Das Landgericht Berlin I hat am 9. Juni 2026 ein DSGVO-Bußgeld gegen die Deutsche Wohnen SE um etwa 94 Prozent reduziert. Das Verfahren betrifft eine durch die Berliner Datenschutzbeauftragte (BlnBDI) im Oktober 2019 verhängte Geldbuße von 14,5 Millionen Euro. Der EuGH hat in diesem Verfahren bereits eine Grundsatzentscheidung zu Art. 82 DSGVO gefällt und der Forderung der Datenschutzbehörden nach einer verschuldensunabhängigen Bußgeldhaftung eine Absage erteilt. Damit dürfte es der derzeit bedeutendste datenschutzrechtliche Bußgeldprozess in der EU sein. Die für das Bußgeldverfahren maßgeblichen Anforderungen an das Löschen von Daten und den Datenschutz durch Technikgestaltung sind auch für das Training und den Einsatz von KI-Systemen von zentraler Bedeutung. Der vorliegende Überblick erläutert die Hintergründe und das weitere Vorgehen aus der Sicht der Verteidigung.

Das bisherige Verfahren und seine Hintergründe

Das Verfahren gegen die Deutsche Wohnen gilt als eines der bislang wichtigsten DSGVO-Bußgeldverfahren in der EU. Es hat den EuGH bereits einmal beschäftigt und hat weit über den Datenschutz hinausreichende Bedeutung auch für Sanktionen nach den anderen EU Digitalrechtsakten, wie etwa den EU AI Act.

Die BlnBDI hatte im Oktober 2019 eine Geldbuße von etwa 14,5 Millionen Euro gegen die Deutsche Wohnen verhängt. Damals war es die höchste DSGVO-Geldbuße in Deutschland und eine der höchsten in der EU. Die BlnBDI beanstandete im Bußgeldbecsheid die Strukturen bei der Archivierung und Löschung von Mieterdaten in den Jahren 2018 bis 2019. Die zur Last gelegten Vorwürfe betrafen mögliche Verstöße gegen Löschpflichten und gegen den Datenschutz durch Technikgestaltung nach Art. 25 DSGVO. Diese Anforderungen sind weit über den Einzelfall hinaus relevant, denn sie betreffen beispielsweise auch das Training und den Einsatz von KI-Systemen.

Wann müssen Daten gelöscht werden? Gerade in KI-Systemen oder KI-Modellen ist es kaum möglich, einzelne zum TRaining genutzte Daten herauszuziehen und zu löschen. Zumal sich weitere wichtige Fragen stellen: wann sind Daten in IT-Systemen als gelöscht zu bewerten? Und welche technischen und organisatorischen Maßnahmen und welche Systeme sind zur Umsetzung der Pflicht zum sog. „privacy by design“, also zum Datenschutz durch Technikgestaltung nach Art. 25 Abs. 1 DSGVO erforderlich? Diese grundlegenden Fragen stellen sich für jedes Unternehmen, das mit personenbezogenen Daten in IT-Systemen arbeitet – sei es in einem klassischen Archivsystem oder beim Trainieren und Einsatz eines KI-Modells.

Das vorliegende Verfahren hat seit 2019 eine bemerkenswerte prozessuale Geschichte durchlaufen. Das Landgericht Berlin stellte den Bußgeldprozess im Februar 2021 bereits vor der Durchführung einer Hauptverhandlung ein, weil es eine juristische Person nicht als taugliche Täterin einer Ordnungswidrigkeit nach Art. 83 DSGVO ansah. Es argumentierte, dass Unternehmen zwar Adressaten einer Geldbuße sein können. Sie können aber nur durch natürliche  Personen handeln, deren schuldhaftes Handeln dem Unternehmen nach rechtsstaatlichen Grundsätzen zugerechnet werden muss. Das Kammergericht Berlin legte die Sache in der nächsten Instanz dem EuGH vor. Dieser entschied im Dezember 2023, dass DSGVO-Geldbußen gegen Unternehmen schuldhaftes Handeln voraussetzen. Damit erteilte er der von der BlnBDI vertretenen verschuldensunabhängigen Unternehmenshaftung eine klare Absage. Die  für das Unternehmen handelnden Vertreter müssten aber nicht identifiziert werden. Das Kammergericht hob daraufhin im Januar 2024 die Einstellung des Verfahrens durch das Landgericht Berlin auf und verwies die Sache zurück. Bis hierhin war es ein allein auf der Grundlage rechtlicher Fragestellungen geführter Rechtsstreit. Ab 2025 fand vor dem Landgericht Berlin I die Hauptverhandlung statt, die zu dem jetzt ergangenen Urteil führte.

