Artikel·5 Min Lesezeit

Auftragsverarbeitung Makler: Was du zum AVV wissen musst

AVV für Immobilienmakler: Wann du einen Vertrag brauchst, mit wem – und was passiert, wenn du es vergisst.

Tobias Troendle

Tobias Troendle

Immobilienmakler · Stuttgart

Auftragsverarbeitung Makler: Was du zum AVV wissen musst

Der Auftragsverarbeitungsvertrag ist das ungeliebte Kind der DSGVO. Jeder weiß, dass es ihn gibt. Kaum jemand hat ihn vollständig im Griff. Für Makler ist das ein echtes Haftungsrisiko – weil du täglich mit personenbezogenen Daten arbeitest und dafür externe Dienstleister einsetzt.

Was ein AVV überhaupt ist

Wenn du personenbezogene Daten nicht selbst verarbeitest, sondern das durch einen Dienstleister erledigen lässt, bist du datenschutzrechtlich der Verantwortliche. Der Dienstleister ist dein Auftragsverarbeiter. Genau für diese Konstellation schreibt Art. 28 DSGVO einen schriftlichen Vertrag vor – den Auftragsverarbeitungsvertrag, kurz AVV.

Der AVV regelt, was der Dienstleister mit den Daten darf, wie er sie schützt, wann er sie löscht und was passiert, wenn es zu einer Datenpanne kommt. Ohne diesen Vertrag verstößt du gegen die DSGVO – auch wenn der Dienstleister selbst alles richtig macht.

Wann brauchst du als Makler einen AVV?

Die Faustregel lautet: Immer dann, wenn ein externer Anbieter Zugang zu Kundendaten bekommt und in deinem Auftrag handelt.

Das trifft auf überraschend viele Tools zu, die im Makleralltag standard sind:

  • CRM-Software wie Propstack, onOffice oder Flowfact: Du pflegst dort Kontakte, Interessenten, Eigentümer. Kundendaten pur.
  • E-Mail-Marketing-Tools: Wenn du Newsletter versendest oder automatisierte Follow-up-Mails einrichtest, landen Kontaktdaten beim Anbieter.
  • Cloud-Speicher: Dropbox, Google Drive, OneDrive – wer Exposés oder Dokumente dort ablegt, gibt dem Anbieter potenziell Zugang zu personenbezogenen Daten.
  • Buchungstools für Besichtigungstermine: Name, E-Mail, Telefonnummer landen beim Softwareanbieter.
  • Kundenportale und Transaktionsplattformen: Jede Plattform, über die du mit Käufern oder Verkäufern kommunizierst und Daten austauschst.
  • Druckdienstleister: Wer Exposés druckt, dem übergibst du eventuell Adressdaten.

Was kein AVV erfordert: Wenn der Dienstleister selbst Verantwortlicher ist – zum Beispiel ein Notar, ein Anwalt oder eine Bank. Die verarbeiten die Daten nicht in deinem Auftrag, sondern für eigene Zwecke.

Der Unterschied macht den Fehler

Ein häufiger Irrtum ist die Annahme, dass ein Datenschutzhinweis oder eine Datenschutzvereinbarung im normalen Vertrag ausreicht. Das stimmt nicht. Der AVV ist ein eigenständiges Dokument mit konkreten Pflichtinhalten laut Art. 28 Abs. 3 DSGVO.

Dazu gehören:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien der betroffenen Personen
  • Pflichten und Rechte des Verantwortlichen (also dir als Makler)
  • Weisungsgebundenheit des Auftragsverarbeiters
  • Vertraulichkeit der Mitarbeiter beim Dienstleister
  • Technische und organisatorische Maßnahmen (TOMs)
  • Regelungen zu Unterauftragsverarbeitern
  • Unterstützungspflichten bei Betroffenenanfragen und Datenpannen
  • Löschung oder Rückgabe der Daten nach Vertragsende

Ein guter Softwareanbieter hat diesen Vertrag fertig und schickt ihn dir auf Anfrage. Manche stellen ihn direkt in der Registrierung zur Verfügung. Unterschreib ihn – und leg ihn ab. Nicht für die Schublade, sondern so, dass du ihn bei einer Aufsichtsbehörde vorlegen kannst.

Was passiert, wenn du keinen AVV hast?

Die Datenschutz-Aufsichtsbehörden prüfen das. Nicht flächendeckend, aber anlassbezogen – zum Beispiel nach einer Beschwerde. Fehlt der AVV, ist das ein Verstoß gegen Art. 28 DSGVO. Das Bußgeld kann bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen. In der Praxis sind die Beträge für kleine Maklerbüros deutlich niedriger, aber Bußgelder im vierstelligen Bereich für fehlende AVVs sind dokumentiert.

