Zum Inhalt springen
Zukunft Immobilienverwaltung
Recht & ComplianceDeep Dive7 Min Lesezeit

DSGVO-Fallstricke für Hausverwaltungen: Die 6 teuersten Verstöße

Eine durchschnittliche Hausverwaltung verarbeitet mehr personenbezogene Daten als manches mittelständische Unternehmen: Mietverträge, Bonitätsauskünfte, Gehaltsnachweise, Kontoverbindungen, Ausweiskopien, Gesundheitsdaten bei Barrierefreiheitsanträgen, Kameraaufnahmen, Verbrauchsdaten, Korrespondenz

DSGVO-Fallstricke für Hausverwaltungen: Die 6 teuersten Verstöße

Warum Hausverwaltungen ein DSGVO-Hotspot sind

Eine durchschnittliche Hausverwaltung verarbeitet mehr personenbezogene Daten als manches mittelständische Unternehmen: Mietverträge, Bonitätsauskünfte, Gehaltsnachweise, Kontoverbindungen, Ausweiskopien, Gesundheitsdaten bei Barrierefreiheitsanträgen, Kameraaufnahmen, Verbrauchsdaten, Korrespondenz mit Mietern, Eigentümern, Handwerkern, Behörden. Das alles in einem Büro mit fünf Mitarbeitern und ohne Rechtsabteilung.

Die Datenschutzbehörden der Länder haben die Immobilienwirtschaft längst auf dem Schirm. Die Berliner Beauftragte für Datenschutz widmet in ihrem Jahresbericht 2024 der Wohnungswirtschaft ein eigenes Kapitel. Die bayerische Aufsichtsbehörde hat 2024 gezielt Hausverwaltungen geprüft -- mit ernüchternden Ergebnissen.

Die folgenden sechs Verstöße tauchen in den Berichten der Aufsichtsbehörden immer wieder auf. Jeder einzelne kann ein Bußgeld nach sich ziehen, einen Reputationsschaden verursachen oder beides.

Verstoß 1: Klingelschilder mit vollem Namen

Es klingt banal, aber der Fall hat es bis vor den EuGH geschafft: Dürfen Klingelschilder den vollen Namen des Mieters tragen? Die Antwort: Ja, wenn der Mieter nicht widerspricht. Aber wenn ein Mieter die Entfernung verlangt, muss die Verwaltung handeln.

Die vollständige Checkliste mit allen Prüfpunkten steht Ihnen als kostenloser Download zur Verfügung — siehe Download-Bereich am Ende dieses Artikels.

Die DSGVO gibt jedem Betroffenen das Recht, der Verarbeitung seiner personenbezogenen Daten zu widersprechen, wenn die Verarbeitung auf berechtigtem Interesse basiert (Art. 21 DSGVO). Ein Klingelschild ist eine Verarbeitung personenbezogener Daten. Verweigert die Verwaltung die Entfernung, riskiert sie eine Beschwerde bei der Aufsichtsbehörde.

Praxislösung: Bieten Sie alternativ Wohnungsnummern oder Pseudonyme an. Dokumentieren Sie die Anfrage und Ihre Reaktion.

Verstoß 2: Kameraüberwachung ohne Rechtsgrundlage

Kameras im Eingangsbereich, im Treppenhaus, im Müllraum -- in vielen Objekten wird gefilmt, ohne dass eine tragfähige Rechtsgrundlage besteht. Die häufigsten Fehler:

  • Kein berechtigtes Interesse nachweisbar. Eine pauschale Angst vor Vandalismus reicht nicht. Es muss ein konkretes, dokumentiertes Sicherheitsproblem vorliegen.

  • Keine Hinweisschilder. Art. 13 DSGVO verlangt, dass Betroffene vor Betreten des Kamerabereichs informiert werden: Wer filmt, warum, wie lange gespeichert wird, an wen man sich wenden kann.

  • Zu lange Speicherfristen. Aufnahmen dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. In der Regel sind das 48 bis 72 Stunden, nicht vier Wochen.

  • Überwachung von Wohnungstüren. Das geht zu weit. Die Überwachung von Wohnungszugängen greift unverhältnismäßig in die Privatsphäre ein.

Die Berliner Datenschutzbeauftragte hat 2024 gegen eine Hausverwaltung ein Bußgeld von 12.500 Euro verhängt, weil Kameras im Treppenhaus ohne Hinweisschilder und ohne dokumentierte Rechtsgrundlage betrieben wurden.

