Datenschutz: Bußgeld ohne Pflichtverletzung?
Zuletzt aktualisiert am 7. April 2026
Der EuGH hat den Wohnungskonzern Deutsche Wohnen zu einem Bußgeld verurteilt und damit die Ansicht von Datenschützern in einer juristischen Grundsatzdiskussion geteilt. Problematisch daran war, dass die juristische Person, die hinter dem Konzern steht, verantwortlich gemacht werden sollte, ohne dass einer Führungsperson eine datenschutzrechtliche Pflichtverletzung nachgewiesen werden konnte.
Alles, was Sie dazu wissen müssen, erfahren Sie hier.
Datenschutzbehörde: Bußgeld gegen Konzern
Bereits am 30.11.2023 hatte die zuständige Datenschutzaufsichtsbehörde gegen den Konzern ein Bußgeld in Höhe von 14,5 Millionen Euro verhängt. Grund dafür sei ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) gewesen. Der Konzern habe ausufernd Mieterdaten gespeichert.
Das Bußgeld verhängten die Behörden dabei gegen die juristische Person, die das Unternehmen führt.
Landgericht: Verfahren soll eingestellt werden
Das Unternehmen legte daraufhin Einspruch beim Berliner Landgericht ein.
Zur Begründung führte das Landgericht aus, dass Datenschutzverstöße im deutschen Recht als Ordnungswidrigkeiten gelten. Diese können nach deutschem Recht wiederum nur von natürlichen Personen, nicht aber von juristischen begangen werden.
Außerdem bemängelte das Landgericht „gravierende Mängel“ am Bußgeldbescheid.
EuGH: Unternehmen kann sanktioniert werden
Letztlich musste sich dann der Europäische Gerichtshof (EuGH) mit der Grundsatzfrage auseinandersetzen, inwiefern gegen eine juristische Person, die in Deutschland ein Unternehmen betreibt, ein datenschutzrechtliches Bußgeld verhängt werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen Person festgestellt werden kann.
Der EuGH entschied wie folgt: Für eine direkte Sanktionierung des Unternehmens würde es ausreichen, dass feststeht, dass Mitarbeiter des Unternehmens einen datenschutzrechtlichen Verstoß begangen haben. Eine Ermittlung der konkret handelnden Person müsse dabei nicht stattfinden. Ebenso wenig müsse feststehen, dass eine Führungsperson gehandelt hat. Der EuGH sieht letztendlich in jedem Verstoß eines Mitarbeiters im Grunde auch ein Versagen der unternehmensinternen Aufsicht.
Diese grundsätzliche Entscheidung wird auch in zukünftigen Bußgeldverfahren Relevanz finden und zeigt erneut, wie wichtig die Einhaltung datenschutzrechtlicher Vorschriften für Unternehmen in jedem Bereich ist.
Rechtliche Einordnung: Warum das Urteil so bedeutsam ist
Das Urteil des EuGH im Fall Deutsche Wohnen (Rechtssache C-807/21) markiert einen Wendepunkt in der europäischen Datenschutzrechtsprechung. Erstmals wurde auf höchster europäischer Ebene unmissverständlich klargestellt, dass Unternehmen als juristische Personen direkt für Datenschutzverstöße haftbar gemacht werden können — unabhängig davon, ob eine konkrete natürliche Person als Verantwortlicher identifiziert wurde.
Bislang herrschte in Deutschland die Auffassung vor, dass das Ordnungswidrigkeitengesetz (OWiG) eine persönliche Vorwerfbarkeit voraussetzt. Das bedeutete in der Praxis, dass zunächst eine natürliche Person — etwa ein Geschäftsführer oder ein Abteilungsleiter — als Verantwortlicher für den Verstoß identifiziert werden musste, bevor ein Bußgeld gegen das Unternehmen verhängt werden konnte. Der EuGH hat diese Hürde nun effektiv beseitigt und damit den Weg für eine deutlich wirksamere Durchsetzung der DSGVO in Deutschland geebnet.
Auswirkungen auf die Bußgeldpraxis in Deutschland
Die praktischen Konsequenzen des Urteils sind erheblich. Datenschutzaufsichtsbehörden in Deutschland können nun deutlich einfacher Bußgelder gegen Unternehmen verhängen. Es ist nicht mehr erforderlich, einzelne handelnde Personen innerhalb der Organisation zu identifizieren und ihnen ein persönliches Verschulden nachzuweisen.
