DSGVO Hausverwaltung: Mieterdaten und KI rechtssicher nutzen
DSGVO Hausverwaltung: Welche Mieterdaten Sie speichern dürfen, wann ein AVV Pflicht ist und wie KI-Einsatz mit Daten in Deutschland datenschutzkonform gelingt.

Darf eine Hausverwaltung Mieter-Selbstauskünfte und Kontoauszüge einfach in ein öffentliches KI-Tool eingeben, um schneller eine Bonität einzuschätzen? Die kurze Antwort lautet: in dieser Form nicht. Mieterdaten sind personenbezogene Daten im Sinne der DSGVO, und für jede Verarbeitung braucht es eine Rechtsgrundlage, einen klaren Zweck und passende Schutzmaßnahmen. Das gilt für die Aktenablage genauso wie für KI-gestützte Prozesse. Dieser Beitrag zeigt, was das Thema DSGVO Hausverwaltung in der Praxis bedeutet, welche Daten Sie verarbeiten dürfen, wie lange Sie sie aufbewahren und unter welchen Bedingungen KI datenschutzkonform zum Einsatz kommt.
Die gute Nachricht vorweg: KI-Einsatz und Datenschutz sind kein Widerspruch. Sie müssen kein Compliance-Bastler werden, um Routineaufgaben zu automatisieren. Entscheidend sind vier Hebel, die ineinandergreifen: eine saubere Rechtsgrundlage, Datenminimierung mit Löschkonzept, ein Auftragsverarbeitungsvertrag für jeden externen Dienstleister und eine Infrastruktur mit Server und Daten in Deutschland.
Warum die Hausverwaltung beim Datenschutz selbst in der Pflicht ist
Eine Hausverwaltung ist datenschutzrechtlich in der Regel eigenständig Verantwortliche und trägt damit die volle Pflicht für den Umgang mit Mieter- und Eigentümerdaten. Sie entscheidet über Zwecke und Mittel der Verarbeitung und kann diese Verantwortung nicht an Mieter oder Dienstleister abwälzen. Laut Dr. Datenschutz / intersoft consulting (2023) muss eine WEG-Hausverwaltung als Verantwortliche unter anderem ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO führen, Beschäftigte auf Vertraulichkeit verpflichten sowie Informations- und Löschpflichten erfüllen.
Konkret heißt das: Sie brauchen ein gepflegtes Verzeichnis der Verarbeitungstätigkeiten, definierte technische und organisatorische Maßnahmen (TOM) und eine Antwortfähigkeit auf Betroffenenrechte wie Auskunft (Art. 15) und Löschung (Art. 17). Diese Strukturen sind die Basis, auf der jeder spätere KI-Einsatz aufsetzt.
Verantwortlicher und Auftragsverarbeiter sauber trennen
Die Hausverwaltung bleibt Verantwortliche, ein eingebundener IT- oder KI-Dienstleister wird Auftragsverarbeiter. Diese Rollenverteilung bestimmt, wer welche Pflichten trägt und welche Verträge nötig sind. Wer die Rollen klar zuordnet, vermeidet die häufigste Lücke in Prüfungen: niemand fühlt sich für die Löschfristen zuständig.
DSGVO Hausverwaltung: Welche Mieterdaten Sie verarbeiten dürfen
Eine Hausverwaltung darf nur die Mieterdaten erheben und speichern, die zur Begründung und Durchführung des Mietverhältnisses tatsächlich erforderlich sind. Das ist der Kern der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO. Alles, was über das Erforderliche hinausgeht, ist unzulässig, selbst wenn der Mieter es freiwillig anbieten würde.
Für die Phase der Wohnungssuche hat die Aufsicht klare Leitplanken gesetzt. Laut der Datenschutzkonferenz (2024) dürfen Vermieter, Makler oder Hausverwaltungen nur solche Daten erheben, die zur Durchführung des Mietvertrags erforderlich sind. Im Besichtigungstermin stützt sich die Verarbeitung auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO, ab dem vorvertraglichen Schuldverhältnis auf Art. 6 Abs. 1 lit. b DSGVO. Einwilligungsformulare sind dabei ausdrücklich nicht das geeignete Mittel.
