Datenschutzentzug: Wenn Unternehmen die DSGVO ignorieren
Datenschutz ist für Immobilieneigentümer, die aktuell eine neue Hausverwaltung suchen, kein abstraktes Rechtsthema – sondern ein konkretes, praktisches Risiko. Werden personenbezogene Daten durch die beauftragte Verwaltung unzureichend geschützt oder entgegen gesetzlicher Vorgaben verarbeitet, entstehen schnell finanzielle Schäden, ein Imageverlust und rechtliche Konsequenzen für den Eigentümer. In diesem ausführlichen Artikel erläutern wir, was unter dem bildhaften Begriff „Datenschutzentzug“ zu verstehen ist, welche rechtlichen Grundlagen relevant sind, welche typischen Fehler Hausverwaltungen begehen, welche Folgen sich daraus für Eigentümer ergeben und wie Sie systematisch und prüfsicher bei der Auswahl und Kontrolle von Verwaltungen vorgehen können.
Hinweis: Dieser Artikel ersetzt keine rechtliche Beratung. Bei konkreten Fällen sollten Sie einen Fachanwalt für Datenschutzrecht oder die zuständige Aufsichtsbehörde kontaktieren.
Was versteht man unter „Datenschutzentzug“?
„Datenschutzentzug“ ist keine juristische Kategorie der DSGVO, sondern eine prägnante, bildhafte Beschreibung eines Zustands: Ein Unternehmen – bewusst oder durch Nachlässigkeit – entzieht betroffenen Personen faktisch ihre Schutzrechte, indem es personenbezogene Daten unzureichend sichert, kontrollmechanismen missachtet oder die gesetzlichen Anforderungen nicht einhält. Für Hausverwaltungen betrifft das regelmäßig folgende Datenarten:
– Stammdaten von Mietern und Eigentümern (Name, Anschrift, Geburtsdatum)
– Zahlungs- und Bankverbindungen
– Kontaktdaten (E-Mail, Telefonnummer)
– Mietverträge, Nebenkostenabrechnungen, Abrechnungsbelege
– Schadensmeldungen, Fotos von Gebäudeschäden
– Zugangsdaten, Schlüsselverwaltung, Zutrittsprotokolle
– Gesundheits- oder Bonitätsdaten, soweit erhoben
Praktisch äußert sich „Datenschutzentzug“ in Szenarien wie offen zugänglichen Excel-Tabellen im Internet, unverschlüsselten E-Mails mit Kontoverbindungen, fehlenden Löschkonzepten oder dem Einsatz von Fremdsoftware ohne Vertragsgrundlage. Verantwortliche und Auftragsverarbeiter verlieren damit die Kontrolle über die Daten, und Betroffene werden ihrer Rechte – etwa Auskunft oder Löschung – beraubt.
Rechtliche Grundlagen und Verantwortlichkeiten
Die Datenschutz-Grundverordnung (DSGVO) ist die zentrale Rechtsquelle. Für Eigentümer und Hausverwaltungen sind insbesondere folgende Elemente wichtig:
– Verantwortlicher vs. Auftragsverarbeiter: Nach DSGVO ist festzulegen, wer die Zwecke und Mittel der Verarbeitung bestimmt (Verantwortlicher, Art. 4 Nr. 7) und wer in dessen Auftrag tätig wird (Auftragsverarbeiter, Art. 4 Nr. 8). Eigentümer sind häufig Verantwortliche; die Hausverwaltung kann Verantwortlicher oder Auftragsverarbeiter sein – abhängig von der vertraglichen Regelung und der tatsächlichen Praxis.
– Art. 28 DSGVO – Auftragsverarbeitung: Liegt eine Auftragsverarbeitung vor, muss ein schriftlicher Auftragsverarbeitungsvertrag (AVV) bestehen, der die Verarbeitung regelt (Unterauftragsverhältnisse, Weisungsbefugnis, TOMs, Auditrechte usw.).
– Rechenschaftspflicht (Art. 5 Abs. 2): Verantwortliche müssen die Einhaltung der Grundsätze nachweisen können (z. B. mittels Verzeichnis von Verarbeitungstätigkeiten, Löschkonzepten, DPIAs).
– Datenschutz-Folgenabschätzung (Art. 35): Bei risikoreichen Verfahren (z. B. umfangreiche Datenverarbeitung von Mietern über längere Zeit, Profiling) ist eine DPIA erforderlich.
– Meldepflichten bei Datenschutzverletzungen (Art. 33, 34): Verletzungen des Schutzes personenbezogener Daten sind binnen 72 Stunden an die Aufsichtsbehörde zu melden; betroffene Personen sind zu informieren, wenn ein hohes Risiko besteht.
