Als Vermieter solltest du in der Regel nur Daten erheben, die für die jeweilige Phase der Bewerber-Auswahl notwendig sind. Das 3-Phasen-Modell der Datenschutzkonferenz (DSK) — festgehalten in der Orientierungshilfe zur Mieterselbstauskunft (aktuelle Fassung V2.0, Stand 2026) — gilt dabei als Maßstab: in Phase 1 (Besichtigung/Interesse) sehr wenig, in Phase 2 (Engere Auswahl) deutlich mehr, erst in Phase 3 (vor Vertragsabschluss) auch SCHUFA und Einkommensnachweis. Wer früher fragt, kann gegen die Datenminimierung (Art. 5/6 DSGVO) verstoßen. Wer ein KI-System Bewerber bewerten lässt, riskiert zusätzlich einen Verstoß gegen Art. 22 DSGVO.
Das Wichtigste in Kürze
- Die DSGVO erlaubt in der Regel nur Bewerber-Daten, die für die jeweilige Auswahl-Phase nötig sind (Datenminimierung, Art. 5 DSGVO).
- Die DSK-Orientierungshilfe zur Mieterselbstauskunft (aktuelle Fassung V2.0, Stand 2026) beschreibt drei Phasen: Besichtigung/Interesse, Engere Auswahl, Vertragsabschluss. Pro Phase ist eingegrenzt, was üblicherweise gefragt werden darf.
- Automatisierte KI-Bewertung von Bewerbern ohne menschliche Letztentscheidung wird nach Art. 22 DSGVO grundsätzlich als unzulässig bewertet.
- Davon zu unterscheiden ist die rein regelbasierte Prüfung gegen Kriterien, die du selbst festlegst (z. B. Einkommens-Multiple) — sie bewertet keine Person und ist mit Art. 22 vereinbar. Locari arbeitet ausschließlich so.
- Bewerber-Daten, die nicht zur Vermietung führen, sind nach Abschluss der Vermietung regelmäßig zu löschen — die DSK nennt als Obergrenze regelmäßig spätestens sechs Monate.
- Eine Datenschutzerklärung im Inserat (oder verlinkt) ist nach Art. 13 DSGVO regelmäßig vorgeschrieben.
Was die DSGVO für Vermieter wirklich bedeutet
Die Datenschutz-Grundverordnung gilt für jede Person, die personenbezogene Daten verarbeitet — auch für dich als Privatvermieter. Sobald du ein Inserat schaltest, Bewerbungen entgegennimmst und Bewerber auswählst, verarbeitest du Daten im Sinne der DSGVO.
Das ist kein Bürokratie-Witz. Verstöße können laut Art. 83 DSGVO mit Bußgeldern bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes geahndet werden. Realistische Bußgelder für Privatvermieter liegen niedriger, aber die Datenschutzbehörden der Länder prüfen Beschwerden konsequent — und genau hier liegt das praktische Risiko: ein abgelehnter Bewerber, der sich diskriminiert oder ausspioniert fühlt, schreibt eine Beschwerde, und du hast ein Verfahren.
Die zwei wichtigsten Prinzipien für dich:
- Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): In der Regel solltest du nur Daten erheben, die für den konkreten Zweck notwendig sind. „Wir nehmen mal alles auf, was hilft“ gilt regelmäßig als unzulässig.
- Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Daten, die du für die Bewerber-Auswahl erhebst, sollten in der Regel nur dafür verwendet werden — nicht für andere Vermietungen, nicht für Marketing, nicht für Weitergabe an Dritte ohne Einwilligung.
Aus diesen beiden Prinzipien hat die Datenschutzkonferenz der Länder (DSK) ein praxisnahes Modell entwickelt.
Das 3-Phasen-Modell der DSK
Die Datenschutzkonferenz hat in ihrer Orientierungshilfe zur Mieterselbstauskunft (aktuelle Fassung V2.0, Stand 2026; erstmals 2024) klar formuliert: die Bewerber-Auswahl im Mietverhältnis läuft in drei Phasen, und in jeder Phase ist nur eine bestimmte Menge an Daten zulässig. (Hinweis: Eine Orientierungshilfe ist eine behördliche Auslegungs-Leitlinie, kein Gesetz — sie zeigt aber, wie die Aufsichtsbehörden prüfen.) Die DSK ordnet dabei den eigentlichen Besichtigungstermin der ersten Phase zu, in der nur Identifikations- und Kontaktdaten zulässig sind.
