Ein Experteninterview mit Mareike Gehrmann, Partnerin im Bereich Technologie, Medien und Kommunikationsrecht und Sebastian Stoll, Senior Associate im Bereich Real Estate.
Die 26. Große Strafkammer des Landgerichts Berlin I hat im Juni 2026 ein viel besprochenes Bußgeldverfahren gegen den Immobilienkonzern Deutsche Wohnen SE entschieden. Die Berliner Datenschutzbeauftragte hatte 2019 ein Bußgeld von rund 14,5 Millionen Euro verhängt, weil alte Mieterdaten in einem Archivsystem nicht ordnungsgemäß gelöscht wurden. Nach einem langen Instanzenzug über Kammergericht und EuGH (wir berichteten) sprach das Landgericht Berlin I nun ein Urteil (Urteil vom 9. Juni 2026, Az. 526 OWi LG 1/20, noch nicht rechtskräftig). Die Deutsche Wohnen SE muss 900.000 Euro zahlen, weil das Unternehmen gegen Datenschutzregelungen verstoßen hat.
Ein Millionenbußgeld und sein langer Weg durch die Instanzen
Frage: Frau Gehrmann, was ist in Berlin im Fall Deutsche Wohnen SE eigentlich passiert?
Mareike Gehrmann: Der Deutschen Wohnen SE – mittlerweile Vonovia SE – wurde vorgeworfen, personenbezogene Daten von Mietern ihrer Tochtergesellschaften unrechtmäßig lange gespeichert und keine Maßnahmen zur Löschung getroffen zu haben. Auch nach Auszug der Mieter waren laut Berliner Datenschutzbehörde personenbezogene Daten – darunter auch sensible Daten wie Identitätsnachweise, Angaben über Vormietverhältnisse, Steuer-, Sozial- und Krankenversicherungsdaten – noch über die Aufbewahrungsfristen hinaus, einzusehen. 2017 hatte dies bereits zu einer ersten Rüge geführt. Da der Verstoß 2019 immer noch nicht behoben war, erging im Oktober 2019 ein Bußgeldbescheid von rund 14,5 Millionen Euro.
Die Deutsche Wohnen legte Einspruch ein, zunächst mit Erfolg, denn das Landgericht Berlin stellte das Verfahren ein. Hiergegen legte wiederum die Berliner Datenschutzbehörde Beschwerde ein. Daraufhin befassten sich das Kammergericht Berlin sowie der EuGH mit grundlegenden Fragen der Unternehmenshaftung für DSGVO-Verstöße. So stellte der EuGH im Dezember 2023 klar, dass Bußgelder gegen Unternehmen verhangen werden können, auch wenn keine konkret verantwortliche natürliche Person als Täter benannt wird, die Behörde muss aber einen schuldhaften Verstoß des Unternehmens feststellen.
Nach dieser Grundsatzentscheidung des EuGH hob das Kammergericht den Beschluss des LG Berlin auf und verwies die Sache an die Strafkammer zurück. Die Strafkammer sah es nun als erwiesen an, dass die Deutsche Wohnen seinerzeit gegen die Löschvorgaben verstoßen hat. Allerdings reduzierte die Strafkammer die Bußgeldhöhe deutlich auf 900.000 Euro.
Frage: Wie kam es zu der erheblichen Reduzierung von 14,5 auf knapp 1 Millionen Euro?
Mareike Gehrmann: Bei der Festsetzung der Höhe des Bußgeldes würdigte die Strafkammer, dass die Deutsche Wohnen zahlreiche externe Wirtschaftsprüfer, Berater und IT-Experten eingebunden habe, um ihre IT-Systeme an die DSGVO anzupassen. Außerdem beschränkten sich die festgestellten Verstöße auf die Einführungsphase der DSGVO, in der auch die Aufsichtsbehörde selbst mit der neuen Rechtslage und der gerichtsfesten Dokumentation von Verstößen zu kämpfen hatte. Vor diesem Hintergrund hielt das Landgericht Berlin I ein Bußgeld von 900.000 Euro für tat- und schuldangemessen. Das bedeutet eine deutliche Reduktion gegenüber den ursprünglich verhängten 14,5 Millionen Euro.
Mieterdaten im Fokus: Wo der Datenschutz bei Vermietern ansetzt
Frage: Können Sie die datenschutzrechtlichen Vermieterpflichten, die in diesem Fall eine Rolle gespielt haben, erläutern?
Mareike Gehrmann: Vermieter verarbeiten im Laufe eines Mietverhältnisses zahlreiche personenbezogene Daten – von Ausweiskopien und Bonitätsunterlagen bis hin zu Zahlungsinformationen und Korrespondenz. Datenschutzrechtlich gilt dabei: Es dürfen nur solche Daten erhoben und gespeichert werden, die tatsächlich erforderlich sind. Nicht mehr benötigte Daten müssen – vorbehaltlich gesetzlicher Aufbewahrungspflichten – gelöscht werden. Zudem braucht jede Datenverarbeitung eine rechtliche Grundlage, und Löschfristen müssen technisch und organisatorisch umgesetzt werden.
