Zum Inhalt springen
Zukunft Immobilienverwaltung
Recht & ComplianceSnackable9 Min Lesezeit

DSGVO & Dienstleister: Wann Sie einen AV-Vertrag brauchen — und was drinstehen muss

Hausverwaltungen arbeiten mit Dutzenden Dienstleistern zusammen: Handwerksbetriebe, Hausmeisterdienste, Messdienstleister, Abrechnungsunternehmen, Softwareanbieter, Steuerberater, externe Buchhaltung. In jedem dieser Verhältnisse fließen personenbezogene Daten — Mieternamen, Wohnungsadressen, Verbra

DSGVO & Dienstleister: Wann Sie einen AV-Vertrag brauchen — und was drinstehen m

Warum dieses Thema jede Verwaltung betrifft

Hausverwaltungen arbeiten mit Dutzenden Dienstleistern zusammen: Handwerksbetriebe, Hausmeisterdienste, Messdienstleister, Abrechnungsunternehmen, Softwareanbieter, Steuerberater, externe Buchhaltung. In jedem dieser Verhältnisse fließen personenbezogene Daten — Mieternamen, Wohnungsadressen, Verbrauchswerte, Kontodaten, manchmal Fotos von Wohnungen.

Die Datenschutz-Grundverordnung unterscheidet zwischen zwei Konstellationen: Entweder der Dienstleister verarbeitet Daten eigenverantwortlich — dann brauchen Sie keinen AV-Vertrag, aber eine Rechtsgrundlage für die Übermittlung. Oder der Dienstleister verarbeitet Daten in Ihrem Auftrag und nach Ihrer Weisung — dann liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor, und Sie brauchen einen AV-Vertrag.

Die Abgrenzung klingt theoretisch, hat aber praktische Konsequenzen. Ohne AV-Vertrag, wo einer nötig wäre, liegt ein Datenschutzverstoß vor — unabhängig davon, ob tatsächlich ein Schaden eingetreten ist. Die Bußgelder nach Art. 83 Abs. 4 DSGVO können bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes betragen. Bei kleinen und mittleren Verwaltungen bewegen sich die Bußgelder erfahrungsgemäß im vier- bis fünfstelligen Bereich — schmerzhaft genug.

Auftragsverarbeitung vs. eigenverantwortliche Verarbeitung: Die Abgrenzung

Die entscheidende Frage lautet: Bestimmt der Dienstleister selbst über Zweck und Mittel der Datenverarbeitung, oder handelt er strikt nach Ihrer Anweisung?

Die vollständige Checkliste mit allen Prüfpunkten steht Ihnen als kostenloser Download zur Verfügung — siehe Download-Bereich am Ende dieses Artikels.

Auftragsverarbeitung (AV-Vertrag nötig)

  • Messdienstleister: Liest Zähler ab, übermittelt Verbrauchsdaten, erstellt Heizkostenabrechnung — alles nach Ihren Vorgaben und in Ihrem Namen. Klassische Auftragsverarbeitung.

  • Externe Buchhaltung / Abrechnungsdienstleister: Verarbeitet Mieterdaten, Kontobewegungen, erstellt Nebenkostenabrechnungen. Weisungsgebunden, kein eigener Entscheidungsspielraum.

  • Cloud-Software / SaaS-Anbieter: Speichert Mieterdaten, Verträge, Korrespondenz auf seinen Servern. Auch wenn Sie die Software nur nutzen — der Anbieter verarbeitet Daten in Ihrem Auftrag.

  • Hausmeisterdienst mit Zugang zu Mieterdaten: Wenn der externe Hausmeister Zugang zu Ihrer Verwaltungssoftware hat, Schlüssellisten mit Mieternamen verwaltet oder Schadensmeldungen mit personenbezogenen Daten entgegennimmt.

  • IT-Dienstleister / Systemhaus: Hat Zugriff auf Ihre Server, E-Mails, Datenbanken — auch wenn er nur wartet und nicht aktiv mit Mieterdaten arbeitet.

  • Aktenvernichtungsunternehmen: Transportiert und vernichtet Dokumente mit personenbezogenen Daten.