Das bedeutet konkret: Wenn ein Unternehmen personenbezogene Daten unrechtmäßig verarbeitet, kann es direkt mit einem Bußgeld belegt werden. Die Datenschutzbehörden müssen lediglich nachweisen, dass ein Verstoß gegen die DSGVO vorliegt und dass dieser dem Unternehmen als Verantwortlichem zuzurechnen ist. Eine aufwendige Ermittlung der konkreten Einzelperson, die den Verstoß begangen hat, entfällt vollständig.
Gemäß Art. 83 Abs. 4 bis 6 DSGVO können Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen — je nachdem, welcher Betrag höher ist. Bei großen Konzernen können die potenziellen Summen damit sehr schnell in den dreistelligen Millionenbereich steigen.
Was Unternehmen jetzt beachten sollten
Angesichts der verschärften Rechtslage sollten Unternehmen jeder Größe ihre Datenschutzmaßnahmen umgehend überprüfen und gegebenenfalls anpassen. Folgende Punkte verdienen dabei besondere Aufmerksamkeit:
Datenschutz-Management-System einführen: Ein strukturiertes Datenschutz-Management-System (DSMS) hilft dabei, alle datenschutzrelevanten Prozesse im Unternehmen systematisch zu erfassen, zu dokumentieren und zu überwachen. Dies umfasst das Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzungen und regelmäßige Audits.
Löschkonzept implementieren: Der Fall Deutsche Wohnen zeigt exemplarisch, wie gefährlich eine unkontrollierte Datenspeicherung sein kann. Unternehmen müssen sicherstellen, dass personenbezogene Daten nach Ablauf der gesetzlichen Aufbewahrungsfristen zuverlässig gelöscht werden. Ein dokumentiertes Löschkonzept mit klaren Verantwortlichkeiten und automatisierten Löschroutinen ist hierfür nötig.
Mitarbeiterschulungen durchführen: Da nach dem EuGH-Urteil bereits der Verstoß eines einzelnen Mitarbeiters ausreicht, um das gesamte Unternehmen haftbar zu machen, gewinnen regelmäßige Datenschutz-Schulungen noch mehr an Bedeutung. Alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, müssen über ihre Pflichten und die geltenden Vorschriften informiert sein.
Externen Datenschutzbeauftragten bestellen: Die Bestellung eines fachkundigen Datenschutzbeauftragten — ob intern oder extern — ist nicht nur in vielen Fällen gesetzlich vorgeschrieben, sondern auch ein wichtiger Baustein zur Risikominimierung. Ein externer Datenschutzbeauftragter bringt unabhängige Expertise ein und kann helfen, Compliance-Lücken frühzeitig zu identifizieren und zu schließen.
Europäische Bußgeldentscheidungen im Überblick
Das Urteil im Fall Deutsche Wohnen reiht sich in eine wachsende Zahl hoher DSGVO-Bußgelder ein. Europaweit haben die Datenschutzbehörden deutlich gemacht, dass sie bereit sind, ihre Sanktionsmöglichkeiten konsequent auszuschöpfen. Die irische Datenschutzbehörde verhängte gegen Meta ein Bußgeld von 1,2 Milliarden Euro wegen unzulässiger Datenübermittlung in die USA. Amazon wurde von der luxemburgischen Behörde mit 746 Millionen Euro sanktioniert. Auch in Deutschland steigen die Bußgelder kontinuierlich an.
Diese Entwicklung zeigt, dass Datenschutz-Compliance kein optionales Thema mehr ist, sondern eine betriebswirtschaftliche Notwendigkeit darstellt. Die Kosten eines Datenschutzverstoßes — einschließlich Bußgelder, Reputationsschäden und Rechtsberatungskosten — übersteigen die Kosten für ein funktionierendes Datenschutz-Management in aller Regel bei Weitem.
Fazit: Prävention ist der beste Schutz
Das EuGH-Urteil verschärft die Haftungssituation für Unternehmen in Deutschland spürbar. Die direkte Sanktionierung juristischer Personen ohne vorherige Identifizierung einer verantwortlichen natürlichen Person senkt die Schwelle für Bußgelder erheblich. Unternehmen, die bisher darauf vertraut haben, dass die komplizierte deutsche Rechtslage sie vor hohen Bußgeldern schützt, sollten diese Strategie dringend überdenken.
Investitionen in Datenschutz-Compliance — sei es durch die Bestellung eines qualifizierten Datenschutzbeauftragten, die Implementierung eines Löschkonzepts oder regelmäßige Mitarbeiterschulungen — sind angesichts der aktuellen Rechtsprechung wichtiger denn je. Die DATUREX GmbH unterstützt Unternehmen in Sachsen und außerdem bei der Umsetzung aller datenschutzrechtlichen Anforderungen.
