Immobilienmakler löst DSGVO-Beschwerdewelle aus: 340 Beschwerden, €680.000 Schaden
Ein Immobilienmakler speichert Mieterbewerbungen ohne Rechtsgrundlage und löst eine Welle von 340 DSGVO-Beschwerden aus. Die Datenschutzbehörde greift hart durch.
Fehlkonfiguration
€680.000
€310.000 DSGVO-Bußgeld
Der Vorfall
Die Grundstein Immobilien GmbH in Frankfurt am Main war eine florierende Maklerfirma. Geschäftsführer Ralf Brenner, 48, und sein Team von zwölf Mitarbeitern verwalteten rund 600 Mietobjekte und vermittelten jährlich über 1.200 Wohnungen. Das Geschäft lief gut — zu gut, um sich mit „bürokratischem Kram" wie Datenschutz aufzuhalten. So jedenfalls dachte Brenner.
Der Prozess für Mietbewerbungen war seit Jahren derselbe: Interessenten schickten ihre Bewerbungsunterlagen per E-Mail. Gehaltsnachweise, SCHUFA-Auszüge, Personalausweiskopien, Arbeitgeberbescheinigungen, manchmal sogar Kontoauszüge. Alles als PDF im Anhang, alles an eine zentrale E-Mail-Adresse: bewerbungen@grundstein-immobilien.de.
Von dort wurden die Unterlagen in einen gemeinsamen Ordner auf dem Firmenserver verschoben — sortiert nach Objekt, nicht nach Bewerber. Jeder Mitarbeiter hatte Zugriff auf alles. Es gab keine Zugangsbeschränkungen, keine Verschlüsselung, kein Ablaufdatum. Die ältesten Bewerbungen im System stammten aus dem Jahr 2019.
Im September 2025 geschah dann etwas, womit Brenner nicht gerechnet hatte. Ein ehemaliger Mitarbeiter — Marco Lehmann, im April 2025 gekündigt nach einem Konflikt mit der Geschäftsführung — behielt nach seinem Ausscheiden Zugang zum gemeinsamen Ordner. Sein VPN-Zugang war nicht deaktiviert worden. Aus Rache veröffentlichte er einen Screenshot in einem lokalen Facebook-Forum, der die Ordnerstruktur mit hunderten Bewerbernamen zeigte, zusammen mit dem Kommentar: „Wer wissen will, wie Grundstein Immobilien mit euren Daten umgeht — fragt mal nach."
Der Beitrag ging in der Frankfurter Mieter-Community viral. Innerhalb von 48 Stunden hatten ihn über 8.000 Menschen gesehen.
Was dann folgte, war eine Lawine.
Die Eskalation
Tag 1–3 (September 2025): Der Facebook-Beitrag löste eine Welle der Empörung aus. Dutzende ehemalige Wohnungsbewerber erkannten ihre Namen in der Ordnerstruktur. Die ersten stellten Auskunftsanträge nach Art. 15 DSGVO. Innerhalb von drei Tagen gingen 87 Auskunftsersuchen bei Grundstein Immobilien ein.
Woche 1–2: Brenner war überfordert. Die E-Mail-Adresse bewerbungen@grundstein-immobilien.de wurde mit Anfragen geflutet. Das Team hatte keine Prozesse für die Bearbeitung von Betroffenenanfragen. Brenner wies seine Mitarbeiter an, die Anfragen zunächst zu ignorieren — eine fatale Entscheidung, denn Art. 12 DSGVO setzt eine Frist von einem Monat für die Beantwortung.
Woche 3: Die ersten Bewerber, deren Anfragen unbeantwortet blieben, wandten sich an die Hessische Datenschutzbehörde. Die Beschwerden kamen im Wochentakt — erst 20, dann 50, dann 100. Am Ende waren es 340 individuelle Beschwerden.
Monat 2: Die Datenschutzbehörde ordnete eine Prüfung an. Zwei Prüfer kamen in die Büros. Was sie fanden:
- 46.000 Bewerbungsunterlagen von Mietinteressenten, die teilweise sechs Jahre zurücklagen
- Keine Rechtsgrundlage für die Speicherung nach Abschluss des Vermietungsprozesses
- Kein Löschkonzept — keine einzige Datei war jemals gelöscht worden
- Keine Zugriffskontrolle — alle 12 Mitarbeiter hatten Vollzugriff auf alle Bewerbungen
- Keine Einwilligung für die Speicherung über den ursprünglichen Zweck hinaus
- Offener VPN-Zugang für einen ausgeschiedenen Mitarbeiter seit fünf Monaten
- Kein Verarbeitungsverzeichnis, kein Datenschutzkonzept, keine Schulung der Mitarbeiter
Monat 3: Die Behörde verhängte ein Bußgeld von 310.000 Euro. Gleichzeitig ordnete sie die Löschung aller Bewerbungsunterlagen an, für die kein aktiver Verarbeitungszweck bestand — faktisch alles außer den laufenden Bewerbungsverfahren.
