Bieterverfahren & DSGVO – Datenschutz von Anfang an
Bei Bieterverfahren werden personenbezogene Daten verarbeitet. Hier erfahren Sie, wie Sie das DSGVO-konform umsetzen und was Bieterverfahren.App dafür tut.
Software testenUnsere Datenschutz-Maßnahmen
EU-Server
Alle Daten werden auf Servern in der Europäischen Union gespeichert. Kein Datentransfer in Drittländer.
Verschlüsselung
TLS-Verschlüsselung für alle Datenübertragungen. Sensible Daten werden zusätzlich verschlüsselt gespeichert.
AVV-Vertrag
Auftragsverarbeitungsvertrag (AVV) für alle Business-Kunden. Auf Anfrage auch individuelle Vereinbarungen.
Audit-Logs
Lückenlose Protokollierung aller Zugriffe und Änderungen. Für Compliance und Nachvollziehbarkeit.
Rollen & Rechte
Granulare Berechtigungen. Nur autorisierte Personen haben Zugriff auf sensible Daten.
Löschkonzept
Automatische Löschung nach konfigurierbaren Fristen. Manuelle Löschung auf Anfrage jederzeit möglich.
Ein digitales Bieterverfahren verarbeitet zwangsläufig personenbezogene Daten: Kontaktdaten von Interessenten, abgegebene Kaufpreisangebote und gegebenenfalls Finanzierungsnachweise. Wer als Makler oder Eigentümer ein solches Verfahren durchführt, ist datenschutzrechtlich Verantwortlicher im Sinne der **Datenschutz-Grundverordnung (DSGVO)** und muss jede Verarbeitung auf eine tragfähige Rechtsgrundlage stützen, auf das erforderliche Maß begrenzen und nachvollziehbar dokumentieren. Dieser Beitrag erläutert die wesentlichen rechtlichen Anforderungen und zeigt, wie Bieterverfahren.App sie technisch und organisatorisch abbildet. Er ersetzt keine individuelle Rechtsberatung; bei Zweifeln im Einzelfall sollten Sie einen Datenschutzbeauftragten oder eine fachkundige Kanzlei hinzuziehen.
Rechtsgrundlagen der Datenverarbeitung im Bieterverfahren
Jede Verarbeitung personenbezogener Daten benötigt nach Art. 6 Abs. 1 DSGVO eine Rechtsgrundlage. Im Bieterverfahren tragen drei Tatbestände den weit überwiegenden Teil der Verarbeitungen. Die Abgabe eines Gebots und die anschließende Kommunikation mit dem Bieter sind regelmäßig vorvertragliche Maßnahmen im Sinne von Art. 6 Abs. 1 lit. b DSGVO: Das Gebot ist ein bindendes Kaufpreisangebot nach § 145 BGB, das auf den Abschluss eines notariellen Kaufvertrags (§ 311b BGB) gerichtet ist. Da die betroffene Person das Verfahren mit ihrem Gebot selbst anstößt, erfolgt die Verarbeitung der hierfür notwendigen Daten auf ihre Anfrage hin und ist ohne gesonderte Einwilligung zulässig.
Daneben stützt sich ein Teil der Verarbeitung auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Hierunter fällt insbesondere das gerichtsfeste, manipulationssichere Protokollieren des Bietgeschehens (Bietbuch), das sowohl dem Verkäufer als auch den Bietern als Nachweis eines fairen, transparenten Verfahrens dient. Eine Verarbeitung auf dieser Grundlage setzt stets eine Interessenabwägung voraus: Das Interesse des Verantwortlichen muss gegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person abgewogen werden, und diese dürfen nicht überwiegen. Die Abwägung ist zu dokumentieren, da sie Teil der Rechenschaftspflicht ist.
Eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist nur dort erforderlich, wo die Verarbeitung über das für Vertragsanbahnung und berechtigtes Interesse Notwendige hinausgeht, etwa bei der Aufnahme eines Interessenten in einen Newsletter oder bei der Weiterverarbeitung der Kontaktdaten für künftige, nicht objektbezogene Angebote. Eine solche Einwilligung muss freiwillig, informiert und nachweisbar erteilt sein und kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Bieterverfahren.App trennt diese Zwecke sauber und holt eine Einwilligung nur dort ein, wo sie tatsächlich gebraucht wird.
