DSGVO und Immobilienmakler – das klingt nach Stress, Abmahnungen und stundenlangem Lesen von Gesetzestexten. Dabei lässt sich der Kern auf wenige Grundsätze herunterbrechen, die den Alltag wirklich strukturieren. Hier ist der Guide, den ich mir gewünscht hätte, als ich damals selbst angefangen habe.
Warum Makler beim Datenschutz besonders aufpassen müssen
Makler verarbeiten täglich sensible Daten. Namen, Adressen, Einkommensnachweise, Bonitätsauskünfte, Kaufpreisvorstellungen – alles personenbezogen, alles schützenswert. Gleichzeitig kommuniziert ihr über viele Kanäle: E-Mail, WhatsApp, Telefon, Exposé-Versand, Portale.
Je mehr Kanäle, desto mehr Angriffsfläche. Und desto schwieriger wird es, den Überblick zu behalten, wer welche Daten von wem hat.
Das Bußgeldrisiko ist real. Die Datenschutzbehörden haben in den letzten Jahren deutlich schärfer kontrolliert – auch in der Immobilienbranche. Ein schlecht formuliertes Kontaktformular, ein Exposé ohne Datenschutzhinweis oder eine ungesicherte E-Mail mit Bonitätsunterlagen kann teuer werden.
Die Rechtsgrundlage: Worauf du dich stützen kannst
Für fast jede Datenverarbeitung brauchst du eine Rechtsgrundlage nach Art. 6 DSGVO. Im Makleralltag sind das meistens drei:
Vertragserfüllung (Art. 6 Abs. 1 lit. b): Wenn ein Interessent ein Objekt besichtigt und du danach seine Kontaktdaten speicherst, um den Kauf abzuwickeln, ist das durch die Vertragsanbahnung gedeckt. Du brauchst keine extra Einwilligung.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Für Follow-up-E-Mails nach einer Besichtigung oder das Zusenden von vergleichbaren Objekten kannst du dich auf dein berechtigtes Interesse berufen – solange das Interesse des Betroffenen nicht überwiegt. Das ist allerdings immer eine Abwägung im Einzelfall.
Einwilligung (Art. 6 Abs. 1 lit. a): Die Einwilligung ist die sicherste Grundlage, aber auch die aufwendigste. Du brauchst sie zum Beispiel für Newsletter oder Werbeansprachen, die über den konkreten Kaufprozess hinausgehen.
Ein häufiger Fehler: Makler holen pauschal Einwilligungen für alles ein – und vergessen dabei, dass Einwilligungen auch widerrufen werden können. Wer eine saubere Vertragsgrundlage hat, ist oft besser dran.
Exposé-Versand: Das unterschätzte Datenschutz-Problem
Wenn du ein Exposé per E-Mail verschickst, passieren mehrere Dinge gleichzeitig:
Du teilst Daten über den Verkäufer (Adresse, Grundriss, manchmal sogar persönliche Informationen zur Situation). Du sammelst implizit Daten über den Empfänger (wer hat geöffnet, wer hat geklickt). Und du verlierst die Kontrolle darüber, wohin das PDF danach geht.
Das klassische PDF-Exposé hat hier strukturelle Schwächen. Es lässt sich kopieren, weiterleiten, auf unsicheren Geräten speichern. Für den Verkäufer bedeutet das: Seine Daten kursieren unkontrolliert.
Besser ist ein Ansatz über geschützte Links, bei dem der Interessent sich identifizieren muss, bevor er das Exposé sieht. Magic Links lösen genau das: Der Zugang ist personalisiert, du weißt wer das Objekt angesehen hat, und das PDF landet nicht ungeschützt in fremden Postfächern.
Das ist kein Luxus – das ist Datenschutz in der Praxis.
Datenschutzerklärung und Hinweispflichten
Jede Webseite, jedes Kontaktformular, jeder Newsletter braucht eine aktuelle Datenschutzerklärung. Das wissen die meisten Makler. Aber es gibt Fallstricke:
Die Datenschutzerklärung muss konkret benennen, welche Tools du einsetzt. Google Analytics, ein CRM-System, eine Kalender-App mit Cloud-Speicher – alles muss rein. Viele Makler haben hier veraltete Erklärungen, die noch Tools nennen, die längst nicht mehr genutzt werden, oder neue Tools unterschlagen.
Außerdem: Der Hinweis auf Datenschutz gehört nicht nur auf die Website. Wenn du Interessenten anschreibst und dabei erstmals ihre Daten verarbeitest, müssen sie über Art, Zweck und Dauer der Speicherung informiert werden. Das kann ein einfacher Satz am Ende der E-Mail sein – aber er muss da sein.
Für Kaufinteressenten, die du in deinem CRM speicherst, gilt dasselbe. Informationspflicht nach Art. 13 DSGVO, am besten direkt beim ersten Kontakt.
WhatsApp im Makleralltag: Ja oder Nein?
Viele Makler nutzen WhatsApp für die Kundenkommunikation. Es ist schnell, alle kennen es, die Hürde ist niedrig. Datenschutzrechtlich ist es aber problematisch.
