Die meisten Makler haben irgendwann eine Datenschutzerklärung auf die Website gepackt, einmal einen AVV unterschrieben – und seitdem die DSGVO nicht mehr angefasst. Das ist kein Vorwurf, sondern Realität. Aber in der Kundenkommunikation stecken die meisten echten Risiken, und genau da passieren die meisten Fehler.
Was "DSGVO-konforme Kommunikation" eigentlich bedeutet
Die Verordnung regelt nicht, über welchen Kanal du kommunizierst. Sie regelt, was du mit personenbezogenen Daten machst – und das schließt jede E-Mail, jeden Anhang, jede weitergeleitete Interessentenliste ein.
Konkret bedeutet das für dich als Makler drei Kernpflichten:
- Rechtmäßigkeit: Du brauchst für jede Datenverarbeitung eine Rechtsgrundlage – meistens entweder Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder berechtigtes Interesse (lit. f).
- Zweckbindung: Daten, die du für die Besichtigung erhoben hast, darfst du nicht einfach für einen neuen Newsletter verwenden.
- Datensparsamkeit: Nur was du wirklich brauchst, darf gespeichert werden.
Das klingt abstrakt. Im Makler-Alltag wird es konkret, sobald du einen Kaufinteressenten per E-Mail mit Exposé anschreibst, eine Käuferliste weiterreichst oder Dokumente via WhatsApp verschickst.
Die größten Fehler in der Praxis
Dokumente per E-Mail ohne Verschlüsselung: Grundbuchauszüge, Personalausweise, Finanzierungsbestätigungen – das alles landet regelmäßig in normalen E-Mails. Standard-SMTP ist nicht verschlüsselt. Technisch mag das je nach Mailserver variieren, aber du kannst nie sicher sein, wie es beim Empfänger ankommt. Für besonders sensible Daten – und ein Personalausweis zählt dazu – gilt erhöhte Sorgfaltspflicht.
CC statt BCC: Wer mehrere Interessenten gleichzeitig anschreibt und alle in CC setzt, gibt jedem die E-Mail-Adressen der anderen. Das ist ein klarer Verstoß. Klingt banal, passiert aber regelmäßig.
WhatsApp im Berufsalltag: Die Datenweitergabe an Meta-Server, die fehlende Auftragsverarbeitungsvereinbarung mit WhatsApp – das ist ein bekanntes Problem. Trotzdem nutzen viele Makler es für Kundenkommunikation. Das Risiko ist real, auch wenn die Aufsichtsbehörden bisher selektiv vorgehen.
Exposé-Versand ohne Rechtsgrundlage: Du schickst ein Exposé an einen Kaufinteressenten. Die Frage ist: Hast du eine dokumentierte Einwilligung oder stützt du dich auf berechtigtes Interesse? Beides geht – aber du musst es begründen können, wenn jemand fragt.
Löschfristen werden ignoriert: Interessenten, die abgesagt haben oder deren Kauf nicht zustande kam, müssen irgendwann aus deiner Datenbank gelöscht werden. Wie lange du Daten aufbewahren darfst, hängt vom Zweck ab. Grundstücksgeschäfte haben steuerliche Aufbewahrungsfristen – aber das rechtfertigt nicht, jeden Kontakt für immer zu behalten.
Rechtsgrundlagen im Makler-Kontext
Du brauchst für jeden Verarbeitungsvorgang eine Rechtsgrundlage. Die häufigsten in der Praxis:
Art. 6 Abs. 1 lit. b – Vertragserfüllung: Gilt, sobald ein vorvertragliches Verhältnis besteht. Du kannst Käuferdaten verarbeiten, sobald jemand ernsthaft Interesse an einer Besichtigung anmeldet. Das ist dein stärkstes Argument für die meisten Alltagssituationen.
Art. 6 Abs. 1 lit. c – Rechtliche Verpflichtung: Geldwäschegesetz, Steuerrecht, Nachweispflichten – hier kannst du Daten aufbewahren, auch wenn der Kunde das nicht will.
Art. 6 Abs. 1 lit. f – Berechtigtes Interesse: Für Marketing an Bestandskunden, Nachfassaktionen bei ehemaligen Interessenten. Hier musst du abwägen: Dein Interesse muss überwiegen. Dokumentiere die Abwägung – das schützt dich.
Art. 6 Abs. 1 lit. a – Einwilligung: Für Newsletter, Marktberichte, nicht-anlassbezogene Kommunikation. Die Einwilligung muss freiwillig, informiert und eindeutig sein. Und sie muss widerrufbar sein.
