DSGVO & KI in der Hausverwaltung: Datenschutz richtig umsetzen

Künstliche Intelligenz revolutioniert die Hausverwaltung: Von automatisierter Nebenkostenabrechnung über intelligente Wartungsplanung bis hin zu KI-gestützter Mieterkommunikation. Doch beim Einsatz solcher Systeme verarbeiten Hausverwaltungen hochsensible personenbezogene Daten von Mietern und Eigentümern. 

Die Datenschutz-Grundverordnung (DSGVO) stellt hier strenge Anforderungen, deren Nichteinhaltung empfindliche Bußgelder nach sich ziehen kann. Seit August 2024 verschärft zudem der EU AI Act die Regulierung. 

Dieser Artikel zeigt Ihnen, welche Daten KI-Systeme verarbeiten dürfen, welche technischen Vorgaben gelten und wie Sie eine datenschutzkonforme KI-Nutzung in Ihrer Hausverwaltung sicherstellen.

DSGVO und EU AI Act für Hausverwaltungen

Die DSGVO verpflichtet Hausverwaltungen seit Mai 2018 zu einem umfassenden Datenschutzmanagement. Als Verantwortliche im Sinne von Artikel 4 DSGVO müssen Vermieter und Hausverwaltungen sicherstellen, dass personenbezogene Daten von Mietern rechtmäßig, transparent und zweckgebunden verarbeitet werden. Zu den Pflichten gehören unter anderem die Führung eines Verzeichnisses der Verarbeitungstätigkeiten nach Artikel 30 DSGVO, die Umsetzung technischer und organisatorischer Maßnahmen gemäß Artikel 32 DSGVO sowie die Erfüllung von Informationspflichten gegenüber Mietern nach Artikel 13 und 14 DSGVO.

Mit dem Inkrafttreten des EU AI Act im August 2024 kommen zusätzliche Anforderungen auf Hausverwaltungen zu, die KI-Systeme einsetzen. Die Verordnung klassifiziert KI-Anwendungen nach Risikostufen. Systeme, die in die Kategorie hochriskant fallen – etwa Bonitätsprüfungen oder automatisierte Mieterauswahl: unterliegen strengen Dokumentations-, Prüf- und Transparenzpflichten. Für Hausverwaltungen bedeutet dies: Je nach eingesetztem KI-System müssen umfangreiche Nachweise über die Funktionsweise, Datenherkunft und Entscheidungslogik erbracht werden. Auch generative KI-Systeme wie ChatGPT müssen grundlegende Sicherheitsanforderungen erfüllen, wenn sie zur Verarbeitung von Mieterdaten genutzt werden.

Wichtiger Hinweis: Die in diesem Artikel dargestellten Informationen stellen keine Rechtsberatung dar. Bei konkreten rechtlichen Fragen sollten Sie einen auf Datenschutzrecht spezialisierten Rechtsanwalt oder einen Datenschutzbeauftragten konsultieren.

Welche Daten darf KI in der Hausverwaltung verarbeiten?

Die zentrale Frage beim KI-Einsatz lautet: Welche personenbezogenen Daten dürfen überhaupt verarbeitet werden? Die DSGVO unterscheidet zwischen verschiedenen Kategorien personenbezogener Daten. Grundsätzlich zulässig sind Stammdaten wie Name, Adresse, Geburtsdatum, Bankverbindung und Verbrauchsdaten, sofern diese zur Erfüllung des Mietvertrags erforderlich sind. Besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO – etwa Informationen zu Gesundheit, Religion, Sexualleben oder ethnischer Herkunft dürfen grundsätzlich nicht erhoben werden.