Für Eigentümer bedeutet das: Wenn Sie Auftragsverarbeiter beauftragen, müssen Sie sorgfältig prüfen, vertraglich regeln und nachweisen, dass die Verarbeitung DSGVO-konform erfolgt.
Typische DSGVO-Fehler bei Hausverwaltungen — detailliert
Aus der Praxis lassen sich zahlreiche wiederkehrende Mängel und Fehler beschreiben. Im Folgenden werden diese vertieft und mit Beispielen versehen.
1. Fehlende oder mangelhafte Auftragsverarbeitungsverträge (AVV)
– Kein AVV mit Subunternehmerregelung: Die Verwaltung nutzt Cloud-Software oder externe Dienstleister, ohne dies vertraglich zu regeln.
– Unklare Weisungsbefugnis: Es ist nicht dokumentiert, ob die Verwaltung eigenständig über Zwecke der Verarbeitung entscheidet oder nur im Auftrag des Eigentümers handelt.
2. Unzureichende technische und organisatorische Maßnahmen (TOMs)
– Keine Verschlüsselung in Transit und at-rest: E-Mails mit Kontoangaben werden unverschlüsselt versendet; Backups liegen unverschlüsselt in der Cloud.
– Schwache Zugriffskontrolle: Ein gemeinsames Passwort für mehrere Mitarbeitende, fehlende Multi-Faktor-Authentifizierung (MFA).
– Fehlende Protokollierung und Monitoring: Keine Audit-Logs, sodass bei einem Vorfall nicht nachvollzogen werden kann, wer wann Daten abgerufen hat.
3. Keine Lösch- und Speicherfristen
– Dauerhafte Speicherung von Bewerber- oder Mieterdaten ohne Löschkonzepte.
– Keine Prozesse zur regelmäßigen Datenbereinigung.
4. Mangelnde Transparenz gegenüber Betroffenen
– Unvollständige oder schwer auffindbare Datenschutzhinweise.
– Fehlende Information über die eingesetzten Subunternehmer (z. B. Softwareanbieter, Inkassodienstleister).
5. Unzureichende Mitarbeiterschulung
– Personal ist nicht sensibilisiert für Phishing, Social Engineering oder den Umgang mit Anfragen nach Auskunft.
– Keine regelmäßigen Trainings oder Awareness-Maßnahmen.
6. Einsatz unsicherer Kommunikationskanäle
– Verwendung privater Messenger (WhatsApp) für personenbezogene Daten statt gesicherter Systeme.
– Nutzung externer Festplatten oder USB-Sticks ohne Verschlüsselung.
7. Fehlende oder unzureichende Notfall- und Wiederherstellungsverfahren
– Keine disaster-recovery-Strategie, keine regelmäßigen Backuptests.
– Kein Incident-Response-Plan mit klar definierten Verantwortlichkeiten.
8. Unzureichende Verträge zu Subprozessoren
– Keine Liste der Subprozessoren, keine Prüfung ihrer Sicherheitsmaßnahmen.
Beispiele aus der Praxis: Eine Verwaltung schickt Nebenkostenabrechnungen mit kompletten Bankverbindungen per Sammel-E-Mail an alle Eigentümer; eine andere speichert Mietverträge auf einem frei zugänglichen Dateiserver. Solche Fälle führen schnell zu Datenschutzverletzungen.
Konsequenzen für Eigentümer: Haftung, Finanzen, Reputation
Die Folgen eines „Datenschutzentzugs“ sind vielfältig:
– Bußgelder: Aufsichtsbehörden können erhebliche Geldbußen verhängen. Die Höhe hängt vom Umfang des Verstoßes, der Schwere und der Sorgfalt des Verantwortlichen ab.
– Schadensersatzansprüche: Betroffene (Mieter, Bewerber) können nachgewiesene Schäden geltend machen; auch immaterielle Schäden sind erstattungsfähig.
– Betriebs- und Vertragsstörungen: Verlust oder Manipulation von Daten erschweren Abrechnungen, verlängern Bearbeitungszeiten und erzeugen Mehraufwand.
– Reputationsverlust: Öffentlich bekannt gewordene Verstöße führen zu Vertrauensverlust bei Mietern und potenziellen Käufern.
– Vertragsrechtliche Folgen: Fehlt ein wirksamer AVV, sind Vertragsstrafen oder Schadensersatz gegenüber Dritten möglich; zudem drohen Kündigungen durch Eigentümergemeinschaften.
