Zum Inhalt springen
Zukunft Immobilienverwaltung
Recht & ComplianceDeep Dive30 Min Lesezeit

DSGVO in der Hausverwaltung: Verarbeitungsverzeichnis, AV-Verträge, Auskunftspflichten -- Praxisleitfaden

Hausverwaltungen gehören zu den Branchen, in denen die DSGVO am tiefsten in den Arbeitsalltag eingreift. Jeder Mietvertrag, jede Nebenkostenabrechnung, jede Korrespondenz mit Mietern und Eigentümern ist eine Verarbeitung personenbezogener Daten. Die meisten Verwaltungen wissen das. Die wenigsten hab

DSGVO in der Hausverwaltung: Verarbeitungsverzeichnis, AV-Verträge, Auskunftspfl

Datenschutz als Verwaltungsaufgabe, nicht als Nebensache

Hausverwaltungen gehören zu den Branchen, in denen die DSGVO am tiefsten in den Arbeitsalltag eingreift. Jeder Mietvertrag, jede Nebenkostenabrechnung, jede Korrespondenz mit Mietern und Eigentümern ist eine Verarbeitung personenbezogener Daten. Die meisten Verwaltungen wissen das. Die wenigsten haben ihre Prozesse konsequent darauf ausgerichtet.

Die Folgen zeigen sich, wenn es ernst wird: Eine Mieterin stellt eine Auskunftsanfrage nach Art. 15 DSGVO, und niemand im Büro weiß, wo überall ihre Daten liegen. Die Datenschutzbehörde kündigt eine Prüfung an, und das Verarbeitungsverzeichnis ist seit 2019 nicht aktualisiert. Ein Dienstleister hat einen Datenverlust, und es stellt sich heraus, dass nie ein Auftragsverarbeitungsvertrag geschlossen wurde.

Dieser Leitfaden behandelt die sechs Handlungsfelder, die für Hausverwaltungen am relevantesten sind -- nicht als juristisches Lehrbuch, sondern als Anleitung für die Praxis.

1. Das Verzeichnis der Verarbeitungstätigkeiten: Pflicht und Grundlage

Warum es jede Verwaltung braucht

Die vollständige Checkliste mit allen Prüfpunkten steht Ihnen als kostenloser Download zur Verfügung — siehe Download-Bereich am Ende dieses Artikels.

Art. 30 DSGVO verpflichtet jeden Verantwortlichen, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern greift nicht, wenn die Verarbeitung regelmäßig erfolgt oder besondere Datenkategorien betrifft. Beides trifft auf Hausverwaltungen zu: Die Verarbeitung von Mieterdaten ist das Kerngeschäft, und Gesundheitsdaten (z. B. bei Barrierefreiheitsanträgen) kommen regelmäßig vor.

Was ins Verzeichnis gehört

Für jede Verarbeitungstätigkeit sind folgende Angaben zu dokumentieren:

  1. Bezeichnung der Verarbeitungstätigkeit (z. B. "Mietvertragsverwaltung")

  2. Name und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten

  3. Zweck der Verarbeitung (z. B. "Verwaltung des Mietverhältnisses")

  4. Kategorien betroffener Personen (z. B. Mieter, Eigentümer, Mietinteressenten)

  5. Kategorien personenbezogener Daten (z. B. Name, Adresse, Bankverbindung, Bonitätsdaten)

  6. Empfänger der Daten (z. B. Finanzamt, Messdienstleister, Handwerker)

  7. Übermittlung in Drittländer (z. B. bei US-Cloud-Anbietern)

