Deutsche Wohnen: Was das DSGVO-Urteil für KMU bedeutet

Ein Urteil, das anders ausfiel als erwartet

Datenschutz-Bußgelder haben einen Ruf, der vielen Unternehmern Sorgen bereitet: hohe Summen, strenge Behörden, wenig Spielraum. Eine aktuelle Gerichtsentscheidung zeichnet ein differenzierteres Bild. Am 9. Juni 2026 hat die 26. Strafkammer des Landgerichts Berlin I ein DSGVO-Bußgeld gegen die Deutsche Wohnen von ursprünglich 14,5 Millionen Euro auf 900.000 Euro reduziert — auf rund sechs Prozent der Ausgangssumme.

Das ist zunächst die Geschichte eines Großkonzerns und einer überlangen Speicherung von Mieterdaten. Für kleine und mittlere Unternehmen ist daran trotzdem etwas Wesentliches abzulesen, denn die Gründe für die deutliche Reduktion lassen sich übertragen. Dieser Beitrag ordnet ein, was entschieden wurde, was mildernd wirkte und welche praktische Lehre Sie für Ihr eigenes Datenschutz-Management daraus ziehen können. Eines vorweg, um keinen falschen Eindruck zu erzeugen: Die Verstöße wurden bestätigt. Nur ihre Höhe hat das Gericht verhältnismäßig bemessen.

Auf einen Blick

• Was entschieden wurde: Ein Gericht senkte das DSGVO-Bußgeld gegen die Deutsche Wohnen von 14,5 Millionen auf 900.000 Euro.
• Worum es ging: überlange Speicherung von Mieterdaten — ein Verstoß gegen Datenminimierung und Speicherbegrenzung.
• Was mildernd wirkte: die DSGVO-Einführungsphase, der Einsatz externer Berater zur Systemumstellung und Dokumentationsschwierigkeiten aufseiten der Behörde.
• Der rechtliche Rahmen: Der EuGH hat 2023 die unmittelbare Unternehmenshaftung bestätigt — ein Bußgeld setzt aber Vorsatz oder Fahrlässigkeit voraus.
• Die Lehre für KMU: Nachweisbarkeit schlägt Perfektion. Wer sein Bemühen belegen kann, steht spürbar besser da.

Was das Gericht entschieden hat

Den Kern des Falls bildet eine an sich banale Frage: Wie lange darf ein Unternehmen personenbezogene Daten aufbewahren? Die DSGVO verlangt Datenminimierung und Speicherbegrenzung — Daten dürfen nur so lange vorgehalten werden, wie es einen Zweck dafür gibt. Im Fall der Deutsche Wohnen waren Mieterdaten deutlich länger gespeichert worden, als es zulässig war. Diesen Verstoß hat das Gericht ausdrücklich anerkannt.

Anders fiel jedoch die Bewertung der Schwere aus. Die ursprünglich von der Aufsichtsbehörde festgesetzten 14,5 Millionen Euro hat das Landgericht auf 900.000 Euro reduziert. Eine solche Differenz entsteht nicht aus Nachsicht, sondern aus einer Abwägung der Umstände — und genau diese Umstände sind der eigentlich lehrreiche Teil.

Was mildernd gewirkt hat

Drei Faktoren haben das Gericht zu der niedrigeren Summe bewogen, und alle drei lassen sich gut nachvollziehen.

Erstens fielen die Verstöße in die Einführungsphase der DSGVO zwischen Mai 2018 und März 2019. In dieser Zeit haben sich unzählige Unternehmen erstmals mit den neuen Pflichten auseinandergesetzt, ohne auf gefestigte Praxis zurückgreifen zu können. Das Gericht hat berücksichtigt, dass eine Umstellung dieser Größenordnung nicht über Nacht gelingt.

Zweitens hatte das Unternehmen externe Berater engagiert, um seine Systeme umzustellen. Das ist ein belegbares Zeichen dafür, dass die Anforderungen nicht ignoriert, sondern aktiv angegangen wurden. Wer nachweislich an einer Lösung arbeitet, handelt anders als jemand, der das Thema bewusst liegen lässt.

