Die Rollenverteilung nach der DSGVO
Welche Rollen gibt es in der DSGVO?
Die DSGVO definiert verschiedene Beteiligte bei der Verarbeitung von personenbezogenen Daten.
Verantwortlicher ist gemäß Art. 4 Ziffer 7 DSGVO stets derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet.
Gemeinsam Verantwortliche (sog. Joint Controller) sind zwei oder mehr Verantwortliche, die gemeinsam die Zwecke der und die Mittel zur Datenverarbeitung festlegen (Art. 26 Abs. 1 Satz 1 DSGVO).
Auftragsverarbeiter ist nach Art. 4 Ziffer 8 DSGVO derjenige, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Dritter im Sinne der DSGVO ist, wer personenbezogene Daten verarbeitet, ohne Verantwortlicher oder Auftragsverarbeiter zu sein (Art. 4 Ziffer 10 DSGVO).
Daneben gibt es die betroffene Person selbst, d.h. denjenigen, auf den sich die personenbezogenen Daten beziehen, die von den anderen Beteiligten verarbeitet werden (Art. 4 Ziffer 1 DSGVO).
Und es gibt den Empfänger demgegenüber personenbezogene Daten offengelegt werden; die Rolle als Empfänger kann ggf. identisch mit der Rolle des Dritten sein (Art. 4 Ziffer 9 DSGVO).
Welche Rollen haben die Beteiligten in der Immobilienwirtschaft?
Der beauftragte Verwalter einer Immobilie ist nach einhelliger Auffassung stets Verantwortlicher für die Datenverarbeitung im Sinne der DSGVO. Dabei spielt es keine Rolle, ob es sich um den WEG-Verwalter oder um die Funktion als Miet-/Sondereigentumsverwalter handelt.
Der Grund für die Einordnung als Verantwortlicher besteht im Wesentlichen darin, dass der Verwalter eine Reihe von gesetzlichen und vertraglichen Aufgaben und Befugnisse hat, die es mit sich bringen, dass er eigene Entscheidungen bei der Verarbeitung der personenbezogenen Daten trifft, mit denen er anlässlich seines Verwaltungsauftrags in Kontakt kommt.
Der Verwalter entscheidet insoweit z.B. in aller Regel beim Vermietungsprozess, welche Daten zu welchem Zeitpunkt von Mietinteressenten erhoben und an den Vermieter oder ggf. an sonstige Empfänger übermittelt werden; der Verwalter bestimmt ferner wann und auf welche Weise Daten wieder gelöscht werden; der WEG-Verwalter trifft die Entscheidung, auf welche Weise die Eigentümerdaten von ihm verarbeitet werden (z.B. Speicherung im digitalen Format oder manuelles Dateisystem) und an welche Empfänger die Daten ggf. zu welchem Zweck und auf welche Weise bereitgestellt werden.
Dem Verwalter obliegt damit grundsätzlich die Entscheidung über die Zwecke und Mittel der Datenverarbeitung im Sinne von Art. 4 Ziffer 7 DSGVO.
Der Vermieter hat ebenfalls die Stellung eines Verantwortlichen nach der DSGVO. Der Vermieter verarbeitet personenbezogene Daten zu eigenen Zwecken, nämlich zur Vermögensverwaltung. Hierbei hat er grundsätzlich die eigene (nicht notwendigerweise auch die alleinige, s.u.) Entscheidungskompetenz über die Mittel der Datenverarbeitung.
Gleichfalls Verantwortliche im Sinne der DSGVO ist auch die Wohnungseigentümergemeinschaft. Die Gemeinschaft ist Träger von eigenen Rechten und Pflichten nach dem WEG, anlässlich derer sie auch über den Zweck und die Mittel der Verarbeitung personenbezogener Daten zu entscheiden hat. Sämtliche Unterlagen und damit verbundene Daten gehören nicht dem Verwalter, sondern der Eigentümergemeinschaft, die diese Daten, wenn sie keinen Verwalter bestellt, selbst verarbeiten würde (so AG Mannheim, NJW-RR 2020, 138).
Verwalter und Wohnungseigentümergemeinschaft sind nach AG Mannheim, aaO. nicht nur eigene, sondern auch gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO, weil die Wohnungseigentümergemeinschaft mit der Bestellung des Verwalters gleichzeitig über Zweck und Mittel – anders ausgedrückt: über das „Warum“ und „Wie“ der Verarbeitung der Daten des Verbands entscheidet.
