Ein Urteil, das jahrelang durch die Instanzen wanderte, ist nun an einem vorläufigen Endpunkt angekommen — und es lohnt sich, genauer hinzuschauen, was es für die unternehmerische Praxis bedeutet.
Das Landgericht Berlin I hat Mitte Juni 2026 entschieden, dass der Immobilienkonzern Deutsche Wohnen wegen unzureichender Löschpraktiken ein Bußgeld in Höhe von 900.000 Euro zu zahlen hat. Ursprünglich hatte die Berliner Datenschutzaufsicht im Jahr 2019 fast das 16-Fache verlangt — nämlich 14,5 Millionen Euro.
Der Vorwurf: Das Unternehmen habe über Monate hinweg Mieterdaten aufbewahrt, die für die Vertragsdurchführung längst nicht mehr erforderlich waren. Identitätsnachweise, Bonitätsinformationen, sensible Unterlagen — gespeichert, ohne klare Rechtsgrundlage.
Das Gericht erkannte zwar die Haftung dem Grunde nach an, gewichtete aber das kooperative Verhalten des Unternehmens sowie die eingeleiteten technischen Maßnahmen mildernd. Der Vorsitzende Richter brachte es auf den Punkt: Man hätte die Lösung nur schneller auf den Weg bringen müssen.
Was der Weg durch die Instanzen lehrt
Die Prozessgeschichte selbst ist aufschlussreich. Ein erstes Berliner Gericht hatte den Bußgeldbescheid 2021 noch kassiert — weil keine konkret verantwortliche Führungsperson benannt worden war. Das entsprach dem deutschen Ordnungswidrigkeitenrecht, das eine solche Zurechnung traditionell voraussetzt. Der Europäische Gerichtshof zog 2023 jedoch eine klare Grenze: Das europäische Datenschutzrecht kennt dieses Zurechnungserfordernis nicht. Unternehmen können direkt haftbar gemacht werden, ohne dass ein namentlich identifizierter Verantwortlicher in der Führungsebene nachgewiesen sein muss. Verschulden ist dennoch erforderlich — aber es kann dem Unternehmen als solchem angelastet werden.
Das ist keine Spitzfindigkeit. Es ist eine strukturelle Aussage darüber, wie Datenschutzhaftung in Europa funktioniert.
Warum das für alle Unternehmen relevant ist
Man könnte meinen, ein solches Verfahren betreffe nur Großkonzerne mit komplexen Archivsystemen. Das wäre ein Trugschluss. Der zugrundeliegende Sachverhalt — Daten werden länger aufbewahrt als erlaubt, weil es kein funktionierendes Löschkonzept gibt — ist in Unternehmen jeder Größe anzutreffen.
Das Verfahren zeigt außerdem: Wer sich auf den Standpunkt stellt, schon irgendwie im Recht zu sein, riskiert einen langen und kostspieligen Rechtsstreit. Das Urteil ist noch nicht rechtskräftig. Beide Seiten — Unternehmen wie Aufsichtsbehörde — können Rechtsmittel einlegen. Es könnten noch Jahre vergehen, bis eine endgültige Entscheidung vorliegt.
Die entscheidende Frage: Wer kümmert sich darum?
Datenschutz ist kein einmaliges Projekt, das man abhakt und vergisst. Er erfordert kontinuierliche Aufmerksamkeit: Werden Löschfristen eingehalten? Sind Verarbeitungszwecke noch aktuell? Stimmt die Rechtsgrundlage noch? Wird das Verzeichnis der Verarbeitungstätigkeiten gepflegt?
Genau hier liegt der praktische Mehrwert eines qualifizierten Datenschutzbeauftragten — ob intern oder extern bestellt. Er oder sie übernimmt nicht nur die Überwachungsfunktion, sondern auch die Beratung bei konkreten Fragen, die Schulung der Mitarbeitenden und die Kommunikation mit der Aufsichtsbehörde. Im Zweifel kann genau diese Kooperationsbereitschaft — wie im Fall Deutsche Wohnen sichtbar — bußgeldmindernd wirken.
Und auch wer gesetzlich nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, sollte sich fragen: Wer in meinem Unternehmen hat den Überblick? Wer stellt sicher, dass nicht irgendwo Daten schlummern, die schon längst hätten gelöscht werden müssen?
Fazit
Das Urteil gegen Deutsche Wohnen ist kein Freispruch — es ist eine Mahnung mit reduzierter Strafe. Die Botschaft dahinter bleibt klar: Datenschutzverstöße haben in Europa reale Konsequenzen, unabhängig davon, ob eine konkrete Einzelperson dafür verantwortlich gemacht werden kann. Wer frühzeitig in Strukturen, Prozesse und kompetente Beratung investiert, schützt sich nicht nur vor Bußgeldern — er handelt einfach rechtmäßig.
