DSGVO-konforme Wohnungsübergabe – Was Vermieter wissen müssen

Fotos von Schäden, Zählerstände, Kontaktdaten des Mieters – bei jeder Wohnungsübergabe verarbeiten Vermieter personenbezogene Daten. Doch was genau sagt die DSGVO dazu? Was dürfen Sie speichern, was nicht? Und ist die Cloud überhaupt erlaubt?

Die Sorge vor hohen Bußgeldern ist weit verbreitet, aber oft unbegründet – solange Sie einige klare Grundregeln einhalten. Dieser Guide erklärt verständlich und praxisnah, wie Sie Ihre Wohnungsübergaben datenschutzkonform gestalten, welche Speicherlösungen sicher sind und wann Sie tatsächlich aufpassen müssen.

DSGVO-Grundlagen für Vermieter

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 in der gesamten EU. Sie regelt, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden dürfen. Das Ziel: den Schutz natürlicher Personen sicherstellen, Transparenz bei der Datenverarbeitung schaffen und die Datenerhebung auf das Notwendige begrenzen. Wichtig dabei: Die DSGVO gilt nicht nur für große Unternehmen. Auch Privatvermieter mit einer einzelnen Mietwohnung sind betroffen, sobald sie personenbezogene Daten verarbeiten.

Welche Daten fallen bei einer Übergabe unter die DSGVO?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen. Bei einer Wohnungsübergabe betrifft das unter anderem: den Namen des Mieters, Adresse, Telefonnummer und E-Mail-Adresse, die Unterschrift auf dem Protokoll sowie Fotos, auf denen Personen erkennbar sind. Auch scheinbar harmlose Kombinationen – etwa eine Adresse zusammen mit einem Übergabedatum – können personenbezogen sein, weil sich daraus Rückschlüsse auf eine bestimmte Person ziehen lassen.

Wann bin ich als Vermieter betroffen?

Kurz gesagt: bei nahezu jeder professionellen Wohnungsübergabe. Sobald Sie ein Übergabeprotokoll erstellen, Fotos dokumentieren, Zählerstände speichern oder Mieterdaten digital verwalten, verarbeiten Sie Daten im Sinne der DSGVO. Das gilt unabhängig davon, ob Sie eine oder zehn Wohnungen vermieten.

Welche Daten dürfen bei der Übergabe gespeichert werden?

Die gute Nachricht: Nicht jede Datenspeicherung bei der Wohnungsübergabe ist problematisch. Entscheidend ist, ob die Daten zur Vertragsdurchführung erforderlich sind.

Erlaubte Daten

Typische Daten im Übergabeprotokoll – Zählerstände, Zustand der Räume, dokumentierte Schäden, Schlüsselanzahl, Übergabedatum und Unterschriften – sind unproblematisch. Sie dienen der ordnungsgemäßen Durchführung des Mietvertrags und sind nach Art. 6 Abs. 1 lit. b DSGVO erlaubt:

Da das Übergabeprotokoll Teil der ordnungsgemäßen Mietvertragsdurchführung ist, benötigen Sie für diese Standarddaten in der Regel keine gesonderte Einwilligung des Mieters.

Problematische Daten

Vorsicht ist geboten bei Daten, die über die reine Vertragsdokumentation hinausgehen: Fotos, auf denen der Mieter selbst erkennbar ist, Gesundheitsinformationen, Angaben zu familiären Verhältnissen oder persönliche Notizen ohne Vertragsbezug. Diese Daten sind für die Übergabe nicht erforderlich und sollten gar nicht erst erhoben werden. Die Faustregel lautet: Speichern Sie nur das, was Sie für die Dokumentation des Wohnungszustands tatsächlich brauchen – nicht mehr.

Rechtliche Grundlage nach Art. 6 DSGVO

Art. 6 DSGVO nennt mehrere Erlaubnistatbestände für die Datenverarbeitung, darunter Vertragserfüllung, rechtliche Verpflichtung und berechtigtes Interesse. Für Vermieter bei der Wohnungsübergabe ist in den allermeisten Fällen die Vertragserfüllung die passende Grundlage. Eine zusätzliche Einwilligung wird erst dann erforderlich, wenn Sie Daten erheben, die über den reinen Vertragszweck hinausgehen – etwa Fotos des Mieters selbst.

Cloud vs. Offline-Speicherung – Der große Unterschied

Ein zentrales Thema beim Datenschutz rund um die Wohnungsübergabe ist die Frage, wo und wie Sie Protokolle und Fotos speichern.

