Wer ist zuständig?

Wichtige Datenschutzrechtliche Aspekte des Wechsels einer Verwaltung und der Übergabe von Dokumenten

Verwaltungen spielen eine maßgebliche Rolle bei Entscheidungen über datenschutzrechtlich relevante Angelegenheiten in Wohnungseigentümergemeinschaften. Ihnen obliegt die Implementierung von Videoüberwachungssystemen, die Erstellung präziser Verbrauchsabrechnungen, die interne und externe Kommunikation mit der Gemeinschaft sowie die Gewährleistung der technischen Datensicherheit. Damit haben Verwaltungen eine umfassende Funktion bei der Gewährleistung von Datenschutz und Datensicher­heit gegenüber Mietern und Eigentümern, was jüngste Rechtsverfahren unterstreichen, u. a. die Rechtssache C 807/21 „unrechtmäßig gespeicherte Mieterdaten,“ Deut­sche Wohnen SE gegen Staatsanwaltschaft Berlin.

Aus einem Wechsel der Verwaltung einer Eigentümerge­meinschaft ergeben sich besondere datenschutzrechtliche Herausforderungen. Eine zentrale Frage betrifft die Über­nahme von Altbeständen an Mieter- und Eigentumsakten. Wenngleich feststeht, dass diese Akten im Rahmen der Übernahme etwa auf zu löschende personenbezogene Daten gesichtet werden müssen, ist oftmals nicht klar, wer dafür verantwortlich ist die (neue) Verwaltung oder die Wohnungseigentümergemeinschaft?

Wird auf die Sichtung dieser Akten verzichtet, besteht das Risiko, dass personenbezogene Daten ohne Rechts­grundlage gespeichert werden. In der Folge kann dies zur Verhängung von Bußgeldern führen. Für die Klärung der datenschutzrechtlichen Fragen bei einem Wechsel der Verwaltung ist die nähere Betrachtung der Abgrenzung der Verantwortlichkeiten zwischen den involvierten Parteien aufschlussreich.

Verantwortlichkeit und Rolle der Verwaltung

Gemäß Art. 4 Nr. 7 Datenschutzgrundverordnung (DSGVO) ist ein Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die al­lein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten 

entscheidet. Dies zeigt, dass keine pauschale Aussage hinsichtlich der Verantwortlichkeit getroffen werden kann. Vielmehr wird deutlich, dass in Abhängigkeit vom kon­kreten Vorgang die Möglichkeit besteht, dass entweder ausschließlich die Wohnungseigentümergemeinschaft, ausschließlich die Hausverwaltung oder möglicherweise sogar beide gleichberechtigt für die Datenverarbeitung verantwortlich sind.

Die folgenden Überlegungen illustrieren, wie sich die Verantwortlichkeit der Verwaltung und der Wohnungs-eigentümergemeinschaft voneinander abgrenzen lassen: Die Wohnungseigentümergemeinschaft schließt einen Vertrag mit der Verwaltung, dessen Gegenstand die Ver­waltung der Immobilie ist. Im Rahmen dieser Dienst­leistung erfolgt die Verarbeitung personenbezogener Daten eigenverantwortlich durch die Hausverwaltung. Daher ist sie als für die Datenverarbeitung innerhalb ihres Geschäftsbetriebs als verantwortlich anzusehen, u. a. nach § 27 Wohnungseigentumsgesetz (WEG). Sollte die Wohnungseigentümergemeinschaft darüber hinaus eigen­ständig personenbezogene Daten verarbeiten, wäre sie in diesem Fall ebenso als verantwortlich anzusehen. Für die konkrete Differenzierung der Verantwortlichkeit ist es daher wichtig, zu klären, um welche Akten und um welche gezielte Verarbeitung es sich handelt.

Die Akten der Wohnungseigentümergemeinschaft wer­den der neuen Verwaltung treuhänderisch übergeben. Es liegt nahe, anzunehmen, dass es nicht Aufgabe der neuen Verwaltung ist, solche (Eigentümer-)Altakten zu analysieren und ggf. Löschungen vorzunehmen. Die Akten sind Eigentum der Wohnungseigentümergemeinschaft, und die neue Verwaltung hat üblicherweise keine Befug­nis, Änderungen vorzunehmen – außer sie wurde von der Gemeinschaft dazu berechtigt.

(Alt-)Mieterakten betreffen jedoch als Gegenstand der Immobilienverwaltung auch den Geschäftsbetrieb der (neuen) Verwaltung. Zwar ist davon auszugehen, dass die (alte) Verwaltung diese gründlich ausgewertet hat, die Überprüfung der Löschfristen ist dabei allerdings un­umgänglich und auch legitim, Art. 6 Abs. 1 lit. b, im Zweifel Art. 6 Abs. 1 lit. f DSGVO. Ferner hat die (neue) Verwaltung auf ein umfassendes Löschkonzept zu achten.

Aktuelle Urteile wie das zuvor genannte veranschau­lichen, dass Datenschutzaufsichtsbehörden konsequent Haltung zeigen: Die neue Verwaltung wird mit dem Erhalt der Wohneinheiten und der dazugehörigen Unterlagen (einschließlich personenbezogener Daten) zur Verantwort­lichen. Sie ist somit datenschutzrechtlich haftbar.

Vor diesem Hintergrund ist Eigentümern anzuraten, sich beim Erwerb von Immobilien (Assets) eng mit ihrem Asset Manager, ob dieser nun interner Bestandteil der Organisation oder eine getrennte juristische Person ist, und dem Datenschutzbeauftragten abzustimmen. Schon im Rahmen einer Due-Diligence-Prüfung bietet es sich an, eine datenschutzrechtliche Bewertung der Unterlagen vorzunehmen. Sie gibt nicht nur einen Überblick über mögliche Risiken, sondern eröffnet ggf. auch Möglich­keiten zu entsprechenden Preisanpassungen.

Datensicherheit durch Dokumentation und Zugriffsbefugnisse

Übergabeprotokolle spielen eine entscheidende Rolle, um die Verantwortlichkeiten bei einem Wechsel der Verwaltung zu dokumentieren. Sie legen eindeutig fest, wer für die Integrität und Vollständigkeit der Daten verantwortlich ist. Besonders relevant sind sie, wenn später Fragen nach der Verantwortlichkeit für die Datenintegrität der Woh-nungseigentümergemeinschaft aufkommen – und diese können jederzeit von der Datenschutzaufsichtsbehörde gemäß Art. 57 Abs. 1 DSGVO und § 40 Abs. 1 Bundesdaten-schutzgesetz (BDSG) aufgeworfen werden. Dann geben Übergabeprotokolle Auskunft darüber, welche Verwaltung zu welchem Zeitpunkt über welche Daten verfügte und dafür verantwortlich war.

Über den Empfang und die Sicherung der Daten einer Eigentümergemeinschaft durch die neue Verwaltung hinaus kommt es bei einem Wechsel auch darauf an, dass die Neuordnung der Zugriffsbefugnisse erfolgt. So sollte der Zugriff der vorherigen Verwaltung auf die Datenbestände grundsätzlich beendet werden, was normalerweise mit der Löschung ihrer alten Daten­bestände einhergeht. Die neue Verwaltung sollte eine Überprüfung vornehmen.