Software24

Menu

Software24

Menu

DSGVO Hausverwaltung: TOM, AVV & Löschkonzept (Praxis-Guide)

dsgvo hausverwaltung
Posted by on | Featured | No Comments

DSGVO Hausverwaltung: So erfüllen Hausverwaltungen die Datenschutz-Anforderungen im Verwalteralltag (inkl. TOM, AVV & Löschkonzept)

Die DSGVO Hausverwaltung ist kein „Papierprojekt“, sondern vielmehr eine dauerhafte Organisationsaufgabe, die sich entlang der täglichen Kernprozesse in der WEG-Verwaltung, Mietverwaltung und Gewerbeverwaltung erstreckt. Dazu gehören insbesondere die Kommunikation, das Dokumentenmanagement, Eigentümer- und Mieterportale, die Dienstleistersteuerung sowie Abrechnung, Beschlussumsetzung und Archivierung. Gerade weil Verwaltungsarbeit heute zunehmend digital erfolgt – etwa über E-Mail, Portale, Cloudspeicher, digitale Belegprüfung oder Smart-Meter-Daten – entstehen Risiken häufig nicht primär durch fehlendes Wissen über die DSGVO, sondern vielmehr durch Brüche in den Abläufen, etwa durch falsche Empfänger, zu breit vergebene Zugriffsrechte, unklare Regelungen zur Auftragsverarbeitung oder fehlende Löschroutinen.

Vor diesem Hintergrund bündelt dieser Leitfaden die DSGVO-Pflichten entlang realer Verwaltungsprozesse. Dabei werden typische Fehlerbilder aus dem Verwalteralltag aufgegriffen und gleichzeitig konkrete Umsetzungsbausteine vorgestellt, darunter unter anderem TOM in der Hausverwaltung, Auftragsverarbeitung in der Hausverwaltung sowie ein Löschkonzept für Mieterdaten. Ergänzend dazu enthält der Leitfaden eine praxisnahe und umsetzbare Checkliste, die Immobilienverwaltungen bei der strukturierten Umsetzung unterstützt.

1) DSGVO Hausverwaltung: Rollen, Verantwortlichkeiten und typische Ausgangslage

In der Datenschutz Immobilienverwaltung ist die zentrale Frage selten „gilt die DSGVO?“, sondern: Wer ist für welchen Verarbeitungsschritt verantwortlich und wie wird das nachweisbar organisiert? Hausverwaltungen verarbeiten personenbezogene Daten von Eigentümern, Mietern, Beiräten, Handwerkern, Interessenten, Mitarbeitenden und ggf. Besuchern/Teilnehmenden an Versammlungen. Daten entstehen in Stammakten, Abrechnungsläufen, Kommunikation, Dokumentenablage und Portalsystemen.

1.1 Verantwortlicher, (gemeinsam) Verantwortliche, Empfänger, Auftragsverarbeiter

  • Verantwortlicher ist, wer Zwecke und Mittel der Verarbeitung festlegt (z. B. organisatorische Ausgestaltung der Objektverwaltung, Kommunikationswege, Dokumentationssysteme).
  • Auftragsverarbeiter verarbeitet Daten „im Auftrag“ und nach Weisung (typisch: Hosting/IT-Betrieb, Portalbetrieb, Newsletter-/Mailversanddienst, Scandienst, Aktenvernichter, teilweise Callcenter, bestimmte Software-Cloudleistungen).
  • Empfänger sind Stellen, denen Daten offengelegt werden (z. B. Handwerker, Energieversorger, Messdienstleister, Versicherer, Banken) – nicht jeder Empfänger ist automatisch Auftragsverarbeiter.

In der Praxis entstehen Fehlentscheidungen häufig durch ein „AVV-für-alles“-Muster oder umgekehrt durch fehlende Verträge dort, wo ein echter Auftragsverarbeiter eingesetzt wird.

1.2 Häufige Fehlerbilder im Verwalteralltag

Fehlerbild A: „Zu viele Kopien“
Dokumente werden parallel im DMS, im E-Mail-Postfach, auf Netzlaufwerken, in Projektordnern und zusätzlich im Portal abgelegt. Dadurch scheitert jede Löschroutine, weil niemand die vollständige Datenlandkarte kennt.