Konkrete Maßnahmen für den Alltag
Datenschutzhinweise beim ersten Kontakt: Jeder neue Kontakt – egal ob Käufer oder Verkäufer – bekommt bei der ersten Kommunikation einen Hinweis auf deine Datenschutzerklärung. Das kann eine kurze Textzeile in der E-Mail-Signatur sein oder ein direkter Link. Wichtig: Die Datenschutzerklärung muss aktuell und vollständig sein.
Dokumentiertes Einwilligungsmanagement: Wer deinen Newsletter bekommt, wer Exposés per E-Mail erhält, wer in deiner CRM-Datenbank gespeichert ist – das alles braucht eine nachvollziehbare Rechtsgrundlage. Im Zweifel: aufschreiben, wann du welche Einwilligung eingeholt hast.
Sichere Dokumentenübertragung: Für sensible Unterlagen wie Personalausweise, Bonitätsnachweise oder Grundbuchauszüge brauchst du einen gesicherten Übertragungsweg. Das kann ein verschlüsseltes E-Mail-Tool sein, ein SFTP-Bereich oder – eleganter – ein dediziertes Portal, über das Dokumente sicher hochgeladen und abgerufen werden können. Portalist bietet dafür einen eigenen Datei-Upload, der genau diesen Zweck erfüllt: Dokumente landen nicht in offenen E-Mail-Threads, sondern in einem gesicherten, gebrandeten Portal.
Auftragsverarbeitungsvereinbarung mit Tools: Jedes Tool, das personenbezogene Daten deiner Kunden verarbeitet – CRM, E-Mail-Marketing, Dokumentenmanagementsystem – braucht einen AVV. Das gilt auch für Cloud-Dienste wie Google Drive, wenn du dort Kundenunterlagen speicherst.
Löschkonzept einführen: Kein Luxus, sondern Pflicht. Definiere, wie lange du welche Datenkategorien aufbewahrst. Interessenten ohne Abschluss: Faustregel 6 Monate nach letztem Kontakt. Käufer und Verkäufer: Steuerliche Aufbewahrungsfristen beachten (i.d.R. 10 Jahre für buchhalterisch relevante Unterlagen). Danach: löschen.
Der Kanal-Frage: Was ist noch erlaubt?
E-Mail: Grundsätzlich erlaubt, aber Transportverschlüsselung allein reicht für hochsensible Daten nicht aus. Für normale Kommunikation – Terminabstimmung, allgemeine Updates – ist E-Mail praktisch und rechtlich unproblematisch, solange du keine besonders schützenswerten Daten (Art. 9 DSGVO) überträgst.
WhatsApp Business: Technisch möglich, rechtlich grau. Meta ist kein Unternehmen mit belastbarem AVV für professionelle Nutzung. Wenn du es nutzt, tu es für informelle Absprachen – nie für Dokumente.
Portale und sichere Links: Das ist die sauberste Lösung. Wenn Kunden sich über einen personalisierten Link in ein geschlossenes Portal einloggen – ohne Passwort, ohne Registrierung – bleiben Daten dort, wo sie hingehören. Magic Links erfüllen genau das: Zugang ohne Passwort, jeder Link ist einzigartig und personengebunden.
Telefon: Rechtlich unkritisch für Inhalte, aber dokumentiere wichtige Absprachen schriftlich nach.
Was du wirklich aufschreiben musst
Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) ist für Makler mit mehr als 250 Mitarbeitern Pflicht – aber auch für kleinere Büros sinnvoll. Es dokumentiert, welche Daten du verarbeitest, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange du sie aufbewahrst. Im Fall einer Beschwerde bei der Aufsichtsbehörde ist das dein wichtigstes Dokument.
Eine Vorlage findest du bei den Landesdatenschutzbehörden. In Baden-Württemberg ist das der LfDI – die stellen konkrete Arbeitshilfen bereit.
Der pragmatische Ansatz
Wer als Makler DSGVO-konform kommunizieren will, muss kein Jurist werden. Es reicht, die wichtigsten Grundsätze zu kennen, die richtigen Tools zu nutzen und nachweisbar handeln zu können.
Das bedeutet in der Praxis: Kein unsicherer Dokumentenversand, keine Sammel-CC, klare Rechtsgrundlagen für jede Datenkategorie und ein System, das Kommunikation und Dokumente gebündelt und nachvollziehbar hält. Wer das hat, schläft ruhiger – und wirkt gegenüber Kunden auch professioneller.
