Zum Inhalt springen Zur Navigation springen
Die Hausverwaltung einer WEG und der Datenschutz

Die Hausverwaltung einer WEG und der Datenschutz

Artikel von Dr. Datenschutz·13. September 2023

Wir wollen in diesem Beitrag den Fragen nachgehen, was aus datenschutzrechtlicher Sicht zu beachten ist, wenn eine Hausverwaltung personenbezogene Daten von den Eigentümern einer Wohnungseigentümergemeinschaft (WEG) und Mietern verarbeitet. Ist z.B. ein Auftragsverarbeitungsvertrag notwendig oder ist die Hausverwaltung selbst Verantwortliche? Welche Pflichten aus dem Datenschutzrecht trifft die Hausverwaltung? Und dürfen Daten von Mietern an Dritte weitergegeben werden?

Zwecke und Umfang der Datenverarbeitung durch die Hausverwaltung

In den meisten Fällen verwaltet eine Hausverwaltung das Gemeinschaftseigentum von Wohnungseigentümergemeinschaften. Wohnungseigentümergemeinschaften bestehen aus einem (gesetzlichen) Zusammenschluss von Eigentümern. Oft bedienen sich Wohnungseigentümergemeinschaften externer Unternehmen, die die Hausverwaltung für die Gemeinschaft übernehmen. Wird eine Hausverwaltung bestellt, übernimmt diese umfangreiche Verwaltungsaufgaben, wie u.a.

  • Kaufmännische Aufgaben (z.B. Erstellung und Prüfung von Wirtschaftsplänen; Abrechnungen, inkl. Rechnungskontrolle und Belegprüfung; Buchführung und Prüfung aller Geldein- und -ausgänge etc.),
  • Technische Aufgaben (z.B. Überwachung von Objekten; Wahrnehmung der Verkehrssicherungspflichten; Veranlassung von Schadensbeseitigungen durch Handwerker etc.)
  • Rechtliche Aufgaben (z.B. Vertretung der Eigentümergemeinschaft; Einleiten von Klagen bei Zahlungsrückstand; Prüfung und Abschluss von z.B. Versicherungs- und Wartungsverträgen etc.)
  • Organisatorische Aufgaben (z.B. Korrespondenz mit Eigentümern; Einberufen und Abhalten der Wohnungseigentümerversammlung; Führung und Erstellung von Beschlusssammlungen etc.)

Um ihre Aufgaben erfüllen zu können, muss die Hausverwaltung aufgrund der oben genannten Zwecke personenbezogene Daten verarbeiten.

Kategorien der Datenverarbeitung

Aufgrund der umfangreichen Aufgaben wird klar, dass die Hausverwaltung viele und unterschiedliche Daten verarbeitet. Darunter befinden sich insbesondere personenbezogene Daten von Eigentümern und Mieter, wie zum Beispiel:

  • Vollständiger Name
  • Anschrift
  • Telefonnummer
  • E-Mail-Adresse
  • Vertragsdaten
  • Zahlungsangaben, wie Bankverbindung
  • (evtl. Auszug aus dem Grundbuch)

Findet die DSGVO Anwendung?

Kurzum: Ja. Bei Wahrnehmung ihrer Aufgaben hat die Hausverwaltung die Vorgaben der DSGVO zu beachten, wenn sie die Daten von Eigentümern verarbeitet.

Vor Allem der sachliche Anwendungsbereich der DSGVO ist gemäß Art. 2 Abs. 1 DSGVO regelmäßig eröffnet, da eine Hausverwaltung Daten meist ganz oder teilweise automatisiert (durch Datenverarbeitungsanlagen, z.B. in einer CRM-Software) oder nichtautomatisiert (rein manuell, z.B. Mitschrift auf Blattpapier) verarbeitet.

Was ist mit kleinen Hausverwaltungen oder Einzelunternehmen?

Auf die Größe der Hausverwaltung kommt es nicht an. Laut Erwägungsgrund 13 unterfällt jeder Wirtschaftsteilnehmer den Vorgaben des Datenschutzes, also auch kleine und mittlere Unternehmen. Das heißt, auch die kleinste Hausverwaltung bestehend aus einem Verwalter muss die Vorgaben der DSGVO beachten.

Wie verarbeitet die Hausverwaltung Daten von Eigentümern und Mietern?

