DSGVO für Makler: Auftragsverarbeitung richtig regeln
Warum die Auftragsverarbeitung für Makler zum DSGVO-Kernthema wird
Immobilienmakler arbeiten heute selten allein. Sie nutzen CRM-Systeme in der Cloud, beauftragen Fotografen, binden Exposé-Portale ein, lassen Telefonakquise durch externe Call-Center durchführen oder setzen auf KI-gestützte Bewertungstools. Jede dieser Kooperationen berührt personenbezogene Daten von Eigentümern, Kauf- und Mietinteressenten – und damit die Datenschutz-Grundverordnung (DSGVO).
Der Begriff, der in all diesen Fällen eine zentrale Rolle spielt, lautet Auftragsverarbeitung. Wer einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, muss nach Artikel 28 DSGVO einen Auftragsverarbeitungsvertrag (AV-Vertrag) schließen. Fehlt dieser, drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für Maklerbüros, die vielleicht mit zehn oder zwölf Dienstleistern arbeiten, wird das schnell zum existenziellen Risiko.
Dieser Leitfaden erklärt praxisnah, welche Pflichten Sie als Immobilienmakler haben, wie Sie rechtssichere AV-Verträge aufsetzen, welche Dienstleister betroffen sind und wie Sie mit einer durchdachten Dokumentation Ihre Akquise-Prozesse absichern.
Was ist eine Auftragsverarbeitung – und was nicht?
Eine Auftragsverarbeitung liegt immer dann vor, wenn ein externer Dienstleister weisungsgebunden personenbezogene Daten im Auftrag des Maklers verarbeitet, ohne selbst über Zwecke und Mittel der Verarbeitung zu entscheiden. Klassische Beispiele:
- Cloud-basiertes Makler-CRM (Propstack, onOffice, FlowFact)
- E-Mail-Marketing-Tools (Mailchimp, Brevo, CleverReach)
- Hosting-Anbieter für die Makler-Website
- Externe Telefonakquise durch Call-Center
- KI-basierte Bewertungs- und Matching-Tools
- Steuerberater (teilweise)
- IT-Dienstleister mit Fernwartungszugang
Keine Auftragsverarbeitung liegt vor bei:
- Eigenverantwortlichen Dritten: Notare, Anwälte, Steuerberater in ihrer originären Beratungstätigkeit
- Gemeinsam Verantwortlichen: Kooperationen mit anderen Maklern auf Augenhöhe (hier greift Art. 26 DSGVO)
- Reinen Telekommunikationsdiensten: Telefonanbieter, Briefzustellung
Die Abgrenzung ist in der Praxis oft schwierig. Als Faustregel gilt: Wer auf Ihre Weisung handelt und Ihre Daten nicht für eigene Zwecke nutzt, ist Auftragsverarbeiter.
Die sieben Pflichtinhalte eines AV-Vertrags
Artikel 28 Abs. 3 DSGVO schreibt vor, welche Punkte ein AV-Vertrag zwingend enthalten muss. Fehlt auch nur ein Element, ist der Vertrag formal unwirksam. Für Immobilienmakler sind das die entscheidenden Inhalte:
1. Gegenstand und Dauer der Verarbeitung
Hier beschreiben Sie präzise, welche Tätigkeit der Dienstleister ausübt. Beispiel: „Bereitstellung einer Cloud-CRM-Lösung zur Verwaltung von Eigentümer- und Interessentendaten für die Dauer des laufenden Lizenzvertrags.“
2. Art und Zweck der Verarbeitung
Konkretisieren Sie: Speicherung, Analyse, Versand von Nachverfolgungs-E-Mails, Bewertungsberechnungen. Der Zweck muss mit Ihrer eigenen Datenschutzerklärung übereinstimmen.
3. Art der personenbezogenen Daten
Typisch für Makler: Stammdaten (Name, Anschrift, Telefon), Objektdaten (Lagepläne, Fotos mit Personenbezug), Finanzdaten (Kaufpreise, Vermögensverhältnisse), Kommunikationsdaten.
4. Kategorien der Betroffenen
Eigentümer, Mietinteressenten, Kaufinteressenten, Beschäftigte, ggf. Kooperationspartner.
5. Rechte und Pflichten des Verantwortlichen (Sie als Makler)
Sie behalten das Weisungsrecht und müssen Kontrollen durchführen können.
6. Pflichten des Auftragsverarbeiters
Vertraulichkeit, technisch-organisatorische Maßnahmen (TOMs), Unterstützung bei Betroffenenrechten, Meldung von Datenpannen innerhalb von 24-72 Stunden.
