DSGVO bei Immorium: Pflichten, AVV und Mieter-Rechte für deutsche Vermieter.
Komplettleitfaden: Was deutsche Vermieter datenschutzrechtlich beachten müssen, Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO, Auftragsverarbeitungsvertrag nach Art. 28, VVT nach Art. 30, TOMs nach Art. 32 und alle Mieter-Rechte (Art. 12-22).
Auf einen Blick
Als Vermieter sind Sie nach Art. 4 Nr. 7 DSGVO datenschutzrechtlich verantwortlich für die personenbezogenen Daten Ihrer Mieter (Adresse, IBAN, Mietzahlungen, Kommunikation). Wenn Sie Immorium nutzen, ist Immorium Auftragsverarbeiter nach Art. 28 DSGVO; der entsprechende AVV ist Bestandteil der Nutzungsbedingungen. Hosting bei Hetzner Cloud in Nürnberg, Object-Storage bei Google Cloud Frankfurt. Der E-Mail-Versand läuft über Scaleway in Paris ohne Drittlandtransfer. Die verbleibenden Subprozessoren mit USA-Bezug (Stripe, Replicate) sind jeweils durch EU-Standardvertragsklauseln abgesichert. Sie behalten die volle Datenhoheit: strukturierter JSON-Export jederzeit (Art. 20), Konto-Löschung mit unmittelbarem Cascade-Delete (Art. 17). Die Mieter-Rechte (Auskunft Art. 15, Berichtigung Art. 16, Löschung Art. 17, Datenportabilität Art. 20) sind in der App workflow-geführt umsetzbar; die 30-Tage-Reaktionsfrist nach Art. 12 Abs. 3 ist leicht einzuhalten.
Art. 28
DSGVO. Auftragsverarbeitungsvertrag zwischen Vermieter und Immorium
5 Subprozessoren
Hosting und Storage in DE, drei mit USA-Bezug per SCC abgesichert
Sofort
Lösch-Anfrage wird unmittelbar ausgeführt, Backups rotieren binnen 30 Tagen
10 Jahre
Beleg-Aufbewahrung (§ 147 AO) bei Buchhaltungs-Daten
Drei Prinzipien
DSGVO bei Immorium, kurz erklärt.
Vermieter = Verantwortlicher
Sie sind als Vermieter datenschutzrechtlich Verantwortlicher nach Art. 4 Nr. 7 DSGVO für die personenbezogenen Daten Ihrer Mieter: Adresse, IBAN, Mietzahlungen, Kommunikation. Immorium ist Auftragsverarbeiter (Art. 28 DSGVO).
Datenverarbeitung mit Rechtsgrundlage
Verarbeitung ist erlaubt, soweit sie zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder zur Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 lit. f) erforderlich ist. Mietvertrag, Nebenkostenabrechnung, Mahnung: alles abgedeckt.
Volle Datenhoheit
Sie behalten jederzeit die Kontrolle: Datenexport als ZIP, Löschung sofort und endgültig, ohne 30-Tage-Frist, ohne Bestätigungs-Schleife.
Acht Schutz-Mechanismen
Was Immorium konkret umsetzt.
Auftragsverarbeitung nach Art. 28 DSGVO
Der AVV zwischen Ihnen (als Verantwortlicher gegenüber Ihren Mietern) und Immorium (als Auftragsverarbeiter) ist Teil der Nutzungsbedingungen. Die Subprozessoren-Liste mit Sitzländern, Verarbeitungszwecken und Rechtsgrundlagen finden Sie in der Datenschutzerklärung. Die DPAs/AVV-Texte der Subprozessoren werden direkt bei den jeweiligen Anbietern bereitgestellt (Google Cloud DPA, Stripe DPA, Scaleway DPA, Replicate DPA).
Subprozessoren transparent gelistet
App-Server und Datenbank bei Hetzner Cloud (Nürnberg, Deutschland). Dokumentenspeicher bei Google Cloud Storage Frankfurt (europe-west3). OCR über Google Gemini (Google Ireland Ltd., EU-Verarbeitung). KI-Bildbearbeitung über Replicate Inc. (USA, SCC). E-Mail-Versand über Scaleway SAS (Paris, Frankreich, fr-par, kein Drittlandtransfer). Zahlungen über Stripe Payments Europe Ltd. (EU/USA, SCC).