Hinzu kommt das Reputationsrisiko. Wenn ein Eigentümer oder Kaufinteressent fragt, ob du DSGVO-konform arbeitest, und du keine befriedigende Antwort hast, ist das Vertrauen weg.

So gehst du jetzt vor

Mach dir eine Liste aller Tools, die du nutzt. Für jedes Tool stellst du dir zwei Fragen:

  1. Hat der Anbieter Zugang zu personenbezogenen Daten meiner Kunden?
  2. Handelt er dabei in meinem Auftrag?

Wenn beide mit Ja beantwortet werden, brauchst du einen AVV. Hol ihn dir. Die meisten DSGVO-konformen Anbieter haben diesen Prozess standardisiert – du musst ihn nur anstoßen.

Dann prüfst du, ob du ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führst. Darin dokumentierst du alle Datenverarbeitungsvorgänge in deinem Betrieb, einschließlich der Auftragsverarbeitungen. Das VVT ist keine Kür, sondern Pflicht – für Betriebe jeder Größe, sobald die Verarbeitung nicht nur gelegentlich stattfindet.

Unterauftragsverarbeiter: Das übersehen viele

Wenn dein Softwareanbieter seinerseits externe Dienstleister einsetzt – zum Beispiel einen Cloud-Hosting-Anbieter – spricht man von Unterauftragsverarbeitern. Dein AVV muss regeln, ob und unter welchen Bedingungen der Hauptauftragnehmer das darf. Als Verantwortlicher hast du das Recht, der Hinzunahme neuer Unterauftragsverarbeiter zu widersprechen.

Das klingt abstrakt, ist aber relevant: Wenn ein CRM-Anbieter plötzlich auf einen US-amerikanischen Cloud-Dienst umstellt und du davon nichts weißt, kann das deine DSGVO-Konformität gefährden – Stichwort Datentransfer in Drittländer.

Wie das mit modernen Portallösungen zusammenhängt

Wenn du für Käufer oder Verkäufer ein digitales Portal einsetzt, über das Dokumente ausgetauscht, Status-Updates kommuniziert und Prozessschritte abgebildet werden, läuft das über eine externe Plattform. Auch hier brauchst du einen AVV.

Der Vorteil eines strukturierten Portals ist, dass du genau weißt, welche Daten wo liegen und wer Zugang hat. Das ist nicht nur praktisch für die tägliche Arbeit, sondern macht die Datenschutzdokumentation erheblich einfacher. Bei Portalist mit digitaler Kaufabwicklung ist der AVV standardmäßig Teil des Onboardings – kein Mehraufwand, kein Nachfragen.

Einmal aufräumen, dauerhaft sicher sein

Der AVV ist kein bürokratisches Übel, das man einmal ausfüllt und vergisst. Er ist ein lebendiges Dokument. Wenn du Tools wechselst, neue Anbieter hinzufügst oder bestehende Verträge auslaufen, musst du deine AVV-Liste aktualisieren.

Einmal im Jahr durch alle aktiven Tools gehen, prüfen ob AVVs vorliegen und ob sie noch aktuell sind – das reicht für die meisten Maklerbüros. Wer das strukturiert macht, schläft besser und steht bei der nächsten Prüfung deutlich besser da als der Wettbewerb.

Tobias Troendle

Geschrieben von

Tobias Troendle

Immobilienmakler in Stuttgart und Gründer von Portalist. Ich schreibe über Digitalisierung, Kundenportale und alles, was Maklern hilft, professioneller zu arbeiten.

Alle Artikel von Tobias

Bereit zum Start?

Dein erstes Kundenportal in 3 Minuten.

Erstelle gebrandete Portale für Eigentümer, Käufer und Kaufabwicklung. In der persönlichen Live-Demo mit dem Gründer.

Demo buchen

← Vorheriger Artikel

Makler Status-Update: Vorlagen, die wirklich ankommen

Nächster Artikel →

Finanzierungsbestätigung: Was wirklich drin stehen muss

Weitere Artikel

Alle Artikel →
DSGVO-konforme Kundenkommunikation: Der echte Guide
Guide

DSGVO-konforme Kundenkommunikation: Der echte Guide

5 min
DSGVO-Kundenkommunikation Makler: Der echte Guide
Guide

DSGVO-Kundenkommunikation Makler: Der echte Guide

6 min
E-Mail-Archivierung Makler: Was wirklich Pflicht ist
Artikel

E-Mail-Archivierung Makler: Was wirklich Pflicht ist

6 min
    Auftragsverarbeitung Makler: Was du zum AVV wissen musst | Portalist