Du verwendest eine Software für deine Hausverwaltung. Du gibst Mieterdaten ein, lädst Verträge hoch, verarbeitest Betriebskostenabrechnungen. Das System läuft, die Daten sind "irgendwo gespeichert".
Aber wo genau?
Die Realität hinter "Cloud-Software"
Wenn eine Software "in der Cloud" läuft, bedeutet das konkret: Deine Daten liegen auf Servern eines Drittanbieters. Meistens Amazon Web Services, Microsoft Azure oder Google Cloud. Diese Rechenzentren stehen häufig in den USA, Irland oder anderen Ländern außerhalb der DACH-Region.
Das ist kein Sicherheitsproblem per se. Aber es wirft eine Frage auf, die viele Hausverwaltungen noch nicht laut gestellt haben: Welche Daten verlassen dabei eigentlich dein Unternehmen?
In einer Hausverwaltung sind das keine harmlosen Informationen. Namen, Adressen und Bankverbindungen deiner Mieter. Eigentümerdaten und Beteiligungsverhältnisse. Mietverträge mit individuellen Konditionen. Korrespondenz zu Schadensfällen, Mängelanzeigen, Rechtsstreitigkeiten.
Das sind personenbezogene Daten im Sinne der DSGVO. Sensible Geschäftsdaten. Und bei vielen Softwarelösungen wandern sie in Rechenzentren, über deren Zugriffsrechte du keine vollständige Kontrolle hast.
Was DSGVO-Konformität bedeutet und was sie nicht garantiert
Viele Anbieter werben mit "DSGVO-konform" oder "EU-Datenschutz". Das ist in der Regel korrekt. Daten in EU-Rechenzentren unterliegen der DSGVO, Auftragsverarbeitungsverträge regeln die Nutzung.
Aber DSGVO-Konformität bedeutet nicht, dass nur du Zugriff auf deine Daten hast. Es bedeutet, dass der Anbieter die Daten nicht ohne rechtliche Grundlage weitergibt. Administratoren des Anbieters können für Support-Zwecke auf Daten zugreifen. Bei Wartungsarbeiten, Datenmigration oder Sicherheitsvorfällen kommen weitere Parteien ins Spiel. Und was mit Daten passiert, wenn ein Anbieter übernommen wird oder seinen Dienst einstellt, ist in AGB meist weniger klar formuliert als erhofft.
Das ist keine Schwarzmalerei. Es ist einfach die Realität hinter dem Begriff "Datenschutz in der Cloud".
Der Local-First-Ansatz
Local-First ist ein Software-Paradigma, das in den letzten Jahren vor allem in sicherheitskritischen Branchen an Bedeutung gewonnen hat. Das Prinzip: Primärdaten werden nicht auf externen Servern gespeichert, sondern auf der eigenen Hardware.
Was das in der Praxis bedeutet:
Die Software läuft auf einem Server im eigenen Haus oder Büro. Daten verlassen die eigene Infrastruktur nicht. Kein Drittanbieter hat Zugriff. Kein Datentransfer in die USA oder anderswo außerhalb der EU. Bei Internetausfall funktioniert das System weiterhin, weil es nicht von externer Konnektivität abhängt.
Der Nachteil ist real: Local-First bedeutet mehr Verantwortung für die eigene IT-Infrastruktur. Updates müssen selbst eingespielt werden. Backups liegen in eigener Hand. Für kleinere Hausverwaltungen ohne eigene IT-Abteilung ist das ein ernsthafter Aufwand.
Für wen ist welcher Ansatz sinnvoll?
Die meisten Hausverwaltungen fahren mit einer Cloud-Lösung auf EU-Servern gut. Der Datenschutz ist ausreichend geregelt, der Betrieb unkompliziert, Updates laufen automatisch. Wer keine erhöhten Anforderungen an Datensouveränität hat, braucht keinen Local-First-Ansatz.
Es gibt aber Konstellationen, in denen Local-First mehr als ein nettes Feature ist. Hausverwaltungen, die institutionelle Eigentümer mit strengen Datenschutzvorgaben betreuen. Verwaltungen, die Objekte mit exponierten Personen oder Unternehmen im Portfolio haben. Firmen, die intern eine Null-Toleranz-Politik gegenüber externem Datenzugriff verfolgen. Oder schlicht: Inhaber, die die volle Kontrolle über ihre Geschäftsdaten behalten wollen.
Vertrauen ist gut, Kontrolle ist besser.
Was beim nächsten Software-Audit zu prüfen ist
Wer das Thema ernst nehmen will, sollte bei der eigenen oder zukünftigen Softwarelösung folgende Fragen stellen:
Wo stehen die Server des Anbieters physisch? Gibt es einen Auftragsverarbeitungsvertrag, und was regelt er konkret? Welche Mitarbeiter des Anbieters haben technischen Zugriff auf produktive Kundendaten? Was passiert mit den Daten bei Kündigung des Vertrags? Ist eine lokale Datenhaltung als Option erhältlich?
Die Antworten sind oft weniger transparent, als die Marketingseiten vermuten lassen. Aber die Fragen zu stellen ist der erste Schritt.