Verzeichnis der Verarbeitungstätigkeiten (VVT)
Nach Art. 30 DSGVO führt Immorium ein vollständiges VVT: welche Daten werden zu welchem Zweck verarbeitet, mit welcher Rechtsgrundlage, wie lange gespeichert. Auszug auf Anfrage als PDF an datenschutz@immorium.ch.
Technische und organisatorische Maßnahmen (TOMs)
Art. 32 DSGVO: TLS 1.3 für alle Verbindungen, AES-256-GCM für Bankdaten (IBAN, BIC, Bankname), LUKS-Vollverschlüsselung des Datenträgers, Better-Auth-Sessions mit httpOnly und Secure, per-Route Ownership-Checks und per-User-Bucket-Layout in GCS, Audit-Log administrativer Eingriffe. Das vollständige VVT mit TOM-Beschreibung liegt unter docs/vvt.md.
Löschung ohne Wartezeit
Konto-Löschung über /api/account/delete wird sofort durchgeführt: Cascade-Delete in Datenbank und GCS-Objekten unter {userId}/. Sicherheits-Backups werden binnen 30 Tagen rotiert; danach sind die Daten endgültig nicht mehr rekonstruierbar. Steuerrechtlich aufbewahrungspflichtige Belege (§ 147 AO) werden separat aufbewahrt, automatische Löschung nach Ablauf der 10-Jahres-Frist via Cron-Job.
Keine Trackingsysteme
Kein Google Analytics, kein Meta Pixel, keine externen Werbe-Tracker, keine Profiling-Analysen. Cookie-Banner nur für funktionale Cookies (Designpräferenz hell/dunkel) und KI-Features-Einwilligung, beide opt-in. Scaleway TEM bietet kein Open- oder Click-Tracking an; eigene Tracking-Mechanismen werden nicht ergänzt.
Datenexport jederzeit (Art. 20 DSGVO)
Strukturierter JSON-Export aller Daten über /api/account/data-export, aufgeteilt in providedByUser und derived. Bei großen Portfolios läuft der Export asynchron. Mieter-seitig: JSON-Export im Mieterportal unter mieter.immorium.de/profile.
Mieter-Daten kontrolliert getrennt
Im Mieterportal authentifizieren sich Mieter passwortlos per Magic-Link, ohne eigenes Account-Passwort. Tokens werden nur gehasht gespeichert. Mieter sehen ausschließlich die für sie freigegebenen Dokumente. Anwendungs-Logik prüft pro Request die Berechtigung per userId.
Subunternehmer-Verzeichnis
Fünf Subprozessoren, transparent gelistet.
| Funktion | Zweck | Sitzland |
|---|---|---|
| Hetzner Online GmbH | App-Server, Datenbank, Datenträger (LUKS-verschlüsselt) | Deutschland (Nürnberg) |
| Google Cloud (Google Ireland Ltd.) | Objektspeicher für Dokumente und Bilder (europe-west3 Frankfurt), Gemini API für OCR-Extraktion | EU (Irland / Frankfurt) |
| Replicate Inc. | KI-Bildbearbeitung (Virtual Staging, Declutter) | USA (SCC) |
| Stripe Payments Europe Ltd. | Abwicklung der Abo-Zahlungen | EU / USA (SCC) |
| Scaleway SAS | Transaktionale E-Mails (Login-Magic-Links, Mieterportal-Nachrichten) | Frankreich (Paris, fr-par) |
Stand Mai 2026. Neue Sub-Auftragsverarbeiter werden vorab in der Datenschutzerklärung angekündigt; Sie haben 30 Tage Widerspruchsrecht.
TOMs nach Art. 32 DSGVO
Acht technische und organisatorische Maßnahmen.