Fehlerbild B: „Ein Postfach für alles“
Gemeinschaftspostfächer ohne klare Zuständigkeiten und ohne Rollen-/Rechtekonzept führen zu unkontrollierter Weitergabe von Mieterdaten.

Fehlerbild C: „Portal-Upload ohne Schutzklasse“
Abrechnungsunterlagen, Protokolle, Zahlungsbelege oder Mahnkorrespondenz werden falsch klassifiziert und zu breit veröffentlicht.

Fehlerbild D: „Dienstleister ohne Auftragsverarbeitung Hausverwaltung“
IT-Dienstleister/Hoster, Scan-/Druckdienst, Aktenvernichter oder Supportzugriffe sind im Tagesgeschäft „irgendwie dabei“, aber ohne dokumentierte Prüfung, AVV und TOM-Nachweis.

Fehlerbild E: „Löschkonzept nur als PDF“
Ein Löschkonzept existiert formal, wird aber nicht mit Ablagestrukturen, Fristen-Triggern (Auszug, Objektwechsel, Eigentümerwechsel) und Systemfunktionen verbunden.

2) DSGVO Hausverwaltung entlang der Prozesskette: Welche Daten wo entstehen

Eine praxistaugliche DSGVO-Umsetzung beginnt nicht mit Vorlagen, sondern mit einer Prozess- und Datenfluss-Sicht.

2.1 Typische Datenkategorien in der Hausverwaltung

  • Stammdaten: Namen, Anschriften, Kontaktdaten, Miteigentumsanteile, Wohnungsnummern, Mietvertragsdaten, Bankverbindungen.
  • Finanzdaten: Hausgeld, Mieten, Rückstände, Kaution, Zahlungspläne, SEPA-Mandate.
  • Vertrags- und Kommunikationsdaten: Schriftwechsel, Tickets, Beschwerdeverläufe, Vollmachten.
  • Betriebs- und Verbrauchsdaten: Zählerstände, Verbrauchsinformationen, Heiz-/Warmwasserdaten (teilweise in Nähe zu besonders sensiblen Ableitungen, je nach Kontext).
  • Dokumente mit besonderem Risiko: Ausweiskopien, SCHUFA-/Bonitätsnachweise, Gesundheitsbezüge (z. B. Härtefallargumentationen), Fotos/Videos (Schäden, Baustellen, ggf. Videotürsprechanlagen).

2.2 Prozesslandkarte (WEG, Miet- und Gewerbeverwaltung)

a) Kommunikation
E-Mail, Brief, Telefonnotizen, Ticketing, Serienbriefe, BCC-Logiken, Zustellnachweise.

b) Dokumentenmanagement
Belege, Verträge, Angebote, Protokolle, Beschlusssammlung, Rechnungen, Kontoauszüge, Nachweise.

c) Portale & digitale Zusammenarbeit
Eigentümerportal, Mieterportal, Belegfreigabe, Upload-Funktionen, Rollenmodelle, Benachrichtigungen.

d) Dienstleistersteuerung
Handwerker, Messdienste, Energieversorger, Wartungsfirmen, IT/Hosting, Druck-/Scan-/Archivdienst.

e) Abrechnung & Beschlussumsetzung
Wirtschaftsplan, Jahresabrechnung, Nebenkostenabrechnung, Umlageschlüssel, Forderungsmanagement.

Diese Prozesssicht ist entscheidend, weil DSGVO-Pflichten (Transparenz, Datensparsamkeit, Speicherbegrenzung, Integrität/Vertraulichkeit) in jeder Stufe anders „greifen“.

3) DSGVO Hausverwaltung: Rechtsgrundlagen in der Praxis (ohne Paragrafen-Salat)

In der Datenschutz Immobilienverwaltung dominiert selten „Einwilligung“, sondern überwiegend:

  • Vertragserfüllung / vorvertragliche Maßnahmen (z. B. Mietvertrag, Verwaltungsvertrag, Kommunikation zur Durchführung).
  • Rechtliche Verpflichtungen (z. B. handels- und steuerrechtliche Aufbewahrung, Nachweis- und Dokumentationspflichten).
  • Berechtigte Interessen (z. B. Forderungsdurchsetzung, Schutz vor Missbrauch, ordnungsgemäße Verwaltung und Dokumentation).

