DE EN
2 Plätze frei · Mai Lass dich anrufen
← Zurück zum Blog Blog ·

DSGVO und KI im Maklerbüro — was 2026 wirklich erlaubt ist

Was Immobilienmakler beim Einsatz von KI-Sekretärinnen, Voice-Agents und Lead-Scoring rechtlich beachten müssen. DSGVO, TTDSG, EU AI Act — konkret aufgeschlüsselt mit praktischen Setup-Empfehlungen.

Geschrieben von Michal Andrzejewski Gründer VintAI · baut KI-Vertriebssysteme für DACH-Mittelstand
DSGVO KI im Maklerbüro Compliance

Auf einen Blick

KI-Sekretärinnen, Voice-Agents und automatische Lead-Qualifizierung sind im Maklerbüro grundsätzlich erlaubt — aber an konkrete Bedingungen geknüpft: ordentliche Rechtsgrundlage (Art. 6 DSGVO), klare Information des Anrufers (Art. 13), TTDSG-konformer Hinweis bei Aufzeichnung, AV-Verträge mit allen Sub-Dienstleistern und seit August 2026 explizite Einordnung nach EU AI Act. Wer Cloud-Voice-Modelle aus den USA nutzt, braucht zusätzlich eine Rechtsgrundlage für den Drittlandtransfer (Art. 44 ff.). Die wenigsten Maklerbüros haben das vollständig — und genau da liegen die teuren Bußgeld-Risiken.

Warum das jetzt akut wird

Bis vor zwei Jahren war KI im Maklerbüro ein Nischen-Thema. Mit dem EU AI Act (in Kraft seit August 2024, vollständige Anwendung seit August 2026) und der erhöhten Aufmerksamkeit der Landesdatenschutzbehörden für Sprachmodelle ändert sich das gerade.

Drei konkrete Auslöser:

  1. Aufsichtsbehörden prüfen aktiv Voice-AI-Setups. Die Datenschutzkonferenz (DSK) hat in 2025 Orientierungshilfen zu „Large Language Models in der Praxis” veröffentlicht, die direkt auf KI-Telefonie anwendbar sind.
  2. Mitbewerber-Beschwerden werden häufiger. Wenn ein konkurrierendes Maklerbüro deine KI-Anrufe rechtlich angreifbar findet, ist die Hürde für eine Meldung beim Landesdatenschutzbeauftragten niedrig.
  3. Käufer und Verkäufer fragen explizit ob ihre Anfrage „von einer KI bearbeitet” wird — und welche Rechtsgrundlage du dafür hast. Die Antwort „weiß ich nicht” ist Vertrauensverlust.

Dieser Artikel räumt die fünf wichtigsten Fragen auf — basierend auf DSGVO, TTDSG und EU AI Act in der aktuellen Auslegung der deutschen Behörden.

1. Was zählt eigentlich als personenbezogene Daten im Maklerbüro-KI-Setup?

Mehr als die meisten denken. Konkret: alles was eine identifizierbare Person betrifft.

Eindeutig personenbezogen:

  • Name, E-Mail, Telefonnummer, Adresse
  • Stimme bei Anrufen (Stimmprofile gelten seit dem BGH-Urteil 2018 als biometrisches Datum)
  • IP-Adresse bei Web-Formular-Anfragen
  • Budget, Familiensituation, Beruf — alles was aus einer Anfrage abgeleitet wird

Oft übersehen aber ebenfalls personenbezogen:

  • Vom KI-System generierte Lead-Scores oder Qualifizierungs-Tags („zahlungskräftig”, „dringend suchend”)
  • Transkripte automatischer Telefonate
  • Audio-Aufnahmen für Trainings- oder Qualitätszwecke
  • Gesprächsprotokoll-Embeddings, die ein RAG-System für die nächste Anfrage nutzt

Der Punkt: Eine KI-Sekretärin verarbeitet während eines 90-Sekunden-Anrufs oft fünf bis zehn verschiedene Kategorien personenbezogener Daten gleichzeitig. Jede Kategorie braucht eine Rechtsgrundlage.