Phase 1 — Inserat-Interesse / Besichtigung
Phase 1 beginnt, wenn jemand auf dein Inserat reagiert. In dieser Phase weißt du noch gar nicht, ob die Person zur Besichtigung kommt oder eine ernsthafte Bewerbung abgibt.
Zulässig in Phase 1:
- Name
- Kontaktdaten (E-Mail oder Telefonnummer)
- Anzahl der Personen, die einziehen möchten
- Allgemeine Frage, ob die Person Haustiere mitbringt (ohne Detail)
Nicht zulässig in Phase 1:
- SCHUFA-Auskunft
- Einkommensnachweise
- Kopie des Personalausweises
- Frage nach Familienstand, Religion, Schwangerschaft, Behinderung, sexueller Orientierung (zusätzlich AGG-Verstoß)
- Frage nach Beruf oder Arbeitgeber im Detail
Phase 2 — Engere Auswahl nach Besichtigung
Phase 2 beginnt nach der Besichtigung, wenn du eine engere Auswahl von Bewerber triffst und diese genauer prüfen willst.
Zusätzlich zulässig in Phase 2:
- Selbstauskunft (standardisierter Bogen mit den unten genannten Daten)
- Bestätigung über die ungefähre Haushaltsnetto-Einkommens-Größenordnung (z. B. „Einkommen mindestens 3-fache Kaltmiete“)
- Frage nach laufenden Insolvenz- oder Räumungsverfahren
- Anzahl der Haustiere mit Art
Weiterhin nicht zulässig in Phase 2:
- Konkrete SCHUFA-Auskunft
- Detaillierte Gehaltsabrechnungen
- Ausweiskopien
Phase 3 — Vor Vertragsabschluss
Phase 3 ist nur erreicht, wenn du dich konkret für einen Bewerber oder eine Bewerberin entschieden hast und einen Vertrag schließen willst.
Zusätzlich zulässig in Phase 3:
- Aktuelle SCHUFA-Auskunft (Bonitätsauskunft, kein vollständiger SCHUFA-Score-Bericht)
- Einkommensnachweise (letzte drei Gehaltsabrechnungen)
- Mietschuldenfreiheitsbescheinigung des Vorvermieters
- Ausweiskopie zur Vertrags-Identifikation
Diese Phase darf nicht missbraucht werden, um sich „mehr Auswahl“ zu sichern. Wenn du noch nicht entschieden hast, sind die Daten nicht zulässig.
Was du in welcher Phase fragen darfst — die Tabelle
| Datenkategorie | Phase 1 | Phase 2 | Phase 3 |
|---|---|---|---|
| Name + Kontakt | ja | ja | ja |
| Anzahl Personen | ja | ja | ja |
| Haustiere (allgemein) | ja | ja | ja |
| Selbstauskunft | nein | ja | ja |
| Einkommens-Größenordnung | nein | ja | ja |
| Insolvenz/Räumung | nein | ja | ja |
| SCHUFA-Auskunft | nein | nein | ja |
| Gehaltsabrechnungen | nein | nein | ja |
| Ausweiskopie | nein | nein | ja |
| Familienstand | nein | nein | nein |
| Religion | nein | nein | nein |
| Schwangerschaft | nein | nein | nein |
Die letzten drei Punkte sind nicht nur DSGVO-, sondern auch AGG-Themen (Allgemeines Gleichbehandlungsgesetz).
Art. 22 DSGVO: warum KI-Scoring von Bewerbern problematisch ist
Hier kommt ein Punkt, den viele neue Tools ignorieren. Artikel 22 DSGVO lautet sinngemäß: niemand darf einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen werden, die ihm gegenüber rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt.
Übersetzt: Wenn ein KI-System Bewerber automatisch bewertet, sortiert oder vor-aussiebt — und du diese Sortierung übernimmst, ohne in jedem Einzelfall eigenständig zu entscheiden — dann liegt nach überwiegender Auslegung eine ausschließlich automatisierte Entscheidung vor. Und die wird grundsätzlich als unzulässig bewertet.
