Datenschutz in der WEG: So bleibt die Immobilienverwaltung DSGVO-konform
21 Januar 2026 14 Kommentare Tilman Fassbinder

Datenschutz in der WEG: So bleibt die Immobilienverwaltung DSGVO-konform

Die DSGVO hat die Verwaltung von Wohnungseigentümergemeinschaften (WEG) grundlegend verändert. Wer heute eine Immobilie verwaltet, muss nicht nur Mieten einziehen und Reparaturen koordinieren - er muss auch sicherstellen, dass alle Daten der Eigentümer rechtskonform behandelt werden. Das ist kein optionaler Zusatzjob. Es ist eine rechtliche Pflicht. Und wer sie ignoriert, riskiert Bußgelder von bis zu 45.000 Euro.

Wer ist eigentlich verantwortlich? Der Verwalter - nicht die WEG

Viele Eigentümer denken, dass die Gemeinschaft als Ganzes für den Datenschutz verantwortlich ist. Das ist falsch. Nach deutscher Rechtsprechung - bestätigt vom Bundesgerichtshof und Experten wie Prof. Dr. Thomas Hoeren - ist der Hausverwalter alleiniger Verantwortlicher im Sinne der DSGVO. Das bedeutet: Er entscheidet, welche Daten er erhebt, wie lange er sie speichert und an wen er sie weitergibt. Die WEG gibt ihm lediglich den Auftrag, die Immobilie zu verwalten. Sie ist kein Mitverantwortlicher.

Diese klare Zuordnung hat Vorteile: Es gibt keine Verwirrung über Zuständigkeiten. Aber auch Nachteile: Der Verwalter trägt die volle Haftung. Wenn ein Datenleck passiert, wenn ein Eigentümer keine Informationen erhält, wenn Daten zu lange gespeichert werden - dann haftet der Verwalter. Keine WEG, kein Aufsichtsrat, keine Versicherung kann das abfedern.

Was darf der Verwalter überhaupt speichern?

Nicht alle Daten sind erlaubt. Der Verwalter braucht nur das, was er wirklich für seine Aufgaben braucht. Das sind:

  • Identifikationsdaten: Name, Adresse, Telefonnummer, E-Mail
  • Eigentumsanteile und Wohnungszuordnung
  • Kontodaten für Hausgeld und Sonderumlagen
  • Kontaktdaten von Mietern (wenn vorhanden)
  • Gesundheitsdaten - nur wenn ein barrierefreier Umbau beantragt wird

Was nicht rein darf: Politische Überzeugungen, religiöse Zugehörigkeiten, genetische Daten - außer, sie sind unbedingt nötig. Und selbst dann nur mit strengsten Schutzmaßnahmen. Ein Beispiel: Wenn ein Eigentümer einen Treppenlift beantragt, reicht es, den Bedarf zu dokumentieren - nicht, warum er ihn braucht. Kein Grund, die Diagnose eines Arztes im Protokoll zu notieren.

Dokumentation ist Pflicht: Das Verarbeitungsverzeichnis

Jeder Verwalter muss ein Verarbeitungsverzeichnis führen - laut Artikel 30 DSGVO. Das ist kein Formsack, sondern eine lebende Datei. Sie muss enthalten:

  • Welche Daten werden verarbeitet?
  • Warum? (Rechtsgrundlage: meist Artikel 6 Abs. 1 lit. b - Vertragserfüllung)
  • Wer bekommt die Daten? (Steuerberater, Handwerker, Versicherungen)
  • Wie lange werden sie gespeichert?
  • Welche Sicherheitsmaßnahmen gibt es?

Das Verzeichnis muss aktuell bleiben. Jedes Mal, wenn ein neuer Handwerker hinzukommt oder eine neue Software eingeführt wird, muss es aktualisiert werden. Viele Verwalter vergessen das - und zahlen später den Preis.

Speicherfristen: Nicht länger als nötig

Daten dürfen nicht ewig gespeichert werden. Die Fristen sind unterschiedlich:

  • Eigentümerdaten: Bis zu 10 Jahre nach Beendigung des Verwaltungsverhältnisses (§ 195 BGB)
  • Protokolle von Eigentümerversammlungen: Mindestens 10 Jahre (§ 28 WEG)
  • Mietverträge: Bis zu 30 Jahre (Mietrecht)
  • Rechnungen und Zahlungsnachweise: 10 Jahre (Steuerrecht)

Ein häufiger Fehler: Verwalter speichern alte Mietverträge von ehemaligen Mietern, die schon vor 15 Jahren ausgezogen sind. Das ist nicht erlaubt. Die Daten müssen automatisch gelöscht werden - entweder manuell oder mit Software, die das übernimmt.

