Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt

Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris | London | Amsterdam

Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

LG Berlin verhängt 900.000 Euro Bußgeld wegen Datenschutzverstoß

  • Lesezeit: 3 Min

News  >  LG Berlin verhängt 900.000 Euro Bußgeld wegen Datenschutzverstoß

Arbeitsrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Steuerrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Home-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Arbeitsrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte

Datenschutzverstoß – LG Berlin verhängt Bußgeld in Höhe von 900.000 Euro

Urteil des LG Berlin vom 9. Juni 2026 – Az. 526 OWi LG 1/20

Das Landgericht (LG) Berlin hat mit Urteil vom 9. Juni 2026 (Az. 526 OWi LG 1/20) gegen ein Immobilienunternehmen wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) eine Geldbuße in Höhe von 900.000 Euro verhängt. Das Gericht bestätigte damit dem Grunde nach einen Datenschutzverstoß, hielt das von der Berliner Datenschutzaufsicht ursprünglich festgesetzte Bußgeld von rund 14,5 Millionen Euro jedoch für zu hoch und reduzierte es deutlich.

Die Entscheidung zeigt, dass die Bußgeldhöhe bei DSGVO-Verstößen maßgeblich von den Umständen des Einzelfalls abhängt – insbesondere von Art, Dauer und Schwere des Verstoßes sowie von den getroffenen Abhilfemaßnahmen.

Ausgangspunkt: Bußgeld von rund 14,5 Millionen Euro

Nach den gerichtlichen Feststellungen verarbeitete das betroffene Unternehmen im Rahmen von Vermietung und Verwaltung eine Vielzahl personenbezogener Daten von Mietern. Dazu gehörten u. a. Gehaltsnachweise, Kontoauszüge, Ausweiskopien, Steuerdaten sowie Informationen zu Sozial- und Krankenversicherungen.

Die Berliner Datenschutzbehörde beanstandete bereits 2017 und erneut nach Inkrafttreten der DSGVO (2018), dass in einem Archivsystem personenbezogene Unterlagen gespeichert wurden, die aus Sicht der Behörde nicht (mehr) erforderlich waren. Zudem seien keine ausreichenden technischen und organisatorischen Maßnahmen (TOM) vorhanden gewesen, um die Grundsätze der Datenminimierung und Speicherbegrenzung einzuhalten (Art. 5 Abs. 1 lit. c und e DSGVO).

Im Jahr 2019 verhängte die Aufsichtsbehörde deshalb ein Bußgeld von rund 14,5 Millionen Euro.

Formale Aufhebung 2021 – und anschließende Klärung durch den EuGH

Das LG Berlin hob den Bußgeldbescheid zunächst mit Entscheidung vom 18. Februar 2021 aus formellen Gründen auf. Zur Begründung führte das Gericht damals aus, dass nach nationalem Recht eine Geldbuße gegen eine juristische Person nur dann möglich sei, wenn einer konkret identifizierten Leitungsperson oder einem verantwortlichen Organmitglied ein schuldhaftes Verhalten nachgewiesen werde. Daran habe es im Bescheid gefehlt.

Der Fall wurde dem Europäischen Gerichtshof (EuGH) vorgelegt. Dieser widersprach der Sichtweise des LG Berlin mit Urteil vom 5. Dezember 2023 (Az. C‑807/21): Die DSGVO stehe einer nationalen Regelung entgegen, nach der ein Unternehmen nur dann mit einem Bußgeld belegt werden dürfe, wenn zuvor eine konkret identifizierte natürliche Person als Täter festgestellt wurde. Unternehmen können damit unmittelbar Adressaten von DSGVO-Bußgeldern sein.

Wichtig ist zugleich der zweite Kernpunkt aus Luxemburg: Ein Bußgeld darf nicht „automatisch“ ohne Schuldvorwurf verhängt werden. Es muss festgestellt werden, dass der Verstoß vorsätzlich oder fahrlässig begangen wurde. Ein individueller Nachweis eines Fehlverhaltens eines bestimmten Geschäftsleitungs- oder Vorstandsmitglieds ist dafür jedoch nicht zwingend erforderlich.

