You are visiting the wrong ista website.
Would you like to switch to the right ista website?
Das Wichtigste in Kürze:
Die DSGVO regelt seit 2018 europaweit den Umgang mit personenbezogenen Daten und wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG) ergänzt.
Hausverwaltungen tragen die Verantwortung für Miet- und Eigentümerdaten. Sie müssen dokumentieren, welche Daten zu welchem Zweck verarbeitet werden, wer Zugriff hat und wie lange die Speicherung erfolgt.
Erlaubt ist nur die Erhebung und Speicherung von Daten, die für das Miet- oder Verwaltungsverhältnis tatsächlich erforderlich sind.
An Behörden oder Dienstleister dürfen Daten nur übermittelt werden, wenn dies gesetzlich erlaubt oder für die Vertragserfüllung notwendig ist.
Mieter haben umfassende Datenschutzrechte. Dazu zählen Auskunft, Berichtigung, Löschung und Widerspruch gegen die Datenverarbeitung.
Passwortschutz, Verschlüsselung, Zugriffsbeschränkungen und regelmäßige Löschungen sind notwendig, um Bußgelder und Datenschutzverstöße zu vermeiden.
Seit Mai 2018 gilt die DSGVO. Sie regelt, wie personenbezogene Daten erhoben, gespeichert, verarbeitet und weitergegeben werden dürfen. Als europäische Verordnung hat sie Vorrang vor nationalem Recht. Ergänzend greift in Deutschland das Bundesdatenschutzgesetz (BDSG). Diese Kombination ist auch für Hausverwaltungen verbindlich, unabhängig von ihrer Größe.
Die DSGVO der Europäischen Union gilt seit 2018 und löst zu weiten Teilen das deutsche BDSG ab. Sie verpflichtet Unternehmen und damit auch Hausverwaltungen zum Schutz personenbezogener Daten. Das Gesetz ermöglicht Bürgern ein Recht auf informationelle Selbstbestimmung. Betroffene haben jederzeit die Kontrolle darüber, wer ihre Daten zu welchem Zweck speichert, verarbeitet und weitergibt. Nachlässigkeit kann dabei teuer werden: Verstöße werden mit Bußgeldern geahndet.
Die DSGVO formuliert klare Leitlinien für den Umgang mit Daten. Entscheidend ist das Prinzip der Datensparsamkeit: Es dürfen nur die Daten erhoben werden, die für einen konkreten Zweck tatsächlich erforderlich sind. Umgekehrt bedeutet das: Vorratsdatenhaltung ist unzulässig. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören Namen, Adressen, Geburtsdaten, Bankdaten und Verbrauchsdaten. Außerdem müssen Daten korrekt, sicher und nur so lange gespeichert werden, wie es notwendig ist. Hausverwaltungen müssen diese Grundsätze nicht nur einhalten, sondern ihre Einhaltung auch nachweisen können.
Hausverwaltungen tragen die Verantwortung für alle Daten, die sie im Rahmen ihrer Tätigkeiten verarbeiten. Das betrifft Daten von Mietinteressenten, Mietern, Eigentümern und Dienstleistern. Für jede Verarbeitung muss klar dokumentiert sein, auf welcher Rechtsgrundlage sie erfolgt. In der Praxis geschieht das über ein Verzeichnis der Verarbeitungstätigkeiten. Darin wird dokumentiert, welche personenbezogene Daten zu welchem Zweck erhoben werden, wer Zugriff darauf hat und wie lange die Daten gespeichert bleiben. Für jeden Arbeitsprozess, bei dem Daten verarbeitet werden, ist ein Eintrag erforderlich. Relevante Prozesse sind beispielsweise die Durchführung des Mietverhältnisses, die Erstellung von Betriebskostenabrechnungen oder die Beschlussfassung innerhalb einer Wohnungseigentümergemeinschaft.