Zutrittskontrolle
Rechenzentrum Hetzner Nürnberg mit 24/7-Überwachung, Mehrfaktor-Zutritt, ISO-27001-zertifiziert
Zugangskontrolle
Better-Auth-Sessions mit httpOnly + Secure + SameSite-Lax, Google OAuth, keine Klartext-Passwörter
Zugriffskontrolle
Per-Route Ownership-Checks (lib/api/with-auth.ts), per-User-Bucket-Layout in GCS, signierte URLs für Storage-Zugriffe
Weitergabekontrolle
TLS 1.3 für alle Übertragungen, AES-256-GCM auf Feldebene für IBAN/BIC/Bankname, LUKS-Vollverschlüsselung des Datenträgers
Eingabekontrolle
Foreign-Key-Constraints mit ON DELETE CASCADE, dokumentierter Cron-Job für Retention-Purge
Auftragskontrolle
Subprozessoren-Liste in der Datenschutzerklärung. DPA-Bezug direkt bei den jeweiligen Anbietern verfügbar
Verfügbarkeitskontrolle
Nightly Snapshot der Datenbank, gespiegelt in separaten GCS-Bucket. Rate-Limiting auf zerstörerischen Endpunkten
Trennungskontrolle
Per-userId-Filterung in allen DB-Queries (Mandantenisolation auf Anwendungs-Ebene)
Mieter-Rechte
Sechs Betroffenenrechte nach DSGVO Art. 12–22.
Auskunft (Art. 15)
Welche Daten speichert der Vermieter? Müssen auf Anfrage offengelegt werden, innerhalb von 30 Tagen.
Berichtigung (Art. 16)
Falsche Daten müssen korrigiert werden (z. B. falsche Personenzahl in der Nebenkostenabrechnung).
Löschung (Art. 17)
Nach Ende des Mietverhältnisses und Ablauf gesetzlicher Aufbewahrungspflichten (typisch 10 Jahre nach § 147 AO).
Einschränkung (Art. 18)
Während der Klärung eines Streits müssen die Daten unverändert bleiben.
Datenportabilität (Art. 20)
Mieter kann seine Daten in maschinenlesbarem Format anfordern (CSV, PDF).
Widerspruch (Art. 21)
Gegen Verarbeitungen auf Grundlage berechtigter Interessen, z. B. Bonitätsprüfung.
DSGVO-Artikel-Übersicht
Zwanzig Paragraphen, die für Vermieter relevant sind.
Art. 4 Nr. 7
Verantwortlicher, der Vermieter bei Mieter-Daten
Art. 5
Grundsätze für die Verarbeitung (Zweckbindung, Datenminimierung)
Art. 6 Abs. 1 lit. b
Vertragserfüllung (Hauptrechtsgrundlage für Vermieter)
Art. 6 Abs. 1 lit. f
Berechtigte Interessen (Mahnungen, Bonitätsprüfung)
Art. 12–14
Informationspflichten gegenüber dem Mieter
Art. 15
Auskunftsrecht des Mieters
Art. 16
Berichtigungsrecht
Art. 17
Recht auf Löschung (Recht auf Vergessenwerden)
Art. 18
Recht auf Einschränkung der Verarbeitung
Art. 20
Datenübertragbarkeit (Datenportabilität)
Art. 21
Widerspruchsrecht
Art. 25
Privacy by Design und by Default
Art. 28
Auftragsverarbeiter (Immorium)
Art. 30
Verzeichnis der Verarbeitungstätigkeiten (VVT)
Art. 32
Technische und organisatorische Maßnahmen (TOMs)
Art. 33
Meldepflicht bei Datenschutzvorfall (72 Stunden)
Art. 34
Benachrichtigung der Betroffenen
Art. 37
Datenschutzbeauftragter (DSB). Pflicht erst bei größeren Verarbeitungen
Art. 44 ff.
Übermittlung in Drittländer (für Vermieter idR nicht relevant)
Art. 82
Schadenersatz bei DSGVO-Verstoß
FAQ
Häufige Fragen zur DSGVO.
Zwölf Fragen aus der Praxis, von Pflichten über DSB bis Bußgeld.
Was bedeutet DSGVO für einen Vermieter konkret?