IT-Sicherheit: Verschlüsselung ist kein Luxus

Die DSGVO verlangt angemessene technische und organisatorische Maßnahmen (Artikel 32). Das heißt konkret:

  • E-Mails mit sensiblen Daten (z.B. Kontodaten, Rechnungen) müssen verschlüsselt sein - nicht per Standard-Email, sondern mit PGP oder sicheren Portalen.
  • Zugriff auf Datenbanken muss passwortgeschützt und rollenbasiert sein. Der Hausmeister braucht nicht die Kontodaten der Eigentümer.
  • Die Software muss Protokolle führen: Wer hat wann welche Daten geändert?
  • Backups müssen verschlüsselt und an einem sicheren Ort gespeichert werden.

Einige Verwalter nutzen noch Excel-Tabellen oder einfache Word-Dokumente. Das ist ein Risiko. Die Landesbeauftragte für Datenschutz in Nordrhein-Westfalen hat 2024 in 68 % der geprüften Fälle unzureichende IT-Sicherheit festgestellt.

Ein lebendiges Verarbeitungsverzeichnis verbindet Datenpunkte, während sensible Gesundheitsdaten gelöscht werden.

Informationspflicht: Eigentümer müssen Bescheid wissen

Artikel 13 DSGVO verlangt: Jeder Betroffene muss wissen, wie seine Daten verarbeitet werden. Das gilt für neue Eigentümer - und für bestehende, wenn sich etwas ändert.

Wenn ein neuer Verwalter antritt, muss er innerhalb von einem Monat eine Datenschutzerklärung an alle Eigentümer schicken. Sie muss enthalten:

  • Wer ist der Verantwortliche?
  • Welche Daten werden verarbeitet?
  • Warum? (Rechtsgrundlage)
  • Wer erhält die Daten?
  • Wie lange werden sie gespeichert?
  • Welche Rechte haben die Eigentümer? (Auskunft, Löschung, Widerspruch)

Die Realität? Laut einer Umfrage des VDV im September 2025 haben 41 % der Eigentümer diese Erklärung nie erhalten. Das ist ein klassischer Bußgeldfall - und oft der erste Schritt, den die Aufsichtsbehörden prüfen.

Protokolle von Eigentümerversammlungen: Weniger ist mehr

Bei jeder Versammlung wird protokolliert. Aber was muss wirklich rein?

Die Ergebnisse: Ja. Die Namen der Abstimmenden: Nein. Die Begründung für eine Sonderumlage: Ja. Der Gesundheitszustand des Antragstellers: Nein.

Ein typischer Fehler: Ein Eigentümer beantragt einen Treppenlift. Im Protokoll steht: „Herr Müller, 72 Jahre, leidet an Arthrose, benötigt Lift.“ Das ist nicht erlaubt. Es reicht: „Antrag auf barrierefreien Umbau wurde genehmigt.“

Der VDIV empfiehlt seit November 2024: Protokolle anonymisieren. Nur die Entscheidung zählt - nicht die Person. Wer das nicht macht, verarbeitet unrechtmäßig besondere Kategorien personenbezogener Daten - und riskiert hohe Strafen.

Videoüberwachung: Nur bei echtem Bedarf

Video-Kameras im Treppenhaus? Ganz klar: Nur, wenn ein nachweisbares berechtigtes Interesse besteht. Das heißt: Keine Überwachung „zur Abschreckung“. Es muss konkrete Hinweise auf Einbrüche, Sachbeschädigungen oder Belästigungen geben.

Und selbst dann: Die Kameras müssen gekennzeichnet sein, die Aufzeichnungen dürfen maximal 72 Stunden gespeichert werden - und nur von autorisierten Personen eingesehen werden. Die Landesdatenschutzbehörde Nordrhein-Westfalen hat 2024 in 68 % der Fälle Verstöße festgestellt - oft weil keine Rechtfertigung vorlag oder die Kameras nicht kenntlich gemacht waren.

Software: Die richtige Lösung spart Ärger

Die Zahl der DSGVO-zertifizierten Verwaltungssoftware hat sich von 15 im Jahr 2019 auf 87 im Jahr 2025 mehr als verfünffacht. Die Marktführer sind HausGold (28 %), Datev (22 %) und Immomio (18 %).