7. Lösch- und Rückgabepflichten
Nach Vertragsende muss der Dienstleister alle Daten zurückgeben oder löschen – außer gesetzliche Aufbewahrungsfristen stehen dem entgegen.
Die TOMs: Technisch-organisatorische Maßnahmen im Maklerkontext
Ein zentraler Bestandteil jedes AV-Vertrags sind die TOMs nach Artikel 32 DSGVO. Sie beschreiben, wie der Dienstleister Ihre Daten schützt. Für Immobilienmakler sind folgende Maßnahmen besonders relevant:
- Zutrittskontrolle: Serverstandorte in EU, Zutrittssicherung durch Chip-Karten
- Zugangskontrolle: Zwei-Faktor-Authentifizierung, Passwortrichtlinien
- Zugriffskontrolle: Rollen- und Rechtemanagement (Makler sieht nur eigene Eigentümer)
- Trennungskontrolle: Mandantentrennung in Cloud-Systemen
- Pseudonymisierung: z. B. bei Marktanalysen ohne Klarnamen
- Verschlüsselung: TLS 1.3 bei Übertragung, AES-256 bei Speicherung
- Verfügbarkeit: Backup-Konzept, Disaster-Recovery-Plan
- Wiederherstellbarkeit: RTO/RPO im SLA definiert
Fordern Sie vor Vertragsschluss eine aktuelle TOM-Dokumentation an. Zertifizierungen wie ISO 27001, BSI C5 oder TISAX sind wertvolle Indikatoren für ein robustes Sicherheitsniveau.
Unterauftragsverarbeiter: Die versteckte Kette
Nahezu jeder Cloud-Dienstleister bindet selbst Sub-Unternehmen ein – etwa AWS oder Microsoft Azure für die Infrastruktur, Twilio für SMS-Versand, OpenAI für KI-Features. Jeder dieser Sub-Unternehmer ist ein Unterauftragsverarbeiter, der im AV-Vertrag benannt werden muss.
Praxistipp für Makler: Lassen Sie sich eine vollständige Liste der Unterauftragsverarbeiter geben und vereinbaren Sie ein Widerspruchsrecht bei Neuaufnahme. Wechselt Ihr CRM-Anbieter beispielsweise den Hosting-Partner in die USA, müssen Sie ggf. die Einbindung neuer Standardvertragsklauseln prüfen und Ihre Datenschutzerklärung anpassen.
Drittlandtransfer: Das USA-Problem
Viele CRM- und Marketing-Tools haben Serverstandorte oder Mutterkonzerne in den USA. Seit dem Schrems-II-Urteil und dem aktuellen EU-US Data Privacy Framework gelten besondere Anforderungen:
- Prüfen Sie, ob der US-Anbieter nach dem Data Privacy Framework zertifiziert ist (Liste: dataprivacyframework.gov).
- Schließen Sie zusätzlich Standardvertragsklauseln (SCC) ab.
- Führen Sie ein Transfer Impact Assessment (TIA) durch – also eine Risikoanalyse der konkreten Übermittlung.
- Dokumentieren Sie das Ergebnis schriftlich.
Für besonders sensible Eigentümerdaten (etwa in Erbsituationen oder Scheidungsfällen) empfiehlt sich die Nutzung rein europäischer Anbieter.
Praxisbeispiel: AV-Vertrag für die Kaltakquise-Automatisierung
Ein Maklerbüro in München setzt eine KI-gestützte Akquise-Plattform ein, die Eigentümerdaten aus öffentlichen Quellen mit eigenem Bestand abgleicht und automatisierte Erstansprachen vorbereitet. Der AV-Vertrag regelt hier:
- Gegenstand: Automatisierte Lead-Anreicherung und Vorqualifizierung
- Daten: Name, Anschrift, Objektbezug, Telefonnummer, öffentliche Internetquellen
- Zweck: Erstellung von Akquise-Kampagnen durch das Maklerbüro
- Sub-Auftragsverarbeiter: OpenAI (USA, DPF-zertifiziert), Hetzner (DE)
- Speicherdauer: 90 Tage nach Kampagnenende, automatische Löschung
- Betroffenenrechte: Anbieter liefert innerhalb von 72 Stunden Auskünfte
Der Vertrag wird in das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) aufgenommen und jährlich auditiert.