  8. Löschfristen (z. B. "3 Jahre nach Ende des Mietverhältnisses")

  9. Technisch-organisatorische Maßnahmen (Verweis auf TOM-Dokumentation)

Typische Verarbeitungstätigkeiten in der Hausverwaltung

| Nr. | Verarbeitungstätigkeit | Betroffene | Datenkategorien | Rechtsgrundlage | |-----|------------------------|-----------|----------------|-----------------| | 1 | Mietvertragsverwaltung | Mieter | Name, Adresse, Geburtsdatum, Bankverbindung | Art. 6 Abs. 1 lit. b | | 2 | Mietinteressenten-Management | Bewerber | Name, Kontaktdaten, Gehaltsnachweise, SCHUFA | Art. 6 Abs. 1 lit. b (vorvertraglich) | | 3 | Nebenkostenabrechnung | Mieter | Verbrauchsdaten, Wohnfläche, Personenzahl | Art. 6 Abs. 1 lit. b | | 4 | WEG-Verwaltung | Eigentümer | Name, Adresse, Miteigentumsanteil, Bankverbindung | Art. 6 Abs. 1 lit. b | | 5 | Handwerkerbeauftragung | Mieter | Name, Adresse, Telefon, Schadensbeschreibung | Art. 6 Abs. 1 lit. f | | 6 | Kameraüberwachung | Bewohner, Besucher | Videoaufnahmen | Art. 6 Abs. 1 lit. f | | 7 | Beschwerdemanagement | Mieter, Eigentümer | Name, Beschwerdeinhalt, ggf. Gesundheitsdaten | Art. 6 Abs. 1 lit. f / Art. 9 | | 8 | Personalverwaltung | Mitarbeiter | Name, Gehalt, Steuer-ID, Krankheitstage | Art. 6 Abs. 1 lit. b, c | | 9 | Webseitenbesuch / Newsletter | Interessenten | E-Mail, IP-Adresse, Nutzungsverhalten | Art. 6 Abs. 1 lit. a (Einwilligung) | | 10 | Lohnbuchhaltung (extern) | Mitarbeiter | Gehaltsdaten | Art. 6 Abs. 1 lit. c + AVV |

Praxisbeispiel: Verarbeitungsverzeichnis aufbauen

Eine Verwaltung mit 800 Einheiten und sieben Mitarbeitern beginnt bei null. Der Datenschutzbeauftragte setzt einen Workshop an -- drei Stunden, alle Mitarbeiter. Jeder beschreibt, welche Daten er in seiner täglichen Arbeit nutzt, woher sie kommen und wohin sie gehen. Ergebnis: 14 Verarbeitungstätigkeiten, die in eine Excel-Tabelle überführt und als lebendes Dokument angelegt werden. Zwei Wochen später ist das Verzeichnis fertig. Der Aufwand: überschaubar. Der Wert bei einer Behördenprüfung: unbezahlbar.

2. Auftragsverarbeitungsverträge: Wer braucht einen AVV?

Die Abgrenzung: Auftragsverarbeitung vs. eigenverantwortliche Verarbeitung

Alle Prüfpunkte als druckbare PDF-Checkliste finden Sie im Download-Bereich unten.

Nicht jeder Dienstleister ist ein Auftragsverarbeiter. Die Abgrenzung ist entscheidend:

Auftragsverarbeiter handelt weisungsgebunden auf Anweisung des Verantwortlichen. Beispiel: Der Cloud-Anbieter Ihrer HV-Software speichert und verarbeitet Mieterdaten in Ihrem Auftrag. Er entscheidet nicht eigenständig über Zweck oder Mittel der Verarbeitung.

Eigenständig Verantwortlicher verarbeitet Daten zu eigenen Zwecken. Beispiel: Der Rechtsanwalt, den Sie mit einer Räumungsklage beauftragen, handelt eigenverantwortlich auf Basis einer Rechtsgrundlage (Mandatsvertrag). Er braucht keinen AVV, sondern eine datenschutzrechtliche Vereinbarung über die gemeinsame oder getrennte Verantwortlichkeit.

Wer in der Hausverwaltung einen AVV braucht

| Dienstleister | AVV erforderlich? | Begründung | |---------------|-------------------|-----------| | HV-Software (Cloud) | Ja | Weisungsgebundene Speicherung und Verarbeitung | | IT-Dienstleister (Fernwartung) | Ja | Zugriff auf personenbezogene Daten im Auftrag | | Messdienstleister | Ja | Verarbeitung von Verbrauchsdaten im Auftrag | | E-Mail-Provider (M365, Google) | Ja | Speicherung von Korrespondenz mit personenbezogenen Daten | | Druckdienstleister | Ja | Verarbeitung von Adressdaten für Serienbriefe | | Aktenvernichtung | Ja | Verarbeitung (Vernichtung) personenbezogener Daten | | Steuerberater | In der Regel nein | Eigenverantwortlich tätig auf Basis Mandatsvertrag | | Rechtsanwalt | Nein | Eigenverantwortlich tätig | | Handwerker | In der Regel nein | Kein Auftragsverarbeiter, erhält nur Kontaktdaten | | Webhosting | Ja | Speicherung von Webseitendaten (IP-Adressen, Formulareingaben) |

