DSGVO-konformer KI-Einsatz in der Hausverwaltung: der Leitfaden
Von Victor Reisenauer 30. Juni 2026

Keine Branche verarbeitet so selbstverständlich fremde personenbezogene Daten wie die Hausverwaltung – und genau deshalb ist Datenschutz beim KI-Einsatz hier kein Randthema, sondern die Grundvoraussetzung. Namen, Adressen, Eigentumsverhältnisse, Verbrauchsdaten, Schadens- und manchmal Gesundheitsbezüge: All das fließt täglich durch die Verwaltung. Die gute Nachricht: KI lässt sich in der Hausverwaltung sehr wohl DSGVO-konform einsetzen. Man muss es nur richtig aufsetzen. Dieser Leitfaden zeigt, worauf es ankommt – praxisnah und ohne juristisches Kauderwelsch. Datenschutz ist die Grundlage jeder Automatisierung in der Hausverwaltung – wie die einzelnen Prozesse konkret aussehen, zeigt unser Leitfaden dazu.
Das Wichtigste in Kürze
- KI in der Hausverwaltung ist DSGVO-konform möglich – die Rahmenbedingungen entscheiden, nicht das Ob.
- Die vier Säulen: EU-Hosting mit Auftragsverarbeitungsvertrag, Datenminimierung, menschliche Kontrolle und befähigte Mitarbeitende.
- Das größte Risiko ist nicht die KI selbst, sondern der unkontrollierte Einsatz privater Tools (Schatten-KI) durch einzelne Mitarbeitende.
- Datenschutz gehört in die Architektur, nicht als nachträglicher Haken – bei Spezialfragen mit einem Kompetenzpartner für KI-Recht.
Warum Datenschutz in der Verwaltung besonders zählt
Eine Hausverwaltung ist Treuhänderin fremder Daten. Sie verarbeitet personenbezogene Daten von Mietern und Eigentümern – oft im Auftrag und auf Basis von Verträgen. Kommt KI ins Spiel, ändert sich nichts an dieser Verantwortung: Wer Daten in ein KI-Tool gibt, muss sicherstellen, dass die Verarbeitung rechtmäßig, zweckgebunden und abgesichert ist. Das ist kein Grund, auf KI zu verzichten – aber ein klarer Grund, sie sauber aufzusetzen.
Die vier Säulen des DSGVO-konformen KI-Einsatzes
1. EU-Hosting und Auftragsverarbeitung
Sensible Daten gehören in eine geschäftlich lizenzierte, EU-gehostete KI-Plattform, mit der ein Auftragsverarbeitungsvertrag (AVV) besteht. Genau hier liegt der Unterschied zwischen einem privaten ChatGPT-Konto und einer Unternehmenslösung: Plattformen wie Langdock hosten Daten in der EU und bieten eine AVV – ein privates Konsumenten-Konto tut das nicht.
2. Datenminimierung und Zweckbindung
Gib der KI nur, was die Aufgabe wirklich braucht. Für eine Plausibilitätsprüfung von Beträgen sind keine Klarnamen nötig; für einen Antwortentwurf reicht oft der Sachverhalt. Pseudonymisierung und das bewusste Weglassen nicht benötigter Daten senken das Risiko erheblich – und sind ein Kernprinzip der DSGVO.
3. Menschliche Kontrolle
Die DSGVO sieht vor, dass Menschen nicht ausschließlich einer automatisierten Einzelfallentscheidung mit rechtlicher Wirkung unterworfen werden dürfen. Für die Praxis heißt das: Bei Entscheidungen mit Konsequenzen – Mahnungen, Kündigungen, Kostenfreigaben, rechtsverbindliche Abrechnungen – liefert die KI den Entwurf, die Entscheidung trifft der Mensch. Das ist nicht nur Compliance, sondern auch das Prinzip, das KI in der Verwaltung sicher macht: Augmentation vor Automatisierung.
4. Befähigte Mitarbeitende
Das unterschätzte Risiko ist die Schatten-KI: Mitarbeitende, die mangels offizieller Lösung heimlich private Tools nutzen und dort sensible Daten eingeben. Die wirksamste Gegenmaßnahme ist nicht das Verbot, sondern die Befähigung – eine sichere Plattform plus Schulung, wie man sie richtig nutzt. Genau das ist der Kern unserer KI-Schulung für Hausverwaltungen.
