Zum Inhalt springen
Zukunft Immobilienverwaltung
SchnelleinführungSnackable9 Min Lesezeit

DSGVO-Essentials für HVs: Was Sie täglich dürfen und was verboten ist

Hausverwaltungen verarbeiten personenbezogene Daten in einem Umfang, der vielen Verwaltern nicht bewusst ist. Mietverträge, Kontodaten, Bonitätsauskünfte, Schlüsselprotokolle, Kameraaufzeichnungen, Eigentümerlisten, Korrespondenz mit Anwälten, Gesundheitsdaten bei Härtefallanträgen. Jeder dieser Dat

DSGVO-Essentials für HVs: Was Sie täglich dürfen und was verboten ist

Datenschutz ist kein IT-Thema — es ist Ihr Alltagsgeschäft

Hausverwaltungen verarbeiten personenbezogene Daten in einem Umfang, der vielen Verwaltern nicht bewusst ist. Mietverträge, Kontodaten, Bonitätsauskünfte, Schlüsselprotokolle, Kameraaufzeichnungen, Eigentümerlisten, Korrespondenz mit Anwälten, Gesundheitsdaten bei Härtefallanträgen. Jeder dieser Datenpunkte unterliegt der DSGVO. Wer hier nachlässig agiert, riskiert Bußgelder, Schadensersatzansprüche und — fast schlimmer — den Vertrauensverlust bei Eigentümern und Mietern.

Dieser Artikel konzentriert sich auf die Vorschriften, die im HV-Alltag tatsächlich relevant sind. Kein theoretischer Rundumschlag, sondern das Werkzeug, das Sie auf dem Schreibtisch brauchen.

Rechtsgrundlagen: Wann dürfen Sie Daten verarbeiten? (Art. 6 DSGVO)

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Ohne Rechtsgrundlage ist die Verarbeitung rechtswidrig — egal, wie gut gemeint sie ist. Für Hausverwaltungen kommen im Wesentlichen vier der sechs Rechtsgrundlagen aus Art. 6 in Betracht.

Art. 6 Abs. 1 lit. b — Vertragserfüllung

Wann einschlägig: Sie verarbeiten Daten, die zur Erfüllung eines Vertrags erforderlich sind. Der Mietvertrag, der Verwaltervertrag, der Dienstleistungsvertrag mit dem Handwerker.

Praxisbeispiele:

  • Speicherung von Name, Adresse, Bankverbindung des Mieters

  • Weitergabe der Mieteradresse an den Messdienstleister

  • Übermittlung der Eigentümerdaten an den Steuerberater für die WEG-Abrechnung

Grenze: Nur Daten, die für den Vertrag tatsächlich erforderlich sind. Die private Handynummer des Mieters „für Notfälle" braucht eine andere Grundlage.

Art. 6 Abs. 1 lit. c — Rechtliche Verpflichtung

Wann einschlägig: Sie verarbeiten Daten, weil das Gesetz es verlangt.

Praxisbeispiele:

  • Aufbewahrung von Abrechnungsunterlagen (steuerrechtliche Aufbewahrungspflichten)

  • Meldung an das Finanzamt (§35a EStG — Bescheinigung haushaltsnaher Dienstleistungen)

  • Auskunft an Behörden bei berechtigtem Verlangen

Art. 6 Abs. 1 lit. f — Berechtigtes Interesse

Wann einschlägig: Sie verarbeiten Daten, weil Sie ein berechtigtes Interesse haben — und das Interesse des Betroffenen nicht überwiegt.

Praxisbeispiele:

  • Weitergabe von Mieterdaten an den neuen Eigentümer bei Verkauf

  • Bonitätsauskunft über einen Mietinteressenten

  • Videoüberwachung des Hauseingangs (unter strengen Voraussetzungen)

Achtung: Art. 6 Abs. 1 lit. f erfordert eine Interessenabwägung im Einzelfall. „Wir machen das schon immer so" ist keine Abwägung. Dokumentieren Sie, warum Ihr Interesse im konkreten Fall überwiegt.

