DSGVO-Verstöße passieren im Makleralltag nicht aus Böswilligkeit, sondern aus Unwissenheit. Eine E-Mail mit Exposé an zu viele Empfänger, ein WhatsApp-Verlauf mit Kundendaten auf dem Privathandy, ein Kontaktformular ohne Datenschutzhinweis – fertig ist der Verstoß. Hier bekommst du einen praxisnahen Überblick, was wirklich zählt.
Was die DSGVO von Maklern konkret verlangt
Die DSGVO ist kein Papiertiger. Seit 2018 gilt sie, und die Aufsichtsbehörden sind inzwischen deutlich aktiver als in den ersten Jahren. Für Makler bedeutet das: Wer personenbezogene Daten verarbeitet – und das tut jeder Makler bei jedem Interessenten – braucht eine Rechtsgrundlage.
Die drei relevantesten Grundlagen im Makleralltag:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Du darfst Daten verarbeiten, wenn du sie zur Vertragserfüllung brauchst. Ein Kaufinteressent, der einen Besichtigungstermin bucht, gibt dir damit implizit das Recht, seine Kontaktdaten für die Terminkoordination zu nutzen.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für Newsletter, Exposé-Zusendungen an unbekannte Interessenten oder Marketingkommunikation brauchst du eine dokumentierte Einwilligung.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): In engen Grenzen nutzbar – zum Beispiel für die Nachverfolgung nach einem Erstkontakt. Aber Vorsicht: Das berechtigte Interesse muss gegenüber dem Interesse des Betroffenen überwiegen.
Was viele Makler vergessen: Jeder Betroffene hat das Recht auf Auskunft, Löschung und Datenübertragbarkeit. Du musst also wissen, welche Daten du wo gespeichert hast – und das auf Anfrage binnen eines Monats nachweisen können.
Die häufigsten Fehler bei der Exposé-Kommunikation
Der Exposé-Versand ist ein klassischer Stolperstein. Ein Sammel-CC mit zehn Interessenten? Datenschutzverstoß. Jeder sieht die E-Mail-Adressen aller anderen. Die Lösung ist simpel – BCC nutzen oder, besser noch, auf Portallösungen umsteigen, bei denen jeder Interessent seinen eigenen Zugang hat.
Ein weiteres Problem: Exposés mit Grundrissen und Fotos landen auf privaten WhatsApp-Chats, werden weitergeleitet, liegen auf Servern in den USA. Dabei schreibt die DSGVO vor, dass Drittlandtransfers nur unter bestimmten Voraussetzungen zulässig sind. WhatsApp von Meta gehört dazu – technisch gesehen ein Problem, das viele Makler ignorieren.
Was du konkret ändern kannst:
- Exposés nur über passwortgeschützte oder zugangskontrollierte Kanäle versenden
- Keine Sammel-E-Mails mit sichtbaren Empfängern
- WhatsApp für sensible Kundenkommunikation möglichst meiden – oder zumindest die Business-Variante mit entsprechenden Einwilligungen nutzen
- Alle Einwilligungen dokumentieren, am besten mit Timestamp und IP-Adresse
Einwilligungen richtig einholen und dokumentieren
Eine Einwilligung muss freiwillig, informiert und eindeutig sein. Vorausgefüllte Checkboxen auf dem Kontaktformular sind unwirksam. Koppelungsverbote gelten: Du darfst eine Dienstleistung nicht davon abhängig machen, dass jemand einem Newsletter zustimmt.
Praktisch heißt das für dein Kontaktformular:
Die Datenschutzerklärung muss verlinkt sein, die Checkbox für Marketingkommunikation darf nicht vorangekreuzt sein, und du musst nachweisen können, wann wer was wie angekreuzt hat. Ein Screenshot reicht nicht – du brauchst eine Datenbank-Aufzeichnung.
Für Bestandskunden, die du schon vor 2018 hattest: Hast du damals eine DSGVO-konforme Einwilligung eingeholt? Falls nicht, ist die Rechtslage dünn. Vertragserfüllung oder berechtigtes Interesse deckt nur aktive Geschäftsbeziehungen – nicht das Anschreiben von Interessenten, die vor drei Jahren mal eine Anfrage geschickt haben.
Auftragsverarbeitung: Wenn Tools deine Daten verarbeiten
Jedes Tool, das du nutzt und das Kundendaten verarbeitet, ist ein Auftragsverarbeiter. CRM-System, E-Mail-Marketing-Tool, Dokumentenmanagement, Videokonferenz-Software – alles. Mit jedem dieser Anbieter brauchst du einen Auftragsverarbeitungsvertrag (AVV).
Die meisten SaaS-Anbieter bieten das inzwischen automatisch an, oft als Checkbox im Onboarding oder als Download im Kundenkonto. Aber du musst es aktiv abschließen und dokumentieren. Einfach ein Tool nutzen ohne AVV ist ein Verstoß.