3.1 WEG-spezifischer Kontext: ordnungsmäßige Verwaltung, Dokumentation, Beschlüsse

WEG-Verwaltung verlangt nachvollziehbare Dokumentation (Beschlüsse, Protokolle, Abrechnung, Belege, Maßnahmen). Damit steigen Datenschutzanforderungen an Zugriffssteuerung, Protokollierung und Veröffentlichungslogik.

Als externe Rechtsquelle für WEG und BGB können die amtlichen Gesetzestexte (PDF) herangezogen werden, u. a. aus dem Angebot von gesetze-im-internet.de und dem BGB (PDF). (gesetze-im-internet.de)

3.2 Betroffenenrechte: Auskunft, Löschung, Berichtigung als Prozessaufgabe

Betroffenenrechte funktionieren nur, wenn klar ist:

  • welche Systeme Daten enthalten,
  • welche Empfänger Daten bekommen haben,
  • welche Fristen/gesetzlichen Sperrgründe gelten,
  • wie die Identität geprüft wird,
  • wie Antworten fristgerecht dokumentiert werden.

Zum Recht auf Löschung (Art. 17 DSGVO) stellt die Datenschutzaufsicht Hintergrundinformationen bereit, z. B. beim BfDI zum Recht auf Löschung / „Recht auf Vergessenwerden“. (bfdi.bund.de)

4) TOM Hausverwaltung: Technische und organisatorische Maßnahmen, die wirklich tragen

TOM Hausverwaltung wird in vielen Organisationen als Checklistenpflicht verstanden. In der Verwaltungspraxis müssen TOM jedoch prozessfest sein: Sie müssen zu Arbeitsweise, Teamgröße (5–50 Mitarbeitende), Stellvertretungslogik und Systemlandschaft passen.

4.1 TOM-Bausteine entlang typischer Verwaltungsrisiken

Zugriffskontrolle (rollenbasiert)

  • Trennung nach Objekt, Rolle, Funktion (Buchhaltung, Assistenz, Objektbetreuung, Leitung).
  • „Need-to-know“ statt „Alle sehen alles“.
  • Temporäre Rechte (z. B. Abrechnungsphase, Krankheitsvertretung) mit Ablaufdatum.

Weitergabekontrolle (Kommunikation)

  • Standardisierte Versandwege für sensible Dokumente (Portal statt E-Mail-Anhang, wenn möglich).
  • Regeln für BCC, Serienbriefe, Zustellnachweise.
  • Vermeidung unverschlüsselter Sammel-E-Mails an große Empfängerkreise.

Eingabekontrolle / Nachvollziehbarkeit

  • Änderungsprotokolle (wer hat Stammdaten/Bankdaten geändert?).
  • Dokumentationslogik für Beschlüsse/Anweisungen.

Verfügbarkeitskontrolle

  • Backups, Wiederanlauf, Ransomware-Schutz, Notfallkonzept.
  • Vertretungsregeln und Zugriff auf Schlüsselkonten (z. B. Gemeinschaftspostfächer) ohne „Passwort-Zettel“.

Trennungsgebot

  • Mandantentrennung je Eigentümergemeinschaft/Objekt.
  • Saubere Test- und Schulungsdaten (keine Realpersonen in Schulungsumgebungen).

4.2 TOM Hausverwaltung im Dokumentenmanagement (DMS) – der kritische Kern

In Verwaltungen liegt der Schwerpunkt auf Dokumenten: Rechnungen, Angebote, Protokolle, Abrechnungen, Schriftwechsel. Drei Prinzipien sind entscheidend:

  1. Ablageklassifikation (z. B. „öffentlich für Eigentümer“, „nur Beirat“, „nur intern“, „nur Buchhaltung“).
  2. Lifecycle-Management (Frist/Trigger gesteuert: Einzug/Auszug, Eigentümerwechsel, Vertragsende).
  3. Veröffentlichungsregeln (Portal-Freigabe nicht gleich DMS-Ablage).