Erneute Entscheidung des LG Berlin: Verstoß bejaht

Nach der EuGH-Entscheidung verhandelte das LG Berlin erneut und bejahte einen Verstoß gegen die DSGVO. Nach Auffassung des Gerichts wurden Unterlagen (auch mit sensiblen Informationen) über längere Zeit gespeichert, ohne dass ein ausreichender datenschutzrechtlicher Rechtfertigungsgrund für diese Speicherpraxis bestand. Damit seien insbesondere die Grundsätze aus Art. 5 Abs. 1 DSGVO verletzt worden (Datenminimierung und Speicherbegrenzung).

Das Gericht stellte weiter heraus, dass es dem Unternehmen zumutbar und technisch möglich gewesen sei, bessere Schutz- und Löschkonzepte umzusetzen. Zudem ging das LG Berlin von einem vorsätzlichen Verstoß aus. In einzelnen Fällen sei außerdem vorsätzlich gegen Anforderungen an eine rechtmäßige Verarbeitung nach Art. 6 Abs. 1 DSGVO verstoßen worden.

Ergänzende rechtliche Einordnung:
Bußgelder richten sich nach Art. 83 DSGVO. Bei der Bemessung sind u. a. Art, Schwere und Dauer des Verstoßes, Kategorien betroffener Daten, Grad des Verschuldens, etwaige frühere Verstöße, Kooperation mit der Aufsichtsbehörde sowie ergriffene Maßnahmen zur Minderung des Schadens zu berücksichtigen (Art. 83 Abs. 2 DSGVO).

Deutlich geringeres Bußgeld: 900.000 Euro

Trotz festgestellter Verstöße hielt das LG Berlin die ursprüngliche Bußgeldhöhe für deutlich überzogen und reduzierte auf 900.000 Euro. Zur Begründung stellte das Gericht u. a. darauf ab, dass die Verstöße in eine frühe Phase nach Inkrafttreten der DSGVO fielen. Außerdem würdigte es, dass das Unternehmen externe Prüfer, Beratung und IT-Fachleute einbezogen habe, um Systeme und Prozesse an die DSGVO anzupassen.

Damit macht das Urteil deutlich: Auch wenn die Aufsichtsbehörde einen Verstoß annimmt, ist die konkrete Bußgeldhöhe gerichtlich vollständig überprüfbar – und kann je nach Gewichtungsentscheidung erheblich abweichen.

Was Unternehmen aus der Entscheidung mitnehmen können

  1. Lösch- und Archivkonzepte sind zentral: Es reichen nicht nur Aufbewahrungsordner oder technische Archive – erforderlich sind klare Löschfristen, Verantwortlichkeiten und kontrollierbare Prozesse (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).
  2. Technische und organisatorische Maßnahmen müssen passen: TOM nach Art. 32 DSGVO (z. B. Zugriffs- und Berechtigungskonzepte, Verschlüsselung, Protokollierung, Löschroutinen) müssen dem Risiko und den Datenkategorien entsprechen.
  3. Bußgeldrechtlich kommt es auf Fahrlässigkeit/Vorsatz an: Nach der EuGH-Rechtsprechung ist ein Schuldvorwurf erforderlich, aber nicht zwingend die Identifizierung einer bestimmten Leitungsperson.
  4. Compliance-Maßnahmen wirken sich aus: Dokumentierte Umstellungs- und Verbesserungsmaßnahmen können bußgeldmindernd berücksichtigt werden.

Fazit

Das Urteil des LG Berlin (9. Juni 2026 – 526 OWi LG 1/20) bestätigt einen DSGVO-Verstoß, zeigt aber zugleich, dass die Bußgeldhöhe nicht schematisch festgesetzt wird. Nach dem EuGH (C‑807/21) können Unternehmen direkt sanktioniert werden, ohne dass zuvor eine natürliche Person als Täter benannt werden muss. Gleichzeitig bleibt maßgeblich, ob zumindest fahrlässiges oder vorsätzliches Handeln feststeht und wie die konkreten Umstände – einschließlich der Compliance-Bemühungen – zu bewerten sind.

Rechtlicher Hinweis (zur Abmahnsicherheit)

Dieser Beitrag dient der allgemeinen Information und stellt keine Beratung im Einzelfall dar. Aus dem Inhalt können keine Ansprüche oder Rechtspositionen abgeleitet werden.

Wenn Sie möchten, kann ich den Artikel auch in einen kanzlei-neutralen Stil umformulieren (ohne werbliche Anklänge und ohne Verlinkungen) oder als Pressemitteilung bzw. Blogbeitrag mit Meta-Description und Zwischenüberschriften für SEO anpassen.