Keine Auftragsverarbeitung (kein AV-Vertrag, aber ggf. Übermittlungsgrundlage)

  • Steuerberater: Handelt eigenverantwortlich auf Basis des Steuerberatungsgesetzes. Kein Weisungsempfänger, sondern unabhängiger Berufsträger. Sie übermitteln die Daten an den Steuerberater — das ist eine Datenübermittlung, keine Auftragsverarbeitung.

  • Rechtsanwalt: Gleiche Logik. Eigenverantwortliche Berufsausübung.

  • Handwerksbetrieb ohne Datenzugang: Der Maler, der eine Wohnung streicht, braucht keinen AV-Vertrag. Er bekommt die Adresse, damit er hinfindet — das ist keine Datenverarbeitung im DSGVO-Sinn.

  • Bank: Kontoführung für die WEG oder die Mietverwaltung. Eigenverantwortliche Verarbeitung.

Die Grauzone: Handwerker mit partiellen Daten

Ein Schlüsseldienst, der eine Schlüsselliste mit Mieternamen führt? Ein Reinigungsunternehmen, das einen Putzplan mit Bewohnernamen bekommt? Hier wird es schwierig. Die Datenschutzkonferenz empfiehlt: Wenn der Dienstleister nur am Rande mit personenbezogenen Daten in Kontakt kommt und diese nicht systematisch verarbeitet, ist kein AV-Vertrag nötig. Sobald er aber Daten in einem eigenen System speichert oder regelmäßig erhält, kippt die Bewertung.

Im Zweifel: Schließen Sie einen AV-Vertrag ab. Er schadet nicht, und Sie sind auf der sicheren Seite.

Die Pflichtinhalte eines AV-Vertrags nach Art. 28 DSGVO

Art. 28 Abs. 3 DSGVO listet die Mindestinhalte auf. In der Praxis scheitern viele AV-Verträge nicht an fehlenden Klauseln, sondern an zu allgemeiner Formulierung. Ein AV-Vertrag, der bei jeder Verwaltung und jedem Dienstleister identisch aussieht, ist oft wertlos.

Alle Prüfpunkte als druckbare PDF-Checkliste finden Sie im Download-Bereich unten.

1. Gegenstand und Dauer der Verarbeitung

Beschreiben Sie konkret, was der Auftragnehmer tut. Nicht: "Verarbeitung personenbezogener Daten." Sondern: "Ablesung von Heizkosten- und Warmwasserzählern in 14 Liegenschaften, Übermittlung der Verbrauchsdaten an den Auftraggeber, Erstellung von Heizkostenabrechnungen für ca. 280 Wohneinheiten."

2. Art der personenbezogenen Daten

Listen Sie die Datenkategorien auf: Name, Anschrift, Mieternummer, Verbrauchsdaten, Zählerstandfotos, Kontodaten — je nach Dienstleister.

3. Kategorien betroffener Personen

Mieter, Eigentümer, Mitarbeiter der Verwaltung, Interessenten.

4. Weisungsbindung

Der Auftragnehmer darf Daten nur nach dokumentierter Weisung des Auftraggebers verarbeiten. Mündliche Weisungen sind möglich, müssen aber unverzüglich schriftlich bestätigt werden.

5. Vertraulichkeitsverpflichtung

Alle Mitarbeiter des Auftragnehmers, die Zugang zu personenbezogenen Daten haben, müssen auf Vertraulichkeit verpflichtet sein — entweder durch arbeitsvertragliche Klausel oder gesonderte Verpflichtungserklärung.

6. Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer muss beschreiben, wie er die Daten schützt: Verschlüsselung, Zugriffskontrollen, Backup-Konzept, Pseudonymisierung wo möglich. Ein pauschaler Verweis auf "angemessene Maßnahmen" reicht nicht. Verlangen Sie eine konkrete TOM-Dokumentation als Anlage.

7. Unterauftragnehmer

Setzt der Auftragnehmer seinerseits Dienstleister ein (z.B. ein Cloud-Hoster), braucht er Ihre vorherige Zustimmung. Üblich sind zwei Varianten: Einzelgenehmigung oder allgemeine Genehmigung mit Widerspruchsrecht.

8. Unterstützung bei Betroffenenrechten

Der Auftragnehmer muss Sie unterstützen, wenn ein Mieter Auskunft, Löschung oder Berichtigung verlangt. Das setzt voraus, dass er weiß, welche Daten er zu welcher Person gespeichert hat.

