Die DSGVO hat die Verwaltung von Wohnungseigentümergemeinschaften (WEG) grundlegend verändert. Wer heute eine Immobilie verwaltet, muss nicht nur Mieten einziehen und Reparaturen koordinieren - er muss auch sicherstellen, dass alle Daten der Eigentümer rechtskonform behandelt werden. Das ist kein optionaler Zusatzjob. Es ist eine rechtliche Pflicht. Und wer sie ignoriert, riskiert Bußgelder von bis zu 45.000 Euro.
Wer ist eigentlich verantwortlich? Der Verwalter - nicht die WEG
Viele Eigentümer denken, dass die Gemeinschaft als Ganzes für den Datenschutz verantwortlich ist. Das ist falsch. Nach deutscher Rechtsprechung - bestätigt vom Bundesgerichtshof und Experten wie Prof. Dr. Thomas Hoeren - ist der Hausverwalter alleiniger Verantwortlicher im Sinne der DSGVO. Das bedeutet: Er entscheidet, welche Daten er erhebt, wie lange er sie speichert und an wen er sie weitergibt. Die WEG gibt ihm lediglich den Auftrag, die Immobilie zu verwalten. Sie ist kein Mitverantwortlicher.
Diese klare Zuordnung hat Vorteile: Es gibt keine Verwirrung über Zuständigkeiten. Aber auch Nachteile: Der Verwalter trägt die volle Haftung. Wenn ein Datenleck passiert, wenn ein Eigentümer keine Informationen erhält, wenn Daten zu lange gespeichert werden - dann haftet der Verwalter. Keine WEG, kein Aufsichtsrat, keine Versicherung kann das abfedern.
Was darf der Verwalter überhaupt speichern?
Nicht alle Daten sind erlaubt. Der Verwalter braucht nur das, was er wirklich für seine Aufgaben braucht. Das sind:
- Identifikationsdaten: Name, Adresse, Telefonnummer, E-Mail
- Eigentumsanteile und Wohnungszuordnung
- Kontodaten für Hausgeld und Sonderumlagen
- Kontaktdaten von Mietern (wenn vorhanden)
- Gesundheitsdaten - nur wenn ein barrierefreier Umbau beantragt wird
Was nicht rein darf: Politische Überzeugungen, religiöse Zugehörigkeiten, genetische Daten - außer, sie sind unbedingt nötig. Und selbst dann nur mit strengsten Schutzmaßnahmen. Ein Beispiel: Wenn ein Eigentümer einen Treppenlift beantragt, reicht es, den Bedarf zu dokumentieren - nicht, warum er ihn braucht. Kein Grund, die Diagnose eines Arztes im Protokoll zu notieren.
Dokumentation ist Pflicht: Das Verarbeitungsverzeichnis
Jeder Verwalter muss ein Verarbeitungsverzeichnis führen - laut Artikel 30 DSGVO. Das ist kein Formsack, sondern eine lebende Datei. Sie muss enthalten:
- Welche Daten werden verarbeitet?
- Warum? (Rechtsgrundlage: meist Artikel 6 Abs. 1 lit. b - Vertragserfüllung)
- Wer bekommt die Daten? (Steuerberater, Handwerker, Versicherungen)
- Wie lange werden sie gespeichert?
- Welche Sicherheitsmaßnahmen gibt es?
Das Verzeichnis muss aktuell bleiben. Jedes Mal, wenn ein neuer Handwerker hinzukommt oder eine neue Software eingeführt wird, muss es aktualisiert werden. Viele Verwalter vergessen das - und zahlen später den Preis.
Speicherfristen: Nicht länger als nötig
Daten dürfen nicht ewig gespeichert werden. Die Fristen sind unterschiedlich:
- Eigentümerdaten: Bis zu 10 Jahre nach Beendigung des Verwaltungsverhältnisses (§ 195 BGB)
- Protokolle von Eigentümerversammlungen: Mindestens 10 Jahre (§ 28 WEG)
- Mietverträge: Bis zu 30 Jahre (Mietrecht)
- Rechnungen und Zahlungsnachweise: 10 Jahre (Steuerrecht)
Ein häufiger Fehler: Verwalter speichern alte Mietverträge von ehemaligen Mietern, die schon vor 15 Jahren ausgezogen sind. Das ist nicht erlaubt. Die Daten müssen automatisch gelöscht werden - entweder manuell oder mit Software, die das übernimmt.
IT-Sicherheit: Verschlüsselung ist kein Luxus
Die DSGVO verlangt angemessene technische und organisatorische Maßnahmen (Artikel 32). Das heißt konkret:
- E-Mails mit sensiblen Daten (z.B. Kontodaten, Rechnungen) müssen verschlüsselt sein - nicht per Standard-Email, sondern mit PGP oder sicheren Portalen.
- Zugriff auf Datenbanken muss passwortgeschützt und rollenbasiert sein. Der Hausmeister braucht nicht die Kontodaten der Eigentümer.
- Die Software muss Protokolle führen: Wer hat wann welche Daten geändert?
