Wissen & Recht 🇩🇪🇦🇹🇨🇭

Der größte DSGVO-Fehler privater Vermieter — und warum er bald richtig teuer werden kann

⚖️
DSGVO / EU AI Act
📌
Art. 5, 17, 25 DSGVO
🕐
8 Min. Lesezeit
📅
Stand: Mai 2026

Kurz erklärt

Private Vermieter im DACH-Raum sind nach Art. 4 DSGVO Verantwortliche, sobald sie regelmäßig Bewerberdaten verarbeiten — unabhängig von der Größe der Vermietung. Der häufigste Verstoß ist nicht fehlendes Wissen, sondern improvisierte Speicherung (WhatsApp, Mail, Smartphone-Galerie) ohne Löschkonzept. Mit dem EU AI Act kommt ab 2026 eine zweite Regulierungsebene dazu: KI-gestützte Mieterauswahl gilt als High-Risk-System und erfordert Transparenz, Erklärbarkeit und menschliche Endkontrolle.

Auf einen Blick

  • Rechtsgrundlage: Art. 5 (Datenminimierung), Art. 17 (Löschung), Art. 25 (Privacy by Design) DSGVO
  • Häufigste Fehler: Bewerbungsunterlagen per WhatsApp, fehlende Löschfristen, informelle Weitergabe an Dritte
  • Speicherdauer abgelehnter Bewerber: in der Regel wenige Monate nach Verfahrensende (zweckgebunden, Art. 17 DSGVO)
  • Bußgeldrahmen: bis 20 Mio. € oder 4 % des Jahresumsatzes; relevanter sind oft Schadensersatzansprüche nach Art. 82 DSGVO
  • EU AI Act: Mieterauswahl per KI ist High-Risk — verpflichtende Transparenz, Erklärbarkeit, Human-in-the-Loop
  • Schutzmaßnahme #1: ein einziger, dokumentierter Eingangskanal für Bewerbungen — eliminiert ca. 80 % des Risikos

Das stille Risiko

Es gibt einen Moment, den fast jeder private Vermieter kennt: Eine Mietinteressentin schickt per WhatsApp drei Fotos — Gehaltszettel, Personalausweis von vorne und hinten, dazu eine Schufa-Auskunft als PDF. Der Vermieter speichert die Anhänge kurz auf dem Smartphone, leitet sie an die Ehefrau weiter — zweite Meinung — und vergisst sie dann.

Sechs Monate später liegen diese Dokumente noch immer an drei verschiedenen Orten: auf dem Handy, im Mail-Postfach, in einem WhatsApp-Backup, das niemand mehr findet.

Das ist nicht die Ausnahme. Das ist der Standard. Und es ist exakt der Punkt, an dem die DSGVO für private Vermieter teuer wird — nicht durch eine spektakuläre Datenpanne, sondern durch das geräuschlose Aufstauen von Risiko. Mit dem EU AI Act kommt jetzt eine zweite Regulierungsebene dazu.

Warum ein vernünftiger Mensch DSGVO-widrig handelt

Die Verhaltensökonomie hat einen treffenden Begriff dafür: Decision Fatigue. Wer eine Wohnung neu vermietet, trifft in wenigen Tagen Dutzende kleiner Entscheidungen. Das Gehirn priorisiert die sichtbaren, dringlichen Aufgaben — Datenschutz fühlt sich unsichtbar an, rutscht ans Ende der Liste und fällt heraus. Ein verwandtes Muster, das genauso teuer wird, ist die Mieterauswahl nach Bauchgefühl.

Dazu kommt das Privatheitsparadox: Der gleiche Vermieter, der seine eigenen Kontodaten niemals offen verschicken würde, behandelt fremde Kontoauszüge wie eine Anhangsdatei unter vielen. Es ist nicht Böswilligkeit — es ist die Trennung zwischen abstraktem Risiko und konkreter Handlung.

Das Ergebnis ist paradox: Privatvermieter verarbeiten regelmäßig Daten, die rechtlich sensibler sind als das, was viele Unternehmen verarbeiten — Einkommensnachweise, Ausweiskopien, Bonitätsscores. Aber die Prozesse dahinter sind improvisierter als bei jeder mittelständischen Firma.

Viele Vermieter behandeln hochsensible Mieterdaten wie normale Dateien. Das ist der eigentliche Skandal — nicht die einzelne Panne, sondern die systematische Beiläufigkeit.

Warum klassische Vermieterprozesse strukturell versagen

Wenn man die typische Mieterauswahl analysiert, findet man fast immer dasselbe Muster:

Kanalchaos: Bewerbungen kommen über Immobilienportale, E-Mail, WhatsApp, manchmal noch SMS. Jeder Kanal hat eigene Speicherregeln. Niemand hat den Überblick.

Schattenkopien: Eine Schufa-Auskunft landet am Ende auf dem Smartphone, im Mail-Postfach, in einer privaten Cloud, eventuell auch noch beim Steuerberater. Vier Speicherorte, ein Dokument, null Kontrolle.

