Update: DSGVO-Bußgeld gegen Deutsche Wohnen SE

Was das Urteil für Unternehmen bedeutet

Das Landgericht Berlin hat mit vorläufigem Urteil vom 09. Juni 2026 das ursprünglich von der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) verhängte Bußgeld gegen die Deutsche Wohnen SE, eines der größten deutschen Wohnungsunternehmen, von 14,5 Millionen Euro auf 900.000 Euro herabgesetzt. Das entspricht einer Reduktion um rund 94 %. Das Urteil ist derzeit noch nicht rechtskräftig.

Die Entscheidung zeigt: DSGVO-Verstöße werden weiterhin konsequent sanktioniert. Gleichzeitig differenzieren die Gerichte zunehmend bei der Bußgeldbemessung nach Art. 83 DSGVO und berücksichtigen dabei insbesondere Verschuldensgrad, Kooperationsbereitschaft und tatsächliche Abhilfemaßnahmen.

Worum ging es? Der Ausgangsfall im Überblick

Kern des Verfahrens war ein Verstoß gegen die Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Der Grundsatz der Speicherbegrenzung besagt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für den jeweiligen Verarbeitungszweck erforderlich ist. Danach müssen sie gelöscht werden.

Das Gericht sah es als erwiesen an, dass die Deutsche Wohnen SE im Zeitraum von Mai 2018 bis März 2019 keine geeigneten technischen und organisatorischen Maßnahmen implementiert hatte, um die Löschung nicht mehr erforderlicher Mieterdaten sicherzustellen. Betroffen waren sensible Dokumente wie Gehaltsnachweise, Kontoauszüge und Identitätsdokumente, die über den Verarbeitungszweck hinaus gespeichert blieben. Im Rahmen von Stichproben wurden 15 Einzelfälle dokumentiert, in denen Daten trotz Zweckentfall weiterhin vorgehalten wurden.

Warum wurde das Bußgeld um 94 % reduziert?

Die Reduktion von 14,5 Millionen Euro auf 900.000 Euro ergibt sich aus einer differenzierten Einzelfallbewertung nach den Kriterien des Art. 83 Abs. 2 DSGVO. Auch die Berliner Staatsanwaltschaft hatte im Verfahren lediglich ein Bußgeld von 7,3 Millionen Euro beantragt, deutlich unter dem ursprünglichen Bescheid der Aufsichtsbehörde.

Das Landgericht bewertete den Verstoß „in einem milderen Licht“ und stellte fest, dass es sich nicht um eine gezielte oder systematische Missachtung der DSGVO handelte, sondern um Defizite bei der technischen Umsetzung eines komplexen IT-Systems. Entscheidend für die Bußgeldreduzierung waren insbesondere folgende Faktoren:

  • Kooperationsbereitschaft: Das Unternehmen arbeitete aktiv mit der Aufsichtsbehörde zusammen.
  • Abhilfemaßnahmen: Eine technische Neustrukturierung wurde eingeleitet und ein Projekt zur DSGVO-konformen Archivierung gestartet.
  • Kein Vorsatz: Es lag kein vorsätzliches Ignorieren von Datenschutzpflichten vor, sondern ein Umsetzungsdefizit.
  • Teilrechtfertigung: Das Unternehmen argumentierte, dass die Speicherung teilweise durch steuer- oder geldwäscherechtliche Aufbewahrungspflichten gerechtfertigt war.
  • Technische Sicherung: Die betroffenen Daten waren im streitgegenständlichen Zeitraum bereits technisch eingeschränkt („gekappt“) und gegen unbefugten Zugriff gesichert.

Das Gericht berücksichtigte zudem, dass ein groß angelegtes IT-System betroffen war, ein Transformationsprozess bereits lief aber nicht schnell genug umgesetzt wurde und dass seit Inkrafttreten der DSGVO eine zweijährige Übergangsfrist zur Umsetzung bestanden hatte.

Rechtlicher Hintergrund: Das EuGH-Urteil zur Unternehmenshaftung

Die Entscheidung des Landgerichts Berlin steht im direkten Kontext der grundlegenden Rechtsprechung des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2023. In der Rechtssache C-807/21 stellte der EuGH zwei zentrale Grundsätze klar:

  • Datenschutzbehörden können Bußgelder unmittelbar gegen juristische Personen verhängen, ohne dass eine konkrete Leitungsperson als Verantwortliche identifiziert werden muss.
  • Ein Bußgeld setzt jedoch einen schuldhaften Verstoß voraus, bloße objektive Pflichtverletzung reicht nicht aus.