Je nach der Ausgestaltung der Zusammenarbeit können auch Verwalter von Miet- oder Sondereigentum und Vermieter gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO sein. Jedenfalls dann, wenn in einem oder in mehreren Bereichen der Zusammenarbeit gemeinsame Entscheidungen über die Verarbeitung von personenbezogenen Daten getroffen werden, liegt gemeinsame Verantwortlichkeit vor. Ein solcher Fall kann z.B. dann gegeben sein, wenn zwischen Vermieter und Verwalter gemeinsam Entscheidungen über Art und Umfang der zum Zweck der Neuvermietung zu erhebenden Daten- oder über die Einrichtung von Unterlizenzen für die Benutzung der Verwaltersoftware getroffen werden.
Noch ungeklärt ist die Rolle des Verwaltungsbeirats nach der DSGVO. Nach Blasek, ZWE 2020, 451 ff. soll der sachliche Anwendungsbereich der DSGVO für den Verwaltungsbeirat nach Art. 2 Absatz 2 lit. c) DSGVO möglicherweise nicht eröffnet sein, weil es sich bei der Wahrnehmung der Aufgaben als Beirat um die ausschließlich persönliche Tätigkeit einer natürlichen Person handelt. Zur „persönlichen Tätigkeit“ zählt nach einhelliger Kommentarliteratur (z.B. Paal/Pauly/Ernst DS-GVO Art. 2 Rn 19) auch die Verwaltung des privaten Vermögens.
Diese Argumentation ist zweifelhaft: Zum einen dient die Tätigkeit des Verwaltungsbeirats nicht dessen persönlichen Zwecken, sondern den Zwecken des Verbandes der Eigentümer, womit sich die Frage stellt, ob es damit nicht bereits an einer natürlichen Person im Sinne der Norm fehlt.
Weiter ist aber auch fraglich, ob von einer „persönlichen Tätigkeit“ die Rede sein kann. Wollte man alle Personen, die (nur) im Rahmen der Verwaltung ihres privaten Vermögens Daten verarbeiten, dem Anwendungsbereich der DSGVO entziehen, dann würde das zu dem Ergebnis führen, dass das Bestehen von Betroffenenrechten letztendlich davon abhängig wäre, ob eine Vermögensverwaltung ihrem Umfang nach dem privaten Bereich zugehörig ist oder Bezug zu einer gewerblichen Tätigkeit hat. Für den Bereich der Vermietung würde das bedeuten, dass Mieter einer gewerblich vermietenden Gesellschaft Betroffenenrechte wie z.B. den Auskunftsanspruch nach Art. 15 DSGVO geltend machen könnten, wohingegen Mieter einer Eigentumswohnung, die durch eine natürliche Person vermietete wird, Betroffenenrechte nicht hätten, wenn es sich bei den Erträgen aus der Eigentumswohnung lediglich um einen Nebenerwerb des vermietenden Eigentümers handelt. Dieses Ergebnis entspräche nicht der Zielsetzung der DSGVO.
Welche Rollen spielen Dienstleister im Immobiliensektor?
Insbesondere Hausverwaltungen, aber auch private Vermieter arbeiten in aller Regel mit externen Dienstleistern zusammen, z.B. Ablese- und Abrechnungsdienste, Handwerker, Reinigungsdienstleister, Waschschutz, Pförtnerdienste etc.
Im Verhältnis zum Auftraggeber, d.h. im Verhältnis zum Verwalter oder Vermieter ist dabei stets die Frage zu klären, ob der jeweilige Dienstleister Auftragsverarbeiter im Sinne von Art. 28 DSGVO ist oder ob lediglich eine Nebenleistung ohne Auftragsverarbeitung vorliegt, der Dienstleister also Dritter im Sinne der DSGVO ist.
Die Beantwortung der Frage, hängt im Wesentlichen davon ab, welchen Zweck die Datenverarbeitung bei der erbrachten Dienstleistung hat. Jedenfalls dann, wenn die Datenverarbeitung selbst Gegenstand der Dienstleistung, d.h. deren finaler Zweck ist, dann handelt es sich um Auftragsverarbeitung. Ein solche Auftragsverarbeitung liegt z.B. bei der Beauftragung von Ablese- und Abrechnungsunternehmen vor. Diese Unternehmen erfassen auftragsgemäß Daten und erbringen anhand dieser Daten die von ihnen geschuldete Dienstleistung (= Erstellung der Nebenkostenabrechnung).
