Im Rahmen der Immobilienverwaltung erheben und verwalten Verwalter Daten der betreuten Wohnungseigentümergemeinschaften. Dies sind bspw. Namen und Anschriften der Eigentümer, Verbrauchserfassung und Abrechnung aber auch Daten von Mietern und Nutzern von Wohnraum sowie Daten von Dienstleistern der Wohnungseigentümergemeinschaft wie bspw. Handwerker und dergleichen. Häufig stellt sich daher die Frage, ob die Beteiligten für die Datenverarbeitung im Sinne des Art. 26 DSGVO als gemeinsam verantwortlich anzusehen sind, ob eine getrennte Verantwortlichkeit oder gar eine Auftragsverarbeitung nach Art. 28 DSGVO vorliegt.
Kritische Auseinandersetzung mit dem Urteil des AG Mannheim vom 11.09.2019
Das Amtsgericht Mannheim hatte sich im Herbst 2019 als erstes und bisher einziges deutsches Gericht mit der datenschutzrechtlichen Einordnung einer Wohnungseigentümergemeinschaft zu befassen. Aus dem Wortlaut des § 20 WEG folgert das AG Mannheim in seinem Urteil, dass ein bestellter Verwalter kein „Alleinverantwortlicher“ im datenschutzrechtlichen Sinne sei. Betroffenenrechte bestünden daher gegenüber all jenen, die für Datenerhebung und Verarbeitung personenbezogener Daten verantwortlich sind, das heißt deren Handeln über dasjenige eines Auftragsverarbeiters – also über eine bloße Hilfsfunktion – hinausgeht. Das Gericht kommt zu der Überzeugung, dass der Verwalter also Mitverantwortlicher im Sinne des Art. 26 DSGVO ist. Es verweist auf die weite Auslegung des Art. 26 DSGVO in der Rechtsprechung des EuGH. Das Gericht sieht es völlig zutreffend als sachfremd und in der Praxis kaum vorstellbar an, dass es sich bei der Tätigkeit des Verwalters im Rahmen seiner Pflichten gemäß § 27 WEG nur um eine datenverarbeitende Hilfsfunktion handelt, welche eine Weisungsgebundenheit voraussetze. So konsequent der getroffene Schluss des AG Mannheim ist, dass keine Auftragsverarbeitung gem. Art. 28 DSGVO vorliegt, so konsequent verkennt es die Möglichkeit des Bestehens einer getrennten Verantwortlichkeit der Beteiligten.
Verwalter als Dienstleister der Wohnungseigentümergemeinschaft
Das AG richtet sein Augenmerkt nur auf die Abgrenzung von Art. 26 DSGVO zu Art. 28 DSGVO. Die komplette Übertragung sämtlicher Verwaltertätigkeiten auf den Verwalter lässt jedoch eine gemeinsame Verantwortlichkeit als gekünstelt erscheinen. Kernaufgabe des Verwalters ist die Betreuung der Immobilie mit allen anfallenden Arbeiten. Die Verarbeitung von Daten ist hier jedoch nur Mittel zum Zweck und stellt in keiner Weise den Schwerpunkt der Verwaltertätigkeit dar. Das AG Mannheim geht mit seiner Beurteilung, der Verwalter und die WEG würden gemeinsam Mittel und Zweck der Datenvereinbarung festlegen zu weit. Die WEG stellt dem Verwalter zwar Daten zur Verfügung. Dieser ist jedoch in der Festlegung dessen was er mit diesen zu beabsichtigen gedenkt frei und lediglich dem grob angeordneten Rahmen des Verwaltervertrages unterworfen. Dies spricht maßgeblich dafür, dass sehr gut auch von einer getrennten datenschutzrechtlichen Verantwortlichkeit ausgegangen werden kann. Das AG Mannheim verkennt die Option einer getrennten Verantwortlichkeit. Die DSGVO differenziert nicht nur zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit. Es gibt durchaus auch Fälle, in denen einfache Datenübermittlungen die Zusammenarbeit von zwei juristischen Einheiten beschreiben. Dies ist beispielsweise bei der Beauftragung eines Rechtsanwalts oder eines Steuerberaters der Fall. Auch hier arbeiten zwei Verantwortliche zusammen; sind aber jeweils eigenverantwortlich für sich tätig.
Sicherstellung eines umfassenden Schutzniveaus
Auch auf der Rechtsfolgenseite erscheint eine gemeinsame Verantwortlichkeit nicht zwingend notwendig. Zum einen wird der Betroffene bei Haftungsfragen bereits durch Art. 82 Abs. 4 DSGVO geschützt, wenn mehr als ein Verantwortlicher an derselben Verarbeitung beteiligt ist. Denn dann besteht eine gesamtschuldnerische Haftung. Für die Haftung kommt es lediglich auf die Beteiligung an der Verarbeitung an und nicht darauf, dass sie gemeinsam verantwortlich sind. Zum anderen bestehen die Informationspflichten bereits gegenüber dem eigenständig Verantwortlichen. Eine höhere Transparenz wird bei gemeinsamer Verantwortlichkeit nicht erreicht. Für seine weiteren Verarbeitungsvorgänge hat der Dritte sowohl im Falle der gemeinsamen als auch der getrennten Verantwortlichkeit den Betroffenen über die Weiterverarbeitung zu informieren und dessen Einwilligung einzuholen sowie zu dokumentieren. Die Betroffenenrechte können auch unabhängig von einer gemeinsamen oder separaten Verantwortlichkeit geltend gemacht werden. So bietet Art. 19 DSGVO z.B. den benötigten Schutz, indem er dem Verantwortlichen die Pflicht auferlegt, auch dem Dritten jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung mitzuteilen. Aus Sicht des Betroffenen hätte diese Vorgehensweise somit genau die gleiche Wirkung wie eine gemeinsame Verantwortlichkeit. Im Haftungsfall steht dem einen Verantwortlichen auch bei einer separaten Verantwortlichkeit gegenüber dem jeweils anderen Verantwortlichen gem. Art. 82 Abs. 5 DSGVO ein Regressanspruch zu.