Was bedeutet das praktisch? Tools, die mit „intelligentem Matching“, „KI-Bewerber-Scoring“ oder „automatisierter Vorauswahl“ werben, bewegen sich in einer rechtlichen Grauzone — oder klar im Verbots-Bereich. Selbst wenn du formal noch eine Entscheidung triffst: wenn du faktisch nur das nimmst, was die KI dir vorsortiert hat, ist das nach Auslegung vieler Datenschutz-Behörden bereits ein Verstoß gegen Art. 22.
Sichere Variante: KI darf Texte schreiben, Termine koordinieren, Dokumente strukturieren — aber sie darf keine Bewerber bewerten oder ranken. Die Auswahl-Kriterien legst du fest, die Filter-Anwendung ist deterministisch (Einkommen über X erfüllt / nicht erfüllt), die Entscheidung triffst du. Das ist genau die Linie, an der Locari ausgerichtet ist — KI macht die Arbeit, du entscheidest über Menschen.
Mehr dazu im verwandten Cornerstone Anti-Profiling: was bedeutet das?.
Aufbewahrungsfristen und Löschpflichten
Sobald die Vermietung abgeschlossen ist (Vertrag mit einer Person geschlossen), sind die Daten aller anderen Bewerber regelmäßig zu löschen. Die Datenschutzkonferenz nennt als Obergrenze: Daten nicht berücksichtigter Bewerber sollten gelöscht werden, sobald sie für den Auswahlprozess nicht mehr erforderlich sind — regelmäßig spätestens nach sechs Monaten. Diese sechs Monate sind als Puffer für eine mögliche AGG-Auseinandersetzung (§ 21 AGG) gedacht, nicht als Mindest-Speicherdauer. Wer keine Streitigkeit erwartet, sollte früher löschen.
Für die ausgewählte Person gelten andere Fristen: hier brauchst du die Daten für die Vertragsabwicklung und kannst sie nach Mietvertragsende noch im Rahmen handels- und steuerrechtlicher Aufbewahrungsfristen (bis 10 Jahre) speichern, soweit für die Buchhaltung relevant.
Praktischer Tipp: Halte einen Lösch-Termin im Kalender fest. Spätestens sechs Monate nach Vermietungsende (gern früher, wenn keine Beschwerde zu erwarten ist): Bewerber-Akten der nicht ausgewählten Personen löschen — in der Cloud, am Rechner, im Postfach. Wenn du Software wie Locari nutzt, läuft die Löschung automatisch.
Datenschutzerklärung im Inserat
Sobald du personenbezogene Daten erhebst (also ab der ersten Bewerbungs-Anfrage), ist eine Datenschutzerklärung nach Art. 13 DSGVO regelmäßig vorgeschrieben. Diese sollte den Bewerber verständlich gemacht werden — entweder direkt im Inserat-Text, in einem Link, oder spätestens beim ersten Kontakt.
Mindest-Inhalte:
- Wer du als Verantwortliche/r bist (Name, Kontakt)
- Welche Daten du erhebst
- Zu welchem Zweck (Bewerber-Auswahl für konkrete Wohnung)
- Wie lange du sie aufbewahrst
- Welche Rechte die Bewerber haben (Auskunft, Löschung, Widerspruch)
- An wen sie sich bei Beschwerden wenden können (Landesdatenschutzbehörde)
Eine Standard-Vorlage findest du bei den Datenschutzbehörden der Länder. Wer Software einsetzt, sollte prüfen, ob die Software eine integrierte Datenschutzerklärung mitliefert.
Typische Fehler — und wie du sie vermeidest
Fehler 1: SCHUFA schon im Inserat verlangen. Mögliche Konsequenz: Phase-1-Verstoß. Üblicher Weg: SCHUFA erst in Phase 3 fordern, vorher höchstens Selbstauskunft.
Fehler 2: „Bitte schicken Sie uns Ihren Personalausweis.“ Mögliche Konsequenz: Datenminimierungs-Verstoß. Üblicher Weg: Ausweis erst beim Vertragsschluss, nicht bei der Bewerbung.
Fehler 3: Bewerber werden „aus dem Bauch“ abgelehnt und Daten bleiben jahrelang im E-Mail-Postfach liegen. Mögliche Konsequenz: Aufbewahrungs-Verstoß + Beweis-Risiko bei AGG-Beschwerden. Üblicher Weg: Lösch-Datum festsetzen, spätestens sechs Monate nach Vermietungsende.
