By Patrick Garske in IT-Sicherheit

14,5 Millionen Euro Bußgeld wegen Mieterdaten – was Immobilienverwalter daraus lernen müssen

Hand hält Lupe über einen Stapel Euro-Banknoten mit Immobilien-Symbolen im Hintergrund

14,5 Millionen Euro. So hoch war das Bußgeld, das gegen die Deutsche Wohnen SE verhängt wurde – und es war das höchste Datenschutz-Bußgeld, das in Deutschland jemals ausgesprochen wurde. Der Grund: Das Unternehmen hatte Mieterdaten über Jahre gespeichert, ohne dafür eine ausreichende Rechtsgrundlage zu haben.

Was bei einem Großkonzern für Schlagzeilen sorgt, gilt genauso für kleine und mittelgroße Hausverwaltungen. Wer Mieterdaten verarbeitet, unterliegt der DSGVO – ohne Ausnahme, ohne Mindestgröße. Und wer Betriebskosten abrechnet, Mietverträge verwaltet und Rechnungen digitalisiert, unterliegt zusätzlich der GoBD.

Dieser Artikel zeigt, was das in der Praxis bedeutet – und wo die häufigsten Lücken liegen.

Warum Immobilienverwaltung und Datenschutz untrennbar verbunden sind

Kaum eine Branche verarbeitet so viele und so sensible personenbezogene Daten wie die Immobilienverwaltung. Bereits bei der Mieterauswahl geht es los: Selbstauskunftsformulare, Gehaltsnachweise, Schufa-Auskunft, Personalausweis-Kopien. Im laufenden Mietverhältnis kommen Kontoverbindungen, Kommunikation über Beschwerden und Reparaturen, Betriebskostenabrechnungen und – bei WEG-Verwaltungen – Protokolle von Eigentümerversammlungen hinzu.

Jeder dieser Datenpunkte ist ein personenbezogenes Datum im Sinne der DSGVO. Jeder davon unterliegt klaren Regeln: wer ihn erheben darf, wie lange er gespeichert werden darf, wie er zu schützen ist und wann er gelöscht werden muss.

Was die DSGVO von Immobilienverwaltern verlangt

Die DSGVO gilt für jeden, der personenbezogene Daten verarbeitet – und eine Hausverwaltung tut das täglich. Die wichtigsten Anforderungen im Überblick:

Rechtsgrundlage für jede Datenverarbeitung

Jede Verarbeitung von Mieterdaten braucht eine Rechtsgrundlage. Im laufenden Mietverhältnis ist das in der Regel die Vertragserfüllung – Kontoverbindung für die Mietzahlung, Adresse für die Abrechnung. Was darüber hinausgeht, braucht entweder eine ausdrückliche Einwilligung oder ein berechtigtes Interesse, das sauber dokumentiert ist.

Besonders heikel: Daten, die während der Mieterauswahl erhoben wurden und im laufenden Verhältnis nicht mehr benötigt werden. Gehaltsnachweise, die nach Vertragsabschluss in der Akte liegen bleiben, sind ein Klassiker. Genau das war auch der Kern des Deutsche-Wohnen-Falls.

Löschpflichten – und der scheinbare Widerspruch mit der GoBD

Die DSGVO verlangt, Daten zu löschen, sobald der Zweck ihrer Speicherung entfallen ist. Die GoBD und das Steuerrecht verlangen gleichzeitig, bestimmte Unterlagen 6 oder 10 Jahre aufzubewahren. Das klingt widersprüchlich – ist es aber nicht.

Die Lösung liegt in der Zweckbindung: Steuerlich relevante Unterlagen – Rechnungen, Betriebskostenabrechnungen, Buchungsbelege – dürfen und müssen für die gesetzliche Aufbewahrungsfrist gespeichert bleiben. Daten ohne steuerliche Relevanz, etwa persönliche Angaben aus dem Bewerbungsprozess, müssen nach Ablauf des Zwecks gelöscht werden. Ein strukturiertes Löschkonzept ist deshalb keine Kür, sondern Pflicht.

Auskunftspflichten gegenüber Mietern

Jeder Mieter hat das Recht, jederzeit Auskunft darüber zu verlangen, welche Daten über ihn gespeichert sind – und dieses Recht wird zunehmend wahrgenommen. Wer keine strukturierte Dateiablage hat und im Zweifel nicht innerhalb eines Monats vollständig antworten kann, riskiert eine Beschwerde bei der Aufsichtsbehörde.

Verarbeitungsverzeichnis und Datenschutzerklärung

Immobilienverwalter sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen – welche Daten zu welchem Zweck wie lange verarbeitet werden. Ebenso braucht die Hausverwaltungs-Website eine datenschutzkonforme Datenschutzerklärung. Wer ein Kontaktformular betreibt oder einen Newsletter versendet, braucht zusätzlich entsprechende Einwilligungen.

Jährliche Datenschutzschulung der Mitarbeiter

Wenig bekannt, aber ausdrücklich gefordert: In Immobilienfirmen müssen alle Mitarbeiterinnen und Mitarbeiter einmal jährlich in der DSGVO und im Datenschutz unterwiesen werden. Das ergibt sich aus § 15b MaBV (Makler- und Bauträgerverordnung) und gilt für Verwalter, Makler und deren Teams gleichermaßen.

Was die GoBD von Immobilienverwaltern verlangt

Die GoBD – Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form – gelten für alle, die steuerlich relevante Daten elektronisch erfassen. Für Immobilienverwalter, die Betriebskostenabrechnungen, Hausgeldabrechnungen und Rechnungen digital verwalten, ist das nahezu jede Kerntätigkeit.

