Zum Inhalt springen
Zukunft Immobilienverwaltung
Recht & ComplianceSnackable9 Min Lesezeit

SEPA-Lastschrift und Datenschutz: Was beim Einzug von Mietzahlungen zu beachten ist

Es beginnt harmlos. Ein Mieter kündigt zum Monatsende, die Abrechnung ist erstellt, die Kaution wird zurückgezahlt. Zwei Wochen nach Auszug kommt eine E-Mail: „Ich widerrufe hiermit mein SEPA-Lastschriftmandat. Bitte bestätigen Sie die Löschung meiner Bankdaten." Die Sachbearbeiterin stutzt. Das Man

SEPA-Lastschrift und Datenschutz: Was beim Einzug von Mietzahlungen zu beachten

Der Mieter widerruft sein SEPA-Mandat — und fragt, was mit seinen Bankdaten passiert

Es beginnt harmlos. Ein Mieter kündigt zum Monatsende, die Abrechnung ist erstellt, die Kaution wird zurückgezahlt. Zwei Wochen nach Auszug kommt eine E-Mail: „Ich widerrufe hiermit mein SEPA-Lastschriftmandat. Bitte bestätigen Sie die Löschung meiner Bankdaten." Die Sachbearbeiterin stutzt. Das Mandat ist durch den Auszug ohnehin hinfällig — aber die Bankdaten? Die stehen noch im System, auf dem archivierten Mandat, in der Buchhaltungssoftware, möglicherweise in einem Scan auf dem Netzlaufwerk. Einfach löschen?

Die Schnittstelle zwischen SEPA-Lastschrift und Datenschutz ist in der Hausverwaltung ein blinder Fleck. Das SEPA-Mandat ist ein Alltagsdokument, aber es enthält personenbezogene Daten, die unter die DSGVO fallen. Wer die Regeln nicht kennt, riskiert Datenschutzverstöße — und die werden zunehmend sanktioniert.

SEPA-Mandat: Was drin steht und warum es datenschutzrelevant ist

Ein SEPA-Lastschriftmandat enthält mindestens folgende Daten:

Die vollständige Checkliste mit allen Prüfpunkten steht Ihnen als kostenloser Download zur Verfügung — siehe Download-Bereich am Ende dieses Artikels.

  • Name des Kontoinhabers (Mandatsgeber)

  • IBAN (und ggf. BIC)

  • Mandatsreferenz (eindeutige Kennung)

  • Gläubiger-ID des Lastschrifteinreichers

  • Unterschrift oder elektronische Autorisierung

  • Datum der Erteilung

Name und IBAN sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Die IBAN ist zwar keine „besondere Kategorie" personenbezogener Daten nach Art. 9 DSGVO (das wären z. B. Gesundheitsdaten), aber sie ermöglicht die eindeutige Zuordnung zu einer Person und unterliegt damit dem vollen Schutz der DSGVO.

Die Frage, ob Bankdaten als „besonders schützenswerte" Daten gelten, wird in der datenschutzrechtlichen Literatur unterschiedlich bewertet. Die Datenschutzkonferenz (DSK) hat klargestellt, dass Bankdaten zwar nicht unter Art. 9 DSGVO fallen, aber aufgrund ihres Missbrauchspotenzials einen erhöhten Schutzbedarf haben. Ein Datenleck, bei dem IBANs von Mietern abfließen, wäre meldepflichtig nach Art. 33 DSGVO.

Rechtsgrundlage: Warum Sie die Bankdaten verarbeiten dürfen

Die Verarbeitung von Bankdaten im Rahmen eines SEPA-Mandats stützt sich auf Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung. Der Mietvertrag begründet eine Zahlungspflicht des Mieters, und das SEPA-Mandat ist das Mittel zur Erfüllung dieser Pflicht. Solange das Mietverhältnis besteht, haben Sie eine klare Rechtsgrundlage.

Aber: Die Rechtsgrundlage „Vertragserfüllung" endet mit dem Mietverhältnis. Danach brauchen Sie eine andere Basis für die weitere Speicherung — und die gibt es: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) in Verbindung mit den handels- und steuerrechtlichen Aufbewahrungsfristen.

Aufbewahrungsfristen für SEPA-Mandate

| Dokument / Datensatz | Frist | Rechtsgrundlage | |----------------------|-------|----------------| | SEPA-Mandat (Original oder Scan) | 14 Monate nach letzter Lastschrift (Widerspruchsfrist) + Aufbewahrung | Zahlungsdiensterichtlinie PSD2 | | Buchungsbelege mit Bankdaten | 10 Jahre | § 147 AO, § 257 HGB | | Mandatsreferenz in der Buchhaltung | 10 Jahre | § 147 AO | | Korrespondenz zum Mandat | 6 Jahre | § 257 HGB |

Die 14-Monats-Frist ist besonders wichtig: Nach PSD2 kann der Zahler eine autorisierte Lastschrift innerhalb von acht Wochen zurückgeben, eine nicht autorisierte Lastschrift innerhalb von 13 Monaten anfechten. Die Bank des Zahlungsempfängers muss im Streitfall das Mandat vorlegen können. Deshalb bewahren Sie das Mandat mindestens 14 Monate nach der letzten Abbuchung auf.