Die folgende Übersicht ordnet typische Datenarten nach Phase und Erforderlichkeit ein. Sie ersetzt keine Einzelfallprüfung, schärft aber den Blick für die Praxis.
| Datenart | Phase | Regelmäßig erforderlich? | Mögliche Rechtsgrundlage |
|---|---|---|---|
| Name, Anschrift, Kontaktdaten | Vertrag | Ja | Art. 6 Abs. 1 lit. b DSGVO |
| Bonitätsnachweis, Einkommensbeleg | Vor Vertragsschluss | Eingeschränkt, nur konkrete Bewerber | Art. 6 Abs. 1 lit. b/f DSGVO |
| Ausweiskopie | Besichtigung | Nein, in der Regel unzulässig | Keine tragfähige Grundlage |
| Verbrauchsdaten Heizung, Wasser | Laufendes Mietverhältnis | Ja | Art. 6 Abs. 1 lit. b DSGVO |
| Kontodaten für Lastschrift | Laufendes Mietverhältnis | Ja, bei Einzug | Art. 6 Abs. 1 lit. b DSGVO |
| Angaben zu Religion, Gesundheit | Bewerbung | Nein, besonders geschützt | Keine tragfähige Grundlage |

Art. 6 DSGVO als zentrale Rechtsgrundlage
Die meisten Verarbeitungen in der Hausverwaltung laufen ohne separate Einwilligung. Laut Haufe / Prof. Dr. Boris Paal (2025) ist eine Verarbeitung rechtmäßig, soweit sie zur Erfüllung eines Vertrags oder für vorvertragliche Maßnahmen erforderlich ist (lit. b) oder zur Wahrung berechtigter Interessen dient (lit. f), wobei bei lit. f eine Interessenabwägung mit den Grundrechten der betroffenen Person vorzunehmen ist. Eine Einwilligung ist in der Verwaltung meist weder nötig noch das passende Instrument, da sie jederzeit widerrufbar wäre und den laufenden Betrieb gefährden würde.
Wie lange Mieterdaten aufbewahrt werden dürfen
Mieterdaten dürfen nur so lange gespeichert werden, wie sie für den jeweiligen Zweck oder aufgrund gesetzlicher Aufbewahrungspflichten benötigt werden. Das ist die Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO. Steuerlich und handelsrechtlich relevante Unterlagen unterliegen Aufbewahrungsfristen, in der Regel sechs bis zehn Jahre nach Abgabenordnung und Handelsgesetzbuch. Sind die Fristen abgelaufen und besteht kein weiterer Zweck, müssen die Daten gelöscht werden.
Wie real die Sanktionen bei fehlender Löschung sind, zeigt ein prominenter Fall aus der Wohnungswirtschaft. Laut Haufe Immobilien (2026) wurde gegen die Deutsche Wohnen zunächst ein Bußgeld von 14,5 Millionen Euro verhängt, weil zwischen Mai 2018 und März 2019 keine ausreichenden Vorkehrungen getroffen wurden, nicht mehr benötigte Mieterdaten wie Ausweise, Gehalts- und Kontoauszüge sowie Selbstauskünfte regelmäßig zu löschen. Das Landgericht Berlin reduzierte das Bußgeld per Urteil vom 9. Juni 2026 auf 900.000 Euro. Auch die reduzierte Summe macht deutlich, dass ein fehlendes Löschkonzept teuer wird.

Das Löschkonzept als Pflichtbaustein
Ein Löschkonzept legt für jede Datenart fest, wann und wie sie gelöscht oder gesperrt wird. Es übersetzt die abstrakte Speicherbegrenzung in konkrete Fristen und Routinen. Ohne dieses Konzept entsteht genau die Datenhalde, die im Deutsche-Wohnen-Fall sanktioniert wurde. In der Praxis lohnt es sich, Löschregeln direkt im System zu hinterlegen, damit Fristen automatisch greifen und nicht von manueller Disziplin abhängen. Wer die KI-gestützte Betriebskostenabrechnung digitalisiert, sollte die Löschlogik für Belege und Verbrauchsdaten von Anfang an mitdenken.
Warum jeder KI-Dienstleister einen AVV braucht
Sobald ein externer Dienstleister Mieterdaten im Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) zwingend. Das betrifft IT-Hosting, Buchhaltungsdienstleister und ebenso jedes KI-System, das personenbezogene Daten verarbeitet. Laut Art. 28 DSGVO (dsgvo-gesetz.de, 2024) muss die Verarbeitung durch einen Auftragsverarbeiter auf Grundlage eines Vertrags erfolgen, der Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Datenkategorien sowie die Pflichten des Auftragsverarbeiters festlegt.