Datenminimierung & Zweckbindung
Die Grundsätze ordnungsgemäßer Datenverarbeitung sind in Art. 5 DSGVO verankert. Zentral sind die Zweckbindung (Art. 5 Abs. 1 lit. b) und die Datenminimierung (Art. 5 Abs. 1 lit. c): Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und müssen auf das für diese Zwecke notwendige Maß beschränkt werden. Für ein Bieterverfahren bedeutet das konkret, dass nur die Daten verlangt werden, die zur Durchführung des Verfahrens und zur Anbahnung des Kaufvertrags wirklich erforderlich sind: Name, eine Kontaktmöglichkeit (E-Mail oder Telefon), das abgegebene Gebot mit Zeitstempel und – erst ab einem definierten Schwellenwert – ein Finanzierungsnachweis.
Der Finanzierungsnachweis verdient eine differenzierte Betrachtung. Er enthält wirtschaftlich sensible Angaben zur Bonität, zählt jedoch nicht zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO; diese erfassen ausschließlich Daten wie Gesundheit, ethnische Herkunft oder politische Überzeugung. Bonitäts- und Finanzierungsdaten unterliegen damit den allgemeinen Regeln des Art. 6 DSGVO, sind aber wegen ihrer Schutzbedürftigkeit besonders restriktiv zu behandeln. Bieterverfahren.App fordert den Nachweis daher erst ab einem vom Anbieter festgelegten Schwellenwert an, beschränkt den Zugriff auf den engen Kreis der Verfahrensverantwortlichen und löscht ihn nach Zweckfortfall.
Aus der Zweckbindung folgt zugleich, dass einmal erhobene Daten nicht ohne Weiteres für andere Zwecke weiterverwendet werden dürfen. Die Kontaktdaten eines unterlegenen Bieters etwa dürfen nicht ungefragt für die Vermarktung weiterer Objekte genutzt werden – dafür wäre eine eigene Rechtsgrundlage, in der Regel eine Einwilligung, notwendig. Nach Art. 5 Abs. 2 DSGVO trifft den Verantwortlichen überdies eine Rechenschaftspflicht: Er muss die Einhaltung dieser Grundsätze belegen können.
Speicherfristen & Löschkonzept
Nach dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) dürfen personenbezogene Daten nur so lange aufbewahrt werden, wie es für den jeweiligen Zweck erforderlich ist. Diesem Grundsatz stehen jedoch gesetzliche Aufbewahrungspflichten gegenüber – insbesondere die steuer- und handelsrechtlichen Fristen nach § 147 AO und § 257 HGB. Solange eine Aufbewahrungspflicht besteht, ist die weitere Speicherung zulässig und sogar geboten; erst nach deren Ablauf ist zu löschen. Zu beachten ist, dass das Vierte Bürokratieentlastungsgesetz die Aufbewahrungsfrist für Buchungsbelege zum 1. Januar 2025 von zehn auf acht Jahre verkürzt hat (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB), während die übrigen Unterlagen weiterhin sechs Jahre aufzubewahren sind. Ein belastbares Löschkonzept ordnet jeder Datenart daher eine Rechtsgrundlage und eine konkrete Frist zu. Die folgende Übersicht zeigt typische Werte; sie ersetzt keine auf den Einzelfall zugeschnittene Festlegung.
Bieterverfahren.App unterstützt dieses Konzept durch automatisierte Löschroutinen und definierbare Aufbewahrungsfristen je Datenart, sodass nach Zweckfortfall beziehungsweise Fristablauf eine fristgerechte Löschung sichergestellt und – im Sinne der Rechenschaftspflicht – auch nachgewiesen werden kann.
