Die Anfechtungen haben keinen Erfolg! Der Abschluss eines datenschutzrechtlichen Vertrags sei nicht zu beanstanden. Denn V sei Mitverantwortlicher i. S. v. Art. 26 DSGVO und habe daher mit der Gemeinschaft der Wohnungseigentümer eine Vereinbarung i. S. d. Art. 26 Abs. 1 Satz 2 DSGVO schließen müssen. Es sei unschädlich, eine solche Vereinbarung im Rahmen eines "Auftragsverarbeitungsvertrags" auszugestalten. Es sei ferner nicht zu beanstanden, dass die Wohnungseigentümer V ermächtigt haben, im Namen der Gemeinschaft der Wohnungseigentümer einen datenschutzrechtlichen Auftragsverarbeitungsvertrag zwischen dieser und Dritten zu schließen sowie fortlaufend das Datenschutzmanagement durchzuführen. Diese Ermächtigungen seien nach Art. 28 DSGVO sogar zwingend erforderlich. Auch die pauschalen Sondervergütungen seien nicht zu beanstanden. Das BDSG und die DSGVO machten dem Verwalter einen Aufwand, der mit seinem Grundhonorar, wie es im Verwaltervertrag festgelegt sei, nicht abgedeckt sei.
Hinweis
Die DSGVO trat in der gesamten EU zum 25.5.2018 in Kraft (Art. 3 DSGVO). Sie soll dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten dienen (Art. 1 DSGVO). Sie sorgt für viele Neuerungen, aber auch Unklarheiten im Umgang mit persönlichen Daten. Die fehlerhafte Anwendung der DSGVO wird in Art. 82 ff. DSGVO mit Geldbußen und Sanktionen belegt. Wer Verantwortlicher oder lediglich Auftragsverarbeiter im Sinne der DSGVO ist, bestimmt sich nach Art. 4 DSGVO. Danach ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Für die Bestimmung der Verantwortlichkeit ist danach allein maßgeblich, wer die Entscheidungskompetenz innehat, über den Zweck und die Mittel der Verarbeitung personenbezogener Daten zu entscheiden. Dies ist sowohl die Gemeinschaft der Wohnungseigentümer als auch der Verwalter.
Repetitorium: Datenschutz des Verwalters
Der Verwalter erhebt im Rahmen seiner Tätigkeit Daten und verarbeitet diese sodann, z. B. Namen und Anschriften der Eigentümer. Im Rahmen der Verbrauchserfassung und Abrechnung eventuell auch Daten von Mietern und Nutzern von Wohnraum, Daten von Dienstleistern, etwa Handwerkern. Diese Daten gehören nicht zum Geschäftsbetrieb des Verwalters, sondern der Gemeinschaft der Wohnungseigentümer, die diese Unterlagen und damit verbundene Daten entweder selbst verarbeitet (wenn kein Verwalter bestellt ist) oder durch den Verwalter verarbeiten lässt.
An diesem "Pflichtengefüge" hat sich durch das Inkrafttreten der DSGVO nichts geändert. Zwar handelt im Außenverhältnis die Gemeinschaft der Wohnungseigentümer. Die Betroffenen sollen aber gegenüber allen einen Anspruch haben, die für Datenerhebung und Verarbeitung personenbezogener Daten verantwortlich sind, wenn ihr Handeln über das eines Auftragsverarbeiters, also ihr Handeln über eine bloße Hilfsfunktion bei der Erhebung und Verarbeitung personenbezogener Daten, hinausgeht.
Dies ist beim Verwalter der Fall, wenn er im Rahmen der laufenden Verwaltung personenbezogene Daten verwaltet. Zum Schutz der Betroffenen ist daher von einer Mitverantwortlichkeit des Verwalters i. S. d. Art. 26 DSGVO auszugehen. Es ist in der Praxis nicht vorstellbar, dass der Verwalter im Rahmen seiner Pflichten gemäß § 27 WEG sowie den vertraglich festgelegten Pflichten für jede Maßnahme die Weisung der Gemeinschaft der Wohnungseigentümer einholt. Die Leistungen, welche der Verwalter erbringt, gehen also regelmäßig über die bloße Datenverarbeitung im Rahmen einer datenverarbeitenden Hilfsfunktion hinaus. Die Rechtsfolge einer gemeinsamen Verantwortlichkeit ist, dass nach Art. 26 Abs. 1 DSGVO beide Verantwortliche in einer transparenten Vereinbarung festlegen müssen, wer von ihnen in welchem Maß den Pflichtenkreis der DSGVO zum Schutz der Betroffenen abdeckt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Art. 13 und 14 DSGVO nachkommt.
Art. 26 Abs. 1 DSGVO verlangt, dass die gemeinsam Verantwortlichen eine Vereinbarung hinsichtlich ihrer gemeinsamen Verarbeitung treffen. Dabei ist keine bestimmte Form vorgeschrieben. Es muss aber entsprechend Art. 5 Abs. 2 DSGVO der Nachweis in Bezug auf das Vorliegen einer Vereinbarung sowie der vereinbarten Inhalte geführt werden können. Der notwendige Mindestinhalt einer Vereinbarung richtet sich nach Art. 26 Abs. 1 Satz 2 DSGVO. Dieser verlangt die Festlegung, welcher Verantwortliche welche Verpflichtungen der DSGVO erfüllt. Dies gilt insbesondere hinsichtlich der aus Art. 11 bis 22 DSGVO resultierenden Betroffenenrechte. Eine solche Vereinbarung kann auch im Rahmen eines "Auftragsverarbeitungsvertrags", der darüber hinaus auch die Anfordernisse des Art. 28 DSGVO erfüllt, ausgestaltet werden. Es kommt insoweit nicht darauf an, ob der Verwalter sich hierbei als "Auftragsverarbeiter" im Verhältnis...