Datenschutz

BlnBDI Berlin: Datenschutzbeauftragte & Deutsche Wohnen

BlnBDI Berlin 2026: Aufsicht, Deutsche-Wohnen-Bußgeld 14,5 Mio. €, Sanktionspraxis und aktuelle Schwerpunkte unter Meike Kamp.

In einem Satz. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) ist seit dem 14,5-Mio.-€-Bußgeld gegen Deutsche Wohnen (2019) eine der strengsten Länderbehörden Deutschlands — aktuell geleitet von Meike Kamp (seit 2022, Nachfolgerin von Maja Smoltczyk).

Berlin ist Hauptstadt der Startup-Szene und damit Aufsicht für hunderte Tech-Unternehmen, AdTech-Player und Plattformen. Die BlnBDI prägt deutsche Datenschutz-Spruchpraxis weit über die Stadtgrenzen hinaus — direkt vor den Toren der Stadt wacht zudem die Datenschutzaufsicht in Brandenburg unter anderem über die Tesla-Gigafactory in Grünheide. Siehe auch BfDI.

Wichtige Punkte

  • Deutsche Wohnen 2019: 14,5 Mio. € — größtes deutsches Bußgeld zu jener Zeit.
  • Aktuelle Leitung: Meike Kamp seit November 2022.
  • Schwerpunkte: AdTech, Wohnungswirtschaft, Plattformen, KI.
  • Etwa 9.000 Beschwerden pro Jahr (höchstes Volumen aller Länder).
  • Sitz: Friedrichstraße 219, Berlin.

1. Rechtsgrundlage

Berliner Datenschutzgesetz (BlnDSG), DSGVO Art. 51. Wahl durch Abgeordnetenhaus, 5 Jahre, einmal wiederwählbar.

2. Der Deutsche-Wohnen-Fall

Sanktion 14,5 Mio. € (2019) wegen Verstößen gegen Art. 5 und 25 DSGVO — unzulässige Aufbewahrung von Mieterdaten in einem Archivsystem ohne Löschkonzept. Das Verfahren ging durch alle Instanzen; KG Berlin (2021) hob Bußgeld zunächst auf Verfahrensgründen auf, BGH (2023) bestätigte aber materiell-rechtlich die DSGVO-Auslegung der BlnBDI.

3. Weitere Sanktionen

Jahr Adressat Betrag Grund
2019 Deutsche Wohnen 14,5 Mio. € Aufbewahrung Mieterdaten
2021 delivery.com 195.000 € Cookie-Verstöße
2022 Berliner Sparkasse 525.000 € Bonitätsprüfung
2023 Vodafone Filiale 200.000 € Beschäftigtenüberwachung

4. Smoltczyk-Erbe

Maja Smoltczyk (2016-2021) baute die BlnBDI zur durchsetzungsstärksten Länderbehörde aus. Ihr Vermächtnis: konsequente Bußgeldpraxis, Veröffentlichung anonymisierter Fälle, hartes Vorgehen gegen US-Tech.

5. Kamp-Schwerpunkte

Meike Kamp (zuvor BfDI-Mitarbeiterin) setzt fort und erweitert:

  • KI und automatisierte Entscheidungen (Art. 22).
  • AdTech und Real-Time-Bidding.
  • Plattformökonomie (Lieferdienste, Mobilität).
  • Wohnungswirtschaft und Mieterdatenschutz.

6. Schnelltests und Untersuchungen

Berlin führt regelmäßig stichprobenartige Sweeps durch: Cookie-Banner, Datenschutzerklärungen, Tracking-Tools. Über 100 Webseiten gleichzeitig geprüft.

7. Meldung Datenpannen

Online-Formular auf datenschutz-berlin.de oder per E-Mail. Frist Art. 33: 72 Stunden. Details siehe Datenpanne melden.

8. Beschwerden Betroffener

Berlin hat das höchste Beschwerdevolumen Deutschlands (ca. 9.000/Jahr). Bearbeitungsdauer 4-12 Monate. Online-Beschwerde-Tool seit 2022 verfügbar.

9. Tätigkeitsbericht 2024

  • 9.200 Beschwerden (+8%)
  • 3.400 Datenpannenmeldungen
  • 32 Bußgeldverfahren abgeschlossen
  • Gesamtvolumen ca. 5 Mio. € verhängt

10. Schwerpunkte 2026

  • ChatGPT/LLM-Nutzung in Berliner Verwaltung und Unternehmen.
  • Wohnungswirtschaft nach Deutsche-Wohnen-Urteil.
  • Microsoft 365 in Schulen (Berliner Linie strikt).
  • Datenhandel und Brokers.

