Datenschutz bei Genossenschaftswohnungsvergabe: Rechtlicher Leitfaden

Datenschutz bei Genossenschaftswohnungsvergabe: Rechtlicher Leitfaden

Inhaltsverzeichnis

Zusammenfassung und Relevanz für Genossenschaften

Der Datenschutz bei der Genossenschaftswohnungsvergabe ist mehr als eine rechtliche Pflicht; er ist ein zentraler Baustein für das Vertrauen zwischen Genossenschaft und ihren Mitgliedern sowie Interessenten. Wohnungsbaugenossenschaften verarbeiten im Vergabeprozess eine Vielzahl sensibler personenbezogener Daten. Ein sorgfältiger und rechtskonformer Umgang mit diesen Informationen schützt nicht nur vor empfindlichen Bußgeldern und Reputationsschäden, sondern stärkt auch das genossenschaftliche Prinzip der Mitgliederförderung. Dieser Leitfaden bietet Vorständen, Verwaltungsleitungen und Datenschutzbeauftragten eine praxisnahe Orientierung, um die komplexen Anforderungen der Datenschutz-Grundverordnung (DSGVO) und nationaler Gesetze sicher zu meistern. Er liefert konkrete Handlungsempfehlungen, von der rechtmäßigen Datenerhebung bis zur sicheren Löschung.

Rechtliche Grundlagen: DSGVO, nationales Recht und Steuerrecht

Die rechtliche Basis für den Datenschutz bildet die Datenschutz-Grundverordnung (DSGVO), die in der gesamten EU gilt. Sie wird durch nationale Gesetze wie das Bundesdatenschutzgesetz (BDSG) ergänzt, das spezifische Regelungen für Deutschland enthält. Für Genossenschaften sind insbesondere folgende Artikel der DSGVO von fundamentaler Bedeutung:

  • Art. 5 DSGVO: Grundsätze der Verarbeitung (Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht).
  • Art. 6 DSGVO: Rechtmäßigkeit der Verarbeitung (die “Erlaubnistatbestände”).
  • Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten.
  • Art. 13 und 14 DSGVO: Informationspflichten gegenüber den betroffenen Personen.
  • Art. 30 DSGVO: Führen eines Verzeichnisses von Verarbeitungstätigkeiten.
  • Art. 32 DSGVO: Sicherheit der Verarbeitung durch technische und organisatorische Maßnahmen (TOM).

Zusätzlich können steuerrechtliche Vorgaben relevant sein. Beispielsweise verpflichtet § 45d des Einkommensteuergesetzes (EStG) zur Meldung von Kapitalerträgen, was die Verarbeitung der Steuer-Identifikationsnummer von Mitgliedern mit Genossenschaftsanteilen erfordert.

Zulässige Zwecke und passende Rechtsgrundlagen bei Wohnungsvergabe

Jede Verarbeitung personenbezogener Daten benötigt einen klar definierten Zweck und eine gültige Rechtsgrundlage gemäß Art. 6 DSGVO. Im Kontext der Wohnungsvergabe sind dies primär:

  • Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO): Dies ist die wichtigste Rechtsgrundlage. Sie legitimiert die Erhebung aller Daten, die objektiv notwendig sind, um die Eignung eines Bewerbers zu prüfen und eine Entscheidung über den Abschluss eines Nutzungsvertrages zu treffen.
  • Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Diese greift, wenn gesetzliche Vorschriften die Datenverarbeitung vorschreiben, wie beispielsweise bei der Erhebung der Steuer-ID für die Kapitalertragsteuer.
  • Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO): Diese Rechtsgrundlage ist sorgfältig abzuwägen. Das Interesse der Genossenschaft (z. B. Schutz vor Mietausfällen) muss gegen die Interessen und Grundrechte der Bewerber abgewogen werden. Sie ist restriktiv auszulegen und erfordert eine umfassende Dokumentation der Abwägung.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Eine Einwilligung sollte nur für Datenverarbeitungen eingeholt werden, die über die Vertragsanbahnung hinausgehen und für die keine andere Rechtsgrundlage greift. Sie muss freiwillig, informiert und jederzeit widerrufbar sein. Aufgrund des Macht Ungleichgewichts im Bewerbungsprozess ist die Einwilligung oft keine geeignete Rechtsgrundlage.