Haftungsrisiken für Geschäftsführer und Vorstände
Neben der direkten Haftung des Unternehmens als juristische Person besteht für Geschäftsführer und Vorstände ein zusätzliches persönliches Haftungsrisiko. Auch wenn der EuGH die unmittelbare Sanktionierung des Unternehmens erleichtert hat, bedeutet dies nicht, dass die Unternehmensleitung aus der Verantwortung entlassen wird. Im Gegenteil: Geschäftsführer tragen weiterhin die organisatorische Verantwortung dafür, dass im Unternehmen angemessene Datenschutzstrukturen bestehen.
Wird ein Bußgeld gegen das Unternehmen verhängt, kann die Gesellschafterversammlung oder der Aufsichtsrat prüfen, ob die Geschäftsleitung ihre Sorgfaltspflichten verletzt hat. In diesem Fall drohen Regressansprüche des Unternehmens gegen die verantwortlichen Organe. Auch eine persönliche Haftung nach § 43 GmbHG oder § 93 AktG ist möglich, wenn nachweislich keine ausreichenden Compliance-Strukturen im Bereich Datenschutz geschaffen wurden.
Außerdem können Datenschutzbehörden in besonders schwerwiegenden Fällen auch strafrechtliche Ermittlungen einleiten. § 42 BDSG sieht für bestimmte vorsätzliche Datenschutzverstöße Freiheitsstrafen von bis zu drei Jahren vor. Diese Vorschrift richtet sich ausdrücklich an natürliche Personen und kann insbesondere Geschäftsführer treffen, die Datenschutzverstöße bewusst in Kauf nehmen oder anordnen.
Praktische Schritte zur Risikominimierung
Um das Risiko von DSGVO-Bußgeldern wirksam zu reduzieren, empfiehlt sich ein systematischer Ansatz. Zunächst sollte eine vollständige Bestandsaufnahme aller Datenverarbeitungsprozesse im Unternehmen durchgeführt werden. Auf dieser Grundlage lassen sich Schwachstellen identifizieren und priorisierte Maßnahmen ableiten.
Ein besonders wichtiger Aspekt ist die Dokumentation. Unternehmen, die ihre Datenschutzmaßnahmen lückenlos dokumentieren können, sind im Fall einer behördlichen Prüfung deutlich besser aufgestellt. Die Dokumentationspflichten der DSGVO — insbesondere das Verarbeitungsverzeichnis nach Art. 30 DSGVO und die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO — sollten daher mit höchster Sorgfalt gepflegt werden.
Regelmäßige interne Audits helfen zudem, Datenschutzrisiken frühzeitig zu erkennen und zu beheben, bevor sie zu einem Verstoß führen. Ein jährlicher Datenschutz-Audit durch einen qualifizierten externen Datenschutzbeauftragten bietet dabei die größte Sicherheit, da dieser eine unvoreingenommene Bewertung der Datenschutz-Compliance liefern kann.
Bedeutung für kleine und mittelständische Unternehmen
Während das Urteil im Fall Deutsche Wohnen einen Großkonzern betraf, sind die Auswirkungen für kleine und mittelständische Unternehmen (KMU) mindestens ebenso relevant. KMU verfügen häufig nicht über eigene Rechtsabteilungen oder spezialisierte Datenschutzexperten und sind daher besonders gefährdet, unbewusst gegen die DSGVO zu verstoßen. Die erleichterte Sanktionierung bedeutet, dass auch kleinere Verstöße in mittelständischen Unternehmen nun schneller zu Bußgeldern führen können.
Gerade für KMU bietet die Zusammenarbeit mit einem externen Datenschutzbeauftragten eine kosteneffiziente Lösung. Anstatt einen Vollzeitmitarbeiter für den Datenschutz abzustellen, können Unternehmen auf die Expertise eines externen Fachmanns zurückgreifen, der die notwendigen Strukturen aufbaut und die laufende Compliance sicherstellt. Dies reduziert nicht nur das Bußgeldrisiko, sondern schafft auch Vertrauen bei Kunden und Geschäftspartnern. Die DATUREX GmbH aus Dresden bietet individuelle Datenschutzlösungen für Unternehmen jeder Größe in ganz Sachsen und bundesweit an.
Sie benötigen Unterstützung im Bereich des Datenschutzrechts? Unser Team an Experten hilft Ihnen gerne weiter. Kontaktieren Sie uns hier!
Datenschutz für Ihr Unternehmen
Verwandte Beiträge
Professioneller Datenschutz für Ihr Unternehmen
Die DATUREX GmbH ist Ihr zertifizierter externer Datenschutzbeauftragter — bundesweit, persönlich und DSGVO-konform. Ab 250 €/Monat.