>

Datenschutzpflichten der Haus-/Miet- und Wohnungseigentumsverwalter

Die Europäische Datenschutzgrundverordnung (DSGVO) begründete 2018 zahlreiche neue Aufgaben für Objektverwalter. Nach wie vor sind grundlegende Aspekte der Neuordnung hoch umstritten. Von Rechtssicherheit ist die Branche in dieser Hinsicht weit entfernt.

 

  1. Wohnungseigentumsverwalter

Umstritten ist bereits, ob der Verwalter Alleinverantwortlicher i. S. v. Art. 4 Nr. 7, Art. 24 DSGVO, Auftragsdatenverarbeiter i. S. v. Art. 4 Nr. 8, Art. 28 DSGVO oder mit der Gemeinschaft der Wohnungseigentümer (kurz GdW) gemeinsamer Verantwortlicher i. S. v. Art. 26 DSGVO ist. Danach entscheidet sich aber, ob und ggf. inwieweit zwischen Verwalter und Gemeinschaft eine datenschutzrechtliche Vereinbarung erforderlich ist. Ausgangspunkt sollten zwei Aspekte sein:

 

Welche Rechtsstellung nimmt der Verwalter nach der Reform 2020 gegenüber der GdW ein?

Die Reform des WEG 2020 näherte die GdW der Vollrechtsfähigkeit an und erweiterte die Befugnisse des Verwalters. Die Parallele zur GmbH und ihrem Geschäftsführer ist nicht fernliegend. Die GdW selbst ist lediglich ein gedanklich existierendes juristisches Konstrukt, das anders als natürliche Personen nur durch ihre Organe handeln kann. Insofern ist es tatsächlich nur schwer vermittelbar, im Rahmen einer Vereinbarung zur gemeinsamen Datenverarbeitung gemäß Art. 26 DSGVO halbwegs ungekünstelt zu regeln, welche Datenverarbeitungsvorgänge die GdW neben dem Verwalter verantwortet. Die GdW handelt und verarbeitet doch gerade durch den Verwalter.

Aber auch nicht ausschließlich. Die GdW verfügt häufig über ein weiteres Organ, den Beirat. Dieser ist auch mit eigenen Befugnissen ausgestattet: so darf er zu Versammlungen einladen (und damit die Daten der Eigentümer verwenden, § 24 Abs. 3 WEG), die Gemeinschaft gegenüber dem Verwalter vertreten (§ 9b Abs. 2 WEG), ihn kontrollieren (§ 29 WEG) usw. Um diese Rechte und Pflichten ausüben zu können, müssen die Beiratsmitglieder zwangsläufig Daten verarbeiten.

Daraus darf gefolgert werden, dass der Verwalter nicht Alleinverantwortlicher sein kann, er wird kaum für den Beirat einstehen wollen. Ähnliches wird für den Vertreter der Gemeinschaft gelten, der (ohne Beirat zu sein) als solcher bestellt ist oder für den Einberufungsberechtigten. Zudem ist anerkannt, dass auch rechtsfähige juristische Personen, wie die GmbH, selbst Verantwortliche sind.

Der Verwalter seinerseits ist aber auch nicht schlicht ein Befehlsempfänger der Gemeinschaft. Er entscheidet durchaus tagtäglich selbst und ohne Weisung, wie er Daten erhebt, speichert, verwendet, indem er mit Vertragspartnern, Behörden, Gerichten u. a. korrespondiert, indem er die Daten in sein System einpflegt, sie wieder verändert oder löscht usw. Man mag einwenden, dass auch der Geschäftsführer einer GmbH seine Gesellschafter nicht fragt, wie er die Daten von Mietern verarbeiten soll, er also auch eigene Entscheidungen trifft. Dennoch gilt er im Verhältnis zur GmbH nicht als Verantwortlicher für den Datenschutz.

Zu Recht wird jedoch darauf hingewiesen, dass der Berufs-Verwalter von Wohneigentumsanlagen i. d. R. für mehrere Gemeinschaften und Eigentümer tätig wird. Er ist deshalb weitaus selbständiger tätig als ein GmbH-Geschäftsführer. Er „verwendet“ eigenes Personal und i. d. R. nicht das der GdW, eigene Hard- und Software etc. Er muss dafür sorgen, dass die Daten der einen Gemeinschaft für die andere Gemeinschaft, die er auch verwaltet, nicht sichtbar sind, das Prinzip der Mandantentrennung. Er verwendet häufig auch für alle von ihm betreuten Gemeinschaften die gleichen Kommunikationsplattformen oder stellt sie sogar zur Verfügung. Es ist deshalb durchaus angezeigt, diesen Besonderheiten Rechnung zu tragen, fraglich ist nur in welchem Umfang.

 

Welche Datenverarbeitungsvorgänge finden bei der WEG-Verwaltung typischerweise statt?

