Das Landgericht Berlin hat das DSGVO-Bußgeld gegen den Immobilienkonzern Deutsche Wohnen von ursprünglich 14,5 Millionen Euro auf 900.000 Euro reduziert. Das Urteil ist noch nicht rechtskräftig, aber es sendet ein wichtiges Signal für die praktische Anwendung der Datenschutz-Grundverordnung (DSGVO) in Deutschland.
Die Ausgangslage
Die Berliner Datenschutzbehörde verhängte bereits 2019 gegen Deutsche Wohnen ein Bußgeld in Höhe von 14,5 Millionen Euro. Der Immobilienkonzern musste demnach deutlich weniger zahlen, nachdem das Landgericht Berlin in seinem Beschluss I-526OWiGL120 die Strafe erheblich gesenkt hat. Die Staatsanwaltschaft hatte zwar noch ein Bußgeld von 7,3 Millionen Euro beantragt, aber die Kammer entschied sich für eine deutlich niedrigere Summe.
Was war der DSGVO-Verstoß?
Deutsche Wohnen speicherte zwischen Mai 2018 und März 2019 personenbezogene Daten ehemaliger Mieter unrechtmäßig lange, ohne sie zu löschen. Betroffen waren Dokumente wie Kopien von Personalausweisen, Gehaltsabrechnungen, Mietschuldenfreiheitsbestätigungen sowie Kontoauszüge und Selbstauskünfte. Das Archivsystem der Immobiliengesellschaft bot keinerlei Löschmöglichkeit, was einen klassischen Verstoß gegen das DSGVO-Löschkonzept nach Artikel 17 darstellt.
Die Begründung der Reduktion
Das Landgericht Berlin sah ein Bußgeld von 14,5 Millionen Euro nicht als angemessen an. Die Kammer begründete die Reduktion auf 900.000 Euro mit drei wesentlichen Punkten: Die Strafe bleibt wirksam, sie ist verhältnismäßig und sie ist ausreichend abschreckend. Ein Bußgeld von 900.000 Euro erfüllt alle gesetzlichen Anforderungen ohne die Höhe des ursprünglichen Bescheids.
Strafmildernd wirkten sich mehrere Faktoren aus. Deutsche Wohnen hatte erste Maßnahmen zur Beseitigung des datenschutzwidrigen Zustands eingeleitet und kooperierte gut mit der Datenschutzbehörde. Zudem gab es keinen Datenmissbrauch, was das Gericht ebenfalls positiv bewertete.
Der langjährige Rechtsstreit
Dieser Fall ist über Jahre hinweg bekannt und daher ein - immer noch - aktuelles Thema im Bereich Datenschutz. Bereits im Juni 2017 hatte die Datenschutzbehörde in Berlin beanstandet, dass sich die Deutsche Wohnen aufgrund eines fehlenden Löschkonzeptes datenschutzwidrig verhielt. Der Bußgeldbescheid der Datenschutzbeauftragten Maja Smoltczyk enthalte gravierende Mängel, argumentierte Deutsche Wohnen in der Folge. Die Entscheidung des Gerichts stehe im Widerspruch zur Rechtsauffassung sämtlicher deutscher Datenschutzbehörden, was die Komplexität des Falls weiter erhöhte.
Seit dem 2. März 2026 verhandelt das Landgericht über das von der Berliner Datenschutzbehörde BlnBDI verhängte Bußgeld. Die Berliner Datenschutzbehörde hatte 2019 gegen den Immobilienkonzern ein Bußgeld in Höhe von 14,5 Millionen Euro verhängt, was nun deutlich reduziert wurde.
Das EuGH-Urteil 2023 als Vorwegnahme
Der Europäische Gerichtshof entschied 2023 in der Sache Deutsche Wohnen vs. Berlin (C-80/22) zwei zentrale Punkte, die für den aktuellen Fall entscheidend sind. Für ein DSGVO-Bußgeld gegen eine juristische Person muss nicht zuvor einer natürlichen Person der Verstoß zugerechnet werden. Gleichzeitig gilt das Schuldprinzip: Ohne vorsätzliche oder fahrlässige Handlung kann keine Geldbuße verhängt werden.
Der EuGH stellte klar, dass eine rein objektive Pflichtverletzung nicht ausreichend ist. Vorsatz oder Fahrlässigkeit müssen nachgewiesen werden, was die Anforderungen an die Behörde deutlich erhöht.
Was bedeutet das für Unternehmen?
Für alle Verantwortlichen nach der DSGVO bleibt unverändert wichtig, dass ein funktionierendes Löschkonzept essenziell ist. Jedes Unternehmen muss ein solches Konzept haben, das unrechtmäßig oder nicht mehr benötigte Daten automatisch entfernt. Der Verstoß bei Deutsche Wohnen dauerte über Jahre und betrifft einen sechsstelligen Bereich von Mieterdaten, was die Dringlichkeit verdeutlicht.