Die zentrale und berechtigte Frage kommt regelmäßig bei Vertragsabschluss auf: In welchem Verhältnis verarbeitet die Hausverwaltung die Daten der WEG? Muss die WEG mit der Hausverwaltung einen Auftragsverarbeitungsvertrag (AVV) im Sinne des Art. 28 DSGVO abschließen? Ist die Hausverwaltung vielleicht eigene Verantwortliche? Oder sind die WEG und die Hausverwaltung gar Gemeinsam Verantwortliche nach Art. 26 DSGVO?

Einschlägige Normen hierzu fehlen

Ein Blick ins Gesetz, insbesondere in den § 27 Wohnungseigentümergesetz, zeigt, dass die Verarbeitung von personenbezogenen Daten durch die Hausverwaltung nicht geregelt ist. Demnach muss auf die Grundsätze der DSGVO zurückgegriffen werden.

Überlegungen und Abgrenzungen zu Auftragsverarbeitung und eigener Verantwortung

„Auftragsverarbeiter“ [ist] eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;“ siehe Art. 4 Nr. 8 DSGVO.

Eine Auftragsverarbeitung liegt immer dann vor, wenn der Auftragnehmer weisungsgebunden die personenbezogenen Daten des Verantwortlichen verarbeitet. Nicht jeder Austausch personenbezogener Daten zwischen zwei Datenverarbeitern begründet eine Auftragsverarbeitung nach Art. 28 DSGVO. Für die Annahme einer Auftragsverarbeitung müssten die Eigentümer als Verantwortliche über die Zwecke und Mittel der Datenverarbeitung bestimmen und die Hausverwaltung dürfte als Auftragsverarbeiter keinen eigenen Entscheidungsspielraum haben. Die Datenverarbeitung darf außerdem kein reines Nebenprodukt zur eigentlichen Dienstleistung sein.

Für eine Auftragsverarbeitung könnte sprechen, dass die Hausverwaltung für die WEG tätig wird und die WEG durch Beschluss entscheidet, was gemacht und wie vorgegangen wird und die Hausverwaltung an die Weisung der WEG gebunden ist.

„Verantwortlicher“ [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;“ siehe Art. 4 Nr. 7 DSGVO.

Jedoch spricht für eine eigene Verantwortung, dass die Hausverwaltung rechtliche Vorgaben aus Gesetz einzuhalten hat, die keiner Weisung bedürfen, wie z.B. in §§ 27, 28 Wohnungseigentümergesetz:

So ist die Hausverwaltung berechtigt und verpflichtet, Maßnahmen ordnungsmäßiger Verwaltung zu treffen. Der Verwalter hat jeweils für ein Kalenderjahr einen Wirtschaftsplan aufzustellen, hat eine Abrechnung über den Wirtschaftsplan (Jahresabrechnung) aufzustellen, hat nach Ablauf eines Kalenderjahres einen Vermögensbericht zu erstellen und der Vermögensbericht ist jedem Wohnungseigentümer zur Verfügung zu stellen.

Die WEG kann aber auch die Rechte und Pflichten eines Verwalters durch Beschluss einschränken oder erweitern nach § 27 Abs. 2 Wohnungseigentümergesetz, was wiederum für eine Auftragsverarbeitung sprechen würde. Hier ist aber zu beachten, dass lediglich die vertraglichen Rechte und Pflichten eingeschränkt werden. Die Datenverarbeitung wird davon wenig bis gar nicht tangiert. Auch bei Einschränkung der Rechte und Pflichten der Hausverwaltung bleibt die Hausverwaltung bestellt und verarbeitet weiterhin personenbezogene Daten der WEG. Die Datenverarbeitung bleibt ein reines Nebenprodukt neben der Dienstleistung an sich.

Außerdem gilt zu beachten, dass im Zuge der Wohnungseigentümergesetz-Reform der „zertifizierte Verwalter“ eingeführt wurde und dieser nach § 26a Wohnungseigentümergesetz die notwendigen rechtlichen, kaufmännischen und technischen Kenntnisse verfügt. Die eigene Fachkenntnis spricht für die eigene Verantwortlichkeit und gegen eine Auftragsverarbeitung.

Überlegungen zur gemeinsamen Verantwortung

Und wie sieht es mit einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO aus?

Eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.

Das AG Mannheim, Urteil vom 11.9.20195 C 1733/19 WEG hat eine solche gemeinsamen Verantwortlichkeit in einem Fall angenommen. Es geht davon aus, dass Verwalter und WEG gemeinsam über Zwecke und Mittel entscheiden.