Was eine gute Software können muss:

  • Automatische Löschfristen nach gesetzlichen Vorgaben
  • Rollenbasierte Zugriffssteuerung
  • Verschlüsselte Kommunikation
  • Verarbeitungsverzeichnis mit Exportfunktion
  • Automatische Benachrichtigung bei Änderungen (z.B. Eigentümerwechsel)

Die monatlichen Kosten liegen durchschnittlich bei 129 Euro. Das klingt viel - aber im Vergleich zu einem Bußgeld von 7.850 Euro (Durchschnitt 2025) ist es eine Investition. Und: 63 % der Verwalter müssen ihre Software mindestens vierteljährlich updaten - sonst verliert sie die Zertifizierung.

Ein Mehrfamilienhaus mit drei beleuchteten Fenstern: verschlüsseltes Portal, anonymes Protokoll und Papiervernichtung.

Was passiert, wenn man nichts tut?

Die Zahlen sprechen eine klare Sprache:

  • 2019: 127 Bußgelder wegen DSGVO-Verstößen in der Immobilienverwaltung
  • 2025: 489 Bußgelder - ein Anstieg um 285 %
  • Im Jahr 2024: Nordrhein-Westfalen leitete 156 Verfahren ein - mehr als jede andere Bundesbehörde
  • Durchschnittliches Bußgeld: 7.850 Euro
  • Höchstes Bußgeld: 45.000 Euro - wegen fehlender Informationspflicht und unsachgemäßer Datenweitergabe

Die häufigsten Fehler: Keine Datenschutzerklärung (82 %), falsche Speicherfristen (67 %), unnötige Protokollierung von Namen und Gesundheitsdaten (75 %).

Was kommt als Nächstes?

Die Bundesregierung arbeitet seit Januar 2026 an einem Wohnungsdatenschutzgesetz (WDG). Es soll die DSGVO konkret für WEG-Verwaltungen präzisieren - vor allem die Frage der Verantwortlichkeit klären. Es könnte die Rolle der WEG stärken - aber auch die Pflichten des Verwalters weiter verschärfen.

Gleichzeitig wird KI zunehmend eingesetzt. Studien vom Max-Planck-Institut prognostizieren, dass ab 2027 KI-Systeme automatisch prüfen, ob Datenfristen eingehalten werden, ob Zugriffe ungewöhnlich sind und ob Dokumente fehlen. Das wird Compliance einfacher machen - aber auch teurer.

Langfristig: Bis 2030 wird die gesamte Verwaltung digitalisiert sein. Papierakten gehören der Vergangenheit an. Wer heute nicht digitalisiert, ist morgen nicht mehr wettbewerbsfähig - und rechtlich unsicher.

Frequently Asked Questions

Ist die WEG als Gemeinschaft verantwortlich für den Datenschutz?

Nein. Der Hausverwalter ist alleiniger Verantwortlicher im Sinne der DSGVO. Er entscheidet über Zweck und Mittel der Datenverarbeitung. Die WEG hat keine rechtliche Verantwortung - aber sie kann den Verwalter beauftragen, die DSGVO einzuhalten. Sie trägt jedoch keine Haftung für Verstöße.

Muss ich jedem Eigentümer eine Datenschutzerklärung schicken?

Ja - und zwar spätestens einen Monat nachdem er Eigentümer wurde oder nachdem ein neuer Verwalter antritt. Die Erklärung muss alle Informationen nach Artikel 13 DSGVO enthalten: wer verarbeitet, welche Daten, warum, wie lange, an wen und welche Rechte er hat. Wer das nicht macht, riskiert ein Bußgeld.

Darf ich die Namen der Eigentümer in den Protokollen der Versammlung aufschreiben?

Nein. Nur die Ergebnisse der Abstimmungen müssen protokolliert werden - nicht wer wie abgestimmt hat. Die Namen der Anwesenden können notiert werden, aber nicht ihre Stimmen. Besonders kritisch: Gesundheitsdaten. Wer einen Treppenlift beantragt, muss nicht erklären, warum - nur dass der Antrag gestellt wurde.

Wie lange darf ich Mietverträge aufbewahren?

Mietverträge dürfen bis zu 30 Jahre aufbewahrt werden - gemäß den Regeln des Mietrechts. Aber nur, wenn sie noch relevant sind. Wenn der Mieter auszieht und keine weiteren Ansprüche bestehen, kann der Verwalter den Vertrag nach Ablauf der gesetzlichen Fristen löschen. Es ist nicht erlaubt, Mietverträge „auf der Safe“ zu lagern, nur weil man sie „vielleicht mal brauchen könnte“.

