Wo dürfen die Lead-Daten gespeichert werden?

Idealerweise auf Servern in Deutschland oder zumindest innerhalb der EU. Anbieter mit US-Servern (z.B. Salesforce, viele US-Plattformen) sind nach Schrems II rechtlich schwierig — du brauchst zusätzliche Garantien. Vermeide Anbieter ohne klare Server-Standort-Aussage.

Wie lange darf ich Eigentümer-Leads speichern?

So lange wie für den ursprünglichen Zweck nötig + gesetzliche Aufbewahrungsfristen. Faustregel: 6 Monate für nicht-konvertierte Leads, dann Löschung oder erneute Einwilligung. Konvertierte Leads (Aufträge) gemäß steuerrechtlicher Aufbewahrungspflicht (i.d.R. 10 Jahre).

Was muss in der Datenschutzerklärung stehen?

Verantwortlicher (du), Zweck der Datenverarbeitung (Immobilienbewertung + Lead-Pflege), Rechtsgrundlage (Einwilligung oder berechtigtes Interesse), Auftragsverarbeiter (Widget-Anbieter + CRM), Speicherdauer, Rechte des Eigentümers (Auskunft, Löschung, Widerspruch), Beschwerderecht bei Aufsichtsbehörde.

Muss der Eigentümer eine Einwilligung geben?

Im Bewertungs-Widget reicht die Vertragsanbahnung gem. Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage — der Eigentümer hat die Bewertung aktiv angefragt. Wichtig: Klarheit über den Zweck im Widget selbst und in der Datenschutzerklärung. Für Newsletter-Versand danach brauchst du eine separate Einwilligung.

Was passiert bei einer Lösch-Anfrage des Eigentümers?

Du musst binnen unverzüglich (in der Praxis 1 Monat) löschen, sofern keine Aufbewahrungspflicht entgegensteht. Das umfasst Daten beim Widget-Anbieter UND im CRM. Stelle sicher, dass dein Widget-Anbieter Lösch-API hat, damit du das nicht manuell durchklicken musst.

Ressourcen / Recht

DSGVO und Lead-Generierung:
Was Makler wirklich brauchen.

Welche Pflichten hast du, wenn du Eigentümer-Daten über deine Website sammelst? Übersichtlich erklärt — AVV, Server-Standort, Speicherdauer, Lösch-Anfragen. Mit konkreten Schritten, ohne Juristen-Schwurbel.

7 Min Lesezeit · Aktualisiert: Mai 2026

Disclaimer: ersetzt keine Rechtsberatung. Konsultiere im Zweifel deinen Datenschutz-Anwalt oder die Datenschutzbeauftragten der Bundesländer.

TL;DR

Du als Makler bist Datenverantwortlicher. Der Widget-Anbieter ist Auftragsverarbeiter. Du brauchst: AVV gemäß Art. 28 DSGVO, Server in DE/EU, klare Datenschutzerklärung, dokumentierten Datenfluss, Lösch-Mechanismus. Rechtsgrundlage für Widget-Daten: Vertragsanbahnung (Art. 6 Abs. 1 lit. b). Speicherdauer: bedarfsgerecht, dokumentiert.

Die Rollenverteilung: Wer ist was?

Zwei Begriffe musst du verstehen: Verantwortlicher und Auftragsverarbeiter.

Du als Makler bist Datenverantwortlicher (Art. 4 Nr. 7 DSGVO). Du entscheidest, welche Daten du erhebst, wozu, wie lange. Die Eigentümer-Daten gehören dir.
Der Widget-Anbieter ist Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Er verarbeitet die Daten in deinem Auftrag, hat selbst kein Verwertungsrecht, darf sie nicht weiterverkaufen.
Dein CRM-Anbieter (onOffice, Propstack) ist auch Auftragsverarbeiter. Auch mit ihm brauchst du einen AVV.