Die Entscheidung des Landgerichts Berlin I

Das Landgericht Berlin I hat am 9 . Juni 2026 (Aktenzeichen 526 OWi LG 1/20) erstmalig als Tatgericht im Rahmen einer Hauptverhandlung und auf der Basis einer umfassenden Beweiserhebung entschieden. Es hat das Bußgeld im Anschluss an die Entscheidung des EuGH zu einem ganz erheblichen Teil aufgehoben. Wesentliche Annahmen des Bußgeldbescheids wurden widerlegt. Das Gericht erkannte an, dass die von der BlnBDI geforderte Systemumstellung technisch und organisatorisch äußerst aufwändig war. Die Beweisaufnahme bestätigte, dass das Unternehmen bereits vor Geltung der DSGVO mehrere Millionen Euro investiert hatte, und widerlegte weitere zentrale Annahmen des Bescheids. In einigen rechtlichen Punkten folgte die Kammer hingegen der BlnBDI – nach meiner Einschätzung teilweise gegen die Rechtsprechung des EuGH. So haben die Luxemburger Richter bereits entschieden, dass die DSGVO ein Risikomanagementsystem unter Abwägung der Belange aller Beteiligten fordert – und keine hundertprozentige Gewährleistung aller Schutzziele. Die mündliche Urteilsbegründung der Berliner Richter war an dieser Stelle recht vage. Es wird insofern spannend werden, die schriftliche Urteilsbegründung zu analysieren.

Welche Gründe gab es für einen Freispruch?

Zwei Gründe tragen aus Sicht der Verteidigung jeweils für sich genommen einen Freispruch:

• Erstens fehlte es bereits an den Voraussetzungen einer Löschpflicht.
• Zweitens legte der Bußgeldbescheid beim Datenschutz durch Technikgestaltung einen Maßstab an, der an der DSGVO vorbeigeht.

Beide Punkte hängen zusammen, denn der Hauptvorwurf des Bescheids steht und fällt mit der fehlerhaften Prämisse, es habe eine Löschpflicht bestanden.

Die Rechtslage klingt nur auf den ersten Blick einfach: Daten sind dann zu löschen, wenn sie nicht mehr für die Zwecke benötigt werden, für die sie verarbeitet werden. Sind noch Zwecke offen, besteht keine Löschpflicht. Die entscheidende Frage lautet also: Zu welchen Zwecken verarbeitete die Deutsche Wohnen die betreffenden Daten? Und genau diese Frage beantwortet der Bußgeldbescheid falsch.

Falsche Annahmen zu den Verarbeitungszwecken

Der Bußgeldbescheid unterstellt, die von der BlnBDI beanstandeten Daten hätten ausschließlich zur Begründung des Mietverhältnisses gedient. Das ist ein zentraler Fehler des gesamten Bescheids, und die Beweisaufnahme hat ihn klar offengelegt. Die BlnBDI hat sich nicht die Mühe gemacht, die tatsächlichen Verarbeitungszwecke zu ermitteln. Die als Zeugen vernommenen zuständigen Sachbearbeiter der BlnBDI haben dies bei ihren Vernehmungen in der Hauptverhandlung einräumen müssen. Die BlnBDI hat wesentliche Verarbeitungszwecke schlicht ignoriert und an deren Stelle eigene, verkürzte Mutmaßungen gesetzt.

