DSGVO-konforme Mieterkommunikation: Was Hausverwaltungen beachten müssen
Jeder E-Mail-Versand, jede Nebenkostenabrechnung, jede Mieterbewerbung enthält personenbezogene Daten. Was konkret für die Kommunikation mit Mietern gilt, welche Aufbewahrungsfristen sich 2025 geändert haben, wie E-Mails technisch abgesichert werden müssen — und was das LG-Berlin-Urteil 2026 zur Deutsche Wohnen für die Praxis bedeutet.

DSGVO und Hausverwaltung: Auf den ersten Blick klingt das wie Juristensache. In der Praxis trifft es jeden, der täglich mit Mietern, Eigentümern und Dienstleistern kommuniziert — per E-Mail, Brief oder Portal. Denn bei jedem dieser Kontakte entstehen personenbezogene Daten, und der Umgang damit ist gesetzlich geregelt.
Das Bußgeld gegen die Deutsche Wohnen SE aus dem Jahr 2019 verdeutlicht das Risiko: Ursprünglich wurden 14,5 Millionen Euro verhängt — erst im Juni 2026 reduzierte das Landgericht Berlin die Summe auf 900.000 Euro. Die Begründung: Der Verstoß fiel in die DSGVO-Einführungsphase, und das Unternehmen hatte externe Fachleute eingebunden. Für Hausverwaltungen, die heute noch keine strukturierten Datenschutzprozesse haben, bietet dieses Urteil keine Entlastung.
Dieser Leitfaden zeigt, welche Anforderungen für Hausverwaltungen konkret gelten, worauf sich die Mieterkommunikation rechtlich stützt und was sich durch neue Gesetze 2025 und 2026 geändert hat.
Wer ist datenschutzrechtlich verantwortlich?
Die Antwort hängt von der Art der Verwaltung ab.
Bei der Mietverwaltung ist die Hausverwaltung selbst der datenschutzrechtliche Verantwortliche nach Art. 4 Nr. 7 DSGVO. Sie entscheidet über Zwecke und Mittel der Datenverarbeitung und haftet gegenüber den betroffenen Personen.
Bei der WEG-Verwaltung ist die Lage komplexer. Seit der WEMoG-Reform 2020 ist die Gemeinschaft der Wohnungseigentümer (GdWE) eine rechtsfähige juristische Person — und damit selbst Verantwortliche im datenschutzrechtlichen Sinne. Gerichte und Datenschutzbehörden gehen zunehmend davon aus, dass GdWE und WEG-Verwalter als gemeinsam Verantwortliche nach Art. 26 DSGVO handeln. Die Konsequenz: Beide sollten eine schriftliche Vereinbarung abschließen, die regelt, wer welche Datenschutzpflichten übernimmt — insbesondere für Auskunftsanfragen und das Verarbeitungsverzeichnis.
Welche Daten verarbeitet eine Hausverwaltung in der Mieterkommunikation?
In der täglichen Verwaltungsarbeit entstehen mehrere Kategorien personenbezogener Daten:
Stammdaten: Name, Anschrift, Telefonnummer, E-Mail-Adresse, Geburtsdatum — erhoben bei Vertragsschluss und laufend aktualisiert
Vertragliche Daten: Mietbeginn, Kaltmiete, Bankverbindung (SEPA-Mandat), Nebenkostenabrechnungen, Verbrauchsdaten für Wärme und Wasser
Kommunikationsinhalte: Schriftverkehr zu Mängelanzeigen, Reparaturanfragen, Beschwerden, Kündigungen — auch die Kommunikationshistorie selbst ist ein personenbezogenes Datum
Bewerberdaten: Personalausweiskopie, Gehaltsnachweise, Bonitätsauskünfte aus dem Bewerbungsprozess
WEG-spezifische Daten: Eigentümerversammlungsprotokolle mit Abstimmungsergebnissen einzelner Eigentümer, Stimmrechtsvollmachten, Beschlusssammlung
Hinzu kommt eine neue Datenkategorie: Ab dem 31. Dezember 2026 müssen alle Heizkostenverteiler und Wärmemengenzähler fernauslesbar sein. Die dabei entstehenden Verbrauchsdaten sind personenbezogen und unterliegen vollständig der DSGVO.
Rechtsgrundlagen: Worauf stützt sich die Kommunikation?