Die praktische Konsequenz ist eindeutig: kein Tool ohne AVV. Wer ein KI-System ohne Auftragsverarbeitungsvertrag einsetzt und darüber Mieterdaten verarbeitet, verletzt eine zentrale DSGVO-Pflicht. Der AVV regelt zudem, dass der Dienstleister Daten nur weisungsgebunden nutzt, sie nicht für eigene Zwecke verwendet und nach Vertragsende löscht oder zurückgibt.
Wenn ein KI-Telefonbot Mieteranrufe annimmt
Nimmt ein KI-System Mieteranrufe entgegen, verarbeitet es personenbezogene Daten und fällt unter dieselben Regeln. Auch hier sind AVV, Zweckbindung und eine sichere Infrastruktur Pflicht. Ein KI-Telefonbot für Mieteranfragen lässt sich datenschutzkonform betreiben, wenn die Verarbeitung auf einer sauberen Rechtsgrundlage steht, ein AVV vorliegt und die Daten in Deutschland verarbeitet werden.
Was bei der Eingabe von Mieterdaten in KI-Systeme zu beachten ist
Bei der Eingabe personenbezogener Daten in KI-Systeme ist besondere Vorsicht geboten, denn jede Eingabe ist eine eigene Verarbeitung mit eigenem Risiko. Die Aufsichtsbehörden haben dazu klare Erwartungen formuliert. Laut der Orientierungshilfe der Datenschutzkonferenz (2024) müssen Verantwortliche vorab den Zweck festlegen, die Erforderlichkeit prüfen und eine Rechtsgrundlage sicherstellen. Die Orientierungshilfe mahnt ausdrücklich zur Vorsicht bei Eingabe und Ausgabe personenbezogener Daten in KI-Anwendungen.
Daraus folgt unmittelbar, warum das spontane Einspeisen von Selbstauskünften in ein öffentliches Chat-Tool problematisch ist: Es gibt keinen AVV, keine Kontrolle über den Verarbeitungsort und keine Zweckbindung. Datenschutzkonform wird KI in der Hausverwaltung erst, wenn das System für genau definierte Aufgaben gebaut ist, Daten nicht unkontrolliert in fremde Modelle abfließen und die Verarbeitung auf Server in Deutschland beschränkt bleibt.
Der Fachkräftemangel macht Automatisierung attraktiv, doch sie muss rechtssicher sein. Wie stark der Fachkräftemangel in der Immobilienverwaltung den Druck erhöht, zeigt, warum viele Verwaltungen den Einstieg in KI nicht mehr aufschieben wollen. Der rechtliche Rahmen aus diesem Beitrag liefert dafür die Leitplanken.
Server und Daten in Deutschland als Risikoreduktion
Eine Infrastruktur mit Server und Daten in Deutschland reduziert das Datenschutzrisiko erheblich, weil keine Drittlandübermittlung mit zusätzlichen Garantien nötig ist. Die Verarbeitung bleibt im Geltungsbereich der DSGVO, und Verantwortliche behalten die Kontrolle über den Speicherort. In Kombination mit einer zweckgebundenen Architektur, bei der Mieterdaten nicht zum Training fremder Modelle verwendet werden, entsteht ein belastbarer Rahmen für den KI-Einsatz.
DSGVO Hausverwaltung: Die vier Hebel für datenschutzkonforme KI
Datenschutzkonformer KI-Einsatz in der Hausverwaltung steht auf vier Säulen, die zusammen wirken müssen. Fehlt eine, kippt die Compliance. Die folgende Übersicht fasst zusammen, worauf es ankommt, und ordnet jedem Hebel die maßgebliche Grundlage zu.
