Landgericht Berlin I hebt DSGVO-Millionen-Bußgeld gegen Latham-Mandantin überwiegend auf – Entscheidung mit Signalwirkung für KI-Anwendungen

Das Landgericht Berlin I hat heute eine im Oktober 2019 verhängte Geldbuße von etwa 14,5 Mio. Euro ganz überwiegend aufgehoben und auf 900.000 Euro reduziert. Latham & Watkins vertritt die Deutsche Wohnen seit Beginn dieses Bußgeldverfahrens. Die Entscheidung betrifft grundlegende Fragen der Datenlöschung und des sogenannten privacy by design, also des Datenschutzes durch Technikgestaltung. Die Signalwirkung der Entscheidung geht weit über den Einzelfall hinaus: So sind die Forderungen der Datenschutzbehörden zum Löschen von Daten und zu technischen und organisatorischen Maßnahmen zum Datenschutz auch für die Entwicklung, das Training und den Einsatz von KI-Systemen entscheidend. 

Hintergrund: Bußgeld von 14,5 Mio. Euro wegen Archivstrukturen und Datenlöschung

Die Behörde beanstandete 2019 die Strukturen bei der Archivierung und Löschung von Mieterdaten in den Jahren 2018 bis 2019. Bereits im Dezember 2023 erzielte Latham & Watkins in diesem Verfahren vor dem EuGH (C-807/21) einen wegweisenden Erfolg: Der Gerichtshof entschied, dass DSGVO-Geldbußen gegen Unternehmen schuldhaftes Handeln voraussetzen – und erteilte der von der BlnBDI vertretenen verschuldensunabhängigen Unternehmenshaftung eine klare Absage. Latham Partner Tim Wybitul war damals der erste Anwalt, der vor dem EuGH zu DSGVO-Bußgeldern plädierte.

Gericht erkennt Aufwand des Unternehmens zur Umsetzung der DSGVO an

Der Bußgeldbescheid betraf mögliche Verstöße des Unternehmens gegen Löschpflichten und gegen den Datenschutz durch Technikgestaltung nach Art. 25 Abs. 1 DSGVO. Daten sind dann zu löschen, wenn sie nicht mehr für die Zwecke notwendig sind, für die sie verarbeitet werden. Nach Art. 25 Abs. 1 DSGVO müssen datenschutzrechtlich Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, um Datenschutzgrundsätze wirksam umzusetzen. Dabei sollen sie etwa den Stand der Technik, die Implementierungskosten und die mit der Verarbeitung verbundenen Risiken berücksichtigen.

Die BlnBDI forderte von dem Unternehmen Strukturen und Prozesse, die ein frühzeitiges lückenloses Löschen von Unterlagen garantierten. Gleichzeitig verlangen Steuerbehörden und Wirtschaftsprüfer die revisionssichere und unveränderliche Aufbewahrung derselben Dokumente – ein Zielkonflikt, der viele Unternehmen betrifft.

Das Landgericht erkannte an, dass die von der BlnBDI geforderte Umstellung bestehender Archivsysteme technisch und organisatorisch äußerst aufwändig war. Die Beweisaufnahme bestätigte, dass das Unternehmen bis zur Geltung der DSGVO am 25. Mai 2018 bereits über vier Millionen Euro in die von der Behörde geforderte Systemumstellung investiert hatte. Auch die von der Behörde beanstandete Erstellung von Kopien von Ausweis- und Bonitätsdokumenten hatte das Unternehmen bereits seit 2017 eingestellt. Es gab kein Datenleck und keinen unbefugten Zugriff Dritter auf die Mieterdaten. Daten wurden nicht an Dritte weitergegeben, offengelegt oder gar missbräuchlich verwendet. Die Datenzugänge waren gekappt beziehungsweise gesperrt, die Daten selbst waren massiv gesichert und lagen – bildlich gesprochen – abgeschlossen im Tresor des Unternehmens. Die Beweisaufnahme widerlegte zudem eine Reihe weiterer Annahmen der Behörde.

Daher hob das Gericht das Bußgeld zu einem erheblichen Teil auf. Allerdings legte es die Regelungen zur zeitlichen Geltung der DSGVO so aus, dass das bereits 2016 begonnene IT-Projekt zur Umsetzung des Datenschutzes durch Technikgestaltung noch früher hätte abgeschlossen sein können.

Ausblick

Bei dem Verfahren geht es um komplexe und bislang richterlich ungeklärte datenschutzrechtliche Fragen: Unter welchen Voraussetzungen müssen Unternehmen personenbezogene Daten löschen? Welche technischen und organisatorischen Maßnahmen und welche Systeme sind hierfür erforderlich? Diese Fragen müsste im Falle eines möglichen Rechtsmittels letztlich der EuGH klären. Das Landgericht selbst weist darauf hin, dass es bei der Behandlung der Übergangsfrist juristisches Neuland betritt, da es sich nicht auf bestehende Rechtsprechung stützen kann.

Bedeutung für KI-Anwendungen und das EU-Digitalrecht

Die Grundsatzentscheidung des EuGH und die nunmehr erstinstanzliche Entscheidung des Landgerichts Berlin I geben wichtige Weichenstellungen für Bußgelder nach der DSGVO und anderen EU-Digitalrechtsakten vor – wie dem AI Act, dem Digital Markets Act (DMA) und dem Digital Services Act (DSA). Die Sanktionssysteme dieser Digitalrechtsakte beruhen maßgeblich auf der DSGVO. Die vom Gericht geprüften Anforderungen an die Datenlöschung und den Datenschutz durch Technikgestaltung sind etwa auch für das Training und den Einsatz von KI-Systemen von zentraler Bedeutung.

Zitat Tim Wybitul

Latham Datenrecht-Partner Tim Wybitul: „Der EuGH ist in diesem Verfahren bereits einmal unseren Argumenten gefolgt und hat verschuldensunabhängigen DSGVO-Geldbußen gegen Unternehmen eine klare Absage erteilt. Dies hat das Landgericht Berlin I jetzt bestätigt. Es hat nun als erste Tatsacheninstanz über die Auslegung der maßgeblichen Vorgaben der DSGVO zum Löschen von Daten und zum Datenschutz durch Technikgestaltung entschieden. Es hat das Bußgeld ganz überwiegend aufgehoben. Diese Entscheidung hat Signalwirkung auch für andere Rechtsbereiche. So sind die einschlägigen Datenschutzvorgaben auch für das Training und den Einsatz von KI-Systemen entscheidend. Das Verfahren zeigt klar, dass man sich mit guten Argumenten erfolgreich gegen DSGVO-Bußgelder und andere Behördenmaßnahmen nach dem Digitalrecht der EU verteidigen kann.”

Verteidigung Latham & Watkins LLP:

Tim Wybitul (Partner), Dr. Isabelle Brams, Thies Schmitte, Timo Hager, Dr. Jakob Hüger (alle Associates, alle Datenrecht, Frankfurt)

Verteidigung RAVENN: Nikolai Venn (Partner); Verteidigung FFPV Guido Frings (Partner)