Problemüberblick
Die Umsetzung der Datenschutzgrundverordnung (DSGVO) im Jahr 2018 hat den Verwaltungen viel Arbeit gemacht. Gerichtliche Entscheidungen, die sich mit dem Verwalter und dem Datenschutz beschäftigen, sind seitdem allerdings äußerst selten geblieben. Umso dankbarer muss man sein, wenn es eine Entscheidung gibt und diese im Kern das Tun der Verwaltungen bestätigt. Konkret geht es um die Frage, ob und ggf. welche Informationen die Verwaltung den Wohnungseigentümern im Zusammenhang mit einem Legionellenbefall mitteilen darf.
Legionellen: Grundsätze
Bei Legionellen handelt es sich um Bakterien. Bei Wassertemperaturen von 30 °C bis 45 °C vermehren sie sich bis zu einer für den Menschen gesundheitsgefährdenden Konzentration. Zu einer Infektion kommt es durch Einatmen von zerstäubtem, legionellenhaltigem Wasser oder durch Eindringen von erregerhaltigem Trinkwasser in die Luftröhre oder Lunge.
Legionellen: Maßnahmen bei hohen Legionellenbefall
Wird ein hoher Legionellenbefall festgestellt, bieten sich u. a. die folgenden Maßnahmen an:
- Information des zuständigen Gesundheitsamts (§ 16 Abs. 1 TrinkwV);
- unverzügliche Untersuchungen zur Aufklärung der Ursache und Sofortmaßnahmen zur Abhilfe (§ 16 Abs. 1 TrinkwV);
- Information der Verbraucher;
- ggf. Erstellung einer Gefährdungsanalyse (§ 16 Abs. 7 TrinkwV);
- Leitungsspülung und Desinfektion.
DSGVO: Grundsätze
Jeder Wohnungseigentümer hat nach der DSGVO und dem Bundesdatenschutzgesetz (BDSG) einen Anspruch auf Schutz seiner personenbezogenen Daten. Seine Daten müssen u. a.:
- auf rechtmäßige Weise, nach Treu und Glauben und in einer für ihn nachvollziehbaren Weise verarbeitet werden;
- für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden;
- dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein;
- in einer Form gespeichert werden, welche die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; in einer Weise verarbeitet werden, die durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
DSGVO: Verantwortlichkeit für Datenschutz
In einer Wohnungseigentumsanlage ist nach Art. 4 Nr. 7 DSGVO die Gemeinschaft der Wohnungseigentümer für den Datenschutz verantwortlich. Denn sie allein entscheidet durch ihre Organe – den Verwalter, die Wohnungseigentümer und/oder den Verwaltungsbeirat – über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Wohnungseigentümer. Der Verwalter kann auch nicht als Auftragsverarbeiter i. S. v. Art. 28 DSGVO oder i. S. v. Art. 26 Abs. 1 DSGVO als gemeinsamer Verantwortlicher angesehen werden (das ist streitig). Es ist allein an der Gemeinschaft der Wohnungseigentümer, die Zwecke der und die Mittel zur Verarbeitung festzulegen. Der Verwalter handelt auch nicht in ihrem Auftrag. Folgen dieses Denkens sind:
- Einer Vereinbarung nach Art. 26 Abs. 1 Satz 2 DSGVO, welche Verpflichtung die Gemeinschaft der Wohnungseigentümer oder der Verwalter gemäß der DSGVO erfüllt, bedarf es nicht mehr (das ist streitig).
- Der Verwalter kann für die Einhaltung des Datenschutzes keine Sondervergütung verlangen. Anders ist es nur, wenn es gelänge, transparent zu beschreiben, worin sich diese Leistung von den "Grundleistungen" unterscheidet. Das ist kaum vorstellbar.
- Die Gemeinschaft der Wohnungseigentümer kann sich weiterhin vertraglich an einen externen Datenschützer binden.
DSGVO: Verarbeitung von Daten
Der klagende Wohnungseigentümer rügte die Weitergabe seines Namens, der Nummer seiner Wohnung und eines Prüfungsergebnisses. Für alle diese Daten fragt sich, ob der Verwalter sie als Organ der Gemeinschaft der Wohnungseigentümer Dritten (im Fall: den anderen Wohnungseigentümern) weitergeben/mitteilen darf.
Die Erhebung, Erfassung, Organisation und Speicherung der Daten eines Wohnungseigentümers ist jeweils eine "Verarbeitung" seiner Daten. Die Gemeinschaft der Wohnungseigentümer ist zu dieser Verarbeitung befugt, wenn mindestens eine der in Art. 6 Abs. 1 Unterabsatz 1 DSGVO genannten Bedingungen erfüllt ist:
- Art. 6 Abs. 1 Unterabsatz 1 Buchstabe a) DSGVO (Einwilligung). Dies ist bei der Erfassung des Namens und der Adresse eines Wohnungseigentümers bzw. seiner Kontodaten nach Art. 6 Abs. 1 Unterabsatz 1 Buchstabe a) DSGVO der Fall. Denn der Wohnungseigentümer hat wenigstens mittelbar seine Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für die Zwecke der Gemeinschaft der Wohnungseigentümer gegeben. Bei der E-Mail-Adresse hängt es von den Vereinbarungen und Beschlüssen der Wohnungseigentümer ab. In der Regel dürfte die Gemeinschaft der Wohnungseigentümer...