Datenschutz Hausverwaltung & Makler in Hamburg (Mieterdaten)
Datenschutz Hausverwaltung Hamburg: DSGVO-Pflichten bei Mieter- und Eigentümerdaten, DSB-Pflicht, Selbstauskunft, SCHUFA und Eigentümerliste rechtssicher handhaben.
Inhalt in Kürze
- Eine Hausverwaltung verarbeitet eines der sensibelsten Datensets im Mittelstand: Einkommen, Kontodaten, Mietschulden, Gesundheitshinweise, ganze Lebensläufe von Mietern und Eigentümern.
- Der Datenschutzbeauftragte wird erst ab 20 Personen mit ständiger automatisierter Verarbeitung Pflicht (§ 38 BDSG) – viele Verwaltungen liegen knapp darunter, tragen aber dieselbe Verantwortung.
- Die Mieterselbstauskunft folgt einem gestuften Fragerecht: vor Vertragsschluss nur das Nötigste, Bonität und SCHUFA erst bei ernsthaftem Interesse.
- Daten abgelehnter Interessenten sind nach der Vermietung zu löschen, jeder Dienstleister braucht einen AVV – beides ist mit einem schlanken Fahrplan gut zu beherrschen.
Stand: Mai 2026 · Autor: Nils Oehmichen · Lesezeit: 9 Minuten
Eine Hausverwaltung sieht mehr von ihren Mietern als jeder Steuerberater: das Einkommen, die Kontoverbindung, die Mietschulden des letzten Winters, manchmal eine Schwerbehinderung, die für den barrierefreien Umbau dokumentiert wurde. Genau dieses Datenvolumen macht die Branche zu einem Schwerpunkt der Aufsichtsbehörden – und gleichzeitig arbeiten viele Verwaltungen mit Standardformularen aus dem Internet, die datenschutzrechtlich nicht haltbar sind. Dieser Artikel zeigt Hamburger Hausverwaltern, Maklern und WEG-Verwaltern, welche DSGVO-Pflichten wirklich gelten und wie Sie Selbstauskunft, Bonitätsprüfung und Eigentümerlisten rechtssicher handhaben.
Hamburg ist einer der angespanntesten Wohnungsmärkte Deutschlands – auf jede attraktive Wohnung kommen oft Dutzende Bewerber. Genau dieser Andrang verleitet zu Datensammeln auf Vorrat: Selbstauskünfte und SCHUFA von jedem Besichtigungsgast. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI, Ludwig-Erhard-Straße 22) hat die Immobilienbranche wiederholt im Blick gehabt. Wer nur erhebt, was er wirklich braucht, ist auf der sicheren Seite.
Datenschutz in der Hausverwaltung: Warum die Branche besonders im Fokus steht
Eine Hausverwaltung ist im Sinne der DSGVO „Verantwortlicher” (Art. 4 DSGVO) für eine ungewöhnlich breite Datenbasis. Sie verarbeitet:
- Mieterdaten: Name, Anschrift, Geburtsdatum, Bankverbindung, Einkommen, Mietzahlungen, Mahnungen, Kündigungen
- Eigentümerdaten: in der WEG-Verwaltung Namen, Anschriften, Miteigentumsanteile, Hausgeldzahlungen, Rückstände
- Interessentendaten: Selbstauskünfte, Bonitätsnachweise, oft hundertfach pro Wohnung
- Dienstleister- und Handwerkerdaten: Kontaktdaten, Aufträge, Rechnungen
Das ist eine andere Hausnummer als bei einem reinen Online-Shop. Hier laufen Einkommen, Zahlungsmoral und gelegentlich Gesundheitshinweise zusammen – also genau die Daten, bei denen ein Leck richtig wehtut. Verbrauchsabrechnungen oder Mahnschreiben unverschlüsselt per E-Mail zu versenden, ist einer der häufigsten Verstöße, den wir in der Branche sehen.
Braucht meine Hausverwaltung einen Datenschutzbeauftragten?
Das ist die erste Frage fast jedes Verwalters. Die Antwort steht in § 38 Abs. 1 BDSG: Ein Datenschutzbeauftragter (DSB) ist zu benennen, sobald mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Entscheidend ist das Wort „Personen”, nicht „Vollzeitstellen”. Es zählt jeder mit, der regelmäßig mit der Verwaltungssoftware, mit Mieterakten oder mit Abrechnungen arbeitet – also auch Teilzeitkräfte, Sachbearbeiter im Mahnwesen und Buchhalter. Viele inhabergeführte Verwaltungen liegen knapp unter dieser Schwelle.