Keine Löschkonzepte: Die DSGVO verlangt, dass Daten gelöscht werden, sobald der Zweck erfüllt ist (Art. 17 DSGVO). Daten abgelehnter Bewerber sollten nach wenigen Monaten weg sein. Tatsächlich liegen sie Jahre später noch da.

Informelle Weitergabe: „Schick mir mal die Unterlagen, ich schau drüber" — an die Frau, den befreundeten Makler, den Sohn, der „etwas mit IT macht". Jede dieser Weiterleitungen ist eine Datenübermittlung. Keine davon ist dokumentiert.

Keine Rollenrechte: In der Verwaltung einer großen Wohnungsgesellschaft hat ein Buchhalter andere Zugriffsrechte als ein Property Manager. Beim privaten Vermieter sieht der Ehepartner alles, der Hausmeister auch.

Institutionelle Investoren haben diese Probleme vor Jahren gelöst — mit dokumentierten Prozessen, Zugriffskontrollen, automatisierten Löschfristen. Sie nennen es Compliance-by-Design: Die Regelkonformität ist in den Prozess eingebaut, nicht nachträglich aufgesetzt.

Der größte DSGVO-Fehler ist nicht fehlendes Wissen. Es ist die improvisierte Struktur, die fehlendes Wissen verdeckt.

Der zweite Schock: EU AI Act und Vermietung

Hier wird es für die meisten Vermieter überraschend. Der EU AI Act stuft bestimmte KI-Anwendungen als High-Risk ein — eine dieser Kategorien betrifft direkt den Wohnungsmarkt: algorithmische Systeme, die über den Zugang zu wesentlichen privaten Dienstleistungen entscheiden. Der Zugang zu Wohnraum fällt darunter.

Was bedeutet das konkret? Sobald ein Vermieter oder eine von ihm genutzte Plattform eine KI einsetzt, um Mieter zu bewerten, zu scoren oder vorzufiltern, gelten verschärfte Anforderungen:

  • Transparenz: Der Mietinteressent muss wissen, dass eine KI involviert ist
  • Erklärbarkeit: Ablehnungen dürfen nicht aus einer Blackbox kommen
  • Menschliche Kontrolle: Die finale Entscheidung muss durch einen Menschen getroffen oder zumindest überprüfbar gemacht werden
  • Dokumentation: Die Logik des Systems, die Kriterien, die Entscheidungen — alles muss nachvollziehbar bleiben

Die Kombination ist entscheidend: Die DSGVO regelt, was mit Daten passieren darf. Der AI Act regelt, wie Entscheidungen über Menschen getroffen werden dürfen. Beides greift gleichzeitig — und beides trifft den Vermietungsmarkt frontal.

Wie AI das Problem löst — wenn man sie richtig baut

Es gibt eine Verkürzung, die gerade kursiert: „KI macht alles komplizierter, ich bleibe bei Excel." Das ist ein Missverständnis. Gute KI-gestützte Systeme machen Datenschutz nicht schwieriger — sie machen ihn überhaupt erst praktikabel.

Die DSGVO basiert auf Prinzipien, die Maschinen besser umsetzen als Menschen:

Data Minimization (Art. 5 Abs. 1 lit. c DSGVO) lässt sich algorithmisch erzwingen: Felder, die nicht relevant sind, werden gar nicht erst erhoben. Ein menschlicher Vermieter fragt im Eifer der Besichtigung auch mal nach Familienstand und Kinderwunsch. Ein System tut das nicht.

Privacy by Design (Art. 25 DSGVO) bedeutet, dass Datenschutz in die Architektur eingebaut ist — Verschlüsselung, Zugriffslogs, automatisierte Löschfristen. In einer manuellen WhatsApp-Welt ist das schlicht nicht möglich.

Human-in-the-loop AI ist der entscheidende Begriff: Systeme, in denen die KI vorbereitet, strukturiert und vorschlägt — aber der Mensch entscheidet. Genau das, was der AI Act verlangt. Genau das, was Datenschutz und Effizienz gleichzeitig verbessert.

Was ein moderner Vermietungsprozess konkret leistet

Ein einziger Eingangskanal: Bewerbungen kommen über ein definiertes Portal, nicht über fünf parallele Wege. Allein das eliminiert achtzig Prozent des Risikos.

Strukturierte Datenerhebung: Nur die Felder, die für die Mietentscheidung tatsächlich relevant sind. Keine Ausweiskopien, wenn eine verifizierte Identitätsprüfung verfügbar ist.

Automatisierte Löschfristen: Daten abgelehnter Bewerber verschwinden nach einer definierten Frist — ohne dass jemand daran denken muss.

Dokumentierte Entscheidungen: Wer wurde wann auf welcher Basis ausgewählt? Ein Vermieter, der das nachweisen kann, ist im Zweifelsfall geschützt — gegen Diskriminierungsvorwürfe nach AGG ebenso wie gegen DSGVO-Auskunftsersuchen.