Minimaler Bewerberdatenkatalog: Was darf erhoben werden und warum

Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) besagt, dass nur so viele Daten erhoben werden dürfen, wie für den Zweck (hier: Prüfung der Eignung für einen Nutzungsvertrag) unbedingt erforderlich sind. Ein gestuftes Vorgehen ist empfehlenswert:

Phase 1: Erstkontakt und Interessenbekundung

In dieser Phase sind nur minimale Kontaktdaten zur Kommunikation erforderlich:

  • Name und Vorname
  • Aktuelle Anschrift
  • E-Mail-Adresse und/oder Telefonnummer
  • Anzahl der im Haushalt lebenden Personen
  • Information über das Vorliegen eines Wohnberechtigungsscheins (WBS), falls zutreffend

Phase 2: Konkretes Wohnungsangebot (Engere Auswahl)

Erst wenn ein Bewerber in die engere Auswahl für eine bestimmte Wohnung kommt, dürfen weitere, für die Vertragsentscheidung relevante Daten erhoben werden:

  • Geburtsdaten aller einziehenden Personen (zur Prüfung der Geschäftsfähigkeit und Identifikation)
  • Nachweise zum monatlichen Nettohaushaltseinkommen (z. B. die letzten drei Gehaltsabrechnungen, wobei nicht relevante Informationen wie Religionszugehörigkeit geschwärzt werden sollten)
  • Freiwillige Mietschuldenfreiheitsbescheinigung des Vorvermieters

Wichtig: Fragen zur Familienplanung, Nationalität (außerhalb aufenthaltsrechtlicher Notwendigkeiten), Religionszugehörigkeit oder politischen Einstellung sind unzulässig.

Bonitätsprüfungen: Rechtsbewertung, Dokumentationspflichten und datenschutzfreundliche Alternativen

Die Einholung einer Bonitätsauskunft (z. B. von der SCHUFA) stellt einen erheblichen Eingriff in die Rechte der Bewerber dar und ist nur unter strengen Voraussetzungen zulässig. Die Rechtsgrundlage ist typischerweise das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO). Die Aufsichtsbehörden legen hier einen strengen Maßstab an.

Dokumentationspflichten

Wenn eine Genossenschaft Bonitätsprüfungen durchführt, muss sie eine dokumentierte Interessenabwägung vorweisen können. Diese muss begründen, warum das Interesse am Schutz vor Zahlungsausfällen das Schutzinteresse des Bewerbers überwiegt und warum mildere Mittel nicht ausreichen.

Datenschutzfreundliche Alternativen

Statt einer pauschalen Bonitätsabfrage sollten bevorzugt datensparsamere Methoden genutzt werden, um die Zahlungsfähigkeit zu prüfen:

  • Selbstauskunft des Bewerbers: Eine strukturierte Abfrage zur finanziellen Situation.
  • Aktuelle Einkommensnachweise: Lohn- und Gehaltsabrechnungen oder Rentenbescheide.
  • Mietschuldenfreiheitsbescheinigung: Eine Bestätigung des vorherigen Vermieters über pünktliche Mietzahlungen.
  • Qualifizierte Selbstauskunft von Auskunfteien: Der Bewerber holt selbst eine Auskunft ein und legt diese vor. So behält er die Kontrolle über seine Daten.

Besondere Kategorien personenbezogener Daten: Umgang und Verbote

Nach Art. 9 DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich verboten. Dazu gehören:

  • rassische und ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische und biometrische Daten
  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung

Diese Daten dürfen im Wohnungsvergabeprozess nicht erhoben oder verarbeitet werden. Eine Ausnahme kann bei der Vergabe von barrierefreien Wohnungen bestehen, wenn der Bewerber von sich aus Gesundheitsdaten (z. B. einen Schwerbehindertenausweis) offenlegt, um seinen Bedarf nachzuweisen. Dies sollte auf einer ausdrücklichen, freiwilligen Einwilligung basieren.

DPIA und Risikobeurteilung: Wann erforderlich und wie vorgehen

Eine Datenschutz-Folgenabschätzung (DSFA), auch bekannt als Data Protection Impact Assessment (DPIA auf Englisch), ist nach Art. 35 DSGVO immer dann erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei der standardmäßigen Wohnungsvergabe ist dies in der Regel nicht der Fall. Eine DSFA könnte jedoch notwendig werden, wenn:

  • umfangreiche Bonitätsprüfungen systematisch und automatisiert durchgeführt werden.
  • ein neues, KI-gestütztes System zur Bewerberauswahl eingeführt wird (Profiling).
  • eine große Menge an sensiblen Daten verarbeitet wird.

Sollte eine DSFA erforderlich sein, umfasst sie die systematische Beschreibung der Verarbeitung, die Bewertung der Notwendigkeit und Verhältnismäßigkeit sowie die Analyse der Risiken und die Planung von Abhilfemaßnahmen.

Aufbewahrungsfristen, Löschkonzept und Trigger für Datenlöschung

Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verlangt, dass Daten nur so lange gespeichert werden, wie es für den Zweck, für den sie erhoben wurden, erforderlich ist. Ein dokumentiertes Löschkonzept ist daher unerlässlich.