Fehler 4: Daten an Hausverwaltung oder Familie weitergeben „weil die das auch sehen müssen“. Mögliche Konsequenz: Weitergabe ohne Rechtsgrundlage. Üblicher Weg: Auftragsverarbeitungsvertrag mit Dienstleistern, intern klare Kreis-Definition.
Fehler 5: KI-Tool sortiert Bewerber automatisch in „passend“ / „nicht passend“. Mögliche Konsequenz: Art. 22-Verstoß. Üblicher Weg: KI darf Texte und Termine machen, nicht Menschen ranken.
Häufige Fragen
Darf ich als Privatvermieter die SCHUFA verlangen?
In der Regel ja — aber meist erst in Phase 3, also wenn du dich konkret für einen Bewerber oder eine Bewerberin entschieden hast. Vorher wird die SCHUFA-Anforderung überwiegend als DSGVO-Verstoß bewertet. Üblich ist zudem, nur die Bonitätsauskunft („SCHUFA-BonitätsCheck“) zu verlangen, nicht den vollständigen Eigenauskunfts-Bericht.
Muss ich Bewerber-Daten von abgelehnten Personen wirklich löschen?
In der Regel ja. Die DSK nennt als Obergrenze regelmäßig spätestens sechs Monate nach Abschluss des Auswahlverfahrens; sobald die Daten nicht mehr erforderlich sind, solltest du sie früher löschen. Ohne Zweck kann die weitere Speicherung gegen die DSGVO verstoßen (Art. 5 DSGVO).
Was passiert, wenn ich gegen die DSGVO verstoße?
Bewerber können sich bei der Landesdatenschutzbehörde beschweren. Diese fordert eine Stellungnahme an und kann Bußgelder verhängen (Rahmen nach Art. 83 DSGVO bis 20 Mio € / 4 % Jahresumsatz). Für Privatvermieter dürften die Beträge bei klaren Einzelverstößen deutlich niedriger liegen — eine belastbare öffentliche Statistik speziell für Privatvermieter liegt uns nicht vor, die konkrete Höhe ist daher unsere Einschätzung, kein gesicherter Wert. Dazu kommt der praktische Aufwand des Verfahrens. Bei AGG-Verstößen zusätzlich Schadensersatz-Forderungen.
Darf ich eine Software wie Locari einsetzen, die meine Bewerber-Kommunikation übernimmt?
In der Regel ja — solange die Software DSGVO-konform aufgebaut ist (EU-Hosting, Auftragsverarbeitung, transparente Datenflüsse) und keine automatisierten Bewertungs-Entscheidungen über Menschen trifft (Art. 22). Locari ist darauf ausgelegt, dabei zu unterstützen: Kommunikation und Dokumenten-Strukturierung werden automatisiert, die Auswahl-Entscheidung und die datenschutzrechtliche Verantwortung bleiben bei dir.
Was ist mit der Haustier-Frage?
Erlaubt, wenn sachlich relevant. In Phase 1 die allgemeine Frage („Haustiere ja/nein“), in Phase 2 das Detail (Art, Anzahl). Pauschale Haustier-Verbote sind im Übrigen mietrechtlich umstritten — Kleintiere (Hamster, Fische) sind in der Regel ohne Erlaubnis zulässig.
Quellen + Weiterlesen
- DSGVO (Verordnung (EU) 2016/679) — Art. 5, 6, 13, 22, 83
- EuGH, Urteil vom 07.12.2023, C-634/21 (SCHUFA-Scoring als automatisierte Entscheidung)
- DSK-Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressent:innen (V2.0, Stand 2026)
- Bundesdatenschutzgesetz (BDSG)
- Anti-Profiling — was bedeutet das?
- SCHUFA und Bewerber-Prüfung — was ist rechtlich zulässig?
- Bewerber-Vorauswahl rechtssicher gestalten
Disclaimer: Dieser Artikel bietet allgemeine Orientierung, keine Rechtsberatung. Er wurde sorgfältig erstellt, ersetzt aber keine anwaltliche Prüfung im Einzelfall — bei konkreten Streitfällen wende dich an einen Anwalt für Miet- oder Datenschutzrecht. Stand: Juni 2026.
Locari bildet das 3-Phasen-Modell strukturell ab: in jeder Phase werden nur die zulässigen Daten abgefragt, nicht ausgewählte Bewerber-Daten löscht die Software automatisch. Du entscheidest, wer einzieht.