– Erhöhte Versicherungskosten: Versicherungen können Prämien anheben oder Deckungen einschränken, wenn ein Anbieter wiederholt unsichere Praktiken zeigt.
Wichtig: Auch wenn die Hausverwaltung die unmittelbare technische Ursache war, kann der Eigentümer als Verantwortlicher in die Pflicht genommen werden, wenn er seiner Auswahl- und Überwachungspflicht nicht nachgekommen ist.
Praktische, erweiterte Checkliste: So prüfen Sie DSGVO-Konformität einer Hausverwaltung
Die folgende Checkliste können Sie in Gesprächen mit potenziellen Verwaltungen einsetzen. Bestehen Sie auf Nachweisen und dokumentieren Sie die Antworten schriftlich.
A. Organisatorisches und Governance
– Ist ein Datenschutzbeauftragter benannt (intern oder extern)? Seit wann? Bitte Kontaktdaten zeigen.
– Gibt es eine Datenschutzerklärung und sind die Verantwortlichkeiten intern dokumentiert?
– Verfügt die Verwaltung über ein Verzeichnis von Verarbeitungstätigkeiten (ROPA)? Lassen Sie sich eine anonymisierte Zusammenfassung zeigen.
B. Verträge
– Liegt ein Muster-Auftragsverarbeitungsvertrag vor? Enthält er Regelungen zu Weisungsrechten, Unterauftragsverarbeitern, Auditrechten, Sicherheitsmaßnahmen und Haftung?
– Werden Subunternehmer eingesetzt? Gibt es eine Liste der Subprozessoren und deren Sicherheitsnachweise?
– Ist die Haftung im AVV klar geregelt (Haftungshöhe, Haftungsausschlüsse)?
C. Technische Maßnahmen (TOMs)
– Verschlüsselung: E-Mails (TLS/End-to-End), Datenbanken und Backups sind verschlüsselt?
– Authentifizierung: Einsatz von MFA für Zugänge zu Verwaltungssoftware?
– Zugangskontrollen: Rollenkonzepte, Least-Privilege-Prinzip, regelmäßige Berechtigungsüberprüfungen?
– Logging & Monitoring: Werden Zugriffe protokolliert, und wie lange werden Logs aufbewahrt?
– Patch-Management: Gibt es ein dokumentiertes Update- und Patchverfahren?
– Netzwerksicherheit: Firewalls, Segmentierung, VPN für Remote-Zugriffe?
– Backups & Wiederherstellung: Regelmäßige Backups, getestete Restore-Verfahren?
D. Organisatorische Maßnahmen
– Schulungen: Wie oft finden Datenschutz- und IT-Security-Schulungen statt? Liegen Nachweise vor?
– Incident Response: Gibt es einen dokumentierten Incident-Response-Plan mit Meldewegen und Zeitplänen?
– Löschkonzept: Sind Aufbewahrungsfristen definiert, gibt es automatisierte Löschprozesse?
– Einstellung und Kontrolle von Mitarbeitern: Hintergrundprüfungen, Vertraulichkeitsvereinbarungen?
E. Dokumentation und Nachweise
– Können Sie Auszüge aus AVV, TOM-Beschreibungen, Schulungsnachweisen, Backup-Tests und Penetrationstest-Berichten sehen (ggf. in redigierter Form)?
– Wird eine Datenschutz-Folgenabschätzung (DPIA) durchgeführt, und wenn ja, können die Ergebnisse eingesehen werden?
F. Kommunikation und Umgang mit Dritten
– Welche Kommunikationskanäle werden für sensible Informationen genutzt? Sind private Messenger erlaubt?
– Sind Prozesse für Benachrichtigung betroffener Personen bei Verletzungen definiert?
G. Operative Fragen
– Wie wird die Schlüssel- und Zutrittsverwaltung gehandhabt?
– Wie erfolgt die Übergabe von Daten bei Beendigung des Vertrags (Datenexport, Löschung bei Dienstende)?
Fordern Sie schriftliche Nachweise an: Auszug aus dem AVV, technische Beschreibungen der TOMs, Schulungspläne, Berichte über Audits, Liste der Subprozessoren. Fehlt die Bereitschaft, solche Nachweise vorzulegen, ist das ein ernstzunehmendes Warnsignal.
Was genau in einem Auftragsverarbeitungsvertrag (AVV) stehen sollte
Ein AVV nach Art. 28 DSGVO ist ein Kerninstrument. Wichtige Inhaltsbestandteile:
– Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen.