  • Daten abgelehnter Bewerber: Diese müssen unverzüglich nach Abschluss des Vergabeverfahrens gelöscht werden. Eine kurze Aufbewahrungsfrist von drei bis maximal sechs Monaten kann zur Abwehr eventueller Ansprüche aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) gerechtfertigt sein.
  • Daten erfolgreicher Bewerber: Die Bewerbungsunterlagen werden Teil der Vertrags- bzw. Mitgliederakte. Hier gelten die gesetzlichen Aufbewahrungsfristen (z. B. 6 oder 10 Jahre nach Beendigung des Vertragsverhältnisses gemäß HGB und AO).
  • Daten von Interessenten auf einer Warteliste: Diese dürfen so lange gespeichert werden, wie der Interessent auf der Liste verbleiben möchte. Es empfiehlt sich, die Aktualität des Interesses in regelmäßigen Abständen (z. B. alle zwei Jahre) abzufragen und die Daten bei ausbleibender Rückmeldung zu löschen.

Externe Dienstleister und Auftragsverarbeitung (AVV) in Vergabeprozessen

Wenn Genossenschaften externe Dienstleister (z. B. Softwareanbieter für Bewerbermanagement, IT-Dienstleister) einsetzen, die in ihrem Auftrag personenbezogene Daten verarbeiten, liegt eine Auftragsverarbeitung vor. In diesem Fall ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO zwingend erforderlich. Dieser Vertrag regelt die Rechte und Pflichten beider Parteien und stellt sicher, dass der Dienstleister die Daten nur auf Weisung der Genossenschaft und unter Einhaltung der DSGVO verarbeitet.

Verzeichnis der Verarbeitungstätigkeiten: Pflichtfelder und Muster

Jede Genossenschaft ist als Verantwortliche verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO zu führen. Für den Prozess der Wohnungsvergabe muss eine eigene Tätigkeit beschrieben werden. Das VVT muss mindestens folgende Angaben enthalten:

  • Name und Kontaktdaten des Verantwortlichen (die Genossenschaft) und ggf. des Datenschutzbeauftragten.
  • Zwecke der Verarbeitung (z. B. “Durchführung des Bewerbungsverfahrens und Entscheidung über die Vergabe von Wohnraum”).
  • Beschreibung der Kategorien betroffener Personen (z. B. “Wohnungsinteressenten”, “Bewerber”).
  • Beschreibung der Kategorien personenbezogener Daten (z. B. “Kontaktdaten”, “Einkommensdaten”, “Haushaltsgröße”).
  • Kategorien von Empfängern, gegenüber denen die Daten offengelegt werden (z. B. “interne Verwaltungsmitarbeiter”, “IT-Dienstleister”).
  • Fristen für die Löschung der verschiedenen Datenkategorien.
  • Beschreibung der technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO.

Mustertexte: Datenschutzhinweis, Einwilligung und Prüfcheckliste

Bestandteile eines Datenschutzhinweises (Art. 13 DSGVO) für Bewerber

Ein transparenter Datenschutzhinweis muss den Bewerbern zu Beginn der Datenerhebung zur Verfügung gestellt werden. Er sollte umfassen:

  • Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten.
  • Zwecke und Rechtsgrundlagen der Datenverarbeitung.
  • Informationen über Empfänger der Daten.
  • Dauer der Speicherung oder Kriterien für die Festlegung der Dauer.
  • Hinweis auf die Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit).
  • Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde.
  • Information, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist.

Prüfcheckliste für den Vergabeprozess

  • [ ] Werden nur die für die jeweilige Phase des Prozesses erforderlichen Daten erhoben (Datenminimierung)?
  • [ ] Gibt es für jede Datenerhebung eine gültige Rechtsgrundlage?
  • [ ] Werden die Bewerber transparent über die Datenverarbeitung informiert (Datenschutzhinweis)?
  • [ ] Ist der Umgang mit Bonitätsprüfungen klar geregelt und dokumentiert?
  • [ ] Existiert ein funktionierendes Löschkonzept für abgelehnte und erfolgreiche Bewerber?
  • [ ] Sind mit allen externen Dienstleistern gültige AV-Verträge geschlossen?
  • [ ] Ist der Vergabeprozess im VVT dokumentiert?

