Die DSGVO betrifft jeden Immobilienmakler, der personenbezogene Daten verarbeitet -- und das tust du bei jeder Anfrage, jedem Expose-Versand und jedem Notartermin. Die gute Nachricht: Mit einem klaren System lässt sich Datenschutz im Makleralltag umsetzen, ohne dass du dafür Jura studieren musst. Dieser Ratgeber zeigt dir die konkreten Pflichten und häufigsten Fehler.
Warum DSGVO für Makler besonders relevant ist
Als Immobilienmakler verarbeitest du täglich sensible Daten: Namen, Adressen, Telefonnummern, Einkommensverhältnisse, Finanzierungszusagen, Grundbuchauszüge. Du gibst Käufer-Daten an Verkäufer weiter, leitest Finanzierungsunterlagen an Banken und teilst Objektunterlagen mit Dutzenden Interessenten.
Laut einer Studie der Datenschutzkonferenz (DSK) gehören Immobilienmakler zu den Branchen mit überdurchschnittlich vielen Datenschutzbeschwerden. Die Gründe:
- Hohe Anzahl an Kontakten und Datenweitergaben
- Umgang mit besonders schützenswerten Daten (Finanzen, Familienverhältnisse)
- Oft fehlende systematische Prozesse
- Viele manülle Arbeitsschritte per E-Mail
Bussgelder können bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes betragen. In der Praxis bewegen sich Strafen für kleine Unternehmen im Bereich von 5.000 bis 50.000 Euro -- genug, um einem Einzelmakler ernsthaft wehzutun.
Rechtsgrundlagen: Wann darfst du Daten verarbeiten?
Die DSGVO erlaubt Datenverarbeitung nur, wenn eine Rechtsgrundlage vorliegt. Für Makler sind drei relevant:
1. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Du darfst Daten verarbeiten, die zur Erfüllung eines Vertrags nötig sind. Das betrifft:
- Daten des Verkäufers im Rahmen des Maklervertrags
- Daten von Kaufinteressenten, die eine Anfrage stellen
- Weitergabe an Notar, Bank und Verkäufer im Rahmen der Transaktion
Wichtig: Diese Rechtsgrundlage gilt nur für die konkrete Transaktion. Du darfst die Daten nicht einfach für andere Zwecke verwenden.
2. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Du darfst Daten verarbeiten, wenn du ein berechtigtes Interesse hast und die Interessen der betroffenen Person nicht überwiegen. Beispiele:
- Speicherung von Interessenten-Daten für spätere Objektangebote (mit Widerspruchsmöglichkeit)
- Bonitätsprüfungen vor Weiterleitung an den Verkäufer
- Dokumentation des Vermittlungsprozesses zur Provisionsabsicherung
3. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Für alles, was über die Vertragserfüllung und berechtigte Interessen hinausgeht, brauchst du eine ausdrückliche Einwilligung:
- Newsletter-Versand und E-Mail-Marketing
- Weitergabe an Dritte außerhalb der Transaktion
- Nutzung von Fotos mit erkennbaren Personen
- Tracking und Analyse von Nutzerverhalten
Die 8 wichtigsten DSGVO-Pflichten für Makler
1. Datenschutzerklärung und Informationspflichten
Du musst jeden Betroffenen informieren, bevor du seine Daten verarbeitest. Das betrifft:
- Website: Datenschutzerklärung mit allen Pflichtangaben
- Expose-Anfragen: Information bei Erstkontakt (per E-Mail oder im Portal)
- Besichtigungen: Datenschutzhinweis bei Erfassung von Teilnehmerdaten
- Verkäufer: Information im Maklervertrag oder als Anlage
Die Information muss enthalten: Wer verarbeitet (Name, Kontakt), was wird verarbeitet, warum, wie lange, welche Rechte bestehen.
Praxistipp: Erstelle eine Standard-Datenschutzinformation als Textbaustein, den du bei jedem Erstkontakt mitsendest. Noch besser: Integriere die Information direkt in dein Kundenportal, damit Interessenten sie automatisch bei der Registrierung erhalten.
2. Auftragsverarbeitungsverträge (AVV)
Wenn ein Dienstleister in deinem Auftrag personenbezogene Daten verarbeitet, brauchst du einen AVV. Das betrifft:
- CRM-Anbieter (Propstack, OnOffice, etc.)
- E-Mail-Marketing-Tools (MailerLite, Mailchimp, etc.)
- Cloud-Speicher (Google Drive, Dropbox, etc.)
- Website-Hosting
- Kundenportal-Software
- Buchhaltungssoftware
Häufiger Fehler: Viele Makler vergessen den AVV mit ihrem CRM-Anbieter. Die meisten Anbieter stellen AVVs als Standarddokument bereit -- du musst sie nur abschließen und ablegen.
