Startup vergisst Datenlöschung: 1,4 Millionen Euro Bußgeld und das Ende des Wachstums
Ein aufstrebendes PropTech-Startup versäumt die DSGVO-konforme Datenlöschung. Die Folge: ein Bußgeld von 1,4 Millionen Euro, verlorene Investoren und der Absturz.
Menschliches Versagen
€3.1 Mio.
€1.4 Mio. DSGVO-Bußgeld
Der Vorfall
NestFlow GmbH war der Liebling der deutschen PropTech-Szene. Gegründet 2022 in Berlin, 68 Mitarbeiter, Series-A-Finanzierung über 12 Millionen Euro, namhafte Investoren. Die Plattform digitalisierte den Mietprozess: Mieter konnten Dokumente hochladen — Gehaltsnachweise, SCHUFA-Auszüge, Personalausweiskopien, Arbeitsverträge — und Vermieter konnten Bewerbungen vergleichen, Mietverträge abschließen und Übergabeprotokolle digital abwickeln.
Bis März 2025 hatte NestFlow 380.000 registrierte Nutzer und verarbeitete monatlich über 40.000 Mietbewerbungen. Die Presse überschlug sich: „Das Airbnb für Mietbewerbungen", „NestFlow will den deutschen Wohnungsmarkt revolutionieren".
Was niemand wusste: In den Datenbanken von NestFlow schlummerte eine Zeitbombe.
Seit dem Launch im Sommer 2022 hatte das Startup niemals Nutzerdaten gelöscht. Nicht ein einziges Mal. Mietbewerbungen, die vor drei Jahren abgelehnt worden waren, lagen noch immer mit sämtlichen hochgeladenen Dokumenten auf den Servern. Gehaltsnachweise von 2022. SCHUFA-Auszüge mit negativen Einträgen, die längst bereinigt waren. Personalausweiskopien von Menschen, die längst umgezogen waren.
Insgesamt: 2,3 Millionen Dokumente von 380.000 Nutzern, die keinem aktiven Verarbeitungszweck mehr dienten.
Der Auslöser für die Katastrophe kam von unerwarteter Seite. Im Juni 2025 stellte eine Datenschutzaktivistin namens Lena Kirsch einen Auskunftsantrag nach Art. 15 DSGVO. Sie hatte NestFlow 2022 für eine Wohnungsbewerbung genutzt und wollte wissen, welche Daten noch gespeichert waren. Die Antwort, die sie sechs Wochen später erhielt, schockierte sie: Alle Dokumente waren noch da. Ihr Gehaltsnachweis von 2022, ihre SCHUFA-Auskunft, die Kopie ihres Personalausweises, ihre komplette Bewerbungsmappe — drei Jahre nachdem sie die Wohnung nicht bekommen hatte.
Kirsch stellte einen Löschantrag nach Art. 17 DSGVO. Nach vier Wochen ohne Reaktion wandte sie sich an die Berliner Datenschutzbeauftragte. Ihre Beschwerde war der Beginn des Untergangs.
Die Eskalation
Juli 2025: Die Berliner Datenschutzbeauftragte nahm die Beschwerde auf und forderte NestFlow zur Stellungnahme auf. CTO David Park versuchte, die Angelegenheit intern zu klären. Er stellte fest, dass es schlicht keinen Löschmechanismus gab. Die Plattform hatte keine Funktion zur automatisierten Datenlöschung. Kein Löschkonzept. Keine Aufbewahrungsfristen. Nichts.
August 2025: Die Datenschutzbehörde ordnete eine Vor-Ort-Prüfung an. Zwei Prüfer verbrachten drei Tage in den Büros von NestFlow. Was sie fanden, übertraf ihre schlimmsten Erwartungen.
Die Prüfer entdeckten:
- 2,3 Millionen Dokumente ohne definierten Löschzeitpunkt
- 127.000 Personalausweiskopien, die nach Ablauf des Verarbeitungszwecks hätten gelöscht werden müssen
- 89.000 SCHUFA-Auszüge — teilweise über drei Jahre alt
- Keine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, obwohl die massenhafte Verarbeitung besonderer Datenkategorien dies zwingend erforderte
- Keinen Datenschutzbeauftragten, obwohl bei 380.000 Nutzern die Bestellpflicht nach § 38 BDSG eindeutig gegeben war
- Kein Verarbeitungsverzeichnis nach Art. 30 DSGVO
September 2025: Die Geschichte wurde von einem Technikjournalisten aufgegriffen, der die Beschwerde von Lena Kirsch recherchiert hatte. Der Artikel mit dem Titel „NestFlow: 380.000 Mieter, null Datenlöschung" ging viral. Innerhalb von 48 Stunden folgten Berichte in Spiegel Online, Handelsblatt und der Tagesschau.