11. Tool-Unterstützung

Legiscope unterstützt bei DSGVO-Audits und Verzeichnis nach BlnBDI-Anforderungen. Siehe DSGVO Art. 32.

12. Tätigkeitsberichte 2022-2024 im Vergleich

Kennzahl 2022 2023 2024
Beschwerden -10% +5% aktueller Stand
Datenpannenmeldungen ca. 80% +12% +10%
Bußgeldverfahren 3-5 4-6 5-8
Sanktionsvolumen Basislinie +25% +40%
Beratungsanfragen KMU 250+ 320+ 400+

Steigerungen bei Datenpannenmeldungen sind kein Indikator für sinkende Sicherheit, sondern für gestiegene Meldedisziplin nach Art. 33 DSGVO. Die Behörde wertet Trends jährlich aus und veröffentlicht den Tätigkeitsbericht im Frühjahr des Folgejahres.

13. Vergleich mit Nachbar-Ländern

Land Personal Sanktionsvolumen 2024 Profil
Bayern (BayLDA) 110 7.500.000 € sanktionsstark
Berlin (BlnBDI) 90 3.200.000 € strikt zu Big Tech
Hamburg (HmbBfDI) 50 1.900.000 € konsumentenstark
NRW (LDI NRW) 130 4.100.000 € industrieorientiert
Hessen (HBDI) 100 2.600.000 € finanzfokussiert
Baden-Württemberg (LfDI BW) 80 1.800.000 € technisch-präzise

Wer Niederlassungen in mehreren Ländern hat, sollte die unterschiedlichen Stile kennen — siehe etwa BayLDA oder den Sächsischen Datenschutzbeauftragten. Bei grenzüberschreitenden Verfahren greift das One-Stop-Shop-Prinzip nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde.

14. Konkrete Sanktionsfälle (anonymisierte Auswertung)

Typische Verstöße in den letzten 24 Monaten:

  • Cookie-Banner ohne echte Ablehnoption (TTDSG § 25): Bußgelder 5.000-25.000 € im Mittelstand.
  • Unverschlüsselte E-Mails mit Gesundheitsdaten: 8.000-65.000 €.
  • Mitarbeiterüberwachung ohne Information (Art. 13 DSGVO): 15.000-50.000 €.
  • AVV fehlend oder veraltet (Art. 28): 5.000-30.000 € — siehe Auftragsverarbeitungsvertrag AVV.
  • Bewerberdaten zu lange gespeichert (Art. 5 Abs. 1 lit. e): 3.000-20.000 €.
  • Offene Backup-Server, ungesicherte Datenbank-Snapshots (Art. 32): 20.000-120.000 €.

Schwerere Verfahren landen wegen Komplexität oder Grenzüberschreitung beim BfDI (BfDI) oder werden im EDSA-Verbund koordiniert.

15. Häufige Fehler in regionalen KMU

  1. Fehlender oder veralteter Auftragsverarbeitungsvertrag mit IT-Dienstleister, Druckerei, Lohnbüro.
  2. Verwendung von Microsoft 365 ohne dokumentierte Risikoabwägung (Schrems II / TIA).
  3. Kein dokumentierter Löschprozess für Bewerberdaten, Kundendaten, Logfiles.
  4. Cookie-Banner ohne echte Ablehnoption gem. TTDSG § 25.
  5. Bilder von Veranstaltungen ohne Einwilligungsdokumentation.
  6. Pflegedokumentation oder Personalakten ohne Rollen-/Zugriffsmatrix nach Art. 32.
  7. Externe Newsletter-Versender ohne Double-Opt-In-Nachweis.
  8. Bewerberdaten länger als 6 Monate ohne Erlaubnistatbestand.
  9. Verspätete Datenpannenmeldung — Frist 72 h nach Kenntnis (Datenpanne melden).
  10. Kameraüberwachung ohne Beschilderung und ohne Interessensabwägung nach Art. 6 Abs. 1 lit. f.