Art. 6 Abs. 1 lit. a — Einwilligung

Wann einschlägig: Die anderen Rechtsgrundlagen tragen nicht — Sie brauchen die ausdrückliche Zustimmung des Betroffenen.

Praxisbeispiele:

  • Veröffentlichung von Fotos des Mieters (z. B. Schwarzes Brett, Hausfest-Dokumentation)

  • Newsletter an Mieter oder Eigentümer

  • Speicherung der privaten Mobilnummer für nicht-vertragliche Zwecke

Problem der Einwilligung: Sie kann jederzeit widerrufen werden. Dann müssen Sie die Daten löschen. Stützen Sie Ihre Kernprozesse daher nie auf die Einwilligung — nutzen Sie vorrangig Vertragserfüllung oder berechtigtes Interesse.

Informationspflichten: Was Mieter und Eigentümer wissen müssen (Art. 13–14)

Wenn Sie personenbezogene Daten erheben, müssen Sie den Betroffenen informieren. Art. 13 DSGVO listet die Pflichtangaben auf:

  • Wer verarbeitet die Daten? (Name und Kontaktdaten der Hausverwaltung)

  • Wofür werden die Daten verarbeitet? (Zweck)

  • Auf welcher Rechtsgrundlage? (Art. 6 Abs. 1 lit. b, c, f oder a)

  • Wer bekommt die Daten? (Empfänger oder Kategorien von Empfängern)

  • Wie lange werden die Daten gespeichert?

  • Welche Rechte hat der Betroffene? (Auskunft, Berichtigung, Löschung, Widerspruch)

  • Gibt es eine Beschwerdemöglichkeit? (Zuständige Datenschutzaufsichtsbehörde)

Wann informieren?

Bei Vertragsschluss. Der praktischste Weg: Datenschutzhinweise als Anlage zum Mietvertrag oder Verwaltervertrag. Bei Bestandsmietern, die nie eine Information erhalten haben: nachholen — spätestens bei der nächsten Kommunikation.

Typischer Fehler: Die Datenschutzinformation fehlt komplett. Oder sie stammt aus einem Internetgenerator und passt nicht zur konkreten Hausverwaltung. Beide Varianten sind unzureichend.

Die vollständige Checkliste mit allen Prüfpunkten steht Ihnen als kostenloser Download zur Verfügung — siehe Download-Bereich am Ende dieses Artikels.

Auskunftsrecht: Wenn Mieter ihre Daten sehen wollen (Art. 15)

Art. 15 DSGVO gibt jeder betroffenen Person das Recht, Auskunft über die zu ihrer Person gespeicherten Daten zu verlangen. Für Hausverwaltungen ist das ein heikles Thema — weil die Anfragen zunehmen und die Beantwortung aufwendig ist.

Was Sie liefern müssen

  • Bestätigung, ob personenbezogene Daten verarbeitet werden

  • Kopie aller personenbezogenen Daten (in einem gängigen Format)

  • Angaben zu Verarbeitungszweck, Empfängern, Speicherdauer, Herkunft der Daten

Frist

Einen Monat ab Eingang des Antrags. Verlängerung um zwei Monate bei komplexen Anfragen — aber nur mit Begründung innerhalb des ersten Monats.

Praktische Umsetzung

Sammeln Sie alle Daten zum Mieter aus allen Systemen: HV-Software, E-Mail-Postfach, Papierakten, Messdienstleister-Portal, Buchhaltung. Schwärzen Sie personenbezogene Daten Dritter (z. B. andere Mieter in einer gemeinsamen Korrespondenz).

Typischer Fehler: Die Auskunft wird ignoriert oder mit monatelanger Verspätung beantwortet. Das kann eine Beschwerde bei der Aufsichtsbehörde auslösen — und die nimmt solche Fälle ernst.