Sie sind als Vermieter datenschutzrechtlich Verantwortlicher (Art. 4 Nr. 7 DSGVO) für die personenbezogenen Daten Ihrer Mieter: Adresse, IBAN, Mietzahlungen, Kommunikation. Verarbeitung ist erlaubt, soweit sie zur Vertragserfüllung (Art. 6 Abs. 1 lit. b) oder zur Wahrnehmung berechtigter Interessen (Art. 6 Abs. 1 lit. f) erforderlich ist. Wenn Sie eine Software wie Immorium nutzen, ist Immorium Auftragsverarbeiter: ein AVV nach Art. 28 DSGVO klärt die Pflichten beider Seiten. Sie müssen außerdem die Mieter beim ersten Datenaustausch informieren (Art. 13/14).
Brauche ich einen Auftragsverarbeitungsvertrag mit Immorium?
Ja. Der AVV (Auftragsverarbeitung nach Art. 28 DSGVO) ist Bestandteil der Nutzungsbedingungen, die Sie bei der Registrierung akzeptieren. Den vollständigen Vertragstext stellen wir Ihnen auf Anfrage an datenschutz@immorium.ch zur Verfügung. Wer einen individuellen AVV-Mustervertrag verwenden möchte (z. B. bei größeren Portfolios), erhält diesen über denselben Kontakt.
Wer sind die Subprozessoren von Immorium?
Stand Mai 2026 fünf Subprozessoren: (1) Hetzner Online GmbH (Nürnberg, Deutschland) für App-Server und Datenbank auf LUKS-verschlüsseltem Datenträger. (2) Google Ireland Ltd. für Cloud Storage Frankfurt (europe-west3) und Gemini API für OCR-Extraktion. (3) Replicate Inc. (USA, SCC) für die KI-Bildbearbeitung. (4) Stripe Payments Europe Ltd. (EU mit USA-Konzern, SCC) für Zahlungen. (5) Scaleway SAS (Paris, Frankreich, fr-par) für transaktionale E-Mails. Alle sind in der Datenschutzerklärung namentlich aufgeführt. Neue Subprozessoren werden mit 30 Tagen Widerspruchsfrist vorab in der Datenschutzerklärung angekündigt.
Werden Daten in die USA übertragen?
Teilweise, jeweils durch EU-Standardvertragsklauseln abgesichert. App-Server, Datenbank, Object-Storage und E-Mail-Versand liegen in der EU (Hetzner Nürnberg, Google Cloud Storage Frankfurt, Scaleway Paris). Zwei Subprozessoren haben USA-Bezug: Stripe Payments Europe Ltd. (EU-Tochter mit USA-Konzern) und Replicate Inc. (USA, KI-Bildbearbeitung). Die Transfers laufen jeweils auf Basis der EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Eine Datenschutz-Folgenabschätzung für die KI-Verarbeitung liegt vor und ist auf Anfrage einsehbar.
Wie schnell werden meine Daten gelöscht?
Sofort. Die Lösch-Anfrage über die App oder per E-Mail an support@immorium.de wird unmittelbar ausgeführt: Konto deaktiviert, Daten aus der Live-Datenbank entfernt. Sicherheits-Backups werden binnen 30 Tagen rotiert; danach sind die Daten endgültig nicht mehr rekonstruierbar. Es gibt keine 90-Tage-Wartezeit, keine zusätzliche Bestätigungsmail. Steuerrechtlich aufbewahrungspflichtige Buchhaltungs-Belege (§ 147 AO: 10 Jahre) werden getrennt archiviert, falls Sie das wünschen.
Bekomme ich meine Daten zurück?
Ja, jederzeit nach Art. 20 DSGVO (Datenübertragbarkeit). Über die App lösen Sie einen ZIP-Export aus, der alle Mieter-, Vertrags-, Buchungs- und Beleg-Daten in offenen Formaten enthält (CSV, PDF, JSON). Bei größeren Portfolios läuft der Export asynchron; eine E-Mail mit dem Download-Link folgt. Die Daten sind sofort in andere Hausverwaltungs-Software importierbar, sofern diese CSV-Import unterstützt.
Brauche ich als Vermieter einen Datenschutzbeauftragten (DSB)?
