Auch der Verwaltungsbeirat ist Verantwortlicher im Sinne der DSGVO

Auch der Verwaltungsbeirat ist Verantwortlicher im Sinne der DSGVO
07.07.2021

Auch der Verwaltungsbeirat ist Verantwortlicher im Sinne der DSGVO

In der Fachliteratur entspricht es einhelliger Auffassung, dass der Verwalter einer Immobilie als Verantwortlicher im Sinne von Art. 4 Ziff. 7 DSGVO anzusehen ist. Dies gilt sowohl für den WEG-Verwalter als auch für den Miet- und Sondereigentumsverwalter. Der Grund dafür liegt im Wesentlichen darin, dass der Verwalter eine Reihe von gesetzlichen und vertraglichen Pflichten zu erfüllen hat, die es auch mit sich bringen, dass der Verwalter eigene Entscheidungen hinsichtlich der Datenverarbeitung trifft.

In der Fachliteratur bislang noch nicht geklärt ist die Stellung des Verwaltungsbeirats nach der DSGVO.

Wann ist man Verantwortlicher nach der DSGVO?

Per gesetzlicher Definition ist Verantwortlicher im Sinne von Art. 4 Ziff. 7 DSGVO derjenige, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Verantwortliche ist also der Entscheidungsträger darüber ob, d.h. zu welchen Zwecken und auf welche Weise die Datenverarbeitung erfolgt. Der Verantwortliche hat über die Fragen der Datenverarbeitung bei der Erfüllung seiner Aufgaben eigene Entscheidungskompetenz.

Welche Funktionen hat der Verwaltungsbeirat nach dem WEG?

Durch die per 01.12.2020 in Kraft getretene Reform des Wohnungseigentumsgesetzes wurden die Kompetenzen des Verwaltungsbeirats erheblich gestärkt. Der Verwaltungsbeirat hat nunmehr nicht mehr nur die Funktion, den Verwalter bei seiner Arbeit zu unterstützen, sondern ihm obliegt nach § 29 Abs. 2 Satz 1 WEG auch dessen Überwachung. Der Beiratsvorsitzende hat ferner die Aufgabe, die Gemeinschaft gegenüber dem Verwalter zu vertreten (§ 9 b Abs. 2 WEG) und in diesem Zusammenhang Ansprüche gegen den Verwalter durchzusetzen. Unter den Voraussetzungen des § 24 Abs. 3 WEG hat der Vorsitzende des Verwaltungsbeirats ferner die Kompetenz anstelle des Verwalters eine Versammlung einzuberufen. Schließlich sollen der Wirtschaftsplan und die Jahresabrechnung vom Beirat geprüft und mit seiner Stellungnahme versehen werden (§ 29 Abs. 2 Satz 2 WEG).

Welche Entscheidungskompetenzen hat der Verwaltungsbeirat bei der Datenverarbeitung?

Bereits seine Funktion bei der Überwachung des Verwalters bringt es mit sich, dass der Beirat mit allen Datenkategorien von Betroffenen in Kontakt kommt, die vom Verwalter verarbeitet werden, so z.B. auch Mieterdaten bei vermieteten Einheiten, Vertragsverletzungen durch Mieter, Eigentümer oder mitnutzende Dritte, Verbrauchsdaten, Zahlungsverhalten von Eigentümern und ggf. sonstigen Schuldnern etc. Die Aufgabe der Überwachung ist per se weisungsfeindlich und setzt außerdem voraus, dass der Beirat selbstständig bei seiner Entscheidungsfindung ist. Der Beirat hat damit zwangsläufig auch die Entscheidungskompetenz über die Art und Weise der Datenverarbeitung.

Zur Ausübung seiner Funktion als Vertreter der Gemeinschaft gegenüber dem Verwalter und bei der Einberufung von Versammlungen müssen außerdem personenbezogene Daten, nämlich jedenfalls die Kontaktdaten der Miteigentümer, aktiv verwendet werden. In dieser Funktion ersetzt der Vorsitzende des Verwaltungsbeirats faktisch die Funktion des Verwalters, womit ihm spiegelbildlich auch die Stellung als Verantwortlicher für die Datenverarbeitung zukommt.

Gleichzeitig scheidet für den Verwaltungsbeirat auf Grund seiner vorgenannten Entscheidungskompetenzen die Stellung als weisungsgebundener Auftragsverarbeiter nach der DSGVO aus. Er kann auf Grund seiner Überwachungsfunktion nicht als Auftragnehmer im Lager des Verwalters, quasi als dessen „verlängerte Werkbank“ dienen. Die gesetzliche Aufgabe als Überwachungsorgan und die Rolle als Weisungsempfänger schließen sich gegenseitig aus.