Einwilligungen der Mieter sind für die laufende Mieterkommunikation in der Regel weder erforderlich noch empfehlenswert — da Einwilligungen jederzeit widerruflich sind und dann die Rechtsgrundlage entfiele. Die relevanten Grundlagen aus Art. 6 DSGVO sind:
Art. 6 Abs. 1 lit. b: Vertragserfüllung — für alle Kommunikation, die zur Durchführung des Mietvertrags notwendig ist: Abrechnung, Schadensmeldung, Reparaturkoordination
Art. 6 Abs. 1 lit. c: Rechtliche Verpflichtung — für steuerliche und handelsrechtliche Aufbewahrungspflichten sowie gesetzlich vorgeschriebene WEG-Kommunikation
Art. 6 Abs. 1 lit. f: Berechtigtes Interesse — für die Mieterauswahl (Bonitätsprüfung), die Videoüberwachung des Gemeinschaftseigentums und ähnliche Zwecke; hier ist stets eine dokumentierte Interessenabwägung erforderlich
Informationspflicht: Was Mieter bei Vertragsschluss erfahren müssen
Hausverwaltungen müssen Mieter nach Art. 13 DSGVO bei der ersten Datenerhebung — spätestens bei Mietvertragsschluss — unaufgefordert informieren. Diese Pflicht wird in der Praxis häufig unterschätzt.
Die Datenschutzerklärung muss mindestens enthalten:
**Name und Kontaktdaten** der Hausverwaltung als Verantwortliche
**Zwecke und Rechtsgrundlagen** der Verarbeitung
Empfänger der Daten: Heizkostenabrechner, Cloud-Softwareanbieter, Steuerberater
**Speicherdauer** oder die Kriterien zu ihrer Bestimmung
Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit
**Beschwerderecht** bei der zuständigen Datenschutzaufsichtsbehörde
Wichtig: Ein Verweis auf die Website reicht nicht aus, wenn der Mieter keine E-Mail-Adresse hat oder das Internet nicht regelmäßig nutzt. Die Datenschutzerklärung muss als physisches Dokument übergeben werden — empfohlen als Anlage zum Mietvertrag. Branchenverbände wie Haus & Grund bieten Musterformulare an, die an die eigene Verwaltungsstruktur und die eingesetzten Softwareanbieter anzupassen sind.
Aufbewahrungsfristen: Was sich 2025 geändert hat
Das Bürokratieentlastungsgesetz IV (BEG IV) hat ab dem 1. Januar 2025 die Aufbewahrungsfrist für Buchungsbelege von zehn auf acht Jahre verkürzt (§ 147 AO n.F.). Das betrifft auch Mietverträge, Nebenkostenabrechnungen und Rechnungen in Hausverwaltungen.
Wer weiterhin Unterlagen zehn Jahre aufbewahrt, verstößt gegen das Datensparsamkeitsprinzip aus Art. 5 Abs. 1 lit. e DSGVO. Hausverwaltungen müssen deshalb Löschkonzepte und Verarbeitungsverzeichnisse anpassen. Ausnahme: Bei steuerstrafrechtlichen Risiken empfehlen Praktiker weiterhin zehn Jahre.
Für andere Datenkategorien gelten abweichende Fristen:
| Datenkategorie | Aufbewahrungsdauer |
|---|---|
| Buchungsbelege, Mietverträge, Abrechnungen | 8 Jahre (ab 1.1.2025) |
| Geschäftskorrespondenz | 6 Jahre |
| Mieterdaten ausgezogener Mieter | 3 Jahre nach Ablauf des Jahres des Mietendes |
| Bonitätsdaten aus der Mieterauswahl | 1–2 Jahre nach Mietbeginn |
| Daten abgelehnter Bewerber | 6 Monate nach Vergabe der Wohnung |
| Datenschutzdokumentation und AVV | Mindestens 3 Jahre nach Ende der Verarbeitung |
Grundregel: Solange eine gesetzliche Aufbewahrungspflicht besteht, hemmt diese die datenschutzrechtliche Löschpflicht. Erst nach Ablauf der Aufbewahrungsfrist muss gelöscht werden.