Das Verzeichnis muss außerdem angeben, an welche Empfänger die Daten weitergegeben werden, etwa an Behörden, Handwerker, IT-Dienstleister oder Abrechnungsunternehmen. Ob und welche Daten weitergegeben werden dürfen, hängt von der Rechtsgrundlage ab. Namen und Einzugsdaten dürfen etwa an Meldebehörden übermittelt werden. Kontaktdaten können an Handwerker gehen, wenn dies zur Mängelbeseitigung nötig ist. Ohne Rechtsgrundlage oder Einwilligung ist eine Weitergabe unzulässig. Mieter können im Zweifel eine schriftliche Anfrage mit Begründung verlangen. Besondere Aufmerksamkeit erfordert die Weitergabe in Drittländer außerhalb der EU. Sitzt ein Cloud-Dienstleister beispielsweise in den USA, sind zusätzliche Garantien wie Standardvertragsklauseln erforderlich, um einen mit der EU vergleichbaren Schutzstandard zu gewährleisten.
Nicht alle Daten sind gleich. Besonders schützenswert sind Informationen etwa zu Gesundheit, Religion oder politischer Meinung. Solche Angaben dürfen nur in eng begrenzten Ausnahmefällen verarbeitet werden. In den Immobilienverwaltung sind sie meist nicht erforderlich. Wenn sie dennoch anfallen, etwa bei Maßnahmen zur Barrierefreiheit, dürfen nur die notwendigen Informationen gespeichert werden. Alles andere ist zu vermeiden.
Hausverwaltungen sind nach DSGVO zudem dazu verpflichtet, alle Betroffenen unaufgefordert über die Verarbeitung ihrer Daten zu informieren. Diese Informationspflicht besteht bereits bei der Datenerhebung. In der Praxis bedeutet das: Bei einer Wohnungsbesichtigung müssen Interessenten über den Zweck der Datenerhebung aufgeklärt werden. Datenschutzhinweise müssen dabei folgende Inhalte enthalten: Name und Kontaktdaten des Verantwortlichen, Zweck der Datenverarbeitung, Rechtsgrundlage, Speicherdauer, Empfänger der Daten sowie Hinweise auf die Rechte der Betroffenen wie Auskunft, Berichtigung oder Löschung. Außerdem ist auf das Beschwerderecht bei einer Aufsichtsbehörde hinzuweisen.
Mieter haben nach der DSGVO umfassende Rechte. Sie können jederzeit Auskunft darüber verlangen, welche Daten die Hausverwaltung über sie gespeichert hat und zu welchem Zweck. Die Hausverwaltung muss innerhalb eines Monats reagieren und die Informationen bereitstellen. Bei der Auskunft sind nicht nur die Daten selbst mitzuteilen, sondern auch deren Verarbeitungszwecke, Empfänger und die geplante Speicherdauer.
Mieter haben außerdem das Recht, fehlerhafte Angaben berichtigen zu lassen. Sie können verlangen, dass ihre Daten gelöscht werden, sobald diese ihren Zweck erfüllt haben oder wenn sie ihre Einwilligung widerrufen. Auch ein Widerspruchsrecht gegen die Verarbeitung auf Grundlage berechtigter Interessen steht ihnen zu.
Grundsätzlich gilt: Alle personenbezogenen Daten sind zu löschen, wenn diese für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Umgekehrt gibt es gesetzliche Aufbewahrungsfristen, die eingehalten werden müssen. Steuerlich relevante Unterlagen müssen Hausverwaltungen beispielsweise zehn Jahre aufbewahren, Handels- und Geschäftsbriefe sechs Jahre. Auch für Mietverträge gilt die Zehn-Jahres-Frist. Kontodaten sollten allerdings eher gelöscht werden. Datenschützer gehen von einer Löschfrist von sechs Monaten nach Beendigung des Mietverhältnisses aus.
Unser Tipp: Hausverwaltungen sollten sich das Löschen von Daten als regelmäßige Aufgabe im Terminkalender eintragen. Wichtig ist dabei, dass das Datenverarbeitungsprogramm ein Löschen der Daten ermöglicht.
Hausverwaltungen müssen nach DSGVO geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der Daten zu gewährleisten. Dazu gehört, dass Datenverarbeitungsgeräte über einen aktuellen Anti-Viren-Schutz und eine Firewall verfügen. Computer und mobile Geräte sollten passwortgesichert sein. Bei der Weitergabe von Daten sollte eine Transportverschlüsselung verwendet werden.