9. Löschung nach Vertragsende

Nach Beendigung des Auftrags muss der Auftragnehmer alle Daten löschen oder zurückgeben — nach Ihrer Wahl. Die Löschung muss bestätigt werden.

10. Kontrollrechte

Sie haben das Recht, die Einhaltung des AV-Vertrags zu kontrollieren — durch Audits, Inspektionen oder Prüfung von Zertifizierungen. In der Praxis reicht bei kleinen Dienstleistern ein jährlicher Fragebogen.

Musterklauseln für typische Verwaltungs-Dienstleister

Klausel für Cloud-Softwareanbieter

Tipp: Laden Sie sich die Checkliste herunter und haken Sie jeden Punkt bei der nächsten Umsetzung ab.

"Der Auftragnehmer speichert die in Anlage 1 bezeichneten personenbezogenen Daten auf Servern innerhalb der Europäischen Union. Datenübermittlungen in Drittländer sind nur mit vorheriger schriftlicher Genehmigung des Auftraggebers und unter Einhaltung der Voraussetzungen der Art. 44-49 DSGVO zulässig."

Klausel für Messdienstleister

"Der Auftragnehmer verarbeitet die übermittelten Verbrauchsdaten ausschließlich zum Zweck der Erstellung der Heizkostenabrechnung für die in Anlage 2 bezeichneten Liegenschaften. Eine Nutzung der Daten zu eigenen Zwecken, insbesondere zur Erstellung von Verbrauchsprofilen oder zu Marketingzwecken, ist untersagt."

Klausel für IT-Dienstleister

"Der Auftragnehmer erhält im Rahmen der Systemwartung Zugriff auf Server und Datenbanken des Auftraggebers. Der Zugriff erfolgt ausschließlich zur Fehlerbehebung und Systemwartung. Eine Kenntnisnahme personenbezogener Daten ist dabei nicht auszuschließen. Der Auftragnehmer verpflichtet sich, von derartigen Daten keine Kopien anzufertigen und sie nicht an Dritte weiterzugeben."

Prüfpflichten: Was die Verwaltung als Auftraggeber leisten muss

Es reicht nicht, einen AV-Vertrag abzuschließen und in die Schublade zu legen. Art. 28 Abs. 1 DSGVO verlangt, dass Sie sich "vor Beginn der Verarbeitung" von der Eignung des Auftragsverarbeiters überzeugen und die Einhaltung der vereinbarten Maßnahmen regelmäßig kontrollieren.

Die passende Vorlage können Sie als Word-Dokument herunterladen — mit allen Platzhaltern zum Ausfüllen. Siehe Downloads am Ende.

Vor Vertragsschluss

  • Prüfen Sie die TOM-Dokumentation. Ist sie konkret und aktuell?

  • Fragen Sie nach Zertifizierungen (ISO 27001, SOC 2).

  • Bei Cloud-Anbietern: Wo stehen die Server? Werden Subunternehmer eingesetzt?

  • Prüfen Sie, ob der Dienstleister einen Datenschutzbeauftragten benannt hat (bei mehr als 20 Mitarbeitern mit regelmäßiger Datenverarbeitung).

Während der Laufzeit

  • Führen Sie mindestens einmal jährlich eine Kontrolle durch. Bei kleinen Dienstleistern genügt ein standardisierter Fragebogen. Bei Cloud-Anbietern prüfen Sie, ob sich die Unterauftragnehmer-Liste verändert hat.

  • Reagieren Sie auf Datenschutzvorfälle: Wenn der Dienstleister eine Datenpanne meldet, müssen Sie die Meldekette nach Art. 33/34 DSGVO einleiten — Aufsichtsbehörde innerhalb von 72 Stunden, Betroffene bei hohem Risiko.

Bei Vertragsende

  • Fordern Sie die Löschbestätigung ein. Schriftlich, mit Datum und Unterschrift.

  • Prüfen Sie, ob Daten tatsächlich gelöscht wurden — bei Cloud-Anbietern z.B. durch Abfrage, ob nach Vertragskündigung noch Daten abrufbar sind.

