Auf welcher Rechtsgrundlage darf ich Bewerberdaten verarbeiten?

In den meisten Fällen auf Basis von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sobald die Selbstauskunft Teil der Bewerbung ist, gilt die Verarbeitung als zur Anbahnung des Mietvertrags erforderlich.

Wie lange darf ich abgelehnte Bewerbungen aufbewahren?

Maximal 6 Monate. Die Frist orientiert sich an der AGG-Klagefrist (§ 21 AGG): Ein abgelehnter Bewerber hat zwei Monate Zeit, eine Diskriminierungsklage zu erheben. Mit Sicherheitsmarge sind 6 Monate üblich. Danach ist die Löschung Pflicht.

Wie lange darf ich die Daten meines Mieters speichern?

Während des Mietverhältnisses dürfen Sie die Daten aufbewahren. Nach Vertragsende gelten steuerliche Aufbewahrungsfristen (in der Regel 10 Jahre für Mietverträge). Die Selbstauskunft selbst ist meist nicht steuerrelevant und sollte nach Mietende gelöscht werden.

Welche Rechte hat der Bewerber?

Der Bewerber hat das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Die Antwort muss innerhalb eines Monats erfolgen.

Brauche ich eine Datenschutzerklärung für die Selbstauskunft?

Ja. Sie müssen den Bewerber gemäß Art. 13 DSGVO informieren: über den Zweck der Verarbeitung, die Rechtsgrundlage, Empfänger der Daten, Aufbewahrungsdauer und seine Rechte. Diese Informationen müssen vor oder bei der Datenerhebung bereitgestellt werden.

Darf ich die Selbstauskunft per WhatsApp oder E-Mail einholen?

E-Mail ist üblich, aber nur über sichere Kanäle. WhatsApp ist datenschutzrechtlich heikel, weil personenbezogene Daten an Meta gelangen können. DSGVO-konformer sind dedizierte Online-Formulare mit Verschlüsselung und klarer Zweckbindung.

Was passiert bei einem DSGVO-Verstoß?

Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes sind möglich (Art. 83 DSGVO). Bei privaten Vermietern fallen die Bußgelder geringer aus, sind aber dennoch empfindlich. Häufiger sind Schadensersatzklagen abgelehnter Bewerber.

Brauche ich einen Datenschutzbeauftragten als privater Vermieter?

In der Regel nein. Ein Datenschutzbeauftragter ist erst Pflicht, wenn mindestens 20 Personen ständig mit der Datenverarbeitung beschäftigt sind oder besonders sensible Daten umfangreich verarbeitet werden. Bei privater Vermietung ist das praktisch nie der Fall.

Ratgeber | 6 Min. Lesezeit

Mieterselbstauskunft & DSGVO: Pflichten für Vermieter

Welche Rechtsgrundlage gilt? Wie lange dürfen Sie Daten speichern? Was sind die Rechte des Bewerbers? Hier finden Sie alle DSGVO-Pflichten kompakt erklärt.

Warum die DSGVO bei der Mieterselbstauskunft greift

Sobald Sie als Vermieter personenbezogene Daten eines Bewerbers verarbeiten – also bereits beim Empfang einer ausgefüllten Mieterselbstauskunft – greift die Datenschutz-Grundverordnung (DSGVO). Das gilt unabhängig davon, ob Sie die Wohnung privat oder gewerblich vermieten. Eine Ausnahme gibt es nur, wenn die Verarbeitung "ausschließlich persönlich oder familiär" ist – das trifft auf eine reguläre Vermietung nicht zu.

Konkret bedeutet das: Sie brauchen eine Rechtsgrundlage, müssen den Bewerber informieren, dürfen die Daten nur zweckgebunden nutzen und müssen sie löschen, sobald die Grundlage entfällt. Verstöße können teuer werden.

Rechtsgrundlage: Art. 6 DSGVO

Drei Grundlagen kommen für die Mieterselbstauskunft in Frage. In der Praxis kombinieren Vermieter sie meist:

Art. 6 Abs. 1 lit. b – Vorvertragliche Maßnahmen

Sobald sich ein Bewerber aktiv für eine Wohnung interessiert, dürfen Sie die für die Anbahnung des Mietvertrags erforderlichen Daten verarbeiten. Das umfasst die Bonitätsprüfung, weil ohne sie kein Mietvertrag möglich wäre.

Art. 6 Abs. 1 lit. a – Einwilligung

Ergänzend holen Sie eine ausdrückliche Einwilligung ein – speziell für Daten, die über das unbedingt Erforderliche hinausgehen. Die Einwilligung muss freiwillig, informiert und widerruflich sein.

Art. 6 Abs. 1 lit. f – Berechtigtes Interesse

Selten als Hauptgrundlage. Greift aber etwa, wenn Sie die Daten zur Abwehr einer AGG-Klage aufbewahren – über die übliche Frist hinaus, aber zeitlich begrenzt.

Aufbewahrungsfristen im Überblick

Status des Bewerbers	Maximale Frist	Begründung
Abgelehnt	6 Monate	AGG-Klagefrist mit Sicherheitsmarge
Zurückgezogen	Sofort nach Rückzug	Zweck entfallen
Mietvertrag abgeschlossen (laufend)	Dauer Mietverhältnis	Vertragsdurchführung
Mietvertrag beendet	Selbstauskunft löschen, Vertrag 10 J.	Steuerliche Aufbewahrung nur für Vertrag

Rechte des Bewerbers

Jeder Bewerber kann seine Rechte jederzeit ausüben. Sie müssen innerhalb eines Monats reagieren – unentgeltlich.

Auskunftsrecht (Art. 15)

Sie müssen mitteilen, welche Daten Sie speichern, woher sie stammen, an wen sie weitergegeben werden und wie lange Sie sie aufbewahren.

Berichtigungsrecht (Art. 16)

Falsche Daten müssen Sie auf Verlangen korrigieren – etwa, wenn der Bewerber eine Adressänderung mitteilt.

Löschungsrecht (Art. 17)

Sobald der Zweck entfällt, müssen Sie die Daten löschen. Auch ein Widerruf der Einwilligung führt zur Löschung.

Datenübertragbarkeit (Art. 20)

Auf Verlangen müssen Sie die Daten in einem strukturierten, gängigen Format herausgeben – etwa CSV oder PDF.

Folgen bei Verstößen

Bei DSGVO-Verstößen drohen zwei Arten von Konsequenzen: behördliche Bußgelder und zivilrechtliche Schadensersatzklagen. Beides kann sich kombinieren.

Bußgelder durch die Aufsichtsbehörde

Theoretisch bis zu 20 Mio. Euro oder 4 Prozent des Jahresumsatzes. Bei Privatvermietern in der Praxis deutlich niedriger – meist im drei- bis fünfstelligen Bereich. Höhere Bußgelder bei wiederholten oder schwerwiegenden Verstößen.

Schadensersatz nach Art. 82

Betroffene können materiellen und immateriellen Schaden geltend machen. Beispiele: 500-2.000 Euro für unzulässige Datenweitergabe, höhere Beträge bei Datenleaks oder rufschädigender Verwendung.

Häufiger als Bußgelder sind in der Praxis Schadensersatzklagen abgelehnter Bewerber – oft kombiniert mit AGG-Vorwürfen. Eine saubere DSGVO-Dokumentation entkräftet beide Vorwürfe gleichzeitig.

DSGVO-Checkliste für Vermieter

Datenschutzerklärung erstellen und vor der Datenerhebung bereitstellen

Einwilligung freiwillig, eindeutig und widerruflich gestalten

Nur zweckgebundene Daten erheben (siehe Was darf der Vermieter fragen?)

Sichere Übertragung – verschlüsselt statt offene E-Mail oder Messenger

Daten geschützt aufbewahren – verschlüsselte Festplatte, kein offener Cloud-Ordner

Löschfristen einhalten – am besten automatisiert

Auskunftsanfragen innerhalb eines Monats beantworten

Bei Verlust oder Datenleck: innerhalb von 72 Stunden Datenschutzbehörde informieren

Häufige Fragen zur DSGVO bei der Selbstauskunft

DSGVO-Pflichten ohne Excel und Erinnerungen

Aufbewahrungsfristen, Einwilligungen, Auskunftsanfragen – das alles manuell zu tracken ist fehleranfällig. ImmoSchedule digitalisiert genau diesen Prozess.

› Automatische Löschung nach konfigurierbarer Frist
› Dokumentierte Einwilligung mit Zeitstempel
› Verschlüsselte Datenhaltung in EU-Rechenzentren
› Auskunftsanfragen mit einem Klick beantwortbar

DSGVO-Funktionen ansehen

Verwandt: Vorlage mit DSGVO-Klausel · Online-Selbstauskunft im Vergleich

DSGVO-konform vermieten – ohne Mehraufwand

Verschlüsselte Speicherung, automatische Löschung, dokumentierte Einwilligung. Ab 119€ pro Inserat.

Jetzt Inserat erstellen Alle Features ansehen