Die 10-Jahres-Frist nach AO und HGB gilt für die Buchungsbelege. Da die IBAN in den Buchungen enthalten ist, dürfen Sie sie für diesen Zeitraum speichern — müssen es sogar.

IBAN-Weitergabe: Wann ist sie zulässig, wann nicht?

In der Hausverwaltung gibt es regelmäßig Situationen, in denen Bankdaten an Dritte weitergegeben werden:

Alle Prüfpunkte als druckbare PDF-Checkliste finden Sie im Download-Bereich unten.

Zulässig

An die Hausbank / den Zahlungsdienstleister: Die Weitergabe der IBAN an die Bank zur Ausführung der Lastschrift ist durch das Mandat selbst gedeckt. Der Mieter hat mit seiner Unterschrift die Weitergabe an die am Zahlungsverkehr beteiligten Stellen autorisiert.

An den Steuerberater / Wirtschaftsprüfer: Im Rahmen der Jahresabschlussprüfung oder Steuererklärung ist die Weitergabe an den Steuerberater durch Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) gedeckt.

An den Eigentümer (auf Anfrage, im begründeten Fall): Der Eigentümer hat als Vertragspartner des Mieters ein berechtigtes Interesse, den Zahlungsweg nachvollziehen zu können. Allerdings genügt in den meisten Fällen die Information, dass per Lastschrift eingezogen wird — die vollständige IBAN muss nicht offengelegt werden.

Unzulässig

An andere Mieter: Unter keinen Umständen. Auch nicht „aus Versehen" in einem Serien-E-Mail-Verteiler.

An Handwerker oder Dienstleister: Bankdaten des Mieters haben in Handwerkeraufträgen nichts zu suchen. Das klingt selbstverständlich, passiert aber, wenn Verwaltungen Mieterdatenblätter ungeschwärzt weiterleiten.

An Inkassounternehmen ohne Rechtsgrundlage: Die Weitergabe an ein Inkassounternehmen ist nur zulässig, wenn eine offene Forderung besteht und die Weitergabe zur Durchsetzung der Forderung erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse). Eine pauschale Weitergabe aller Mieterdaten an einen Inkassopartner „für den Fall der Fälle" ist unzulässig.

Widerruf des Mandats: Was datenschutzrechtlich passiert

Ein Mieter kann sein SEPA-Mandat jederzeit widerrufen. Der Widerruf beendet die Autorisierung zur Lastschrift — nicht mehr und nicht weniger. Er ist kein Löschungsantrag nach Art. 17 DSGVO.

Aber: Der Mieter kann zusätzlich die Löschung seiner Bankdaten verlangen. In diesem Fall müssen Sie prüfen:

  1. Besteht das Mietverhältnis noch? Wenn ja, brauchen Sie die Bankdaten nicht zu löschen, wenn der Mieter weiterhin per Lastschrift zahlen soll. Allerdings müssen Sie ein neues Mandat einholen oder auf Überweisung umstellen.

  1. Ist das Mietverhältnis beendet? Dann greifen die Aufbewahrungsfristen. Die Bankdaten in den Buchungsunterlagen müssen zehn Jahre aufbewahrt werden (§ 147 AO). Das Mandat selbst mindestens 14 Monate nach der letzten Lastschrift. Sie dürfen und müssen in diesen Fällen die Löschung verweigern — aber Sie müssen den Mieter darüber informieren (Art. 17 Abs. 3 lit. b DSGVO).

  1. Sind die Aufbewahrungsfristen abgelaufen? Dann müssen Sie löschen. Nicht dürfen — müssen. Art. 17 Abs. 1 DSGVO verlangt die Löschung, wenn der Zweck der Speicherung entfallen ist und keine Aufbewahrungspflicht mehr besteht.

Praxisbeispiel: Datenpanne durch unsachgemäße Mandatsarchivierung

Eine mittelgroße Verwaltung in Nordrhein-Westfalen archivierte SEPA-Mandate als Scan auf einem gemeinsamen Netzlaufwerk. Zugriff hatten alle 14 Mitarbeiter — auch der Hausmeisterservice und die Werkstudenten. Bei einer internen Prüfung stellte sich heraus, dass über 2.000 SEPA-Mandate mit vollständigen IBANs für jeden Mitarbeiter einsehbar waren, darunter 400 Mandate ehemaliger Mieter, deren Aufbewahrungsfrist längst abgelaufen war.

Tipp: Laden Sie sich die Checkliste herunter und haken Sie jeden Punkt bei der nächsten Umsetzung ab.

Die Verwaltung meldete den Vorfall nicht beim Landesdatenschutzbeauftragten — ein Fehler, denn die ungesicherte Speicherung stellte eine Verletzung der Vertraulichkeit dar. Als ein ehemaliger Werkstudent ein halbes Jahr später wegen einer anderen Angelegenheit Anzeige erstattete und den Datenschutzverstoß erwähnte, leitete die Aufsichtsbehörde ein Verfahren ein. Das Bußgeld: 12.000 Euro. Die Kosten für die anschließende Bereinigung (Löschung, Zugriffsrechtevergabe, Schulung, Datenschutz-Folgenabschätzung): weitere 8.000 Euro.