Praxisbeispiel: Der Hausmeistervertrag, der zum Problem wurde

Eine Hausverwaltung in Düsseldorf setzte seit Jahren einen externen Hausmeisterdienst ein. Der Dienstleister hatte Zugang zur Verwaltungssoftware, um Schadensmeldungen zu bearbeiten — mit Mieternamen, Wohnungsnummern, Telefonnummern und Fotos der Schäden. Einen AV-Vertrag gab es nicht. Die Verwaltung hatte den Hausmeisterdienst wie einen klassischen Handwerker behandelt.

Bei einer Routineprüfung durch die Landesdatenschutzbehörde fiel das Versäumnis auf. Die Behörde monierte: Der Hausmeisterdienst verarbeite personenbezogene Daten systematisch und regelmäßig im Auftrag der Verwaltung — ein klarer Fall von Auftragsverarbeitung. Das Bußgeld blieb moderat (8.000 Euro), weil die Verwaltung kooperierte und innerhalb von vier Wochen einen AV-Vertrag nachreichte. Aber der Reputationsschaden bei den Eigentümern, die über den Vorfall informiert werden mussten, wog schwerer.

Die Lehre: Gehen Sie Ihre Dienstleisterliste systematisch durch. Jeder Vertrag, bei dem personenbezogene Daten fließen, braucht eine Prüfung.

Fazit: Der AV-Vertrag ist kein bürokratischer Ballast

Die Auftragsverarbeitung gehört zum Alltag jeder Hausverwaltung. Ob Cloud-Software, Messdienstleister oder externer Hausmeister — überall fließen personenbezogene Daten. Ein sauber aufgesetzter AV-Vertrag schützt nicht nur vor Bußgeldern, sondern klärt Verantwortlichkeiten und gibt beiden Seiten Sicherheit.

MieterOS unterstützt Sie bei der Dokumentation Ihrer Auftragsverarbeiter und bietet standardisierte AV-Verträge als Anlage zum Dienstleistervertrag. Für die individuelle Bewertung Ihrer Dienstleisterlandschaft empfehlen wir einen spezialisierten DSGVO-Berater. Sprechen Sie uns an — wir vermitteln gern.

Ihre Downloads zu diesem Artikel

  • AV-Vertraege -- Dienstleister-Inventur (PDF)

Alle Downloads sind kostenlos. Wir bitten Sie lediglich um Ihre E-Mail-Adresse, damit wir Sie über neue Inhalte informieren können.

→ [Kostenlos herunterladen](#download)

Ihre Downloads

Alle Downloads sind kostenlos. Bei E-Mail-geschützten Dateien erhalten Sie den Download nach Eingabe Ihrer E-Mail-Adresse.

Weitere Artikel in Recht & Compliance

S10 Min

Gewerbemietrecht für Wohnungsverwalter: Die 10 Unterschiede, die teuer werden

Die Hausverwaltung Berger betreut seit 15 Jahren Wohnimmobilien. Eines Tages kommt ein Eigentümer mit einem gemischt genutzten Objekt: acht Wohnungen oben, ein Ladenlokal und eine Arztpraxis unten. „Die Wohnungen verwalten Sie ja schon. Können Sie nicht auch die Gewerbeeinheiten übernehmen?" Der Ver

Lesen
S9 Min

Wärmeplanungsgesetz (WPG): Was Hausverwaltungen jetzt prüfen müssen

Es ist Juni 2025. In der Eigentümerversammlung einer WEG mit 45 Einheiten im Stuttgarter Süden stellt ein Eigentümer eine Frage, die den Verwalter kalt erwischt: „Ich habe gelesen, dass unser Stadtteil als Fernwärme-Vorranggebiet ausgewiesen wird. Stimmt das? Und was bedeutet das für unsere Gasheizu

Lesen
S9 Min

Grundsteuerreform 2025/2026: Neue Bescheide, geänderte Umlagefähigkeit, Widerspruchsmanagement

Im Frühjahr 2025 flattern sie in die Briefkästen: die neuen Grundsteuerbescheide auf Basis der reformierten Grundsteuerwerte. Für Millionen von Grundstücken in Deutschland ändern sich die Beträge — teils nach oben, teils nach unten, in vielen Fällen drastisch. Und für Hausverwaltungen beginnt damit

Lesen