Aber auch im Verhältnis zur Eigentümergemeinschaft kommt die Stellung als weisungsgebundener Auftragnehmer grundsätzlich nicht in Betracht. Die Funktionen als Überwachungsinstanz setzt ein solches Maß an Selbstständigkeit voraus, dass von einer datenverarbeitenden Hilfsfunktion auch im Verhältnis zur Gemeinschaft nicht die Rede sei kann. Außerdem ergeben sich die vom Beirat zu erfüllenden Aufgaben direkt aus dem Gesetz, woraus eine eigene Verantwortlichkeit zur Verarbeitung der insoweit erforderlichen Daten resultiert (vgl. Bayerisches Landesamt für Datenaufsicht in einer Stellungnahme zum Aktenzeichen LÖDA-1085.2-1213/18-D zu der Stellung des WEG-Verwalters als Verantwortlicher nach der DSGVO).

Fazit: Der Verwaltungsbeirat ist Verantwortlicher im Sinne der DSGVO.

Findet die DSGVO auf Beiratsmitglieder überhaupt Anwendung?

In der Fachliteratur wird vertreten, dass der sachliche Anwendungsbereich der DSGVO für die Tätigkeit als Verwaltungsbeirat möglicherweise nicht eröffnet ist (s. Blasek, ZWE 2020, 451ff.). Dabei wird angenommen, dass es sich bei der Tätigkeit als Beirat um eine rein persönliche Tätigkeit handelt, die der privaten Vermögensverwaltung dient. Nach Art. 2 Absatz 2 lit. c) DSGVO findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Richtig ist, dass die Kommentarliteratur die Verwaltung privaten Vermögens grundsätzlich dem persönlichen Bereich im Sinne von Art. 2 DSGVO zuordnet, soweit sie nicht nach Form und Umfang einer geschäftlichen Tätigkeit gleicht (vgl. nur Paal/Pauly/Ernst DS-GVO Art. 2 Rn. 19).

Diese Zuordnung der privaten Vermögensverwaltung in der Kommentarliteratur wird aus dem Erwägungsgrund 18 der DSGVO einerseits und andererseits offensichtlich in Anlehnung an die allgemeinen Rechtsprechung zur Verbrauchereigenschaft hergeleitet. Nach ErwG18 findet die DSGVO keine Anwendung bei persönlichen Betätigungen, die ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen werden; die Rechtsprechung zum Verbraucherschutz spricht Verbrauchereigenschaft demjenigen zu, der nicht überwiegend zu seiner gewerblichen oder selbstständigen beruflichen Tätigkeit handelt.

Die DSGVO knüpft bei der Einordnung der Stellung als Verantwortlicher jedoch nicht an die Verbrauchereigenschaft der datenverarbeitenden Person-, sondern an seine Entscheidungsmacht über die Art und Weise der Datenverarbeitung an. Wollte man alle Personen, die (nur) im Rahmen der Verwaltung ihres privaten Vermögens Daten verarbeiten dem Anwendungsbereich der DSGVO entziehen, dann würde das zu dem Ergebnis führen, dass das Bestehen von Betroffenenrechten (z.B. der Auskunftsanspruch nach Art. 15 DSGVO) letztendlich davon abhängig wäre, ob z.B. ein privater Vermieter dem Umfang nach gewerblich handelt oder Verbraucherstatus hat. Dies entspricht nicht der Zielsetzung der DSGVO. Allein der Umstand, dass eine Tätigkeit der privaten Vermögensverwaltung dient kann damit grundsätzlich nicht als Abgrenzungskriterium für die „Haushaltsausnahme“ nach Art. 2 Absatz 2 lit. c) DSGVO herangezogen werden.

Die Wahrnehmung der Pflichten als Verwaltungsbeirat dient unabhängig davon aber auch nicht den ausschließlich persönlichen Zwecken des Beirats, sondern den Zwecken der Eigentümergemeinschaft und damit den Zwecken des Verbandes, dem die Tätigkeit gewidmet ist. Damit gleicht die Funktion des Beirats eher der einer ehrenamtlichen Tätigkeit für eine die Tätigkeit vergebende Stelle. Eine solche ehrenamtliche Tätigkeit dient jedoch unstreitig nicht persönlichen Zwecken im Sinne von Art. 2 DSGVO (vgl. z.B. Gola, Gola DSGVO, Art. 2 Rn 20).

Fazit: Die DSGVO findet auf die Tätigkeit als Verwaltungsbeirat Anwendung.

Welche Pflichten ergeben sich für den Beirat aus der DSGVO?

Die Eigenschaft als Verantwortlicher im Sinne der DSGVO bringt es mit sich, dass vom Beirat für alle Prozesse der Datenverarbeitung Verfahrensverzeichnisse nach Art. 30 Absatz 1 DSGVO zu führen sind.