Die Lehre: SEPA-Mandate müssen genauso geschützt werden wie andere Dokumente mit Bankdaten. Das bedeutet: Zugriffsbeschränkung auf Mitarbeiter, die die Daten für ihre Arbeit benötigen, verschlüsselte Speicherung und regelmäßige Löschprüfungen.

Technische und organisatorische Maßnahmen (TOMs) für SEPA-Daten

Die DSGVO verlangt in Art. 32 angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Für SEPA-Mandate und Bankdaten bedeutet das konkret:

Zugriffskontrolle: Nur Mitarbeiter, die Bankdaten für ihre Tätigkeit benötigen (Buchhaltung, Mietenbuchhaltung), dürfen auf SEPA-Mandate zugreifen. Hausmeister, Objektbetreuer oder Praktikanten haben keinen Zugriffsbedarf.

Verschlüsselung: SEPA-Mandate sollten verschlüsselt archiviert werden — sowohl im Dateisystem (Festplattenverschlüsselung) als auch bei der Übertragung (E-Mail nur verschlüsselt oder über sichere Portale).

Löschroutinen: Implementieren Sie automatisierte Löschfristen für abgelaufene Mandate. Ein DMS mit Aufbewahrungsmanagement erleichtert das erheblich.

Protokollierung: Dokumentieren Sie, wer wann auf welches Mandat zugegriffen hat. Im Fall einer Datenpanne ist diese Protokollierung entscheidend für die Meldung an die Aufsichtsbehörde.

Bankdaten verdienen denselben Schutz wie der Wohnungsschlüssel

Die SEPA-Lastschrift ist das Rückgrat der Mieteinnahme. In den meisten Verwaltungen laufen 80 bis 95 Prozent der Mietzahlungen über Lastschrift. Umso wichtiger ist es, die damit verbundenen Datenschutzpflichten ernst zu nehmen. Ein Datenleck bei Bankdaten ist nicht nur ein DSGVO-Verstoß — es beschädigt das Vertrauen der Mieter nachhaltig.

Die passende Vorlage können Sie als Word-Dokument herunterladen — mit allen Platzhaltern zum Ausfüllen. Siehe Downloads am Ende.

Die gute Nachricht: Die Anforderungen sind überschaubar. Zugriffsrechte einschränken, Löschfristen einhalten, Mandate sicher archivieren — das ist kein Hexenwerk, sondern solides Handwerk. Wer seine SEPA-Prozesse einmal sauber aufsetzt, hat jahrelang Ruhe.

Dieser Artikel gibt den Rechtsstand Dezember 2024 wieder. Datenschutzrechtliche Anforderungen können sich durch neue Urteile, Leitlinien der Aufsichtsbehörden oder Gesetzesänderungen verändern.

Ihre Downloads zu diesem Artikel

  • SEPA-Lastschrift und Datenschutz (PDF)

Alle Downloads sind kostenlos. Wir bitten Sie lediglich um Ihre E-Mail-Adresse, damit wir Sie über neue Inhalte informieren können.

→ [Kostenlos herunterladen](#download)

Ihre Downloads

Alle Downloads sind kostenlos. Bei E-Mail-geschützten Dateien erhalten Sie den Download nach Eingabe Ihrer E-Mail-Adresse.

Weitere Artikel in Recht & Compliance

S10 Min

Gewerbemietrecht für Wohnungsverwalter: Die 10 Unterschiede, die teuer werden

Die Hausverwaltung Berger betreut seit 15 Jahren Wohnimmobilien. Eines Tages kommt ein Eigentümer mit einem gemischt genutzten Objekt: acht Wohnungen oben, ein Ladenlokal und eine Arztpraxis unten. „Die Wohnungen verwalten Sie ja schon. Können Sie nicht auch die Gewerbeeinheiten übernehmen?" Der Ver

Lesen
S9 Min

Wärmeplanungsgesetz (WPG): Was Hausverwaltungen jetzt prüfen müssen

Es ist Juni 2025. In der Eigentümerversammlung einer WEG mit 45 Einheiten im Stuttgarter Süden stellt ein Eigentümer eine Frage, die den Verwalter kalt erwischt: „Ich habe gelesen, dass unser Stadtteil als Fernwärme-Vorranggebiet ausgewiesen wird. Stimmt das? Und was bedeutet das für unsere Gasheizu

Lesen
S9 Min

Grundsteuerreform 2025/2026: Neue Bescheide, geänderte Umlagefähigkeit, Widerspruchsmanagement

Im Frühjahr 2025 flattern sie in die Briefkästen: die neuen Grundsteuerbescheide auf Basis der reformierten Grundsteuerwerte. Für Millionen von Grundstücken in Deutschland ändern sich die Beträge — teils nach oben, teils nach unten, in vielen Fällen drastisch. Und für Hausverwaltungen beginnt damit

Lesen