Auf die Schnelle

Das Landgericht Berlin I hat am 9. Juni 2026 ein DSGVO-Bußgeld gegen die Deutsche Wohnen von 14,5 Millionen auf 900.000 Euro reduziert. Im Kern ging es um ein fehlendes Löschkonzept: Daten wurden zu lange gespeichert. Das ist kein KI-Urteil, aber die Pflicht dahinter gilt auch für Daten in KI-Systemen.

Ein spektakulär hohes Bußgeld ist deutlich zusammengeschrumpft, und das macht Schlagzeilen. Für kleine Firmen ist die Höhe der Strafe weniger wichtig als der Grund dahinter. Es ging um eine Pflicht, die jeden Betrieb betrifft, der Personendaten speichert, und die durch den Einsatz von KI eher wichtiger als lockerer wird.

Was das Gericht entschieden hat

Das Landgericht Berlin I hat mit Urteil vom 9. Juni 2026 (Aktenzeichen 526 OWiG LG 1/20) ein DSGVO-Bußgeld gegen die Deutsche Wohnen SE von ursprünglich 14,5 Millionen Euro auf 900.000 Euro reduziert. Das ist ein Rückgang um rund 94 Prozent. Verhängt hatte die Buße im Jahr 2019 die Berliner Beauftragte für Datenschutz und Informationsfreiheit.

Das Gericht hat die Strafe unter anderem deshalb gemildert, weil die Verstöße in der Einführungsphase der DSGVO lagen, also in der Zeit kurz nach dem Start der Verordnung, als vieles noch neu war. Zudem hatte das Unternehmen externe Berater und IT-Experten hinzugezogen, was das Gericht zugunsten der Firma gewertet hat.

Die deutliche Kürzung heißt nicht, dass die Datenschutz-Anforderungen aufgeweicht wurden. Der Verstoß als solcher blieb bestehen. Reduziert wurde die Höhe der Strafe, nicht die dahinterliegende Pflicht.

Worum es im Kern ging

Der Grund für das Bußgeld war kein spektakulärer Datendiebstahl und kein Hackerangriff. Es ging um etwas Unauffälligeres: Das Unternehmen hatte personenbezogene Daten von Mietern zu lange gespeichert und kein ausreichendes Löschkonzept, um nicht mehr benötigte Daten rechtzeitig zu entfernen.

Dahinter stehen zwei Grundsätze der DSGVO. Erstens der Datenschutz durch Technikgestaltung: Systeme sollen von vornherein so gebaut sein, dass sie nur die nötigen Daten verarbeiten und speichern. Zweitens die Speicherbegrenzung: Personendaten dürfen nur so lange aufbewahrt werden, wie sie für den jeweiligen Zweck gebraucht werden. Danach müssen sie gelöscht werden.

Ein Löschkonzept ist die praktische Umsetzung davon. Es legt fest, welche Daten wie lange gespeichert werden und wann sie zu löschen sind. Wer alte Daten einfach behält, weil das System es zulässt und niemand aufräumt, verstößt gegen diesen Grundsatz.

Warum das kein KI-Urteil ist

Damit hier keine falsche Verbindung entsteht, ist Klarheit wichtig: In diesem Fall spielte künstliche Intelligenz keine Rolle. Das Urteil dreht sich um Mietdaten, Speicherfristen und ein fehlendes Löschkonzept. Es ist ein klassisches Datenschutz-Verfahren aus der Frühzeit der DSGVO, kein Präzedenzfall zu KI.

Trotzdem lohnt der Blick darauf gerade für Firmen, die KI einsetzen. Denn der Kern des Falls, die Frage nach Speicherdauer und Löschung von Personendaten, ist bei KI-Anwendungen mindestens so relevant wie in der klassischen Aktenverwaltung. Die Pflicht ist dieselbe, nur der Kontext ist neuer.

Was das für Daten in KI-Systemen bedeutet

Sobald du Personendaten in ein KI-Werkzeug gibst, also Kundendaten, Mitarbeiterdaten oder Bewerberdaten, gelten dieselben Regeln wie überall sonst. Die Daten dürfen nur so lange verarbeitet und gespeichert werden, wie es der Zweck erfordert, und du brauchst eine Vorstellung davon, wo diese Daten landen und wann sie wieder verschwinden.

KI verschärft das Thema aus einem einfachen Grund: Viele Betriebe sammeln über Jahre Daten an, die sie nie richtig aufgeräumt haben. Wenn dieser alte Datenbestand dann in ein KI-Tool gekippt wird, um ihn auszuwerten, verstärkt sich das Risiko. Daten, die eigentlich längst gelöscht sein müssten, werden auf einmal wieder aktiv verarbeitet. Wer vor dem KI-Einsatz kein Löschkonzept hat, holt sich das Problem in die neue Technik hinein.

Dazu kommt die Frage, ob Personendaten überhaupt in ein externes KI-Modell fließen dürfen und unter welchen Bedingungen. Dafür braucht es Klarheit über Auftragsverarbeitung, Speicherort und Zweck. Ein sauberer Umgang mit alten Daten ist die Grundlage, bevor überhaupt KI ins Spiel kommt.

Ein einfaches Löschkonzept für kleine Betriebe

Ein Löschkonzept klingt nach großem Aufwand, ist für einen kleinen Betrieb aber machbar. Es beantwortet drei Fragen: Welche Personendaten habe ich, wie lange brauche ich sie, und wann werden sie gelöscht? Eine übersichtliche Tabelle reicht oft aus.