Mindestinhalt eines AVV

Art. 28 Abs. 3 DSGVO schreibt folgende Regelungen vor:

  1. Gegenstand und Dauer der Verarbeitung

  2. Art und Zweck der Verarbeitung

  3. Art der personenbezogenen Daten und Kategorien betroffener Personen

  4. Pflichten und Rechte des Verantwortlichen

  5. Weisungsbindung des Auftragsverarbeiters

  6. Vertraulichkeitsverpflichtung der Mitarbeiter des Auftragsverarbeiters

  7. Technisch-organisatorische Maßnahmen (TOMs) des Auftragsverarbeiters

  8. Regelung zu Unterauftragsverarbeitern (Genehmigungsvorbehalt)

  9. Unterstützungspflichten bei Betroffenenrechten und Meldepflichten

  10. Löschung oder Rückgabe der Daten nach Ende der Verarbeitung

  11. Kontrollrechte des Verantwortlichen

Praxisbeispiel: AVV-Inventur in der Verwaltung

Die Geschäftsführung einer Verwaltung mit 1.200 Einheiten beauftragt den externen Datenschutzbeauftragten mit einer AVV-Inventur. Ergebnis: Von 22 identifizierten Dienstleistern, die Zugriff auf personenbezogene Daten haben, liegen nur für 8 AVVs vor. Für die restlichen 14 werden Standardverträge angefordert oder eigene AVVs aufgesetzt. Dauer: sechs Wochen. Drei Dienstleister reagieren zunächst nicht -- die Verwaltung setzt eine Frist und kündigt an, den Zugriff zu sperren, falls kein AVV zustande kommt. Alle drei liefern innerhalb von zehn Tagen.

3. Auskunftspflichten: Art. 15 DSGVO richtig umsetzen

Was Betroffene verlangen dürfen

Die passende Vorlage können Sie als Word-Dokument herunterladen — mit allen Platzhaltern zum Ausfüllen. Siehe Downloads am Ende.

Jede Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Wenn ja, hat sie Anspruch auf:

  • Eine Kopie aller über sie gespeicherten personenbezogenen Daten

  • Informationen über Verarbeitungszwecke, Datenkategorien, Empfänger

  • Informationen über Speicherdauer oder die Kriterien für deren Festlegung

  • Informationen über Herkunft der Daten (wenn nicht beim Betroffenen erhoben)

  • Informationen über automatisierte Entscheidungsfindung (inkl. Profiling)

Die Frist: 30 Tage, keine Ausreden

Die Auskunft muss innerhalb eines Monats nach Eingang der Anfrage erteilt werden. Eine Verlängerung um zwei weitere Monate ist nur bei besonderer Komplexität oder hoher Anzahl von Anfragen zulässig -- und muss innerhalb des ersten Monats unter Angabe der Gründe mitgeteilt werden.

So bearbeiten Sie eine Art.-15-Anfrage Schritt für Schritt

Tag 1: Eingang der Anfrage. Dokumentieren Sie Eingang und Datum. Prüfen Sie die Identität des Anfragenden -- bei Zweifeln dürfen (und müssen) Sie eine Identitätsprüfung verlangen.

Tag 1--5: Datenrecherche. Durchsuchen Sie alle Systeme, in denen Daten der betroffenen Person gespeichert sein könnten:

  • HV-Software (Mietvertrag, Korrespondenz, Zahlungshistorie)

  • E-Mail-Archiv

  • Papierakten

  • Cloud-Speicher (Scans, Fotos)

  • Handwerker-Kommunikation (weitergeleitete Daten)

  • Kameraaufnahmen (falls vorhanden und noch nicht gelöscht)

Tag 5--15: Zusammenstellung und Schwärzung. Stellen Sie alle Daten zusammen. Schwärzen Sie personenbezogene Daten Dritter (z. B. Namen anderer Mieter in Eigentümerprotokollen). Bereiten Sie ein übersichtliches Antwortschreiben vor.

Tag 15--25: Qualitätsprüfung und Versand. Prüfen Sie die Vollständigkeit. Versenden Sie die Auskunft auf einem sicheren Weg -- verschlüsselte E-Mail, passwortgeschütztes PDF oder postalisch. Nicht per unverschlüsselter E-Mail, wenn sensible Daten enthalten sind.

Tag 25--30: Dokumentation. Dokumentieren Sie, dass die Anfrage fristgerecht beantwortet wurde, welche Daten übermittelt wurden und auf welchem Weg.