Ein praktisches Beispiel für portalgestützte Veröffentlichung von Abrechnungsdokumenten findet sich in der Dokumentation zur Veröffentlichung von Abrechnungen im Portal (als interner Referenzpunkt für den Prozess „Freigabe/Empfängerkreis“): Abrechnungen im Portal veröffentlichen. (support.software24.com)

5) Auftragsverarbeitung Hausverwaltung: Dienstleister sauber einbinden (AVV, TOM, Prüfspur)

Auftragsverarbeitung Hausverwaltung ist in der Praxis der Bereich, in dem kleine und mittlere Verwaltungen am häufigsten „Nachweislücken“ haben: Es existieren Dienstleisterbeziehungen, aber keine systematische Einordnung, kein AVV, kein TOM-Nachweis, kein Unterauftragsverarbeiter-Überblick.

5.1 Typische Auftragsverarbeiter in der Immobilienverwaltung

  • Hosting/Cloudbetrieb (Serverbetrieb, Managed Services)
  • Portalbetrieb / Onlineportal (Nutzerkonten, Dokumentenhosting, Benachrichtigung)
  • E-Mail- / Newsletterdienst (bei objektbezogenen Rundschreiben über Dienstleister)
  • Scan-/Digitalisierungsdienstleister (Posteingang)
  • Aktenvernichtung / Entsorgungsdienst
  • Remote-Support/Administration (wenn Zugriff auf personenbezogene Daten möglich ist)

5.2 Typische Nicht-Auftragsverarbeitung (oft fälschlich angenommen)

Handwerker erhalten Kontaktdaten, um einen Werkvertrag zu erfüllen; die Datenverarbeitung ist häufig Nebenfolge der Leistung, nicht „Kern der Auftragsverarbeitung“. (Ein Branchenhinweis zu dieser Abgrenzung wird u. a. diskutiert.) (handwerksblatt.de)

Wichtig bleibt: Auch ohne AVV gelten Datenminimierung, Zweckbindung und sichere Übermittlung.

5.3 Mindest-Checkpunkte für AVV und Dienstleisterprüfung

  • Gegenstand und Dauer der Verarbeitung (z. B. Portalbetrieb laufend; Scanprojekt 6 Monate)
  • Art der Daten (Stamm-/Finanz-/Verbrauchsdaten)
  • Kategorien betroffener Personen (Mieter, Eigentümer, Mitarbeiter)
  • TOM-Nachweis (nicht nur „wird schon“)
  • Unterauftragnehmer (Cloud/Hosting-Kette)
  • Ort der Verarbeitung (EU/Deutschland; Datenübermittlungen)
  • Supportzugriffe (Protokollierung; Freigabeprozess)
  • Löschung/Rückgabe nach Ende des Auftrags

6) DSGVO Hausverwaltung in der Kommunikation: E-Mail, Serienbriefe, Telefonnotizen, Tickets

Kommunikation ist der häufigste Auslöser von Datenschutzvorfällen in Verwaltungen – nicht wegen „Hackerangriff“, sondern wegen Alltagsfehlern.

6.1 E-Mail: typische Risikoquellen

  • falscher Empfänger durch Autovervollständigung
  • CC statt BCC bei Rundschreiben
  • zu viele Dokumente im Anhang (Stammdaten + Rückstände + Kontodaten)
  • Weiterleitungen an Beiräte ohne klare Zweck-/Rechtsgrundlage
  • unkontrollierte Ablage im persönlichen Postfach

6.2 Prozesslösung statt Einzelregel: Kommunikationsklassen

Eine praxistaugliche Einteilung reduziert Fehler:

  • Klasse 1 (niedrig): Terminabsprachen, allgemeine Objektinfos ohne personenbezogene Details
  • Klasse 2 (mittel): Schreiben mit Bezug zu einer Einheit/Person ohne Finanzdetails
  • Klasse 3 (hoch): Mahnungen, Kontodaten, Rückstände, sensible Streitstände

Für Klasse 3 wird der Versand über Portale/gesicherte Kanäle und ein Vier-Augen-Prinzip im Serienversand deutlich risikoärmer.