Typischerweise sind das die Personalien und Erreichbarkeiten der Miteigentümer bzw. deren Vertreter (gesetzliche Vertreter, Betreuer, Bevollmächtigte), der Bewohner (wegen § 15 WEG, Durchsetzung der Hausordnung), grundbuchliche Belastungen, Zahlungsvorgänge, Bankdaten, Verbrauchs- und Abrechnungsdaten, Forderungen und Verbindlichkeiten, Erwerbszeitpunkte. Es muss gesichert werden, dass der Verwalter diese Daten nur auf gesetzlicher Grundlage verarbeitet, d. h. erforderliche Einwilligungen einholt, Informationspflichten erfüllt (z. B. Art. 13 DSGVO), Grundsätze der Datensparsamkeit und Datensicherheit gewährleistet, seine Mitarbeiter entsprechend schult, anweist und überwacht, Daten bei Vertragsende löscht usw. Er korrespondiert mit Ablesediensten, Unternehmen zur Erstellung von Kostenabrechnungen, Dritten zur Ausführung von handwerklichen Leistungen, er erteilt Auskunft über personenbezogene Daten zwischen den Eigentümern, gegenüber ermächtigten Kaufinteressenten, aus gesetzlichen Gründen gegenüber Behörden sowie gegenüber Mietern zum Zwecke der Betriebskostenbelegeinsicht usw. Das Wie und Wo und Wann bestimmt er dabei i. d. R. selbst ohne Weisung der GdW oder Betroffener. Dass die GdW als gedankliches Konstrukt für ihre Organe haftet und nicht selbst Informationspflichten erfüllen oder technisch-organisatorische Maßnahmen, sog. TOM, ergreifen kann, versteht sich.

Dementsprechend bietet es sich an, die tatsächlichen praktischen Abläufe bei der Fremdverwaltung zu analysieren und vertraglich zu erfassen und zu regeln.

Über Datenverarbeitungsvorgänge, Rechte und Pflichten, die die ureigene Organisation des Verwalters betreffen, d. h. seine Mitarbeiter, seine Software, sein Verarbeitungsverzeichnis – was er also gegenüber jedem Auftraggeber nutzt, kann er auch nur informieren. So wie dies ein Anwalt gegenüber seinem Mandanten auch handhabt. Dass er die der WEG obliegenden Pflichten erfüllt, soweit dies nicht das Handeln anderer Organe (Beirat) betrifft, ist unumgänglich und deshalb eigentlich nicht regelungsbedürftig. Deshalb kann auch mit guten Argumenten der Ansicht von Greiner (s. u.) gefolgt werden, dass eine Vereinbarung gerade nicht erforderlich ist. Datenschutzrecht ist aber eben – so bedauerlich das auch sein mag – in erster Linie Dokumentationspflicht. Der Verwalter erspart sich einige Diskussionen und Rechtfertigungen gegenüber Auskunft beanspruchenden und evtl. strengere Ansichten vertretenden Datenschutzbehörden, wenn er ein Papier vorweisen kann.

Datenschutzrecht ist aber eben – so bedauerlich das auch sein mag – in erster Linie Dokumentationspflicht. Der Verwalter erspart sich einige Diskussionen und Rechtfertigungen gegenüber Auskunft beanspruchenden und evtl. strengere Ansichten vertretenden Datenschutzbehörden, wenn er ein Papier vorweisen kann. Die Kanzlei stellt dazu ein Muster im Servicebereich der Kanzleiwebseite zur Verfügung. Allerdings muss dieses wie jedes Muster an die konkreten Umstände angepasst und im Hinblick auf die Entwicklung in der Rechtsprechung und bei den Datenschutzbehörden evaluiert werden.

Aktuell kann auf folgende Veröffentlichungen verwiesen werden:

  • Verwalter und GdW sind gemeinsam Verantwortliche: BeckOK DatenschutzR/Spoerr 2024, Art. 28 Rn. 28d aber unter Verweis auf ein Urteil des AG Mannheim v. 9.2019 – 5 C 1733/19 WEG zur alten Rechtslage; ebenso Kühling/Buchner/Hartung 2024, Art. 26 Rn. 51; Dötsch ZWE 2023, 379 mit einem Mustervorschlag
  • Verwalter als Alleinverantwortlicher: Schmidt, ZWE 2023, 56; MHdB WEG-R Gündel 2023 § 95 Rn. 12,14, 18
  • Elzer, Stichwortkommentar Wohnungseigentum 2024, Datenschutz Rn. 115 ff. für eine gemischte Regelung
  • WEG ist alleinverantwortlich: Greiner ZWE 2024, 58, (eine Vereinbarung entbehrlich)

 

  1. Mietverwalter

Mietverwalter werden unproblematisch gemeinsam mit dem Haus- / Wohnungseigentümer als Verantwortliche angesehen (dazu Beckers ZWE 2019, 297), so dass eine Vereinbarung i. S. v. Art. 26 DSGVO erforderlich ist, das allerdings weniger umfangreich als im Falle der WEG-Verwaltung sein kann. Auch dazu steht Mandanten mit Zugang zum Servicebereich ein Muster zur Verfügung.

 

Noreen Walther
Rechtsanwältin