Das Hauptproblem: WhatsApp überträgt Telefonnummern aus dem Adressbuch automatisch an Meta-Server – auch die der Kontakte, die selbst kein WhatsApp haben. Für Makler bedeutet das: Wenn du die Nummer eines Interessenten im Handy hast und WhatsApp nutzt, werden diese Daten ohne Einwilligung des Betroffenen übermittelt.
Die WhatsApp Business API ist datenschutzrechtlich besser aufgestellt und erlaubt eine sauberere Auftragsverarbeitung. Wenn du WhatsApp im Geschäftsumfeld nutzen willst, ist das der richtige Weg.
Meine Empfehlung: Für die tägliche Kundenkommunikation einen Kanal nutzen, der unter eigener Kontrolle liegt. Entweder ein verschlüsselter Messenger mit AVV-Option, oder – besser noch – eine Plattform, auf der die Kommunikation dokumentiert und zentral abrufbar ist. Nicht zuletzt deswegen, weil du im Streitfall nachweisen musst, was wann kommuniziert wurde.
Auftragsverarbeitung: Welche Tools brauchen einen AVV?
Immer wenn du ein Tool einsetzt, das personenbezogene Daten in deinem Auftrag verarbeitet, brauchst du einen Auftragsverarbeitungsvertrag (AVV). Das gilt für:
- CRM-Systeme (Propstack, onOffice, FlowFact)
- E-Mail-Marketing-Tools
- Cloud-Speicher, auf dem Kundendokumente liegen
- Portale, über die Interessenten ihre Daten eingeben
Viele Anbieter stellen den AVV automatisch bereit oder legen ihn den AGB bei. Trotzdem lohnt es sich, das einmal aktiv zu prüfen – nicht blind darauf vertrauen, dass der Anbieter das schon geregelt hat.
Löschkonzept: Daten, die irgendwann weg müssen
Daten dürfen nicht ewig gespeichert werden. Das ist eine der Grundanforderungen der DSGVO, die im Makleralltag am meisten vernachlässigt wird.
Ein praktisches Löschkonzept sieht so aus:
- Interessenten, die nie eine Besichtigung hatten: nach 6 Monaten löschen
- Interessenten nach Besichtigung ohne Abschluss: nach 12 Monaten löschen
- Käufer- und Verkäuferdaten nach Abschluss: Aufbewahrungspflichten beachten (steuerrechtlich bis zu 10 Jahre), danach löschen
- Bewerberfotos und Bonitätsunterlagen: nach Abschluss des Auswahlprozesses sofort löschen
Das klingt aufwendig, lässt sich aber in vielen CRM-Systemen automatisieren. Wer das nicht automatisiert, sollte zumindest eine quartalsweise Erinnerung einrichten.
Dokumentation: Im Ernstfall der Unterschied
Wenn eine Datenschutzbehörde anfrägt, musst du nachweisen können, dass du die DSGVO einhältst. Das nennt sich Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).
Zur Dokumentation gehören:
- Verarbeitungsverzeichnis (wer verarbeitet welche Daten zu welchem Zweck)
- Abgeschlossene AVVs mit allen Dienstleistern
- Einwilligungen, sofern du sie als Rechtsgrundlage nutzt
- Nachweis der Datenschutzhinweise gegenüber Betroffenen
Das klingt bürokratisch, ist aber in den meisten Fällen mit einem halben Tag Arbeit aufgebaut. Danach reicht regelmäßige Pflege.
Prozesstransparenz als Datenschutz-Feature
Es gibt einen oft übersehenen Zusammenhang zwischen Prozesstransparenz und Datenschutz: Wenn alle Beteiligten in einem zentralen, gesicherten Portal kommunizieren, entstehen weniger Datenlecks. Kein Dokument wandert unkontrolliert durch E-Mail-Postfächer. Kein Käufer schickt Gehaltsauskünfte per WhatsApp.
Das Datei-Upload-Feature von Portalist ist ein gutes Beispiel: Statt dass Kaufinteressenten Bonitätsunterlagen per E-Mail schicken, laden sie die Dokumente direkt in das gesicherte Portal hoch. Der Makler sieht sie, der Interessent sieht sie, niemand sonst. Kein Forwarding, keine CC-Fehler, keine verlorenen Anhänge.
DSGVO-konform kommunizieren heißt nicht nur: die richtigen Texte haben. Es heißt: die richtigen Prozesse haben.
Der praktische Einstieg
Wer seine DSGVO-Compliance heute verbessern will, sollte mit drei Schritten starten:
Erstens: Datenschutzerklärung prüfen und aktualisieren – auf der Website, in E-Mail-Vorlagen, in Exposés.
Zweitens: AVVs prüfen – für jedes Tool, das Kundendaten verarbeitet.
Drittens: Kommunikationskanäle konsolidieren – weniger Kanäle bedeutet weniger Angriffsfläche und leichtere Dokumentation.
DSGVO ist kein Projekt, das man einmal abschließt. Aber wenn die Grundstruktur steht, ist der laufende Aufwand überschaubar – und man schläft deutlich besser.