Für die Speicherfristen gibt es teils gesetzliche Vorgaben, etwa im Steuer- und Handelsrecht, teils richten sie sich nach dem Zweck, für den du die Daten hast. Bewerbungsunterlagen abgelehnter Kandidaten zum Beispiel müssen nach einer angemessenen Frist gelöscht werden, alte Kundendaten aus abgeschlossenen Vorgängen ebenso, wenn keine Aufbewahrungspflicht mehr greift.

Praktisch geht das so: Liste die Datenarten auf, die bei dir anfallen, also Kundendaten, Lieferantendaten, Bewerberdaten, Personaldaten. Notiere zu jeder Art, wie lange du sie brauchst und wann sie weg kann. Lege dann fest, wer regelmäßig aufräumt und in welchem Rhythmus. Wichtig ist, dass diese Fristen tatsächlich eingehalten werden und nicht nur in einem Dokument stehen, das niemand mehr anschaut.

In unseren DigiMan-Kursen sehen wir, dass viele Betriebe das Aufräumen von Daten vor sich herschieben, weil es unangenehm und scheinbar unwichtig ist. Wer das unterschätzt, baut ein Risiko auf, das mit jedem Jahr wächst und beim ersten KI-Projekt sichtbar wird. Ein einfaches Löschkonzept, das tatsächlich gelebt wird, ist die günstigste Vorsorge, die es gibt.

Wie du damit umgehst

Nutze den Anlass, um deine Datenpflege einmal durchzugehen, bevor du KI breiter einsetzt. Schau dir an, welche Personendaten sich über die Jahre angesammelt haben, was davon noch gebraucht wird und was gelöscht werden kann. Lege für die wichtigsten Datenarten eine Löschfrist fest und sorge dafür, dass diese Fristen auch eingehalten werden, nicht nur auf dem Papier stehen.

Wenn du ohnehin überlegst, KI im Betrieb einzuführen, ist das ein guter Zeitpunkt, beides zusammen anzugehen. Datenpflege und KI-Einführung greifen ineinander: Nur wer weiß, welche Daten er hat und wie lange er sie behalten darf, kann verantwortungsvoll entscheiden, was davon in ein KI-Werkzeug darf. Ein aufgeräumter Datenbestand ist die Grundlage, auf der KI überhaupt sinnvoll aufsetzt.

Das ist keine Rechtsberatung. Speicherfristen, Löschpflichten und die Frage, welche Daten in ein KI-Modell dürfen, hängen vom Einzelfall ab. Im Zweifel solltest du einen Datenschutzbeauftragten oder einen Fachanwalt für Datenschutzrecht hinzuziehen, gerade bevor größere Datenmengen in ein KI-Werkzeug wandern.

Quellen

Die genannten Angaben stützen sich auf folgende öffentlich zugängliche Quellen (Stand der Recherche: Juli 2026):

Häufige Fragen

Was wurde im Deutsche-Wohnen-Urteil entschieden?

Das Landgericht Berlin I hat am 9. Juni 2026 ein DSGVO-Bußgeld gegen die Deutsche Wohnen SE von ursprünglich 14,5 Millionen auf 900.000 Euro reduziert, ein Rückgang um rund 94 Prozent. Gemildert wurde die Strafe unter anderem, weil die Verstöße in der Einführungsphase der DSGVO lagen und externe Berater hinzugezogen worden waren.

Ist das ein KI-Urteil?

Nein. In diesem Fall spielte künstliche Intelligenz keine Rolle. Es ging um Mietdaten, die zu lange gespeichert wurden, und um ein fehlendes Löschkonzept. Der Kern des Falls, die Frage nach Speicherdauer und Löschung von Personendaten, ist aber für jede Firma relevant, die KI mit Personendaten einsetzt.

Was ist ein Löschkonzept und braucht mein kleiner Betrieb eines?

Ein Löschkonzept legt fest, welche Personendaten wie lange gespeichert werden und wann sie zu löschen sind. Auch für kleine Betriebe ist das machbar, oft reicht eine übersichtliche Tabelle. Personendaten dürfen nur so lange aufbewahrt werden, wie sie für ihren Zweck gebraucht werden, danach müssen sie gelöscht werden.

Was bedeutet das Urteil für Daten, die ich in KI-Tools gebe?

Sobald Kundendaten, Mitarbeiterdaten oder Bewerberdaten in ein KI-Werkzeug fließen, gelten dieselben Lösch- und Speicherpflichten wie überall. Wer alte, nie aufgeräumte Daten in ein KI-Tool kippt, verstärkt das Risiko. Ein gelebtes Löschkonzept ist die Grundlage. Das ist keine Rechtsberatung, im Zweifel einen Datenschutzbeauftragten hinzuziehen.

KI im Betrieb praktisch einsetzen lernen?

Im kostenlosen KI-Schnupperkurs zeigen wir in fünf Lektionen, wie kleine und mittlere Firmen KI im Alltag nutzen, vom richtigen Werkzeug bis zum ersten Ablauf. Tiefer und praxisnah geht es im Vollkurs Digitalisierungsmanager, DEKRA-zertifiziert und förderfähig über den Bildungsgutschein.


Zuletzt aktualisiert: 07. Juli 2026. Stand der Recherche: 07. Juli 2026.