- Backups müssen verschlüsselt und an einem sicheren Ort gespeichert werden.
Einige Verwalter nutzen noch Excel-Tabellen oder einfache Word-Dokumente. Das ist ein Risiko. Die Landesbeauftragte für Datenschutz in Nordrhein-Westfalen hat 2024 in 68 % der geprüften Fälle unzureichende IT-Sicherheit festgestellt.
Informationspflicht: Eigentümer müssen Bescheid wissen
Artikel 13 DSGVO verlangt: Jeder Betroffene muss wissen, wie seine Daten verarbeitet werden. Das gilt für neue Eigentümer - und für bestehende, wenn sich etwas ändert.
Wenn ein neuer Verwalter antritt, muss er innerhalb von einem Monat eine Datenschutzerklärung an alle Eigentümer schicken. Sie muss enthalten:
- Wer ist der Verantwortliche?
- Welche Daten werden verarbeitet?
- Warum? (Rechtsgrundlage)
- Wer erhält die Daten?
- Wie lange werden sie gespeichert?
- Welche Rechte haben die Eigentümer? (Auskunft, Löschung, Widerspruch)
Die Realität? Laut einer Umfrage des VDV im September 2025 haben 41 % der Eigentümer diese Erklärung nie erhalten. Das ist ein klassischer Bußgeldfall - und oft der erste Schritt, den die Aufsichtsbehörden prüfen.
Protokolle von Eigentümerversammlungen: Weniger ist mehr
Bei jeder Versammlung wird protokolliert. Aber was muss wirklich rein?
Die Ergebnisse: Ja. Die Namen der Abstimmenden: Nein. Die Begründung für eine Sonderumlage: Ja. Der Gesundheitszustand des Antragstellers: Nein.
Ein typischer Fehler: Ein Eigentümer beantragt einen Treppenlift. Im Protokoll steht: „Herr Müller, 72 Jahre, leidet an Arthrose, benötigt Lift.“ Das ist nicht erlaubt. Es reicht: „Antrag auf barrierefreien Umbau wurde genehmigt.“
Der VDIV empfiehlt seit November 2024: Protokolle anonymisieren. Nur die Entscheidung zählt - nicht die Person. Wer das nicht macht, verarbeitet unrechtmäßig besondere Kategorien personenbezogener Daten - und riskiert hohe Strafen.
Videoüberwachung: Nur bei echtem Bedarf
Video-Kameras im Treppenhaus? Ganz klar: Nur, wenn ein nachweisbares berechtigtes Interesse besteht. Das heißt: Keine Überwachung „zur Abschreckung“. Es muss konkrete Hinweise auf Einbrüche, Sachbeschädigungen oder Belästigungen geben.
Und selbst dann: Die Kameras müssen gekennzeichnet sein, die Aufzeichnungen dürfen maximal 72 Stunden gespeichert werden - und nur von autorisierten Personen eingesehen werden. Die Landesdatenschutzbehörde Nordrhein-Westfalen hat 2024 in 68 % der Fälle Verstöße festgestellt - oft weil keine Rechtfertigung vorlag oder die Kameras nicht kenntlich gemacht waren.
Software: Die richtige Lösung spart Ärger
Die Zahl der DSGVO-zertifizierten Verwaltungssoftware hat sich von 15 im Jahr 2019 auf 87 im Jahr 2025 mehr als verfünffacht. Die Marktführer sind HausGold (28 %), Datev (22 %) und Immomio (18 %).
Was eine gute Software können muss:
- Automatische Löschfristen nach gesetzlichen Vorgaben
- Rollenbasierte Zugriffssteuerung
- Verschlüsselte Kommunikation
- Verarbeitungsverzeichnis mit Exportfunktion
- Automatische Benachrichtigung bei Änderungen (z.B. Eigentümerwechsel)
Die monatlichen Kosten liegen durchschnittlich bei 129 Euro. Das klingt viel - aber im Vergleich zu einem Bußgeld von 7.850 Euro (Durchschnitt 2025) ist es eine Investition. Und: 63 % der Verwalter müssen ihre Software mindestens vierteljährlich updaten - sonst verliert sie die Zertifizierung.
Was passiert, wenn man nichts tut?
Die Zahlen sprechen eine klare Sprache:
- 2019: 127 Bußgelder wegen DSGVO-Verstößen in der Immobilienverwaltung
- 2025: 489 Bußgelder - ein Anstieg um 285 %
- Im Jahr 2024: Nordrhein-Westfalen leitete 156 Verfahren ein - mehr als jede andere Bundesbehörde
- Durchschnittliches Bußgeld: 7.850 Euro
- Höchstes Bußgeld: 45.000 Euro - wegen fehlender Informationspflicht und unsachgemäßer Datenweitergabe
Die häufigsten Fehler: Keine Datenschutzerklärung (82 %), falsche Speicherfristen (67 %), unnötige Protokollierung von Namen und Gesundheitsdaten (75 %).
Was kommt als Nächstes?
