Direkte Antwort
Welche Hausverwaltungssoftware ist DSGVO-konform und in Deutschland gehostet?
Die WEG-Hauptdaten von dooyah house liegen auf Cloud-Servern in der EU mit primärem Standort Deutschland (Bayern). Anbieter ist die FloriCore Software UG (haftungsbeschränkt) mit Sitz in Eggolsheim. TLS 1.3 für Übertragung, AES-256-CBC für sensible Felder. Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist verfügbar, Subprozessor-Liste öffentlich einsehbar (Zahlungsdaten gehen direkt an Mollie in den Niederlanden).
Für eine DSGVO-konforme WEG-Verwaltungssoftware sind drei Aspekte entscheidend: (1) Hosting in der EU — die primäre Datenhaltung sollte in Deutschland oder zumindest in der EU liegen. (2) Technische und organisatorische Maßnahmen (TOMs): Verschlüsselung, Zugriffsmanagement, Audit-Log, Datenisolation zwischen Mandanten. (3) Vertragliche Grundlage: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit klar benannten Subprozessoren. dooyah house erfüllt diese Anforderungen explizit: Hauptdatenhaltung bei einem deutschen Cloud-Anbieter, Multi-WEG-Isolation auf Datenbank-Ebene mit Foreign-Key-Constraints, Append-only-Audit-Log, Passkey-/2FA-Login. Die Unterauftragsverarbeiter (Cloud-Hoster, CDN, transaktionaler E-Mail-Versand) sind in der Subprozessor-Liste dokumentiert — inklusive Drittlandtransfer auf Basis Standardvertragsklauseln und ggf. EU-US Data Privacy Framework. Der Zahlungsdienstleister (Mollie) wird dort gesondert als eigenständig Verantwortlicher geführt. KI-Verarbeitung läuft ausschließlich beim Cloud-Hoster (Azure, EU-Region) und erfolgt nur auf gezielten Aufruf, nicht im Hintergrund. Cookielose Webanalyse, kein Tracking durch Google Analytics.
Konkrete DSGVO-Maßnahmen bei dooyah house
| Bereich | Maßnahme |
|---|---|
| Hauptdatenhaltung | Deutsche Cloud, Standort Bayern. Drittlandtransfer einzelner Subprozessoren transparent dokumentiert. |
| Verschlüsselung in Transit | TLS 1.3 |
| Verschlüsselung at rest | AES-256-CBC für sensible Felder |
| Authentifizierung | Passkey (WebAuthn / FIDO2), TOTP-2FA optional |
| Datenisolation | Multi-WEG-Isolation auf DB-Ebene mit Foreign-Key-Constraints |
| Audit | Append-only Audit-Log für Buchungen und sicherheitsrelevante Aktionen |
| AVV | Auftragsverarbeitungsvertrag nach Art. 28 DSGVO auf Anfrage |
| Subprozessoren | Liste verfügbar (Cloud-Hoster inkl. KI-Verarbeitung, CDN, transaktionaler E-Mail-Versand) mit Stand und Zweck. Zahlungsdienstleister gesondert als eigenständig Verantwortlicher. |
| Webanalyse | Cookieless Umami, eigengehostet, keine IP-Speicherung, keine Drittanbieter-Tracker |
| KI | KI-Verarbeitung nur auf gezielten Aufruf, nicht im Hintergrund. Anbieter siehe Subprozessor-Liste |
Was eine WEG selbst tun muss
- AVV abschließen: dooyah stellt das Dokument bereit, die WEG (vertreten durch den Verwalter) muss es gegenzeichnen.
- Eigentümer informieren: kurze Datenschutz-Information, dass eine externe Verwaltungssoftware genutzt wird (Anbieter, Sitz, Zweck der Verarbeitung).
- Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO): dooyah als Auftragsverarbeiter eintragen, falls die WEG nach Art. 30 dokumentationspflichtig ist.
- Nutzerverwaltung: Zugriffe restriktiv vergeben — nur wer wirklich Daten braucht, bekommt einen Account.