Auch ohne DSB-Pflicht gelten alle anderen DSGVO-Pflichten: Verarbeitungsverzeichnis, Datenschutzhinweise, technische Schutzmaßnahmen, Löschkonzept. Die Schwelle befreit nur von der Benennung – nicht von der Verantwortung. Und wer mit ein paar Neueinstellungen über 20 rutscht, braucht den DSB sofort.
Unabhängig von der Personenzahl kann die Pflicht entstehen, wenn Sie eine Datenschutz-Folgenabschätzung durchführen müssen – etwa bei umfangreicher Videoüberwachung in den Objekten. Ob intern oder extern: Bei der Datendichte einer Verwaltung ist ein externer DSB meist die schlankere Lösung, weil Sie sich Fachkunde, Haftung und ständige Fortbildung einkaufen, statt eine eigene Kraft freizustellen. Die Details zur Schwelle und zur Rechnung intern vs. extern lesen Sie in unserem Beitrag DSB-Pflicht für Hamburger KMU.
Mieterselbstauskunft: Das gestufte Fragerecht
Die Mieterselbstauskunft ist das größte Risikofeld – und das, bei dem die meisten Standardformulare durchfallen. Grundregel ist der Datenschutz-Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Erhoben werden darf nur, was für die konkrete Auswahlentscheidung wirklich erforderlich ist. Und „erforderlich” ändert sich im Lauf des Verfahrens.
Die Aufsichtsbehörden gehen von einem dreistufigen Fragerecht aus:
| Phase | Was Sie fragen dürfen | Was tabu bleibt |
|---|---|---|
| Bei der Besichtigung | Name, Kontaktdaten, Personenzahl, gewünschter Einzugstermin | Einkommen, Bonität, Kontodaten |
| Bei ernsthaftem Interesse | Beruf, Arbeitgeber, Einkommen (Größenordnung), Mietzahlung im bisherigen Verhältnis | SCHUFA-Detailauskunft, Gehaltsnachweise |
| In der engeren Wahl / vor Abschluss | SCHUFA / Bonität, Einkommensnachweise, Mietschuldenfreiheitsbescheinigung | – |
Das heißt im Klartext: Der Fragebogen, der bei der Besichtigung an alle verteilt wird, darf nicht schon nach Einkommen, Kontostand oder SCHUFA fragen. Diese Daten sind erst relevant, wenn es um konkret diese eine Person geht.
Diese Fragen sind immer unzulässig
Unabhängig von der Phase gibt es Fragen, die nie zulässig sind, weil sie mit der Eignung als Mieter nichts zu tun haben:
- Religion, Konfession, Weltanschauung. Besondere Daten nach Art. 9 DSGVO – tabu.
- Schwangerschaft und Familienplanung. Keine zulässige Auswahlfrage.
- Vorstrafen, laufende Ermittlungsverfahren. Gehören nicht in die Selbstauskunft.
- Partei- oder Gewerkschaftszugehörigkeit. Besondere Daten – unzulässig.
- Krankheiten, Behinderung (soweit nicht für Barrierefreiheit nötig). Gesundheitsdaten sind besonders geschützt.
- Name und Kontakt des bisherigen Vermieters. Nach Auffassung mehrerer Behörden nicht erforderlich – der Vermieter ist nicht zur Auskunft befugt.
2026 sind mehrere Verfahren wegen unzulässiger Datenerhebung in digitalen Mieterselbstauskünften und irreführender Werbung mit „SCHUFA-Pflicht" bekannt geworden. Wer mit Standardformularen oder Bewerbungsportalen arbeitet, die zu viel abfragen, riskiert Abmahnungen und Bußgelder. Lassen Sie Ihr Formular prüfen.
Und vergessen Sie den Datenschutzhinweis nicht: Auf jede Selbstauskunft gehört eine Information nach Art. 13 DSGVO – wer erhebt, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange gespeichert wird und welche Rechte der Interessent hat.