Verstoß 3: Weitergabe personenbezogener Daten an Handwerker

Der Handwerker soll die verstopfte Leitung in Wohnung 3B reparieren. Die Verwaltung gibt ihm Name, Telefonnummer und Arbeitszeiten des Mieters, damit er einen Termin vereinbaren kann. Routinevorgang -- aber datenschutzrechtlich heikel.

Alle Prüfpunkte als druckbare PDF-Checkliste finden Sie im Download-Bereich unten.

Die Weitergabe personenbezogener Daten an Dritte braucht eine Rechtsgrundlage. Bei Handwerkern, die im Auftrag der Verwaltung tätig werden, kommen zwei Grundlagen in Betracht:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Instandhaltung ist Teil des Mietvertrags. Die Weitergabe der Kontaktdaten ist erforderlich, um den Vertrag zu erfüllen.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Die Verwaltung hat ein berechtigtes Interesse an der Durchführung der Reparatur.

Das Problem: Viele Verwaltungen geben mehr Daten weiter als nötig. Der Handwerker braucht Name, Adresse und eine Erreichbarkeit -- nicht die Bankverbindung, nicht den Mietvertrag und nicht die Information, dass der Mieter alleinerziehend ist und nur nachmittags zu Hause.

Praxislösung: Beschränken Sie die Datenweitergabe auf das Minimum. Und: Wenn der Handwerker regelmäßig personenbezogene Daten verarbeitet (etwa ein IT-Dienstleister mit Zugriff auf Ihre Software), brauchen Sie einen Auftragsverarbeitungsvertrag.

Verstoß 4: Mietschulden-Information an Eigentümer

Ein Eigentümer will wissen, ob sein Mieter die Miete pünktlich zahlt. Die Verwaltung schickt eine Übersicht mit Zahlungseingängen, Rückständen und Mahnhistorie. Darf sie das?

Es kommt darauf an. Der Eigentümer hat als Vermieter ein berechtigtes Interesse daran zu wissen, ob der Mietvertrag ordnungsgemäß erfüllt wird. Eine Information über Zahlungsrückstände ist grundsätzlich zulässig -- sie ist Teil der Verwalteraufgabe.

Aber: Die Detailtiefe ist entscheidend. Die bloße Information "Mieter X hat einen Rückstand von 1.200 Euro" ist zulässig. Eine vollständige Auflistung aller Zahlungseingänge mit Datum und Betrag über Jahre hinweg kann unverhältnismäßig sein, wenn sie über das hinausgeht, was der Eigentümer für seine Entscheidung braucht.

Bei WEG-Verwaltungen gilt zusätzlich: Informationen über das Zahlungsverhalten einzelner Eigentümer dürfen nicht pauschal an alle Miteigentümer verteilt werden. Die Offenlegung von Zahlungsrückständen in der Eigentümerversammlung ist nur zulässig, wenn sie für einen konkreten Beschluss relevant ist -- etwa einen Beschluss über die Mahnung oder die gerichtliche Geltendmachung.

Verstoß 5: Fehlende Auftragsverarbeitungsverträge

Jeder externe Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, braucht einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Das betrifft in der Hausverwaltung mehr Dienstleister, als die meisten denken:

Tipp: Laden Sie sich die Checkliste herunter und haken Sie jeden Punkt bei der nächsten Umsetzung ab.

  • Cloud-basierte HV-Software (Haufe, DOMUS, Immoware, Karthago)

  • E-Mail-Provider (Microsoft 365, Google Workspace)

  • Messdienstleister (Techem, ista, Brunata)

  • IT-Dienstleister mit Fernzugriff

  • Druckdienstleister für Serienbriefe

  • Aktenvernichtungsunternehmen

  • Externe Buchhaltung oder Steuerberater (wenn weisungsgebunden)

Fehlt ein AVV, ist das ein eigenständiger DSGVO-Verstoß -- unabhängig davon, ob tatsächlich ein Datenschutzproblem aufgetreten ist. Bußgelder für fehlende AVVs beginnen bei einigen tausend Euro und können bei wiederholten Verstößen deutlich höher ausfallen.

Praxislösung: Erstellen Sie eine Liste aller Dienstleister, die Zugriff auf personenbezogene Daten haben. Prüfen Sie für jeden, ob ein AVV vorliegt. Viele Anbieter stellen Standardverträge bereit -- fordern Sie sie aktiv an.

Verstoß 6: Löschfristen ignorieren

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es einen Zweck und eine Rechtsgrundlage gibt. Endet das Mietverhältnis, endet auch die Vertragsgrundlage für die Speicherung der meisten Mieterdaten.