In Portalen können zudem Zustell- und Versandprotokolle den Nachweis der Kommunikation unterstützen; ein Beispiel ist die Erweiterung von E-Mail-Protokollen im Portal-Kontext: Portal-Update 2025 – neue Funktionen. (support.software24.com)

7) DSGVO Hausverwaltung in Dokumenten, Portalen und der Belegprüfung

Portale und digitale Ablagen lösen Papierprozesse ab – erhöhen aber die Anforderungen an Rollen, Freigaben und Veröffentlichungslogik.

7.1 Eigentümerportal: Veröffentlichung ist eine Offenlegung

Typische Inhalte:

  • Wirtschaftspläne, Jahresabrechnungen, Einzelabrechnungen
  • Protokolle/ Beschlusssammlung
  • Angebote/Verträge zu Instandhaltung
  • Belege (Rechnungen)

Datenschutzrisiko entsteht, wenn Empfängerkreise nicht sauber abgebildet sind (z. B. falsche Zuordnung von Einheiten oder Eigentümerwechsel ohne Rechtebereinigung).

7.2 Mieterportal / Interessentenprozesse

Gerade in der Vermietung und im Bewerbermanagement entstehen besonders sensible Datenlagen (Ausweise, Gehaltsnachweise, Bonitätsauskünfte). Ein exemplarischer interner Bezugspunkt für digitale Bewerberdaten und Löschlogik ist ein Vermietungsprozess mit automatisierter Löschung und Datensicherheit: mietOK. (software24.com)

Hier ist ein minimalistischer Datensatz („so wenig wie möglich, so viel wie nötig“) entscheidend, ergänzt um klare Fristen und eine saubere Trennung zwischen „Bewerber“ und „Mieterakte“.

8) DSGVO Hausverwaltung – Löschkonzept Mieterdaten: Fristen, Trigger und Sperrlogik statt „Alles nach X Jahren löschen“

Ein Löschkonzept Mieterdaten ist dann praxistauglich, wenn es (1) Fristen rechtlich begründen kann, (2) Trigger definiert, (3) Sperrgründe abbildet und (4) systemisch umsetzbar ist.

8.1 Kernprinzip: Löschung vs. Aufbewahrung vs. Sperrung

  • Löschung: Daten werden entfernt, wenn Zweck entfällt und keine Pflicht/kein berechtigtes Interesse mehr besteht.
  • Aufbewahrung: Daten bleiben aufgrund gesetzlicher Pflichten.
  • Sperrung/Archivierung: Daten werden getrennt und nur noch eingeschränkt genutzt (z. B. nur für Nachweis/Abwehr von Ansprüchen).

8.2 Typische Trigger im Verwaltungsalltag

  • Mietende / Auszug
  • Eigentümerwechsel
  • Verwalterwechsel (Übergabe an neue Verwaltung)
  • Abschluss eines Schadensfalls / Rechtsstreits
  • Ende von Dienstleisterverträgen (z. B. Scan-/Archivdienst)

8.3 Praxisbezug: Spannungsfelder aus Löschpflicht und Aufbewahrungslogik

Viele Leitartikel betonen die Löschpflicht nach Zweckwegfall, weisen aber zugleich auf gesetzliche Aufbewahrungsfristen hin. In der Fachliteratur werden u. a. 6 bzw. 10 Jahre für bestimmte Unterlagen (Handels-/Steuerrecht) sowie zivilrechtliche Fristen und Einwendungsfristen als typische Gegenpole zur Löschung dargestellt. (haufe.de)

Zusätzlich sind Mieterrechte (Auskunft, Löschung, Berichtigung) konkret zu bedienen; Aufsichtsbehörden erläutern Ausnahmen/Abwägungen beim Löschrecht. (bfdi.bund.de)

8.4 Muster-Struktur für ein Löschkonzept Mieterdaten (umsetzbar)

A) Dateninventar (Systeme/Orte)