Für die Verarbeitung personenbezogener Daten durch KI-Systeme benötigt die Hausverwaltung eine Rechtsgrundlage nach Artikel 6 DSGVO. In der Praxis kommen drei Rechtsgrundlagen in Betracht:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung ist zulässig, wenn sie zur Erfüllung des Mietvertrags erforderlich ist. Dies umfasst beispielsweise die Erstellung von Betriebskostenabrechnungen oder die Koordination von Reparaturterminen. Der Begriff der Erforderlichkeit ist dabei eng auszulegen: Nur Daten, die tatsächlich notwendig sind, dürfen verarbeitet werden.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Hausverwaltungen können sich auf ein berechtigtes Interesse berufen, wenn die Verarbeitung zur Wahrung ihrer legitimen Interessen erforderlich ist und die Interessen der Mieter nicht überwiegen. Dies gilt beispielsweise für die Weitergabe von Mieterkontaktdaten an Handwerker zur Terminvereinbarung. Bei KI-Systemen ist jedoch eine sorgfältige Interessenabwägung erforderlich, da die automatisierte Verarbeitung ein erhöhtes Risiko für die Rechte der Betroffenen darstellen kann.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die Einwilligung ist die sicherste Rechtsgrundlage, setzt aber voraus, dass Mieter freiwillig, informiert und eindeutig zustimmen. Bei KI-Systemen stellt sich jedoch die Frage, ob Mieter die Tragweite der Datenverarbeitung überhaupt abschätzen können, wenn das KI-System komplex ist und die Verarbeitungslogik nicht transparent dargelegt wird. Zudem muss die Einwilligung jederzeit widerrufbar sein, was die Funktionalität des KI-Systems beeinträchtigen könnte.

Ein kritischer Punkt ist die Weitergabe von Mieterdaten an KI-Anbieter. Hier müssen Hausverwaltungen prüfen, ob ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO erforderlich ist. Dieser ist zwingend, wenn der KI-Anbieter personenbezogene Daten im Auftrag der Hausverwaltung verarbeitet und dabei Zugriff auf die Daten haben kann.

Technische Anforderungen: EU-Server und Drittstaatentransfers

Ein häufig unterschätztes Risiko beim Einsatz von KI-Tools ist die Frage des Server-Standorts. Viele KI-Anbieter – insbesondere US-amerikanische Unternehmen speichern und verarbeiten Daten auf Servern außerhalb der Europäischen Union. Die DSGVO erlaubt die Übermittlung personenbezogener Daten in Drittstaaten nur unter strengen Voraussetzungen.

Seit Juli 2023 existiert mit dem EU-US Data Privacy Framework ein Angemessenheitsbeschluss der Europäischen Kommission, der die Datenübermittlung an zertifizierte US-Unternehmen erleichtert. Hausverwaltungen müssen jedoch prüfen, ob der eingesetzte KI-Anbieter tatsächlich unter diesen Rahmen fällt. Eine Liste zertifizierter Unternehmen ist öffentlich einsehbar. Ist der Anbieter nicht zertifiziert, müssen alternative Garantien wie Standardvertragsklauseln der EU-Kommission vereinbart werden.

EU-Server als bevorzugte Lösung: Aus datenschutzrechtlicher Sicht ist die Nutzung von KI-Systemen mit Server-Standorten innerhalb der EU die sicherste Variante. Hausverwaltungen sollten bei der Auswahl von KI-Tools gezielt nach Anbietern suchen, die eine Datenspeicherung und -verarbeitung ausschließlich auf EU-Servern garantieren. Dies vermeidet die komplexe rechtliche Prüfung von Drittstaatentransfers und reduziert das Risiko von Datenschutzverstößen erheblich.

Ein weiterer zentraler Baustein ist der Auftragsverarbeitungsvertrag (AVV). Wenn ein KI-Anbieter personenbezogene Daten im Auftrag der Hausverwaltung verarbeitet, ist nach Artikel 28 DSGVO zwingend ein schriftlicher oder elektronischer AVV erforderlich. Dieser muss unter anderem folgende Punkte regeln:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Pflichten und Rechte des Verantwortlichen
• Technische und organisatorische Maßnahmen (TOM) des Auftragsverarbeiters
• Regelungen zur Einbindung von Subunternehmern
• Unterstützung bei der Erfüllung von Betroffenenrechten

Viele KI-Anbieter stellen standardisierte AVV-Vorlagen bereit. Hausverwaltungen sollten diese jedoch sorgfältig prüfen und gegebenenfalls anpassen lassen, um sicherzustellen, dass alle DSGVO-Anforderungen erfüllt sind.