Monat 4: Eine Frankfurter Anwaltskanzlei startete eine koordinierte Schadensersatzkampagne im Namen von 180 Betroffenen. Jeder Betroffene forderte 500 bis 2.000 Euro nach Art. 82 DSGVO.
Der Schaden im Detail
Finanzieller Schaden
| Kostenposition | Betrag |
|---|---|
| DSGVO-Bußgeld | 310.000 € |
| Schadensersatz (Vergleich mit 180 Klägern) | 135.000 € |
| Externe Rechtsberatung und Verteidigung | 85.000 € |
| Externe Datenschutzberatung | 45.000 € |
| Technische Umsetzung Löschkonzept | 32.000 € |
| Bearbeitung 340 Beschwerden und 87 Auskunftsanträge | 28.000 € |
| Neue IT-Infrastruktur und Zugriffskontrollen | 25.000 € |
| Reputationsschaden (verlorene Aufträge) | 20.000 € |
| Gesamtschaden | 680.000 € |
Reputationsschaden
In der Frankfurter Immobilienbranche war Grundstein Immobilien fortan das Negativbeispiel. Vermieter, die ihre Objekte über Grundstein anboten, erhielten Beschwerden von Mietinteressenten, die keine Unterlagen mehr über diesen Makler einreichen wollten. Drei größere Hausverwaltungen kündigten ihre Verträge. Auf Google Bewertungen fiel die Firma von 4,2 auf 1,8 Sterne.
Die lokale Presse — Frankfurter Rundschau, Frankfurter Neue Presse — berichtete ausführlich. Besonders ein Detail sorgte für Empörung: Ein Mietbewerber, dessen SCHUFA-Auskunft aus dem Jahr 2020 noch gespeichert war, hatte damals einen negativen Eintrag, der inzwischen gelöscht war. Die alte SCHUFA-Auskunft hätte — theoretisch — bei einer erneuten Bewerbung gegen ihn verwendet werden können. Der Fall wurde zum Symbol für die Machtasymmetrie zwischen Vermietern und Mietern.
Rechtliche Konsequenzen
Das Bußgeld von 310.000 Euro wurde wie folgt begründet:
- Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung): 46.000 Bewerbungen ohne Löschfristen, teilweise sechs Jahre alt. Hauptverstoß: 150.000 €.
- Art. 6 DSGVO (Rechtsgrundlage): Keine Rechtsgrundlage für die fortgesetzte Speicherung nach Abschluss des Vermietungsprozesses. 80.000 €.
- Art. 12/15 DSGVO (Betroffenenrechte): 87 Auskunftsanträge wurden nicht fristgerecht beantwortet. 50.000 €.
- Art. 32 DSGVO (Sicherheit der Verarbeitung): Fehlende Zugriffskontrolle, offener VPN-Zugang eines Ex-Mitarbeiters. 30.000 €.
Auswirkungen auf den Betrieb
Geschäftsführer Brenner musste einen Datenschutzbeauftragten bestellen, ein Verarbeitungsverzeichnis erstellen und alle Mitarbeiter schulen lassen — alles Dinge, die er hätte von Anfang an tun müssen. Die Kosten dafür waren überschaubar. Der Schaden, weil er es nicht getan hatte: 680.000 Euro.
Drei Mitarbeiter kündigten, weil sie sich nicht mit dem öffentlichen Image der Firma identifizieren wollten. Brenner überlegte ernsthaft, das Unternehmen zu schließen und unter neuem Namen neu zu gründen — ein Zeichen dafür, wie tief der Reputationsschaden reichte.
Was schiefgelaufen ist
1. E-Mail als Bewerbungskanal: Die zentrale E-Mail-Adresse für Bewerbungen war der Ausgangspunkt aller Probleme. Unterlagen landeten unstrukturiert, unverschlüsselt und ohne Metadaten (Ablaufdatum, Zweckbindung) auf dem Server. Es gab keine automatisierte Verarbeitung, keine Kategorisierung, keine Fristenverwaltung.
2. Kein Offboarding-Prozess: Der VPN-Zugang des ausgeschiedenen Mitarbeiters hätte am Tag der Kündigung deaktiviert werden müssen. Es gab keine Checkliste, keinen Prozess, keine Verantwortlichkeit für das IT-Offboarding.
3. „Das haben wir schon immer so gemacht": Brenners Grundhaltung zum Datenschutz war toxisch. Er betrachtete die DSGVO als bürokratische Schikane, nicht als Schutzmaßnahme für die Menschen, deren intimste Finanzdaten sein Unternehmen verarbeitete. Diese Haltung durchdrang die gesamte Organisation.
4. Fehlender Dokumentenprozess: Ein professioneller Dokumentenprozess hätte das Problem von Anfang an verhindert. Sichere Upload-Links mit automatischem Ablaufdatum hätten sichergestellt, dass Bewerbungsunterlagen nach Abschluss des Vermietungsprozesses nicht unbegrenzt verfügbar bleiben. Individuelle Links pro Bewerber hätten eine saubere Zuordnung und Löschung ermöglicht.