Tatsächlich dienten die Daten über die bloße Begründung des Mietverhältnisses hinaus zahlreichen weiteren, legitimem Zwecken: der Befolgung steuer- und handelsrechtlicher Aufbewahrungspflichten, der Abwehr von Rechtsansprüchen, der Geldwäscheprävention, der Vertrags- und Risikosteuerung sowie datenbasierten Analysen des Mieterbestands. Auch der EuGH hat erst kürzlich ausdrücklich anerkannt, dass die Verarbeitung personenbezogener Daten und nuterschiedliche Zwecke und damit Rechtsgrundlagen gestützt werden kann (Urteil v. 18. Juni 2026 – C-484/24, Rs. NTH Haustechnik GmbH gegen EM, Rn. 48).

Der Bußgeldbescheid behauptet sogar fälschlich, die Deutsche Wohnen habe kein berechtigtes Interesse zur Aufbewahrung vorgetragen. Das widerspricht aber dem Akteninhalt: Die Verteidigung hat die Rechtsgrundlagen mehrfach dargelegt – im Ermittlungsverfahren und in der Hauptverhandlung. Der Bescheid ignoriert nicht nur die tatsächlichen Verarbeitungszwecke, sondern stellt auch die erkennbar unwahre Behauptung auf, andere Rechtsgrundlagen seien nicht ersichtlich – nicht ersichtlich nur deshalb, weil nicht hinreichend geprüft wurde.

Damit fehlt es bei allen 15 von der Behörde zur Last gelegten Einzelfällen an den Voraussetzungen einer Löschpflicht. Die Verarbeitungszwecke waren entgegen den Annahmen im Bescheid nicht erfüllt. Die Daten waren nicht überflüssig geworden. Das Landgericht hat dies in der mündlichen Urteilsbegründung anders bewertet. Offenbar ist es dabei der Argumentation der BlnBDI gefolgt, die hier sehr enge Maßstäbe anlegte. Die Einzelheiten werden sich wohl erst aus der schriftlichen Urteilsbegründung ergeben.

Maßstab beim Datenschutz durch Technikgestaltung

Art. 25 Abs. 1 DSGVO gibt eine datenschutzrechtliche Handlungspflicht zum sog. „privacy by design“ vor. Danach muss der Verantwortliche „geeignete technische und organisatorische Maßnahmen“ treffen. Diese Maßnahmen sollen für die Umsetzung der Datenschutzgrundsätze „ausgelegt“ sein. Das ist eine Systemvorschrift mit einem risikobasierten Ansatz – sie berücksichtigt den Stand der Technik, die Implementierungskosten und die mit der Verarbeitung verbundenen Risiken.

Der Bußgeldbescheid machte aus dieser Systemvorschrift hingegen eine Garantienorm. Die BlnBDI bewertet Art. 25 DSGVO nach ihren eigenen Worten als Vorschrift für eine lückenlose Umsetzung ihrer Vorstellungen. „Ausgelegt“ sein ist aber etwas grundlegend anderes als garantieren. Die DSGVO verlangt angemessene Maßnahmen, keine hundertprozentige Gewährleistung. Der EuGH hat das in seiner Rechtsprechung ausdrücklich klargestellt. In seinem Urteil vom 14. Dezember 2023 in der Rechtssache C-340/21 (Natsionalna agentsia za prihodite) stellte er klar:

„Die DSGVO führt ein Risikomanagementsystem ein und behauptet in keiner Weise, dass sie das Risiko von Verletzungen des Schutzes personenbezogener Daten beseitigt.“

Die Konsequenzen dieses Auslegungsfehlers der BlnBDI sind erheblich. Folgte man dem Ansatz des Bußgeldbescheids, müsste jeder Verantwortliche bei jeder Speicherung jedem einzelnen Datum sämtliche einschlägigen Speicherzwecke zuordnen und hieraus Speicherfristen ableiten. Und das nicht nur für neu gespeicherte Daten, sondern auch für sämtliche Bestandsdaten und Archivdaten.

Auch heute dürften viele Unternehmen nicht die unverhältnismäßigen Forderungen der BlnBDI erfüllen.

