Am 9. Juni 2026 hat das Landgericht Berlin I als Bußgeldkammer (Az. 526 OWiLG 1/20) das wohl bekannteste DSGVO-Verfahren Deutschlands mit einem Urteil beendet: Der Immobilienkonzern Deutsche Wohnen SE muss eine Geldbuße von 900.000 Euro wegen Verstößen gegen die Datenschutz-Grundverordnung zahlen. Das Ergebnis mag auf den ersten Blick als Sieg für das Unternehmen erscheinen – hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ursprünglich 2019 ein Bußgeld von rund 14,5 Millionen Euro verhängt. Doch das Urteil ist weit mehr als eine bloße Kürzung: Es markiert den Abschluss eines komplexen Verfahrens, das die Grundfragen der DSGVO-Bußgeldpraxis in Deutschland neu definiert hat.
Der Weg zu diesem Urteil war außergewöhnlich lang und juristisch anspruchsvoll. Das Ausgangsbußgeld aus dem Jahr 2019 war das damals höchste in Deutschland verhängte DSGVO-Bußgeld. Deutsche Wohnen legte Einspruch ein, woraufhin das Landgericht Berlin das Verfahren im Februar 2021 zunächst einstellte – aus prozessrechtlichen Gründen, ohne in der Sache zu entscheiden. Die Berliner Datenschutzbehörde legte sofortige Beschwerde ein. Das Kammergericht Berlin rief im Jahr 2022 den Europäischen Gerichtshof (EuGH) an, um offene Fragen des Unionsrechts zu klären. Im Dezember 2023 erging das wegweisende EuGH-Urteil in den verbundenen Rechtssachen C-807/21 und C-683/21, das die DSGVO-Bußgeldpraxis in der gesamten EU neu justierte. Danach kehrte das Verfahren nach Berlin zurück, um jetzt – im Juni 2026 – seinen Abschluss zu finden.
Der Kern des Vorwurfs gegen Deutsche Wohnen war in der Sache eindeutig: Das Unternehmen speicherte personenbezogene Daten ehemaliger Mieter in einem Archivsystem, aus dem eine Löschung technisch nicht oder nur mit unverhältnismäßigem Aufwand möglich war. Betroffen waren hochsensible Unterlagen wie Gehaltsbescheinigungen, Kontoauszüge, Sozialversicherungsnachweise, Steuerbescheide und Personalausweise. Diese Daten wurden auch dann weiterhin vorgehalten, wenn es für ihre Speicherung keinen rechtfertigenden Zweck mehr gab – die betreffenden Mietverhältnisse waren bereits beendet.
Das Gericht stellte fest, dass Deutsche Wohnen im Zeitraum vom 25. Mai 2018 bis zum 5. März 2019 gegen die Grundsätze der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verstoßen hatte. Mit dem 25. Mai 2018 endete die Übergangsfrist für die Anwendbarkeit der DSGVO – Unternehmen hätten ab diesem Datum ihre Datenverarbeitungsprozesse vollständig in Einklang mit der neuen Verordnung bringen müssen. Deutsche Wohnen hatte es versäumt, sein bestehendes Archivsystem rechtzeitig um eine funktionierende Löschfunktion zu ergänzen oder zu ersetzen, obwohl der Handlungsbedarf seit dem Inkrafttreten der DSGVO im Mai 2016 erkennbar war.
Ein zentrales Ergebnis des EuGH-Urteils vom Dezember 2023, das dieses Verfahren so bedeutsam macht, betrifft die Frage der Unternehmenshaftung: Der EuGH stellte klar, dass Bußgelder nach Art. 83 DSGVO unmittelbar gegen juristische Personen verhängt werden können – ohne dass zuvor eine natürliche Person als Verantwortlicher identifiziert und ihr ein Verstoß zugerechnet werden muss. Diese Klärung war in Deutschland dringend notwendig, da ein Teil der deutschen Gerichte zuvor aus dem deutschen Ordnungswidrigkeitenrecht ein Erfordernis der persönlichen Vorwerfbarkeit abgeleitet hatte. Die EuGH-Entscheidung beseitigte diese Unsicherheit: Unternehmen haften direkt und unmittelbar für DSGVO-Verstöße, die innerhalb ihrer Sphäre begangen werden.
Für die Praxis bedeutet dies: Die datenschutzrechtliche Unternehmensverantwortung ist nicht abdingbar und nicht delegierbar. Es reicht nicht aus, einen Datenschutzbeauftragten zu bestellen und das Thema intern zu delegieren. Die Unternehmensleitung trägt die Gesamtverantwortung für die Einhaltung der DSGVO-Grundsätze – und damit auch das persönliche Haftungsrisiko, wenn datenschutzrechtliche Pflichten auf Unternehmensebene nicht erfüllt werden. Das Urteil des LG Berlin I setzt diese Vorgabe des EuGH konsequent um.