„Denn die WEG entscheidet sich mit der Bestellung eines Verwalters über das „Wie“ und „Warum“ der Datenverarbeitung. Der Verwalter bestimmt dann in der Folge über das „Wie“ und das „Warum“ der Erhebung und Verarbeitung. I.R.d. WEG-Verwaltung erhebt und verarbeitet er sodann Daten der WEG wie z.B. Namen und Anschriften der Eigentümer, i.R.d. Verbrauchserfassung und Abrechnung eventuell auch Daten von Mieter und Nutzer von Wohnraum, Daten von Dienstleistern der WEG wie z.B. Handwerker.“

Das Gericht geht davon aus, dass die Verwaltung des Gemeineigentums Aufgabe der Hausverwaltung und der WEG gemeinschaftlich sei, sodass eine eigene Verantwortlichkeit der Hausverwaltung ausscheide.

Unter Anderem wird im Urteil die Alleinverantwortlichkeit durch Verweis auf die EuGH-Rechtsprechungen Facebook und Zeugen Jehovas (in denen jeweils eine gemeinsame Veranwortlichkeit angenommen wurde) und gleichzeitig mit dem Argument abgelehnt, dass eine gemeinsame Verantwortlichkeit zum Schutze der Betroffenenrechte angenommen wird.

Wie in vielen Fällen, bei der Diskussion, ob Art. 26 DSGVO einschlägig ist, muss die Frage gestellt werden: Welche Anforderungen müssen an die gemeinsame Festlegung der Zwecke und Mittel gestellt werden?

Die Artikel-29-Gruppe folgt dem sogenannten „funktionellen Ansatz“:

„Dementsprechend sollte wie oben erläutert auch bei der Bewertung der gemeinsamen Kontrolle ein sachbezogener funktioneller Ansatz verfolgt werden; dabei sollte der Schwerpunkt auf der Frage liegen, ob mehr als eine Partei über die Zwecke und Mittel entscheidet.“

Grundsätzlich kommt es nicht darauf an, dass die gemeinsame Festlegung der Zwecke und Mittel gleichberechtigt oder einstimmig erfolgt. Auch der Umfang der Verantwortung der einzelnen Verarbeitungsschritte muss nicht gleich verteilt sein. Es sollte aber insbesondere ein übergeordneter Zweck vorliegen, den beide Parteien festgelegt haben und sich bei der Verarbeitung unterwerfen.

Der Argumentation des AG Mannheim kann nicht gefolgt werden, da regelmäßig ein gemeinsam festgelegter und übergeordneter Zweck zwischen WEG und Hausverwaltung bei Aufnahme der Verwaltungsaufgaben fehlt. Bei Vertragsabschluss zwischen Hausverwaltung und WEG werden die einzelnen Verantwortungsschritte und -tätigkeiten in der Regel nicht definiert. Vielmehr richten sich diese meist nach dem Wohungseigentümergesetz. Außerdem weiß die WEG im Zweifel nicht immer, welche Daten die Hausverwaltung für welchen Verarbeitungsschritt verarbeitet. Dies widerspricht dem Sinn und Zweck der gemeinsamen Verantwortlichkeit, dass die Zwecke und Mittel gemeinsam festgelegt werden. Darüberhinaus würde der Vertrag schon nicht mehr greifen und müsste jedes Mal angepasst werden, sobald sich die Aufgaben der Hausverwaltung (durch Beschluss) ändern oder außerplanmäßige Maßnahmen ergriffen werden müssen und diese Verarbeitungsschritte nicht vom Vertrag über die gemeinsame Verantwortung gedeckt sind.

Der Schutz der Betroffenen wird entgegen der Auffassung des AG Mannheim auch im Rahmen der eigenen Verantwortung hinreichend eingehalten, indem die Hausverwaltung selbst für Datenschutzverletzungen haftet, die in ihrer eigenen Sphäre stattfinden und sie die Grundsätze für die Verarbeitung personenbezogener Daten einhalten muss.

Im Ergebnis: Eigene Verantwortung

Überzeugend ist vielmehr die Auffassung, dass die Hausverwaltung die Daten der WEG in der Regel in eigener Verantwortung verarbeitet. Es kommt aber immer auf den Einzelfall der vertraglichen Ausgestaltung an und welche Beschlüsse die WEG hierzu gefasst hat.

Eine unnatürliche Aufspaltung der Datenverarbeitung in gesetzlich geregelte Befugnisse einer Hausverwaltung nach §§ 26, 27 Wohnungseigentümergesetz (Alleinverantwortung) und den möglicherweise durch Vertrag nach Art. 26 DSGVO geregelten übrigen Datenverarbeitungen (gemeinsame Verantwortung) kann schwerlich angenommen werden und ist zudem eher praxisfern.