Risiken bei Cloud-Diensten

Viele Vermieter speichern ihre Übergabeprotokolle in Dropbox, Google Drive, iCloud oder OneDrive – ohne sich über die datenschutzrechtlichen Konsequenzen Gedanken zu machen. Laut dem Bundesbeauftragten für den Datenschutz (BfDI) sollten Vermieter bei Cloud-Diensten prüfen, ob ein sogenannter Drittland-Transfer vorliegt – also ob Daten außerhalb der EU verarbeitet werden.

Ist das der Fall, gelten zusätzliche Anforderungen wie Standardvertragsklauseln oder ein Angemessenheitsbeschluss der EU-Kommission. Ohne diese Absicherung riskieren Sie Kontrollverlust über die Mieterdaten, mögliche Abmahnungen und im schlimmsten Fall Bußgelder. Gerade bei sensiblen Daten wie Protokollen mit Unterschriften und Wohnungsfotos kann das kritisch werden.

Vorteile lokaler Speicherung

Lokale Speicherung bedeutet: Die Daten bleiben auf Ihrem eigenen Gerät. Es gibt keinen automatischen Upload, keinen Server-Zugriff durch Dritte und keinen Drittland-Transfer. Damit entfallen auf einen Schlag mehrere komplexe DSGVO-Anforderungen: Sie brauchen keinen Auftragsverarbeitungsvertrag, keine Cloud-Prüfung und keine Standardvertragsklauseln.

Offline-First als datenschutzfreundlichste Lösung

Einen Schritt weiter geht das Offline-First-Prinzip: Hierbei werden Daten nicht nur lokal gespeichert, sondern die App funktioniert komplett ohne Internetverbindung. Es findet zu keinem Zeitpunkt ein Datentransfer zu externen Servern statt.

Apps wie WohnungsCheck arbeiten nach genau diesem Prinzip: Alle Daten – Protokolle, Fotos, Unterschriften – bleiben ausschließlich auf dem Gerät des Nutzers. Keine Cloud, keine Server, keine Datenübertragung. Für viele Vermieter ist das die einfachste Art, Datenschutzanforderungen bei Wohnungsübergaben zu erfüllen, ohne sich mit komplexen Cloud-Prüfungen beschäftigen zu müssen.

Aufbewahrungspflichten und Löschfristen

Neben der Frage, wo Sie Daten speichern, ist ebenso wichtig: Wie lange dürfen oder müssen Sie Protokolle und Mieterdaten aufbewahren?

Wie lange müssen Übergabeprotokolle aufbewahrt werden?

Eine gesetzlich festgelegte Aufbewahrungspflicht speziell für Übergabeprotokolle gibt es nicht. In der Praxis orientieren sich die meisten Vermieter an zwei Fristen: der allgemeinen Verjährungsfrist von drei Jahren (ab Ende des Jahres, in dem der Anspruch entstanden ist) und den steuerrechtlichen Aufbewahrungsfristen von bis zu zehn Jahren, falls das Protokoll einen Bezug zur Buchhaltung hat – etwa bei Kautionsabrechnungen oder Schadensersatzforderungen.

Wann müssen Daten gelöscht werden?

Die DSGVO ist hier klar: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den ursprünglichen Zweck erforderlich ist. Ist der Mietvertrag beendet, die Kaution vollständig abgerechnet und alle Ansprüche geklärt, entfällt die Grundlage für die Speicherung. Ab diesem Zeitpunkt sollten Sie die Daten löschen oder zumindest anonymisieren – also so aufbereiten, dass kein Rückschluss auf eine bestimmte Person mehr möglich ist.

Dokumentationspflicht

Es empfiehlt sich, intern festzuhalten, welche Daten Sie speichern, warum Sie sie speichern und wie lange Sie sie aufbewahren. Das muss kein kompliziertes Verzeichnis sein – eine einfache Übersicht reicht. Diese Transparenz hilft Ihnen im Fall einer behördlichen Prüfung oder wenn ein Mieter sein Auskunftsrecht geltend macht.

Bußgelder vermeiden – Praktische Checkliste

Datenschutz bei der Wohnungsübergabe muss nicht kompliziert sein. Entscheidend ist ein strukturiertes Vorgehen.

Einwilligung einholen – wann ist das nötig?

Bei normalen Übergabeprotokollen ist eine gesonderte Einwilligung des Mieters in der Regel nicht erforderlich, da die Datenverarbeitung auf der Vertragserfüllung basiert. Eine Einwilligung wird jedoch notwendig, wenn Sie Fotos erstellen, auf denen der Mieter selbst erkennbar ist, oder wenn Sie Daten über den reinen Vertragszweck hinaus verarbeiten möchten.

Datenschutzerklärung – brauche ich eine?