Das Landgericht hat die Bußgeldhöhe von ursprünglich 14,5 Millionen auf 900.000 Euro erheblich reduziert. Die Begründung ist für Unternehmen aufschlussreich: Das Gericht berücksichtigte, dass die festgestellten Verstöße ausschließlich in einem engen Zeitfenster – den ersten zehn Monaten nach dem Geltungsbeginn der DSGVO – stattgefunden hatten. Es war der Einführungszeitraum der DSGVO, in dem selbst Datenschutzbehörden und Gerichte Mühe hatten, die neuen Anforderungen klar zu definieren und durchzusetzen. Selbst die Berliner Datenschutzbehörde hatte zum Zeitpunkt der beanstandeten Verstöße noch keine abschließenden Auslegungshinweise zu den Löschpflichten gegeben. Diese Umstände wurden bei der Bußgeldbemessung mildernd berücksichtigt.
Zudem wertete das Gericht die aktive Kooperation von Deutsche Wohnen im laufenden Verfahren als strafmildernd. Das Unternehmen hatte die technischen Defizite nach Aufdeckung der Verstöße zügig behoben und die Löschfunktionalität nachgerüstet. Dennoch bleibt das Urteil eine deutliche Botschaft: Ein Verstoß gegen die Grundprinzipien der DSGVO ist auch dann bußgeldbewährt, wenn er in der Anfangsphase des Gesetzes erfolgte – Übergangsschwierigkeiten befreien nicht vollständig von Sanktionen, sondern wirken lediglich mildernd.
Das Urteil des LG Berlin I vom Juni 2026 hat unmittelbare Relevanz für alle Unternehmen, die personenbezogene Daten speichern – also praktisch für jedes Unternehmen in Deutschland. Der Fall Deutsche Wohnen zeigt exemplarisch, welche Risiken entstehen, wenn Datenspeichersysteme nicht von Anfang an mit Löschfunktionen ausgestattet werden. Besonders gefährdet sind Unternehmen, die historisch gewachsene IT-Infrastrukturen betreiben, die vor der DSGVO aufgebaut wurden und in denen eine granulare, kategorisierte Löschung technisch nicht vorgesehen ist.
Konkret sollten Unternehmen folgende Maßnahmen auf ihre Tagesordnung setzen: Erstens eine systematische Überprüfung aller bestehenden Datenspeichersysteme auf die Fähigkeit zur strukturierten, fristgerechten Löschung personenbezogener Daten. Zweitens die Einführung oder Aktualisierung eines dokumentierten Löschkonzepts, das die gesetzlichen Aufbewahrungsfristen, die datenschutzrechtlichen Löschfristen und die technischen Löschmechanismen für jede Datenkategorie konkret benennt. Drittens eine regelmäßige interne Überprüfung, ob die definierten Löschprozesse auch tatsächlich ausgeführt werden – denn eine Richtlinie ohne gelebte Umsetzung schützt nicht vor Bußgeldern. Viertens die Einbindung des Datenschutzbeauftragten und der IT-Abteilung in die Planung von Archivierungssystemen, um sicherzustellen, dass Datenschutzziele von Anfang an in der Systemarchitektur berücksichtigt werden (Privacy by Design, Art. 25 DSGVO).
Das abschließende Urteil im Fall Deutsche Wohnen schließt eines der symbolträchtigsten DSGVO-Verfahren der deutschen Rechtsgeschichte ab. Es bestätigt, dass die DSGVO auch nach Jahren ihrer Geltung noch scharfe Zähne hat – und dass die deutschen Gerichte und Datenschutzbehörden die Bußgeldkompetenz entschlossen einsetzen werden. Die Reduzierung des Bußgeldes auf 900.000 Euro ist kein Signal der Nachsicht, sondern eine sachgerechte Würdigung mildernder Umstände in einem Ausnahmefall. Für Verstöße, die ab 2019 begangen wurden, sind solche Milderungsgründe nicht mehr vorhanden.
Die Klarstellungen des EuGH zur direkten Unternehmenshaftung und zur Anforderung an Datenlöschsysteme haben die Rechtssicherheit in diesem Bereich erheblich erhöht. Für Unternehmen ist die Botschaft eindeutig: Löschpflichten sind nicht optional, und ein fehlendes technisches Löschkonzept ist ein erhebliches Compliance-Risiko. Wer jetzt noch nicht handelt, riskiert im nächsten Verfahren kein Bußgeld aus der Einführungsphase der DSGVO – sondern eines, das den vollen Strafrahmen ausschöpft.
Das Urteil des Landgerichts Berlin I vom 9. Juni 2026 ist mehr als der Abschluss eines Einzelfalls: Es ist eine Zusammenfassung der DSGVO-Rechtsentwicklung der letzten acht Jahre. Die Kernaussagen – Unternehmen haften unmittelbar, Löschpflichten sind ernst zu nehmen, Übergangsschwierigkeiten mildern aber befreien nicht – sind klare Leitlinien für die Compliance-Arbeit. Angesichts zunehmender Durchsetzungsaktivitäten der Datenschutzbehörden in Deutschland und Europa ist die Umsetzung eines robusten Datenlöschkonzepts keine Kür mehr, sondern Pflicht.
Haben Sie Fragen zu DSGVO-Compliance, Datenspeicherung oder Löschkonzepten in Ihrem Unternehmen? Die Anwälte von HUFELD PartGmbB beraten Sie umfassend. Nehmen Sie jetzt Kontakt auf.
Sie sind auf der Suche nach einem ganz bestimmten Thema?
.png)
.png)