Die häufigste Frage vor dem KI-Einsatz in der Verwaltung ist keine technische, sondern eine rechtliche: Dürfen Mieterdaten überhaupt in ein KI-System? Die kurze Antwort: Ja — unter denselben Bedingungen, unter denen sie in jede andere Software dürfen, plus einigen KI-spezifischen Pflichten aus dem EU AI Act. Dieser Artikel ordnet die Rechtslage ein und liefert eine Checkliste für die Anbieterauswahl.
Hinweis: Dieser Artikel ist eine redaktionelle Einordnung und keine Rechtsberatung. Für den Einzelfall gehört das Thema zu Ihrem Datenschutzbeauftragten oder Fachanwalt.
Welche Daten überhaupt betroffen sind
Hausverwaltungen verarbeiten fast ausschließlich personenbezogene Daten im Sinne der DSGVO: Namen, Adressen und Kontaktdaten von Mietern und Eigentümern, Bankverbindungen und Zahlungsverläufe, Verbrauchsdaten, Schriftverkehr — und gelegentlich besonders sensible Inhalte, etwa wenn eine Mieterin im Härtefall-Widerspruch gesundheitliche Gründe schildert. Sobald ein KI-System E-Mails liest, Belege auswertet oder Abrechnungen vorbereitet, findet eine Verarbeitung personenbezogener Daten statt — mit allen Konsequenzen.
Die DSGVO-Basics: nichts Neues, aber verbindlich
Für den KI-Einsatz gelten dieselben Grundregeln wie für jede Verwaltungssoftware:
- Rechtsgrundlage (Art. 6 DSGVO). Die Verarbeitung von Mieterdaten zur Vertragsdurchführung — Abrechnung, Kommunikation, Instandhaltung — stützt sich regelmäßig auf Art. 6 Abs. 1 lit. b (Vertragserfüllung) und lit. f (berechtigtes Interesse an effizienter Verwaltung). Eine gesonderte Einwilligung jedes Mieters ist dafür in der Regel nicht erforderlich — wohl aber Transparenz in den Datenschutzinformationen.
- Auftragsverarbeitung (Art. 28 DSGVO). Der KI-Anbieter verarbeitet Daten in Ihrem Auftrag — ohne Auftragsverarbeitungsvertrag (AVV) geht nichts. Der AVV muss auch die Subunternehmer (z. B. das dahinterliegende KI-Modell) offenlegen.
- Datenstandort und Drittlandtransfer (Kap. V DSGVO). Werden Daten in die USA oder andere Drittländer übertragen, braucht es eine gültige Grundlage (Angemessenheitsbeschluss, Standardvertragsklauseln). EU-Hosting vermeidet die Diskussion von vornherein.
- Zweckbindung und Löschung. Daten, die für die Abrechnung erhoben wurden, dürfen nicht nebenbei für andere Zwecke genutzt werden — insbesondere nicht für das Training des KI-Modells. Genau danach sollte man Anbieter ausdrücklich fragen.
Was der EU AI Act zusätzlich verlangt
Der EU AI Act (Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft; seine Pflichten greifen gestaffelt und gelten im Wesentlichen seit August 2026 in voller Breite. Für Hausverwaltungen ist vor allem die Risikoklassifizierung relevant:
| Risikoklasse | Beispiele | Relevanz für die Verwaltung |
|---|---|---|
| Verboten | Social Scoring, manipulative Systeme | Keine |
| Hochrisiko | u. a. Kreditwürdigkeitsprüfung, Bewerberauswahl | Nur in Randbereichen (s. u.) |
| Begrenztes Risiko | Systeme mit direkter Nutzerinteraktion | Transparenzpflichten |
| Minimales Risiko | Klassifikation, Datenextraktion, Entwürfe | Der Normalfall |
Die typischen Verwaltungs-Anwendungen — E-Mail-Triage, Belegerfassung, Abrechnungsvorbereitung, Antwortentwürfe — fallen in die Kategorie minimales bis begrenztes Risiko. Konkret bedeutet das:
- Transparenz: Interagiert ein KI-System direkt mit Mietern (etwa ein Chat-Assistent), muss erkennbar sein, dass sie mit einer KI kommunizieren (Art. 50 AI Act).