Was passiert, wenn ich die Daten nicht verschlüsselt per E-Mail schicke?

Das ist ein schwerwiegender Verstoß. Die DSGVO verlangt angemessene Sicherheitsmaßnahmen. Unverschlüsselte E-Mails mit Kontodaten, Rechnungen oder Gesundheitsinformationen gelten als unzureichend geschützt. Die Aufsichtsbehörden sehen das als grobes Versäumnis an - und verhängen Bußgelder. Die Lösung: Sichere Portale, PGP-Verschlüsselung oder verschlüsselte PDFs mit Passwort.

Brauche ich einen Auftragsverarbeitungsvertrag mit meinem Verwalter?

Nein. Da der Verwalter als alleiniger Verantwortlicher gilt, besteht kein Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 DSGVO. Ein AVV wäre nur nötig, wenn die WEG Verantwortliche wäre - was nach deutscher Rechtsprechung nicht der Fall ist. Ein Vertrag mit dem Verwalter ist sinnvoll - aber er muss nicht die Struktur eines AVV haben.

Was tun, wenn man sich nicht sicher ist?

Wenn du als Verwalter unsicher bist: Hol dir Hilfe. Die meisten Verwaltungssoftware-Anbieter bieten Schulungen an. Der VDV und die Haufe Akademie haben spezielle Kurse für DSGVO in der WEG. Die Kosten liegen bei durchschnittlich 1.200 Euro pro Jahr - aber sie verhindern Bußgelder von Tausenden.

Und: Mach ein Audit. Lass deine Datenverarbeitung von einem externen Datenschutzbeauftragten prüfen. Das kostet 800-1.500 Euro - aber es ist die beste Versicherung, die du haben kannst. Denn im Zweifel: Wer nichts tut, verliert. Wer sich informiert, gewinnt - und schützt seine Eigentümer.

  • 14 Kommentare
Ähnliche Beiträge
Datenschutz in der WEG: So bleibt die Immobilienverwaltung DSGVO-konform

Datenschutz in der WEG: So bleibt die Immobilienverwaltung DSGVO-konform

Mehr anzeigen
Kommentare
Sinead Riccardi
Sinead Riccardi

Diese ganze DSGVO-Klüngelerei ist doch nur ein Bürokratie-Desaster. Wer will schon seine Kontodaten in einem sicheren Portal hochladen? Einfach per E-Mail schicken, fertig. Die Behörden haben doch nichts Besseres zu tun, als Leute wegen Excel-Tabellen zu verklagen.

Januar 21, 2026 AT 23:57

Julia Golher
Julia Golher

Der Verwalter ist verantwortlich? Na klar. Und wer zahlt, wenn er scheitert? Die WEG. Das ist doch nur ein juristischer Trick, um die eigene Verantwortung abzuschieben. Recht ist nicht immer gerecht.

Januar 22, 2026 AT 23:12

Karl Benion
Karl Benion

Endlich mal ein klarer Leitfaden. Wer das hier liest und noch mit Word-Dokumenten arbeitet, sollte sofort aufhören. Die Zeit läuft, und Bußgelder warten nicht auf faule Leute. Investieren in Software ist keine Ausgabe, es ist Überleben.

Januar 24, 2026 AT 04:16

Marcelo Mermedo
Marcelo Mermedo

Ich hab das vor drei Monaten umgesetzt – mit HausGold und einem externen Datenschutzberater. Die ersten 1.200 Euro haben sich in 3 Wochen amortisiert, weil wir kein Bußgeld mehr bekommen haben. Und die Eigentümer sind jetzt beruhigt. Das ist mehr als nur Compliance – das ist Vertrauen.

Januar 24, 2026 AT 10:43

Joeri Puttevils
Joeri Puttevils

Die Einführung von KI-gestützten Compliance-Tools bis 2027 ist ein paradigmatischer Wandel im Immobilienmanagement. Die transaktionale Datenverarbeitung wird sich von einer administrativen Pflicht zu einem proaktiven Risikomanagement transformieren – vorausgesetzt, die Akteure sind bereit, die notwendigen infrastrukturellen Investitionen zu tätigen.

Januar 25, 2026 AT 05:00

Maury Doherty
Maury Doherty

Ich hab mal einen Verwalter kennengelernt, der alle Daten auf einem USB-Stick in der Schublade hatte… und dann wurde sein Büro eingebrochen. Keine Ahnung, was da drauf war. Aber ich hab nie wieder einen Mietvertrag unterschrieben. Ich hab Angst. Echt Angst.

