Vermieter teilt Mieterdaten mit Handwerkern und Dienstleistern
Warum Vermieter und Hausverwaltungen personenbezogene Mieterdaten nicht einfach an Dritte weitergeben dürfen — und wie sichere Alternativen aussehen.
Das Szenario
Sabine Krüger leitet eine mittelständische Hausverwaltung in Stuttgart mit 340 Mieteinheiten. An einem Dienstagmorgen ruft ein Mieter aus der Schillerstraße 12 an: In seiner Wohnung tropft es von der Decke, offensichtlich ein Wasserschaden aus der darüberliegenden Wohnung. Sabine muss schnell handeln — sie ruft den Installateur Hans Mertens an und bittet ihn, noch am selben Tag vorbeizukommen.
Damit der Handwerker Zugang zu beiden betroffenen Wohnungen bekommt, schickt Sabine ihm per WhatsApp eine Nachricht mit allen Informationen, die sie zur Hand hat: die vollständigen Namen beider Mieter, deren Telefonnummern und E-Mail-Adressen, die Wohnungsgrößen und Mietpreise — "damit Sie wissen, um welche Einheiten es geht" — und als Anhang die eingescannten Mietverträge beider Parteien, in denen neben den persönlichen Daten auch die Bankverbindungen für den Mieteinzug enthalten sind. Zusätzlich hängt sie die Kopie des Personalausweises an, die Mieterin Petra Hoffmann bei Vertragsabschluss eingereicht hatte — "für den Fall, dass die Mieterin nicht da ist und Sie sich vergewissern müssen."
Hans Mertens hat nun auf seinem privaten Smartphone: die vollständigen Personalien zweier ihm fremder Personen, deren Bankdaten, Mietverträge mit Unterschriften und eine Ausweiskopie. Informationen, die er für die Reparatur eines Wasserrohrbruchs in keiner Weise benötigt.
Vier Wochen später bemerkt Petra Hoffmann eine verdächtige Abbuchung von ihrem Konto. Bei der Recherche stellt sich heraus, dass ihre IBAN und ihre Ausweiskopie für einen Online-Betrug verwendet wurden. Die Spur führt zum Smartphone des Installateurs, das er zwei Wochen zuvor in einem Café vergessen hatte. Der Finder hatte sich Zugang verschafft und die Daten kopiert, bevor das Gerät zurückgegeben wurde.
Petra Hoffmann erstattet Anzeige. Und sie wendet sich an die Datenschutzbehörde Baden-Württemberg.
Die Risiken
Die unkontrollierte Weitergabe von Mieterdaten an Handwerker und Dienstleister ist ein Problem, das in der Immobilienbranche weit verbreitet ist. Die Risiken werden dabei systematisch unterschätzt.
Übermäßige Datenweitergabe (Verstoß gegen Datenminimierung): Handwerker benötigen für ihre Arbeit in der Regel nur den Namen des Mieters, die Adresse und gegebenenfalls eine Telefonnummer für die Terminabsprache. Mietverträge, Bankdaten, Einkommensnachweise oder Ausweiskopien sind für die Durchführung einer Reparatur weder erforderlich noch zulässig.
Unsichere Übertragungswege: WhatsApp-Nachrichten, reguläre E-Mails oder sogar ausgedruckte Unterlagen, die dem Handwerker mitgegeben werden — all diese Wege bieten keinen angemessenen Schutz für personenbezogene Daten. Besonders problematisch ist die Speicherung auf privaten Smartphones von Handwerkern, die weder verschlüsselt noch mit einem professionellen Mobile-Device-Management ausgestattet sind.
Fehlende Löschung: In der Praxis werden Mieterdaten, die einmal an Handwerker weitergegeben wurden, so gut wie nie gelöscht. Sie verbleiben in WhatsApp-Chats, in E-Mail-Archiven oder auf Festplatten — über Monate und Jahre hinweg, weit über den eigentlichen Zweck der Reparatur hinaus.
Kein Auftragsverarbeitungsvertrag: Handwerker und Dienstleister, die personenbezogene Mieterdaten erhalten, verarbeiten diese im datenschutzrechtlichen Sinne. In den meisten Fällen fehlt jedoch der erforderliche Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Damit ist die Datenweitergabe bereits formell rechtswidrig.