E-Mail-Kommunikation: Technische Mindeststandards
Der Posteingang ist in Hausverwaltungen der primäre Kommunikationskanal — und gleichzeitig eine der häufigsten DSGVO-Schwachstellen. Die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe aus dem Jahr 2021 konkrete technische Anforderungen gesetzt.
Mindeststandard TLS-Verschlüsselung
Für alle E-Mails mit personenbezogenen Daten gilt TLS 1.2 oder höher als Mindeststandard. Das sogenannte opportunistische TLS reicht nicht aus, weil es keine Verschlüsselung garantiert — der Versand kann unverschlüsselt erfolgen, wenn der Empfänger-Server TLS nicht unterstützt. Die DSK empfiehlt DANE oder MTA-STS als ergänzende Standards, die erzwingen, dass nur verschlüsselt übertragen wird.
Ende-zu-Ende-Verschlüsselung bei sensiblen Inhalten
Für besonders sensible Inhalte — Kontoauszüge, Bonitätsnachweise, Gesundheitsdaten — empfiehlt die DSK Ende-zu-Ende-Verschlüsselung via S/MIME oder PGP. Da das auf Mieterseite technische Einrichtung erfordert, ist es in der Praxis kaum flächendeckend umsetzbar. Eine pragmatische Alternative: Dokumente passwortgeschützt versenden und das Passwort über einen zweiten Kanal (Brief oder Telefon) mitteilen.
CC-Verteiler vermeiden
Eigentümerversammlungsprotokolle über offene E-Mail-Verteiler zu versenden, bei denen alle Empfänger füreinander sichtbar sind, ist ein Verstoß gegen Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung). Korrekt: BCC verwenden oder ein geschütztes Dokumentenportal einsetzen.
WhatsApp und DSGVO
WhatsApp Business ist datenschutzrechtlich nur dann zulässig, wenn ein Auftragsverarbeitungsvertrag mit Meta vorliegt und der Mieter ausdrücklich eingewilligt hat. Das Risiko: Meta übermittelt Metadaten in die USA, und die Einwilligung ist jederzeit widerruflich. Empfehlung: DSGVO-konforme Kommunikationsplattformen mit EU-Serverstandort.
Auftragsverarbeitung: Wann ein AVV erforderlich ist
Sobald ein externer Dienstleister im Auftrag der Hausverwaltung personenbezogene Daten verarbeitet, liegt Auftragsverarbeitung nach Art. 28 DSGVO vor — mit der Folge, dass ein schriftlicher Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss.
Ein AVV ist zwingend erforderlich bei:
Verwaltungssoftware in der Cloud: Domus, Karthago, iX-Haus als SaaS oder andere cloudbasierte Systeme mit Mieterdatenzugang
Mieter- und Eigentümerportale: Alle Portale, über die Dokumente und Kommunikation zugänglich sind
IT-Support-Dienstleister: Sofern Systemzugang zu Daten der Verwaltung besteht
E-Mail-Archivierungsdienste: Bei externem Hosting der E-Mail-Archive
Externe Buchführung: Soweit rein weisungsgebunden ohne eigene Entscheidungsfreiheit
Kein AVV, sondern eigenständige Verantwortlichkeit besteht bei Steuerberatern (Berufsrecht, Verschwiegenheitspflicht) und in der Regel bei Heizkostenabrechnern wie ista oder Techem, die für eigene gesetzliche Pflichten nach der Heizkostenverordnung handeln.
Der Mindestinhalt eines AVV nach Art. 28 Abs. 3 DSGVO: Gegenstand und Dauer der Verarbeitung, Weisungsgebundenheit, technische und organisatorische Schutzmaßnahmen, Regelungen zu Unterauftragsverarbeitern sowie Rückgabe oder Löschung der Daten nach Auftragsende.
Auskunftsrecht der Mieter (Art. 15 DSGVO)
Mieter können jederzeit und unentgeltlich Auskunft verlangen, welche Daten die Hausverwaltung zu ihrer Person gespeichert hat. Die Antwort muss innerhalb eines Monats erfolgen — verlängerbar auf drei Monate bei komplexen Anfragen, jedoch mit Mitteilung innerhalb des ersten Monats.
Das BGH-Urteil vom 22. Februar 2022 (VI ZR 14/21) hat eine wichtige Grenze gesetzt: Der Auskunftsanspruch umfasst nicht die Identität von Nachbarn, die Beschwerden über den Mieter eingereicht haben. Der Schutz der Beschwerdeführer überwiegt hier das Auskunftsinteresse.
