Am 9. Juni 2026 hat das Landgericht Berlin I (Az. 526 OWi LG 1/20) ein mit Spannung erwartetes Urteil im wohl bekanntesten deutschen DSGVO-Bußgeldverfahren verkündet: Die Deutsche Wohnen SE muss wegen Verstößen gegen die Datenschutz-Grundverordnung eine Geldbuße in Höhe von 900.000 Euro zahlen. Das klingt auf den ersten Blick nach einer empfindlichen Strafe – ist aber eine drastische Reduzierung gegenüber dem ursprünglichen Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) aus dem Jahr 2019, der das Unternehmen mit 14,5 Millionen Euro belastet hatte. Das Urteil ist noch nicht rechtskräftig; es kann mittels Rechtsbeschwerde angefochten werden.
Dieses Verfahren hat seit seinem Beginn im Jahr 2019 die deutsche Datenschutzrechtslehre und -praxis in Atem gehalten. Es hat fundamentale Fragen aufgeworfen: Können juristische Personen unmittelbar nach der DSGVO mit Bußgeldern belegt werden, ohne dass einer Führungsperson konkret ein schuldhaftes Handeln nachgewiesen werden muss? Welche Maßstäbe gelten für die Bußgeldbemessung? Und welche Faktoren mildern eine Sanktion? Die Antworten des Landgerichts Berlin I liefern wichtige Orientierungspunkte für Unternehmen, die ihre Datenschutz-Compliance auf ein rechtssicheres Fundament stellen wollen.
Der Sachverhalt, der diesem langjährigen Verfahren zugrunde liegt, erscheint auf den ersten Blick technisch: Die Deutsche Wohnen SE setzte ein Archivsystem zur Speicherung personenbezogener Mieterdaten ein, das keine Möglichkeit zur Löschung nicht mehr benötigter Datensätze vorsah. Konkret bedeutete das, dass Informationen wie Gehaltsbescheinigungen, Kontoauszüge, Auszüge aus Arbeits- und Ausbildungsverträgen sowie Steuer-, Sozial- und Krankenversicherungsdaten von Mieterinnen und Mietern dauerhaft gespeichert blieben – auch dann, wenn für die Aufbewahrung kein Rechtsgrund mehr bestand. Die Berliner Datenschutzbehörde stellte diese Praxis ab dem 25. Mai 2018, dem Tag des Inkrafttretens der DSGVO, bis zum 5. März 2019 fest.
Diese Art von Datenspeicherung berührt zwei der wichtigsten Grundprinzipien der DSGVO: den Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO), wonach personenbezogene Daten dem Umfang nach auf das für den Verarbeitungszweck notwendige Maß beschränkt sein müssen, sowie den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO), der vorschreibt, dass Daten nur so lange gespeichert werden dürfen, wie es für den jeweiligen Zweck erforderlich ist. Fehlt – wie im Fall Deutsche Wohnen – technisch eine Löschfunktion, können diese Grundsätze strukturell nicht eingehalten werden. Das macht den Fall exemplarisch für ein Problem, das in vielen Unternehmen mit gewachsener IT-Infrastruktur anzutreffen ist: Altsysteme, die nicht DSGVO-konform konzipiert wurden und für die keine einfache Nachrüstung möglich ist.
Das Verfahren hat eine verschlungene Prozessgeschichte hinter sich. Nachdem die BlnBDI 2019 den Bußgeldbescheid über 14,5 Millionen Euro erlassen hatte, wandte sich Deutsche Wohnen gegen diesen Bescheid. Das Landgericht Berlin stellte das Verfahren 2021 zunächst ein – mit der Begründung, das deutsche Recht lasse eine unmittelbare Verbandssanktion gegen juristische Personen nach der DSGVO nicht zu. Der Europäische Gerichtshof (EuGH) erklärte auf Vorlage des LG Berlin im Jahr 2022 (C-807/21), dass juristische Personen auch ohne vorherigen Nachweis einer schuldhaften Handlung einer natürlichen Person nach der DSGVO unmittelbar bebußt werden können – sofern das nationale Recht dies zulässt. Daraufhin wurde das Verfahren wieder aufgenommen und ist nun mit dem Urteil vom Juni 2026 zu einem ersten – noch nicht rechtskräftigen – Abschluss gelangt.
Der EuGH-Entscheidung aus dem Jahr 2022 kommt auch für dieses Urteil weiterhin grundlegende Bedeutung zu: Die direkte DSGVO-Haftung juristischer Personen ist in Deutschland gefestigtes Recht. Unternehmen können sich nicht damit verteidigen, dass intern niemand konkret verantwortlich zu machen war. Die Verantwortlichkeit trifft das Unternehmen als solches – und damit die Geschäftsleitung, die die Datenschutz-Compliance zu gewährleisten hat.