Umsetzungsfahrplan für Genossenschaftsorgane und Verwaltungspersonal

Ein strukturierter Ansatz hilft bei der nachhaltigen Umsetzung des Datenschutzes. Für das Jahr 2026 und darüber hinaus empfehlen wir folgenden Fahrplan:

  1. Bestandsaufnahme (Q1 2026): Erfassen Sie alle im Vergabeprozess erhobenen Daten und die damit verbundenen Abläufe.
  2. Rechtsgrundlagen prüfen (Q2 2026): Ordnen Sie jedem Datum und jedem Verarbeitungsschritt eine gültige Rechtsgrundlage zu. Eliminieren Sie Daten, für die keine Grundlage existiert.
  3. Prozesse optimieren (Q3 2026): Implementieren Sie den Grundsatz der Datenminimierung, z. B. durch ein gestuftes Erhebungsverfahren. Definieren Sie datenschutzfreundliche Alternativen zu Bonitätsprüfungen.
  4. Dokumentation aktualisieren (Q4 2026): Passen Sie das VVT, die Datenschutzhinweise und das Löschkonzept an die optimierten Prozesse an.
  5. Mitarbeiterschulung (laufend ab 2026): Schulen Sie alle beteiligten Mitarbeiter regelmäßig zu den datenschutzrechtlichen Anforderungen im Vergabeprozess.

Datenschutz bei Mitgliederversammlungen und elektronischen Abstimmungen

Auch bei Mitgliederversammlungen werden personenbezogene Daten verarbeitet, etwa in Teilnehmerlisten oder Protokollen. Bei virtuellen oder hybriden Versammlungen ist besondere Sorgfalt geboten: Die eingesetzte Software muss datenschutzkonform sein, und es muss ein AV-Vertrag mit dem Anbieter vorliegen. Die Teilnehmer müssen vorab transparent über die Datenverarbeitung im Rahmen der Online-Teilnahme informiert werden.

Barrierefreie Kommunikation und zugängliche Antragsprozesse

Nach dem Barrierefreiheitsstärkungsgesetz (BFSG) müssen digitale Angebote zunehmend barrierefrei gestaltet werden. Dies betrifft auch Online-Bewerbungsportale von Genossenschaften. Stellen Sie sicher, dass Ihre Formulare und Datenschutzhinweise für Menschen mit Behinderungen zugänglich sind (z. B. durch Screenreader-Kompatibilität gemäß den WCAG-Richtlinien). Dies ist nicht nur eine rechtliche Anforderung, sondern entspricht auch dem Inklusionsgedanken des Genossenschaftswesens.

Kontroll- und Nachweispflichten bei Prüfungen durch Aufsichtsbehörden

Die DSGVO etabliert eine umfassende Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Das bedeutet, Genossenschaften müssen jederzeit nachweisen können, dass sie die Datenschutzgrundsätze einhalten. Bei einer Prüfung durch eine Datenschutz-Aufsichtsbehörde sollten folgende Dokumente griffbereit sein:

  • Das Verzeichnis von Verarbeitungstätigkeiten (VVT)
  • Das dokumentierte Löschkonzept
  • Abgeschlossene Auftragsverarbeitungsverträge (AVV)
  • Gegebenenfalls durchgeführte Datenschutz-Folgenabschätzungen (DSFA)
  • Nachweise über Mitarbeiterschulungen
  • Interne Richtlinien zum Datenschutz

Häufige Fallbeispiele und Antworten auf Praxis Fragen

Dürfen wir eine Kopie des Personalausweises verlangen?

Nein, das Anfertigen einer Kopie des Personalausweises ist nach dem Personalausweisgesetz (PAuswG) nur in gesetzlich explizit erlaubten Fällen zulässig, was bei der Wohnungsvergabe nicht der Fall ist. Zur Identitätsprüfung darf der Ausweis eingesehen und dürfen die notwendigen Daten (Name, Anschrift, Geburtsdatum, Gültigkeit) notiert werden. Das Schwärzen nicht erforderlicher Daten auf einer freiwillig vorgelegten Kopie ist eine Option, aber die Anforderung einer Kopie selbst ist unzulässig.

Was passiert mit den Daten abgelehnter Bewerber?

Sie müssen nach einer kurzen Frist (z. B. 3-6 Monate zur Abwehr von AGG-Klagen) vollständig gelöscht werden. Sie dürfen nicht für zukünftige Wohnungsangebote aufbewahrt werden, es sei denn, der Bewerber hat hierzu eine separate, freiwillige Einwilligung erteilt (z. B. für die Aufnahme in eine Interessentenliste).

Wie lange dürfen wir die Daten erfolgreicher Bewerber aufbewahren?

Die Daten werden Teil der Mitglieder- und Vertragsakte. Sie werden so lange aufbewahrt, wie das Mitgliedschafts- bzw. Mietverhältnis besteht. Nach Beendigung des Verhältnisses greifen gesetzliche Aufbewahrungsfristen, z. B. aus dem Handels- und Steuerrecht (in der Regel 6 oder 10 Jahre nach Jahresende).

Für vertiefende Informationen und offizielle Leitlinien empfehlen wir die Webseiten der Datenschutzbehörden und Fachverbände:

Thematisch passende Beiträge