Drittens hatte die Behörde selbst Schwierigkeiten, den Sachverhalt lückenlos zu dokumentieren. Auch das floss in die Bewertung ein. In der Summe ergab sich ein Bild, das eine erheblich niedrigere Sanktion rechtfertigte.

Der rechtliche Rahmen dahinter

Diese Entscheidung steht nicht im luftleeren Raum. Den maßgeblichen Hintergrund hat der Europäische Gerichtshof im Dezember 2023 in der Rechtssache C-807/21 gesetzt. Er bestätigte, dass Unternehmen nach Artikel 83 DSGVO unmittelbar haften — ein Bußgeld kann also direkt gegen das Unternehmen verhängt werden.

Ebenso wichtig ist die zweite Hälfte dieser Aussage: Ein Bußgeld setzt Vorsatz oder Fahrlässigkeit voraus, die dem Unternehmen über das Verschulden seiner Mitarbeitenden zugerechnet werden kann. Ein Verstoß allein genügt nicht; es kommt auf das Verhalten an. Genau hier öffnet sich der Raum, in dem dokumentiertes, ernsthaftes Bemühen den Unterschied macht — wie der Fall der Deutsche Wohnen zeigt.

Was kleine Unternehmen daraus mitnehmen

Nun betrifft dieser Fall einen großen Wohnungskonzern und keinen Handwerksbetrieb mit zwölf Beschäftigten. Die Lehre daraus ist dennoch übertragbar, denn die Maßstäbe, nach denen Gerichte abwägen, gelten für alle. Für ein KMU lässt sich daraus eine recht klare Haltung ableiten.

Datenminimierung ist der einfachste Hebel. Was Sie gar nicht erst speichern oder rechtzeitig löschen, kann auch nicht zum Problem werden. Gehen Sie ehrlich durch Ihre Systeme: Welche personenbezogenen Daten liegen wo, und gibt es für jede Sammlung noch einen Zweck? Alte Bewerbungsunterlagen, abgelaufene Kundendaten, längst beendete Verträge — vieles davon darf und muss irgendwann verschwinden.

Ein dokumentiertes Löschkonzept ist Ihre eigentliche Absicherung. Es muss nicht umfangreich sein. Entscheidend ist, dass nachvollziehbar festgehalten ist, welche Datenarten Sie wie lange aufbewahren und wann sie gelöscht werden. Ein solches Konzept zeigt im Ernstfall, dass Sie sich mit der Frage befasst haben, statt sie dem Zufall zu überlassen.

Kooperation und Belegbarkeit zahlen sich aus. Der Fall zeigt, dass nachweisbares Bemühen — externe Unterstützung, dokumentierte Schritte, aktive Mitwirkung — die Bewertung spürbar beeinflusst. Das ist die wichtigste Erkenntnis und lässt sich in einem Satz fassen: Nachweisbarkeit schlägt Perfektion. Niemand erwartet von einem kleinen Unternehmen einen makellosen Datenschutzapparat. Erwartet wird, dass Sie Ihr Vorgehen erklären und belegen können.

Die beste „Versicherung" gegen ein empfindliches Bußgeld ist damit kein einzelnes Produkt, sondern eine schlichte Gewohnheit: weniger speichern, klar regeln, sauber dokumentieren.

Fazit

Das Urteil zur Deutsche Wohnen ist kein Freibrief — die Verstöße blieben bestehen, und 900.000 Euro sind kein geringer Betrag. Es ist aber ein gutes Beispiel dafür, dass Datenschutz mit Augenmaß bewertet wird. Wer seine Daten im Griff hat, ein nachvollziehbares Löschkonzept führt und im Zweifel kooperiert, steht deutlich besser da als jemand, der sich auf das Prinzip Hoffnung verlässt.

Wenn Sie nicht sicher sind, welche Daten Sie führen, wie lange Sie sie aufbewahren dürfen und wie sich ein einfaches, belastbares Löschkonzept aufsetzen lässt, unterstützen wir Sie dabei — pragmatisch und auf die Größe Ihres Unternehmens zugeschnitten, damit aus einer rechtlichen Anforderung eine ruhige Gewissheit wird.