Checkliste: AV-Management im Maklerbüro
- Vollständige Liste aller externen Dienstleister erstellen
- Für jeden Dienstleister klären: Auftragsverarbeitung ja/nein
- AV-Vertrag vor Beauftragung abschließen – nicht im Nachhinein
- TOMs als Anlage anfordern und auf Aktualität prüfen
- Unterauftragsverarbeiter-Liste jährlich abgleichen
- Drittlandtransfer-Risikoanalyse dokumentieren
- AV-Verträge zentral und revisionssicher archivieren
- Rechte und Pflichten in Ihr Verarbeitungsverzeichnis übernehmen
- Mitarbeiter zur Nutzung nur zugelassener Tools verpflichten
- Bei Vertragsende: Löschnachweis einholen
Häufige Fehler und wie Sie sie vermeiden
Fehler 1: „Wir nutzen das Tool nur ein bisschen.“ Es gibt keine Bagatellgrenze. Auch die Nutzung eines E-Mail-Newsletter-Tools mit 100 Kontakten erfordert einen AV-Vertrag.
Fehler 2: Mündliche Vereinbarungen. Artikel 28 Abs. 9 DSGVO fordert Schriftform oder elektronische Form. Ein einfacher Handshake reicht nicht.
Fehler 3: Standardvertrag ungeprüft unterschreiben. Viele Anbieter legen einseitig vorteilhafte Klauseln vor. Lassen Sie den AV-Vertrag mindestens stichpunktartig vom Datenschutzbeauftragten prüfen.
Fehler 4: Schatten-IT im Büro. Mitarbeiter verwenden Dropbox, WhatsApp Web oder private ChatGPT-Accounts. Erstellen Sie eine Whitelist erlaubter Tools und kommunizieren Sie diese aktiv.
Fehler 5: Keine regelmäßigen Audits. AV-Verträge sind keine Einmal-Angelegenheit. Prüfen Sie jährlich, ob Dienstleister noch den vereinbarten Standards entsprechen.
Was kostet der Verstoß – und was kostet die Absicherung?
Die Datenschutzaufsichtsbehörden haben in den letzten Jahren mehrfach Immobilienunternehmen sanktioniert. Die Deutsche Wohnen SE zahlte 14,5 Millionen Euro wegen fehlender Löschkonzepte. Für einen durchschnittlichen Maklerbetrieb stehen bei Verstößen Bußgelder im fünf- bis sechsstelligen Bereich im Raum – plus Imageschäden und mögliche Schadensersatzforderungen von Betroffenen.
Die Absicherung ist vergleichsweise günstig: Ein guter Datenschutzbeauftragter kostet externe Makler zwischen 150 und 500 Euro monatlich. Musterverträge finden sich kostenlos bei den Landesdatenschutzbehörden sowie beim IVD (Immobilienverband Deutschland).
Fazit: AV-Management als Wettbewerbsvorteil
Datenschutz wird im Maklergeschäft oft als lästige Pflicht wahrgenommen. Tatsächlich ist ein sauberes AV-Management jedoch ein echter Vertrauensbooster: Eigentümer, die Ihnen ihr wertvollstes Gut anvertrauen, spüren, wenn Sie professionell mit sensiblen Informationen umgehen. Und in Alleinaufträgen entscheiden oft Kleinigkeiten – darunter auch das Gefühl, bei einem seriösen Profi zu sein.
Investieren Sie die Zeit in ein systematisches AV-Management. Erstellen Sie eine Dienstleister-Matrix, arbeiten Sie mit standardisierten Vertragstemplates und binden Sie Ihr Team in das Thema ein. So schaffen Sie nicht nur Rechtssicherheit, sondern auch eine belastbare Basis für skalierbare Akquise-Prozesse – vom ersten Eigentümerkontakt bis zum notariellen Kaufvertrag.
Nächster Schritt: Erstellen Sie in dieser Woche eine Liste aller eingesetzten Tools und prüfen Sie, für welche noch kein AV-Vertrag vorliegt. Jeder Tag ohne korrekten Vertrag erhöht Ihr Risiko – jeder geschlossene Vertrag bringt Sie der vollständigen DSGVO-Konformität näher.
Möchten Sie diese Strategien in Ihrem Unternehmen umsetzen?
15-Minuten-Gespräch mit einem Experten. Kostenlos und unverbindlich.
Termin wählenWeitere Beiträge
DSGVO-konforme Kaltakquise: Rechtssicher akquirieren
Erfahren Sie, wie Sie als Immobilienmakler DSGVO-konform Kaltakquise betreiben. Praxis-Leitfaden mit Checklisten und Musterformulierungen.
DSGVO-Compliance für Immobilienmakler
Erfahren Sie, wie Sie DSGVO-konform akquirieren & verwalten. Mehr Objekte, höhere Akquiserate, ohne rechtliche Risiken – jetzt lesen!