Auftragsverarbeitung: Ihre Dienstleister im Datenschutz-Griff (Art. 28)

Hausverwaltungen arbeiten mit zahlreichen externen Dienstleistern, die personenbezogene Daten der Mieter oder Eigentümer verarbeiten. Für jeden dieser Dienstleister brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

Mit wem brauchen Sie einen AVV?

| Dienstleister | AVV nötig? | Begründung | |---|---|---| | Messdienstleister (Techem, ista etc.) | Ja | Verarbeitet Verbrauchsdaten mit Mieterbezug | | IT-Dienstleister / Cloud-Anbieter | Ja | Zugriff auf Mieterdaten in der HV-Software | | Externer Buchhalter | Ja | Verarbeitet Kontodaten und Zahlungsverkehr | | Hausmeisterservice | Kommt darauf an | Nur wenn er Zugang zu personenbezogenen Daten hat (z. B. Mieterlisten) | | Handwerker | Nein (in der Regel) | Erhält nur die für den Auftrag nötige Adresse — das ist Übermittlung, keine Auftragsverarbeitung | | Rechtsanwalt | Nein | Eigene Verantwortlichkeit | | Steuerberater | Nein | Eigene Verantwortlichkeit |

Was muss im AVV stehen?

  • Gegenstand und Dauer der Verarbeitung

  • Art und Zweck der Verarbeitung

  • Art der personenbezogenen Daten und Kategorien betroffener Personen

  • Technische und organisatorische Maßnahmen des Auftragsverarbeiters

  • Pflichten und Rechte des Verantwortlichen (das sind Sie)

  • Regelung zur Unterauftragsverarbeitung

Typischer Fehler: Mit dem Messdienstleister existiert kein AVV — obwohl er Verbrauchsdaten mit Mieterbezug verarbeitet. Bei einer Prüfung durch die Aufsichtsbehörde ist das ein sofort feststellbarer Verstoß.

Alle Prüfpunkte als druckbare PDF-Checkliste: siehe Downloads am Ende des Artikels.

Löschpflichten: Wann müssen Daten weg? (Art. 17)

Personenbezogene Daten müssen gelöscht werden, wenn der Zweck der Verarbeitung entfallen ist — es sei denn, eine gesetzliche Aufbewahrungspflicht steht entgegen.

Aufbewahrungsfristen für HV-typische Dokumente

| Dokumenttyp | Aufbewahrungsfrist | Rechtsgrundlage | |---|---|---| | Mietvertrag | 3 Jahre nach Vertragsende | Regelverjährung §195 BGB | | Betriebskostenabrechnung | 6-10 Jahre | §147 AO (steuerlich), §556 BGB | | Buchungsbelege | 10 Jahre | §147 AO | | Korrespondenz (geschäftlich) | 6 Jahre | §147 AO | | Bewerbungsunterlagen (Mietinteressenten) | 6 Monate nach Absage | Art. 17 DSGVO + AGG-Frist | | Videoaufzeichnungen | 48-72 Stunden (Richtwert) | Datenschutzaufsichtsbehörden | | Schlüsselprotokolle | Bis Rückgabe + 3 Jahre | Verjährung |

Typischer Fehler: Bewerbungsunterlagen abgelehnter Mietinteressenten werden nie gelöscht. Wer nach zwei Jahren noch die Schufa-Auskunft eines Bewerbers hat, der nie Mieter geworden ist, verstößt gegen die Löschpflicht.

Datenschutzbeauftragter: Brauchen Sie einen? (Art. 37)

Ein Datenschutzbeauftragter ist Pflicht, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§38 BDSG). Für die meisten Hausverwaltungen unter 20 Mitarbeitern besteht keine Pflicht — aber die Einhaltung der DSGVO ist trotzdem Pflicht.

Praxistipp: Auch ohne Pflicht kann ein externer Datenschutzbeauftragter sinnvoll sein — als Ansprechpartner für Mieterfragen, bei Datenpannen und für die regelmäßige Überprüfung der Prozesse.

Datenpanne: Was tun, wenn es passiert? (Art. 33–34)

Ein Mitarbeiter schickt eine Eigentümerliste mit Kontodaten an den falschen Verteiler. Ein Laptop mit Mieterdaten wird gestohlen. Die HV-Software wird gehackt. Das sind Datenpannen — und sie müssen gemeldet werden.