Der Fall Deutsche Wohnen zeigt, dass Datenschutzverstöße insbesondere dann drohen, wenn Archiv- und IT-Systeme eine fristgerechte Löschung personenbezogener Daten nicht gewährleisten. Für Vermieter bedeutet dies: Datenschutzprozesse und Systeme sollten regelmäßig überprüft und an die DSGVO-Anforderungen angepasst werden. Die Deutsche Wohnen SE hatte zwar durchaus Umstellungsprojekte gestartet und externe Expertise eingebunden, das Gericht hat dies bei der Bemessung der Bußgeldhöhe auch berücksichtigt. Aus Sicht der Strafkammer erfolgte dies jedoch zu spät und nicht in einem Umfang
Konzernstrukturen, Verwalter, Dienstleister, wer trägt die Verantwortung?
Frage: Herr Stoll, wo sehen Sie in der Vermieterpraxis die wichtigsten Schnittstellen zwischen Mietrecht und Datenschutz, gerade in einem Fall wie diesem?
Sebastian Stoll: Die erste Schnittstelle ist die Bonitätsprüfung. Sowohl bei Wohn- als auch bei Gewerberaummietverhältnissen ist es üblich, dass Vermieter umfangreiche Unterlagen anfordern, also Gehaltsabrechnungen, betriebswirtschaftliche Auswertungen, Jahresabschlüsse oder Referenzen. Mietrechtlich ist das häufig sinnvoll, um das Ausfallrisiko einschätzen zu können. Datenschutzrechtlich stellt sich die Frage, was im Einzelfall erforderlich ist und wie lange diese Unterlagen nach Vertragsabschluss noch aufbewahrt werden dürfen. Hier können interne Standards helfen, die transparent definieren, welche Unterlagen bei welchem Mietertyp benötigt werden.
Die zweite Schnittstelle ist die laufende Verwaltung. In der Praxis entstehen dort sehr viele Dokumente, zum Beispiel E-Mails, Abmahnungen, Protokolle, Fotos von Mängeln oder Vereinbarungen zu Umbauten. Mietrechtlich dienen sie oft dazu, Ansprüche zu belegen. Datenschutzrechtlich muss der Vermieter prüfen, welche dieser Unterlagen über welchen Zeitraum hinweg wirklich benötigt werden, um Rechte durchzusetzen oder sich zu verteidigen, und ab wann eine Löschung oder jedenfalls eine stärkere Einschränkung des Zugriffs angezeigt ist.
Die dritte Schnittstelle betrifft die Struktur mit Besitz- und Servicegesellschaften. Im Fall der Deutschen Wohnen SE halten Besitzgesellschaften die Immobilien, sie bilden mit der Muttergesellschaft einen Konzern, und Servicegesellschaften übernehmen die Verwaltung. Viele Vermieter arbeiten darüber hinaus mit externen Property Managern. Mietrechtlich ist entscheidend, wer Vertragspartner des Mieters ist, wer als Vertreter auftritt und wer im Hintergrund als Dienstleister fungiert. Datenschutzrechtlich muss geklärt sein, welche Einheit als Verantwortlicher handelt und welche Gesellschaft als Auftragsverarbeiter tätig ist.
Für Vermieter bedeutet das ganz pragmatisch. Sie sollten ihre internen Zuständigkeiten und ihre Verträge mit Verwaltern und Dienstleistern so gestalten, dass sowohl die mietrechtliche Verantwortung als auch die datenschutzrechtliche Rolle transparent ist. Nur dann lässt sich gegenüber einer Aufsichtsbehörde nachvollziehbar darstellen, wie Prozesse tatsächlich laufen.
Löschkonzept, Archivsystem, Zuständigkeiten: Die zentralen Stellschrauben
Frage: Das Landgericht Berlin I hat das Bußgeld im Vergleich zum ursprünglichen Bußgeldbescheid erheblich reduziert. Bedeutet das Urteil, dass Vermieter jetzt weniger Angst vor hohen Bußgeldern haben müssen?
Mareike Gehrmann: Das Verfahren zeigt zweierlei. Zum einen können Unternehmen sich durchaus erfolgreich gegen überhöhte Bußgelder wehren. Zum anderen haben EuGH und Gerichte bestätigt, dass Unternehmensbußgelder nach der DSGVO grundsätzlich möglich sind. Die Aufsichtsbehörde muss keine bestimmte natürliche Person als verantwortliche Leitungskraft benennen, sie muss aber darlegen, dass das Unternehmen selbst schuldhaft gegen die DSGVO verstoßen hat, zum Beispiel indem es seine Systeme und Strukturen nicht rechtzeitig angepasst hat.