Bonitätsprüfung und SCHUFA: erlaubt, aber nicht für jeden
Dürfen Sie eine SCHUFA-Auskunft verlangen? Ja – aber nicht von jedem und nicht zu jedem Zeitpunkt. Die Rechtsgrundlage ist das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO): Der Vermieter hat ein legitimes Interesse daran, einen zahlungsfähigen Mieter auszuwählen.
Dieses Interesse besteht aber nur gegenüber der Person, mit der Sie konkret abschließen wollen – also nach der Vorauswahl, nicht beim ersten Rundgang. Eine Bonitätsabfrage von 40 Besichtigungsgästen ist nicht „erforderlich” und damit nicht zulässig.
- Schritt 1: Vorauswahl ohne Bonitätsdaten treffen – auf Basis von Personenzahl, Einzugstermin, allgemeiner Eignung.
- Schritt 2: Bei der engeren Wahl (ein bis drei Kandidaten) Einkommensnachweis und Bonität anfordern.
- Schritt 3: SCHUFA-Auskunft oder vergleichbaren Bonitätsnachweis nur von der Person einholen, mit der Sie abschließen wollen.
- Schritt 4: Bonitätsdaten der abgelehnten Kandidaten unverzüglich löschen.
Wichtig: Ein einzelner SCHUFA-Score ist kein hinreichender Ablehnungsgrund und ersetzt keine Einzelfallprüfung. Und die kostenlose Datenkopie nach Art. 15 DSGVO, die viele Interessenten vorlegen, enthält oft mehr Informationen, als Sie als Vermieter überhaupt verarbeiten dürfen – nehmen Sie davon nur die für die Bonität relevanten Teile zur Kenntnis.
WEG-Verwaltung: Eigentümerlisten und Beschluss-Sammlung
Die WEG-Verwaltung hat eigene Spielregeln. Hier ist die Datenverarbeitung in weiten Teilen schon durch das Wohnungseigentumsgesetz vorgegeben – die DSGVO ist also weniger streng, als viele Verwalter fürchten.
Eigentümerliste: Jeder Wohnungseigentümer hat nach § 18 Abs. 4 WEG ein umfassendes Einsichtsrecht in die Verwaltungsunterlagen, und dazu gehört die Eigentümerliste. Die Weitergabe von Name und Anschrift an andere Eigentümer ist über das berechtigte Interesse der Gemeinschaft gedeckt – eine Einwilligung brauchen Sie dafür nicht. Der Verwalter ist allerdings nur zur Bereitstellung einer aktuellen Liste mit Namen und Anschriften verpflichtet, nicht zur Herausgabe von E-Mail-Adressen oder Telefonnummern.
Daten aus der Eigentümerliste dürfen nur für Zwecke der Gemeinschaft genutzt werden. Wer als Eigentümer die Liste für eigene Werbung oder eine Immobilien-Akquise zweckentfremdet, verstößt gegen die Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO). Weisen Sie bei der Herausgabe schriftlich darauf hin.
E-Mail-Versand an Eigentümer: Wenn Sie Einladungen oder Protokolle per E-Mail an alle Eigentümer schicken, setzen Sie die Adressen ins BCC, nicht ins offene CC. Ein Verteiler im offenen CC legt alle E-Mail-Adressen gegenüber allen offen – ein klassischer, vermeidbarer Datenschutzverstoß.
Beschluss-Sammlung und Hausgeldrückstände: Die Führung der Beschluss-Sammlung ist gesetzliche Pflicht und damit zulässig. Auch das Geltendmachen von Hausgeldrückständen – inklusive der Nennung gegenüber der Gemeinschaft, soweit für die Beschlussfassung nötig – ist vom berechtigten Interesse gedeckt. Übertreiben Sie es aber nicht: Eine namentliche „Schuldnerliste” am schwarzen Brett ist nicht erforderlich und damit unzulässig.
Löschen statt horten: Interessenten- und Bewerberdaten
Hier liegt der zweite große Schwachpunkt der Branche. Nach einer Vermietung bleiben oft Dutzende Selbstauskünfte abgelehnter Bewerber im Ordner oder im Postfach liegen – „könnte man ja nochmal brauchen”. Genau das ist der Verstoß.
