Die Digitalisierung hält Einzug in das Wohnungseigentumsrecht. Seit dem 1.12.2020 ist es möglich, Eigentümerversammlungen zumindest teilweise online durchzuführen. Nach § 23 Abs.1 S. 2 WEG können die Eigentümer beschließen, dass Wohnungseigentümer an der Versammlung auch ohne Anwesenheit an deren Ort teilnehmen und sämtliche oder einzelne ihrer Rechte ganz oder teilweise im Wege elektronischer Kommunikation ausüben können. In diesem Artikel soll es darum gehen, welche datenschutzrechtlichen Anforderungen an das Konferenzsystem gestellt werden sollten.
Nach Ansicht von GROSS Rechtsanwaltsgesellschaft kann die Entscheidung der Wohnungseigentümer, die Teilnahme an der Versammlung über das Internet zuzulassen, nur dann ordnungsgemäßer Verwaltung entsprechen, wenn die Vorgaben der Datenschutzgrundverordnung eingehalten werden.
Neben technischen Lösungen, die speziell für Eigentümerversammlungen geschaffen wurden und werden, ist auch die Nutzung von bereits bekannten Online-Meeting-Tools denkbar. Über diese Tools wurde im Coronajahr 2020 viel diskutiert und die Datenschutzbehörden haben sich mit Konferenzsystemen beschäftigt und eine Orientierungshilfe verfasst.
Zunächst ist zu unterscheiden: Die Gemeinschaft bzw. der Verwalter betreibt das Konferenzsystem selbst auf seinem Server oder er lässt das System bei einem IT-Dienstleister betreiben oder es wird ein Online-Dienst genutzt.
Bei der Nutzung eines IT-Dienstleisters oder eines Online-Dienstes stellt sich aus datenschutzrechtlicher Sicht immer die Frage nach einem Vertrag zwischen gemeinsam Verantwortlichen oder einem Auftragsverarbeitungsvertrag. Jedenfalls ist eine datenschutzrechtliche Vereinbarung mit diesem Dritten zu schließen. Daher bietet das Selbstbetreiben der Software den Vorteil, dass die datenschutzrechtliche Verantwortung klar ist. In diesem Fall ist auch sichergestellt, dass die Daten genauso verarbeitet werden, wie dies für die Durchführung einer Eigentümerversammlung erforderlich ist. Darin liegt aber auch eine Gefahr, denn Verantwortliche müssen über ausreichend technische und personelle Kapazitäten verfügen und geeignete technische und organisatorische Maßnahmen zum Schutz der Daten ergreifen.
Wenn ein externer Dienstleister beauftragt wird, dessen Dienste auf die Durchführung der Versammlung bzw. die Bereitstellung des Versammlungstools beschränkt bleibt, ist dieser ein Auftragsverarbeiter. Mit ihm wäre dann ein Auftragsverarbeitungsvertrag gemäß § 28 DSGVO zu schließen.
Die gefühlt einfachste Variante ist das Nutzen eines Online-Dienstes. Datenschutzrechtlich ist dies aber auch die schwierigste. Je nach Ausgestaltung des Vertrags über die Nutzung des Online-Dienstes ist es aber hier am schwierigsten zu erkennen, was mit den Daten passiert und wohin die Daten eventuell weitergeleitet werden. Die Nutzung von US-Anbietern oder Anbietern aus anderen Drittstaaten außerhalb der EU und die damit verbundene mögliche Datenübertragung ist nach dem Schrems-II-Urteil problematisch.
Bei der Auswahl eines Anbieters sollten neben den unten aufgeführten Fragen zu Datenschutz und Datensicherheit auch noch berücksichtigt werden, ob der Auftragsverarbeitungsvertrag und die Nutzungsbedingungen auch in deutscher Sprache verfasst sind und ob Einfluss auf die Ausgestaltung des Vertrags genommen werden kann.
- Werden die Daten sicher verschlüsselt (Ende-zu-Ende-Transportverschlüsselung)?
- Wer kann auf die Videokonferenz und die übertragenen Daten zugreifen? Sind diese Personen autorisiert? Gibt es die Möglichkeit Nutzernamen und Passwörter zu vergeben?
- Ist es möglich, eine rollenbasierte Trennung einzurichten und auf diese Weise Teilnehmer von administrierenden, moderierenden und präsentierenden Personen zu trennen?
- Wird die Versammlung aufgezeichnet? Kann dies unterbunden werden?
- Hat der Anbieter des Online-Dienstes seinen Sitz im Inland oder der Europäischen Union?
- Wohin werden Telemetrie- und Nutzungsdaten übertragen?
- Sind Einblicke in das private Umfeld möglich oder kann dies unproblematisch ausgeblendet werden?
- Wie wird abgestimmt? Wie wird die Abstimmung dokumentiert?
Wenn die technischen Fragen geklärt sind, stellt sich aus datenschutzrechtlicher Sicht die Frage nach der Rechtsgrundlage für die Datenverarbeitung. Dies dürfte der Beschluss nach § 23 Abs. 1 S. 2 WEG für die Eigentümer sein bzw. die Durchführung des Verwaltervertrags für den Verwalter sein. Die Gemeinschaft und der Verwalter sollten diese neue Datenverarbeitung in ihr Verzeichnis der Verarbeitungstätigkeiten aufnehmen und eine entsprechende Information nach Art 13 DSGVO erstellen. Wir gehen davon aus, dass eine Datenschutzfolgeabschätzung erforderlich ist.
Fazit
Die erstmalige Durchführung einer teilweise virtuellen Eigentümerversammlung erfordert daher etwas Vorbereitung zum Datenschutz, die sich aber nach nur kurzer Zeit auszahlt. Die Vorteile einer solchen Versammlung überwiegen diese Aufwendungen klar. Neben der Einsparung von Kosten für Mieten und die Einhaltung von Hygieneregeln führt die Durchführung von teilweise virtuellen Eigentümerversammlungen zu Zeiteinsparungen sowohl für den Verwalter als auch für die Eigentümer.