  • ERP/Hausverwaltungssoftware
  • DMS/Dateiserver
  • E-Mail-Archiv / Postfächer
  • Portal (Dokumente + Metadaten)
  • Ticket-/CRM-System
  • Backups (mit Sonderlogik: Löschung nicht sofort „aus Backup“ möglich)

B) Datenklassen

  • Vertragsdaten
  • Abrechnungs-/Buchungsdaten
  • Korrespondenz
  • Nachweise/Belege
  • Streit-/Schadensdaten

C) Fristenlogik (Beispiele, ohne pauschale Rechtsberatung)

  • Abrechnungsunterlagen: Frist + Einwendungsfenster + Nachweisinteresse
  • Buchungs-/Belegunterlagen: handels-/steuerrechtliche Fristen
  • Korrespondenz: nach Zweckende, ggf. plus Verjährungs-/Streitlogik

D) Technische Umsetzung

  • Löschläufe (quartalsweise) mit Protokoll
  • Sperrkennzeichen (z. B. „in Rechtsstreit“, „Prüffrist offen“)
  • Rechtebereinigung bei Eigentümer-/Mieterwechsel

9) DSGVO Hausverwaltung bei Abrechnung, Belegen und Smart-Meter-/Verbrauchsdaten

9.1 Abrechnung & Belegprüfung: Datenschutz ist auch Zugriffsschutz

Im Abrechnungsprozess entstehen regelmäßig:

  • Sammelrechnungen mit Einheitenbezug
  • Kontenbewegungen / Bankdaten
  • Rückstandslisten / Mahnläufe
  • Belegsammlungen für Eigentümer

Datenschutzanforderungen konzentrieren sich auf:

  • Minimalprinzip in der Belegbereitstellung (nur notwendige Daten sichtbar)
  • Empfängerkreise (Eigentümer vs. Beirat vs. Mieter)
  • Protokollierung (wer hat welche Dokumente freigegeben?)

Ein interner Anknüpfungspunkt ist der Prozess, Abrechnungen strukturiert im Portal bereitzustellen (statt ungezielt zu mailen): Abrechnungen im Portal veröffentlichen. (support.software24.com)

9.2 Smart Meter, Messstellenbetrieb, Verbrauchsdaten

Verbrauchsdaten werden zunehmend digital übertragen. Das erhöht Anforderungen an Zugriff, Verschlüsselung, Rollen und Dienstleisterketten. Als interner Kontextartikel zur Digitalisierung und Datenschutzanforderungen im Smart-Meter-Umfeld kann herangezogen werden: Smart-Meter-Pflicht ab 2025. (software24.com)

10) Nachweisfähigkeit: Verzeichnis, Prozesse, Schulung, Incident-Handling

Die DSGVO verlangt nicht nur „richtig handeln“, sondern auch darlegen können, dass Datenschutz organisiert ist.

10.1 Minimal-Set an Nachweisen für kleine/mittlere Hausverwaltungen

  • Verzeichnis der Verarbeitungstätigkeiten (VVT) je Kernprozess (WEG, Mietverwaltung, Gewerbe)
  • Rollen- und Berechtigungskonzept
  • TOM-Dokumentation (inkl. IT/Backup/Protokoll)
  • AVV-Register (Dienstleisterliste, Prüfdatum, Unterauftragnehmer)
  • Löschkonzept + Löschprotokolle
  • Prozess „Betroffenenanfragen“ (Auskunft/Löschung) inkl. Mustervorlagen
  • Prozess „Datenschutzvorfall“ (Meldung intern, Bewertung, ggf. Meldung an Aufsicht)

10.2 Schulung ist Prozesshygiene

Schulungen sind wirksam, wenn sie an realen Fehlerbildern ansetzen:

  • „CC/BCC und Serienmails“
  • „Eigentümerwechsel – Rechtebereinigung“
  • „Dokumente richtig klassifizieren“
  • „Dienstleisteranfragen: AVV ja/nein?“

