Frankfurt a.M., Urteil vom 17.12.2015 – 6 U 30/15 – Consent to advertising (original: Einwilligung in Werbung), MMR 2016, 245.
  • Comment on AG Nienburg, Urteil vom 20.1.2015 – 4 Ds 155/14 – Criminal usability of Dashcam recordings (original: Strafrechtliche Verwertbarkeit von Dashcam-Aufzeichnungen), CR 2015, pp. 402-403 (with Sebastian Schwiering).
  • Comment on EuGH, Urteil vom 11.12.2014 – C-212/13 – Interpretation of private and personal activities (original: Auslegung private und persönliche Tätigkeiten), ZD 2015, pp. 79-80.
  • Summary and comment on OVG Lüneburg, Urteil vom 29.9.2014 –11 LC 114/13 – Video surveillance in office buildings (original: Videoüberwachung in Bürogebäuden), ITRB 2014, pp. 273-274.
  • Comment on OLG Düsseldorf, Urteil vom 5.12.2013 – I-5 U 135/12 – Compensation claim for termination of contract for work and services (original: Ausgleichsanspruch Werkvertragskündigung), MMR 2014, pp. 521-525.
  • Comment on LG Hamburg, Beschluss vom 25.4.2013 – 310 O 144/13 – JDownloader2, CR 2013, pp. 547-548 (with Fabian Janisch).
  • Comment on LG Frankfurt, Urteil vom 6.6.2013 – Az. 2-24 O 246/12 – AppStore-AGB (Samsung), K&R 2013, pp. 505-506.

Short texts

  • Church institutions and data protection – Church data protection and the new basic data protection regulation (original: Kirchliche Institutionen und Datenschutz – Der kirchliche Datenschutz und die neue Datenschutzgrundvergordnung), SuS 2020 (forthcoming).
  • Processing geolocation data under the GDPR, InsideGNSS 2019 (co-author: Philip Lüghausen).
  • Data transfers between the EU and Japan: an introduction to the EU’s adequacy decision on Japan, Linkedin Blog 2019.
  • One year GDPR – an initial assessment (original: Ein Jahr DSGVO – eine erste Bilanz), SuS 2019.
  • Data Protection in Purchasing: Experiences with the GDPR (original: Datenschutz im Einkauf: Erfahrungen mit der DSGVO), Newsdienst MBI – Einkäufer im Markt, 2019.
  • The first birthday of the GDPR – experiences in purchasing (original: Der erste Geburtstag der DSGVO – Erfahrungen im Einkauf), CEBRA.biz 03_19
  • The new age of data protection has begun – Experiences and recommendations on the GDPR (original: Das neue Zeitalter des Datenschutzes hat begonnen – Erfahrungen und Empfehlungen zur DSGVO), AgrB (Agrarbetrieb) 2018, p. 344 (with Wolfgang Walchner).
  • New data protection rules secure individual personality rights (original: Neue Datenschutzregeln sichern individuelle Persönlichkeitsrechte), Umwelt Aktuell 2018, p. 29 (with Markus Giese)
  • Europe-wide uniform regulation of fundraising? – On the permissibility of advertising measures according to the EU- GDPR (original: Europaweit einheitliche Regelung der Spendenwerbung? – Zur Zulässigkeit von Werbemaßnahmen nach der EU-DSGVO), SuS 2016, pp. 36-37.
  • Data protection: Time to act – The new data protection law requires a rethinking of foundations and associations (original: Datenschutz: Zeit zu agieren – Das neue Datenschutzrecht erfordert ein Umdenken bei Stiftungen und Vereinen), SuS 2016, pp. 32-33.
  • Mobile Apps: Development and end customer contracts (original: Mobile Apps: Entwicklungs- und Endkundenverträge), ITRB 2015, pp. 99-100.