2. Welche Rechtsgrundlage gilt für KI-Lead-Qualifizierung?

Hier wird es konkret. Zwei Optionen aus Art. 6 DSGVO sind realistisch:

Option A: Einwilligung (Art. 6 Abs. 1 lit. a)

Der Anrufer oder Webformular-Nutzer stimmt explizit zu, bevor die KI seine Anfrage bearbeitet.

Vorteil: Klar und rechtlich am sichersten.

Nachteil: Eine Einwilligung am Telefon einzuholen ist mühsam — der Anrufer muss vor dem Gesprächsbeginn informiert werden und aktiv zustimmen. Bei Web-Formularen ist es einfacher (Checkbox + Datenschutzlink), aber jede zusätzliche Checkbox senkt die Conversion.

Option B: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)

Du argumentierst, dass die KI-Bearbeitung der Anfrage in deinem berechtigten Interesse als Makler liegt (schnellere Antwort, bessere Qualifizierung) und die Rechte des Anrufers nicht überwiegen.

Vorteil: Keine Einwilligung nötig — funktioniert reibungsloser.

Nachteil: Du musst eine dokumentierte Interessenabwägung machen, in der nachvollziehbar ist warum dein Interesse die Rechte des Betroffenen nicht überwiegt. Die Datenschutzkonferenz erkennt berechtigtes Interesse für KI-Lead-Qualifizierung grundsätzlich an — aber nur wenn die Interessenabwägung sauber dokumentiert ist und der Anrufer transparent informiert wird.

Was die meisten falsch machen

Viele Maklerbüros stützen sich auf „der Anrufer ruft uns ja selbst an — er weiß was er tut”. Das ist als alleinige Rechtsgrundlage zu dünn. Du brauchst entweder eine echte Einwilligung oder eine dokumentierte Interessenabwägung — nicht beides, aber eins von beiden in Schriftform.

3. TTDSG, Anruf-Aufzeichnung und der § 201 StGB

Hier liegt eines der teuersten Risiken im Setup. Drei verschiedene Regelwerke greifen ineinander:

Das nicht-öffentliche Wort ist strafrechtlich geschützt

§ 201 StGB stellt das heimliche Aufzeichnen des nicht-öffentlich gesprochenen Wortes unter Strafe — bis zu drei Jahre Freiheitsstrafe. Wenn deine KI-Sekretärin den Anrufer mitschneidet ohne dass er es weiß, ist das Strafrecht, nicht nur Datenschutzrecht.

TTDSG verlangt vorherige Information

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG, § 25) regelt seit 2021 die Speicherung und das Zugreifen auf Informationen auf Endgeräten. Bei einer Telefon-Aufzeichnung musst du vor Beginn der Aufnahme klar darüber informieren und eine Möglichkeit zum Widerspruch geben.

Praktische Konsequenz

Eine KI-Voice-Agent-Implementierung im Maklerbüro muss mit einem klar formulierten Hinweis beginnen, ungefähr so:

„Guten Tag, hier ist Maria, die KI-Sekretärin der Maklerei Lehmann. Ich nehme dieses Gespräch zur Qualitätssicherung auf. Wenn Sie das nicht möchten, sagen Sie es jetzt — dann verbinde ich Sie direkt mit einem Mitarbeiter.”

Was nicht reicht: Ein versteckter Hinweis in der Datenschutzerklärung auf der Website. Wenn der Anrufer die nie gesehen hat, ist die Aufzeichnung weiterhin verboten.

Was zusätzlich geht: Die Aufzeichnung nur für die Dauer des Anrufs im RAM halten, sofort nach Gesprächsende automatisch löschen, nur das Transkript (ohne Audio) im CRM speichern. Das umgeht den Audio-Aufzeichnungs-Tatbestand komplett — Transkripte sind klassische Datenverarbeitung nach DSGVO, kein § 201-Fall.