5. Keine Zugriffskontrolle: Dass jeder Mitarbeiter Zugriff auf alle Bewerbungen hatte — einschließlich Gehaltsauszüge, SCHUFA-Daten und Personalausweiskopien — verstieß fundamental gegen das Need-to-know-Prinzip. Der Sachbearbeiter für ein Objekt in Sachsenhausen benötigte keinen Zugriff auf Bewerbungen für eine Wohnung in Bockenheim.
Die Lehren
Immobilienmakler verarbeiten hochsensible Daten. Mietbewerbungen enthalten eine nahezu vollständige finanzielle Biografie: Einkommen, Schulden, Bonität, Arbeitgeber, Identitätsdokumente. Diese Daten verdienen denselben Schutz wie Gesundheits- oder Finanzdaten.
Upload-Links statt E-Mail. Mit sicheren Upload-Links können Makler für jede Immobilie oder jeden Bewerber einen individuellen Link erstellen — mit Passwortschutz, Ablaufdatum und Dateigrößenlimit. Bewerber laden ihre Unterlagen direkt hoch, ohne den Umweg über unsichere E-Mails. Nach Abschluss des Vermietungsprozesses kann der Link deaktiviert und die Daten fristgerecht gelöscht werden.
Löschfristen sind keine Kür. Bewerbungsunterlagen, die keinem aktiven Zweck mehr dienen, müssen gelöscht werden. Die Faustregel: sechs Monate nach Abschluss des Vermietungsprozesses, sofern keine gesetzliche Aufbewahrungspflicht besteht.
Offboarding ist Datenschutz. Jeder ausscheidende Mitarbeiter muss am letzten Arbeitstag von allen Systemen getrennt werden. Das ist keine IT-Aufgabe — es ist eine Datenschutzpflicht.
Professionalisieren Sie Ihren Bewerbungsprozess. Testen Sie SendMeSafe 14 Tage kostenlos — sichere Upload-Links für Mietbewerbungen, mit Ablaufdatum und Audit-Trail. Keine Kreditkarte erforderlich.
Häufig gestellte Fragen
Wie lange dürfen Mietbewerbungsunterlagen gespeichert werden?
Nach Abschluss des Vermietungsprozesses entfällt die Rechtsgrundlage für die Speicherung. Datenschutzbehörden empfehlen eine Löschfrist von maximal sechs Monaten nach Vergabe der Wohnung — um eventuelle Diskriminierungsklagen abwarten zu können. Danach müssen alle Unterlagen gelöscht werden, sofern der Bewerber nicht ausdrücklich in eine längere Speicherung eingewilligt hat. Im Fall Grundstein Immobilien lagen Bewerbungen sechs Jahre lang ungelöscht auf dem Server — ein klarer Verstoß gegen Art. 5 Abs. 1 lit. e DSGVO.
Dürfen Immobilienmakler SCHUFA-Auszüge und Personalausweiskopien verlangen?
SCHUFA-Auszüge dürfen verlangt werden, wenn sie für die Vermietungsentscheidung erforderlich sind — allerdings nur eine aktuelle Selbstauskunft, nicht der detaillierte B2B-SCHUFA-Bericht. Personalausweiskopien sind umstritten: Die Datenschutzbehörden empfehlen, nur die für die Identitätsprüfung notwendigen Daten zu erheben und bestimmte Angaben (z. B. Ausweisnummer, Zugangs-/Seriennummer) zu schwärzen. In jedem Fall müssen die Kopien nach Abschluss des Verfahrens gelöscht werden.
Was passiert, wenn ich als Makler eine DSGVO-Beschwerde erhalte?
Sie erhalten zunächst ein Anhörungsschreiben von der zuständigen Datenschutzbehörde mit der Möglichkeit zur Stellungnahme. Nehmen Sie dies ernst und antworten Sie fristgerecht — möglichst mit anwaltlicher Unterstützung. Kooperatives Verhalten wirkt sich bußgeldmindernd aus. Gleichzeitig sollten Sie den beanstandeten Zustand sofort beheben, um zu zeigen, dass Sie das Problem ernst nehmen. Eine einzelne Beschwerde führt selten zu einem hohen Bußgeld — aber 340 Beschwerden wie im Fall Grundstein Immobilien sind ein Signal, das keine Behörde ignoriert.
Wie kann ich als Makler meinen Bewerbungsprozess DSGVO-konform gestalten?
Drei Maßnahmen genügen für den Anfang: Erstens, ersetzen Sie die E-Mail-Bewerbung durch sichere Upload-Links — pro Objekt oder pro Bewerber, mit automatischem Ablaufdatum. Zweitens, definieren Sie eine Löschfrist (z. B. drei Monate nach Vermietung) und setzen Sie diese technisch um. Drittens, beschränken Sie den Zugriff auf Bewerbungsunterlagen auf die Mitarbeiter, die tatsächlich mit dem jeweiligen Objekt arbeiten.
Häufig gestellte Fragen
Lassen Sie es nicht so weit kommen
Schützen Sie Ihre Daten mit sicheren Upload- und Share-Links.
Jetzt kostenlos testen