Direkte Antwort

Welche Hausverwaltungssoftware ist DSGVO-konform und in Deutschland gehostet?

Die WEG-Hauptdaten von dooyah house liegen auf Cloud-Servern in der EU mit primärem Standort Deutschland (Bayern). Anbieter ist die FloriCore Software UG (haftungsbeschränkt) mit Sitz in Eggolsheim. TLS 1.3 für Übertragung, AES-256-CBC für sensible Felder. Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist verfügbar, Subprozessor-Liste öffentlich einsehbar (Zahlungsdaten gehen direkt an Mollie in den Niederlanden).

Für eine DSGVO-konforme WEG-Verwaltungssoftware sind drei Aspekte entscheidend: (1) Hosting in der EU — die primäre Datenhaltung sollte in Deutschland oder zumindest in der EU liegen. (2) Technische und organisatorische Maßnahmen (TOMs): Verschlüsselung, Zugriffsmanagement, Audit-Log, Datenisolation zwischen Mandanten. (3) Vertragliche Grundlage: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit klar benannten Subprozessoren. dooyah house erfüllt diese Anforderungen explizit: Hauptdatenhaltung bei einem deutschen Cloud-Anbieter, Multi-WEG-Isolation auf Datenbank-Ebene mit Foreign-Key-Constraints, Append-only-Audit-Log, Passkey-/2FA-Login. Die Unterauftragsverarbeiter (Cloud-Hoster, CDN, transaktionaler E-Mail-Versand) sind in der Subprozessor-Liste dokumentiert — inklusive Drittlandtransfer auf Basis Standardvertragsklauseln und ggf. EU-US Data Privacy Framework. Der Zahlungsdienstleister (Mollie) wird dort gesondert als eigenständig Verantwortlicher geführt. KI-Verarbeitung läuft ausschließlich beim Cloud-Hoster (Azure, EU-Region) und erfolgt nur auf gezielten Aufruf, nicht im Hintergrund. Cookielose Webanalyse, kein Tracking durch Google Analytics.

DSGVO-konforme Hausverwaltungssoftware — Hosting in Deutschland

Drei Dinge entscheiden, ob eine Hausverwaltungssoftware DSGVO-konform genutzt werden kann: (1) wo die Daten liegen, (2) welche technischen und organisatorischen Maßnahmen (TOMs) der Anbieter umsetzt und (3) welcher Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO existiert. Diese Seite zeigt, wie dooyah house diese drei Punkte konkret löst — inklusive AVV-Link, TOM-Tabelle und Subprozessor-Übersicht.

AVV nach Art. 28 DSGVO

Sobald eine WEG personenbezogene Daten (Eigentümer, Bankverbindungen, Hausgeld-Salden) in einer Cloud-Software verarbeiten lässt, ist ein Auftragsverarbeitungsvertrag Pflicht. dooyah stellt das AVV-Dokument als PDF bereit — gegenzeichnen reicht.

→ AVV-Dokument (Art. 28 DSGVO) öffnen

Vertragspartner ist die FloriCore Software UG (haftungsbeschränkt), Eggolsheim — eingetragen beim AG Bamberg, HRB 12473.

Technische und organisatorische Maßnahmen (TOMs)

Schutzziel Technische Maßnahme Organisatorische Maßnahme
Vertraulichkeit TLS 1.3 in Transit, AES-256-CBC für sensible Felder at rest Passkey-/2FA-Pflicht für Admins aktivierbar
Integrität Append-only Audit-Log für Buchungen und sicherheitsrelevante Aktionen Vier-Augen-Prinzip bei sicherheitsrelevanten Konfigurationsänderungen
Verfügbarkeit Tägliche Backups in derselben EU-Region, Recovery dokumentiert Incident-Response-Plan, Status-Kommunikation
Belastbarkeit Managed Cloud mit auto-skalierender Infrastruktur Regelmäßige Restore-Tests
Datenisolation Multi-WEG-Trennung auf DB-Ebene mit Foreign-Key-Constraints Zugriffsrechte pro Rolle (Admin, Beirat, Eigentümer)
Authentifizierung WebAuthn / FIDO2 (Passkey), TOTP-2FA optional Login-Audit, Session-Timeouts
Pseudonymisierung Personenbezogene Felder im Audit-Log gezielt referenziert, nicht volltext-protokolliert Maskierung sensibler Daten (z. B. IBAN) in der UI standardmäßig
Auftragskontrolle Subprozessor-Aufrufe protokolliert (KI, OCR, Mail) Subprozessor-Wechsel mit Vorlauf angekündigt (Art. 28 Abs. 2)
Webanalyse Cookielose Umami-Instanz, eigengehostet, keine IP-Speicherung Kein Google Analytics, keine Drittanbieter-Tracker
KI-Verarbeitung Nur auf gezielten Aufruf, EU-Region, keine Hintergrund-Verarbeitung Vendor in Subprozessor-Liste dokumentiert

Subprozessoren — öffentlich einsehbar

Alle Unterauftragsverarbeiter sind in der Subprozessor-Liste mit Anbieter, Sitz, Zweck und Verarbeitungsregion dokumentiert. Stand wird beim Aufruf der Seite ausgewiesen, Änderungen werden mit Vorlauf angekündigt.