- Vorsicht bei Scoring: Würde ein System Mietinteressenten automatisiert bewerten oder Bonität einschätzen, rückt es in Richtung Hochrisiko — mit erheblichen Pflichten. Für die klassische Bestandsverwaltung ist das kein Thema, bei Vermietungs-Features sollte man genau hinsehen.
- KI-Kompetenz (Art. 4 AI Act): Wer KI einsetzt, muss dafür sorgen, dass die eigenen Mitarbeiter sie kompetent bedienen — eine kurze interne Schulung zu Möglichkeiten und Grenzen gehört also zur Einführung.
Die gute Nachricht: Die Grundarchitektur, die fachlich ohnehin richtig ist — KI bereitet vor, der Mensch entscheidet und gibt frei — erfüllt zugleich den Geist beider Regelwerke. Wie diese Arbeitsteilung praktisch aussieht, zeigt der Überblick KI in der Hausverwaltung.
Checkliste: 7 Fragen an jeden KI-Anbieter
- Wo werden die Daten verarbeitet und gespeichert? (EU-Hosting? Welche Subunternehmer?)
- Gibt es einen AVV nach Art. 28 DSGVO — inklusive der eingesetzten KI-Modelle als Unterauftragsverarbeiter?
- Werden unsere Daten für das Training von Modellen verwendet? (Die Antwort muss ein vertraglich zugesichertes Nein sein.)
- Wie ist die Löschung geregelt? (Aufbewahrungsfristen, Löschkonzept, Export bei Vertragsende)
- Welche Entscheidungen trifft das System allein — und wo ist zwingend menschliche Freigabe vorgesehen?
- Sind KI-Interaktionen für Betroffene als solche erkennbar (Art. 50 AI Act), wo Mieter direkt mit dem System kommunizieren?
- Gibt es ein Protokoll der KI-Aktionen, mit dem sich im Zweifel nachvollziehen lässt, was das System wann getan hat?
Wer diese sieben Fragen schriftlich beantwortet bekommt, hat die Anbieterprüfung im Kern erledigt.
Wie QuartesaOS das löst
QuartesaOS ist für den DACH-Markt gebaut: EU-Datenhaltung, Auftragsverarbeitung inklusive offengelegter Subunternehmer, keine Nutzung von Kundendaten für Modelltraining — und jede Agenten-Aktion wird protokolliert und ist vor dem Versand freizugeben. Für die Dokumentenseite übernimmt das Bundle Datenraum die strukturierte, nachvollziehbare Ablage, auf der Compliance erst praktikabel wird.
Faustregel: Rechtssichere KI ist keine Frage des Verzichts, sondern der Architektur — EU-Datenhaltung, klarer AVV, kein Training mit Ihren Daten, Freigabe vor Wirkung.
Häufige Fragen
Dürfen Mieterdaten in ein KI-System?
Ja, wenn die üblichen DSGVO-Voraussetzungen erfüllt sind: Rechtsgrundlage (regelmäßig Vertragserfüllung), AVV mit dem Anbieter, geeigneter Datenstandort und Transparenz gegenüber den Betroffenen. Eine Einzeleinwilligung jedes Mieters ist dafür im Regelfall nicht nötig.
Brauche ich einen AVV mit dem KI-Anbieter?
Ja, zwingend — der Anbieter verarbeitet personenbezogene Daten in Ihrem Auftrag (Art. 28 DSGVO). Achten Sie darauf, dass auch die dahinterliegenden KI-Modelle als Unterauftragsverarbeiter benannt sind.
Fällt Verwaltungs-KI unter den EU AI Act?
Ja, aber überwiegend in die unteren Risikoklassen: Triage, Datenextraktion und Entwurfserstellung gelten als minimales Risiko, direkte Mieter-Interaktion löst Transparenzpflichten aus. Hochrisiko-Pflichten treffen die klassische Bestandsverwaltung normalerweise nicht.
Dürfen KI-Systeme Mietern automatisch antworten?
Rechtlich ist entscheidend, dass die KI-Interaktion erkennbar ist und keine Entscheidung mit erheblicher Wirkung ausschließlich automatisiert getroffen wird (Art. 22 DSGVO). Fachlich empfiehlt sich ohnehin das Freigabe-Modell — wie es etwa die KI-Triage im Posteingang umsetzt.