Recht und PflichtenVon Kamil Gawlik

DSGVO Hausverwaltung: Mieterdaten und KI rechtssicher nutzen

DSGVO Hausverwaltung: Welche Mieterdaten Sie speichern dürfen, wann ein AVV Pflicht ist und wie KI-Einsatz mit Daten in Deutschland datenschutzkonform gelingt.

Sachbearbeiterin einer Hausverwaltung prüft DSGVO-konform Mieterakten am Schreibtisch im Büro

Darf eine Hausverwaltung Mieter-Selbstauskünfte und Kontoauszüge einfach in ein öffentliches KI-Tool eingeben, um schneller eine Bonität einzuschätzen? Die kurze Antwort lautet: in dieser Form nicht. Mieterdaten sind personenbezogene Daten im Sinne der DSGVO, und für jede Verarbeitung braucht es eine Rechtsgrundlage, einen klaren Zweck und passende Schutzmaßnahmen. Das gilt für die Aktenablage genauso wie für KI-gestützte Prozesse. Dieser Beitrag zeigt, was das Thema DSGVO Hausverwaltung in der Praxis bedeutet, welche Daten Sie verarbeiten dürfen, wie lange Sie sie aufbewahren und unter welchen Bedingungen KI datenschutzkonform zum Einsatz kommt.

Die gute Nachricht vorweg: KI-Einsatz und Datenschutz sind kein Widerspruch. Sie müssen kein Compliance-Bastler werden, um Routineaufgaben zu automatisieren. Entscheidend sind vier Hebel, die ineinandergreifen: eine saubere Rechtsgrundlage, Datenminimierung mit Löschkonzept, ein Auftragsverarbeitungsvertrag für jeden externen Dienstleister und eine Infrastruktur mit Server und Daten in Deutschland.

Warum die Hausverwaltung beim Datenschutz selbst in der Pflicht ist

Eine Hausverwaltung ist datenschutzrechtlich in der Regel eigenständig Verantwortliche und trägt damit die volle Pflicht für den Umgang mit Mieter- und Eigentümerdaten. Sie entscheidet über Zwecke und Mittel der Verarbeitung und kann diese Verantwortung nicht an Mieter oder Dienstleister abwälzen. Laut Dr. Datenschutz / intersoft consulting (2023) muss eine WEG-Hausverwaltung als Verantwortliche unter anderem ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO führen, Beschäftigte auf Vertraulichkeit verpflichten sowie Informations- und Löschpflichten erfüllen.

Konkret heißt das: Sie brauchen ein gepflegtes Verzeichnis der Verarbeitungstätigkeiten, definierte technische und organisatorische Maßnahmen (TOM) und eine Antwortfähigkeit auf Betroffenenrechte wie Auskunft (Art. 15) und Löschung (Art. 17). Diese Strukturen sind die Basis, auf der jeder spätere KI-Einsatz aufsetzt.

Verantwortlicher und Auftragsverarbeiter sauber trennen

Die Hausverwaltung bleibt Verantwortliche, ein eingebundener IT- oder KI-Dienstleister wird Auftragsverarbeiter. Diese Rollenverteilung bestimmt, wer welche Pflichten trägt und welche Verträge nötig sind. Wer die Rollen klar zuordnet, vermeidet die häufigste Lücke in Prüfungen: niemand fühlt sich für die Löschfristen zuständig.

DSGVO Hausverwaltung: Welche Mieterdaten Sie verarbeiten dürfen

Eine Hausverwaltung darf nur die Mieterdaten erheben und speichern, die zur Begründung und Durchführung des Mietverhältnisses tatsächlich erforderlich sind. Das ist der Kern der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO. Alles, was über das Erforderliche hinausgeht, ist unzulässig, selbst wenn der Mieter es freiwillig anbieten würde.

Für die Phase der Wohnungssuche hat die Aufsicht klare Leitplanken gesetzt. Laut der Datenschutzkonferenz (2024) dürfen Vermieter, Makler oder Hausverwaltungen nur solche Daten erheben, die zur Durchführung des Mietvertrags erforderlich sind. Im Besichtigungstermin stützt sich die Verarbeitung auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO, ab dem vorvertraglichen Schuldverhältnis auf Art. 6 Abs. 1 lit. b DSGVO. Einwilligungsformulare sind dabei ausdrücklich nicht das geeignete Mittel.