Für die Praxis bedeutet das: Unternehmen haften eigenständig für DSGVO-Verstöße, können sich aber entlasten, wenn sie nachweisen, dass sie technisch und organisatorisch angemessene Maßnahmen ergriffen haben. Genau dieser Maßstab kam im Fall Deutsche Wohnen SE zur Anwendung: Nicht jeder Verstoß führt automatisch zum maximalen Bußgeld, entscheidend sind Verschuldensgrad und tatsächliche Umsetzungsbemühungen.

Kein Freifahrtschein: Warum die Reduktion keine Entwarnung ist

Trotz der Reduktion um rund 94 % hat das Gericht den DSGVO-Verstoß ausdrücklich bestätigt und festgestellt, dass grundlegende Datenschutzpflichten nicht ausreichend umgesetzt wurden. Das verbleibende Bußgeld von 900.000 Euro ist weiterhin erheblich.

Mindestens ebenso relevant sind die mittelbaren Kosten: Das Verfahren zog sich über mehrere Jahre, durchlief verschiedene Instanzen vom Amtsgericht Tiergarten über das Kammergericht Berlin bis zum EuGH und zurück zum Landgericht Berlin und band erhebliche interne Ressourcen. Hinzu kommen Reputationsschäden, die sich schwer beziffern lassen. Der Gesamtaufwand eines solchen Verfahrens übersteigt das reine Bußgeld in der Regel deutlich.

Die Reduktion ist daher weniger Ausdruck einer geringeren Bedeutung des Datenschutzes, sondern Ergebnis einer differenzierten Einzelfallprüfung. Verstöße gegen die Grundprinzipien der DSGVO, insbesondere fehlende Löschkonzepte, werden weiterhin konsequent sanktioniert.

Handlungsempfehlungen: Was Unternehmen jetzt prüfen sollten

Der Fall Deutsche Wohnen SE zeigt ein in der Praxis häufig anzutreffendes Problem: die Lücke zwischen dokumentiertem Löschkonzept und dessen technischer Umsetzung. Genau diese Lücke wurde zum Risiko. Unternehmen sollten daher folgende Maßnahmen priorisieren:

  • Belastbare Löschkonzepte erstellen: Ein Löschkonzept muss differenzierte Aufbewahrungsfristen für jede Datenkategorie festlegen und regelmäßig überprüft werden.
  • Technische Löschmechanismen implementieren: Automatisierte Löschroutinen stellen sicher, dass Daten nach Fristablauf tatsächlich gelöscht werden – unabhängig von manuellen Prozessen.
  • Dokumentation nach Art. 5 Abs. 2 DSGVO sicherstellen: Die Rechenschaftspflicht verlangt, dass nicht nur ein Löschkonzept existiert, sondern dass dessen Umsetzung nachweisbar dokumentiert ist.
  • Proaktiv statt reaktiv handeln: Die Entscheidung zeigt, dass bereits laufende Projekte nicht vor Bußgeldern schützen, wenn die Umsetzung zu langsam erfolgt. Datenschutz muss integraler Bestandteil der IT- und Organisationsstrategie sein.

Häufige Fragen zum Deutsche-Wohnen-Urteil

Ist das Urteil des LG Berlin bereits rechtskräftig?

Nein. Das Urteil vom 09. Juni 2026 ist vorläufig und noch nicht rechtskräftig. Beide Seiten können Rechtsmittel einlegen. Eine abschließende Klärung steht daher noch aus.

Welche Normen hat die Deutsche Wohnen SE verletzt?

Das Gericht stellte Verstöße gegen Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung) und Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) fest. Konkret fehlten technische und organisatorische Maßnahmen zur Löschung nicht mehr erforderlicher Mieterdaten.

Welche Rolle spielt das EuGH-Urteil C-807/21 für die Bußgeldpraxis?

Das EuGH-Urteil aus 2023 klärte zwei grundlegende Fragen: Unternehmen können direkt mit Bußgeldern belegt werden, aber nur bei schuldhaftem Verstoß. Damit entsteht ein differenzierter Prüfungsmaßstab, der über den Fall Deutsche Wohnen SE hinaus für die gesamte DSGVO-Bußgeldpraxis relevant ist.

Können Unternehmen ein Bußgeld durch Kooperation reduzieren?

Ja. Art. 83 Abs. 2 lit. f DSGVO sieht die Kooperationsbereitschaft mit der Aufsichtsbehörde ausdrücklich als bußgeldmindernden Faktor vor. Im Fall Deutsche Wohnen SE wirkten die Zusammenarbeit mit der BlnBDI, die eingeleiteten Abhilfemaßnahmen und der fehlende Vorsatz erheblich bußgeldmindernd.

Autor