Rollenbasierte Zugriffe: Der Steuerberater sieht andere Daten als der Hausverwalter.

Transparente KI-Unterstützung: Wenn ein System Bewerbungen vorsortiert, dann nach offengelegten Kriterien, mit menschlicher Endkontrolle und nachvollziehbarer Begründung.

Institutionelle Investoren dokumentieren Entscheidungen. Privatvermieter speichern Screenshots. Genau diese Asymmetrie wird in den nächsten Jahren zum Wettbewerbsfaktor.

Datenschutz als Vertrauenssignal

Hier liegt der Punkt, den die meisten übersehen. Datenschutz wird im Vermietungsmarkt gerade vom Kostenfaktor zum Vertrauenssignal.

Die zahlungskräftigen, langfristig stabilen Mietinteressenten, die jeder Vermieter haben will, werden zunehmend sensibel für den Umgang mit ihren Daten. Wer das Gefühl hat, seine Ausweiskopie verschwindet in einem WhatsApp-Chat, bewirbt sich anderswo. Wer sieht, dass ein Vermieter mit einer strukturierten Plattform arbeitet, denkt: hier weiß jemand, was er tut.

Vertrauen ist im Mietmarkt die härteste Währung. Und die gefährlichste Sicherheitslücke ist meist kein Hacker — sondern Chaos.

FAQ: DSGVO und Datenschutz für Vermieter

Müssen private Vermieter wirklich die DSGVO einhalten? Ja. Sobald regelmäßig Bewerberdaten verarbeitet werden, ist man Verantwortlicher im Sinne der DSGVO. Die Größe der Vermietung spielt keine Rolle.

Darf ich Gehaltszettel per WhatsApp anfordern? Rechtlich ist es problematisch. WhatsApp ist nicht für sensible Dokumente konzipiert, die Speicherung erfolgt unkontrolliert, und Löschung ist faktisch unmöglich. Die saubere Lösung ist ein dedizierter, verschlüsselter Upload-Kanal.

Wie lange darf ich Bewerberdaten speichern? Daten abgelehnter Bewerber: in der Regel wenige Monate nach Abschluss des Verfahrens. Faustregel: sobald der Zweck erfüllt ist, ist die Speicherfrist abgelaufen.

Was passiert, wenn ich KI für die Mieterauswahl nutze? Unter dem EU AI Act gelten verschärfte Transparenz- und Dokumentationspflichten. Der Einsatz ist erlaubt, aber nur mit menschlicher Endkontrolle, nachvollziehbaren Kriterien und transparenter Kommunikation gegenüber dem Bewerber.

Wie hoch sind die Bußgelder realistisch? Theoretisch bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Für Privatvermieter liegen reale Bußgelder bisher deutlich niedriger — aber Aufsichtsbehörden haben angekündigt, den Privatsektor stärker in den Fokus zu nehmen. Die größere Gefahr ist oft nicht das Bußgeld, sondern Schadensersatzforderungen einzelner Bewerber nach Art. 82 DSGVO.

Was ist Privacy by Design konkret? Das Prinzip, dass Datenschutz nicht nachträglich ergänzt, sondern von Anfang an in den Prozess eingebaut wird. Verschlüsselung, Löschfristen, Zugriffsrechte und Datensparsamkeit sind keine optionalen Features, sondern gesetzliche Anforderungen nach Art. 25 DSGVO.

Fazit

Der Vermietungsmarkt steht an einem stillen Wendepunkt. DSGVO und EU AI Act treffen aufeinander. Die Asymmetrie zwischen institutionellen Investoren mit Compliance-by-Design und Privatvermietern mit WhatsApp-Bewerbungen wird zur Wettbewerbslücke.

Der größte Fehler ist nicht, dass Vermieter die Regeln nicht kennen. Es ist, dass sie sie mit improvisierten Prozessen umgehen wollen, die nie für sensible Daten gedacht waren. Das funktioniert noch — eine Weile.

Wer früh auf strukturierte, transparente, AI-gestützte Prozesse umstellt, gewinnt zweimal: rechtlich und bei den besten Mietern.

Verwandte Themen

Kein Rechtsrat: Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche Beratung. Bei konkreten DSGVO-Fragen empfehlen wir die Konsultation eines Datenschutzexperten.

Themen:

#dsgvo#datenschutz#vermieter#mieterauswahl#ai-act#compliance#privacy-by-design#mietbewerbung
Offizielle Quelle:RIS Gesetzestext

Mona's Experten-Check

Prüfen Sie Ihren Mietvertrag in Sekunden auf Rechtssicherheit — für DE, AT und CH.

Verwandte Artikel

§ 3

Wer zahlt die Reparatur? § 3 MRG einfach erklärt

Mehr erfahren →

Analyse

Bauchgefühl bei der Mieterauswahl: Was Forschung und KI zeigen

Mehr erfahren →

Legal Alert

Kein OGH-Urteil mehr verpassen. Mona schickt Ihnen neue Rechts-Updates direkt ins Postfach.