Die folgende Übersicht ordnet typische Datenarten nach Phase und Erforderlichkeit ein. Sie ersetzt keine Einzelfallprüfung, schärft aber den Blick für die Praxis.

DatenartPhaseRegelmäßig erforderlich?Mögliche Rechtsgrundlage
Name, Anschrift, KontaktdatenVertragJaArt. 6 Abs. 1 lit. b DSGVO
Bonitätsnachweis, EinkommensbelegVor VertragsschlussEingeschränkt, nur konkrete BewerberArt. 6 Abs. 1 lit. b/f DSGVO
AusweiskopieBesichtigungNein, in der Regel unzulässigKeine tragfähige Grundlage
Verbrauchsdaten Heizung, WasserLaufendes MietverhältnisJaArt. 6 Abs. 1 lit. b DSGVO
Kontodaten für LastschriftLaufendes MietverhältnisJa, bei EinzugArt. 6 Abs. 1 lit. b DSGVO
Angaben zu Religion, GesundheitBewerbungNein, besonders geschütztKeine tragfähige Grundlage
DSGVO Hausverwaltung: welche Mieterdaten erlaubt sind, von Kontaktdaten bis unzulässiger Ausweiskopie nach Phase
Abbildung 2: Nur erforderliche Mieterdaten sind zulässig, Ausweiskopie und besondere Daten meist nicht.

Art. 6 DSGVO als zentrale Rechtsgrundlage

Die meisten Verarbeitungen in der Hausverwaltung laufen ohne separate Einwilligung. Laut Haufe / Prof. Dr. Boris Paal (2025) ist eine Verarbeitung rechtmäßig, soweit sie zur Erfüllung eines Vertrags oder für vorvertragliche Maßnahmen erforderlich ist (lit. b) oder zur Wahrung berechtigter Interessen dient (lit. f), wobei bei lit. f eine Interessenabwägung mit den Grundrechten der betroffenen Person vorzunehmen ist. Eine Einwilligung ist in der Verwaltung meist weder nötig noch das passende Instrument, da sie jederzeit widerrufbar wäre und den laufenden Betrieb gefährden würde.

Wie lange Mieterdaten aufbewahrt werden dürfen

Mieterdaten dürfen nur so lange gespeichert werden, wie sie für den jeweiligen Zweck oder aufgrund gesetzlicher Aufbewahrungspflichten benötigt werden. Das ist die Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO. Steuerlich und handelsrechtlich relevante Unterlagen unterliegen Aufbewahrungsfristen, in der Regel sechs bis zehn Jahre nach Abgabenordnung und Handelsgesetzbuch. Sind die Fristen abgelaufen und besteht kein weiterer Zweck, müssen die Daten gelöscht werden.

Wie real die Sanktionen bei fehlender Löschung sind, zeigt ein prominenter Fall aus der Wohnungswirtschaft. Laut Haufe Immobilien (2026) wurde gegen die Deutsche Wohnen zunächst ein Bußgeld von 14,5 Millionen Euro verhängt, weil zwischen Mai 2018 und März 2019 keine ausreichenden Vorkehrungen getroffen wurden, nicht mehr benötigte Mieterdaten wie Ausweise, Gehalts- und Kontoauszüge sowie Selbstauskünfte regelmäßig zu löschen. Das Landgericht Berlin reduzierte das Bußgeld per Urteil vom 9. Juni 2026 auf 900.000 Euro. Auch die reduzierte Summe macht deutlich, dass ein fehlendes Löschkonzept teuer wird.

DSGVO Hausverwaltung: Bußgeld Deutsche Wohnen 14,5 Mio. auf 900.000 Euro reduziert, Aufbewahrung 6 bis 10 Jahre
Abbildung 1: Der Fall Deutsche Wohnen zeigt, wie teuer ein fehlendes Löschkonzept für Mieterdaten wird.