Für Vermieter heißt das, das Risiko bleibt real. Dennoch spielt die Verhältnismäßigkeit eine erhebliche Rolle: Gerichte schauen nicht nur auf den Verstoß, sondern auch darauf, wie das Unternehmen reagiert, ob es kooperiert, ob es Projekte zur Verbesserung gestartet hat und ob diese nachvollziehbar dokumentiert sind. Das ist bei der Bußgeldhöhe zu beachten.
Sebastian Stoll: Aus Sicht der Vermietungspraxis wird deutlich, wo die Stellschrauben liegen. Erstens beim Löschkonzept. Vermieter müssen wissen, welche Datenkategorien sie haben und wie lange sie diese benötigen. Zweitens bei den Archivsystemen. Ein System, das keine vernünftige Löschung oder Sperrung erlaubt, ist in der heutigen Rechtslage kaum noch zu rechtfertigen. Drittens bei den Zuständigkeiten. In großen Organisationen reicht es nicht, irgendwo in der Zentrale eine Richtlinie zu haben. Es muss klar sein, wer in der Vermietung, im Asset Management und bei den Verwaltern wofür verantwortlich ist und wie Entscheidungen dokumentiert werden.
Wenn diese drei Bereiche ernsthaft angegangen werden, sinkt das Risiko deutlich. Und im Fall eines Verstoßes steigen die Chancen, dass ein Gericht die Bemühungen anerkennt und die Bußgeldhöhe reduziert.
Vom Risiko zur Routine: Hausaufgaben für professionelle Vermieter
Frage: Wenn wir das für die Praxis herunterbrechen, was sind die wichtigsten Hausaufgaben, die Vermieter aus diesem Verfahren mitnehmen sollten?
Mareike Gehrmann: Vermieter sollten insbesondere drei Punkte im Blick behalten: Erstens ist Transparenz entscheidend – Unternehmen müssen wissen, welche Mieterdaten wo gespeichert werden, wer Zugriff hat und zu welchem Zweck sie verarbeitet werden. Zweitens sollten Lösch- und Archivkonzepte regelmäßig überprüft werden: IT-Systeme müssen Löschfristen technisch abbilden und gesetzliche Aufbewahrungspflichten mit den DSGVO-Vorgaben in Einklang bringen. Drittens braucht es klare Verantwortlichkeiten, interne Richtlinien und Schulungen, damit Datenschutzanforderungen im Vermietungsalltag konsequent umgesetzt werden. Solche Strukturen können im Ernstfall auch bei der Bewertung eines möglichen Bußgeldes relevant sein.
Sebastian Stoll: Aus mietrechtlicher und organisatorischer Sicht würde ich ergänzen.
Erstens lohnt es sich, die Standardprozesse bei der Datenerhebung zu überprüfen. Welche Unterlagen fordern wir bei Wohn- und Gewerbemietern routinemäßig an, welche sind wirklich erforderlich, welche können wir einschränken oder anders gestalten
Zweitens sollten die Verträge mit Verwaltern und Dienstleistern an die tatsächlichen Abläufe angepasst werden. Dabei geht es nicht nur um eine saubere Zuweisung mietrechtlicher Pflichten, sondern auch um datenschutzrechtliche Regelungen zu Rollen, Weisungsrechten und technischen und organisatorischen Maßnahmen.
Drittens ist es wichtig, in den Teams ein Bewusstsein für das Thema zu schaffen. Viele Risiken entstehen aus Routine und gut gemeinten Sicherheitskopien. Wenn Mitarbeitende verstehen, warum bestimmte Unterlagen nicht dauerhaft aufbewahrt werden dürfen, lassen sich Verstöße oft schon auf der Arbeitsebene vermeiden.
Frage: Zum Schluss, was ist die eine Botschaft, die Vermieter aus dem Verfahren mitnehmen sollten?
Mareike Gehrmann: Der Fall der Deutschen Wohnen SE zeigt eindrücklich, wie teuer fehlende Compliance im Datenschutz werden kann. Zugleich macht das Verfahren deutlich: Gerichte berücksichtigen ernsthafte und frühzeitig eingeleitete Verbesserungsmaßnahmen positiv. Für Vermieter gilt daher: Datenschutz sollte nicht erst im Krisenfall angegangen werden, sondern als laufende Compliance-Aufgabe verstanden werden.
Sebastian Stoll: Ich würde sagen, Datenschutz ist kein Gegenspieler zur Vermietung, sondern ein Teil professioneller Vermieterorganisation. Wer Zuständigkeiten klärt, Prozesse standardisiert und seine IT-Systeme aufräumt, steht bei Aufsichtsbehörden besser da und stärkt zugleich das Vertrauen von Mietern und Investoren.