Pflicht #1: AVV gemäß Art. 28 DSGVO

Mit jedem Auftragsverarbeiter (Widget, CRM, ggf. E-Mail-Provider, Analytics) musst du einen Auftragsverarbeitungs-Vertrag abschließen. Seriöse Anbieter stellen den AVV standardmäßig als Download/Beilage. Was drin steht: Zweck, Art der Daten, Schutzmaßnahmen, Subverarbeiter-Liste, Lösch-Verpflichtungen. Vor Bewertungs-Widget-Buchung: AVV prüfen. Fehlt er — Anbieter wechseln.

Pflicht #2: Server-Standort dokumentieren

Idealerweise Server in Deutschland. Mindestens innerhalb der EU. Anbieter mit US-Servern sind seit Schrems-II problematisch — du brauchst zusätzliche Standardvertragsklauseln plus Transfer-Folgenabschätzung. Klingt aufwändig, ist es auch. Vermeidbar, wenn dein Tool EU-only läuft. Casalead z.B. läuft auf Hetzner/Vercel-EU.

Pflicht #3: Datenschutzerklärung ergänzen

Deine Website-Datenschutzerklärung muss das Bewertungs-Widget und den Datenfluss abdecken. Pflicht-Bestandteile:

Verantwortlicher (du), Kontakt
Auftragsverarbeiter mit Name + Sitz (Widget-Anbieter, CRM)
Zweck (Immobilienbewertung, Lead-Pflege)
Rechtsgrundlage (Vertragsanbahnung Art. 6 Abs. 1 lit. b)
Speicherdauer pro Datenkategorie
Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch
Beschwerderecht bei Aufsichtsbehörde
Hinweis auf automatisierte Entscheidungen (i.d.R. keine — die Bewertung gibst du persönlich ab)

Pflicht #4: Speicherdauer + Lösch-Mechanismus

Du darfst Daten nicht „auf Vorrat" speichern. Praxis-Regel: nicht-konvertierte Eigentümer-Leads 6 Monate aktiv im CRM, danach automatisch archivieren oder löschen. Konvertierte Leads (echte Aufträge) unterliegen der steuerrechtlichen Aufbewahrungspflicht (10 Jahre für Rechnungsdaten, 6 Jahre für Geschäftsbriefe). Wenn ein Eigentümer ausdrücklich Löschung verlangt, musst du binnen Monatsfrist umsetzen — beim Widget-Anbieter und im CRM.

Was du NICHT machen musst (Mythen)

Mythos: „Ich brauche eine separate Einwilligung für die Bewertung."
Nein — Vertragsanbahnung reicht, weil der Eigentümer die Bewertung selbst aktiv angefragt hat. Separate Einwilligung nur für danach-Newsletter o.ä.
Mythos: „Ich brauche ein Cookie-Banner für das Widget."
Nicht automatisch. Wenn das Widget keine Tracking-Cookies setzt (gut umgesetzte Tools tun das nicht), brauchst du keinen Banner — nur den Datenschutz-Hinweis im Funnel-Schritt selbst.
Mythos: „Bei jedem Lead muss ich vor dem Anruf eine schriftliche Einwilligung einholen."
Nein — der Eigentümer hat aktiv Kontaktdaten gegeben mit dem Zweck einer Bewertung. Du darfst anrufen.

Casalead-Setup

Wir kommen DSGVO-fertig aus der Box.

Server in Deutschland (Hetzner / Vercel EU). AVV automatisch im Paket. Lösch-API für Eigentümer-Anfragen. Klar dokumentierter Datenfluss. Wir liefern dir alle Bausteine — du musst sie nur in deine Datenschutzerklärung übernehmen.

DSGVO-Architektur ansehen → Demo buchen

— DSGVO · FAQ

Was Makler dazu typisch fragen.

Ja. Wenn ein externer Anbieter (z.B. der Widget-Hersteller) Eigentümer-Daten für dich verarbeitet, schließt du mit ihm einen Auftragsverarbeitungs-Vertrag gem. Art. 28 DSGVO. Seriöse Anbieter stellen den AVV standardmäßig im Paket.

Bereit, dich finden zu lassen?

15 Minuten Demo. Wir zeigen dir, wie Casalead in deinem konkreten Setup arbeitet.

Demo buchen →

Lieber zuerst Pricing?

DSGVO und Lead-Generierung: Was Makler wirklich brauchen.