Weitere datenschutzrechtliche Pflichten der Hausverwaltung

Da auch die Hausverwaltung die Vorgaben der DSGVO als Verantwortliche einhalten muss, ist sie auch dazu verpflichtet, die Grundsätze für die Verarbeitung personenbezogener Daten einzuhalten.

Laut den „Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an kleine Unternehmen, Vereine, etc. Muster 6: WEG-Verwaltung“ des BayLDA muss die Hausverwaltung u.a. folgende Anforderungen erfüllen:

  • Führen eines Verarbeitungsverzeichnisses
    Als Verantwortlicher muss die Hausverwaltung ein schriftliches Verzeichnis von Verarbeitungstätigkeiten führen, wie es in Art. 30 DSGVO vorgeschrieben ist, da personenbezogene Daten regelmäßig verarbeitet werden.
  • Verpflichtung auf die Vertraulichkeit von Beschäftigten
    Außerdem müssen auch die Beschäftigten bei der Aufnahme der Tätigkeit eine Datenschutz-Verpflichtung unterschreiben, auch wenn diese nur gelegentlich mit personenbezogenen Daten z.B. von Kunden umgehen.
  • Informations- und Auskunftspflichten
    Es bestehen auch Informationspflichten betreffend der Eigentümer in den verwalteten Eigentümergemeinschaften sowie gegenüber den eigenen Mitarbeitern. Das heißt, insbesondere vor Abschluss eines Verwaltervertrages mit einer Wohnungseigentümergemeinschaft, dass die Hausverwaltung die Wohnungseigentümergemeinschaft nach Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung transparent über die Verarbeitung informieren muss.
  • Löschen von Daten
    Die Anforderungen zur Datenlöschung müssen auch eingehalten werden, aber erst nach Ablauf gesetzlicher Aufbewahrungspflichten, z. B. steuerliche oder handelsrechtliche Aufbewahrungspflicht.
  • Abschluss von Auftragsverarbeitungsverträgen
    Mit der WEG braucht es zwar keinen Auftragsverarbeitungsvertrag, aber sofern die Hausverwaltung externe Dienstleister (z.B. Buchhaltung, Abrechnung von Heizkosten) in Anspruch nimmt, die personenbezogenen Daten in ihrem Auftrag verarbeiten, muss sie mit ihnen einen schriftlichen Vertrag zur Auftragsverarbeitung abschließen.
  • Datenschutzverletzungen und Meldepflicht
    Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Verlust von Tablet oder Smartphone mit unverschlüsselten Kundendaten, Fehlversendung der Rechnung), wobei ein Risiko für die Rechte und Freiheiten der betroffenen Personen entstanden ist, so der Datenschutzvorfall nach Art. 33 DSGVO bei der zuständigen Aufsichtsbehörde im Regelfall zu melden. Hat der Datenschutzvorfall ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, müssen die betroffenen Personen nach Art. 34 DSGVO informiert werden.

Und darf die Hausverwaltung Daten weitergegeben?

Beauftragt die Hausverwaltung externe Dienstleister, die personenbezogene Daten der Mieter oder Eigentümer verarbeiten, wie z.B. einen externen Buchhalter, dürfen die für die Buchhaltung erforderlichen und zweckgebundenen personenbezogenen Daten auf Grundlage eines Auftragsverarbeitungsvertrages weitergegeben und verarbeitet werden.

Wie sieht es aber bei Handwerkern aus? Diese sind in der Regel als ebenfalls eigene Verantwortliche und nicht Auftragsverarbeiter einzustufen. Das heißt, ein Auftragsverarbeitungsvertrag kommt nicht als Rechtsgrundlage für die Datenverarbeitung in Betracht. Auf welcher Rechtsgrundlage kann die Hausverwaltung z.B. die Kontaktdaten eines Mieters an einen Handwerker weitergeben?

Einwilligung – Art. 6 Abs. 1 lit. a) DSGVO

In Betracht kommt zunächst die Einwilligung vom Mieter. Die schriftliche Einwilligung des Mieters kann z.B. schon beim Unterzeichnen des Mietvertrages eingeholt werden. Es bietet sich in dem Zeitpunkt an, eine Einwilligung in die generelle Datenweitergabe bei Erforderlichkeit eines Handwerkers zu vereinbaren. Problematisch ist bei einer solchen Einwilligung die Konkretisierung der zukünftigen zahlreichen Fälle. Denn eine Generaleinwilligung ist unzulässig. Die Einwilligung muss sich daher auf einen oder mehrere konkret benannte Fälle beziehen, die genau beschrieben werden müssen. Außerdem ist der Mieter auch auf sein Widerrufsrecht bzgl. der Einwilligung hinzuweisen.