Oktober 2025: 14.000 Nutzer stellten innerhalb von zwei Wochen Löschanträge. Das fünfköpfige Support-Team brach unter der Last zusammen. Viele Anträge konnten nicht fristgerecht bearbeitet werden, was zu weiteren Beschwerden bei der Datenschutzbehörde führte.
November 2025: Die Datenschutzbehörde verhängte das Bußgeld: 1,4 Millionen Euro.
Dezember 2025: Die Investoren zogen die Reißleine. Die geplante Series-B-Finanzierung über 25 Millionen Euro wurde abgesagt. Der Lead-Investor erklärte öffentlich: „Wir investieren nicht in Unternehmen, die Compliance als optionales Feature betrachten."
Der Schaden im Detail
Finanzieller Schaden
| Kostenposition | Betrag |
|---|---|
| DSGVO-Bußgeld | 1.400.000 € |
| Gescheiterte Series-B-Finanzierung (indirekt) | nicht bezifferbar |
| Entwicklung Löschsystem (Notfall) | 280.000 € |
| Externe Datenschutzberatung | 190.000 € |
| Rechtsanwaltskosten | 210.000 € |
| Bearbeitung 14.000 Löschanträge | 340.000 € |
| Umsatzrückgang (Nutzerabwanderung) | 520.000 € |
| Einstellung Datenschutzbeauftragter + Team | 160.000 € |
| Gesamtschaden (direkt bezifferbar) | 3.100.000 € |
Der tatsächliche Schaden lag deutlich höher. Die geplatzte Series-B hätte dem Unternehmen 25 Millionen Euro für die Expansion gesichert. Ohne diese Finanzierung musste NestFlow Mitarbeiter entlassen, die Expansion in weitere Städte stoppen und Features zurückstellen.
Reputationsschaden
Der Skandal wurde zum Synonym für Startup-Arroganz gegenüber Datenschutz. In Branchenkreisen sprach man vom „NestFlow-Moment" — dem Punkt, an dem ein Startup realisiert, dass DSGVO-Compliance kein Sprint ist, den man nach dem Wachstum erledigt. Die aktiven Nutzer gingen innerhalb von sechs Monaten von 380.000 auf 195.000 zurück. Der Net Promoter Score fiel von +42 auf -18.
Rechtliche Konsequenzen
Das Bußgeld von 1,4 Millionen Euro setzte sich aus mehreren Verstößen zusammen:
- Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung): Daten wurden ohne zeitliche Begrenzung gespeichert, obwohl der Verarbeitungszweck längst entfallen war. Hauptverstoß: 800.000 €.
- Art. 17 DSGVO (Recht auf Löschung): Der Löschantrag von Lena Kirsch wurde nicht fristgerecht bearbeitet. 200.000 €.
- Art. 35 DSGVO (Datenschutz-Folgenabschätzung): Keine DSFA trotz Pflicht. 150.000 €.
- Art. 37/38 BDSG (Datenschutzbeauftragter): Kein DSB trotz Bestellpflicht. 100.000 €.
- Art. 30 DSGVO (Verarbeitungsverzeichnis): Keines vorhanden. 150.000 €.
Auswirkungen auf den Betrieb
CEO Maria Torres und CTO David Park traten zurück. Ein Drittel der Belegschaft — 23 Mitarbeiter — wurde entlassen. Die Bürofläche in Berlin-Mitte wurde aufgegeben; das Team zog in ein Coworking-Space in Kreuzberg. Die Expansion nach Hamburg und München wurde auf unbestimmte Zeit verschoben.
Was schiefgelaufen ist
1. „Wir kümmern uns später darum"-Mentalität: Von Anfang an war die unausgesprochene Entscheidung: Erst wachsen, dann Compliance. Das Löschkonzept stand seit der Gründung auf der Roadmap — und wurde jedes Quartal verschoben. Zugunsten neuer Features, besserer Conversion-Rates, schnellerer Onboarding-Flows. Datenschutz galt als Bremse, nicht als Fundament.
2. Kein Datenschutzbeauftragter: Obwohl NestFlow als Unternehmen mit über 20 Mitarbeitern, die ständig personenbezogene Daten verarbeiten, einen DSB hätte bestellen müssen, wurde dies versäumt. Ein DSB hätte die Löschproblematik vom ersten Tag an adressiert.
3. Technische Schulden: Die Datenbank war nicht für Löschungen ausgelegt. Dokumente, Nutzerdaten und Bewerbungen waren so eng miteinander verknüpft, dass eine selektive Löschung nachträglich einen massiven Engineering-Aufwand erforderte. Was beim Launch eine Sache von Tagen gewesen wäre, kostete nach drei Jahren 280.000 Euro.