Umsetzung der Vorgaben der Datenschutzbehörde

Das Unternehmen hat sich seit 2016 auf die Umsetzung der DSGVO vorbereitet. Seit 2017 war es in Kontakt mit der BlnBDI. Die Behörde machte keine konkreten Angaben, wie die Deutsche Wohnen ihr künftiges Archivsystem genau aufsetzen soll. Dennoch versuchte das Unternehmen, die Anforderungen früh- und rechtzeitig umzusetzen.

Die Deutsche Wohnen entschloss sich, für die geforderten Umstellungen über vier Millionen Euro auszugeben, statt sich lange über rechtliche Grundsatzfragen zu streiten. Der Vorstand veranlasste bereits 2017, dass von der Behörde beanstandete Daten zu Ausweisen und Bonitätsnachweisen nicht mehr erhoben wurden. Zudem kappte die Deutsche Wohnen die Datenverbindungen zu Altdaten, um Zugriffe auf nicht mehr relevante Daten auszuschließen. Das neue Archivsystem war längst nach den Vorstellungen der BlnBDI ausgestaltet und in Betrieb genommen, als im Oktober 2019 der Bußgeldbescheid kam.

Die Rolle des Sachverständigengutachtens

Das Gutachten des vom Gericht bestellten IT-Sachverständigen war ein Schlüsselelement der Beweisaufnahme. Der Gutachter stellte fest: Für die historischen Daten bestand systembedingt technisch keinerlei Möglichkeit, einzelne Dateien so zu löschen, wie dies die Behörde forderte. Ein selektives Löschen innerhalb gespeicherter Dateien oder vollständiges Löschen ganzer Dateien war im Rahmen des 2009 in Betrieb genommenen Archivsystems technisch ausgeschlossen. Das lag auch daran, dass die Daten entsprechend den Anforderungen der Steuerbehörden und Wirtschaftsprüfer revisionssicher, also nachweislich unveränderbar gespeichert werden mussten. Was der Bußgeldbescheid also verlangte, war schlicht nicht machbar.

Zur Dauer der Systemumstellung kam der Sachverständige zu dem Ergebnis: Unter den gegebenen Rahmenbedingungen lag die Dauer der gesamten Migration aus fachlicher Sicht in einem erwartbaren und plausiblen Rahmen. Auch das Gericht führte in der Hauptverhandlung aus, man hätte den Prozess „wohl nicht viel schneller umsetzen können“.

Zur Kappung der Datenverbindungen – also der von der Deutsche Wohnen vorgenommenen Sperrung des Zugriffs auf die archivierten Daten – stellte der Sachverständige fest: Durch die gezielte Löschung der Dokument-IDs konnte der Zugriff auf die im Archiv abgelegten Dateien wirksam unterbunden werden. Ein gezielter Zugriff auf die Daten einzelner Mieter war nicht möglich. Das sind genau die Maßnahmen, die ein risikobasierter Datenschutz durch Technikgestaltung verlangt.

Die Vorverlagerung des Tatvorwurfs vor die Geltung der DSGVO

Das Gericht hat die Regelungen zur zeitlichen Geltung der DSGVO in seiner Entscheidung vom 9. Juni 2026 so ausgelegt, dass das bereits 2016 begonnene IT-Projekt früher hätte abgeschlossen sein müssen – nach dieser Auffassung bereits zum ersten Tag der Geltung der DSGVO am 25. Mai 2018. Diese Auslegung ist nach unserer Überzeugung mit dem Unionsrecht unvereinbar.

Der Stichtag des Art. 99 Abs. 2 DSGVO markiert den Beginn der Pflicht zur Umsetzung des Datenschutzes durch Technikgestaltung, nicht deren Abschluss. Art. 25 DSGVO ist eine dynamische Verhaltenspflicht – kein Alles-oder-Nichts-Tatbestand in Form einer Garantiehaftung für alle Schutzziele der DSGVO, sondern ein iterativer Prozess. Eine vollständige Implementierung am ersten Geltungstag war bei der Komplexität der Archivsysteme selbst bei optimaler Vorbereitung unmöglich. Der technische Sachverständige hat dies klar bestätigt.