Heranziehung des Facebook-Urteils des EuGH
Das Gericht verkennt, dass die Verhältnisse zwischen den Beteiligten stark variieren und damit auch die Interessenlage. Denn anders als bei einem weltweit in Erscheinung tretenden Konzern wie Facebook bei dem der User unter Millionen von Usern in der Anonymität untergeht, kennen die Mieter bzw. Vermieter den Immobilienverwalter persönlich oder wenigstens dessen Firma. Der Betroffene ist aus Sicht des Verantwortlichen kein unbekannter Nutzer, sondern ein Eigentümer oder dessen Mieter. Die betroffenen Verhältnisse sind daher nur schwer bis gar nicht vergleichbar. Art. 26 Abs. 1 Satz 1 DSGVO stellt auf die Entscheidungskompetenz des Verantwortlichen über Zwecke und Mittel der Datenverarbeitung ab. Sowohl der Zweck, als auch das Mittel müssen von dem Verantwortlichen bestimmt werden. Der EuGH legt in seinem Facebook- Urteil für eine gemeinsame Verantwortlichkeit allerdings eine sehr niedrige Messlatte an. In der Tat steht es der datenschutzrechtlichen Verantwortlichkeit nicht entgegen, dass ein Verantwortlicher keinen Zugriff auf die personenbezogenen Daten erhält und nicht jedes Detail der einzusetzenden Mittel für die Verarbeitung (mit)bestimmt. Die jüngere Rechtsprechung scheint jedoch lediglich das alternative statt kumulative Vorliegen von Mittel und Zweck zu verlangen. Trotz des diesbezüglich klaren Wortlauts der DSGVO erfolgt dies durch eine Abstraktion einer der beiden Voraussetzungen, sobald die jeweils andere Voraussetzung vorliegt. Es mag nachvollziehbar sein, den Website-Besucherschutz erhöhen zu wollen, jedoch sollte dies nicht zu einer rechtsunsicheren Auslegung des Gesetzes führen. Diese Tendenz zur Verallgemeinerung trägt gewiss nicht zur Rechtsklarheit bei.
Regelungsregime des WEG
Der Immobilienverwalter erhält seine Amtsstellung nicht durch Rechtsgeschäft, sondern durch Annahme des Bestellungsbeschlusses (gefasst von der Mehrheit in der Eigentümerversammlung). Im Rahmen dieses gesetzlichen Schuldverhältnisses sind Weisungen der Wohnungseigentümer gegenüber dem Verwalter praktisch ausgeschlossen. Die Organstellung des Verwalters nach § 27 WEG sowie der Akt der Bestellung nach § 26 WEG sprechen deutlich dafür, eine eigenständige Verantwortung des Verwalters anzunehmen. Diese Auslagerung der Verwaltungstätigkeiten auf den Verwalter, welche gesetzlich im WEG vorgesehen ist, spricht am deutlichsten für eine Trennung der Verantwortlichkeit.
Ergebnis
Es lässt sich also festhalten, dass eine konkrete Beurteilung der datenschutzrechtlichen Verantwortlichkeit stets einzelfallabhängig und anhand des zugrundeliegenden Verwaltervertrages vorzunehmen ist. Es liegt in der Natur des Verwaltervertrages, dass der Verwalter eigenständig eine Vielzahl von Aufgaben der Wohnungseigentümergemeinschaft übernimmt und dabei gerade nicht für jede Tätigkeit einer eigenen Anweisung durch die Gemeinschaft bedarf. Das AG Mannheim verkennt die Existenz des Modells der getrennten Eigenverantwortlichkeit. Ebenso verweist es auf das Facebook-Urteil des EuGH, was für sich genommen zwar legitim, für den konkreten Fall der Beurteilung einer Immobilienverwaltung aber gänzlich ungeeignet ist. Im Gegensatz zur Rechtsprechung des AG ist eine gemeinsame Verantwortlichkeit mit sehr guten Argumenten daher abzulehnen. Die gemeinsame Verantwortlichkeit kann nicht allein mit dem Bedürfnis eines umfassenden und hohen Schutzes begründet werden: Dieser Schutz besteht, wie aufgezeigt, auch bei der getrennten Verantwortlichkeit. Die getrennte Verantwortlichkeit stellt eine realistische und nachvollziehbare Alternative dar, die eine unüberschaubare Menge an Vereinbarungen zur gemeinsamen Verantwortlichkeit vermeidet und dennoch ein adäquat hohes Schutzniveau bietet.