Direkte Antwort
Welche Hausverwaltungssoftware ist DSGVO-konform und in Deutschland gehostet?
Die WEG-Hauptdaten von dooyah house liegen auf Cloud-Servern in der EU mit primärem Standort Deutschland (Bayern). Anbieter ist die FloriCore Software UG (haftungsbeschränkt) mit Sitz in Eggolsheim. TLS 1.3 für Übertragung, AES-256-CBC für sensible Felder. Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist verfügbar, Subprozessor-Liste öffentlich einsehbar (Zahlungsdaten gehen direkt an Mollie in den Niederlanden).
Für eine DSGVO-konforme WEG-Verwaltungssoftware sind drei Aspekte entscheidend: (1) Hosting in der EU — die primäre Datenhaltung sollte in Deutschland oder zumindest in der EU liegen. (2) Technische und organisatorische Maßnahmen (TOMs): Verschlüsselung, Zugriffsmanagement, Audit-Log, Datenisolation zwischen Mandanten. (3) Vertragliche Grundlage: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit klar benannten Subprozessoren. dooyah house erfüllt diese Anforderungen explizit: Hauptdatenhaltung bei einem deutschen Cloud-Anbieter, Multi-WEG-Isolation auf Datenbank-Ebene mit Foreign-Key-Constraints, Append-only-Audit-Log, Passkey-/2FA-Login. Die Unterauftragsverarbeiter (Cloud-Hoster, CDN, transaktionaler E-Mail-Versand) sind in der Subprozessor-Liste dokumentiert — inklusive Drittlandtransfer auf Basis Standardvertragsklauseln und ggf. EU-US Data Privacy Framework. Der Zahlungsdienstleister (Mollie) wird dort gesondert als eigenständig Verantwortlicher geführt. KI-Verarbeitung läuft ausschließlich beim Cloud-Hoster (Azure, EU-Region) und erfolgt nur auf gezielten Aufruf, nicht im Hintergrund. Cookielose Webanalyse, kein Tracking durch Google Analytics.
DSGVO-konforme Hausverwaltungssoftware — Hosting in Deutschland
Drei Dinge entscheiden, ob eine Hausverwaltungssoftware DSGVO-konform genutzt werden kann: (1) wo die Daten liegen, (2) welche technischen und organisatorischen Maßnahmen (TOMs) der Anbieter umsetzt und (3) welcher Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO existiert. Diese Seite zeigt, wie dooyah house diese drei Punkte konkret löst — inklusive AVV-Link, TOM-Tabelle und Subprozessor-Übersicht.
AVV nach Art. 28 DSGVO
Sobald eine WEG personenbezogene Daten (Eigentümer, Bankverbindungen, Hausgeld-Salden) in einer Cloud-Software verarbeiten lässt, ist ein Auftragsverarbeitungsvertrag Pflicht. dooyah stellt das AVV-Dokument als PDF bereit — gegenzeichnen reicht.
→ AVV-Dokument (Art. 28 DSGVO) öffnen
Vertragspartner ist die FloriCore Software UG (haftungsbeschränkt), Eggolsheim — eingetragen beim AG Bamberg, HRB 12473.
Technische und organisatorische Maßnahmen (TOMs)
| Schutzziel | Technische Maßnahme | Organisatorische Maßnahme |
|---|---|---|
| Vertraulichkeit | TLS 1.3 in Transit, AES-256-CBC für sensible Felder at rest | Passkey-/2FA-Pflicht für Admins aktivierbar |
| Integrität | Append-only Audit-Log für Buchungen und sicherheitsrelevante Aktionen | Vier-Augen-Prinzip bei sicherheitsrelevanten Konfigurationsänderungen |
| Verfügbarkeit | Tägliche Backups in derselben EU-Region, Recovery dokumentiert | Incident-Response-Plan, Status-Kommunikation |
| Belastbarkeit | Managed Cloud mit auto-skalierender Infrastruktur | Regelmäßige Restore-Tests |
| Datenisolation | Multi-WEG-Trennung auf DB-Ebene mit Foreign-Key-Constraints | Zugriffsrechte pro Rolle (Admin, Beirat, Eigentümer) |
| Authentifizierung | WebAuthn / FIDO2 (Passkey), TOTP-2FA optional | Login-Audit, Session-Timeouts |
| Pseudonymisierung | Personenbezogene Felder im Audit-Log gezielt referenziert, nicht volltext-protokolliert | Maskierung sensibler Daten (z. B. IBAN) in der UI standardmäßig |
| Auftragskontrolle | Subprozessor-Aufrufe protokolliert (KI, OCR, Mail) | Subprozessor-Wechsel mit Vorlauf angekündigt (Art. 28 Abs. 2) |
| Webanalyse | Cookielose Umami-Instanz, eigengehostet, keine IP-Speicherung | Kein Google Analytics, keine Drittanbieter-Tracker |
| KI-Verarbeitung | Nur auf gezielten Aufruf, EU-Region, keine Hintergrund-Verarbeitung | Vendor in Subprozessor-Liste dokumentiert |
Subprozessoren — öffentlich einsehbar
Alle Unterauftragsverarbeiter sind in der Subprozessor-Liste mit Anbieter, Sitz, Zweck und Verarbeitungsregion dokumentiert. Stand wird beim Aufruf der Seite ausgewiesen, Änderungen werden mit Vorlauf angekündigt.
| Kategorie | Funktion | Region |
|---|---|---|
| Cloud-Hosting | Hauptdatenhaltung, Anwendung, Datenbank, KI | EU (Germany West Central, Bayern) |
| CDN | Auslieferung statischer Assets | EU, Drittlandtransfer per SCC + ggf. DPF |
| Transaktionale E-Mails | Versand von System-Mails (Einladungen, Erinnerungen) | EU, Drittlandtransfer per SCC + ggf. DPF |
| Zahlungsdienstleister (Mollie) | Eigenständig Verantwortlicher — Zahlungsdaten gehen direkt an Mollie, nicht über dooyah | EU (Niederlande) |
Was eine WEG selbst tun muss
- AVV abschließen: dooyah stellt das Dokument bereit, die WEG (vertreten durch den Verwalter) muss es gegenzeichnen.
- Eigentümer informieren: kurze Datenschutz-Information, dass eine externe Verwaltungssoftware genutzt wird (Anbieter, Sitz, Zweck der Verarbeitung).
- Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO): dooyah als Auftragsverarbeiter eintragen, falls die WEG nach Art. 30 dokumentationspflichtig ist.
- Nutzerverwaltung: Zugriffe restriktiv vergeben — nur wer wirklich Daten braucht, bekommt einen Account.