Checkliste AVV:
- CRM-System
- E-Mail-Provider
- Cloud-Speicher
- Website/Hosting
- Newsletter-Tool
- Kundenportal
- Terminbuchungs-Tool
- Video-Call-Software
3. Einwilligungsmanagement
Für Newsletter und E-Mail-Marketing brauchst du eine nachweisbare Einwilligung. Das bedeutet:
- Double-Opt-in für Newsletter-Anmeldungen
- Dokumentation des Einwilligungszeitpunkts und -umfangs
- Einfache Abmeldemöglichkeit in jeder E-Mail
- Keine vorgeprüften Checkboxen auf Formularen
Wenn du dein E-Mail-Chaos in den Griff bekommen willst, achte von Anfang an auf saubere Einwilligungen.
4. Fotorechte und Objektbilder
Hier wird es für Makler besonders relevant:
Innenaufnahmen: Wenn persönliche Gegenstände erkennbar sind (Familienfotos, Dokumente), solltest du die Einwilligung des Eigentümers einholen. Am besten: Räume vor dem Fotografieren neutralisieren.
Außenaufnahmen: Grundsätzlich durch die Panoramafreiheit gedeckt, solange von öffentlichem Grund fotografiert. Drohnenaufnahmen sind problematischer.
Personen auf Bildern: Erkennbare Personen müssen einwilligen. Bei Besichtigungsfotos mit Interessenten: immer vorher fragen.
Nachbarhäuser: Achte darauf, dass Nachbargrundstücke nicht ungewollt detailliert abgebildet werden -- besonders bei Drohnenaufnahmen.
Praxistipp: Integriere eine Fotofreigabe-Klausel in deinen Maklervertrag. Das spart spätere Diskussionen.
5. Weitergabe von Käufer-Daten an Verkäufer
Ein klassisches Makler-Szenario: Der Verkäufer will wissen, wer sich für sein Objekt interessiert. Darfst du Käufer-Daten weitergeben?
Ja, aber nur unter Bedingungen:
- Nur Daten, die für die Transaktion relevant sind (Name, Kontakt, ggf. Finanzierungsbestätigung)
- Nur an den konkreten Verkäufer des angefragten Objekts
- Der Käufer muss über die Weitergabe informiert sein
- Keine Weitergabe sensibler Zusatzinformationen (detaillierte Einkommensverhältnisse, Familienstand)
Best Practice: Informiere Kaufinteressenten bereits bei der Anfrage, dass ihre Kontaktdaten im Rahmen des Vermittlungsprozesses an den Eigentümer weitergegeben werden können. Ein strukturierter Dokumenten-Prozess hilft dabei, den Überblick zu behalten.
6. Löschfristen und Aufbewahrungspflichten
Die DSGVO verlangt, dass du Daten löschst, sobald der Zweck entfällt. Gleichzeitig gibt es gesetzliche Aufbewahrungspflichten:
| Datenart | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Rechnungen, Provisionsabrechnungen | 10 Jahre | HGB, AO |
| Geschäftsbriefe (inkl. E-Mails) | 6 Jahre | HGB |
| Maklervertrag | 3 Jahre nach Vertragsende (Verjährung) | BGB |
| Interessenten-Daten (ohne Abschluss) | 6 Monate nach letztem Kontakt | DSGVO |
| Besichtigungslisten | Bis Vermarktungsende + 6 Monate | DSGVO |
| Expose-Anfragen | 6-12 Monate | DSGVO |
| Geldwäschedokumentation | 5 Jahre | GwG |
Praxistipp: Richte in deinem CRM eine halbjährliche Routine ein, um veraltete Kontakte zu prüfen und zu löschen. Die meisten CRM-Systeme bieten dafür Filter- und Exportfunktionen.
7. Geldwäschegesetz und DSGVO
Als Immobilienmakler bist du nach dem Geldwäschegesetz (GwG) verpflichtet, deine Kunden zu identifizieren und verdächtige Transaktionen zu melden. Das steht nicht im Widerspruch zur DSGVO -- die GwG-Pflichten sind eine eigene Rechtsgrundlage (Art. 6 Abs. 1 lit. c DSGVO).
Du darfst und musst:
- Identität der Vertragsparteien prüfen (Personalausweis)
- Kopien der Ausweisdokumente anfertigen und aufbewahren
- Wirtschaftlich Berechtigte ermitteln
- Verdachtsanzeigen an die FIU übermitteln
Diese Daten müssen 5 Jahre aufbewahrt und danach gelöscht werden.
8. Technische und organisatorische Maßnahmen (TOM)
Du musst angemessene SchutzMaßnahmen für personenbezogene Daten treffen:
- Passwörter: Sichere Passwörter für alle Systeme, Zwei-Faktor-Authentifizierung
- Verschlüsselung: E-Mails mit sensiblen Anhängen verschlüsseln oder über sichere Portale teilen
- Zugriffskontrolle: Wer in deinem Team hat Zugriff auf welche Daten?
