Die datenschutzrechtliche Verantwortlichkeit von Wohnungseigentümergemeinschaften (WEG) und Hausverwaltungen
An die Datenschutzbehörde werden sowohl seitens der Wohnungseigentümergemeinschaften (WEG) als auch von den Hausverwaltungen immer wieder Fragen im Hinblick auf die datenschutzrechtliche Verantwortlichkeit dieser Stellen gerichtet. Insbesondere aufgrund des Urteils des Amtsgerichts Mannheim (Urt. v. 11.09.2019 – 5 C 1733/19 WEG), durch welches erstmals von Seiten der Rechtsprechung Stellung zu dieser Frage genommen wurde, beschäftigte sich der LfDI im Jahr 2020 verstärkt mit Fragen der Verantwortlichkeit in der Immobilienwirtschaft. Im Rahmen von Tätigkeiten der WEG und Hausverwaltungen fallen viele verschiedene Datenverarbeitungsvorgänge an. So werden personenbezogene Daten etwa bei der bloßen Eigentümer- bzw. Mieterverwaltung, der Abrechnung von Nebenkosten, der Versendung von Informationsschreiben sowie der Schlichtung von Streitigkeiten oder auch bei der Einführung von Videoüberwachungsmaßnahmen verarbeitet. Da diese verschiedenen Verarbeitungsvorgänge mithin verschiedene Lebens- und Personenbereiche betreffen, stellt sich immer wieder die Frage, welche Stelle für welche Verarbeitungsvorgänge verantwortlich ist.
Gemäß Artikel 4 Nr. 7 DSGVO ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Anhand dieser Kriterien wird deutlich, dass keine generelle Aussage hinsichtlich der Verantwortlichkeit getroffen werden kann. Je nach Vorgang ist es denkbar, dass entweder ausschließlich die WEG oder ausschließlich die Hausverwaltung oder ggf. auch beide gleichrangig für die Datenverarbeitung verantwortlich sind.
Im Rahmen der Verantwortlichkeit können demnach folgende Abgrenzungskriterien herangezogen werden:
- Der Verwalter ist überwiegend alleinverantwortlich, soweit er seine originären Verwalteraufgaben (vgl. §§ 27, 28 Wohnungseigentumsgesetz) ausführt.
- Führt der Verwalter einen Beschluss der Eigentümergemeinschaft aus (z.B. Entscheidung über eine Videoüberwachung im Haus), so ist es wahrscheinlich, dass die WEG datenschutzrechtlich verantwortlich ist und der Verwalter die Aufgaben nur auf Weisung der WEG ausführt und somit keine eigenen Entscheidungen über Zwecke und Mittel der Verarbeitung trifft. Wenn diese der Fall ist, liegt ggf. eine Auftragsverarbeitung i.S.v. Art 28 DSGVO vor. Für die Frage, ob es sich gegebenenfalls um eine Auftragsverarbeitung handelt, sollte jedoch immer der konkrete Beschluss bzw. die Datenverarbeitung im Einzelfall geprüft werden.
- Es ist nicht ausgeschlossen, dass es auch Fälle geben kann, in denen die WEG und der Verwalter als gemeinsame Verantwortliche i.S.v. Art. 26 DSGVO agieren. Auch dies ist anhand des konkreten Einzelfalles zu beurteilen.
Die Abgrenzung der Verantwortlichkeit des Hausverwalters zur Verantwortlichkeit der WEG folgt dabei aus folgenden Überlegungen:
Die WEG schließt mit dem Verwalter einen Vertrag ab, der zum Gegenstand die Hausverwaltung hat. Im Rahmen dieser Dienstleistung verarbeitet der Hausverwalter die personenbezogenen Daten in eigener Verantwortung. Der Verwalter ist also Verantwortlicher für die Datenverarbeitung innerhalb seines Geschäftsbetriebes. Würde die WEG darüber hinaus eigenständig personenbezogene Daten verarbeiten, wäre sie für diesen Bereich als Verantwortlicher zu sehen. Dies hat auch zur Folge, dass der Verwalter als Verantwortlicher die Vorgaben der DSGVO und des BDSG beachten muss, also z.B. betroffene Personen informieren (Art. 13, 14 DSGVO), Auskunft erteilen (Art. 15 DSGVO) und für seine eigenen Verfahren ein entsprechendes Verzeichnis erstellen muss (Art. 35 DSGVO). Dazu muss er von der WEG nicht beauftragt werden.
Muss mit der Hausverwaltung zwingend ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen werden?
Von obiger Einordnung ist auch abhängig, ob möglicherweise eine Auftragsverarbeitung durch die Hausverwaltung vorliegt und ob in diesem Rahmen dann ein entsprechender Vertrag zur Auftragsverarbeitung zwischen der WEG und der Hausverwaltung erforderlich ist. Der LfDI ist mit der Datenschutzkonferenz nicht der Auffassung, dass die Verwaltung für WEG grundsätzlich eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO darstellt. Die Hausverwaltung verarbeitet personenbezogene Daten in eigener Verantwortung. Sie ist mithin Verantwortlicher im Sinne der DSGVO. Die WEG hat mit der Hauserwaltung einen Vertrag abgeschlossen, der die Hausverwaltung zum Gegenstand hat. Ob diese Vereinbarung nur eine Bestellung unter Bezugnahme auf § 27 Wohnungseigentumsgesetz beinhaltet oder darüber hinaus noch weitere Inhalte hat (z.B. die Vergütung des Verwalters), ist aus Sicht des LfDI für die datenschutzrechtliche Beurteilung unerheblich.
Die Verwaltung will ihre Pflichten aus dem Verwaltervertrag ordnungsgemäß erfüllen. Dazu muss sie personenbezogene Daten verarbeiten. Diese Datenverarbeitung ist über Art. 6 Abs. 1 Satz 1 Buchstabe b (Vertragserfüllung) oder Buchstabe f (berechtigtes Interesse) DSGVO legitimiert. Zu diesem Zweck verarbeitet sie personenbezogene Daten von Eigentümern und Mietern in eigener Verantwortung. Sie ist damit Verantwortlicher innerhalb der Datenverarbeitung ihres Geschäftsbereichs. Die Verwaltung entscheidet überwiegend autark, welche Daten sie zur Erfüllung ihrer Aufgabe verarbeitet und wie sie dies tut. Ein Auftragsverarbeitungsverhältnis liegt daher nicht vor. In einem internen Arbeitskreis der Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) wurde das Urteil des AG Mannheims vom 11. September 2019 bereits im Herbst 2019 thematisiert und einhellig besprochen, dass dieses nichts an der bisherigen Rechtsauffassung der DSK ändert.
Quelle: LfDI Rheinland-Pfalz
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks