Zum Inhalt springen
Zukunft Immobilienverwaltung
Digitalisierung & SoftwareSnackable8 Min Lesezeit

DSGVO-konformes Dokumentenmanagement: Löschfristen, Zugriffsprotokoll

In vielen Hausverwaltungen gilt ein unausgesprochenes Prinzip: Im Zweifel aufheben. Mietverträge aus den 90er Jahren liegen neben aktuellen Betriebskostenabrechnungen, E-Mails von längst ausgezogenen Mietern schlummern in Outlook-Archiven, und auf dem Fileserver existieren Ordnerstrukturen, die seit

DSGVO-konformes Dokumentenmanagement: Löschfristen, Zugriffsprotokoll

Das Problem: Alles aufheben ist keine Strategie

In vielen Hausverwaltungen gilt ein unausgesprochenes Prinzip: Im Zweifel aufheben. Mietverträge aus den 90er Jahren liegen neben aktuellen Betriebskostenabrechnungen, E-Mails von längst ausgezogenen Mietern schlummern in Outlook-Archiven, und auf dem Fileserver existieren Ordnerstrukturen, die seit 2012 niemand mehr angefasst hat.

Dieses Prinzip war schon vor der DSGVO fragwürdig. Seit Mai 2018 ist es rechtswidrig. Die Datenschutz-Grundverordnung verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie es einen rechtmäßigen Zweck gibt. Danach müssen sie gelöscht werden — nicht irgendwann, sondern nachweisbar und systematisch.

Für Hausverwaltungen ist das eine besondere Herausforderung. Sie verarbeiten personenbezogene Daten in großem Umfang: Mieterdaten, Eigentümerdaten, Kontodaten, Bonitätsauskünfte, Korrespondenz, Fotos von Wohnungen, Protokolle von Eigentümerversammlungen. Und diese Daten unterliegen unterschiedlichen Aufbewahrungsfristen — manche sechs Jahre, manche zehn, manche nur bis zum Ende des Mietverhältnisses.

Diese Pruefpunkte koennen Sie als PDF-Checkliste herunterladen -- siehe Downloads am Ende.

Aufbewahrungsfristen: 6, 10 oder individuell

Die Aufbewahrungspflichten ergeben sich aus verschiedenen Gesetzen. Die beiden wichtigsten für Hausverwaltungen:

Die vollständige Checkliste mit allen Prüfpunkten steht Ihnen als kostenloser Download zur Verfügung — siehe Download-Bereich am Ende dieses Artikels.

Steuerrechtliche Pflichten (AO, HGB)

  • 10 Jahre: Buchungsbelege, Jahresabschlüsse, Hausgeldabrechnungen, Betriebskostenabrechnungen, Kontoauszüge, Rechnungen. Die Frist beginnt am Ende des Kalenderjahres, in dem der Beleg erstellt wurde.

  • 6 Jahre: Geschäftsbriefe (empfangene und Kopien versandter), die nicht zugleich Buchungsbelege sind. Dazu zählen auch E-Mails mit geschäftsrelevantem Inhalt.

Mietrechtliche und WEG-rechtliche Pflichten

  • Mietvertrag: Aufbewahrung mindestens bis zum Ende des Mietverhältnisses plus Verjährungsfrist (3 Jahre). In der Praxis: 3 Jahre nach Auszug und Kautionsabrechnung.

  • Beschlusssammlung (WEG): Dauerhaft, solange die Gemeinschaft besteht. Beschlüsse verjähren nicht.

  • Versammlungsprotokolle: Keine gesetzliche Frist, aber in der Praxis dauerhaft aufbewahren — Beschlüsse werden regelmäßig angefochten, auch nach Jahren.

  • Kaution: Bis zur vollständigen Abrechnung und Rückzahlung, plus Verjährungsfrist.

Nutzen Sie die herunterladbare Checkliste, um keinen Schritt zu uebersehen.

Personenbezogene Daten ohne Aufbewahrungspflicht

Hier wird es heikel: Bonitätsauskünfte von abgelehnten Mietinteressenten, Bewerbungsunterlagen von Mietern, die den Zuschlag nicht bekommen haben, Korrespondenz zu abgeschlossenen Streitfällen. Für diese Daten gibt es keine Aufbewahrungspflicht — sie müssen gelöscht werden, sobald der Zweck entfällt.

Löschkonzept: Automatisiert oder manuell

Ein Löschkonzept beschreibt, welche Datenkategorien nach welcher Frist gelöscht werden, wer die Löschung auslöst und wie sie dokumentiert wird. Ohne Löschkonzept ist DSGVO-Konformität nicht herstellbar.

Variante 1: Manuelle Löschung mit Wiedervorlage

Sie legen für jede Datenkategorie eine Löschfrist fest und tragen Wiedervorlagetermine in Ihr System ein. Am Stichtag prüft ein Mitarbeiter, ob gelöscht werden kann, und führt die Löschung durch.

Vorteil: Keine technische Voraussetzung, sofort umsetzbar. Nachteil: Fehleranfällig, personalintensiv, schlecht skalierbar. Bei 1.000 Mieteinheiten und hunderten abgeschlossenen Vorgängen pro Jahr wird die manuelle Löschung zur Vollzeitbeschäftigung.

Alle Arbeitshilfen zu diesem Artikel finden Sie gebuendelt im Download-Bereich am Ende.

Variante 2: Regelbasierte automatisierte Löschung

Das DMS oder die Verwaltungssoftware löscht Dokumente automatisch nach Ablauf der konfigurierten Frist — mit einer Vorankündigung an den zuständigen Mitarbeiter und der Möglichkeit, die Löschung im Einzelfall zu verlängern (z.B. bei laufendem Rechtsstreit).

Vorteil: Zuverlässig, skalierbar, dokumentiert. Nachteil: Setzt ein System voraus, das Löschfristen pro Dokumenttyp verwalten kann. Und: Die Konfiguration muss stimmen. Eine falsch gesetzte Frist kann dazu führen, dass steuerlich relevante Belege zu früh gelöscht werden.

Der pragmatische Weg

In der Praxis bewährt sich eine Kombination: Automatische Löschung für klar definierte Kategorien (z.B. Mietinteressenten-Daten nach 6 Monaten), manuelle Prüfung für alles, was Ermessensspielraum erfordert (z.B. Korrespondenz zu Rechtsstreitigkeiten).

Zugriffsprotokoll: Wer hat wann was geöffnet

Artikel 5 Abs. 1 lit. f DSGVO verlangt, dass personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen geschützt werden — auch vor unberechtigtem Zugriff durch eigene Mitarbeiter. Ein Zugriffsprotokoll dokumentiert, welcher Nutzer wann welches Dokument geöffnet, bearbeitet oder heruntergeladen hat.

Alle Prüfpunkte als druckbare PDF-Checkliste finden Sie im Download-Bereich unten.

Das klingt nach Überwachung, ist aber kein Selbstzweck. Es dient drei Zielen:

  1. Nachweis bei Datenschutzvorfällen: Wenn ein Mieter sich beschwert, dass seine Daten unberechtigt eingesehen wurden, können Sie prüfen, ob und wann ein Zugriff stattgefunden hat.

  2. Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO): Sie müssen nachweisen können, dass Sie die Datenschutzgrundsätze einhalten. Ohne Protokollierung ist dieser Nachweis nicht möglich.

  3. Interne Qualitätssicherung: Sie sehen, welche Mitarbeiter welche Dokumente nutzen — und können bei ungewöhnlichen Mustern nachfragen.

Wichtig: Das Zugriffsprotokoll selbst enthält personenbezogene Daten (Nutzername, Zeitpunkt, Dokument). Es unterliegt daher ebenfalls der DSGVO. Legen Sie fest, wer Zugriff auf die Protokolle hat (in der Regel: Datenschutzbeauftragter und Geschäftsführung) und wie lange sie gespeichert werden (üblich: 12 Monate).

Tipp: Scrollen Sie zum Download-Bereich fuer alle Vorlagen und Checklisten zu diesem Thema.

Berechtigungskonzept: Nicht jeder darf alles sehen

Ein Dokumentenmanagementsystem ohne Berechtigungskonzept ist wie ein Aktenschrank ohne Schloss. In kleinen Verwaltungen mit drei Mitarbeitern mag das noch funktionieren. Ab zehn Mitarbeitern wird es zum Problem.

Rollen definieren

Typische Rollen in einer Hausverwaltung:

  • Sachbearbeiter Mietverwaltung: Zugriff auf Mietverträge, Mieterkorrespondenz, Schadensmeldungen — nur für die eigenen Objekte.

  • Sachbearbeiter WEG: Zugriff auf Beschlusssammlungen, Protokolle, Hausgeldabrechnungen — nur für die eigenen Gemeinschaften.

  • Buchhaltung: Zugriff auf Buchungsbelege, Rechnungen, Kontoauszüge — objektübergreifend, aber ohne Zugriff auf personenbezogene Mieterdaten wie Bonitätsauskünfte.

  • Geschäftsführung: Vollzugriff, aber mit Protokollierung.

  • Externe (Beiräte, Eigentümer): Lesezugriff auf definierte Dokumentenklassen (z.B. Protokolle, Abrechnungen) über ein Portal — ohne Zugriff auf Verwaltungsinterna.

Prinzip der minimalen Berechtigung

Jeder Mitarbeiter erhält nur die Rechte, die er für seine Arbeit benötigt. Nicht mehr. Das ist kein Misstrauensvotum, sondern eine Schutzmaßnahme — auch für die Mitarbeiter selbst. Wer keinen Zugriff auf sensible Daten hat, kann auch nicht versehentlich gegen den Datenschutz verstoßen.

Die passenden Arbeitsmaterialien stehen Ihnen im Download-Bereich kostenlos zur Verfuegung.

Auskunftsrecht nach Art. 15 DSGVO: Eine Frage der Organisation

Jeder Mieter, Eigentümer oder Dienstleister kann von Ihnen Auskunft verlangen: Welche Daten speichern Sie über mich? Zu welchem Zweck? An wen werden sie weitergegeben? Wie lange werden sie gespeichert?

Tipp: Laden Sie sich die Checkliste herunter und haken Sie jeden Punkt bei der nächsten Umsetzung ab.

Sie haben einen Monat Zeit, um vollständig zu antworten. Das klingt großzügig, ist es aber nicht. Wenn Ihre Daten über fünf Systeme verteilt liegen — Verwaltungssoftware, E-Mail, Fileserver, Cloud-Ablage, Papierarchiv — wird die Zusammenstellung zur Expedition.

Vorbereitung ist alles

Erstellen Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten (Art. 30 DSGVO), in dem dokumentiert ist, welche Datenkategorien in welchem System gespeichert werden. Wenn eine Auskunftsanfrage kommt, wissen Sie sofort, wo Sie suchen müssen.

Definieren Sie einen internen Ablauf: Wer nimmt die Anfrage entgegen, wer recherchiert, wer gibt die Auskunft frei, wer versendet die Antwort. Ohne diesen Ablauf kostet jede Anfrage Stunden — und das Risiko einer Fristüberschreitung steigt.

Praxisbeispiel: Die Anfrage, die zur Inventur wurde

Eine Hausverwaltung in Hamburg erhielt eine Auskunftsanfrage von einem ehemaligen Mieter. Sie hatte das Mietverhältnis zwei Jahre zuvor beendet. Die Verwaltung musste feststellen: Die Mieterdaten existierten noch in vollem Umfang — Mietvertrag, Bonitätsauskunft, gesamte Korrespondenz, Fotos der Übergabe, sogar die Bewerbungsunterlagen inklusive Gehaltsnachweisen. Nichts war gelöscht worden.

Die Auskunft wurde fristgerecht erteilt, aber das Ergebnis war ein Weckruf. Die Verwaltung führte daraufhin ein systematisches Löschkonzept ein und stellte fest, dass rund 40 Prozent der gespeicherten personenbezogenen Daten keiner Aufbewahrungspflicht mehr unterlagen. Ein klassischer Fall von "im Zweifel aufheben" — mit dem Risiko eines Bußgeldes.

Fazit: Datenschutz ist kein Projekt, sondern ein Dauerzustand

DSGVO-konformes Dokumentenmanagement ist kein einmaliges Projekt, das Sie abhaken können. Es ist ein laufender Prozess: Fristen überwachen, Löschungen durchführen, Berechtigungen aktuell halten, auf Auskunftsanfragen reagieren. Wer die richtigen Strukturen aufbaut, reduziert den laufenden Aufwand erheblich.

Die passende Vorlage können Sie als Word-Dokument herunterladen — mit allen Platzhaltern zum Ausfüllen. Siehe Downloads am Ende.

MieterOS protokolliert Zugriffe automatisch und unterstützt Löschfristen-Tracking. Für die individuelle DSGVO-Strategie — insbesondere die Ausgestaltung des Löschkonzepts und die Risikobewertung — empfehlen wir einen spezialisierten Datenschutzberater. Sprechen Sie uns an, wir vermitteln gern.

Ihre Downloads zu diesem Artikel

  • DSGVO-konformes Dokumentenmanagement (PDF)

Alle Downloads sind kostenlos. Wir bitten Sie lediglich um Ihre E-Mail-Adresse, damit wir Sie ueber neue Inhalte informieren koennen.

→ [Kostenlos herunterladen](#download)

Ihre Downloads

Alle Downloads sind kostenlos. Bei E-Mail-geschützten Dateien erhalten Sie den Download nach Eingabe Ihrer E-Mail-Adresse.

Weitere Artikel in Digitalisierung & Software

S8 Min

Cybersecurity-Versicherung und Incident Response: Was tun, wenn Ransomware die HV trifft

Montagmorgen, 7:45 Uhr. Der Sachbearbeiter schaltet seinen Rechner ein und sieht statt des gewohnten Desktops eine schwarze Bildschirmseite mit roter Schrift: "Your files have been encrypted. Pay 2.5 Bitcoin within 72 hours or your data will be published." Die Verwaltungssoftware startet nicht. Die

Lesen
S8 Min

Messdienstleister-Schnittstelle: Datenübergabe an ista, Techem, Minol

Einmal im Jahr steht der Datenaustausch mit dem Messdienstleister an. Auf dem Papier klingt das einfach: Sie schicken Ihre Nutzerdaten, der Messdienstleister schickt die Heizkostenabrechnung zurück. In der Praxis ist dieser Vorgang einer der fehleranfälligsten Prozesse in der Hausverwaltung — und ei

Lesen
S7 Min

Digitaler Posteingang: Scanning-Workflow, Indexierung, Weiterleitung

Es ist 8:30 Uhr, die Post liegt auf dem Empfangstisch. Zwei Dutzend Briefe, ein paar Einschreiben, dazu die Hauswurfsendungen, die niemand braucht. Jemand muss die Briefe öffnen, zuordnen, weiterleiten, ablegen. Wer das manuell macht — Brief öffnen, lesen, Objekt identifizieren, zum richtigen Sachbe

Lesen