Prüfe außerdem den Serverstandort. Daten, die auf US-amerikanischen Servern liegen, sind grundsätzlich problematisch, weil US-Behörden unter dem CLOUD Act Zugriff verlangen können. EU-Server oder explizite Standardvertragsklauseln sind Pflicht.
Bei Portalist etwa liegen alle Daten auf europäischen Servern, und der AVV ist Bestandteil des Vertrags – das ist genau der Standard, den du von jedem Tool verlangen solltest, das Kundendaten berührt.
Löschpflichten und Aufbewahrungsfristen im Widerspruch
Hier liegt ein echter Zielkonflikt: Die DSGVO verlangt, dass du Daten löschst, sobald der Zweck entfällt. Steuerrecht und Handelsrecht verlangen, dass du Geschäftsunterlagen bis zu zehn Jahre aufbewahrst.
Die Lösung: Du musst differenzieren. Marketingdaten und Interessentenanfragen, die zu keinem Auftrag geführt haben, solltest du nach angemessener Zeit löschen – sechs Monate bis ein Jahr ist ein gängiger Richtwert. Vertragsdokumente, Rechnungen und kaufrelevante Unterlagen fallen dagegen unter die handelsrechtliche Aufbewahrungspflicht.
Praktisch bedeutet das: Dein CRM braucht eine Löschfunktion, und du brauchst einen Prozess, der regelmäßig prüft, welche Kontakte gelöscht werden müssen. Ein jährlicher Daten-Frühjahrsputz ist keine Pflicht, aber eine gute Praxis.
Auskunftspflichten: Was passiert, wenn jemand fragt
Ein Interessent meldet sich und will wissen, welche Daten du von ihm hast. Du hast einen Monat Zeit zu antworten – kostenlos. Das klingt machbar, ist es aber nur, wenn du weißt, wo deine Daten überhaupt liegen.
Viele Makler arbeiten mit einem Flickenteppich aus Tools: CRM, E-Mail-Postfach, WhatsApp, Excel-Listen, PDF-Ordner. Wenn dann jemand fragt, weiß man oft selbst nicht mehr, wo alle Daten stecken.
Die Lösung ist keine Datenschutz-Software, sondern Disziplin: Alle Kundendaten an einem zentralen Ort, klare Prozesse, wer was wo einträgt. Portallösungen wie Portalist mit Magic Links helfen dabei, weil Interessentenzugriffe und Kommunikation zentral protokolliert werden – das macht eine Auskunft deutlich einfacher.
Datenschutzerklärung und Impressum: Der Minimalstandard
Deine Website braucht eine aktuelle Datenschutzerklärung. "Aktuell" heißt: Sie muss jedes Tool erwähnen, das du auf der Website einsetzt. Google Analytics, Calendly, ein eingebettetes YouTube-Video – alles muss drin stehen.
Lass die Datenschutzerklärung regelmäßig prüfen, wenn du neue Tools einbindest. Generatoren wie der von Datenschutz-Generator.de (von Anwalt Thomas Schwenke) sind ein guter Ausgangspunkt, ersetzen aber keine individuelle Beratung bei komplexen Setups.
Das Impressum muss schnell erreichbar sein – nicht hinter drei Klicks versteckt. Zwei Klicks von der Startseite gelten als Obergrenze.
Was du diese Woche konkret tun kannst
DSGVO-Compliance ist kein Projekt, das du einmal abschließt. Es ist ein laufender Prozess. Aber du musst nicht alles auf einmal lösen.
Fang mit den drei wichtigsten Punkten an:
Erstens: Prüfe deine AVVs. Hast du mit allen Tools, die Kundendaten verarbeiten, einen Auftragsverarbeitungsvertrag? Wenn nicht, schließ ihn ab.
Zweitens: Schau dir deinen Exposé-Versandprozess an. Landen die Dateien unkontrolliert per E-Mail bei Interessenten, oder hast du einen zugangskontrollierten Kanal? Falls nicht, ist das deine größte Baustelle.
Drittens: Leg einen Prozess fest, wie du mit Löschanfragen umgehst. Wer ist zuständig? Wo liegen die Daten? Wie dokumentierst du die Löschung?
Wenn du gleichzeitig deinen Kaufabwicklungsprozess digitalisieren willst und dabei DSGVO-konforme Kommunikation von Anfang an mitdenken möchtest, lohnt sich ein Blick auf die digitale Kaufabwicklung von Portalist – dort ist der datenschutzkonforme Dokumentenaustausch direkt eingebaut, ohne dass du das separat lösen musst.
DSGVO-Compliance kostet Zeit. Aber ein Bußgeld oder ein Reputationsschaden kostet mehr.