- Backups: Regelmäßige Datensicherung
- Mobile Geräte: Smartphones und Tablets mit PIN/Fingerabdruck schützen
- Papierunterlagen: Abschliessbare Schränke für physische Dokumente
Die 5 häufigsten DSGVO-Fehler bei Maklern
Fehler 1: CC statt BCC bei Massen-E-Mails
Du schickst eine E-Mail an 30 Kaufinteressenten und setzt alle in CC. Damit gibst du die E-Mail-Adressen aller Empfänger an alle anderen weiter -- ein klarer DSGVO-Verstoss.
Lösung: Nutze immer BCC für Gruppen-E-Mails. Besser: Verwende ein E-Mail-Marketing-Tool oder ein Kundenportal für die Kommunikation mit mehreren Interessenten.
Fehler 2: WhatsApp für Geschäftskommunikation
WhatsApp in der Standardversion ist nicht DSGVO-konform für geschäftliche Nutzung. Die App greift auf alle Kontakte des Telefons zu und übermittelt Daten in die USA.
Lösung: Wenn WhatsApp, dann die Business-Version mit separatem Gerät. Besser: Offizielle Kommunikationskanäle nutzen -- E-Mail oder strukturierte Portale.
Fehler 3: Expose-Versand ohne Datenschutzhinweis
Du sendest ein Expose per E-Mail, ohne den Empfänger darüber zu informieren, wie du seine Daten verarbeitest.
Lösung: Füge deiner Expose-E-Mail einen kurzen Datenschutzhinweis hinzu oder verlinke auf deine Datenschutzerklärung.
Fehler 4: Keine Löschkonzepte
Kontakte von 2019 liegen noch im CRM, obwohl nie ein Vertrag zustande kam und seit Jahren kein Kontakt bestand.
Lösung: Halbjährlicher Review deiner Kontakte. CRM-Filter nach "letzter Kontakt älter als 12 Monate" setzen und prüfen.
Fehler 5: Dokumente per unverschlüsselter E-Mail
Grundbuchauszüge, Finanzierungsbestätigungen und Ausweiskopien als unverschlüsselte E-Mail-Anhänge -- das ist leider Alltag bei vielen Maklern.
Lösung: Sensible Dokumente über verschlüsselte Kanäle oder ein Kundenportal mit Zugangskontrolle teilen. Das ist nicht nur sicherer, sondern auch professioneller.
DSGVO-konforme Tools für Makler
Die Wahl der richtigen Software hilft enorm:
- CRM: Systeme mit Sitz in der EU und AVV (Propstack, OnOffice) -- mehr dazu im CRM-Vergleich
- E-Mail-Marketing: Tools mit Double-Opt-in und EU-Serverstandort
- Dokumenten-Sharing: Portale mit Zugangskontrolle statt offene Cloud-Links
- Terminbuchung: DSGVO-konforme Buchungstools statt Doodle
Portalist wurde von Anfang an mit Datenschutz im Fokus entwickelt: Serverstandort Deutschland, AVV inklusive, Zugangskontrolle über Magic Links, und keine Weitergabe von Daten an Dritte. Wenn du sensible Verkaufsdokumente teilen musst, ist ein Portal mit Zugriffskontrolle die sicherste Lösung.
Checkliste: DSGVO-Compliance für Makler
Nutze diese Checkliste als Startpunkt:
- Datenschutzerklärung auf der Website aktüll
- Verzeichnis der Verarbeitungstätigkeiten erstellt
- AVVs mit allen Dienstleistern abgeschlossen
- Einwilligungen für Newsletter dokumentiert
- Datenschutzhinweis bei Erstkontakt (E-Mail-Textbaustein)
- Fotofreigabe-Klausel im Maklervertrag
- Löschkonzept definiert und halbjährlich umgesetzt
- Technische SchutzMaßnahmen dokumentiert
- Mitarbeiter geschult (jährlich)
- Datenschutzbeauftragter benannt (ab 20 Mitarbeitern Pflicht)
Fazit
DSGVO ist kein Hexenwerk, aber auch kein Thema, das du ignorieren kannst. Die wichtigsten Punkte: Informiere Betroffene, schliesse AVVs ab, lösche Daten nach Fristablauf, und verwende sichere Kanäle für sensible Dokumente.
Der grösste Hebel ist die Wahl der richtigen Tools. Ein DSGVO-konformes CRM, sichere Dokumenten-Portale und saubere E-Mail-Prozesse lösen 80 Prozent der Probleme automatisch. Investiere einmal einen Tag in die Grundlagen -- danach läuft es im Alltag fast von allein.
Dieser Artikel stellt keine Rechtsberatung dar. Bei konkreten Fragen wende dich an einen auf Datenschutzrecht spezialisierten Anwalt.