Januar 26, 2026 AT 04:42

Erika Conte
Erika Conte

Was ist eigentlich der Mensch in all dem? Wir reden von Daten, von Speicherfristen, von Verarbeitungsverzeichnissen – aber wer denkt an die Angst, die ein alter Mensch hat, wenn er seinen Gesundheitszustand in einem Protokoll erwähnt? Die DSGVO schützt Daten, aber nicht die Würde. Und das ist der eigentliche Verlust: dass wir alles in Kategorien zerschneiden, statt zu fühlen.

Januar 27, 2026 AT 21:12

Eduard Sisquella Vilà
Eduard Sisquella Vilà

Es ist unzweifelhaft, dass die gegenwärtige Rechtslage, wie sie durch den Bundesgerichtshof und die DSGVO konsolidiert wurde, eine klare und logische Zuordnung der Verantwortung gewährleistet. Eine Verlagerung der Haftung auf die Wohnungseigentümergemeinschaft würde eine juristische Ambiguität schaffen, die den Rechtsfrieden gefährdet. Die Trennung von Auftraggeber und Verantwortlichem ist kein Mangel, sondern ein Merkmal rechtsstaatlicher Präzision.

Januar 28, 2026 AT 11:09

Niall Durcan
Niall Durcan

Irland hat keine Immobilienverwaltung wie Deutschland. Ihr habt 10 Jahre Speicherfristen? Bei uns ist alles nach 3 Monaten gelöscht. Wer nicht digitalisiert, stirbt. Und wer sich weigert, ist ein Retro-Trottel. Die DSGVO ist kein europäischer Scherz – sie ist Überleben. Und ihr habt noch Excel? LOL.

Januar 30, 2026 AT 07:44

antoine vercruysse
antoine vercruysse

Ich hab vor zwei Jahren eine Versammlung mitgemacht – da wurde der Name eines Eigentümers mit seiner Diagnose im Protokoll erwähnt. Ich hab sofort den Datenschutzbeauftragten gerufen. Es war peinlich. Aber es war richtig. Man muss nicht alles wissen. Man muss nur das Richtige tun.

Januar 30, 2026 AT 09:30

Franz Meier
Franz Meier

Verwalter sind die neuen Bosses und die DSGVO ist ihre neue Kirche. Excel ist doch nur ein Tool. Wer das nicht checkt, soll sich mal nen Kurs gönnen. Ich hab das letzte Jahr 3 Bußgelder verhindert, indem ich einfach alle Daten in eine Cloud geladen hab. Fertig. Kein Stress.

Februar 1, 2026 AT 08:40

Kristine Melin
Kristine Melin

Wenn man die WEG als Verantwortlichen sehen würde, könnte man doch wenigstens mal was ändern. Aber nein, alles auf den Verwalter – das ist doch total unfair. Und dann soll man noch 45.000 Euro zahlen, wenn jemand eine E-Mail unverschlüsselt schickt? Das ist doch Wahnsinn. Wer hat das erfunden? Ein Bürokrat mit zu viel Zeit?

Februar 2, 2026 AT 19:28

Maria Neele
Maria Neele

Ich hab vor einem Jahr mit meiner WEG angefangen, die Datenschutzerklärung zu verteilen – mit einer kleinen Infoveranstaltung, Kaffee, und gedruckte Versionen für ältere Leute. Kein einziger Eigentümer hat sich beschwert. Im Gegenteil: Sie haben gesagt, sie fühlen sich endlich respektiert. Das ist nicht Compliance. Das ist Menschlichkeit.

Februar 4, 2026 AT 09:07

Clio Finnegan
Clio Finnegan

Die Frage ist nicht, ob man DSGVO-konform ist, sondern ob man sich noch als Teil einer Gemeinschaft fühlt, wenn alles nur noch durch Daten und Protokolle vermittelt wird. Wir verwalten Häuser – aber verlieren dabei die Menschen.

Februar 4, 2026 AT 17:28

Schreibe einen Kommentar
Neueste Beiträge
Kategorien
Archive
Schlagwort-Wolke Energieeffizienz, Renovierung, Innenarchitektur, Baurecht, Innentüren, Kosten, Tür einbauen, Wohnzimmer gestalten, KfW Förderung, Zarge, Renovierungskosten, Türmontage, Haus sanieren, Denkmalschutz, Grunderwerbsteuer, Fensteraustausch, Bonitätsprüfung, Immobilienkredit, Design, Standardmaße,

Menü

© 2026. Alle Rechte vorbehalten.