Die Reduzierung des Bußgeldes von 14,5 Millionen auf 900.000 Euro – also auf gut sechs Prozent des ursprünglichen Betrags – war aus Unternehmenssicht das bedeutsamste Ergebnis des Urteils. Das Gericht begründete diese Herabsetzung mit einer Reihe von Milderungsgründen. Zunächst stellte es fest, dass die Verstöße ausschließlich in der Einführungsphase der DSGVO aufgetreten seien, also in einer Zeit, in der Behörden und Unternehmen gleichermaßen mit der Umsetzung der neuen Anforderungen rangen. In diesem Zusammenhang stellte das Gericht ausdrücklich fest, dass auch die Berliner Datenschutzbehörde selbst Schwierigkeiten gehabt habe, den Ist-Zustand gerichtsfest zu dokumentieren.
Darüber hinaus berücksichtigte das Gericht, dass Deutsche Wohnen aktiv externe Prüfer und Berater für die Implementierung neuer datenschutzkonformer Systeme eingesetzt hatte. Das Unternehmen hatte also nicht passiv auf den Bescheid reagiert, sondern bereits eigene Schritte zur Behebung der Mängel eingeleitet. Dieser Umstand wurde strafmildernd gewertet. Schließlich flossen auch wirtschaftliche Aspekte in die Bußgeldbemessung ein: Das Gericht orientierte sich nicht starr an Prozentsätzen des Jahresumsatzes, sondern nahm eine Einzelfallabwägung vor, die dem Verhältnismäßigkeitsprinzip Rechnung trägt.
Das Urteil des LG Berlin I enthält mehrere wichtige Botschaften für die unternehmerische Datenschutzpraxis. Erstens: Die DSGVO-Grundsätze der Datensparsamkeit und Speicherbegrenzung sind keine bloßen Programmsätze, sondern klagbare und bußgeldbewehrte Pflichten. Jedes System, das personenbezogene Daten verarbeitet, muss technisch in der Lage sein, nicht mehr benötigte Daten zu löschen. Wer das bei der Einführung neuer IT-Systeme oder bei der Weiternutzung von Altsystemen vernachlässigt, begeht einen strukturellen Compliance-Verstoß.
Zweitens zeigt das Urteil, dass Kooperation und Eigeninitiative bei der Behebung von Datenschutzmängeln bußgeldmindernd wirken können. Unternehmen, die nach einer Beanstandung durch eine Datenschutzbehörde schnell und nachweislich handeln, externe Experten hinzuziehen und Transparenz gegenüber der Aufsichtsbehörde zeigen, verbessern damit ihre Ausgangsposition für ein möglicherweise folgendes Bußgeldverfahren. Drittens verdeutlicht die Verfahrensgeschichte die Komplexität von DSGVO-Bußgeldverfahren: Von der ursprünglichen Feststellung 2019 bis zum aktuellen Urteil 2026 sind sieben Jahre vergangen – inklusive zweier Verfahrenseinstellungen, einer EuGH-Vorlage und eines Neuauftakts. Wer in ein solches Verfahren gerät, sollte frühzeitig anwaltliche Begleitung suchen.
Unternehmen sollten regelmäßig prüfen, ob alle eingesetzten IT-Systeme – insbesondere Archivsysteme, CRM-Systeme und Dokumentenmanagementsysteme – über technische Löschfunktionen verfügen. Außerdem sollte ein Löschkonzept nach Art. 5 Abs. 1 lit. e DSGVO eingeführt werden, das für jede Datenkategorie konkrete Aufbewahrungsfristen und automatisierte Löschauslöser definiert. Die Einhaltung dieses Konzepts muss technisch erzwungen und regelmäßig auditiert werden. Wichtig ist auch die lückenlose Dokumentation: Belege über die aktive Umsetzung von Datenschutzmaßnahmen können im Bußgeldfall strafmildernd wirken und sollten daher von Anfang an sorgfältig aufbewahrt werden.
Das Urteil des LG Berlin I ist eine gute Nachricht für Deutsche Wohnen, liefert aber keine generelle Entwarnung für Unternehmen. Zwar zeigt das Gericht, dass Bußgelder verhältnismäßig bemessen werden und Milderungsgründe berücksichtigt werden. Aber es bekräftigt auch klar: Wer strukturell gegen die Datenschutz-Grundprinzipien der DSGVO verstößt, haftet als Unternehmen unmittelbar – ohne den Nachweis eines konkret verantwortlichen Mitarbeiters. Angesichts weiterhin hoher DSGVO-Bußgeldsummen weltweit bleibt ein solides Datenschutz-Compliance-Management für jedes Unternehmen, das personenbezogene Daten verarbeitet, unverzichtbar.
Haben Sie Fragen zu DSGVO-Compliance oder zu datenschutzrechtlichen Bußgeldrisiken in Ihrem Unternehmen? Die Anwälte von HUFELD PartGmbB beraten Sie umfassend. Nehmen Sie jetzt Kontakt auf.
Sie sind auf der Suche nach einem ganz bestimmten Thema?
.png)
.png)
.png)