Die Bundesregierung arbeitet seit Januar 2026 an einem Wohnungsdatenschutzgesetz (WDG). Es soll die DSGVO konkret für WEG-Verwaltungen präzisieren - vor allem die Frage der Verantwortlichkeit klären. Es könnte die Rolle der WEG stärken - aber auch die Pflichten des Verwalters weiter verschärfen.
Gleichzeitig wird KI zunehmend eingesetzt. Studien vom Max-Planck-Institut prognostizieren, dass ab 2027 KI-Systeme automatisch prüfen, ob Datenfristen eingehalten werden, ob Zugriffe ungewöhnlich sind und ob Dokumente fehlen. Das wird Compliance einfacher machen - aber auch teurer.
Langfristig: Bis 2030 wird die gesamte Verwaltung digitalisiert sein. Papierakten gehören der Vergangenheit an. Wer heute nicht digitalisiert, ist morgen nicht mehr wettbewerbsfähig - und rechtlich unsicher.
Frequently Asked Questions
Ist die WEG als Gemeinschaft verantwortlich für den Datenschutz?
Nein. Der Hausverwalter ist alleiniger Verantwortlicher im Sinne der DSGVO. Er entscheidet über Zweck und Mittel der Datenverarbeitung. Die WEG hat keine rechtliche Verantwortung - aber sie kann den Verwalter beauftragen, die DSGVO einzuhalten. Sie trägt jedoch keine Haftung für Verstöße.
Muss ich jedem Eigentümer eine Datenschutzerklärung schicken?
Ja - und zwar spätestens einen Monat nachdem er Eigentümer wurde oder nachdem ein neuer Verwalter antritt. Die Erklärung muss alle Informationen nach Artikel 13 DSGVO enthalten: wer verarbeitet, welche Daten, warum, wie lange, an wen und welche Rechte er hat. Wer das nicht macht, riskiert ein Bußgeld.
Darf ich die Namen der Eigentümer in den Protokollen der Versammlung aufschreiben?
Nein. Nur die Ergebnisse der Abstimmungen müssen protokolliert werden - nicht wer wie abgestimmt hat. Die Namen der Anwesenden können notiert werden, aber nicht ihre Stimmen. Besonders kritisch: Gesundheitsdaten. Wer einen Treppenlift beantragt, muss nicht erklären, warum - nur dass der Antrag gestellt wurde.
Wie lange darf ich Mietverträge aufbewahren?
Mietverträge dürfen bis zu 30 Jahre aufbewahrt werden - gemäß den Regeln des Mietrechts. Aber nur, wenn sie noch relevant sind. Wenn der Mieter auszieht und keine weiteren Ansprüche bestehen, kann der Verwalter den Vertrag nach Ablauf der gesetzlichen Fristen löschen. Es ist nicht erlaubt, Mietverträge „auf der Safe“ zu lagern, nur weil man sie „vielleicht mal brauchen könnte“.
Was passiert, wenn ich die Daten nicht verschlüsselt per E-Mail schicke?
Das ist ein schwerwiegender Verstoß. Die DSGVO verlangt angemessene Sicherheitsmaßnahmen. Unverschlüsselte E-Mails mit Kontodaten, Rechnungen oder Gesundheitsinformationen gelten als unzureichend geschützt. Die Aufsichtsbehörden sehen das als grobes Versäumnis an - und verhängen Bußgelder. Die Lösung: Sichere Portale, PGP-Verschlüsselung oder verschlüsselte PDFs mit Passwort.
Brauche ich einen Auftragsverarbeitungsvertrag mit meinem Verwalter?
Nein. Da der Verwalter als alleiniger Verantwortlicher gilt, besteht kein Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 DSGVO. Ein AVV wäre nur nötig, wenn die WEG Verantwortliche wäre - was nach deutscher Rechtsprechung nicht der Fall ist. Ein Vertrag mit dem Verwalter ist sinnvoll - aber er muss nicht die Struktur eines AVV haben.
Was tun, wenn man sich nicht sicher ist?
Wenn du als Verwalter unsicher bist: Hol dir Hilfe. Die meisten Verwaltungssoftware-Anbieter bieten Schulungen an. Der VDV und die Haufe Akademie haben spezielle Kurse für DSGVO in der WEG. Die Kosten liegen bei durchschnittlich 1.200 Euro pro Jahr - aber sie verhindern Bußgelder von Tausenden.
Und: Mach ein Audit. Lass deine Datenverarbeitung von einem externen Datenschutzbeauftragten prüfen. Das kostet 800-1.500 Euro - aber es ist die beste Versicherung, die du haben kannst. Denn im Zweifel: Wer nichts tut, verliert. Wer sich informiert, gewinnt - und schützt seine Eigentümer.
Sinead Riccardi
Diese ganze DSGVO-Klüngelerei ist doch nur ein Bürokratie-Desaster. Wer will schon seine Kontodaten in einem sicheren Portal hochladen? Einfach per E-Mail schicken, fertig. Die Behörden haben doch nichts Besseres zu tun, als Leute wegen Excel-Tabellen zu verklagen.
Januar 21, 2026 AT 23:57