4. EU AI Act: Welche Risikoklasse ist deine KI-Sekretärin?

Der EU AI Act (vollständig anwendbar seit August 2026) klassifiziert KI-Systeme nach Risikostufen — und KI im Maklerbüro fällt in der Regel in eine von drei Kategorien:

Begrenztes Risiko (Limited Risk)

Eine Voice-AI die Anrufer begrüßt, Anfragen aufnimmt und Termine bucht — ohne automatische Bonitätsprüfung, ohne Bewertung der Kreditwürdigkeit, ohne Diskriminierungs-Risiko — fällt in der Regel hier rein.

Auflagen: Transparenzpflicht. Der Anrufer muss wissen, dass er mit einer KI spricht (Art. 50 EU AI Act). Das ist mit dem TTDSG-Hinweis in Punkt 3 kombinierbar — ein Hinweis erfüllt beide Pflichten.

Hohes Risiko (High Risk)

Wenn deine KI-Sekretärin automatische Bonitätsprüfungen macht, Mieter-Scoring durchführt oder Mietverträge automatisch ablehnt weil ein Kriterium nicht passt, wirst du nach Annex III des EU AI Act zur Hochrisiko-Anwendung. Das löst einen umfangreichen Pflichtenkatalog aus — Risk-Management-System, Daten-Governance, Konformitätsbewertung, CE-Kennzeichnung.

Praktischer Rat: Bonitätsprüfungen und Mieter-Auswahl von der KI fernhalten. Vorqualifizieren ja, aber die endgültige Mieter- oder Käufer-Entscheidung muss ein Mensch treffen — sonst rutschst du in High-Risk.

Verboten

KI-Systeme die soziale Bewertung („social scoring”) oder unbewusste manipulative Techniken einsetzen, sind nach Art. 5 EU AI Act komplett verboten. Für klassische Makler-KI nicht relevant — aber wenn jemand dir ein „Mieter-Risiko-Scoring auf Basis von Social-Media-Aktivität” verkauft, ist das wahrscheinlich illegal.

5. Drittlandtransfer: Was wenn die KI auf US-Servern läuft?

Ein praktisch sehr verbreitetes Thema. Die meisten Sprachmodelle (GPT, Claude, ElevenLabs) sind in US-Cloud-Infrastruktur gehostet — und damit ist ein Drittlandtransfer im Spiel.

Aktuelle Rechtsgrundlage: EU-US Data Privacy Framework (DPF)

Seit Juli 2023 gilt das DPF als Angemessenheitsbeschluss — Übermittlungen an DPF-zertifizierte US-Unternehmen sind nach Art. 45 DSGVO grundsätzlich zulässig. OpenAI, Anthropic, ElevenLabs und Twilio sind DPF-zertifiziert (Stand 2026).

Was du trotzdem brauchst

  • Auftragsverarbeitungsvertrag (AVV) mit jedem Anbieter — die DPF-Zertifizierung ersetzt das NICHT
  • Transparente Auflistung der Drittlandtransfers in deinem Verzeichnis von Verarbeitungstätigkeiten
  • Information in der Datenschutzerklärung dass und an welche US-Anbieter Daten übermittelt werden

Wenn das DPF kippt

Das DPF wurde bereits zweimal vom EuGH gekippt (Safe Harbor 2015, Privacy Shield 2020) — und ist Stand 2026 in einer dritten Klage von Max Schrems anhängig. Wenn das DPF kippt, brauchst du Standardvertragsklauseln plus Transfer Impact Assessment für jeden Anbieter. Das ist machbar aber Aufwand.

Strategische Alternative: EU-Anbieter wo möglich nutzen. Mistral (Frankreich) für LLM-Inference, OVH oder Hetzner für Hosting, Twilio über deren EU-Region. Komplett EU-only ist aufwendiger und teurer — aber rechtlich deutlich entspannter.

Wie sieht ein DSGVO-konformes KI-Maklerbüro-Setup praktisch aus?

Sechs konkrete Punkte die wir bei jedem VintAI-Setup durchgehen:

1. Verzeichnis von Verarbeitungstätigkeiten (VVT) erweitern

Jede KI-Komponente bekommt einen Eintrag: was sie verarbeitet, welche Rechtsgrundlage, welche Aufbewahrungsfrist, welche Empfänger (auch interne KI-Dienstleister), welche Drittlandtransfers.