Identitätsdiebstahl und Betrug: Ausweiskopien und Bankdaten in Kombination ermöglichen Identitätsdiebstahl im großen Stil. Mit einer IBAN und einer Personalausweiskopie lassen sich Online-Konten eröffnen, Lastschriften durchführen und betrügerische Verträge abschließen.
Rechtliche Konsequenzen
Die DSGVO setzt der Datenweitergabe durch Vermieter und Hausverwaltungen enge Grenzen.
Art. 5 Abs. 1 lit. c DSGVO — Datenminimierung: Personenbezogene Daten müssen dem Zweck angemessen und auf das für die Verarbeitung notwendige Maß beschränkt sein. Die Weitergabe kompletter Mietverträge und Ausweiskopien an einen Installateur verstößt eindeutig gegen diesen Grundsatz.
Art. 6 DSGVO — Rechtmäßigkeit der Verarbeitung: Die Weitergabe personenbezogener Daten an Dritte bedarf einer Rechtsgrundlage. Die Durchführung einer Reparatur rechtfertigt die Weitergabe von Name und Adresse, nicht jedoch von Bankdaten, Einkommensnachweisen oder Ausweiskopien.
Art. 28 DSGVO — Auftragsverarbeitung: Wenn personenbezogene Daten an Handwerker weitergegeben werden, die über das für die Reparatur Notwendige hinausgehen, ist ein Auftragsverarbeitungsvertrag erforderlich. Dieser fehlt in der Praxis fast immer.
Art. 33/34 DSGVO — Meldepflicht: Wenn die weitergegebenen Daten in falsche Hände geraten, besteht eine Meldepflicht an die Aufsichtsbehörde innerhalb von 72 Stunden und — wenn ein hohes Risiko für die Betroffenen besteht — auch eine Benachrichtigungspflicht gegenüber den Mietern.
§ 42 BDSG — Bußgeldvorschriften: Bei vorsätzlicher oder fahrlässiger unbefugter Weitergabe personenbezogener Daten im großen Umfang kann ein Bußgeld verhängt werden. Im Bereich der Immobilienwirtschaft haben Aufsichtsbehörden bereits Bußgelder zwischen 5.000 und 30.000 Euro für Datenschutzverstöße bei der Mieterverwaltung verhängt.
Mietrechtliche Konsequenzen: Mieter können bei schwerwiegenden Datenschutzverstößen eine außerordentliche Kündigung des Mietverhältnisses oder eine Mietminderung geltend machen. Zudem besteht ein Anspruch auf Schadensersatz nach Art. 82 DSGVO.
Finanzielle Auswirkungen
Die finanziellen Folgen unkontrollierter Datenweitergabe in der Immobilienverwaltung sind erheblich:
| Kostenposition | Geschätzter Betrag |
|---|---|
| DSGVO-Bußgeld (Erstverstoß) | 5.000 – 25.000 € |
| Schadensersatzansprüche betroffener Mieter | 3.000 – 15.000 € pro Mieter |
| Anwaltliche Beratung & Vertretung | 3.000 – 10.000 € |
| Meldung an Aufsichtsbehörde & Betroffene | 1.000 – 2.500 € |
| IT-forensische Untersuchung | 2.000 – 5.000 € |
| Reputationsschaden (Mieterfluktuation) | 10.000 – 40.000 € |
| Umstellung auf DSGVO-konforme Prozesse | 2.000 – 5.000 € |
| Gesamtkosten | 26.000 – 102.500 € |
Für eine Hausverwaltung mit überschaubarem Umsatz können diese Kosten existenzbedrohend sein. Die Investition in sichere Prozesse ist dagegen minimal.
Die sichere Alternative
Mit SendMeSafe hätte Sabine Krüger den Handwerker mit genau den Informationen versorgen können, die er für seinen Einsatz benötigt — nicht mehr und nicht weniger.
1. Gezielte Informationsfreigabe über Share-Links: Statt den gesamten Mietvertrag zu versenden, erstellt Sabine einen Share-Link mit einem Dokument, das nur die relevanten Informationen enthält: den Namen des Mieters, die genaue Adresse und die Beschreibung des Schadens. Keine Bankdaten. Keine Ausweiskopien. Keine Mietpreise.
2. Passwortschutz und Ablaufdatum: Der Share-Link wird mit einem Passwort versehen und erhält ein Ablaufdatum von 24 Stunden. Damit hat der Handwerker genau für den Zeitraum seines Einsatzes Zugriff auf die benötigten Informationen. Danach wird der Zugang automatisch gesperrt.