Wer fordert, dass die Umstellung zum 25. Mai 2018 abgeschlossen sein muss, verlangt faktisch Vorbereitungsmaßnahmen im Zeitraum zwischen 2016 und 2018. In diesem Zeitraum galt die DSGVO aber noch nicht. Art. 25 DSGVO hatte im alten BDSG überhaupt keine Entsprechung – eine derartige Rechtspflicht gab es schlicht nicht. Eine Vorverlagerung des Tatvorwurfs verstößt gegen den Grundsatz der Gesetzmäßigkeit, das Rückwirkungsverbot und den Bestimmtheitsgrundsatz nach Art. 49 Abs. 1 der Charta der Grundrechte (GRCh) der Europäischen Union. Kein Normadressat konnte aus dem Wortlaut der DSGVO ableiten, welcher konkrete Umsetzungsgrad zu welchem Zeitpunkt innerhalb der Übergangsfrist erreicht sein musste. Art. 25 Abs. 1 DSGVO verlangt beispielsweise eine konstante Berücksichtigung des jeweiligen Stands der Technik. Würde man der Argumentation der Behörde folgen, hätte man 2016 bei Verkündung der DSGVO bereits den Stand der Technik im Mai 2018 prognostizieren müssen. Das ist nicht nur rechtlich der falsche Weg. Auch der gerichtlich bestellte Sachverständige hat in der Hauptverhandlung bestätigt, dass man so eine Prognose 2016 gar nicht hätte anstellen können. Dafür entwickelt sich der Stand der Technik in zwei Jahren viel zu dynamisch und unvorhersehbar.

Zudem verlangt der EuGH für Geldbußen nach Art. 83 DSGVO ein schuldhaftes Verhalten – der Verstoß muss vorsätzlich oder fahrlässig begangen worden sein. Knüpft man den Schuldvorwurf an ein Unterlassen vor dem 25. Mai 2018 an, den objektiven Normverstoß aber erst nach diesem Datum, fallen beide zeitlich auseinander. Das ist mit dem Koinzidenzprinzip nicht vereinbar.

Grundsatzfragen für den EuGH?

Bei der Entscheidung geht es um komplexe und bislang richterlich ungeklärte datenschutzrechtliche Fragen. Wir sehen eine ganze Reihe von maßgeblichen Vorlagefragen:

• Wer legt die Zwecke der Verarbeitung fest? Dürfen Datenschutzbehörden bei der Frage nach Löschpflichten – oder auch sonst bei der Verarbeitung personenbezogener Daten – tatsächlich vom Unternehmen verfolgte und festgelegte Verarbeitungszwecke ignorieren und können diese durch nicht näher belegte Mutmaßungen ersetzen?
• Ist der Datenschutz durch Technikgestaltung eine umfassende Garantiepflicht zur vollständigen Einhaltung aller Vorstellungen einer Datenschutzbehörde oder eine Pflicht, ein angemessenes Risikomanagementsystem umzusetzen? Begründet Art. 25 Abs. 1 DSGVO eine Pflicht, die bereits am ersten Geltungstag vollständig umgesetzt sein muss, oder handelt es sich um eine dynamische, kontinuierlich zu erfüllende Handlungspflicht?
• Ab wann gilt die DSGVO wirklich? Steht der unionsrechtliche Grundsatz der Unmöglichkeit einer Sanktionierung für ein Verhalten entgegen, das am Stichtag objektiv nicht umsetzbar war? Ist die Anknüpfung an eine vermeintlich unzureichende Vorbereitung im Ãœbergangszeitraum vor Geltungsbeginn der DSGVO mit den Verfahrensgarantien des Art. 49 Abs. 1 GRCh vereinbar?

Daneben gibt es weitere Punkte, die der EuGH im Falle eines Schuldspruchs zu Gunsten der BlnBDI – und meines Erachtens gegen die DSGVO – auslegen müsste, um tatsächliche Datenschutzverstöße anzunehmen. Falls das Verfahren in der Rechtsmittelinstanz fortgesetzt würde, müsste letztlich der EuGH diese Fragen klären.