Nicht um Auftragsverarbeiter handelt es sich demgegenüber bei Handwerkern, Reinigungsdienstleistern, Wachschutz und Co. Auch wenn von diesen Unternehmen Daten verarbeitet werden, z.B. weil ihnen Name und/oder Kontaktdaten von Mietern übermittelt oder bereitgestellt werden, dann ist die Datenverarbeitung nicht der finale Zweck der Dienstleistung, sondern nur notwendiges Beiwerk anlässlich der Erbringung der eigentlich geschuldeten Leistung (Instandsetzung, Reinigung oder Überwachung der Mietsache).
Eine gewisse Sonderrolle unter den Auftragsverarbeitern spielen IT-Unternehmen, z.B. solche, die das Hosting von Softwarelösungen für Verwaltungsaufgaben anbieten. Immer dann, wenn der Dienstleister mit den personenbezogenen Daten in Kontakt kommt, die mit Hilfe der Software verarbeitet werden, oder wenn er mit solchen Daten in Kontakt kommen könnte, dann liegt ein Fall der Auftragsverarbeitung vor. Service- oder Wartungsaufgaben des IT-Unternehmens mit Datenkontakt dürfen dann nur nach (dokumentierter) Weisung des Auftraggebers und auf der Grundlage eines Auftragsverarbeitungsvertrages erfolgen, der alle Anforderungen von Art. 28 DSGVO erfüllt.
Welche Pflichten ergeben sich für die Beteiligten nach der DSGVO?
Die Rolle als Verantwortlicher im Sinne der DSGVO bringt es mit sich, dass für alle Prozesse der Datenverarbeitung Verfahrensverzeichnisse nach Art. 30 Absatz 1 DSGVO zu führen sind.
Verantwortliche sind außerdem Adressat für die Betroffenenrechte nach den Artt. 12 bis 22 DSGVO und Sie haben die Informationspflichten nach den Artt. 13 und 14 DSGVO zu erfüllen.
Einem Verantwortlichen obliegt ferner die Meldung von etwaigen Datenschutzverletzungen gegenüber der Aufsichtsbehörde und dem Betroffenen nach den Artt. 33 und 34 DSGVO.
Den Verantwortlichen trifft außerdem die Rechenschaftspflicht nach Art. 5 Absatz 2 DSGVO, welche besagt, dass er die Einhaltung der Vorschriften der DSGVO jederzeit nachweisen können muss.
Für Auftragsverarbeiter besteht ebenfalls die Pflicht Verfahrensverzeichnisse zu führen. Die Inhalte dieser Verzeichnisse sind andere als beim Verantwortlichen und richten sich nach Art. 30 Absatz 2 DSGVO.
Der Auftragsverarbeiter muss außerdem die Vorgaben von Art. 28 DSGVO einhalten und insofern z. B. sicherstellen, dass er bei der Beauftragung von Subauftragnehmern die Pflichten aus dem Auftragsverarbeitungsvertrag an den Subauftragnehmer weitergibt.
Gemeinsam Verantwortliche müssen in transparenter Form festlegen, wer von ihnen welche Verpflichtung nach der DSGVO erfüllt, insbesondere, wer die Betroffenenrechte- und die Informationspflichten wahrnimmt (Art. 26 Absatz 1 Satz 2 DSGVO). Der wesentliche Inhalt einer solchen Vereinbarung ist der betroffenen Person zur Verfügung zu stellen (Art. 26 Absatz 2 Satz 3 DSGVO).
Was ist zu tun?
Machen Sie für Ihre Rolle als Verantwortlicher und als Auftragsverarbeiter eine Bestandsaufnahme, bei der Sie prüfen, ob Sie für alle Prozesse der Datenverarbeitung (aktuelle) Verfahrensverzeichnisse haben und, ob die dortigen Vorgaben umgesetzt werden.
Als Verantwortlicher prüfen Sie außerdem, ob Sie Verfahren etabliert haben, um den Betroffenenrechten nachzukommen, um mit Datenpannen umzugehen und um Ihre Entscheidungen zum Umgang mit personenbezogenen Daten zu dokumentieren (Rechenschaftspflicht).
Prüfen Sie schließlich, in welchem datenschutzrechtlichen Verhältnis Sie zu Vertragspartnern und Dienstleistern stehen und schließen Sie – soweit noch nicht geschehen – wirksame Verträge nach Art. 28 DSGVO (bei Auftragsverarbeitern) und Art. 26 DSGVO (bei gemeinsam Verantwortlichen).
Autor: GROSS Rechtsanwaltsgesellschaft mbH
Bildnachweis: Pixabay