Mehr Aufwand, mehr Geld? Welche Möglichkeiten haben Verwaltungen, sich für die im Rahmen der DSGVO erforderlichen Tätigkeiten und Aufwendungen zusätzlich vergüten zu lassen?

Die Datenschutzgrundverordnung bringt für alle Immobilienverwaltungen zusätzlichen Aufwand mit sich. Insbesondere verlangt die EU-weite Verordnung die Überprüfung der technischen und organisatorischen Maßnahmen. Ziel ist es, einen Sicherheitsstandard zu schaffen, der dem hinreichenden Schutz der verarbeiteten Daten angemessen ist. Darüber hinaus ist jeder Verwalter dazu verpflichtet, für jeden Prozess der personenbezogenen Datenverarbeitung Verfahrensverzeichnisse/Verarbeitungsverzeichnisse (VVV) zu erstellen. Bei jeder Datenerhebung müssen Betroffene über die Datenverarbeitung informiert werden, sowohl bei der direkten Erhebung als auch wenn vorliegende Daten einer Person von einem Dritten übernommen werden, z. B. der vorherigen WEG-Verwaltung. Verlangt eine Person Auskunft über die Verwendung ihrer Daten, muss umfassend Antwort erteilt werden. Auch dieser Prozess ist vorzubereiten. All diese Maßnahmen müssen DSGVO-konform erfolgen und daher insbesondere formalen Erfordernissen entsprechen.

Für wen mache ich das eigentlich alles?

Auch bei der eigentlichen Umsetzung der DSGVO sollte man sich fragen, wer den zusätzlichen Aufwand bezahlt: Ist es alles Eigenaufwand, den man als Verwalter selbst zu tragen hat? Gibt es Möglichkeiten, diesen Aufwand von Dritten (den eigenen Auftraggebern) erstattet zu bekommen? Oder wird wieder einmal vorausgesetzt, dass das Verwalterhonorar diesen Aufwand bereits abdeckt? Bei den ohnehin nicht gerade hohen Margen würde dies einen gravierenden Einschnitt für die Rentabilität bedeuten.
Ob und wie Verwaltungen sich aus der DSGVO resultierende Maßnahmen und Aufwände von Dritten vergüten lassen können, ist gerichtlich bisher nicht geklärt – wie auch? Die DSGVO gilt verbindlich ja „erst“ seit dem 25.5.2018. Insofern begebe ich mich mit diesen Ausführungen auf Neuland und kann nur darauf hinweisen, dass sich Türen zu einem zusätzlichen Honorar öffnen lassen – nutzen und durchschreiten muss jeder Verwalter sie selbst.

Eigenes Interesse oder Auftrag?

Grundüberlegung für eine Zusatzvergütung ist, wann setzt der Verwalter die DGSVO für sich um und wann ergreift er Maßnahmen für Dritte. Für Maßnahmen im ausschließlichen Eigeninteresse wird der Verwalter keine Zusatzvergütung verlangen können. Für Maßnahmen, die der Verwalter (auch) im Interesse von Dritten übernimmt, sollte er eine verlangen.
Fangen wir bei Maßnahmen aus eigenem unternehmerischen Interesse an, z. B. der Verwaltung personenbezogener Daten der eigenen Mitarbeiter. Hier entscheidet der Verwalter als Arbeitgeber eigenverantwortlich über das „Wie“ und „Warum“ der Datenverarbeitung. Diese Entscheidungsfreiheit macht den Arbeitgeber im Sinne der DSGVO zum Verantwortlichen, der die Verordnung ausschließlich in eigenem Interesse umsetzt und entsprechend dafür kein Honorar verlangen kann.

Miet- und Sondereigentumsverwaltung

Wie aber sieht es mit personenbezogenen Daten beispielsweise von Mietern in Zusammenhang mit der Miet- oder Sondereigentumsverwaltung aus? Für wen bzw. in wessen Auftrag erfolgt hier die Datenerhebung und Datenverarbeitung? Grundsätzlich geschieht dies im Auftrag und im Interesse des Eigentümers – letztlich sind es „seine“ Daten. Das wird deutlich, wenn ein Verwaltungsauftrag endet: Alle zur Liegenschaft gehörenden Unterlagen und Daten sind dann einer neuen Verwaltung oder dem Eigentümer auszuhändigen.
Der Eigentümer ist Verantwortlicher im Sinne der DSGVO. Seine Entscheidung über das „Wie“ und „Warum“ der Datenverarbeitung trifft er, indem er sie einem Dritten, der Verwaltung, überträgt. Letztlich ist dies die weitreichendste Entscheidung, die getroffen werden kann. Dennoch bleiben es die Daten des Eigentümers, der sich seiner Position als Verantwortlicher im Sinne der DSGVO nicht entziehen kann. Im Rahmen der Miet- bzw. Sondereigentumsverwaltung nimmt der Verwalter insoweit auch die aus der DSGVO resultierenden Aufgaben eines anderen Verantwortlichen wahr und kann sie sich vergüten lassen.