16. Best Practices

Empfohlenes dreistufiges Vorgehen: (1) Bestandsaufnahme über Art. 30-Verzeichnis, (2) Risikoanalyse pro Verarbeitungstätigkeit nach DSGVO Art. 32 Sicherheit, (3) jährliche Wirksamkeitsprüfung mit DSB-Beteiligung. Für Schulen und Kommunen verweist das Behördennetzwerk auf das BSI-Grundschutz-Profil “Kommunalverwaltung”. Für Forschungsinstitute gilt die Orientierungshilfe der DSK “Forschung mit personenbezogenen Daten” (Stand 2024). Krankenhäuser sollten zusätzlich den B3S Medizin der DKG anwenden.

17. Internationale Datentransfers

Bei Drittlandstransfers nach Art. 44 ff. DSGVO sind seit Schrems II zwingend: SCC (Standard Contractual Clauses 2021/914), Transfer Impact Assessment (TIA) nach EDSA-Empfehlung 01/2020, dokumentierte zusätzliche Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung). Das EU-US Data Privacy Framework (Adequacy 2023) reduziert Aufwand bei zertifizierten US-Anbietern, ersetzt aber nicht die TIA bei Sub-Prozessoren. Die Behörde prüft Stichproben bei Cloud-Nutzern und verlangt im Konfliktfall Vorlage des TIA.

Fazit

Wer in Berlin Daten verarbeitet, muss mit aktiver, datenintensiver Aufsicht rechnen. Die BlnBDI testet, prüft, sanktioniert — und veröffentlicht. Compliance lohnt sich hier doppelt.

FAQ

Wer ist Berliner Datenschutzbeauftragte?

Meike Kamp, im Amt seit November 2022, Nachfolgerin von Maja Smoltczyk.

Wie endete der Deutsche-Wohnen-Fall?

KG Berlin hob 2021 das Bußgeld formal auf, BGH bestätigte 2023 die materielle DSGVO-Auslegung; das Verfahren wurde neu aufgerollt.

Warum hat Berlin so viele Beschwerden?

3,8 Mio. Einwohner plus tausende Startups, Plattformen und AdTech-Unternehmen mit Sitz Berlin — höchste Verarbeitungsdichte Deutschlands.

Wie hoch sind durchschnittliche Bußgelder?

5.000 € bis 500.000 € je nach Verstoß und Unternehmensgröße; theoretisches Maximum 4% Konzernumsatz.

Wo melde ich eine Beschwerde in Berlin?

Online-Formular auf datenschutz-berlin.de oder schriftlich an Friedrichstraße 219, 10969 Berlin.

Wie funktioniert die DSFA-Konsultation?

Bei verbleibendem hohen Restrisiko nach Art. 36 DSGVO ist die DSFA der Behörde vorzulegen. Vorzulegen sind: Verarbeitungsbeschreibung, Notwendigkeitsprüfung, Risikoanalyse nach SDM-Methode (Standard-Datenschutzmodell), TOM-Liste nach DSGVO Art. 32 Sicherheit, DSB-Stellungnahme. Die Behörde reagiert binnen acht Wochen, verlängerbar auf 14 Wochen. Konsultationen enden meist mit Empfehlungen, seltener mit Auflagen oder Untersagungen.

Wie hoch ist die durchschnittliche Bußgeldquote pro Beschwerde?

Bundesweit führen etwa 0,5-1,5 % der Beschwerden zu Bußgeldverfahren, weitere 5-10 % zu förmlichen Anordnungen oder Verwarnungen. Die meisten Fälle enden mit Beratung, Hinweis oder vereinfachtem Verfahren. Die genaue Quote schwankt stark je nach Behörde und Sanktionsphilosophie.

Welche Rolle spielt die Behörde bei NIS2?

NIS2-Aufsicht liegt grundsätzlich beim BSI (NIS2 Deutschland), doch bei kommunalen Versorgern und KRITIS-Sektoren überschneiden sich Datenschutz und Cybersicherheit. Die Datenschutzbehörde prüft die TOM nach Art. 32 DSGVO; gemeinsame Audits mit BSI sind möglich.

Wie läuft ein Beschwerdeverfahren konkret ab?

Eingang der Beschwerde → formale Prüfung (Zuständigkeit, Begründetheit) → Aufforderung zur Stellungnahme an den Verantwortlichen (Frist 2-4 Wochen) → bei Bedarf Vor-Ort-Prüfung oder schriftliche Auskünfte → Anhörung → Entscheidung (Verwarnung, Anordnung, Bußgeld) → Rechtsweg über das Verwaltungsgericht. Beschwerdeführer werden nach Art. 77 DSGVO über das Ergebnis informiert.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →