Löschfristen & Dokumentation: DSGVO-Guide
Warum Löschfristen und Dokumentation entscheidend sind
Die DSGVO stellt Immobilienmakler, Bauträger und Investoren vor eine zentrale Herausforderung: Wie lange dürfen personenbezogene Daten aus der Akquise gespeichert werden? Und welche Dokumentation ist erforderlich, um bei einer Prüfung durch die Aufsichtsbehörde bestehen zu können?
Viele Unternehmen in der Immobilienbranche unterschätzen diese Anforderungen. Dabei können Verstöße gegen Löschpflichten und fehlende Dokumentation zu empfindlichen Bußgeldern führen – bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Dieser umfassende Leitfaden zeigt Ihnen, wie Sie Ihre Akquise-Prozesse rechtssicher gestalten.
Grundprinzipien der Datenspeicherung nach DSGVO
Die DSGVO formuliert in Artikel 5 das Prinzip der Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Verarbeitungszweck erforderlich ist. Für die Immobilienakquise bedeutet das konkret:
- Zweckbindung: Daten dürfen nur für den ursprünglich definierten Zweck verwendet werden
- Datenminimierung: Nur die tatsächlich benötigten Daten erheben
- Speicherbegrenzung: Löschung nach Wegfall des Verarbeitungszwecks
- Rechenschaftspflicht: Nachweis der Einhaltung aller Grundsätze
Verarbeitungszwecke in der Immobilienakquise
Bevor Sie Löschfristen definieren können, müssen Sie die konkreten Verarbeitungszwecke identifizieren. Typische Zwecke in der Immobilienakquise sind:
- Kontaktaufnahme mit potenziellen Verkäufern
- Durchführung von Immobilienbewertungen
- Erstellung von Marktanalysen
- Lead-Qualifizierung und Pipeline-Management
- Vertragsanbahnung und Maklervertrag
- Nachbetreuung nach Vertragsabschluss
Konkrete Löschfristen für Akquise-Daten
Die Bestimmung der korrekten Löschfristen erfordert eine differenzierte Betrachtung verschiedener Datenarten und Phasen im Akquise-Prozess.
Phase 1: Erstkontakt und Lead-Erfassung
Wenn Sie einen potenziellen Eigentümer erstmals kontaktieren oder dieser seine Daten über ein Formular eingibt, beginnt die Speicherung. Hier gelten folgende Richtwerte:
- Keine Reaktion auf Erstkontakt: Löschung nach 3-6 Monaten
- Absage durch den Eigentümer: Sofortige Löschung, spätestens nach 4 Wochen
- Interesse bekundet, aber keine Conversion: Löschung nach 12-24 Monaten
Phase 2: Aktive Akquise-Phase
Sobald ein konkretes Geschäftsinteresse besteht, verlängert sich die zulässige Speicherdauer:
- Laufende Verhandlungen: Speicherung für die Dauer der Verhandlung
- Bewertungsanfrage ohne Auftrag: Löschung nach 6-12 Monaten
- Alleinauftrag oder Maklervertrag: Speicherung für Vertragsdauer plus gesetzliche Aufbewahrungsfristen
Phase 3: Nach Vertragsabschluss
Nach erfolgreicher Vermittlung oder Vertragsbeendigung greifen gesetzliche Aufbewahrungsfristen:
- Handelsrechtliche Aufbewahrung (§ 257 HGB): 6 Jahre für Geschäftsbriefe
- Steuerrechtliche Aufbewahrung (§ 147 AO): 10 Jahre für Buchungsbelege
- Zivilrechtliche Verjährung: 3 Jahre für Schadensersatzansprüche (§ 195 BGB)
Praxis-Checkliste: Löschfristen im Überblick
| Datenart | Löschfrist | Rechtsgrundlage |
|---|---|---|
| Leads ohne Reaktion | 6 Monate | Art. 5 Abs. 1 lit. e DSGVO |
| Absagen | 4 Wochen | Art. 17 DSGVO |
| Bewertungsanfragen | 12 Monate | Art. 6 Abs. 1 lit. f DSGVO |
| Vertragsunterlagen | 10 Jahre | § 147 AO |
| Geschäftskorrespondenz | 6 Jahre | § 257 HGB |
| Marketing-Einwilligungen | Bis zum Widerruf + 3 Jahre | Art. 7 DSGVO |
Dokumentationspflichten nach DSGVO
Die DSGVO verlangt von Verantwortlichen eine umfassende Dokumentation aller Datenverarbeitungsvorgänge. Für Immobilienunternehmen bedeutet das einen erheblichen administrativen Aufwand – der sich jedoch bei einer Prüfung auszahlt.
Das Verzeichnis von Verarbeitungstätigkeiten
Artikel 30 DSGVO verpflichtet Unternehmen zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten. Für die Immobilienakquise sollte dieses Verzeichnis mindestens folgende Angaben enthalten:
- Name und Kontaktdaten des Verantwortlichen
- Zwecke der Verarbeitung (z.B. Lead-Generierung, Objektakquise)
- Kategorien betroffener Personen (Eigentümer, Interessenten)
- Kategorien personenbezogener Daten (Kontaktdaten, Immobiliendaten)
- Empfänger der Daten (CRM-Anbieter, Marketingplattformen)
- Übermittlungen in Drittländer (falls zutreffend)
- Löschfristen für die jeweiligen Datenkategorien
- Technische und organisatorische Maßnahmen
Dokumentation von Einwilligungen
Wenn Sie Einwilligungen für Newsletter, Werbeanrufe oder andere Marketing-Maßnahmen einholen, müssen Sie diese revisionssicher dokumentieren:
- Zeitpunkt der Einwilligung: Datum und Uhrzeit
- Art der Einwilligung: Double-Opt-in, schriftlich, telefonisch
- Inhalt der Einwilligung: Wofür wurde zugestimmt?
- Nachweis der Freiwilligkeit: Keine Koppelung mit anderen Leistungen
- Widerrufshistorie: Falls die Einwilligung widerrufen wurde
Dokumentation von Löschvorgängen
Auch die Löschung personenbezogener Daten muss dokumentiert werden. Erstellen Sie für jeden Löschvorgang einen Nachweis mit:
- Datum der Löschung
- Gelöschte Datenkategorien
- Grund der Löschung (Fristablauf, Widerruf, Löschantrag)
- Durchführende Person oder automatisierter Prozess
- Bestätigung der vollständigen Löschung in allen Systemen
Technische Umsetzung in CRM und Akquise-Tools
Die praktische Umsetzung von Löschfristen erfordert entsprechende Funktionen in Ihren Akquise-Tools und CRM-Systemen.
Automatisierte Löschworkflows
Moderne CRM-Systeme bieten die Möglichkeit, automatisierte Löschworkflows einzurichten. So funktioniert die Implementierung:
- Datenkategorisierung: Definieren Sie Kategorien für verschiedene Datenarten
- Fristenzuweisung: Ordnen Sie jeder Kategorie eine Löschfrist zu
- Trigger-Ereignisse: Legen Sie fest, wann die Frist beginnt (z.B. letzter Kontakt)
- Vorwarnungen: Benachrichtigung vor der automatischen Löschung
- Protokollierung: Automatische Dokumentation jedes Löschvorgangs
Auftragsverarbeitung mit Drittanbietern
Wenn Sie externe Tools für die Immobilienakquise nutzen, müssen Sie Auftragsverarbeitungsverträge (AVV) nach Artikel 28 DSGVO abschließen. Diese sollten regeln:
- Umfang und Zweck der Datenverarbeitung
- Weisungsgebundenheit des Auftragsverarbeiters
- Technische und organisatorische Maßnahmen
- Unterauftragsverarbeiter und deren Genehmigung
- Löschung oder Rückgabe der Daten nach Vertragsende
- Prüfrechte des Verantwortlichen
Datensicherung und Backup-Konzept
Besondere Aufmerksamkeit erfordert das Thema Backups: Auch in Sicherungskopien befinden sich personenbezogene Daten, die gelöscht werden müssen. Entwickeln Sie ein Konzept, das sicherstellt, dass Löschungen auch in Backups umgesetzt werden – oder dokumentieren Sie, warum dies technisch nicht möglich ist und welche Schutzmaßnahmen stattdessen greifen.
Betroffenenrechte in der Immobilienakquise
Eigentümer und andere Betroffene haben weitreichende Rechte nach DSGVO, die Sie in Ihrer Akquise berücksichtigen müssen.
Auskunftsrecht (Artikel 15 DSGVO)
Betroffene können jederzeit Auskunft über die zu ihrer Person gespeicherten Daten verlangen. Bereiten Sie sich vor durch:
- Standardisierte Auskunftsformulare
- Definierte Prozesse zur Identitätsprüfung
- Technische Möglichkeit, alle Daten zu einer Person zusammenzuführen
- Einhaltung der 30-Tage-Frist für die Beantwortung
Recht auf Löschung (Artikel 17 DSGVO)
Das „Recht auf Vergessenwerden" verpflichtet Sie zur Löschung, wenn der Betroffene dies verlangt – sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Dokumentieren Sie jeden Löschantrag und dessen Bearbeitung sorgfältig.
Widerspruchsrecht (Artikel 21 DSGVO)
Bei Verarbeitung auf Basis berechtigter Interessen kann der Betroffene jederzeit Widerspruch einlegen. In der Akquise-Praxis bedeutet das: Wenn ein Eigentümer nicht kontaktiert werden möchte, müssen Sie dies respektieren und dokumentieren.
Praktische Umsetzung: Schritt-für-Schritt-Anleitung
So setzen Sie ein rechtssicheres Lösch- und Dokumentationskonzept in Ihrem Unternehmen um:
Schritt 1: Bestandsaufnahme
Erfassen Sie zunächst alle Datenquellen und Systeme, in denen personenbezogene Daten aus der Akquise gespeichert werden:
- CRM-System
- E-Mail-Postfächer
- Excel-Listen und lokale Dateien
- Marketing-Automation-Tools
- Bewertungssoftware
- Cloud-Speicher
Schritt 2: Datenkategorisierung
Ordnen Sie allen Daten Kategorien zu und definieren Sie für jede Kategorie die geltende Löschfrist. Berücksichtigen Sie dabei sowohl die DSGVO-Grundsätze als auch gesetzliche Aufbewahrungspflichten.
Schritt 3: Prozessdefinition
Legen Sie fest, wer für die Durchführung von Löschungen verantwortlich ist und wie der Prozess abläuft. Definieren Sie:
- Verantwortlichkeiten und Zuständigkeiten
- Regelmäßige Prüfintervalle (mindestens quartalsweise)
- Eskalationswege bei Unklarheiten
- Dokumentationsstandards
Schritt 4: Technische Implementierung
Richten Sie automatisierte Workflows in Ihren Systemen ein und stellen Sie sicher, dass Löschungen in allen verbundenen Systemen durchgeführt werden.
Schritt 5: Schulung und Sensibilisierung
Schulen Sie alle Mitarbeiter, die mit Akquise-Daten arbeiten, zu den geltenden Löschfristen und Dokumentationspflichten. Regelmäßige Auffrischungen sind empfehlenswert.
Schritt 6: Kontrolle und Optimierung
Überprüfen Sie regelmäßig die Einhaltung Ihres Löschkonzepts und passen Sie es bei Bedarf an – etwa bei neuen Tools, geänderten Prozessen oder Rechtsprechung.
Häufige Fehler und wie Sie sie vermeiden
In der Praxis begegnen uns immer wieder dieselben Fehler bei der Umsetzung von Löschfristen:
Fehler 1: Keine einheitlichen Fristen
Unterschiedliche Abteilungen oder Mitarbeiter wenden verschiedene Löschfristen an. Lösung: Zentrale Richtlinie erstellen und kommunizieren.
Fehler 2: Backup-Problematik ignorieren
Daten werden im Produktivsystem gelöscht, existieren aber weiterhin in Backups. Lösung: Backup-Strategie mit Löschkonzept abstimmen.
Fehler 3: Fehlende Dokumentation
Löschungen werden durchgeführt, aber nicht dokumentiert. Bei einer Prüfung fehlt der Nachweis. Lösung: Automatisierte Protokollierung einrichten.
Fehler 4: Manuelle Prozesse
Löschungen werden manuell und unregelmäßig durchgeführt, was zu Versäumnissen führt. Lösung: Automatisierung und regelmäßige Kontrollen.
Fazit: Rechtssicherheit durch systematisches Vorgehen
Die Einhaltung von Löschfristen und Dokumentationspflichten in der Immobilienakquise erfordert ein systematisches Vorgehen. Mit klaren Prozessen, der richtigen technischen Unterstützung und geschulten Mitarbeitern schaffen Sie die Grundlage für eine rechtssichere Akquise.
Die Investition in ein durchdachtes Lösch- und Dokumentationskonzept zahlt sich mehrfach aus: Sie minimieren das Risiko von Bußgeldern, schaffen Vertrauen bei Ihren Kontakten und arbeiten effizienter, weil Sie sich auf relevante, aktuelle Daten konzentrieren können.
Beginnen Sie heute mit der Bestandsaufnahme Ihrer Akquise-Daten und entwickeln Sie schrittweise ein Konzept, das zu Ihren Prozessen passt. Bei Unsicherheiten empfehlen wir die Hinzuziehung eines Datenschutzbeauftragten oder spezialisierten Rechtsanwalts.