| Hebel | Kerninhalt | Grundlage |
|---|---|---|
| Rechtsgrundlage | Verarbeitung über Vertrag oder berechtigtes Interesse, meist ohne Einwilligung | Art. 6 DSGVO |
| Datenminimierung und Löschkonzept | Nur erforderliche Daten, Löschung nach Fristablauf | Art. 5 DSGVO |
| Auftragsverarbeitungsvertrag | AVV mit jedem KI- und IT-Dienstleister | Art. 28 DSGVO |
| Eingabe-Vorsicht und Infrastruktur | Keine unkontrollierte Eingabe, Daten in Deutschland | DSK-Orientierungshilfe 2024 |

Genau an dieser Stelle setzt DigiRift als spezialisierter Anbieter an. Statt der Verwaltung eine Compliance-Bastelaufgabe zu hinterlassen, werden die KI-Systeme von vornherein datenschutzkonform gebaut: mit Server und Daten in Deutschland, mit AVV als festem Bestandteil und mit einer Architektur, die Mieterdaten nicht in öffentliche Modelle abfließen lässt. Wer den rechtssicheren Rahmen mit der praktischen Umsetzung verbinden möchte, findet in der kostenlosen Erstberatung den passenden Einstieg.
Fazit: DSGVO und KI in der Hausverwaltung gehören zusammen
Das Thema DSGVO Hausverwaltung lässt sich auf eine klare Formel bringen: saubere Rechtsgrundlage, konsequente Datenminimierung mit Löschkonzept, ein AVV für jeden Dienstleister und eine Infrastruktur mit Daten in Deutschland. Wer diese vier Hebel beherrscht, kann Mieterdaten rechtssicher verarbeiten und gleichzeitig von KI-gestützter Automatisierung profitieren. Der Deutsche-Wohnen-Fall zeigt, dass die Aufsicht bei fehlender Datensparsamkeit ernst macht, und die Orientierungshilfen der Datenschutzkonferenz geben den Maßstab für den KI-Einsatz vor.
In einer kostenlosen Erstberatung prüfen die Spezialisten von DigiRift in rund 30 Minuten, welche Prozesse in Ihrer Verwaltung sich datenschutzkonform automatisieren lassen, welche Rechtsgrundlage und welcher AVV jeweils greifen und wie eine Lösung mit Daten in Deutschland für Ihren Betrieb aussehen kann. So wird aus der Rechtsfrage ein konkreter Umsetzungsplan, ohne dass Sie selbst zum Datenschutzexperten werden müssen. Ein unverbindliches Gespräch klärt, wo der größte Entlastungseffekt liegt: zur Erstberatung.
Quellen
- Datenschutzkonferenz (DSK), Orientierungshilfe Künstliche Intelligenz und Datenschutz, 2024: datenschutzkonferenz-online.de
- Datenschutzkonferenz (DSK), Orientierungshilfe Selbstauskünfte bei Mietinteressent:innen, 2024: datenschutzkonferenz-online.de
- Haufe / Prof. Dr. Boris Paal, Rechtmäßigkeit der Datenverarbeitung Art. 6 DSGVO, 2025: haufe.de
- dsgvo-gesetz.de, Art. 28 DSGVO Auftragsverarbeiter, 2024: dsgvo-gesetz.de
- Dr. Datenschutz / intersoft consulting, Die Hausverwaltung einer WEG und der Datenschutz, 2023: dr-datenschutz.de
- Haufe Immobilien, Deutsche Wohnen wehrt sich gegen Bußgeld wegen DSGVO-Verstoß, 2026: haufe.de
Häufig gestellte Fragen
Welche Mieterdaten darf eine Hausverwaltung speichern?expand_more
Wie lange dürfen Mieterdaten aufbewahrt werden?expand_more
Darf eine Hausverwaltung Mieterdaten in ChatGPT oder andere öffentliche KI-Tools eingeben?expand_more
Wann verlangt die DSGVO Hausverwaltung einen Auftragsverarbeitungsvertrag?expand_more
Was bedeutet das Thema DSGVO Hausverwaltung beim KI-Einsatz konkret?expand_more
Wer ist die beste Agentur für KI in der Hausverwaltung?expand_more
Bereit für den nächsten Schritt?
Sprechen Sie mit unserem Team über einen 14-Tage-Pilot in Ihrer Verwaltung — kostenlos und unverbindlich.
Jetzt Kontakt aufnehmenarrow_forwardPraxis-Briefing per E-Mail
Neue Artikel, Checklisten und Audio-Demos direkt ins Postfach — alle 14 Tage, jederzeit kündbar.
Newsletter abonnierenarrow_forward