Wie geht es weiter?

Der EuGH ist in diesem Verfahren bereits einmal unseren Argumenten gefolgt. Wir sind zuversichtlich, dass ein etwaiges Rechtsmittelverfahren bei zutreffender Auslegung des europäischen und deutschen Rechts mit einem vollständigen Freispruch enden wird. Das wäre dann bereits die zweite EuGH-Vorlage in diesem Verfahren. Das vorliegende Verfahren zeigt aber schon jetzt, dass man sich mit guten Argumenten erfolgreich gegen DSGVO-Bußgelder verteidigen kann.

Bedeutung für KI-Anwendungen und das EU-Digitalrecht

Die Grundsatzentscheidung des EuGH und die erstinstanzliche Entscheidung des Landgerichts Berlin I geben auch wichtige Weichenstellungen für Bußgelder nach der DSGVO und anderen EU-Digitalrechtsakten vor – wie dem AI Act, dem Digital Markets Act und dem Digital Services Act. Die Sanktionssysteme dieser Rechtsakte beruhen auf dem der DSGVO. Die vom Gericht geprüften Anforderungen an die Datenlöschung und den Datenschutz durch Technikgestaltung sind für das Training und den Einsatz von KI-Systemen von zentraler Bedeutung.

Es zeigt sich ein Muster: Datenschutzbehörden konzentrieren sich in Bußgeldverfahren auf Fragen, die unmittelbar das Training und den Einsatz von KI betreffen – oder jedenfalls erschweren. Wir haben kürzlich einen nunmehr rechtskräftigen Freispruch nach einem anderen Millionenbußgeld gegen Volkswagen errungen. Ein zentraler Punkt dieser Entscheidung war die Frage der Anonymisierung – und damit ein Punkt, der auch für den Einsatz von KI zentral ist. Wenn man unverhältnismäßig hohe Anforderungen an die Anonymisierung oder das Löschen von Daten stellt, erschwert man den Einsatz von KI erheblich. Übrigens hat auch ein italienisches Gericht kürzlich ein zweistelliges DSGVO-Millionenbußgeld gegen einen führenden Anbieter eines KI-Modells aufgehoben.

Die drei Verfahren – Deutsche Wohnen, Volkswagen und gegen den KI-Anbieter in Italien – zeigen: Datenschutzbehörden nehmen Positionen ein, welche eine KI-Entwicklung in Europa erschweren. Das ist kein Datenschutz versus KI – beides lässt sich nach der DSGVO vereinbaren. Aber nicht, wenn jede Abwägung zulasten der Wirtschaft ausfällt. Die Maßstäbe müssen stimmen. Wer Art. 25 Abs. 1 DSGVO als Garantienorm für lückenlose Löschung auslegt, stellt damit auch KI-Systeme vor Anforderungen, die in der Praxis kaum erfüllbar sind – etwa bei der Frage, wie trainierte Modelle mit einmal verarbeiteten Daten umgehen sollen. Die DSGVO verlangt geeignete, verhältnismäßige Maßnahmen, nicht technische Perfektion.

Datensicherheit und das Fehlen jedes Schadens

In dem vorliegenden Fall ist zu keinem Zeitpunkt ist ein Datenleck aufgetreten. Es gab keinen unbefugten Zugriff Dritter auf die Mieterdaten. Keinerlei Daten wurden an Dritte weitergegeben, offengelegt oder gar missbräuchlich verwendet. Die Datenzugänge waren gekappt, die Daten selbst waren massiv gesichert und lagen – bildlich gesprochen – abgeschlossen im Tresor des Unternehmens. Niemand hat einen Schaden erlitten. Weder die Deutsche Wohnen noch Dritte haben einen wirtschaftlichen Vorteil aus der beanstandeten Verfahrensweise gezogen.