– Pflichten und Rechte des Verantwortlichen; Weisungen; ggf. Vereinbarung, dass der Auftragsverarbeiter nur auf dokumentierte Weisung handelt.
– Unterauftragsverarbeiter: Regelung zur Einwilligung des Verantwortlichen oder verpflichtender Informationspflicht und Vertragsübernahmepflicht.
– Technische und organisatorische Maßnahmen: Detaillierte Beschreibung der Sicherheitsmaßnahmen (Verschlüsselung, Zugriffskontrollen, Backups).
– Unterstützungspflichten: Unterstützung des Verantwortlichen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen, Meldungen von Datenschutzverletzungen.
– Rückgabe und Löschung: Regelung zur Rückgabe oder Löschung personenbezogener Daten nach Ende des Vertrags.
– Audit- und Inspektionsrechte: Rechte des Verantwortlichen, Prüfungen durchzuführen oder Prüfungsberichte zu verlangen.
– Haftung und Datenschutzversicherung: Klare Haftungsregeln, Regelung zu Versicherungsschutz für Datenschutzvorfälle.
Achten Sie auf zu allgemeine oder pauschale Formulierungen. Präzision schützt Sie im Streitfall.
Roter Alarm: Warnsignale, bei denen Sie die Zusammenarbeit nicht eingehen sollten
Sofortiges Abbruchkriterium oder Grund für intensive Prüfung:
– Keine oder vage Antworten auf die oben stehenden Fragen.
– Weigerung, einen AVV zu unterzeichnen oder nur Versuch, diese Punkte „nachträglich“ zu regeln.
– Kein Verantwortlicher für Datenschutz benannt.
– Unklare oder intransparente Subunternehmer-Strukturen.
– Keine Notfallpläne oder Wiederherstellungsverfahren.
– Systematische Nutzung unsicherer Kanäle (Privat-WhatsApp, unverschlüsselte Sammel-Mails).
– Keine oder nur oberflächliche Schulungen für Mitarbeiter.
Wenn Sie mehrere dieser Signale feststellen, sollten Sie die Zusammenarbeit ablehnen oder mindestens deutlich strengere vertragliche Garantien und Nachweise einfordern.
Was tun, wenn Sie einen Verstoß vermuten — Schritt-für-Schritt-Anleitung
1. Sofort dokumentieren
– Screenshots, E-Mails, Zugriffsprotokolle, Datenauskünfte, Fotos von offen zugänglichen Dokumenten.
– Datum, Uhrzeit, beteiligte Personen und eine knappe Sachverhaltsdarstellung.
2. Schriftliche Aufforderung an die Hausverwaltung
– Fordern Sie eine schriftliche Stellungnahme und Maßnahmenbeschreibung innerhalb einer klaren Frist (z. B. 7 Werktage).
3. Prüfung des AVV und Vertragsstatus
– Prüfen Sie, ob die Vorfälle gegen vereinbarte AVV-Klauseln verstoßen; ggf. fristlose oder ordentliche Kündigung prüfen.
4. Incident-Response
– Gemeinsame Abklärung, welche Daten betroffen sind, welches Risiko für Betroffene besteht.
– Ggf. sofortige Maßnahmen einleiten: Zugänge ändern, Passwörter zurücksetzen, betroffene Systeme isolieren.
5. Benachrichtigung der Aufsichtsbehörde
– Wenn es sich um eine meldepflichtige Datenschutzverletzung handelt, melden Sie diese binnen 72 Stunden an die zuständige Aufsichtsbehörde (ggf. mit externer juristischer Unterstützung).
6. Information der Betroffenen
– Bei hohem Risiko für die Rechte und Freiheiten der Betroffenen müssen diese informiert werden; die Mitteilung sollte klare Hinweise zu Schutzmaßnahmen enthalten.
7. Externe Beratung einschalten
– Bei größeren Vorfällen empfiehlt sich ein externer IT-Forensiker und juristischer Beistand, um Schäden zu begrenzen und rechtssichere Dokumentation sicherzustellen.
8. Nachbearbeitung und Prävention
– Ursachenanalyse durchführen, Schwachstellen beheben, Prozesse aktualisieren, ggf. Vertragsstrafen geltend machen und Versicherung einschalten.
Tipp: Halten Sie Musterformulare für Meldungen und Betroffeneninformation bereit, damit Sie im Ernstfall schnell und korrekt reagieren können.
Operative Maßnahmen, die Sie vertraglich und praktisch durchsetzen sollten
– Auditrechte verankern: Vereinbaren Sie das Recht auf periodische Audits oder die Vorlage von Prüfberichten (z. B. ISO 27001, SOC-Reports).