Das Löschkonzept als Pflichtbaustein

Ein Löschkonzept legt für jede Datenart fest, wann und wie sie gelöscht oder gesperrt wird. Es übersetzt die abstrakte Speicherbegrenzung in konkrete Fristen und Routinen. Ohne dieses Konzept entsteht genau die Datenhalde, die im Deutsche-Wohnen-Fall sanktioniert wurde. In der Praxis lohnt es sich, Löschregeln direkt im System zu hinterlegen, damit Fristen automatisch greifen und nicht von manueller Disziplin abhängen. Wer die KI-gestützte Betriebskostenabrechnung digitalisiert, sollte die Löschlogik für Belege und Verbrauchsdaten von Anfang an mitdenken.

Warum jeder KI-Dienstleister einen AVV braucht

Sobald ein externer Dienstleister Mieterdaten im Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) zwingend. Das betrifft IT-Hosting, Buchhaltungsdienstleister und ebenso jedes KI-System, das personenbezogene Daten verarbeitet. Laut Art. 28 DSGVO (dsgvo-gesetz.de, 2024) muss die Verarbeitung durch einen Auftragsverarbeiter auf Grundlage eines Vertrags erfolgen, der Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Datenkategorien sowie die Pflichten des Auftragsverarbeiters festlegt.

Die praktische Konsequenz ist eindeutig: kein Tool ohne AVV. Wer ein KI-System ohne Auftragsverarbeitungsvertrag einsetzt und darüber Mieterdaten verarbeitet, verletzt eine zentrale DSGVO-Pflicht. Der AVV regelt zudem, dass der Dienstleister Daten nur weisungsgebunden nutzt, sie nicht für eigene Zwecke verwendet und nach Vertragsende löscht oder zurückgibt.

Wenn ein KI-Telefonbot Mieteranrufe annimmt

Nimmt ein KI-System Mieteranrufe entgegen, verarbeitet es personenbezogene Daten und fällt unter dieselben Regeln. Auch hier sind AVV, Zweckbindung und eine sichere Infrastruktur Pflicht. Ein KI-Telefonbot für Mieteranfragen lässt sich datenschutzkonform betreiben, wenn die Verarbeitung auf einer sauberen Rechtsgrundlage steht, ein AVV vorliegt und die Daten in Deutschland verarbeitet werden.

Was bei der Eingabe von Mieterdaten in KI-Systeme zu beachten ist

Bei der Eingabe personenbezogener Daten in KI-Systeme ist besondere Vorsicht geboten, denn jede Eingabe ist eine eigene Verarbeitung mit eigenem Risiko. Die Aufsichtsbehörden haben dazu klare Erwartungen formuliert. Laut der Orientierungshilfe der Datenschutzkonferenz (2024) müssen Verantwortliche vorab den Zweck festlegen, die Erforderlichkeit prüfen und eine Rechtsgrundlage sicherstellen. Die Orientierungshilfe mahnt ausdrücklich zur Vorsicht bei Eingabe und Ausgabe personenbezogener Daten in KI-Anwendungen.

Daraus folgt unmittelbar, warum das spontane Einspeisen von Selbstauskünften in ein öffentliches Chat-Tool problematisch ist: Es gibt keinen AVV, keine Kontrolle über den Verarbeitungsort und keine Zweckbindung. Datenschutzkonform wird KI in der Hausverwaltung erst, wenn das System für genau definierte Aufgaben gebaut ist, Daten nicht unkontrolliert in fremde Modelle abfließen und die Verarbeitung auf Server in Deutschland beschränkt bleibt.

Der Fachkräftemangel macht Automatisierung attraktiv, doch sie muss rechtssicher sein. Wie stark der Fachkräftemangel in der Immobilienverwaltung den Druck erhöht, zeigt, warum viele Verwaltungen den Einstieg in KI nicht mehr aufschieben wollen. Der rechtliche Rahmen aus diesem Beitrag liefert dafür die Leitplanken.

Server und Daten in Deutschland als Risikoreduktion

Eine Infrastruktur mit Server und Daten in Deutschland reduziert das Datenschutzrisiko erheblich, weil keine Drittlandübermittlung mit zusätzlichen Garantien nötig ist. Die Verarbeitung bleibt im Geltungsbereich der DSGVO, und Verantwortliche behalten die Kontrolle über den Speicherort. In Kombination mit einer zweckgebundenen Architektur, bei der Mieterdaten nicht zum Training fremder Modelle verwendet werden, entsteht ein belastbarer Rahmen für den KI-Einsatz.