Akten in Papierform gehören in abschließbare Schränke oder Räume. Von allen Dateien sind regelmäßig Sicherheitskopien zu erstellen, wobei die Löschpflichten zu beachten sind. Alte Datenträger und Computer müssen vor der Entsorgung ordnungsgemäß gelöscht werden, beispielsweise durch professionelle Überschreibungssoftware. Bei elektronischer Kommunikation ist darauf zu achten, dass E-Mail-Adressen anderer Empfänger nicht sichtbar sind. Rundmails sollten über die BCC-Funktion versendet werden. Außerdem sollten nur verschlüsselte WLAN-Verbindungen genutzt werden.
Übrigens: Wer gegen diese Datenschutzvorgaben verstößt, riskiert Bußgelder und behördliche Kontrollen. Die DSGVO sieht empfindliche Sanktionen vor. In der Praxis reichen sie von Verwarnungen bis zu hohen Geldbußen.
Datenschutz ist in der Hausverwaltung kein Randthema, sondern Teil des täglichen Geschäfts. Klare Prozesse, transparente Information und ein bewusster Umgang mit Daten schaffen Sicherheit für alle Beteiligten. Eine regelmäßige Überprüfung der eigenen Abläufe hilft, dem Datenschutz dauerhaft auf einem soliden Niveau zu halten. Bei Unsicherheiten lohnt sich die Unterstützung durch einen Datenschutzbeauftragten oder externe Fachleute. Wer die Anforderungen der DSGVO ernst nimmt, vermeidet nicht nur Bußgelder, sondern signalisiert auch Professionalität. Ein transparenter und sorgfältiger Umgang mit Daten zahlt sich langfristig aus - für alle Beteiligten.
Ein Datenschutzbeauftragter ist nach §38 BDSG (Bundesdatenschutzgesetz) erst ab einer Unternehmensgröße von mindestens 20 Mitarbeitern Pflicht, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dabei ist es unerheblich, ob es sich um Vollzeit- oder Teilzeitbeschäftigte handelt.
Ein Bußgeldrahmen von bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes kann bei Verstößen gegen organisatorische Pflichten angewendet werden. Bei schwerwiegenden Verstößen wie bei Verletzungen von Betroffenenrechten können maximale Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes verhängt werden. Die Höhe des Bußgeldes steht im Ermessen der Aufsichtsbehörde und richtet sich nach Kriterien wie Vorsatz, Grad der Verantwortung sowie Art und Schwere des Verstoßes.
Die DSGVO (Datenschutzgrundverordnung) ist eine EU-weit gültige Verordnung, die in allen Mitgliedstaaten Grundregeln für den Datenschutz festlegt. Das BDSG (Bundesdatenschutzgesetz) ist ein nationales Gesetz in Deutschland. Es ergänzt die DSGVO dort, wo diese den Mitgliedstaaten bewusst Gestaltungsspielräume lässt. Kurz gesagt: Die DSGVO gibt den europäischen Rahmen vor, das BDSG füllt diesen Rahmen national aus. Wichtig: das BDSG darf der DSGVO nicht widersprechen, sondern sie nur ergänzen.
Die Inhalte des ista Blogs dienen ausschließlich der ersten und allgemeinen Information und stellen keine rechtliche, steuerliche oder sonstige fachliche Beratung dar. Trotz sorgfältiger Recherche und regelmäßiger Aktualisierung übernehmen wir keine Gewähr für die Vollständigkeit, Richtigkeit und Aktualität der bereitgestellten Informationen.
Bitte beachten Sie, dass jeder Einzelfall individuell ist. Wir empfehlen daher ausdrücklich, bei konkreten Fragestellungen stets eine professionelle Beratung durch entsprechend qualifizierte Fachpersonen in Anspruch zu nehmen.
Zu Themen, wie Heizkostenabrechnung und monatliche Verbrauchsinformation, Rauchwarnmelder, Nebenkostenabrechnung, Energieausweis, Trinkwasseruntersuchung und Gewerbelösungen beraten wir Sie gerne.