– Pflicht zu Penetrationstests: Regelmäßige Sicherheitsüberprüfungen durch Dritte (mind. jährlich).
– Nachweis über Backups und Restore-Tests: Belegen, dass Backups regelmäßig getestet werden.
– Datenschutz-Folgenabschätzung: Bei risikoreichen Verarbeitungsvorgängen DPIA verlangen und jährliche Überprüfung.
– Sensibilisierung der Mieter: Fordern Sie Informationsblätter und Hinweise an Mieter, wie sie ihre Daten schützen können.
– Versicherung: Prüfen Sie, ob die Verwaltung eine Cyber-/Datenschutzversicherung hat und für welche Schäden diese deckt.
Praktische Tipps zur Auswahl einer zuverlässigen Hausverwaltung
– Prüfen Sie Referenzen und fragen Sie gezielt nach Datenschutzvorfällen in der Vergangenheit und dem Umgang damit.
– Vergleichen Sie mehrere Anbieter und fordern Sie ein schriftliches Datenschutzkonzept an.
– Verhandeln Sie klare SLA (Service Level Agreements) für Reaktionszeiten bei Incidents.
– Binden Sie Datenschutzkriterien in den Vergabeprozess ein (Scoring-Modell).
– Führen Sie bei Vertragsabschluss ein Onboarding durch, in dem technische Zugänge, Schnittstellen, Passwörter und Verantwortlichkeiten dokumentiert werden.
– Planen Sie jährliche Reviews der Datenschutz- und Sicherheitslage ein.
Versicherung und finanzielle Absicherung
Erwägen Sie, ob eine Cyber- bzw. Datenschutzversicherung sinnvoll ist — sowohl für Ihre Eigentümergemeinschaft als auch als vertragliche Anforderung an die Verwaltung. Eine Versicherung kann Kosten für Forensik, Benachrichtigung, Reputationsmanagement und etwaige Entschädigungen abdecken. Achten Sie auf Deckungssummen, Deckungsumfang (z. B. Datenschutzverletzungen, Betriebsunterbrechung) und Selbstbeteiligung.
Praxisbeispiele und Lessons Learned
– Beispiel 1: Unverschlüsselte E-Mail mit Kontoangaben führt zu Betrug: Nachdem eine Sammel-E-Mail mit Kontodaten abgefangen wurde, wurden Überweisungen auf falsche Konten getätigt. Lesson: Keine sensiblen Zahlungsdaten per E-Mail ohne Verschlüsselung und strikte Authentifizierungsprozesse bei Zahlungsänderungen (telefonische Rückbestätigung, Zwei-Faktor).
– Beispiel 2: Cloud-Software ohne AVV: Eine Verwaltung nutzte eine cloudbasierte Software, ohne einen AVV mit dem Anbieter abzuschließen. Nach einem Datenverlust war nicht klar, wer für die Wiederherstellung verantwortlich war. Lesson: Subprozessoren und Cloud-Dienste vertraglich regeln, Sicherheitsnachweise verlangen.
– Beispiel 3: Keine Löschfristen: Ehemalige Mieterdaten wurden jahrelang gespeichert, was zu Auskunftsanfragen und zusätzlichem Verwaltungsaufwand führte. Lesson: Klare Aufbewahrungsrichtlinien und automatisierte Löschprozesse reduzieren Risiken.
Fazit: Datenschutz als zentrales Qualitätsmerkmal
Datenschutz ist weit mehr als reine Rechtskonformität — er ist ein Qualitätsmerkmal, das Professionalität, Sorgfalt und Zuverlässigkeit signalisiert. Eine seriöse Hausverwaltung zeigt Transparenz in Prozessen, kann technische und organisatorische Maßnahmen belegen, hat Audit- und Notfallprozesse implementiert und unterschreibt notwendige Verträge wie den AVV. Als Eigentümer sollten Sie Datenschutz bewusst in die Auswahlkriterien aufnehmen, regelmäßig kontrollieren und Nachweise verlangen. Wer hier nachlässig ist, riskiert Bußgelder, operative Störungen und nachhaltige Reputationsschäden.
Nochmals der Hinweis: Dieser Artikel gibt allgemeine Informationen. Bei konkreten Rechtsfragen oder größeren Datenschutzvorfällen sollten Sie spezialisierten rechtlichen Beistand und IT-Forensiker hinzuziehen.
Autor:
Florian Schöberl.
Geschäftsführer und Inhaber
Besser Wohnen GmbH, Opelstr. 8c, 68789 St. Leon - Rot, https://besser-wohnen.de