11) Umsetzbare Checkliste: DSGVO Hausverwaltung entlang realer Abläufe

11.1 Kurz-Check: Datenschutz Immobilienverwaltung in 30 Prüfpunkten

A) Organisation & Zuständigkeiten

  1. Zuständigkeit für Datenschutzprozesse dokumentiert (inkl. Vertretung)
  2. Datenlandkarte vorhanden (Systeme + Ablagen + Portale)
  3. Prozess für Betroffenenrechte definiert (Identprüfung, Frist, Antwort, Dokumentation)

B) TOM Hausverwaltung

  1. Rollen-/Rechtekonzept je Prozess (WEG/Miete/Gewerbe)
  2. Gemeinsame Postfächer geregelt (Zugriff, Protokoll, Vertretung)
  3. Passwort-/MFA-Regeln umgesetzt
  4. Backup & Wiederanlauf getestet
  5. Protokolle für Stammdatenänderungen/Uploads vorhanden

C) Kommunikation

  1. Versandregeln (Klasse 1–3) dokumentiert
  2. Serienmails nur mit geprüfter Empfängerliste
  3. Keine sensiblen Anhänge ohne Freigabeprozess

D) Portale & Dokumente

  1. Dokumentklassen definiert (intern/Beirat/Eigentümer/Mieter)
  2. Portal-Freigabeprozess vorhanden (inkl. Vier-Augen für Klasse 3)
  3. Rechtebereinigung bei Eigentümerwechsel als Standardprozess

E) Auftragsverarbeitung Hausverwaltung

  1. Dienstleisterliste aktuell
  2. AVV vorhanden, wo erforderlich
  3. TOM-Nachweise eingeholt und bewertet
  4. Unterauftragnehmer-Ketten dokumentiert
  5. Remote-Supportzugriffe geregelt

F) Löschkonzept Mieterdaten

  1. Trigger definiert (Auszug, Wechsel, Vertragsende)
  2. Sperrgründe definiert (Streit, Fristen, Aufbewahrung)
  3. Löschläufe terminiert und protokolliert
  4. „Mehrfachablage“ reduziert (DMS statt Schattenkopien)

G) Abrechnung & Belegprüfung

  1. Belegbereitstellung datensparsam (Schwärzungs-/Minimierungslogik bei Bedarf)
  2. Rückstandslisten nur für berechtigte Rollen
  3. Versand der Abrechnung bevorzugt über gesicherte Kanäle

H) Incident-Handling

  1. Prozess für Fehlversand/Leak vorhanden
  2. Meldewege intern klar
  3. Vorlagen für Erstbewertung vorhanden
  4. Lessons Learned (Maßnahmenableitung) dokumentiert

12) Typische Einwände – DSGVO Hausverwaltung und was in der Praxis wirklich hilft

12.1 „Die DSGVO verhindert effiziente Verwaltung“

Effizienzverlust entsteht meist durch unklare Prozesse (z. B. Rechte, Ablage, Freigaben), nicht durch Datenschutz als solchen. Saubere Rollenmodelle und Portalfreigaben reduzieren Rückfragen und Fehlversände.

12.2 „AVV kostet nur Zeit“

AVV ist vor allem ein Steuerungsinstrument: Es zwingt zur Klärung von Datenarten, Zugriffen, Support, Unterauftragnehmern, Löschlogik. Die Zeit fällt entweder kontrolliert an (Prüfung) oder unkontrolliert (Vorfall, Anfrage, Audit).

12.3 „Löschen geht nicht wegen Aufbewahrung“

Richtig ist: Viele Unterlagen müssen aufbewahrt werden. Daraus folgt aber nicht, dass jede Kopie überall liegen darf. „Sperren/Archivieren“ plus strikter Zugriff ist häufig die praxistaugliche Lösung.

Fazit – DSGVO Hausverwaltung

Die DSGVO in der Hausverwaltung wird belastbar, wenn Datenschutz als durchgängiges Prozessdesign verstanden und entsprechend umgesetzt wird, also mit klar definierten Rollen, sicheren Kommunikationsklassen sowie Portal- und Dokumentfreigaben mit eindeutig festgelegten Empfängerkreisen. Hinzu kommt eine sauber strukturierte Dienstleisterkette mit Auftragsverarbeitung in der Hausverwaltung sowie ein praktikables und umsetzbares Löschkonzept für Mieterdaten. Dabei gilt, dass die TOM in der Hausverwaltung kein separater Ordner sind, sondern vielmehr die Gesamtheit aus Zugriff, Protokollierung, Verfügbarkeit, Trennung und kontrollierter Veröffentlichung darstellen – die wiederum fest in den täglichen Abläufen der Immobilienverwaltung verankert sind.