Praxisbeispiel: Auskunftsanfrage eines ehemaligen Mieters

Ein Mieter, der vor zwei Jahren ausgezogen ist, stellt per E-Mail eine Art.-15-Anfrage. Die Verwaltung sucht in der HV-Software, im E-Mail-Archiv und in den Papierakten. Ergebnis: Mietvertrag, Nebenkostenabrechnungen, Korrespondenz zu einer Mängelanzeige, Bonitätsauskunft aus der Bewerbungsphase, Übergabeprotokoll. Die Bonitätsauskunft hätte nach Vertragsschluss gelöscht werden müssen -- ein Versäumnis, das die Verwaltung dokumentiert und korrigiert. Die Auskunft wird am 18. Tag versandt, zusammen mit dem Hinweis, dass die Bonitätsauskunft nunmehr gelöscht wurde.

4. Technisch-organisatorische Maßnahmen (TOMs)

Was die DSGVO verlangt

Die passende Vorlage können Sie als Word-Dokument herunterladen — mit allen Platzhaltern zum Ausfüllen. Siehe Downloads am Ende.

Art. 32 DSGVO verpflichtet den Verantwortlichen, technische und organisatorische Maßnahmen zu treffen, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Die Maßnahmen müssen dokumentiert, aktuell und nachweisbar sein.

TOM-Katalog für eine typische Hausverwaltung

Zutrittskontrolle (physisch)

  • Büroräume sind außerhalb der Geschäftszeiten abgeschlossen

  • Serverraum oder Serverschrank ist separat gesichert

  • Besucher werden nicht unbeaufsichtigt in Räume mit Akten oder Bildschirmen gelassen

  • Papierakten mit sensiblen Daten befinden sich in verschlossenen Schränken

Zugangskontrolle (logisch)

  • Jeder Mitarbeiter hat ein individuelles Benutzerkonto

  • Passwort-Policy: mindestens 12 Zeichen, Komplexitätsanforderung, Ablauf alle 90 Tage

  • Zwei-Faktor-Authentifizierung für HV-Software, E-Mail und Cloud-Dienste

  • Automatische Bildschirmsperre nach 5 Minuten Inaktivität

Zugriffskontrolle (rollenbasiert)

  • Berechtigungen sind nach dem Minimalprinzip vergeben

  • Sachbearbeiter sehen nur ihre zugewiesenen Objekte

  • Administratorrechte sind auf maximal zwei Personen beschränkt

  • Berechtigungen werden bei Abteilungswechsel oder Ausscheiden sofort angepasst

Weitergabekontrolle

  • E-Mails mit sensiblen Anhängen werden verschlüsselt (passwortgeschütztes PDF oder S/MIME)

  • Fernzugriff (Homeoffice, mobil) erfolgt ausschließlich über VPN

  • USB-Sticks mit personenbezogenen Daten sind verschlüsselt

  • Fax wird nicht für personenbezogene Daten genutzt

Eingabekontrolle

  • Änderungen in der HV-Software werden mit Benutzername und Zeitstempel protokolliert

  • Audit-Logs werden mindestens 12 Monate aufbewahrt

Verfügbarkeitskontrolle

  • Tägliche Backups nach der 3-2-1-Regel

  • Restore-Tests mindestens quartalsweise

  • Unterbrechungsfreie Stromversorgung (USV) für Server

Trennungsgebot

  • Daten verschiedener Auftraggeber (WEG vs. Mietverwaltung) werden logisch getrennt gespeichert

  • Mandantentrennung in der HV-Software ist aktiviert

5. Datenschutz-Folgenabschätzung: Wann sie Pflicht ist

Die Schwelle

Den Rechner für diese Berechnung finden Sie als Excel-Download am Ende des Artikels.

Art. 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA), wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Aufsichtsbehörden haben Listen veröffentlicht, die konkrete Verarbeitungstätigkeiten benennen, für die eine DSFA erforderlich ist.

Wann eine DSFA in der Hausverwaltung relevant wird

Kameraüberwachung von öffentlich zugänglichen Bereichen. Kameras im Eingangsbereich oder auf dem Grundstück eines Mehrfamilienhauses erfassen eine Vielzahl von Personen systematisch. Die DSFA ist in der Regel Pflicht.