2. AV-Verträge mit allen KI-Dienstleistern

ElevenLabs, OpenAI/Anthropic, Twilio, Hosting-Provider — jeder einzelne braucht einen AV-Vertrag. Die Vorlagen der Anbieter sind in der Regel akzeptabel, aber sie müssen aktiv abgeschlossen werden, nicht „implizit per Nutzungsbedingung”.

3. Datenschutzerklärung anpassen

Eigener Abschnitt zur KI-Sekretärin: was sie tut, auf welcher Rechtsgrundlage, an welche Drittanbieter Daten gehen, Speicherdauer, Widerspruchsrechte.

4. Anruf-Eingangshinweis fixieren

Der erste Satz jedes Anrufs der KI muss DSGVO + TTDSG + EU AI Act erfüllen. In unseren Setups: „Hier ist [KI-Name], die KI-Sekretärin von [Maklerei]. Ich nehme dieses Gespräch zur Qualitätssicherung auf. Wenn Sie das nicht möchten, sagen Sie es jetzt.”

5. Aufbewahrungsfristen automatisieren

Audio-Aufnahmen: nur für die Anrufdauer, dann automatisch löschen. Transkripte: 90 Tage Standard, danach automatische Anonymisierung oder Löschung. Lead-Daten: nach handelsrechtlichen Aufbewahrungsfristen (typisch 10 Jahre für vertragsrelevante, 3 Jahre für Anbahnung).

6. Logging und Audit-Trail

Jede KI-Entscheidung (Lead-Score, Termin-Vorschlag, Eskalation an Menschen) wird mit Zeitstempel und Eingabe-Hash geloggt. Wenn ein Betroffener Auskunft verlangt (Art. 15 DSGVO), kannst du nachweisen was die KI mit seinen Daten gemacht hat.

Drei häufige Fehler die wir in Audits sehen

Fehler 1: „Wir nehmen ja nicht auf” — aber das Transkript wird gespeichert. Das ist trotzdem eine Verarbeitung personenbezogener Daten, die alle DSGVO-Pflichten auslöst. Nur weil keine Audiodatei existiert, ist es kein „kein Datenschutz-Thema”.

Fehler 2: „Der Anrufer hat ja angerufen, also will er reden” — das ist keine DSGVO-Rechtsgrundlage. Ein Anruf ist nicht automatisch eine Einwilligung in die KI-Bearbeitung.

Fehler 3: „Unser KI-Dienstleister ist DSGVO-konform” — der einzelne Anbieter mag konform sein, dein Setup als Ganzes ist es noch lange nicht. Du als Maklerbüro bist der Verantwortliche im Sinne der DSGVO; der KI-Anbieter ist Auftragsverarbeiter. Die Pflichten liegen primär bei dir.

Wer hilft beim sauberen Setup?

Wir bauen KI-CRMs für Immobilienmakler so, dass der DSGVO-Teil von Anfang an mitgedacht ist — nicht als nachgelagerter Compliance-Aufwand. Konkret heißt das: AV-Verträge mit allen Sub-Dienstleistern werden im Setup-Prozess abgeschlossen, Aufbewahrungsfristen sind als Code-Level-Logik implementiert (nicht als „bitte daran denken”), und der Anruf-Eingangshinweis ist Teil der Voice-Agent-Konfiguration.

Wenn du wissen willst wie das für dein Setup aussieht, buch ein 30-Minuten-Gespräch. Wir schauen ehrlich auf deinen Stack: was funktioniert, was rechtlich wackelig ist, was wir bauen würden. Wenn der Schluss ist, dass dein Status quo völlig in Ordnung ist, sagen wir dir das auch.

Stand: Mai 2026. Dieser Artikel ersetzt keine Rechtsberatung — er fasst die aktuelle Rechtslage so zusammen wie wir sie für unsere eigenen Setups anwenden. Bei konkreten Bußgeld-Risiken oder einem laufenden Audit immer einen spezialisierten Anwalt einbeziehen. Rechtliche Quellen: DSGVO, EU AI Act, TTDSG, DSK Orientierungshilfen.