WEG-Verwaltung

Rechtlich ähnlich verhält es sich in der WEG-Verwaltung. Die Daten einer Eigentümergemeinschaft „gehören“ ihr. Deutlich wird dies insbesondere dann, wenn es gar keinen WEG-Verwalter gibt. Endet aber ein WEG-Verwaltungsmandat, müssen die damit in Zusammenhang stehenden Daten an die WEG oder eine neue Verwaltung übergeben werden. Indem eine WEG einen WEG-Verwalter bestellt, entscheidet sie über das „Wie“ und „Warum“ der Datenverarbeitung – eben durch Übertragung an den WEG-Verwalter. Dass der nach dem gesetzlichen Leitbild ohnehin vorgesehen ist – wenn auch nicht zwingend –, ändert daran nichts. Die WEG ist Verantwortliche im Sinne der DSGVO. Da es letztlich immer „Daten der WEG“ sind, kann sie sich der Verantwortlichkeit nicht entziehen – auch wenn ein WEG-Verwalter beauftragt ist. Auch hier wird der Verwalter für einen anderen Verantwortlichen, die WEG, tätig und kann sich dies vergüten lassen.

Verantwortliche im Sinne der DSGVO

Einer solchen Zusatzvergütung steht es sowohl in der Miet- und Sondereigentums- als auch in der WEG-Verwaltung nicht entgegen, dass der Verwalter selbst auch Verantwortlicher im Sinne der DSGVO ist. Es gibt also mehrere Verantwortliche, und die DSGVO sieht solche Konstellationen ausdrücklich vor. Sie regelt, dass die Verantwortlichen in einer Vereinbarung transparent festlegen, wer von ihnen welche Pflichten erfüllt. Gleichfalls kann in einer solchen Vereinbarung eine entsprechende Vergütung geregelt werden.

Wo beginnt die Tätigkeit im Auftrag?

Zur Übernahme einer Verwaltung gehören oft auch Unmengen historischen Datenballasts. Für die laufende Verwaltung unnötig, und daher sollten Verwaltungen sie auch gar nicht annehmen. Übernimmt eine Verwaltung nämlich Daten, die z. B. ohne Rechtsgrundlage erhoben wurden oder längst hätten gelöscht werden müssen, riskiert sie, gegen die DSGVO zu verstoßen und damit ein Bußgeld. Das Gleiche droht dem Auftraggeber, der darauf hingewiesen werden sollte. Entweder er sortiert die Unterlagen vor Übergabe entsprechend oder der Verwalter übernimmt das „Aufräumen“ – gegen Honorar. Letztlich schafft der Verwalter damit eine DSGVO-konforme Datenbasis und schützt sich vor einem Bußgeld.
Werden Daten von Personen erhoben, müssen diese darüber informiert werden. Dieser Verpflichtung muss grundsätzlich auch der Auftraggeber selbst nachkommen. Ein Verwalter kann aber anbieten, diese Verpflichtung zu übernehmen – genau wie er auch die zwingend DSGVO-konforme Vernichtung von Daten für den Auftraggeber übernehmen kann.

Die Honorarfrage

Grundsätzlich bietet sich eine Honorierung nach zeitlichem Aufwand oder nach Pauschale an. Die laufende Anpassung des Datenbestandes an die Vorgaben der DSGVO kann beispielsweise monatlich pro Einheit oder ebenfalls pauschal vergütet werden. Für zukünftige Verwalterverträge sollte die Übernahme von Aufgaben aus der DSGVO gesondert ausgewiesen und bepreist werden. Die Pflichten und Vergütungen der beiden Verantwortlichen, Auftraggeber und Verwalter, sollten in einem DSGVO-konformen Vertrag festgehalten werden.

Foto: © Khongtham / Shutterstock.com