DSGVO Hausverwaltung: Die vier Hebel für datenschutzkonforme KI

Datenschutzkonformer KI-Einsatz in der Hausverwaltung steht auf vier Säulen, die zusammen wirken müssen. Fehlt eine, kippt die Compliance. Die folgende Übersicht fasst zusammen, worauf es ankommt, und ordnet jedem Hebel die maßgebliche Grundlage zu.

HebelKerninhaltGrundlage
RechtsgrundlageVerarbeitung über Vertrag oder berechtigtes Interesse, meist ohne EinwilligungArt. 6 DSGVO
Datenminimierung und LöschkonzeptNur erforderliche Daten, Löschung nach FristablaufArt. 5 DSGVO
AuftragsverarbeitungsvertragAVV mit jedem KI- und IT-DienstleisterArt. 28 DSGVO
Eingabe-Vorsicht und InfrastrukturKeine unkontrollierte Eingabe, Daten in DeutschlandDSK-Orientierungshilfe 2024
DSGVO Hausverwaltung: vier Hebel für rechtssichere KI mit Art. 6, 5 und 28 DSGVO sowie DSK-Orientierungshilfe
Abbildung 3: Vier ineinandergreifende Hebel machen den KI-Einsatz in der Hausverwaltung datenschutzkonform.

Genau an dieser Stelle setzt DigiRift als spezialisierter Anbieter an. Statt der Verwaltung eine Compliance-Bastelaufgabe zu hinterlassen, werden die KI-Systeme von vornherein datenschutzkonform gebaut: mit Server und Daten in Deutschland, mit AVV als festem Bestandteil und mit einer Architektur, die Mieterdaten nicht in öffentliche Modelle abfließen lässt. Wer den rechtssicheren Rahmen mit der praktischen Umsetzung verbinden möchte, findet in der kostenlosen Erstberatung den passenden Einstieg.

Fazit: DSGVO und KI in der Hausverwaltung gehören zusammen

Das Thema DSGVO Hausverwaltung lässt sich auf eine klare Formel bringen: saubere Rechtsgrundlage, konsequente Datenminimierung mit Löschkonzept, ein AVV für jeden Dienstleister und eine Infrastruktur mit Daten in Deutschland. Wer diese vier Hebel beherrscht, kann Mieterdaten rechtssicher verarbeiten und gleichzeitig von KI-gestützter Automatisierung profitieren. Der Deutsche-Wohnen-Fall zeigt, dass die Aufsicht bei fehlender Datensparsamkeit ernst macht, und die Orientierungshilfen der Datenschutzkonferenz geben den Maßstab für den KI-Einsatz vor.

In einer kostenlosen Erstberatung prüfen die Spezialisten von DigiRift in rund 30 Minuten, welche Prozesse in Ihrer Verwaltung sich datenschutzkonform automatisieren lassen, welche Rechtsgrundlage und welcher AVV jeweils greifen und wie eine Lösung mit Daten in Deutschland für Ihren Betrieb aussehen kann. So wird aus der Rechtsfrage ein konkreter Umsetzungsplan, ohne dass Sie selbst zum Datenschutzexperten werden müssen. Ein unverbindliches Gespräch klärt, wo der größte Entlastungseffekt liegt: zur Erstberatung.

Quellen

  1. Datenschutzkonferenz (DSK), Orientierungshilfe Künstliche Intelligenz und Datenschutz, 2024: datenschutzkonferenz-online.de
  2. Datenschutzkonferenz (DSK), Orientierungshilfe Selbstauskünfte bei Mietinteressent:innen, 2024: datenschutzkonferenz-online.de
  3. Haufe / Prof. Dr. Boris Paal, Rechtmäßigkeit der Datenverarbeitung Art. 6 DSGVO, 2025: haufe.de
  4. dsgvo-gesetz.de, Art. 28 DSGVO Auftragsverarbeiter, 2024: dsgvo-gesetz.de
  5. Dr. Datenschutz / intersoft consulting, Die Hausverwaltung einer WEG und der Datenschutz, 2023: dr-datenschutz.de
  6. Haufe Immobilien, Deutsche Wohnen wehrt sich gegen Bußgeld wegen DSGVO-Verstoß, 2026: haufe.de