Checkliste: DSGVO-konformer KI-Einsatz
| Punkt | Frage | Status anstreben |
|---|---|---|
| Plattform | EU-gehostet, geschäftlich lizenziert? | Pflicht |
| AVV | Auftragsverarbeitungsvertrag vorhanden? | Pflicht |
| Kein Training mit euren Daten | Werden Eingaben nicht zum Modelltraining genutzt? | Pflicht |
| Datenminimierung | Nur nötige Daten, wo möglich pseudonymisiert? | Pflicht |
| Zweckbindung | Klar definierter Verwendungszweck? | Pflicht |
| Menschliche Kontrolle | Entscheidungen mit Wirkung beim Menschen? | Pflicht |
| Schatten-KI | Offizielle Lösung statt privater Tools? | Pflicht |
| Schulung | Team weiß, was rein darf und was nicht? | Pflicht |
| Löschkonzept | Aufbewahrung und Löschung geregelt? | Empfohlen |
| Verzeichnis | KI-Verarbeitung im Verarbeitungsverzeichnis? | Empfohlen |
So gehst du vor
- Eine sichere Plattform wählen – EU-gehostet, mit AVV, ohne Training auf euren Daten.
- Klein und kontrolliert starten – ein Anwendungsfall, Datenminimierung, menschliche Freigabe.
- Team befähigen – damit niemand auf private Tools ausweicht und alle wissen, was erlaubt ist.
Welche Plattform und welche Use Cases für deine Verwaltung sinnvoll und sicher sind, klären wir in der KI-Beratung für Hausverwaltungen – inklusive DSGVO-konformer Architektur. Bei rechtlichen Spezialfragen arbeiten wir mit einem Kompetenzpartner für KI-Recht zusammen. Als beim BAFA gelistetes Unternehmen kann eine solche Beratung zudem über „Förderung unternehmerischen Know-hows” förderfähig sein – das prüfen wir im Erstgespräch.
Fazit
DSGVO-konformer KI-Einsatz in der Hausverwaltung ist keine Frage des Ob, sondern des Wie. Mit einer EU-gehosteten Plattform samt Auftragsverarbeitung, konsequenter Datenminimierung, menschlicher Kontrolle bei allen Entscheidungen mit Wirkung und einem befähigten Team lässt sich KI sicher und wirksam einsetzen. Der größte Fehler ist nicht der Einsatz von KI – sondern der unkontrollierte Einsatz privater Tools im Verborgenen.
Häufig gestellte Fragen
Darf eine Hausverwaltung überhaupt KI mit Mieterdaten nutzen?
Ja, wenn die Verarbeitung rechtmäßig, zweckgebunden und abgesichert ist. Entscheidend sind eine EU-gehostete, geschäftlich lizenzierte Plattform mit Auftragsverarbeitungsvertrag, Datenminimierung und menschliche Kontrolle bei Entscheidungen mit rechtlicher Wirkung.
Ist ChatGPT in der Hausverwaltung DSGVO-konform?
Ein privates ChatGPT-Konto ist für sensible personenbezogene Daten nicht geeignet. Geeignet sind geschäftliche, EU-gehostete Lösungen mit Auftragsverarbeitungsvertrag, bei denen eure Eingaben nicht zum Modelltraining verwendet werden.
Was ist Schatten-KI und warum ist sie ein Risiko?
Schatten-KI bezeichnet die heimliche Nutzung privater KI-Tools durch Mitarbeitende, oft mangels offizieller Lösung. Dabei können sensible Daten in ungeeignete Umgebungen gelangen. Die beste Gegenmaßnahme ist eine sichere offizielle Plattform plus Schulung – nicht das Verbot.
Brauche ich für KI eine Auftragsverarbeitungsvereinbarung?
In der Regel ja: Wenn ein Dienstleister personenbezogene Daten in eurem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag nach DSGVO erforderlich. Seriöse Unternehmensplattformen stellen einen solchen bereit.
Muss bei jeder KI-Antwort ein Mensch draufschauen?
Bei Entscheidungen mit rechtlicher oder erheblicher Wirkung – Mahnungen, Kündigungen, Freigaben, rechtsverbindliche Abrechnungen – ja. Bei reinen Entwürfen und internen Hilfsschritten genügt eine angemessene Kontrolle. Die Faustregel: Je größer die Konsequenz, desto klarer die menschliche Verantwortung.