Als Verantwortlicher ist der Verwaltungsbeirat außerdem Adressat für die Betroffenenrechte nach den Artt. 12 bis 22 DSGVO. So hat der Beirat insbesondere bei der Erhebung von Daten, z.B. zum Zweck der Korrespondenz mit Miteigentümern, Beschäftigten der WEG oder betroffenen Dritten, die Informationspflichten nach den Artt. 13 und 14 DSGVO zu erfüllen. Ferner sind vom Verwaltungsbeirat etwaige Auskunftsersuchen nach Art. 15 DSGVO fristgerecht zu beantworten.

Rechtsgrundlage für die Verarbeitungstätigkeiten des Verwaltungsbeirats ist das berechtigte Interesse des Beirats sowie der Eigentümergemeinschaft an der Erfüllung der gesetzlichen Aufgaben des Beirats (Art. 6 Abs. 1 lit. f) DSGVO). Der Verwaltungsbeirat muss sich beim Umgang mit Daten also stets auf die Verarbeitungsprozesse beschränken, die den Zweck haben, seine gesetzlichen Aufgaben zu erfüllen, ansonsten wären Verarbeitungstätigkeiten rechtswidrig.

Ihr obliegt im Falle von Datenschutzverletzungen, die aus seinem Verantwortungsbereich herrühren (z.B. beim Verlust von USB-Sticks mit personenbezogenen Daten) auch die Meldung von etwaigen Datenschutzverletzungen gegenüber der Aufsichtsbehörde und dem Betroffenen nach den Artt. 33 und 34 DSGVO.

Insgesamt gelten für den Beirat alle Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO, d.h. insbesondere der Grundsatz, die verarbeiteten Daten auf das für die Verarbeitung notwendige Maß zu beschränken (Datenminimierung) und der Grundsatz, die Einhaltung der DSGVO jederzeit nachweisen zu können (Rechenschaftspflicht).

Fazit: Mitgliedern des Verwaltungsbeirats obliegen sämtliche Pflichten nach der DSGVO.

Wie haftet der Verwaltungsbeirat?

Grundsätzlich haften Beiratsmitglieder nach dem WEG gegenüber den Wohnungseigentümern dann, wenn durch ein schuldhaftes Handeln (oder Unterlassen) ein kausaler Schaden bei der WEG eintritt. Die Haftung beschränkt sich auf die Höhe des eingetretenen Schadens und setzt ein schuldhaftes Verhalten voraus, d.h. Vorsatz oder Fahrlässigkeit. Für den Fall, dass die Beiratsmitglieder ihr Amt unentgeltlich ausüben, ist die Haftung von Beiratsmitglieder nunmehr nach § 29 Abs. 3 WEG auf Vorsatz und grobe Fahrlässigkeit beschränkt; die Beiratsmitglieder haften also nicht mehr für einfache Fahrlässigkeit.

Durch die Stellung als Verantwortlicher nach der DSGVO ergibt sich neben dieser Haftung nach den allgemein zivilrechtlichen Grundsätzen eine zweite Haftungsebene, nämlich die Haftung nach der DSGVO für Datenschutzverstöße: Nach Art. 82 DSGVO haftet der Beirat bei Verstößen gegen die DSGVO gegenüber dem Betroffenen auf sämtliche materielle und immaterielle Schäden, die durch den Verstoß entstanden sind. Neben der Haftung auf Schadenersatz drohen dem Beirat ferner Geldbußen nach Art. 83 DSGVO. Die Geldbußen können je nach Art und Schwere der Pflichtverletzung und unabhängig davon verhängt werden, ob ein Schaden eingetreten ist.

Fazit: Den Verwaltungsbeirat trifft neben der zivilrechtlichen Haftung die Haftung nach der DSGVO.

Was ist zu tun?

Wenn Sie Beiratsmitglied sind, dann achten Sie in erster Linie darauf, dass Sie personenbezogene Daten, mit denen Sie in Kontakt kommen, so wenig wie möglich auf eigenen Speichermedien oder als eigene Dateisysteme (hierunter fallen z.B. auch Karteikästen o.ä.) verarbeiten, sondern lassen Sie personenbezogene Daten so weit wie möglich in den Räumen der Verwaltung. Machen Sie sich Gedanken über alle Verarbeitungsprozesse, die Ihrer Verantwortlichkeit unterliegen und erstellen Sie – auch als Leitfaden bzw. Organisationshilfe Ihrer Arbeit mit personenbezogenen Daten – Verfahrensverzeichnisse nach Art. 30 Absatz 1 DSGVO.

Beiratsmitglieder sollten auch avisieren, dass eine Vermögenschadenhaftpflichtversicherung abgeschlossen wird, die sich auch auf die Haftung nach der DSGVO erstreckt. Es entspricht grundsätzlicher ordnungsmäßiger Verwaltung, eine Vermögensschadenshaftpflichtversicherung für die Beiratsmitglieder abzuschließen. Bei entsprechender Beschlussfassung muss die Gemeinschaft die Kosten hierfür tragen.

Autor: GROSS Rechtsanwaltsgesellschaft mbH

Bildnachweis: Pixabay


Services

Aktuelle Beiträge