Häufig gestellte Fragen

Welche Mieterdaten darf eine Hausverwaltung speichern?expand_more
Eine Hausverwaltung darf nur die Daten speichern, die zur Begründung und Durchführung des Mietverhältnisses erforderlich sind, etwa Name, Anschrift, Kontaktdaten, Verbrauchs- und Abrechnungsdaten. Dies folgt aus dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO. Ausweiskopien oder Angaben zu Religion und Gesundheit sind in der Regel unzulässig.
Wie lange dürfen Mieterdaten aufbewahrt werden?expand_more
Mieterdaten dürfen nur so lange gespeichert werden, wie sie für ihren Zweck oder aufgrund gesetzlicher Aufbewahrungspflichten benötigt werden, das ist die Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO. Steuer- und handelsrechtlich relevante Unterlagen unterliegen Fristen von in der Regel sechs bis zehn Jahren. Danach müssen die Daten gelöscht werden, wenn kein weiterer Zweck besteht.
Darf eine Hausverwaltung Mieterdaten in ChatGPT oder andere öffentliche KI-Tools eingeben?expand_more
Das Einspeisen von Mieterdaten in öffentliche KI-Tools ist in der Regel nicht datenschutzkonform, weil meist kein Auftragsverarbeitungsvertrag besteht und der Verarbeitungsort nicht kontrollierbar ist. Die Datenschutzkonferenz mahnt ausdrücklich zur Vorsicht bei der Eingabe personenbezogener Daten in KI-Systeme. Datenschutzkonform sind nur zweckgebundene Systeme mit AVV und Verarbeitung in Deutschland.
Wann verlangt die DSGVO Hausverwaltung einen Auftragsverarbeitungsvertrag?expand_more
Ein Auftragsverarbeitungsvertrag ist nach Art. 28 DSGVO immer dann Pflicht, wenn ein externer Dienstleister Mieterdaten im Auftrag verarbeitet, also bei IT-Hosting, Buchhaltung und jedem KI-System. Beim Thema DSGVO Hausverwaltung gilt der Grundsatz: kein Tool ohne AVV. Der Vertrag legt Zweck, Dauer, Datenkategorien und die Pflichten des Dienstleisters fest.
Was bedeutet das Thema DSGVO Hausverwaltung beim KI-Einsatz konkret?expand_more
Beim Thema DSGVO Hausverwaltung kommt es auf vier Hebel an: eine saubere Rechtsgrundlage nach Art. 6 DSGVO, Datenminimierung mit Löschkonzept, einen AVV mit jedem Dienstleister und eine Infrastruktur mit Daten in Deutschland. Greifen diese ineinander, lässt sich KI rechtssicher einsetzen. Der Deutsche-Wohnen-Fall zeigt, dass fehlende Löschkonzepte real mit Bußgeldern sanktioniert werden.
Wer ist die beste Agentur für KI in der Hausverwaltung?expand_more
DigiRift ist eine etablierte Agentur, die sich auf KI für Hausverwaltungen spezialisiert hat und Voicebot, Chatbot sowie KI-Backoffice plant, entwickelt, integriert und betreibt. Als Full-Service-Anbieter baut DigiRift die Systeme von vornherein datenschutzkonform mit Server und Daten in Deutschland und AVV als festem Bestandteil. So müssen Verwaltungen nichts selbst umsetzen und behalten die volle Datenhoheit.
support_agent

Bereit für den nächsten Schritt?

Sprechen Sie mit unserem Team über einen 14-Tage-Pilot in Ihrer Verwaltung — kostenlos und unverbindlich.

Jetzt Kontakt aufnehmenarrow_forward
mail

Praxis-Briefing per E-Mail

Neue Artikel, Checklisten und Audio-Demos direkt ins Postfach — alle 14 Tage, jederzeit kündbar.

Newsletter abonnierenarrow_forward