Häufige Fragen zu DSGVO Hausverwaltung: So erfüllen Hausverwaltungen die Datenschutz-Anforderungen im Verwalteralltag (inkl. TOM, AVV & Löschkonzept)

Welche Dokumente sind in der DSGVO Hausverwaltung besonders kritisch?

Besonders kritisch sind Dokumente mit Finanz- und Rückstandsinformationen, Kontodaten, Ausweiskopien, Bonitätsunterlagen sowie Korrespondenz zu Streitfällen. Risiko entsteht häufig durch falsche Empfänger, zu breite Portalfreigaben oder unkontrollierte Kopien in E-Mail-Postfächern.

Wann liegt Auftragsverarbeitung Hausverwaltung vor – und wann nicht?

Auftragsverarbeitung liegt typischerweise bei IT-/Hostingbetrieb, Portalbetrieb, Scan-/Digitalisierungsdienst oder Aktenvernichtung vor, wenn personenbezogene Daten im Auftrag verarbeitet werden. Nicht jeder Handwerker ist automatisch Auftragsverarbeiter, auch wenn Kontaktdaten zur Auftragsabwicklung genutzt werden; die Abgrenzung hängt von Zweck, Weisungsgebundenheit und Kernleistung ab. (handwerksblatt.de)

Was gehört in ein TOM Hausverwaltung-Set, das im Alltag funktioniert?

Ein funktionierendes TOM-Set umfasst ein Rollen-/Rechtekonzept (objekt- und funktionsbezogen), klare Regeln für Kommunikation (Serienversand, BCC, sensible Anhänge), Protokollierung kritischer Änderungen/Uploads, Backup- und Notfallkonzept, Mandantentrennung sowie geregelte Supportzugriffe. Entscheidend ist die Kopplung an reale Abläufe (Eigentümerwechsel, Auszug, Abrechnungsphase).

Wie lässt sich ein Löschkonzept Mieterdaten praxistauglich umsetzen?

Praxistauglich wird das Löschkonzept durch definierte Trigger (Auszug, Vertragsende, Eigentümerwechsel), Datenklassen (Stamm, Abrechnung, Korrespondenz, Streit), Sperrlogik (Aufbewahrung/Verjährung/Einwendungsfristen) und regelmäßige Löschläufe mit Protokoll. Ein ergänzender Blick auf das Recht auf Löschung und seine Ausnahmen ist bei der Datenschutzaufsicht beschrieben. (bfdi.bund.de)

Wie kann die DSGVO Hausverwaltung bei Portalen und digitaler Belegprüfung unterstützen statt bremsen?

Portale ermöglichen feinere Empfängerkreise, nachvollziehbare Freigaben und dokumentierte Bereitstellung. Dadurch sinkt das Risiko von Fehlversand per E-Mail und die Belegprüfung wird strukturierter. Voraussetzung ist ein sauberes Rechte- und Klassifikationsmodell sowie eine definierte Freigabelogik (insbesondere für Klasse-3-Dokumente).

Welche externen Quellen eignen sich als belastbare Referenz für Datenschutz Immobilienverwaltung?

Belastbare Referenzen sind u. a. Informationen der Datenschutzaufsicht (z. B. BfDI zu Betroffenenrechten), amtliche Gesetzestexte (z. B. WEG/BGB als PDF über gesetze-im-internet.de) sowie Überblicksdarstellungen zur DSGVO, etwa die Wikipedia-Seite zur Datenschutz-Grundverordnung als Einstieg mit Verweisen auf Primärquellen. (de.wikipedia.org)

Eine Antwort hinterlassen

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * gekennzeichnet.

Sie können folgende HTML Tags und Attribute verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>