4. Fehlende Aufbewahrungsfristen: Kein einziger Dokumenttyp hatte eine definierte Aufbewahrungsfrist. Personalausweiskopien, SCHUFA-Auszüge, Gehaltsnachweise — alles wurde auf ewig gespeichert.
5. Kein sicherer Dokumentenprozess: Die Dokumente lagen als unverschlüsselte Dateien in einem S3-Bucket. Es gab keine granulare Zugriffskontrolle, keinen Audit-Trail, keine automatische Ablaufsteuerung. Ein professionelles Dokumentenmanagementsystem mit integrierter Ablauflogik — wie es sichere Upload-Links bieten — hätte die Problematik von Beginn an entschärft.
Die Lehren
Datenschutz ist kein Feature — er ist die Grundlage. Startups, die DSGVO-Compliance als „technische Schuld" behandeln, spielen mit dem Feuer. Die Kosten für nachträgliche Compliance übersteigen die Kosten für frühzeitige Implementierung um das Zehn- bis Hundertfache.
Löschkonzepte gehören in den MVP. Wer personenbezogene Daten verarbeitet, muss vom ersten Tag an wissen, wann und wie diese Daten gelöscht werden. Das Löschkonzept ist kein Nice-to-have — es ist eine gesetzliche Pflicht.
Dokumentenmanagement mit eingebauten Fristen. Plattformen wie SendMeSafe bieten Upload-Links mit Ablaufdatum — eine einfache, aber wirkungsvolle Maßnahme, um sicherzustellen, dass Dokumente nicht unbegrenzt gespeichert werden. Wer von Anfang an auf Werkzeuge setzt, die Datenschutz by Design unterstützen, vermeidet das Schicksal von NestFlow.
Investoren prüfen Compliance. In einer Post-DSGVO-Welt ist Datenschutz-Compliance Teil der Due Diligence. Investoren, die Millionen in ein Startup stecken, erwarten, dass die regulatorischen Grundlagen stehen. Wer hier Defizite hat, riskiert nicht nur Bußgelder, sondern seine gesamte Finanzierung.
Machen Sie Datenschutz von Anfang an richtig. Testen Sie SendMeSafe 14 Tage kostenlos — sichere Dokumentenübertragung mit automatischen Ablaufdaten und vollständigem Audit-Trail. Keine Kreditkarte erforderlich.
Häufig gestellte Fragen
Wie lange dürfen Bewerbungsunterlagen gespeichert werden?
Nach aktueller Rechtsprechung und Empfehlung der Datenschutzbehörden dürfen Bewerbungsunterlagen in der Regel maximal sechs Monate nach Abschluss des Bewerbungsverfahrens aufbewahrt werden — sofern der Bewerber nicht ausdrücklich in eine längere Speicherung eingewilligt hat. Für Plattformen wie NestFlow, die Mietbewerbungen abwickeln, gelten vergleichbare Fristen: Sobald die Wohnungsvergabe abgeschlossen ist, entfällt der Verarbeitungszweck, und die Daten müssen gelöscht werden.
Braucht mein Startup einen Datenschutzbeauftragten?
Nach § 38 BDSG müssen Unternehmen einen Datenschutzbeauftragten bestellen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig davon gilt die Pflicht, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) oder in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht. Im Zweifel ist die Bestellung eines DSB immer die sicherere Entscheidung.
Kann ein Bußgeld ein Startup wirklich in die Insolvenz treiben?
Direkt selten — aber indirekt absolut. Das DSGVO-Bußgeld selbst ist oft nicht das Hauptproblem. Die Folgeschäden sind es: Investorenvertrauen, Nutzerabwanderung, Reputationsschaden, Kosten für nachträgliche Compliance. Im Fall NestFlow war das Bußgeld von 1,4 Millionen Euro schmerzhaft, aber die geplatzte Series-B über 25 Millionen Euro war der eigentliche Todesstoß für die Wachstumsstrategie.
Wie kann ich als Startup Datenlöschung von Anfang an richtig umsetzen?
Drei Schritte: Erstens, definieren Sie für jeden Datentyp eine Aufbewahrungsfrist — dokumentiert im Verarbeitungsverzeichnis. Zweitens, implementieren Sie automatisierte Löschprozesse in Ihrer Software — keine manuellen Prozesse, die vergessen werden können. Drittens, nutzen Sie für den Dokumentenaustausch Werkzeuge mit eingebauten Ablaufdaten. SendMeSafe Upload-Links können beispielsweise mit einem Ablaufdatum konfiguriert werden, sodass der Zugriff auf hochgeladene Dokumente automatisch endet.
Häufig gestellte Fragen
Lassen Sie es nicht so weit kommen
Schützen Sie Ihre Daten mit sicheren Upload- und Share-Links.
Jetzt kostenlos testen