Nichtbeantwortung ist kein Kavaliersdelikt. Ignorierte Auskunftsanfragen können zu Bußgeldern und Beschwerden bei der Aufsichtsbehörde führen.
EU AI Act: Neue Pflichten bei KI-gestützter Mieterauswahl
Der EU AI Act ist seit August 2024 in Kraft. Hausverwaltungen, die KI-Systeme für automatisierte Mieterauswahl oder Bonitätsprüfung einsetzen, unterliegen seit dem 2. August 2026 den Anforderungen für Hochrisiko-KI-Systeme nach Anhang III. Das bedeutet: umfangreiche technische Dokumentation, Transparenz gegenüber Mietinteressenten über den KI-Einsatz und Nachweise über Datenherkunft und Entscheidungslogik.
Praktische Empfehlung: KI nur unterstützend einsetzen, die finale Entscheidung stets durch eine Person treffen lassen und Mietinteressenten über den Einsatz informieren.
Was aktuelle Urteile und Gesetze für die Praxis bedeuten
Das Landgericht Berlin hat am 9. Juni 2026 (Az. 526 OWiG LG 1/20) das Bußgeld gegen die Deutsche Wohnen von 14,5 Millionen Euro auf 900.000 Euro reduziert. Die Kernbegründung: Der Verstoß fiel in die frühe DSGVO-Einführungsphase, das Unternehmen hatte externe Datenschutzexperten eingebunden, und die Behörde hatte selbst Schwierigkeiten bei der Dokumentation. Das Urteil ist noch nicht rechtskräftig.
Für die Praxis bedeutet das: Wer heute — sieben Jahre nach DSGVO-Einführung — keine strukturierten Datenschutzprozesse hat, kann sich nicht auf eine Einführungsphase berufen. Der EuGH hat in seinem Grundsatzurteil vom Dezember 2023 (C-807/21) zusätzlich klargestellt, dass Datenschutzbehörden Bußgelder gegen Unternehmen verhängen dürfen, ohne nachweisen zu müssen, dass eine natürliche Leitungsperson persönlich die Ordnungswidrigkeit begangen hat.
Fünf Maßnahmen, die Hausverwaltungen jetzt umsetzen sollten
Die DSGVO-Anforderungen für die Mieterkommunikation lassen sich auf fünf konkrete Prioritäten verdichten:
Verarbeitungsverzeichnis aktualisieren: Alle Verarbeitungstätigkeiten mit Zweck, Rechtsgrundlage, Speicherdauer und Empfängern dokumentieren; Buchungsbelegfrist auf 8 Jahre anpassen
Datenschutzerklärung überprüfen: Aktuelle Softwareanbieter und Empfänger aufführen, Fristen korrekt angeben, als physische Anlage zum Mietvertrag übergeben
AVV-Inventar anlegen: Für jeden Cloud-Dienstleister und Softwareanbieter prüfen, ob ein AVV vorliegt und aktuell ist — fehlende AVVs schnellstmöglich nachschließen
E-Mail-Infrastruktur sichern: TLS-Verschlüsselung beim E-Mail-Provider sicherstellen; CC-Verteiler für vertrauliche Dokumente durch BCC oder Portale ersetzen
Löschprozesse einrichten: Abgelehnte Bewerber nach 6 Monaten, Bonitätsdaten nach 1–2 Jahren, ausgezogene Mieterdaten nach Ende der Verjährungsfrist löschen
Diese fünf Punkte decken die Schwachstellen ab, die Datenschutzbehörden bei Hausverwaltungen am häufigsten beanstanden.
Havera unterstützt Hausverwaltungen dabei, ihren Posteingang strukturiert zu verarbeiten und die Kommunikation mit Mietern und Eigentümern nachvollziehbar zu dokumentieren. Wer eingehende E-Mails automatisch kategorisiert, weiterleitet und protokolliert, schafft damit gleichzeitig eine dokumentationsfähige Grundlage für seine Kommunikationsprozesse — mit vollständiger Nachvollziehbarkeit, wer wann was erhalten hat. Wenn Sie wissen möchten, wie das in Ihrer Verwaltung aussehen kann: Sprechen Sie uns an.


