Gutachterliche Stellungnahme: WEG-, Miet- und Sondereigentumsverwalter sind Verantwortliche im Sinne der DSGVO
18. Mai. 2018 – Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) mit ihren weitreichenden Anforderungen an den Schutz persönlicher Daten in Kraft. Um zu klären, ob WEG-, Miet- und Sondereigentumsverwalter nach DSGVO als Verantwortliche oder Auftragsverarbeiter gelten, hat der Dachverband Deutscher Immobilienverwalter bei der Kanzlei Groß Rechtsanwälte Berlin eine entsprechende gutachterliche Stellungnahme in Auftrag gegeben. Diese ergänzt die detaillierten Verfahrensverzeichnisse und Musterschreiben, die der DDIV für die Mitglieder seiner Landesverbände bei der Kanzlei bereits erstellen ließ und kostenfrei über die DDIV-Landesverbände zu beziehen sind.
Das Ergebnis: WEG-Verwalter sind ebenso wie Miet- und Sondereigentumsverwalter Verantwortliche im Sinne der DSGVO. Denn Verantwortlicher ist stets derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Er hat die Freiheit, über das „Wie“ und das „Warum” der Erhebung und Verarbeitung zu bestimmen. Ein Auftragsverarbeiter hingegen nimmt die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten gemäß den Weisungen des Auftraggebers auf Grundlage eines schriftlichen (gegebenenfalls auch elektronischen) Vertrages vor. Bei der Auftragsdatenverarbeitung darf es sich nur um eine datenverarbeitende Hilfsfunktion handeln. Das bedeutet, dass keine Leistungen erbracht werden, die über die bloße Datenverarbeitung hinausgehen.
Verwalter als Verantwortliche
Der WEG-Verwalter hat eine Reihe gesetzlicher Aufgaben zu erfüllen, woraus eine eigene Verantwortlichkeit zur Verarbeitung der insoweit erforderlichen Daten resultiert. Laut Bayerischem Landesamt für Datenaufsicht kann bereits deswegen der WEG-Verwalter kein weisungsgebundener Auftragsverarbeiter sein.
Für Miet- und Sondereigentumsverwalter existieren zwar keine gesetzlich geregelten Aufgaben. Allerdings ist der wesentliche Inhalt und Zweck in der Regel die selbstständige Bewirtschaftung einer Immobilie in kaufmännischer und technischer Hinsicht. Die Aufgaben und Befugnisse, die einem Verwalter im Rahmen eines Mietverwaltungsvertrages auferlegt werden, haben in wesentlichen Punkten Inhalte, die denen eines WEG-Verwalters ähneln. Somit gehen die Leistungen über die bloße Datenverarbeitung hinaus und begründen bereits eine Stellung als Verantwortlicher und nicht als Aufragsverarbeiter.
Der Stellungnahme zufolge spricht eine Reihe weiterer Aspekte für seine Stellung als Verantwortlicher: Der Mietverwalter hat eigene Entscheidungskompetenz, hat den unmittelbaren Kontakt zum Mieter und zu den beauftragten Dienstleistern, nimmt die Dienste von Subunternehmen in Anspruch und nimmt in aller Regel auch beratende Tätigkeiten gegenüber den Eigentümern wahr. Daher könne grundsätzlich nur von der Stellung als Verantwortlicher im Sinne der DSGVO ausgegangen werden.
Verantwortlichkeiten und Haftung
Der Verantwortliche ist der Adressat der Rechte der betroffenen Personen nach Art. 12 ff. DSGVO, er muss Datenschutzverletzungen gegenüber dem Betroffenen melden und Rechenschaft abgelegen, wie die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO eingehalten werden.
Der Auftragsverarbeiter muss zwar ebenso wie der Verantwortliche ein Verzeichnis über die Verarbeitungstätigkeiten führen, allerdings mit einem weniger detaillierten Inhalt (Art. 30 Abs. 2 DSGVO). Zudem muss er die Sicherheit der Verarbeitung nach Maßgabe des Art. 32 DSGVO gewährleisten, und ihn trifft die Verpflichtung, die Verletzungen des Schutzes personenbezogener Daten nach Maßgabe des Art. 33 Abs. 2 DSGVO an die zuständige Aufsichtsbehörde zu melden.
Kommt es zu Datenschutzverstößen, haften Verantwortlicher und Auftragsverarbeiter gegenüber dem Betroffenen nach Art. 82 DSGVO grundsätzlich gesamtschuldnerisch. Jedoch beschränkt sich die Haftung des Verarbeiters auf Verstöße gegen die ihm speziell auferlegten Pflichten. Neben der Haftung auf Schadenersatz drohen dem Verantwortlichen sowie dem Auftragsverarbeiter Geldbußen nach Art. 83 DSGVO. Je nach Art und Schwere der Pflichtverletzung und unabhängig davon, ob ein Schaden eintritt, können Geldbußen in Höhe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes verhängt werden, je nachdem welcher Betrag höher ist.
Die vollständige Stellungnahme der Kanzlei Groß Rechtsanwälte Berlin kann bei den VDIV Baden-Württemberg kostenfrei abgerufen werden.