3. Sichere Rückmeldung über Upload-Links: Wenn der Handwerker nach Abschluss der Reparatur Fotos der Schadensdokumentation oder seine Rechnung einreichen soll, erstellt Sabine einen Upload-Link. Der Handwerker lädt seine Dateien direkt in den verschlüsselten Speicher hoch — ohne sie per WhatsApp oder E-Mail zu versenden.
4. Dokumenteneingang für Mietinteressenten über Flaschenpost: Auch bei der Neuvermietung nutzt Sabine SendMeSafe: Mietinteressenten laden ihre Selbstauskunft, Einkommensnachweise und Ausweiskopien über einen sicheren Upload-Link hoch, statt sie per E-Mail zu senden. So sind sensible Bewerberdaten von Anfang an geschützt.
5. Vollständiger Audit-Trail: Jede Dateifreigabe und jeder Zugriff wird dokumentiert. Bei einer Anfrage der Aufsichtsbehörde kann Sabine lückenlos nachweisen, welche Daten an wen weitergegeben wurden und wie der Zugriff kontrolliert wurde.
6. DSGVO-konforme Löschung: Abgelaufene Share-Links und nicht mehr benötigte Upload-Daten können systematisch gelöscht werden. Die Daten verbleiben nicht auf fremden Smartphones oder in unkontrollierten E-Mail-Postfächern.
Häufig gestellte Fragen
Darf ich dem Handwerker überhaupt den Namen und die Adresse des Mieters mitteilen?
Ja — Name und Adresse des Mieters dürfen an Handwerker weitergegeben werden, wenn dies für die Durchführung einer Reparatur oder Instandhaltungsmaßnahme erforderlich ist. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) in Verbindung mit der Pflicht des Vermieters zur Instandhaltung der Mietsache. Alles, was darüber hinausgeht — Mietvertrag, Bankdaten, Einkommensnachweise, Ausweiskopien — ist nicht erforderlich und damit unzulässig.
Brauche ich für jeden Handwerker einen Auftragsverarbeitungsvertrag?
Nicht unbedingt. Wenn Sie dem Handwerker lediglich Name und Adresse des Mieters für den Reparaturtermin mitteilen, handelt es sich in der Regel um eine eigenverantwortliche Verarbeitung, nicht um eine Auftragsverarbeitung. Sobald Sie jedoch umfangreichere personenbezogene Daten weitergeben oder der Handwerker regelmäßig Zugang zu Mieterdaten hat, sollten Sie einen Auftragsverarbeitungsvertrag abschließen. Im Zweifelsfall empfiehlt sich immer ein AVV — die Erstellung ist mit Standardvorlagen unkompliziert.
Was mache ich, wenn ein Mieter sich über die Datenweitergabe beschwert?
Nehmen Sie die Beschwerde ernst. Prüfen Sie zunächst, welche Daten weitergegeben wurden und ob die Weitergabe im Rahmen der Datenminimierung erforderlich war. Informieren Sie den Mieter transparent über den Umfang der Weitergabe und die Rechtsgrundlage. Stellen Sie sicher, dass überschüssige Daten beim Handwerker gelöscht werden. Wenn ein Datenschutzverstoß vorliegt, müssen Sie gemäß Art. 33 DSGVO eine Meldung an die Aufsichtsbehörde prüfen. Dokumentieren Sie den gesamten Vorgang im Sinne Ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Wie kann ich Mieterdaten bei der Neuvermietung schützen?
Die Neuvermietung ist ein besonders sensibler Bereich: Mietinteressenten reichen Gehaltsnachweise, Schufa-Auskünfte, Personalausweiskopien und Arbeitgeberbestätigungen ein — alles hochsensible personenbezogene Daten. Nutzen Sie einen SendMeSafe Upload-Link, damit Bewerber ihre Unterlagen sicher hochladen können. So landen die Dokumente direkt im verschlüsselten Speicher und nicht in Ihrem E-Mail-Postfach, wo sie unverschlüsselt gespeichert und versehentlich weitergeleitet werden könnten. Nach Abschluss der Vermietung können die Unterlagen abgelehnter Bewerber fristgerecht und nachweisbar gelöscht werden.
Häufig gestellte Fragen
Schützen Sie Ihr Unternehmen
Vermeiden Sie Datenschutzvorfälle mit sicheren Upload- und Share-Links.
Jetzt kostenlos testen