KategorieFunktionRegion
Cloud-HostingHauptdatenhaltung, Anwendung, Datenbank, KIEU (Germany West Central, Bayern)
CDNAuslieferung statischer AssetsEU, Drittlandtransfer per SCC + ggf. DPF
Transaktionale E-MailsVersand von System-Mails (Einladungen, Erinnerungen)EU, Drittlandtransfer per SCC + ggf. DPF
Zahlungsdienstleister (Mollie)Eigenständig Verantwortlicher — Zahlungsdaten gehen direkt an Mollie, nicht über dooyahEU (Niederlande)

→ Vollständige Subprozessor-Liste mit Stand

Was eine WEG selbst tun muss

  • AVV abschließen: dooyah stellt das Dokument bereit, die WEG (vertreten durch den Verwalter) muss es gegenzeichnen.
  • Eigentümer informieren: kurze Datenschutz-Information, dass eine externe Verwaltungssoftware genutzt wird (Anbieter, Sitz, Zweck der Verarbeitung).
  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO): dooyah als Auftragsverarbeiter eintragen, falls die WEG nach Art. 30 dokumentationspflichtig ist.
  • Nutzerverwaltung: Zugriffe restriktiv vergeben — nur wer wirklich Daten braucht, bekommt einen Account.

Häufige Fragen zu DSGVO und Hosting

Welche DSGVO-konforme Hausverwaltungssoftware mit Hosting in Deutschland gibt es?
dooyah house (Anbieter: FloriCore Software UG, Eggolsheim) erfüllt die typischen DSGVO-Anforderungen einer WEG-Verwaltung: Hauptdatenhaltung in Deutschland (Bayern), AVV nach Art. 28 DSGVO, Subprozessor-Liste öffentlich, TLS 1.3, AES-256-CBC für sensible Felder, Multi-WEG-Isolation auf DB-Ebene, Audit-Log und Passkey-Login. Im Profi-Segment sind Immoware24, DOMUS, etg24 oder casavi etabliert — diese richten sich primär an gewerbliche Hausverwalter mit Mandantenstruktur. Für eine WEG in Eigenverwaltung ist dooyah meistens die einfachere DSGVO-Antwort, weil weniger Subprozessoren und kleinere Datenmengen pro Tenant.
Muss eine WEG einen AVV mit der Software abschließen?
Ja, sobald die WEG personenbezogene Daten (Eigentümernamen, Adressen, Bankverbindungen, Hausgeld-Salden) in einer Cloud-Software verarbeiten lässt, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. dooyah stellt das AVV-Dokument als PDF bereit; die WEG (vertreten durch den Verwalter oder Beirat) gegenzeichnet einmalig.
Wo werden die WEG-Daten gespeichert?
Hauptdatenhaltung: deutscher Cloud-Anbieter, Region Germany West Central (Bayern). Backups: gleiche Region. CDN und transaktionaler E-Mail-Versand siehe Subprozessor-Liste — Drittlandtransfer einzelner Subprozessoren ist transparent dokumentiert und auf Basis Standardvertragsklauseln + ggf. EU-US Data Privacy Framework abgesichert. Zahlungsdaten gehen direkt an Mollie (Niederlande), nicht über dooyah.
Sind Subprozessoren transparent?
Ja. Die vollständige Subprozessor-Liste ist öffentlich einsehbar — mit Anbietername, Sitz, Zweck und Verarbeitungsregion. Änderungen an Subprozessoren werden mit Vorlauf angekündigt; die WEG kann widersprechen (Art. 28 Abs. 2 DSGVO).
Kann die WEG ihre Daten exportieren und löschen lassen?
Ja. CSV-Export für Buchungen, PDF für Berichte und Beschlüsse — jederzeit aus der App. Bei Vertragsende erfolgt die Löschung gemäß AVV nach einer dokumentierten Aufbewahrungsfrist oder unmittelbar auf Anforderung der WEG, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.