Scoring oder Profiling von Mietinteressenten. Wenn eine Software automatisiert Bonitätsbewertungen vornimmt oder Bewerber nach einem Scoring-Modell bewertet, kann eine DSFA erforderlich sein.

Umfassende Verarbeitung besonderer Datenkategorien. Gesundheitsdaten (z. B. bei Anträgen auf barrierefreien Umbau) oder Daten zu Straftaten (z. B. bei Mietschulden und Räumungsklagen) können eine DSFA auslösen.

Inhalt einer DSFA

  1. Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke

  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit

  3. Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen

  4. Maßnahmen zur Risikominimierung (technisch und organisatorisch)

  5. Stellungnahme des Datenschutzbeauftragten (falls vorhanden)

Praxisbeispiel: DSFA für Kameraüberwachung

Eine Verwaltung betreut ein Wohnobjekt mit 40 Wohneinheiten und wiederholten Vandalismusvorfällen im Treppenhaus. Die Eigentümergemeinschaft beschließt die Installation von Kameras. Vor der Installation führt die Verwaltung eine DSFA durch:

  • Zweck: Schutz des Gemeinschaftseigentums vor Sachbeschädigung

  • Betroffene: Bewohner, Besucher, Lieferanten -- ca. 120 Personen regelmäßig

  • Risiken: Überwachungsdruck, Profilbildung, Missbrauch der Aufnahmen

  • Maßnahmen: Speicherdauer max. 72 Stunden, kein Ton, kein Zugriff durch Einzeleigentümer, Hinweisschilder mit vollständiger Information, Löschung durch automatische Überschreibung

Die DSFA dokumentiert, dass die Überwachung verhältnismäßig ist, weil mildere Mittel (z. B. verbesserte Beleuchtung, Aushänge) bereits erfolglos versucht wurden.

6. Löschkonzept: Daten rechtzeitig und nachweisbar löschen

Warum Löschen kein Kann, sondern ein Muss ist

Diese Übersicht steht Ihnen auch als druckbares PDF zur Verfügung — siehe Download-Bereich.

Art. 17 DSGVO normiert das Recht auf Löschung. Aber auch ohne Anfrage eines Betroffenen ergibt sich aus dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO), dass Daten gelöscht werden müssen, sobald der Zweck der Verarbeitung entfällt und keine gesetzliche Aufbewahrungspflicht entgegensteht.

Löschkonzept: Aufbau und Umsetzung

Ein Löschkonzept besteht aus drei Elementen:

1. Löschregeln: Für jede Datenkategorie wird definiert, wann die Löschung erfolgt. Ausgangspunkt ist das Ende des Verarbeitungszwecks, überlagert von gesetzlichen Aufbewahrungspflichten.

2. Löschprozesse: Wer löst die Löschung aus? Automatisch (Software) oder manuell (Mitarbeiter)? Wie wird sichergestellt, dass die Löschung in allen Systemen erfolgt (HV-Software, E-Mail, Cloud, Papier)?

3. Löschnachweise: Die Löschung muss dokumentiert werden. Nicht die gelöschten Daten werden gespeichert, sondern die Tatsache, dass gelöscht wurde -- Zeitpunkt, Datenkategorie, ausführende Person.

Löschfristen für die Hausverwaltung im Detail

| Datenkategorie | Aufbewahrungspflicht | Quelle | Löschzeitpunkt | |---------------|---------------------|--------|----------------| | Mietvertrag (aktiv) | Vertragsdauer | Art. 6 Abs. 1 lit. b DSGVO | -- | | Mietvertrag (beendet) | 3 Jahre (Regelverjährung) | §195 BGB | 3 Jahre nach Vertragsende, zum 31.12. | | Betriebskostenabrechnungen | 10 Jahre | §257 HGB | 10 Jahre nach Erstellung | | Bankverbindung (ehem. Mieter) | Bis letzte Zahlung abgewickelt | Art. 6 Abs. 1 lit. b | Nach Kautionsrückzahlung + 3 Jahre | | Gehaltsnachweise (Bewerber) | Kein Aufbewahrungsgrund | -- | Sofort nach Absage, spätestens 6 Monate | | Bonitätsauskunft | Kein Aufbewahrungsgrund nach Vertragsschluss | -- | 6 Monate nach Vertragsschluss | | SCHUFA-Auskunft (Bewerber) | Kein Aufbewahrungsgrund | -- | Sofort nach Absage | | Kameraaufnahmen | Max. 72 Stunden | Zweckbindung | Automatische Überschreibung | | Beschwerdekorrespondenz | 3 Jahre | §195 BGB | 3 Jahre nach Abschluss | | Eigentümerversammlungsprotokolle | Dauer der WEG | §24 WEG | -- (dauerhafte Aufbewahrung) | | Personalakten | 3 Jahre nach Ausscheiden | §195 BGB | 3 Jahre nach Ende des Arbeitsverhältnisses | | Steuerrelevante Belege | 10 Jahre | §147 AO | 10 Jahre nach Ende des Kalenderjahres |