Selbst wenn man also – entgegen allem, was die Beweisaufnahme ergeben hat – einen Verstoß gegen datenschutzrechtliche Anforderungen annehmen wollte: Ein Bußgeld von über 14,5 Millionen Euro stand in keinem Verhältnis zu einem Sachverhalt, bei dem sich keinerlei Risiken für betroffene Personen realisiert haben. Die gesamte Rechtslage war im Tatzeitraum ungeklärt. Es existierten weder veröffentlichte Urteile noch höchstrichterliche Rechtsprechung zu Ordnungswidrigkeitenverfahren wegen Verstößen nach der DSGVO.

Die Pressemeldung des Landgerichts formuliert dies so: „Tat- und schuldangemessen sei eine Geldbuße in Höhe von 900.000,- Euro (…). Dabei habe die Kammer u.a. gewürdigt, dass die Deutsche Wohnen externe Wirtschaftsprüfer, Berater und IT-Fachleute eingeschaltet habe, um die konzerneigenen IT-Systeme auf die neuen Vorschriften umzustellen. Die festgestellten Verstöße seien lediglich in der Einführungsphase der DSGVO aufgetreten, und auch die Berliner Datenschutzbehörde habe Schwierigkeiten gehabt, sich an die neue Gesetzeslage anzupassen und den Ist-Zustand gerichtsfest zu dokumentieren, weshalb das Bußgeld wesentlich niedriger anzusetzen sei als zunächst von der BlnBDI veranschlagt.“

Fazit, Lehren aus dem Verfahren und seine praktische Bedeutung

Es lohnt sich, die DSGVO gründlich umzusetzen. Wenn die Deutsche Wohnen nicht derart viel Aufwand und auch Kosten – über vier Millionen Euro – für die Umstellung der Systeme aufgewandt hätte, hätten wir hier wenig zu verteidigen gehabt. Über die richtigen Antworten auf Rechtsfragen kann und sollte man streiten. Aber die Tatsachen müssen erst einmal stimmen. Unternehmen sollten ihre Datenschutz-Compliance daher gut dokumentieren und nachweisbar investieren. Der Vorsitzende Richter hat es in der Hauptverhandlung selbst deutlich angesprochen: Die Kammer sah ein Unternehmen, das die DSGVO ernst genommen hat. Die Deutsche Wohnen hat erhebliche Anstrengungen unternommen und Millionen ausgegeben. Auch die von der Behörde beanstandete Erstellung von Kopien von Ausweis- und Bonitätsdokumenten hatte das Unternehmen bereits seit 2017 eingestellt. All das hat bei der richterlichen Würdigung und der massiven Reduzierung des von der Behörde 2019 verhängten Bußgelds einen erheblichen Unterschied gemacht.

Es kann sehr sinnvoll sein, DSGVO-Bußgeldbescheide gründlich zu prüfen und sich gegen Fehler zu verteidigen. Das Verfahren zeigt, dass die in einem Bescheid angelegten Sachverhaltsannahmen und rechtlichen Wertungen einer gerichtlichen Überprüfung nicht unbedingt oder in vollem Umfang standhalten. Der Bußgeldbescheid gegen die Deutsche Wohnen beruhte auf fehlerhaften Sachverhaltsannahmen und vor allem auf einer falschen Auslegung der DSGVO, die teilweise mit der Rechtsprechung des EuGH unvereinbar ist.

Auch der konkrete Zielkonflikt zwischen datenschutzrechtlichen Löschpflichten und steuer- und handelsrechtlichen Aufbewahrungspflichten betrifft letztlich jedes größere Unternehmen. Die Datenschutzbehörde forderte Strukturen, die ein frühzeitiges lückenloses Löschen garantieren. Steuerbehörden und Wirtschaftsprüfer verlangen dagegen die revisionssichere und unveränderliche Aufbewahrung derselben Dokumente. Mit diesem Zielkonflikt müssen Unternehmen in der EU klarkommen – und dabei hilft es, wenn die Maßstäbe klar sind. Genau diese Klarheit wird voraussichtlich der EuGH klären müssen. Die Entscheidung des LG Berlin ist nicht rechtskräftig.

* * *