Sobald die Wohnung vergeben ist, entfällt der Zweck für die Speicherung der Absage-Daten. Die Unterlagen sind dann zu löschen oder datenschutzgerecht zu vernichten. Eine knappe Aufbewahrung für eventuelle Nachrücker ist vertretbar, eine dauerhafte Interessenten-Kartei ohne ausdrückliche Einwilligung ist es nicht.
| Datenkategorie | Aufbewahrung | Grundlage |
|---|---|---|
| Selbstauskunft abgelehnter Bewerber | Löschen nach Vermietung (ggf. kurze Nachrücker-Frist) | Zweckwegfall, Art. 17 DSGVO |
| Mietvertrag und Mieterakte | Während des Mietverhältnisses + Verjährungs-/Aufbewahrungsfristen | Vertrag, gesetzliche Pflichten |
| Steuer- und Buchungsbelege (Abrechnungen) | bis zu 10 Jahre | § 147 AO / § 257 HGB |
| WEG-Verwaltungsunterlagen | nach WEG-rechtlichen Vorgaben | gesetzliche Pflicht |
Diese Fristen gehören in ein Löschkonzept – eine Übersicht, die für jede Datenart sagt, wann gelöscht wird und wer es macht. Wie Sie das schlank aufsetzen, zeigen wir Schritt für Schritt im Beitrag Löschkonzept nach DSGVO erstellen.
Dienstleister: Verwaltungssoftware, Mahnwesen, Handwerker
Kaum eine Verwaltung arbeitet ohne externe Dienstleister. Und sobald einer davon in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Typische Fälle:
- die Cloud-Verwaltungssoftware, in der Mieter- und Eigentümerdaten liegen
- ein externes Mahnwesen oder Inkassobüro
- der Messdienst für Heiz- und Wasserkostenabrechnung
- die IT-Wartung mit Fernzugriff auf die Server
- ein externer Buchhaltungsdienstleister
Ohne AVV ist die Datenweitergabe formal rechtswidrig – auch wenn der Dienstleister sorgfältig arbeitet. Achten Sie zusätzlich darauf, wo die Server stehen: Liegen Mieterdaten bei einem US-Anbieter, brauchen Sie eine Grundlage für den Drittlandtransfer. Worauf Sie bei der AVV-Prüfung achten müssen, lesen Sie in unserem Leitfaden AVV prüfen – mit Muster und Checkliste.
Ein Handwerker, der eine Reparatur in der Wohnung ausführt und dafür Name und Telefonnummer des Mieters bekommt, handelt meist eigenverantwortlich – kein klassischer AVV-Fall, sondern eine Datenübermittlung auf Basis berechtigten Interesses. Bei der Verwaltungssoftware ist es dagegen eindeutig Auftragsverarbeitung. Im Zweifel kurz prüfen lassen.
Aus der Praxis
Für uns ist wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen. Bei einer Hausverwaltung heißt das konkret: ein sauberes Selbstauskunfts-Formular, ein klares Löschkonzept und die AVVs mit der Software – und der Vermietungsalltag läuft weiter wie bisher, nur eben rechtssicher.
Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo
Ihr pragmatischer Fahrplan
Sie müssen nicht alles auf einmal machen. Diese Reihenfolge hat sich bei unseren Hamburger Mandanten bewährt:
- Selbstauskunft entschärfen. Standardformular prüfen, alle unzulässigen Fragen streichen, Datenschutzhinweis nach Art. 13 DSGVO ergänzen.
- Gestuftes Verfahren einführen. Bonität und SCHUFA erst in der engeren Wahl – nicht bei jeder Besichtigung.
- Löschkonzept erstellen. Absage-Daten nach Vermietung löschen, Fristen für Akten und Belege festhalten.
- AVVs einsammeln. Mit Verwaltungssoftware, Messdienst, Mahnwesen, IT-Wartung – fehlende nachfordern.
- Verarbeitungsverzeichnis anlegen. Übersicht aller Verarbeitungen (Mieter, Eigentümer, Interessenten, Dienstleister).
- Technische Basics. Verschlüsselter Versand sensibler Dokumente, BCC bei Sammel-Mails, Zugriffsrechte in der Software begrenzen.
Mit der DSGVO-Software Hugo DSB läuft das halb automatisiert: Das Verarbeitungsverzeichnis bringt über 400 Vorlagen mit, die AVV-Bibliothek und das Löschkonzept sind hinterlegt, und der Datenpannen-Wizard mit 72-Stunden-Tracker greift, falls doch einmal etwas schiefgeht. Wie genau ein externer DSB für Sie arbeitet, sehen Sie auf unserer Datenschutz-Übersichtsseite und auf der Startseite mit Angebotsrechner.