| Datenart | Rechtsgrundlage | Typische Speicherfrist |
|---|---|---|
| Interessenten-Kontaktdaten ohne Vertragsschluss | Art. 6 Abs. 1 lit. b / lit. f DSGVO | Löschung nach Verfahrensende, sofern keine Einwilligung für Folgekontakt vorliegt |
| Gebotsdaten / Bietbuch (Verfahrensdokumentation) | Art. 6 Abs. 1 lit. f DSGVO (Nachweis fairer Verfahren) | Bis zum Ablauf möglicher Ansprüche aus dem Verfahren; danach Löschung |
| Finanzierungsnachweise | Art. 6 Abs. 1 lit. b DSGVO | Löschung nach Zweckfortfall (Zuschlag erteilt bzw. Bieter ausgeschieden) |
| Vertragsbezogene Unterlagen / Buchungsbelege | Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO, § 257 HGB | Buchungsbelege 8 Jahre, übrige Unterlagen 6 Jahre (Stand seit 1.1.2025) |
| Einwilligungsnachweise (z. B. Newsletter) | Art. 6 Abs. 1 lit. a, Art. 7 Abs. 1 DSGVO | Für die Dauer der Verarbeitung plus angemessene Nachweisfrist nach Widerruf |
Auftragsverarbeitung & technisch-organisatorische Maßnahmen
Wer Bieterverfahren.App als externe Software-Plattform nutzt, lässt personenbezogene Daten durch einen Dienstleister verarbeiten. Datenschutzrechtlich handelt es sich um eine Auftragsverarbeitung, die nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AV-Vertrag) voraussetzt. Darin werden Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Kategorien betroffener Personen sowie die Pflichten beider Seiten festgelegt. Der Auftragsverarbeiter darf die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeiten und muss hinreichende Garantien für geeignete Schutzmaßnahmen bieten. Bieterverfahren.App stellt Kunden einen entsprechenden AV-Vertrag zur Verfügung.
Die konkreten Schutzmaßnahmen ergeben sich aus Art. 32 DSGVO, der ein dem Risiko angemessenes Schutzniveau verlangt. Dazu zählen unter Berücksichtigung des Stands der Technik insbesondere die Verschlüsselung und gegebenenfalls Pseudonymisierung der Daten sowie Maßnahmen zur Sicherung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. Bieterverfahren.App betreibt die Verarbeitung auf Servern innerhalb der EU, verschlüsselt die Datenübertragung und ruhende Daten und setzt ein rollenbasiertes Berechtigungskonzept ein, das den Zugriff auf besonders schutzbedürftige Unterlagen wie Finanzierungsnachweise auf das Notwendige beschränkt. Diese technisch-organisatorischen Maßnahmen (TOMs) sind dokumentiert und Bestandteil des AV-Vertrags.
Betroffenenrechte
Die DSGVO gewährt jeder betroffenen Person eine Reihe durchsetzbarer Rechte. Im Bieterverfahren sind vor allem drei relevant. Das Auskunftsrecht nach Art. 15 DSGVO gibt Interessenten und Bietern Anspruch auf Auskunft darüber, ob und welche Daten über sie verarbeitet werden, zu welchen Zwecken, an welche Empfänger sie weitergegeben werden und wie lange sie gespeichert bleiben. Das Recht auf Löschung nach Art. 17 DSGVO verpflichtet den Verantwortlichen, Daten zu löschen, sobald der Zweck entfällt oder eine Einwilligung widerrufen wird – soweit dem keine gesetzliche Aufbewahrungspflicht entgegensteht.
Hinzu tritt das Widerspruchsrecht nach Art. 21 DSGVO: Erfolgt eine Verarbeitung auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), kann die betroffene Person ihr aus Gründen der besonderen Situation widersprechen; der Verantwortliche muss die Verarbeitung dann einstellen, sofern er keine zwingenden schutzwürdigen Gründe nachweist, die überwiegen. Anträge nach den Art. 15 bis 22 DSGVO sind nach Art. 12 Abs. 3 DSGVO unverzüglich, spätestens aber innerhalb eines Monats zu beantworten; diese Frist kann bei komplexen Anträgen um bis zu zwei weitere Monate verlängert werden, worüber die betroffene Person zu informieren ist.
Bieterverfahren.App unterstützt die Erfüllung dieser Pflichten technisch: Verarbeitete Daten lassen sich je betroffener Person strukturiert exportieren, um Auskunftsersuchen zügig zu bedienen; gezielte Löschfunktionen und automatisierte Fristenkontrollen erleichtern die Umsetzung von Löschanträgen und Widersprüchen unter Beachtung bestehender Aufbewahrungspflichten. So bleibt der Verantwortliche jederzeit auskunfts- und handlungsfähig, ohne das gerichtsfeste Bietbuch zu gefährden.
Häufige Fragen zu DSGVO
DSGVO-konform starten
Mit Bieterverfahren.App sind Sie auf der sicheren Seite. Datenschutz ist bei uns keine Checkbox, sondern Kernfeature.