Umgang mit Eigentümerdaten

Welche Veränderungen bringt die DSGVO?

Wenn personenbezogene Daten von Eigentümern in der Immobilienverwaltung erhoben werden, dann steht dem Eigentümer ein Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 GG) zu. Es beinhaltet das Selbstentscheidungsrecht einer Person, ob, wann und wie persönliche Lebenssachverhalte und Daten offengelegt werden. Betroffen von der DSGVO sind alle Branchen. Ein Eingriff in personenbezogene (Eigentümer-)Daten ist nur möglich, wenn ein Erlaubnistatbestand nach Art. 6 Datenschutzgrundverordnung (DSGVO) erfüllt ist.

Dieser Kurzbeitrag wurde im Rahmen des 44. Fachgesprächs des eid vom 24. bis 26. Oktober 2018 veröffentlicht. Der ausführliche Beitrag wird 2019 in der Zeitschrift für Wohnungseigentumsrecht (ZWE) erscheinen. Teilnehmende des Fachgesprächs erhalten im Folgejahr ein kostenloses Abonnement dieser Zeitschrift als Teil ihrer Teilnahmegebühr.

I. Problemstellung

In den Unterlagen einer Immobilienverwaltung befinden sich viele Eigentümerdaten, bei denen es sich um personenbezogene Daten handelt. Wie muss der Verwalter Verantwortlicher nach Art. 4 Nr. 7 DSGVO mit diesen besonderen personenbezogenen Daten umgehen? Nach einer kurzen datenschutzrechtlichen Einführung sollen im Folgenden besondere Interessenlagen aus dem Verwalteralltag näher beleuchtet werden:

• Ausübung von Einsichtsrechten

• Weitergabe personenbezogener Daten

• datenschutzkonforme Einbindung Dritter

II. Grundlagen und Prinzipien des Datenschutzes

1. Grundsätze nach Art. 5 DSGVO

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

• Zweckbindung

• Datenminimierung/-sparsamkeit

• Sachliche Richtigkeit

• Speicherbegrenzung

• Integrität und Vertraulichkeit

• Grundsatz der Verantwortlichkeit (Rechenschaftspflicht – Art. 5 Abs. 2 DSGVO)

2. Verbot mit Erlaubnisvorbehalt

Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten, es sei denn, sie beruht auf einem Erlaubnistatbestand nach Art. 6 Abs. 1 lit. a) – f) DSGVO:

• Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO);

• Erfüllung eines Vertrages/vorvertragliche Maßnahme (Art. 6 Abs. 1 lit. b) DSGVO)

• Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO)

• Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Bereich(Art. 6 Abs. 1 lit. e) DSGVO)

• Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d) DSGVO)

• Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f) DSGVO)

III. Besondere Interessenlagen: Einsichtsrecht

Dem Eigentümer und der Wohnungseigentumsgemeinschaft stehen nach den §§ 675, 666 BGB in Verbindung mit dem Verwaltervertrag verschiedene Einsichts- und Prüfrechte in Bezug auf sämtliche Verwaltungsunterlagen zu. Datenschutzrechtlich gestaltet sich die Wahrnehmung eines Einsichtsrechts durch einen Eigentümer selbst eher unproblematisch.

1. Ausübung von Einsichtsrechten durch Eigentümer

Datenschutz steht dem Einsichtsrecht nicht entgegen, da die Wohnungseigentümer keine anonyme Gemeinschaft bilden. Darüber hinaus muss die Einsichtnahme dem Zweck des Gemeinschaftsverhältnisses dienen. In der DSGVO finden sich die dazugehörigen Erlaubnistatbestände in Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung).

2. Ausübung von Einsichtsrechten durch Dritte

Schließlich gibt es Konstellationen, in denen Dritte vom Eigentümer zur Einsichtnahme ermächtigt werden. Welchen Umfang ein Einsichtsrecht Dritter hat und was datenschutzrechtlich zu beachten ist, muss jeweils im Einzelfall geprüft werden. Dritte sind gerade nicht Teil der Eigentümergemeinschaft. Datenschutzrechtlich kommt für den Einsicht gebenden Verwalter der Erlaubnistatbestand nach Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse) zur Anwendung. Dieser erfordert eine jeweils einzelfallbezogene Interessenabwägung.

IV. Besondere Interessenlagen: Weitergabe von Daten an Dritte

Ob der WEG-Verwalter oder Mietverwalter Telefonnummern von Eigentümern/Mietern z.B. an Handwerker zur Terminvereinbarung weitergeben darf, hängt von den jeweiligen Konstellationen des Einzelfalles ab.

Denkbar sind folgende Konstellationen:

1. Verwalter → Handwerker → Eigentümer

2. Vermieter → Handwerker → Mieter

3. Verwalter → Handwerker → Mieter

4. Verwalter/Vermieter → potentieller Mieter →Mieter

V. Fazit

Verbot mit Erlaubnisvorbehalt: Personenbezogene Eigentümer-Daten dürfen nur aufgrund eines Erlaubnistatbestandes erhoben werden (Art. 6 Abs. 1 lit. a) – f) DSGVO).

Einzelfallbezogene Interessenabwägung: Bei der Prüfung des Erlaubnistatbestandes des Art. 6 Abs. 1 lit. f) (berechtigtes Interesse) ist eine Einzelfallbetrachtung mit Interessenabwägung erforderlich.

Grundsatz der Zweckbindung und Datenminimierung: Es dürfen nur die für den jeweiligen Prozess erforderlichen Daten erhoben oder im Rahmen eines ausgeübten Einsichtsrechts zur Verfügung gestellt werden.

TOM: Gerade im Falle der Ermächtigung Dritter, die außerhalb der Eigentümergemeinschaft stehen, sind entsprechend geeignete „technische und organisatorische Maßnahmen“ i.S.d. Art. 32 DSGVO, § 64 BDSG zu ergreifen, um ein angemessenes Datenschutzniveau der Eigentümerdaten zu gewährleisten.

Vertraulichkeitsvereinbarung: Der Einsatz einer Vertraulichkeitsvereinbarung kann bei Ermächtigung Dritter ein zusätzliches und geeignetes Mittel zum Schutz der Eigentümerdaten sein.

IT-Sicherheitskonzept: Grundsätzlich erforderlich ist ein umfassendes IT-Sicherheitskonzept inklusive Löschkonzept und Berechtigungsmanagement. Implementierte Sicherungsmaßnahmen müssen regelmäßig überprüft werden (Art. 24 und 32 DSGVO).

Informationspflicht: Nach dem neuen Grundsatz der Transparenz sind Eigentümer als Betroffene i.S.d. DSGVO grundsätzlich im Zeitpunkt der Datenerhebung in Form von Datenschutzhinweisen nach Art. 13 DSGVO zu informieren.

Im Zeitalter der unaufhaltsamen Digitalisierung aller Branchen, des „Smart Home“ und des „Internet of Things“ kann ein datenschutzkonformer Umgang mit Eigentümerdaten nur unter Beachtung der Grundsätze nach Art. 5 DSGVO gelingen. Digitalisierung wird ohne Datenschutz nicht möglich sein.