Checkliste für datenschutzkonforme KI-Nutzung

Um den Einsatz von KI in der Hausverwaltung DSGVO-konform zu gestalten, sollten folgende Maßnahmen systematisch umgesetzt werden:

1. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) aktualisieren

Jede Hausverwaltung muss ein Verzeichnis aller Verarbeitungstätigkeiten führen, in dem dokumentiert wird, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden. Beim Einsatz von KI-Systemen muss dieses Verzeichnis entsprechend ergänzt werden. Folgende Angaben sind erforderlich:

• Name und Kontaktdaten des Verantwortlichen
• Zweck der Verarbeitung durch das KI-System
• Kategorien betroffener Personen und personenbezogener Daten
• Kategorien von Empfängern der Daten (z. B. KI-Anbieter)
• Übermittlungen in Drittländer (falls zutreffend)
• Fristen für die Löschung der Daten
• Beschreibung der technischen und organisatorischen Maßnahmen

2. Technische und organisatorische Maßnahmen (TOM) implementieren

Artikel 32 DSGVO verpflichtet Hausverwaltungen, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten. Bei KI-Systemen umfasst dies unter anderem:

• Verschlüsselung von Daten bei Übertragung und Speicherung
• Zugriffsbeschränkungen und Berechtigungskonzepte
• Protokollierung von Zugriffen und Verarbeitungsvorgängen
• Regelmäßige Sicherheitsupdates und Patches
• Schulung der Mitarbeiter im Umgang mit KI-Tools
• Notfallpläne für Datenschutzverletzungen

Die TOM müssen dem Stand der Technik entsprechen und regelmäßig überprüft werden. Hausverwaltungen sollten dokumentieren, welche Maßnahmen getroffen wurden und wie deren Wirksamkeit kontrolliert wird.

3. Informationspflichten gegenüber Mietern erfüllen

Nach Artikel 13 DSGVO müssen Mieter zum Zeitpunkt der Datenerhebung in präziser, transparenter und verständlicher Form darüber informiert werden, wie ihre Daten verarbeitet werden. Beim Einsatz von KI-Systemen sind folgende Informationen erforderlich:

• Name und Kontaktdaten der Hausverwaltung
• Zweck der Datenverarbeitung durch KI
• Rechtsgrundlage der Verarbeitung
• Empfänger der Daten (z. B. KI-Anbieter)
• Speicherdauer der Daten
• Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch)
• Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
• Recht auf Beschwerde bei der Aufsichtsbehörde

Diese Informationen können in Form eines Datenschutzhinweises bei Vertragsabschluss oder als separates Informationsschreiben bereitgestellt werden. Wichtig ist, dass Mieter die Informationen vor Beginn der Datenverarbeitung erhalten.

4. Datenschutz-Folgenabschätzung (DSFA) durchführen

Wenn der Einsatz eines KI-Systems voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Mieter zur Folge hat, ist nach Artikel 35 DSGVO eine Datenschutz-Folgenabschätzung erforderlich. Dies ist insbesondere der Fall bei:

• Automatisierten Entscheidungen mit rechtlicher Wirkung (z. B. automatisierte Bonitätsprüfung)
• Umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten
• Systematischer Überwachung öffentlich zugänglicher Bereiche

Die DSFA muss eine Beschreibung der Verarbeitungsvorgänge, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Abschätzung der Risiken für die Betroffenen sowie Maßnahmen zur Risikominimierung enthalten. Bei hochriskanten KI-Systemen im Sinne des EU AI Act kann zusätzlich eine Grundrechte-Folgenabschätzung nach Artikel 27 der KI-Verordnung erforderlich sein.

