1 Leitsatz
Der Verwalter ist Mitverantwortlicher i. S. d. Art. 26 DSGVO und hat daher mit der Gemeinschaft der Wohnungseigentümer eine Vereinbarung i. S. d. Art. 26 Abs. 1 Satz 2 DSGVO zu schließen.
2 Normenkette
DSGVO Art. 13, 14, 26, 28; WEG § 26
3 Das Problem
Die Wohnungseigentümer beauftragen Verwalter V durch Beschluss, ein datenschutzrechtliches Verarbeitungsverzeichnis i. S. d. Art. 30 DSGVO für die Gemeinschaft der Wohnungseigentümer zu erstellen. Ferner wird der Abschluss eines datenschutzrechtlichen Auftragsverarbeitungsvertrags zwischen der Gemeinschaft der Wohnungseigentümer und V beschlossen. V ist danach u. a. berechtigt, im Namen der Gemeinschaft einen datenschutzrechtlichen Auftragsverarbeitungsvertrag zwischen dieser und Handwerkern, Lieferanten usw. abzuschließen sowie fortlaufend das "Datenschutzmanagement" durchzuführen. Schließlich beauftragen die Wohnungseigentümer V durch Beschluss, ihnen oder Nutzern eines Wohnungseigentums ein Informationsschreiben zur DSGVO zu übersenden. Die Wohnungseigentümer gewähren V hierfür jeweils pauschale Sondervergütungen. Gegen diese Bestimmungen geht Wohnungseigentümer K vor.
4 Die Entscheidung
Die Anfechtungen haben keinen Erfolg! Der Abschluss eines datenschutzrechtlichen Vertrags sei nicht zu beanstanden. Denn V sei Mitverantwortlicher i. S. v. Art. 26 DSGVO und habe daher mit der Gemeinschaft der Wohnungseigentümer eine Vereinbarung i. S. d. Art. 26 Abs. 1 Satz 2 DSGVO schließen müssen. Es sei unschädlich, eine solche Vereinbarung im Rahmen eines "Auftragsverarbeitungsvertrags" auszugestalten. Es sei ferner nicht zu beanstanden, dass die Wohnungseigentümer V ermächtigt haben, im Namen der Gemeinschaft der Wohnungseigentümer einen datenschutzrechtlichen Auftragsverarbeitungsvertrag zwischen dieser und Dritten zu schließen sowie fortlaufend das Datenschutzmanagement durchzuführen. Diese Ermächtigungen seien nach Art. 28 DSGVO sogar zwingend erforderlich. Auch die pauschalen Sondervergütungen seien nicht zu beanstanden. Das BDSG und die DSGVO machten dem Verwalter einen Aufwand, der mit seinem Grundhonorar, wie es im Verwaltervertrag festgelegt sei, nicht abgedeckt sei.
Hinweis
Die DSGVO trat in der gesamten EU zum 25.5.2018 in Kraft (Art. 3 DSGVO). Sie soll dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten dienen (Art. 1 DSGVO). Sie sorgt für viele Neuerungen, aber auch Unklarheiten im Umgang mit persönlichen Daten. Die fehlerhafte Anwendung der DSGVO wird in Art. 82 ff. DSGVO mit Geldbußen und Sanktionen belegt. Wer Verantwortlicher oder lediglich Auftragsverarbeiter im Sinne der DSGVO ist, bestimmt sich nach Art. 4 DSGVO. Danach ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Für die Bestimmung der Verantwortlichkeit ist danach allein maßgeblich, wer die Entscheidungskompetenz innehat, über den Zweck und die Mittel der Verarbeitung personenbezogener Daten zu entscheiden. Dies ist sowohl die Gemeinschaft der Wohnungseigentümer als auch der Verwalter.
Repetitorium: Datenschutz des Verwalters
Der Verwalter erhebt im Rahmen seiner Tätigkeit Daten und verarbeitet diese sodann, z. B. Namen und Anschriften der Eigentümer. Im Rahmen der Verbrauchserfassung und Abrechnung eventuell auch Daten von Mietern und Nutzern von Wohnraum, Daten von Dienstleistern, etwa Handwerkern. Diese Daten gehören nicht zum Geschäftsbetrieb des Verwalters, sondern der Gemeinschaft der Wohnungseigentümer, die diese Unterlagen und damit verbundene Daten entweder selbst verarbeitet (wenn kein Verwalter bestellt ist) oder durch den Verwalter verarbeiten lässt.
An diesem "Pflichtengefüge" hat sich durch das Inkrafttreten der DSGVO nichts geändert. Zwar handelt im Außenverhältnis die Gemeinschaft der Wohnungseigentümer. Die Betroffenen sollen aber gegenüber allen einen Anspruch haben, die für Datenerhebung und Verarbeitung personenbezogener Daten verantwortlich sind, wenn ihr Handeln über das eines Auftragsverarbeiters, also ihr Handeln über eine bloße Hilfsfunktion bei der Erhebung und Verarbeitung personenbezogener Daten, hinausgeht.
Dies ist beim Verwalter der Fall, wenn er im Rahmen der laufenden Verwaltung personenbezogene Daten verwaltet. Zum Schutz der Betroffenen ist daher von einer Mitverantwortlichkeit des Verwalters i. S. d. Art. 26 DSGVO auszugehen. Es ist in der Praxis nicht vorstellbar, dass der Verwalter im Rahmen seiner Pflichten gemäß § 27 WEG sowie den vertraglich festgelegten Pflichten für jede Maßnahme die Weisung der Gemeinschaft der Wohnungseigentümer einholt. Die Leistungen, welche der Verwalter erbringt, gehen also regelmäßig über die bloße Datenverarbeitung im Rahmen einer datenverarbeitenden Hilfsfunktion hinaus. Die Rechtsfolge einer gemeinsamen Verantwortlichkeit ist, dass nach Art. 26 Abs. 1 DSGVO beide Verantwortliche in einer transparenten Vereinbarung festlegen müssen, wer von ihnen in welchem Maß den Pflichtenkreis der D...