Privatvermieter mit unter 20 Wohnungen typischerweise nicht. Nach § 38 BDSG ist ein DSB Pflicht, wenn (a) mindestens 20 Personen ständig mit der Datenverarbeitung beschäftigt sind oder (b) sensible Daten besonders umfangreich verarbeitet werden (Art. 9, 10 DSGVO). Wer eine Hausverwaltung als Unternehmen führt mit Angestellten und größerem Bestand, prüft die DSB-Pflicht individuell. Bei einzelnen Vermietern reicht typischerweise das Selbst-Compliance-Verfahren.
Was muss ich dem Mieter über meine Datenverarbeitung sagen?
Art. 13 DSGVO: Beim ersten Datenaustausch (z. B. bei Vertragsunterzeichnung) müssen Sie den Mieter informieren: welche Daten Sie verarbeiten, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange gespeichert, welche Rechte er hat. Praktisch: Die Datenschutz-Information ist Teil des Mietvertrags-Anhangs. In Immorium ist sie im Mietvertrag-Generator standardmäßig enthalten. Sie übergeben sie zusammen mit dem Mietvertrag.
Was passiert bei einem Datenleck (Data Breach)?
Bei einem Datenschutzvorfall greift ein dokumentierter Incident-Response-Plan: Immorium meldet den Vorfall innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde (Art. 33 DSGVO). Sind Mieter- oder Eigentümer-Daten betroffen, informieren wir Sie direkt mit Details: sodass Sie Ihrer Informationspflicht gegenüber Mietern (Art. 34) nachkommen können. Bisher: kein meldepflichtiger Vorfall.
Wie hoch sind die Strafen bei DSGVO-Verstoß?
Bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO), je nachdem, was höher ist. Bei privaten Vermietern fallen Bußgelder in der Praxis deutlich niedriger aus; Aufsichtsbehörden berücksichtigen die wirtschaftliche Leistungsfähigkeit. Neben dem Bußgeld kommt ein Schadenersatzanspruch des Mieters nach Art. 82 DSGVO in Betracht. Das Reputationsrisiko bei einem öffentlich gewordenen Datenschutzvorfall ist meist erheblich.
Wie unterstützt mich Immorium bei Anfragen des Mieters (Art. 15 ff.)?
Wenn ein Mieter Auskunft (Art. 15), Berichtigung (Art. 16) oder Löschung (Art. 17) verlangt, finden Sie in Immorium alle relevanten Daten an einem Ort. Auskunft: ZIP-Export pro Mieter mit allen über ihn gespeicherten Daten. Berichtigung: direkt in den Stammdaten ändern, Audit-Log dokumentiert die Änderung. Löschung: nach Ende des Mietverhältnisses und Ablauf der 10-Jahres-Frist nach § 147 AO ein Klick. Die 30-Tage-Reaktionsfrist nach Art. 12 Abs. 3 DSGVO ist mit dem Workflow leicht einzuhalten.
Was ist Privacy by Design (Art. 25 DSGVO)?
Datenschutzfreundliche Voreinstellungen sind Standard, nicht Option. In Immorium konkret: Trackingsysteme sind aktiv deaktiviert; Analytics nur opt-in mit funktionalem Cookie-Consent; Mieter-Daten werden nach Mietverhältnis-Ende automatisch markiert für Löschung; KI-Aufrufe laufen vor Übergabe an Subdienstleister durch Anonymisierungs-Layer; Mehrfaktor-Authentifizierung ist Default. Privacy by Default heißt: Sie müssen nichts aktivieren, um datenschutzkonform zu sein.
Weiter lesen
Verknüpfte Sicherheitsthemen.
Selbst prüfen
DSGVO-Garantien in der Live-Demo selbst ansehen.
Die Demo zeigt, welche Daten Immorium speichert und wie Sie sie exportieren oder löschen. Kein Konto, keine E-Mail.
Immorium-Hausverwaltung im Überblick · Diese Seite beschreibt die DSGVO-Umsetzung in der Praxis. Die rechtlich bindenden Pflichtinformationen finden Sie in der Datenschutzerklärung. Stand Mai 2026.