5. Betroffenenrechte sicherstellen

Mieter haben nach der DSGVO umfassende Rechte, die auch beim Einsatz von KI-Systemen gewahrt werden müssen. Dazu gehören:

• Auskunftsrecht über gespeicherte Daten (Art. 15 DSGVO)
• Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)

Hausverwaltungen müssen sicherstellen, dass sie Anfragen von Mietern innerhalb der gesetzlichen Frist von einem Monat beantworten können. Bei KI-Systemen kann dies besondere Herausforderungen mit sich bringen, etwa wenn Daten in komplexen Algorithmen verarbeitet werden. Es empfiehlt sich, bereits bei der Auswahl des KI-Tools darauf zu achten, dass der Anbieter die Erfüllung von Betroffenenrechten unterstützt.

6. Auftragsverarbeitungsverträge abschließen

Wie bereits erwähnt, ist bei der Nutzung externer KI-Anbieter in der Regel ein Auftragsverarbeitungsvertrag erforderlich. Dieser sollte vor Beginn der Datenverarbeitung abgeschlossen und regelmäßig auf Aktualität geprüft werden. Hausverwaltungen sollten zudem kontrollieren, ob der KI-Anbieter seinerseits Subunternehmer einsetzt und wie diese vertraglich gebunden sind.

7. Dokumentation und Nachweispflicht

Die DSGVO verlangt von Hausverwaltungen, dass sie die Einhaltung der Datenschutzgrundsätze nachweisen können (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO). Dies bedeutet: Alle getroffenen Maßnahmen, Entscheidungen und Risikoabwägungen müssen dokumentiert werden. Bei einer Kontrolle durch die Datenschutzaufsichtsbehörde muss die Hausverwaltung belegen können, dass sie datenschutzkonform handelt.

Fazit

Der Einsatz von KI in der Hausverwaltung bietet erhebliche Effizienzpotenziale, stellt aber auch hohe Anforderungen an den Datenschutz. Die DSGVO und der EU AI Act geben einen klaren Rahmen vor, der Hausverwaltungen zur Sorgfalt verpflichtet. Mit systematischer Vorbereitung und den richtigen Maßnahmen lässt sich KI jedoch rechtskonform nutzen.

• Rechtsgrundlage prüfen: Jede Verarbeitung personenbezogener Daten durch KI benötigt eine Rechtsgrundlage nach Art. 6 DSGVO. Vertragserfüllung, berechtigtes Interesse oder Einwilligung müssen sorgfältig abgewogen werden.
• EU-Server bevorzugen: KI-Anbieter mit Server-Standorten in der EU vermeiden rechtliche Risiken bei Drittstaatentransfers. Bei US-Anbietern muss die Zertifizierung unter dem EU-US Data Privacy Framework geprüft werden.
• Auftragsverarbeitungsvertrag abschließen: Vor dem Einsatz externer KI-Tools ist ein AVV nach Art. 28 DSGVO zwingend erforderlich, wenn der Anbieter Zugriff auf personenbezogene Daten hat.
• Transparenz gegenüber Mietern herstellen: Mieter müssen nach Art. 13 DSGVO umfassend über die Datenverarbeitung durch KI informiert werden. Dies schafft Vertrauen und erfüllt gesetzliche Pflichten.
• Technische und organisatorische Maßnahmen umsetzen: Verschlüsselung, Zugriffsbeschränkungen, Protokollierung und Mitarbeiterschulungen sind unverzichtbar für die Datensicherheit.
• Datenschutz-Folgenabschätzung bei Hochrisiko-Systemen: Bei automatisierten Entscheidungen oder umfangreicher Datenverarbeitung ist eine DSFA nach Art. 35 DSGVO erforderlich.
• Dokumentation als Nachweis: Die Rechenschaftspflicht verlangt eine lückenlose Dokumentation aller datenschutzrelevanten Maßnahmen und Entscheidungen.