Datenschutz in Ihrer Hausverwaltung in 7 Werktagen startklar.
TÜV-zertifizierter externer DSB, feste monatliche Tarife ab 79 € netto, 0 € Bußgelder in unserer Mandantschaft. Wir prüfen Ihre Selbstauskunft, Ihre Dienstleister-Verträge und Ihr Löschkonzept – pragmatisch und ohne Juristendeutsch.
Kostenloses Erstgespräch buchen →Häufige Fragen (FAQ)
Braucht eine Hausverwaltung einen Datenschutzbeauftragten?
Nicht automatisch. Pflicht wird der Datenschutzbeauftragte erst, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Viele Verwaltungen liegen knapp darunter. Wegen des hohen Datenvolumens – Mieter, Eigentümer, Handwerker, Interessenten – lohnt sich ein externer DSB aber oft trotzdem, und die übrigen DSGVO-Pflichten gelten ohnehin ab dem ersten Datensatz.
Welche Fragen darf ich in der Mieterselbstauskunft stellen?
Das Fragerecht ist gestuft. Vor Vertragsschluss sind nur Angaben zulässig, die für die Auswahlentscheidung wirklich erforderlich sind: Name, Anschrift, Personenzahl, Beruf und – bei ernsthaftem Interesse – Einkommen und Bonität. Unzulässig sind Fragen nach Religion, Schwangerschaft, Familienplanung, Vorstrafen, Partei- oder Gewerkschaftszugehörigkeit, Krankheiten oder dem bisherigen Vermieter. Detaillierte Angaben zur Bonität darf der Vermieter erst nach Abschluss der engeren Wahl verlangen.
Darf ich von Mietinteressenten eine SCHUFA-Auskunft verlangen?
Ja, aber erst bei ernsthaftem Vertragsinteresse, nicht von jedem Besichtigungsgast. Die Bonitätsprüfung stützt sich auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO), zahlungsfähige Mieter auszuwählen. Erforderlich ist sie nur bei der Person, mit der Sie konkret den Vertrag schließen wollen. Ein SCHUFA-Score allein ist kein hinreichender Ablehnungsgrund, und die Auskunft darf nicht massenhaft auf Vorrat eingeholt werden.
Muss die WEG-Verwaltung die Eigentümerliste herausgeben?
Jeder Wohnungseigentümer hat ein Einsichtsrecht in die Verwaltungsunterlagen, dazu gehört die Eigentümerliste (§ 18 Abs. 4 WEG). Die Verwaltung muss eine aktuelle Liste mit Namen und Anschrift bereitstellen – die Weitergabe stützt sich auf das berechtigte Interesse der Gemeinschaft. Nicht herausgeben muss sie dagegen E-Mail-Adressen oder Telefonnummern, und die Daten dürfen nicht für Werbung zweckentfremdet werden.
Wie lange darf ich Daten abgelehnter Mietinteressenten speichern?
Nur so lange, wie ein Zweck besteht. Sobald die Wohnung vermietet ist, entfällt der Grund für die Speicherung der Absage-Bewerber. Die Unterlagen sind dann zu löschen oder zu vernichten – in der Regel zeitnah nach der Vermietung, längstens nach wenigen Monaten, falls noch Rückfragen oder Nachrücker denkbar sind. Eine dauerhafte Interessenten-Kartei ohne Einwilligung ist nicht zulässig.
Brauche ich mit meiner Verwaltungssoftware einen AVV?
Ja. Sobald ein externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet – Cloud-Verwaltungssoftware, externes Mahnwesen, Messdienst, IT-Wartung –, brauchen Sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Ohne AVV ist die Datenweitergabe formal rechtswidrig, auch wenn der Dienstleister sorgfältig arbeitet.
Recherche-Stand: verifiziert am 26.05.2026 über dsgvo-gesetz.de (§ 38 BDSG, Art. 6 / 13 / 17 DSGVO), gesetze-im-internet.de (BDSG, § 18 WEG), datenschutz-hamburg.de (HmbBfDI) sowie Fachbeiträge von dr-datenschutz.de und haufe.de zur Hausverwaltung und WEG.
Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)
Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)
Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.