Praxisbeispiel: Löschkonzept implementieren

Eine Verwaltung stellt fest, dass in ihrer HV-Software Daten von Mietern gespeichert sind, die vor acht Jahren ausgezogen sind -- inklusive Gehaltsnachweisen aus der Bewerbungsphase. Der externe Datenschutzbeauftragte erarbeitet ein Löschkonzept:

  1. Sofortmaßnahme: Gehaltsnachweise und Bonitätsauskünfte aller ehemaligen Mieter werden gelöscht.

  2. Automatisierung: Die HV-Software wird so konfiguriert, dass sie drei Jahre nach Vertragsende automatisch eine Löscherinnerung generiert.

  3. E-Mail-Archiv: Ein Aufbewahrungskonzept wird definiert -- geschäftliche E-Mails mit steuerrelevanten Inhalten (Rechnungen) werden 10 Jahre aufbewahrt, alle anderen werden nach 3 Jahren automatisch archiviert und nach 6 Jahren gelöscht.

  4. Papierakten: Alte Mieterakten werden systematisch durchgesehen und der Aktenvernichtung zugeführt, sofern keine Aufbewahrungspflicht mehr besteht.

7. Besondere Herausforderungen im Verwaltungsalltag

Mieterwechsel: Daten des Vormieters

Alle Details als strukturierte Checkliste zum Abhaken: siehe Downloads unten.

Bei einem Mieterwechsel dürfen dem neuen Mieter keine Daten des Vormieters zugänglich sein. Das betrifft insbesondere:

  • Namensschilder am Briefkasten und an der Klingel müssen zeitnah getauscht werden

  • E-Mail-Weiterleitungen von der alten an die neue Verwaltungsadresse dürfen keine personenbezogenen Daten des Vormieters enthalten

  • Übergabeprotokolle mit Angaben zum Vormieter werden nur dem Eigentümer übergeben, nicht dem Nachmieter

Mieterversammlung / Eigentümerversammlung

In Eigentümerversammlungen werden regelmäßig personenbezogene Daten besprochen: Hausgeldschulden, Sonderumlagen-Rückstände, Beschwerden über einzelne Bewohner. Die Verwaltung muss darauf achten, dass:

  • Nur die Daten in der Versammlung offengelegt werden, die für den jeweiligen Beschluss relevant sind

  • Protokolle keine unnötigen personenbezogenen Details enthalten

  • Protokolle nicht an Dritte weitergegeben werden (z. B. an Kaufinteressenten)

Digitale Mieterportale

Mieterportale sind datenschutzrechtlich besonders sensibel, weil sie Mietern Zugang zu ihren eigenen Daten geben -- und damit neue Angriffsvektoren schaffen:

  • Authentifizierung muss sicher sein (mindestens starke Passwörter, besser 2FA)

  • Der Mieter darf nur seine eigenen Daten sehen, nicht die anderer Mieter

  • Die Datenübertragung muss verschlüsselt erfolgen (TLS)

  • Log-Dateien des Portals enthalten personenbezogene Daten (IP-Adressen, Zugriffszeiten) und unterliegen den Löschfristen

Homeoffice und mobiles Arbeiten

Mitarbeiter, die von zu Hause arbeiten, verarbeiten personenbezogene Daten außerhalb des gesicherten Büronetzwerks. Die TOMs müssen entsprechend erweitert werden:

  • Zugriff auf die HV-Software ausschließlich über VPN

  • Keine Speicherung von Mieterdaten auf privaten Geräten

  • Papierunterlagen dürfen nicht im Homeoffice verbleiben

  • Bildschirm muss vor Mitbewohnern geschützt sein (Blickschutzfolie, separater Raum)

8. Der Datenschutzbeauftragte: Pflicht oder Kür?

Wann die Benennungspflicht greift

Eine Verwaltung muss einen Datenschutzbeauftragten (DSB) benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§38 BDSG). "Ständig beschäftigt" bedeutet, dass die Datenverarbeitung zum regulären Aufgabenbereich gehört.