Berechtigtes Interesse – Art. 6 Abs. 1 lit. f) DSGVO

Als Rechtsgrundlage kommt auch das berechtigte Interesse in Betracht, wenn die Interessen des Vermieters die Rechte und Freiheiten des Mieters überwiegen. Jedes Mal bei Weitergabe müsste demnach eine Interessenabwägung vorgenommen werden. Das kann im Zweifel zu Rechtsunsicherheit führen, vor Allem dann, wenn keine Expertise im Datenschutz bei der Hausverwaltung besteht, um eine solche Abwägung vorzunehmen.

Erfüllung eines Vertrags – Art. 6 Abs. 1 lit. b) DSGVO

Für die Rechtsgrundlage „Erfüllung eines Vertrages“ muss die Verarbeitung personenbezogener durch einen oder beide Vertragspartner vorliegen, um den Vertrag inter partes erfüllen zu können. Beim Mietverhältnis kommt natürlich der Mietvertrag in Betracht. Der Mietvertrag ist aber zwischen Mieter und Vermieter geschlossen worden. Die Hausverwaltung ist keine Vertragspartei und kann sich deshalb nicht auf die Erfüllung des Vertrages bei der Weitergabe der Mieterdaten stützen.

Übrigens kann sich auch der Vermieter nicht auf die Erfüllung des Vertrages bei der Weitergabe der Mieterdaten über die Hausverwaltung an den Handwerker stützen, da die Weitergabe nicht zwingend erforderlich ist, um den Verpflichtungen aus dem Mietverhältnis aus Sicht des Vermieters (Gebrauchsüberlassung und Instandhaltung, §§ 535 ff. BGB) gerecht zu werden. Erlaubt ist eine Datenverarbeitung auf Grundlage des Art. 6 Abs. 1 lit. b), soweit es sich um Daten handelt, deren Verarbeitung objektiv für die Erfüllung des konkreten Vertrags erforderlich ist. Grundsätzlich ist das Kriterium der Erforderlichkeit eng auszulegen.

Ob eine Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags erforderlich ist, hängt davon ab, ob ein unmittelbarer sachlicher Zusammenhang zwischen der beabsichtigten Datenverarbeitung und dem konkreten Zweck des rechtsgeschäftlichen Schuldverhältnisses besteht. Bei der Weitergabe der Kontaktdaten an den Handwerker besteht kein unmittelbarer sachlicher Zusammenhang zum Mietvertrag an sich.

Erfüllung einer rechtlichen Verpflichtung – Art. 6 Abs. 1 lit. c) DSGVO

Die Erfüllung einer rechtlichen Verpflichtung sieht vor, dass es eine Regelung gibt, die ausdrücklich die Datenverarbeitung regelt. Im hier einschlägigen Mietrecht der §§ 535 ff. BGB findet sich keine solche Regelung, die den Vermieter rechtliche verpflichtet, Daten vom Mieter weiterzugeben.

Im Ergebnis…

sollte vor Weitergabe der Mieterdaten eine Einwilligung entweder bei Abschluss des Mietvertrages oder bei konkreter Notwendigkeit eingeholt werden. Am einfachsten ist es in der Praxis natürlich, wenn der Mieter seine Daten eigenständig an den Handwerker weitergibt und einen Termin ausmacht.

Wir fassen zusammen

Zwischen WEG und Hausverwaltung braucht es keinen Auftragsverarbeitungsvertrag, denn in der Regel kann eine eigene Verantwortlichkeit angenommen werden. Die Hausverwaltung muss die Betroffenen vor Datenverarbeitung gemäß Art. 12 ff. DSGVO informieren. Sie muss darüber hinaus ein Verarbeitungsverzeichnis führen, ihre Beschäftigten auf den Datenschutz verpflichten, Betroffene über die Datenverarbeitung informieren, Löschfristen einhalten, bei Risiko für die Rechte und Freiheiten der Betroffenen Datenpannen bei der Aufsichtsbehörde melden und Auftragsverarbeitungsverträge mit Dienstleistern schließen, soweit erforderlich.

Mieterdaten sollten am besten aufgrund einer Einwilligung an den Handwerker oder andere Dienstleister weitegegeben werden. Im Zweifel kommt auch ein berechtigtes Interesse in Betracht.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.