Die Realität in vielen Verwaltungen: Alte Mieterdaten schlummern jahrzehntelang im System. Der Mieter, der 2014 ausgezogen ist, findet sich noch in der Software, komplett mit Bankverbindung, Gehaltsnachweisen und Korrespondenz.

Orientierungswerte für Löschfristen

| Datenart | Aufbewahrungspflicht | Löschung nach | |----------|---------------------|---------------| | Mietvertrag | 3 Jahre (Verjährung) + Restlaufzeit | 3 Jahre nach Ende des Mietverhältnisses | | Betriebskostenabrechnungen | 10 Jahre (HGB) | 10 Jahre nach Erstellung | | Bonitätsauskünfte | Kein Zweck nach Vertragsschluss | Spätestens 6 Monate nach Vertragsschluss | | Gehaltsnachweise (Mietinteressenten) | Kein Zweck nach Ablehnung | Sofort nach Absage | | Kameraaufnahmen | Max. 72 Stunden | Nach 72 Stunden automatisch | | Bewerbungsunterlagen (Mietinteressenten) | Kein Zweck nach Absage | 6 Monate nach Absage |

Praxislösung: Implementieren Sie ein Löschkonzept. Viele HV-Softwaresysteme bieten automatische Löschfunktionen -- aber sie müssen konfiguriert werden.

Weiterführend

Dieser Artikel zeigt die häufigsten Fallstricke. Wer den Datenschutz in seiner Verwaltung systematisch aufstellen will -- Verarbeitungsverzeichnis aufbauen, AV-Verträge richtig gestalten, Art.-15-Anfragen rechtssicher beantworten, technisch-organisatorische Maßnahmen dokumentieren --, dem empfehlen wir den Praxisleitfaden: [DSGVO in der Hausverwaltung: Verarbeitungsverzeichnis, AV-Verträge, Auskunftspflichten](1-05b-dsgvo-praxisleitfaden.md).

Die passende Vorlage können Sie als Word-Dokument herunterladen — mit allen Platzhaltern zum Ausfüllen. Siehe Downloads am Ende.

Für eine professionelle DSGVO-Bestandsaufnahme empfehlen wir die Zusammenarbeit mit einem spezialisierten Datenschutzberater. Die initiale Analyse -- welche Verarbeitungstätigkeiten vorliegen, wo Verträge fehlen und welche Risiken bestehen -- schafft die Grundlage für einen Datenschutz, der nicht nur auf dem Papier steht, sondern im Alltag funktioniert.

Ihre Downloads zu diesem Artikel

  • DSGVO-Schnelltest -- Die 6 teuersten Verstoesse vermeiden (PDF)

Alle Downloads sind kostenlos. Wir bitten Sie lediglich um Ihre E-Mail-Adresse, damit wir Sie über neue Inhalte informieren können.

→ [Kostenlos herunterladen](#download)

Ihre Downloads

Alle Downloads sind kostenlos. Bei E-Mail-geschützten Dateien erhalten Sie den Download nach Eingabe Ihrer E-Mail-Adresse.

Weitere Artikel in Recht & Compliance

S10 Min

Gewerbemietrecht für Wohnungsverwalter: Die 10 Unterschiede, die teuer werden

Die Hausverwaltung Berger betreut seit 15 Jahren Wohnimmobilien. Eines Tages kommt ein Eigentümer mit einem gemischt genutzten Objekt: acht Wohnungen oben, ein Ladenlokal und eine Arztpraxis unten. „Die Wohnungen verwalten Sie ja schon. Können Sie nicht auch die Gewerbeeinheiten übernehmen?" Der Ver

Lesen
S9 Min

Wärmeplanungsgesetz (WPG): Was Hausverwaltungen jetzt prüfen müssen

Es ist Juni 2025. In der Eigentümerversammlung einer WEG mit 45 Einheiten im Stuttgarter Süden stellt ein Eigentümer eine Frage, die den Verwalter kalt erwischt: „Ich habe gelesen, dass unser Stadtteil als Fernwärme-Vorranggebiet ausgewiesen wird. Stimmt das? Und was bedeutet das für unsere Gasheizu

Lesen
S9 Min

Grundsteuerreform 2025/2026: Neue Bescheide, geänderte Umlagefähigkeit, Widerspruchsmanagement

Im Frühjahr 2025 flattern sie in die Briefkästen: die neuen Grundsteuerbescheide auf Basis der reformierten Grundsteuerwerte. Für Millionen von Grundstücken in Deutschland ändern sich die Beträge — teils nach oben, teils nach unten, in vielen Fällen drastisch. Und für Hausverwaltungen beginnt damit

Lesen