In unserer Reihe „Behind the Scenes“ berichten wir gelegentlich aus unserem praktischen Kanzleialltag – Wissenswertes, Kurioses und Nützliches.
Kürzlich hatten wir die Frage zu klären, wer eigentlich bei der Immobilienverwaltung einer Wohnungseigentümergemeinschaft (WEG) für die anfallenden personenbezogenen Daten datenschutzrechtlich verantwortlich ist – die WEG oder der Immobilienverwalter?
Was ist Immobilienverwaltung?
Eigentlich ist die Verwaltung des gemeinschaftlichen Eigentums die Aufgabe der Wohnungseigentümer. Weil die Verwaltung aber kompliziert sein kann, bestellen die Wohnungseigentümer häufig einen Verwalter. Der Verwalter ist gegenüber den Wohnungseigentümern unter anderem dazu verpflichtet, erforderliche Maßnahmen für die Instandhaltung und Instandsetzung des Gemeinschaftseigentums zu treffen. Eine genaue Auflistung der Aufgaben und Befugnisse eines Verwalters findet sich im Gesetz.
Die Eigentümergemeinschaft schließt mit dem Verwalter einen Vertrag über die Hausverwaltung ab. Dabei werden auch personenbezogene Daten verarbeitet – etwa von Wohnungseigentümern, Mietern oder Handwerkern. Dienstleister, die Leistungen gegenüber der WEG erbringen stellen sich dann häufig die Frage, mit wem sie einen Auftragsverarbeitungsvertrag schließen müssen. Das hängt natürlich davon ab, wer Verantwortlicher für die Datenverarbeitung ist.
Wer ist Verantwortlicher bei der Immobilienverwaltung?
Es haben sich noch nicht viele Datenschutzaufsichtsbehörden zu dieser Frage geäußert. Die sich äußernden Behörden vertreten die Auffassung, dass der Verwalter einer WEG Verantwortlicher für die Datenverarbeitung ist. Hintergrund dessen ist, dass der Verwalter die WEG eigenständig und ohne Weisungsabhängigkeit von den Wohnungseigentümern verwalten kann.
Das Amtsgericht Mannheim (Urteil vom 11.09.2019 – 5 C 1733/19 WEG) ist sogar der Ansicht, WEG und Verwalter seien gemeinsam Verantwortliche.
Was bedeutet das für die Praxis?
Folgt man der Ansicht des AG Mannheim, müsste der Verwalter mit der WEG einen Vertrag über die gemeinsame Verantwortlichkeit für die Datenverarbeitung schließen. Ob sich diese Auffassung durchsetzen wird, lässt sich zum aktuellen Zeitpunkt nicht beurteilen.
In beiden Fällen muss der Verwalter jedenfalls die Vorgaben der DSGVO und des BDSG beachten. Das beinhaltet u.a. folgende Pflichten:
-
- Bestellung eines Datenschutzbeauftragten
- Information betroffener Personen über die Datenverarbeitung
- Umsetzung der von betroffenen Personen geltend gemachten Rechte (also z.B. Auskunft erteilen, Daten berichtigen oder löschen etc)
- Verzeichnis von Verarbeitungstätigkeiten erstellen
- Datenschutzverletzungen melden
Dienstleister, die von dem Verwalter mit Leistungen beauftragt werden und dabei personenbezogene Daten verarbeiten, müssen mit dem Verwalter als Verantwortlichen einen Auftragsverarbeitungsvertrag schließen.
Sie haben Fragen zum Datenschutz? Kontaktieren Sie uns.