Datenschutz und Maklerbetrieb – das klingt nach trockenem Bürokratie-Kram. Ist es aber nicht, wenn du es richtig angehst. Eine saubere DSGVO-konforme Kundenkommunikation schützt dich rechtlich, und sie macht dich gleichzeitig zu einem besseren Makler.
Was "DSGVO-konform" für Makler konkret bedeutet
Die DSGVO gilt für jeden, der personenbezogene Daten verarbeitet. Als Makler machst du das ständig: Name, Telefonnummer, Finanzdaten, Dokumente, Suchprofile. Jede dieser Datenkategorien hat bestimmte Anforderungen.
Das Grundprinzip ist simpel: Du darfst Daten nur erheben, wenn es einen legitimen Grund gibt – Vertrag, gesetzliche Pflicht oder ausdrückliche Einwilligung. Und du musst in der Lage sein, das nachzuweisen.
Für die Kundenkommunikation heißt das konkret:
- Du brauchst eine Rechtsgrundlage für jede Art von Kontaktaufnahme
- Interessenten müssen wissen, welche Daten du erfasst und warum
- Auf Anfrage musst du Auskunft geben, Daten korrigieren oder löschen
- Datenpannen musst du innerhalb von 72 Stunden der Aufsichtsbehörde melden
Das klingt aufwendig. In der Praxis läuft das meiste davon automatisch, wenn du einmal die Grundlage legst.
Die häufigsten Fehler im Makler-Alltag
Ich rede regelmäßig mit Maklern, und immer wieder tauchen dieselben Lücken auf.
Sammel-E-Mails ohne Rechtsgrundlage. Du hast 200 Interessenten in deiner Datenbank und schickst sie alle an, sobald eine neue Wohnung online ist. Klingt effizient. Ist aber nur erlaubt, wenn diese Personen dem explizit zugestimmt haben – oder wenn ein berechtigtes Interesse besteht, was du begründen können musst.
Fehlende oder unvollständige Datenschutzerklärung. Auf der Website, auf Kontaktformularen, im Exposé-Portal – überall, wo Daten erhoben werden, muss eine aktuelle Datenschutzerklärung verlinkt sein. Eine aus 2019, die du nie aktualisiert hast, reicht nicht.
CC statt BCC. Wer Interessenten in Gruppen-E-Mails in CC schreibt, gibt damit die E-Mail-Adressen aller Empfänger an alle weiter. Das ist ein klassischer DSGVO-Verstoß – und peinlich dazu.
Keine Löschfristen. Interessenten, die seit drei Jahren nicht mehr aktiv waren und nie eine Einwilligung gegeben haben – deren Daten müssen gelöscht werden. Wann hast du zuletzt deinen CRM-Bestand bereinigt?
WhatsApp für Geschäftskommunikation. Technisch problematisch, datenschutzrechtlich eine Grauzone. Wer das Adressbuch des Smartphones für WhatsApp freigibt, überträgt damit auch Kontaktdaten Dritter an Meta. Für viele Aufsichtsbehörden ist das schwer zu rechtfertigen.
Die richtige Rechtsgrundlage für jeden Kommunikationstyp
Nicht jede Kundenkommunikation ist gleich. Hier lohnt es sich, zu differenzieren.
Interessenten, die sich selbst gemeldet haben: Wer über dein Kontaktformular anfragt, hat damit in der Regel in die Verarbeitung seiner Daten für den konkreten Zweck eingewilligt – oder du hast ein berechtigtes Interesse, ihn im Rahmen dieser Anfrage zu kontaktieren. Du kannst ihn zu diesem Objekt ansprechen. Für weitere Angebote brauchst du eine eigene Einwilligung.
Verkäufer im laufenden Auftrag: Hier ist die Rechtsgrundlage der Vertrag. Du verarbeitest Daten, weil der Auftrag das erfordert. Das gilt für Reporting, Besichtigungsrückmeldungen, Dokumentenaustausch – alles, was zum Auftrag gehört.
Newsletter oder Marktberichte: Hier brauchst du eine ausdrückliche Einwilligung mit Double-Opt-In. Kein Opt-In, kein Versand.
Ehemalige Kunden nach Abschluss: Noch komplizierter. Du darfst sie nicht einfach weiter kontaktieren, nur weil sie mal Kunde waren. Es sei denn, du hast eine Einwilligung für Folgekommunikation eingeholt – am besten noch während des Auftrags.
Technische Maßnahmen, die du heute umsetzen kannst
Theorie ist gut. Was kannst du konkret tun?
E-Mail-Versand über sichere Systeme. Gmail oder Outlook im Standard sind nicht für die Verarbeitung sensibler Kundendaten optimiert. Nutze Dienste mit EU-Servern und Auftragsverarbeitungsvertrag (AVV). Mit fast allen professionellen Makler-Tools gibt es AVVs – prüf das.
Exposé-Versand tracken und kontrollieren. Wenn du Exposés als PDF per E-Mail verschickst, hast du keine Kontrolle darüber, wer das Dokument weitergibt. Plattformlösungen, die Exposés hinter einem Login oder per Magic Link ausliefern, lösen das Problem: Du weißt, wer zugegriffen hat, und kannst den Zugriff bei Bedarf sperren.
Verzeichnis von Verarbeitungstätigkeiten führen. Pflicht für Unternehmen mit mehr als 20 Mitarbeitern – aber auch für kleine Maklerbüros empfehlenswert. Dokumentiere, welche Daten du warum erhebst, wie lange du sie aufbewahrst und an wen du sie weitergibst (Notar, Bank, Gutachter etc.).
Datenschutzerklärung aktuell halten. Wenn du einen neuen Newsletter-Dienst nutzt, eine neue Software einführst oder Daten in neue Länder überträgst – aktualisiere die Erklärung. Ein Anwalt oder ein Datenschutz-Muster-Generator kostet wenig, ein Verstoß viel mehr.
Kommunikation aus dem Postfach raus. Wer die gesamte Kundenkommunikation über persönliche E-Mail-Postfächer abwickelt, hat irgendwann das Problem: Daten liegen verstreut, nicht auffindbar, nicht löschbar. Zentralisierte Kommunikation über ein Portal schafft Übersicht und erleichtert die Auskunft auf Anfrage.
Was mit Dokumenten gilt
Beim Immobilienverkauf kommen viele Dokumente zusammen: Grundbuchauszug, Energieausweis, Personalausweise der Parteien, Finanzierungsbestätigungen, Teilungserklärungen. Alles davon enthält personenbezogene Daten.
Wie du diese Dokumente überträgst, ist DSGVO-relevant. Unverschlüsselte E-Mail-Anhänge gelten als nicht sicher. Besser: Portallösungen mit verschlüsseltem Upload. Dort können Käufer, Verkäufer und du Dokumente strukturiert ablegen – mit Zugriffsprotokoll und ohne, dass Dokumente in E-Mail-Postfächern oder bei Filesharing-Diensten landen, die keinen AVV bieten.
Der Datei-Upload über ein Maklerportal ist dabei nicht nur eine DSGVO-Lösung, sondern macht den Prozess auch für alle Beteiligten übersichtlicher. Wer hat was hochgeladen, wann, für welchen Schritt – das sieht man auf einen Blick.
Einwilligungen dokumentieren – und aufbewahren
Das Einholen einer Einwilligung ist nicht genug. Du musst nachweisen können, dass sie erteilt wurde: Wer, wann, für was, über welchen Kanal.
In der Praxis bedeutet das: Wenn du auf Messen, bei Besichtigungen oder per Formular Einwilligungen sammelst, braucht jede davon einen Zeitstempel und eine klare Beschreibung des Zwecks. Ein handgeschriebener Zettel funktioniert formal, ist aber kaum nachweisbar. Digitale Prozesse mit automatischer Protokollierung sind zuverlässiger.
Wie lange musst du Einwilligungen aufbewahren? Mindestens so lange, wie du die Daten nutzt – plus eine sinnvolle Pufferzeit für mögliche Beschwerden oder Prüfungen. Drei Jahre sind ein guter Richtwert, wenn kein gesetzlicher Grund eine längere Aufbewahrung erfordert.
Wenn es brennt: Was tun bei einer Datenpanne
Du schickst aus Versehen eine E-Mail mit Kundendaten an den falschen Empfänger. Oder dein Laptop mit unverschlüsselten Kundendokumenten wird gestohlen. Was jetzt?
Erstens: Nicht warten. Die 72-Stunden-Frist für die Meldung an die zuständige Datenschutzbehörde beginnt in dem Moment, in dem du von der Panne weißt.
Zweitens: Bewerte den Schaden. Nicht jede Panne muss gemeldet werden – nur wenn ein Risiko für die betroffenen Personen besteht. Im Zweifel melde lieber zu früh als zu spät.
Drittens: Informiere die Betroffenen, wenn das Risiko hoch ist. Das ist unangenehm, aber gesetzlich vorgeschrieben und zeigt auch Haltung.
Viertens: Dokumentiere alles – Panne, Maßnahmen, Meldung. Auch wenn du keine Meldepflicht hast, solltest du intern festhalten, was passiert ist und wie du reagiert hast.
Der einfachste Weg zu mehr Compliance im Alltag
Datenschutz muss kein separates Projekt sein. Das meiste läuft automatisch, wenn du einmal die richtigen Prozesse und Tools hast.
- Saubere Einwilligungsprozesse bei der Ersterfassung
- Klare Ablagestruktur für Dokumente (Portal statt E-Mail-Anhänge)
- Regelmäßige CRM-Bereinigung (mindestens einmal pro Jahr)
- Aktuelle Datenschutzerklärung auf allen Kontaktpunkten
- AVVs mit allen Dienstleistern, die Kundendaten sehen
Kein Makler wird für einen kleinen Fehler sofort sanktioniert – aber wer systematisch ignoriert, zahlt irgendwann. Und umgekehrt: Wer seinen Kunden zeigen kann, dass ihre Daten sicher sind, hat einen echten Vertrauensvorteil. Gerade im Immobilienverkauf, wo viel Privates auf dem Tisch liegt, ist das kein Kleinigkeit.