Meldung an die Aufsichtsbehörde (Art. 33)

Innerhalb von 72 Stunden nach Bekanntwerden, wenn ein Risiko für die Rechte der Betroffenen besteht. Die Meldung erfolgt online über das Portal der zuständigen Landesdatenschutzbehörde.

Benachrichtigung der Betroffenen (Art. 34)

Wenn ein hohes Risiko besteht — z. B. bei Kontodaten oder Gesundheitsdaten —, müssen die Betroffenen direkt informiert werden.

Typischer Fehler: Die Datenpanne wird intern „gelöst", aber nicht gemeldet. Das ist ein eigenständiger Verstoß — und die Aufsichtsbehörde bewertet die unterlassene Meldung oft strenger als die Panne selbst.

Tipp: Laden Sie sich die Checkliste herunter und haken Sie jeden Punkt bei der nächsten Umsetzung ab.

Fazit

Die DSGVO in der Hausverwaltung ist kein juristisches Schwergewicht, das den Betrieb lähmt. Es sind fünf bis sechs Kernprozesse — Informationspflichten, Rechtsgrundlagen prüfen, Auftragsverarbeitung regeln, Löschfristen einhalten, Auskunftsanfragen beantworten, Datenpannen melden —, die sauber aufgesetzt werden müssen. Einmal eingerichtet, laufen sie weitgehend automatisch. Die Investition in ein solides DSGVO-Fundament zahlt sich aus: weniger Beschwerden, keine Bußgelder und das Vertrauen von Eigentümern und Mietern.

Sie möchten den Datenschutz in Ihrer Hausverwaltung rechtssicher aufsetzen — ohne wochenlangen Aufwand? Die HV-Akademie bietet kompakte Praxisworkshops zur DSGVO speziell für Hausverwaltungen. Erfahren Sie mehr über unser aktuelles Programm.

Ihre Downloads zu diesem Artikel

  • DSGVO-Grundlagen fuer Hausverwaltungen (PDF)

Alle Downloads sind kostenlos. Wir bitten Sie lediglich um Ihre E-Mail-Adresse, damit wir Sie über neue Inhalte informieren können.

→ [Kostenlos herunterladen](#download)

Ihre Downloads

Alle Downloads sind kostenlos. Bei E-Mail-geschützten Dateien erhalten Sie den Download nach Eingabe Ihrer E-Mail-Adresse.

Weitere Artikel in Schnelleinführung

S9 Min

WEG-Recht auf einer Seite: Beschlussfassung, Verwaltervollmacht, Haftung

Die WEG-Reform von Dezember 2020 hat das Wohnungseigentumsgesetz grundlegend umgebaut. Eigentümerversammlungen, Verwalterbefugnisse, Beschlussfassungen — vieles wurde neu geregelt, einiges vereinfacht, manches verschärft. Für Verwalter, die neu in die WEG-Verwaltung einsteigen oder nach Jahren ihr W

Lesen
S9 Min

Betriebskostenarten: Welche 17 Positionen sind umlagefähig — und welche nicht

Die Betriebskostenverordnung (BetrKV) listet in §2 genau siebzehn Kostenarten auf, die ein Vermieter auf den Mieter umlegen darf — vorausgesetzt, der Mietvertrag enthält eine entsprechende Vereinbarung. Was einfach klingt, ist in der Praxis ein Minenfeld. Mieter reklamieren einzelne Positionen, Geri

Lesen
S10 Min

BGB-Mietrecht kompakt: Die 20 Paragraphen, die jeder Verwalter kennen muss

Wer in die Hausverwaltung einsteigt, steht vor einem Gebirge aus Paragraphen. Das BGB-Mietrecht umfasst die §§535 bis 580a — dutzende Vorschriften, Sonderfälle, Verweisketten. Die gute Nachricht: Im Tagesgeschäft einer Hausverwaltung sind es etwa zwanzig Paragraphen, die wirklich zählen. Wer diese k

Lesen