Bußgelder sind zudem nicht automatisch in Millionenhöhe festzusetzen. Auch bei sechsstelligen Betroffenenzahlen kann das Gericht eine verhältnismäßige Strafe unter dem gesetzlichen Maximum ansetzen. Die Prüfung erfolgt individuell nach Wirksamkeit, Verhältnismäßigkeit und Abschreckungseffekt.
Schnelle Maßnahmen zur Korrektur und gute Zusammenarbeit mit der Aufsichtsbehörde können das Bußgeld deutlich reduzieren. Die Kooperation und Eigeninitiative wirken sich strafmildernd aus, was Unternehmen nutzen sollten, falls sie einen Verstoß entdecken.
Nach dem EuGH-Urteil reicht es nicht, dass ein Verstoß objektiv besteht. Die Behörde muss Vorsatz oder Fahrlässigkeit des Verantwortlichen beweisen, was die Hürden für die Verhängung von Bußgeldern erhöht.
Fazit
Das reduzierte Bußgeld gegen Deutsche Wohnen zeigt eindeutig, dass DSGVO-Bußgelder nicht automatisch in Millionenhöhe festzusetzen sind. Das Gericht prüft Wirksamkeit, Verhältnismäßigkeit und Abschreckungseffekt individuell und entscheidet fallbezogen. Für alle Verantwortlichen bleibt aber unverändert: Ein funktionierendes Löschkonzept ist unverzichtbar. Der Verstoß dauert hier über Jahre und betrifft zahlreiche Mieter – das Risiko ist real und teuer.
Aber vergiss nicht: Selbst dieses reduzierte Bußgeld von 900.000 Euro ist für die meisten Unternehmen eine existenzbedrohende Summe. Und das ist noch nicht das Maximum: Für besonders gravierende DSGVO-Verstöße drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher Wert höher ist.
Die Folgen eines DSGVO-Verstoßes gehen weit über Bußgelder hinaus. Zusätzlich drohen materieller und immaterieller Schadensersatz für Betroffene nach Artikel 82 DSGVO. Mitarbeiter können bei Verstößen gegen den Beschäftigtendatenschutz finanzielle Ausgleich verlangen – deutsche Arbeitsgerichte haben bereits Entschädigungen von mehreren tausend Euro zugesprochen. Zudem können Aufsichtsbehörden Verarbeitungverbote aussprechen, was deine Geschäftsprozesse komplett lahmlegen kann. Ein negatives Image durch Medienberichte oder Investigativ-Journalismus schadet deinem Unternehmen langfristig noch mehr.
Was ein externer Datenschutzbeauftragter (DSB) unterstützend tun kann
Ein externer Datenschutzbeauftragter ist deine beste Verteidigung gegen diese Risiken. Er übernimmt konkrete Aufgaben, die du selbst kaum leisten kannst:
- Beratung und Schulung: Der externe DSB beraten dich bei der Umsetzung der DSGVO, klärt Prozesse und schult deine Mitarbeiter regelmäßig. Das verhindert Verstöße aus Unwissenheit.
- Überwachung und Kontrolle: Er überwacht kontinuierlich, ob deine Datenschutzmaßnahmen funktionieren – inklusive der Implementierung eines funktionierenden Löschkonzepts, wie es bei Deutsche Wohnen fehlte.
- Folgenabschätzung: Bei riskanten Datenverarbeitungen führt der externe DSB eine Datenschutz-Folgenabschätzung (DSFA) durch und identifiziert Risiken, bevor sie teuer werden.
- Ansprechpartner für Behörden: Der externe DSB ist offizieller Kontakt für die Aufsichtsbehörde. Bei einem Verstoß koordiniert er die Kommunikation, sorgt für schnelle Maßnahmen und baut Vertrauen – was strafmildernd wirkt wie im Fall Deutsche Wohnen.
- Rechtssicherheit: Ein externer DSB gemäß DSGVO-Besetzung schützt dich vor der Pflicht, einen bestimmten internen DSB zu bestellen. Viele Unternehmen sind gemäß Artikel 37 DSGVO verpflichtet, einen DSB zu bestellen – ein externer DSB ist oft die beste und kosteneffiziente Wahl.
- Schnelle Reaktion bei Verstößen: Falls ein Verstoß entdeckt wird, hilft der externe DSB bei der Selbstanzeige, Schadensminimierung und Koordination mit der Behörde. Das kann das Bußgeld deutlich reduzieren.
Ein externer DSB ist deutlich kosteneffizienter als ein Vollzeit-Interner und bietet dir professionelle Expertise ohne die Risiken einer internen Besetzung.
Für eine Beratung nehmen Sie gerne Kontakt zu mir auf oder buchen direkt hier einen individuellen Beratungstermin zum Datenschutz.