Die GoBD wurden zuletzt im Juli 2025 durch ein neues BMF-Schreiben aktualisiert – mit konkreten Auswirkungen auf den Umgang mit E-Rechnungen, die seit Januar 2025 im B2B-Bereich verpflichtend sind.

Revisionssicherheit: Das Herzstück der GoBD

Das zentrale Prinzip der GoBD ist die Unveränderbarkeit gespeicherter Geschäftsunterlagen. Eine Rechnung, die nach der Ablage noch verändert werden kann, erfüllt die GoBD nicht. Ein E-Mail-Anhang, der im Postfach liegt und jederzeit gelöscht werden kann, auch nicht.

Revisionssichere Archivierung bedeutet konkret: Dokumente müssen vollständig, geordnet, unveränderbar und während der gesamten Aufbewahrungsfrist jederzeit lesbar und prüfbar gespeichert sein. Das schließt auch E-Mails ein, die steuerlich relevante Inhalte haben – also faktisch einen Großteil der geschäftlichen Kommunikation in einer Hausverwaltung.

Aufbewahrungsfristen im Überblick

  • 10 Jahre: Buchungsbelege, Jahresabschlüsse, Rechnungen, Betriebskostenabrechnungen, Hausgeldabrechnungen
  • 6 Jahre: Geschäftsbriefe, E-Mails mit geschäftlichem Inhalt, Angebote

Wichtig seit der GoBD-Aktualisierung 2025: E-Rechnungen im XML-Format müssen im empfangenen Originalformat archiviert werden – eine Konvertierung in PDF allein reicht nicht mehr aus.

Verfahrensdokumentation

Die GoBD verlangen, dass jedes IT-System, das für die Buchführung genutzt wird, durch eine Verfahrensdokumentation beschrieben ist. Das klingt bürokratisch – bedeutet in der Praxis aber: Wer seine Buchhaltung in einer Standardsoftware führt, muss dokumentieren, wie das System konfiguriert ist, wer Zugriff hat und wie Änderungen nachvollziehbar gemacht werden. Fehlt diese Dokumentation, kann das Finanzamt die gesamte Buchführung verwerfen.

Die häufigsten IT-Schwachstellen in der Praxis

In der alltäglichen Arbeit mit Hausverwaltungen begegnen mir immer wieder dieselben Lücken:

Dokumente liegen in normalen Ordnern – in Windows-Verzeichnissen oder auf NAS-Systemen ohne Versionierung und ohne Zugriffsprotokoll. Das ist weder revisionssicher noch DSGVO-konform

E-Mails werden nicht archiviert – obwohl ein Großteil der Mieterkommunikation über E-Mail läuft und steuerliche sowie mietrechtliche Relevanz hat

Kein Löschkonzept – Mieterdaten aus abgeschlossenen Mietverhältnissen liegen unbegrenzt im System, weil niemand weiß, wann und was zu löschen ist

Kein Verarbeitungsverzeichnis – die Anforderung existiert seit 2018, in vielen kleinen Verwaltungen ist sie noch nie umgesetzt worden

Backup ohne Prüfung – eine externe Festplatte gilt als Backup, aber niemand hat je getestet, ob die Wiederherstellung funktioniert

Kein Zugriffsschutz – Mieterdaten sind für alle Mitarbeiter im Netzwerk zugänglich, obwohl nur bestimmte Personen Zugriff haben sollten

Was Immobilienverwalter jetzt konkret tun sollten

Sofort:

  • Bestandsaufnahme: Wo liegen aktuell alle Mieterdaten, Verträge und Abrechnungen?
  • Zugriffsrechte prüfen: Wer kann auf welche Daten zugreifen – und wer sollte es eigentlich nicht?
  • Backup-Strategie testen: Existiert ein funktionierendes, regelmäßig geprüftes Backup?

Kurzfristig:

  • Löschkonzept erstellen: Welche Daten werden wann gelöscht – nach Mietvertragsende, nach Ablauf der Aufbewahrungsfrist?
  • E-Mail-Archivierung einrichten: Revisionssichere Archivierung aller geschäftlichen E-Mails, idealerweise automatisiert
  • Verarbeitungsverzeichnis aufsetzen: Eine strukturierte Übersicht aller Verarbeitungstätigkeiten

Mittelfristig:

  • Revisionssichere Dokumentenverwaltung einführen: Weg von Windows-Ordnern hin zu einem System, das GoBD-konforme Ablage automatisch gewährleistet
  • Jährliche Datenschutzschulung für alle Mitarbeiter etablieren
  • Datenschutzerklärung und Website-Konformität prüfen
Eine sauber aufgestellte IT-Infrastruktur ist die Grundlage für DSGVO- und GoBD-Konformität – und sie muss nicht kompliziert sein. Garske Systems begleitet Immobilienverwalter von der Bestandsaufnahme bis zur funktionierenden Lösung: revisionssichere Ablage, automatische Archivierung, klare Zugriffsstrukturen. Ob sich das für Ihre Verwaltung rechnet, können Sie in unter 10 Minuten selbst durchrechnen: https://s.garsys.de/knrechner

Fazit

DSGVO und GoBD sind kein Widerspruch – sie sind zwei Seiten derselben Medaille. Beide verlangen, dass Daten strukturiert, geschützt, nachvollziehbar und für die richtige Dauer aufbewahrt werden. Für Immobilienverwalter, die täglich mit Mieterdaten, Abrechnungen und Verträgen arbeiten, sind beide Regelwerke täglich relevant.

Die gute Nachricht: Wer seine IT einmal sauber aufgestellt hat – mit revisionssicherer Ablage, einer funktionierenden Backup-Strategie und klaren Zugriffsrechten –, erfüllt den Großteil der Anforderungen automatisch. Der Aufwand steckt im Aufsetzen, nicht im laufenden Betrieb.