In einer typischen Hausverwaltung mit 15 Mitarbeitern, von denen 12 regelmäßig die HV-Software nutzen, liegt die Schwelle noch nicht vor. Aber: Auch ohne Benennungspflicht müssen die DSGVO-Anforderungen vollständig eingehalten werden. Ein freiwillig bestellter DSB ist daher für viele Verwaltungen sinnvoll.

Interner vs. externer DSB

| Kriterium | Interner DSB | Externer DSB | |-----------|-------------|-------------| | Kosten | Gehaltsbestandteil + Schulungen | 200--500 €/Monat | | Fachkenntnis | Muss aufgebaut werden | Bringt sie mit | | Unabhängigkeit | Schwierig bei kleinen Teams | Gegeben | | Kündigungsschutz | Ja (§38 Abs. 2 BDSG i.V.m. §6 Abs. 4 BDSG) | Nicht relevant | | Verfügbarkeit | Sofort, aber mit anderen Aufgaben belastet | Auf Abruf, feste Reaktionszeiten |

Für Verwaltungen bis 30 Mitarbeiter ist der externe DSB in der Regel die wirtschaftlichere und fachlich bessere Lösung.

9. Bußgelder und Haftung: Was tatsächlich droht

Bußgeldrahmen

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes vor. Für eine Hausverwaltung mit 2 Millionen Euro Umsatz liegt die theoretische Obergrenze bei 80.000 Euro.

Tatsächliche Bußgelder in der Immobilienwirtschaft

Die Behörden verhängen in der Praxis Bußgelder, die dem Unternehmen wehtun, aber es nicht vernichten:

  • Fehlende Hinweisschilder bei Videoüberwachung: 5.000--15.000 Euro

  • Fehlendes Verarbeitungsverzeichnis: 5.000--10.000 Euro

  • Fehlende AV-Verträge: 5.000--20.000 Euro

  • Verspätete oder unvollständige Auskunft nach Art. 15: 5.000--15.000 Euro

  • Unzulässige Datenweitergabe: 10.000--50.000 Euro

Persönliche Haftung der Geschäftsführung

Die DSGVO richtet sich an den "Verantwortlichen" -- das ist die juristische Person (GmbH, GbR). Aber: Die Geschäftsführung kann persönlich haften, wenn sie keine angemessenen Maßnahmen zur Einhaltung der DSGVO getroffen hat. Dies ergibt sich aus der allgemeinen Organhaftung (§43 GmbHG) und dem Ordnungswidrigkeitenrecht.

Expertenstimme

"In meiner Beratungspraxis sehe ich immer wieder dasselbe Muster: Die Verwaltung hat ein Verarbeitungsverzeichnis erstellt -- 2018, anlässlich des DSGVO-Starts. Seitdem wurde es nicht angefasst. Die IT-Landschaft hat sich geändert, neue Dienstleister sind hinzugekommen, ein Mieterportal wurde eingeführt, Mitarbeiter arbeiten im Homeoffice. Das Verzeichnis von 2018 bildet die Realität von 2026 nicht mehr ab. Mein Rat: Setzen Sie einen festen Termin -- einmal im Jahr, idealerweise im Januar -- an dem das Verarbeitungsverzeichnis, die AV-Verträge und das Löschkonzept geprüft und aktualisiert werden. Datenschutz ist kein Projekt mit Enddatum, sondern ein laufender Prozess."

-- Claudia Brehm, Datenschutzbeauftragte mit Schwerpunkt Immobilienwirtschaft

Verarbeitungsverzeichnis

  • [ ] Ein vollständiges Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO liegt vor.

  • [ ] Das Verzeichnis wurde innerhalb der letzten 12 Monate aktualisiert.

  • [ ] Alle Verarbeitungstätigkeiten sind mit Rechtsgrundlage, Zweck, Datenkategorien und Löschfristen dokumentiert.

Auftragsverarbeitung

  • [ ] Eine vollständige Liste aller Dienstleister mit Zugriff auf personenbezogene Daten liegt vor.

  • [ ] Für jeden Auftragsverarbeiter ist ein AVV gemäß Art. 28 DSGVO abgeschlossen.