Wenn Sie systematisch Mieterdaten verarbeiten – also bei mehreren Wohnungen oder bei digitaler Verwaltung – ist eine kurze, angepasste Datenschutzerklärung sinnvoll. Sie informiert den Mieter darüber, welche Daten Sie erheben, auf welcher Rechtsgrundlage und wie lange diese gespeichert werden. Bei einem einzelnen Mietverhältnis mit Papierprotokoll ist der Aufwand in der Praxis allerdings gering.

Auskunftsrecht des Mieters nach Art. 15 DSGVO

Jeder Mieter hat nach Art. 15 DSGVO das Recht, von Ihnen Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten Sie über ihn gespeichert haben. Konkret kann der Mieter erfahren wollen, welche Daten gespeichert sind, zu welchem Zweck und wie lange die Speicherung vorgesehen ist. Sie sind verpflichtet, innerhalb eines Monats zu antworten. Wer seine Daten von Anfang an strukturiert ablegt, kann solche Anfragen ohne großen Aufwand beantworten.

Häufig gestellte Fragen zur DSGVO bei der Wohnungsübergabe

Muss ich als Vermieter einen Datenschutzbeauftragten bestellen?

In der Regel nicht. Die Pflicht zur Bestellung eines Datenschutzbeauftragten entsteht erst, wenn mindestens 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Für Kleinvermieter und kleine Hausverwaltungen ist das praktisch nie der Fall.

Darf ich Fotos vom Mieter machen?

Fotos, auf denen der Mieter erkennbar ist, sind nur mit dessen ausdrücklicher Einwilligung zulässig. Für die Dokumentation der Wohnungsübergabe sind solche Fotos aber auch gar nicht nötig: Fotografieren Sie den Zustand der Räume, Wände, Böden und Geräte – nicht die anwesenden Personen.

Sind WhatsApp-Nachrichten mit Mietern DSGVO-konform?

Das ist problematisch. WhatsApp überträgt Metadaten und Kontaktinformationen an Meta (ehemals Facebook). Für die reine Terminabstimmung mag das noch vertretbar sein, aber Übergabeprotokolle oder Fotos mit personenbezogenen Daten sollten Sie nicht über WhatsApp teilen. E-Mail oder eine direkte Übergabe als PDF sind die sichereren Alternativen.

Was passiert bei einem DSGVO-Verstoß?

Theoretisch drohen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes. In der Praxis sind die Beträge bei kleinen Vermietern deutlich niedriger – aber auch einige Tausend Euro Bußgeld oder Schadensersatzforderungen eines Mieters können unangenehm werden. Vorbeugen ist daher günstiger als nachbessern.

Darf ich Übergabeprotokolle in Dropbox speichern?

Grundsätzlich ja – aber nur unter bestimmten Voraussetzungen. Sie müssen sicherstellen, dass kein unzulässiger Transfer in Drittländer stattfindet und ein Auftragsverarbeitungsvertrag mit Dropbox vorliegt. In der Praxis ist das für viele Vermieter schwer zu prüfen. Die einfachere und sicherere Alternative: lokale Speicherung direkt auf dem eigenen Gerät.

Brauche ich eine Einwilligung für Fotos der Wohnung?

Nein, solange auf den Fotos keine Personen erkennbar sind. Wohnungsfotos zur Dokumentation des Zustands fallen unter die Vertragserfüllung und sind ohne zusätzliche Einwilligung erlaubt. Achten Sie einfach darauf, dass der Mieter nicht versehentlich im Hintergrund zu sehen ist.

Wie lange darf ich Mieterdaten nach dem Auszug speichern?

So lange, wie es zur Durchsetzung oder Abwehr von Ansprüchen erforderlich ist. In der Praxis bedeutet das meist drei Jahre (reguläre Verjährungsfrist) bis maximal zehn Jahre (bei steuerrechtlichem Bezug). Danach sollten Sie die Daten löschen.

Fazit

DSGVO-konformes Arbeiten bei der Wohnungsübergabe ist kein Hexenwerk – es erfordert lediglich ein paar klare Grundregeln: Speichern Sie nur die Daten, die Sie für die Vertragsdokumentation tatsächlich brauchen. Definieren Sie den Zweck der Speicherung. Beachten Sie Löschfristen, sobald alle Ansprüche geklärt sind. Und prüfen Sie kritisch, wo Ihre Daten liegen.

Für viele Vermieter ist lokale Speicherung der sicherste Weg: kein Drittland-Transfer, kein Auftragsverarbeitungsvertrag, keine komplexe Cloud-Prüfung. Offline-Tools minimieren das DSGVO-Risiko auf ein Minimum, weil schlicht kein Datentransfer zu externen Servern stattfindet.

Mit einem strukturierten Vorgehen wird der Datenschutz bei der Wohnungsübergabe zu einem beherrschbaren Teil Ihrer Vermieterpraxis – ohne unnötige Risiken und ohne Angst vor Bußgeldern.