DSGVO ist für die meisten Makler ein Reizwort. Zu viel Bürokratie, zu wenig Klarheit, zu hohe Strafen bei Fehlern. Dabei ist rechtskonforme Kommunikation kein Hexenwerk, wenn du weißt, was dabei zählt.
Warum DSGVO für Makler komplizierter ist als für andere Branchen
Als Makler verarbeitest du täglich sensible Daten: Finanzierungsnachweise, Ausweiskopien, Bonitätsauskünfte, Kaufpreisgebote, persönliche Wohnsituationen. Das ist etwas anderes als ein Onlineshop, der E-Mail-Adressen sammelt.
Die Daten kommen gleichzeitig von mehreren Seiten: Verkäufer, Käufer, Interessenten, Notare, Banken. Du bist Mittler zwischen all diesen Parteien und trägst damit datenschutzrechtlich die Verantwortung für jede einzelne Übermittlung.
Drei Punkte machen Maklerkommunikation dabei besonders heikel:
- Exposés enthalten Fotos von Privaträumen, Grundrisse, Adressen, alles personenbezogen
- Interessentenlisten bündeln Daten vieler Menschen, die du nie um explizite Einwilligung gebeten hast
- Die Kaufabwicklung erfordert Dokumentenaustausch, der oft per E-Mail läuft, also ungesichert
Rechtsgrundlagen: Was du wirklich brauchst
Bevor du kommunizierst, brauchst du eine Rechtsgrundlage. Die DSGVO kennt sechs davon, für Makler sind vor allem zwei relevant.
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Wenn du mit jemandem einen Maklervertrag hast oder ihn als suchenden Käufer betreust, darfst du seine Daten für die direkte Vertragserfüllung verarbeiten. Exposé-Versand an registrierte Interessenten, Terminabsprachen, Dokumentenanforderungen: das ist gedeckt.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Hier ist Vorsicht angebracht. Du kannst es für Follow-ups und Marktinformationen heranziehen, aber nur wenn das Interesse des Empfängers nicht überwiegt. Im Zweifel ist eine Einwilligung sicherer.
Was du brauchst, bevor du Daten nutzt: eine dokumentierte Datenschutzerklärung, die Betroffenen vor oder spätestens bei Erstkontakt übergeben wird. Nicht nach dem ersten Exposé. Vor dem ersten Exposé.
Exposé-Versand: Das sind die echten Fallstricke
Ein Exposé per E-Mail an dreißig Interessenten verschicken, das war früher normal. Heute ist es riskant.
Der erste Fehler: CC statt BCC. Wenn alle Empfänger sich gegenseitig sehen, gibst du ungefragt Daten weiter. Das ist eine Datenschutzverletzung, die du melden müsstest.
Der zweite Fehler: kein Tracking, keine Kontrolle. Du weißt nicht, wer das PDF weitergegeben hat. Eine Kopie des Exposés kann in zwanzig Postfächern landen, ohne dass du es merkst.
Der dritte Fehler: Exposés ohne Wasserzeichen oder Empfängerkennung. Wenn ein Dokument auftaucht, kannst du nicht zurückverfolgen, woher der Leak kam.
Die saubere Alternative ist ein portalisierter Zugang: Jeder Interessent bekommt einen individuellen, gesicherten Link. Kein Passwort nötig, aber nachvollziehbar, wer wann was aufgerufen hat. Magic Links funktionieren genau so: kein gemeinsamer Zugang, kein Datenleck durch Weitergabe, volle Nachvollziehbarkeit.
Einwilligungen richtig einholen und dokumentieren
Einwilligung klingt einfach. Ist es nicht. Damit sie DSGVO-konform ist, muss sie:
- freiwillig sein (kein "Wenn du die Einwilligung nicht gibst, bekommst du kein Exposé")
- informiert sein (der Mensch muss wissen, wofür er einwilligt)
- eindeutig sein (kein vorangekreuztes Kästchen)
- dokumentiert sein (du musst beweisen können, dass und wann jemand zugestimmt hat)
- widerrufbar sein (einfache Möglichkeit zum Opt-out)
In der Praxis heißt das: Ein selbstgebautes Google-Formular reicht nicht aus. Du brauchst ein System, das Zeitstempel protokolliert und die genaue Version des Textes speichert, dem jemand zugestimmt hat.
Das ist einer der Gründe, warum viele Makler auf spezialisierte Tools umsteigen. Nicht weil es bequemer ist, sondern weil es beweisbar ist.
Dokumentenaustausch in der Kaufabwicklung
Hier wird es in vielen Büros noch am lockersten gehandhabt. Finanzierungsnachweise per E-Mail, Ausweisscans per WhatsApp, Grundbuchauszüge im unverschlüsselten Anhang.
Das sind keine Kavaliersdelikte. Ausweiskopien und Bonitätsnachweise fallen unter besonders schutzwürdige Daten. Für ihre Übermittlung gilt: Der Transport muss verschlüsselt sein, der Zugriff muss kontrolliert sein, die Speicherung muss befristet sein.
WhatsApp ist für diesen Zweck grundsätzlich problematisch, auch die Business-Variante. Metadaten, Serverstandorte und Adressbuchzugriff machen echte DSGVO-Konformität schwierig. Wer viel über WhatsApp kommuniziert, sollte das zumindest auf informelle Kontaktaufnahme beschränken und sensible Dokumente über gesicherte Kanäle austauschen.
Ein dedizierter Bereich für den Datei-Upload im Kundenportal löst das Problem an der Wurzel: Käufer und Verkäufer laden Dokumente direkt in die gesicherte Umgebung hoch, du siehst sofort, was eingegangen ist, und kein Dokument läuft durch externe Postfächer.
Löschpflichten: Was Makler oft vergessen
Wenn ein Verkauf abgeschlossen ist, endet die Rechtsgrundlage für die meisten Daten. Interessentenlisten mit Bonitätsdaten dürfen nicht unbegrenzt gespeichert bleiben.
Faustregel: Daten aus dem Verkaufsprozess, die du nicht für steuerliche oder handelsrechtliche Aufbewahrungspflichten brauchst, solltest du spätestens nach zwei bis drei Jahren löschen. Interessentenlisten ohne Vertragsbezug noch früher.
Konkret bedeutet das: Du brauchst ein System, das dir sagt, wann welche Daten zur Löschung fällig sind. Eine Excel-Tabelle ohne Datumskontrolle reicht nicht.
Was eine Datenpanne kostet und wie du sie vermeidest
Eine Datenpanne muss in den meisten Fällen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Wenn Betroffene einem hohen Risiko ausgesetzt sind, musst du auch sie informieren.
Bußgelder nach DSGVO können bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes betragen. Für ein kleines Maklerbüro können schon fünfstellige Beträge existenzbedrohend sein.
Die häufigsten Datenpannen in Maklerbüros sind:
- falsch adressierte E-Mails mit Anhängen
- verlorene oder gestohlene USB-Sticks mit Kundendaten
- ungesicherte Cloud-Speicher (Dropbox-Ordner mit offenem Link)
- weitergereichte Exposés mit Käuferdaten an Dritte
Prävention ist hier billiger als Reaktion. Wer konsequent über gesicherte Systeme kommuniziert und den E-Mail-Anhang als Standard ablöst, reduziert das Risiko erheblich.
Der pragmatische Makler-Workflow
Du musst kein Datenschutzexperte werden. Aber ein paar Grundregeln sollten im täglichen Ablauf fest verankert sein:
Vor dem Erstkontakt: Datenschutzerklärung bereitstellen, Einwilligung dokumentieren.
Beim Exposé-Versand: Individuellen, gesicherten Zugang statt Massenmail. Kein CC, kein ungeschütztes PDF.
Im Dokumentenaustausch: Keine WhatsApp-Scans, kein Dropbox-Link ohne Passwort. Gesicherter Upload-Bereich mit Zugangskontrolle.
Nach dem Abschluss: Löschfristen im System hinterlegen, nicht nur mental notieren.
Bei einer Panne: Sofort dokumentieren, Rechtsrat einholen, Meldefrist im Blick behalten.
Das klingt nach viel. In einem eingespielten Workflow dauert jeder dieser Schritte Sekunden. Der Aufwand entsteht einmalig beim Aufsetzen, nicht täglich neu.
Wie Prozesstransparenz und Datenschutz zusammenpassen
Ein häufiges Missverständnis: Transparenz gegenüber Kunden und Datenschutz stehen im Widerspruch. Das stimmt nicht.
Wenn du Käufern und Verkäufern Einblick in den Prozess gibst, also Statusupdates, Dokumentenstatus, nächste Schritte, dann kannst du das in einer kontrollierten Umgebung tun. Nicht per E-Mail-Thread, der weitergeschickt wird, sondern in einem Portal, das nur die berechtigte Person sieht.
Prozesstransparenz ist datenschutzkonform, wenn sie kanalgebunden ist. Und sie reduziert gleichzeitig den Kommunikationsaufwand, weil Kunden nicht mehr anrufen müssen, um den Status zu erfragen. Kein Widerspruch zwischen Offenheit und Datenschutz, sondern beides auf einmal gelöst.