  • [ ] Die AVVs enthalten alle Pflichtregelungen (Weisungsbindung, TOMs, Unterauftragsverarbeiter, Löschung).

  • [ ] Neue Dienstleister werden vor Vertragsschluss auf Datenschutzkonformität geprüft.

Betroffenenrechte

  • [ ] Ein dokumentierter Prozess für Art.-15-Anfragen (Auskunft) liegt vor.

  • [ ] Anfragen werden innerhalb von 30 Tagen beantwortet.

  • [ ] Identitätsprüfung bei Auskunftsanfragen ist geregelt.

  • [ ] Löschanfragen nach Art. 17 werden geprüft und dokumentiert umgesetzt.

Technisch-organisatorische Maßnahmen

  • [ ] TOMs sind dokumentiert und dem aktuellen Stand der Technik angepasst.

  • [ ] Zugriffskonzept mit rollenbasierten Berechtigungen ist umgesetzt.

  • [ ] Verschlüsselung für mobile Geräte, E-Mail-Anhänge und Backups ist aktiv.

  • [ ] Homeoffice-Richtlinie mit Datenschutzanforderungen liegt vor.

Löschkonzept

  • [ ] Löschfristen für alle Datenkategorien sind definiert und dokumentiert.

  • [ ] Löschprozesse sind in der HV-Software konfiguriert oder manuell terminiert.

  • [ ] Löschungen werden nachweisbar dokumentiert (Zeitpunkt, Datenkategorie, Ausführender).

Organisation

  • [ ] Datenschutzbeauftragter ist benannt (falls erforderlich) oder freiwillig bestellt.

  • [ ] Jährliche DSGVO-Schulung für alle Mitarbeiter findet statt.

Für eine professionelle DSGVO-Bestandsaufnahme, die Erstellung oder Aktualisierung des Verarbeitungsverzeichnisses und die Implementierung eines Löschkonzepts empfehlen wir die Zusammenarbeit mit einem spezialisierten Datenschutzberater. Die initiale Analyse deckt systematisch Lücken auf und schafft die Grundlage für einen Datenschutz, der bei einer Behördenprüfung standhält -- und im Tagesgeschäft nicht mehr Aufwand verursacht als nötig.

Ihre Downloads zu diesem Artikel

  • DSGVO-Compliance -- 20-Punkte-Vollaudit (PDF)

  • Vorlage: Auskunftsanfrage nach Art. 15 DSGVO beantworten (Word)

Alle Downloads sind kostenlos. Wir bitten Sie lediglich um Ihre E-Mail-Adresse, damit wir Sie über neue Inhalte informieren können.

→ [Kostenlos herunterladen](#download)

Ihre Downloads

Alle Downloads sind kostenlos. Bei E-Mail-geschützten Dateien erhalten Sie den Download nach Eingabe Ihrer E-Mail-Adresse.

Weitere Artikel in Recht & Compliance

S10 Min

Gewerbemietrecht für Wohnungsverwalter: Die 10 Unterschiede, die teuer werden

Die Hausverwaltung Berger betreut seit 15 Jahren Wohnimmobilien. Eines Tages kommt ein Eigentümer mit einem gemischt genutzten Objekt: acht Wohnungen oben, ein Ladenlokal und eine Arztpraxis unten. „Die Wohnungen verwalten Sie ja schon. Können Sie nicht auch die Gewerbeeinheiten übernehmen?" Der Ver

Lesen
S9 Min

Wärmeplanungsgesetz (WPG): Was Hausverwaltungen jetzt prüfen müssen

Es ist Juni 2025. In der Eigentümerversammlung einer WEG mit 45 Einheiten im Stuttgarter Süden stellt ein Eigentümer eine Frage, die den Verwalter kalt erwischt: „Ich habe gelesen, dass unser Stadtteil als Fernwärme-Vorranggebiet ausgewiesen wird. Stimmt das? Und was bedeutet das für unsere Gasheizu

Lesen
S9 Min

Grundsteuerreform 2025/2026: Neue Bescheide, geänderte Umlagefähigkeit, Widerspruchsmanagement

Im Frühjahr 2025 flattern sie in die Briefkästen: die neuen Grundsteuerbescheide auf Basis der reformierten Grundsteuerwerte. Für Millionen von Grundstücken in Deutschland ändern sich die Beträge — teils nach oben, teils nach unten, in vielen Fällen drastisch. Und für Hausverwaltungen beginnt damit

Lesen