Namen, Anschriften, Kontaktdaten, Vertragsdetails oder Bankverbindungen – Hausverwalter verarbeiten in ihrem Alltag eine Menge an personenbezogenen Daten von Bewohnern, Eigentümern und Mietern. Dabei stets zu achten ist die DatenschutzGrundverordnung, kurz DSGVO.

‍

„Wenn dabei eine Auftragsverarbeitung vorliegt, sind in einem Auftragsverarbeitungsvertrag zwischen Verwalter und Gemeinschaft die dahingehenden Details zu vereinbaren“, weiß ease Rechtsexperte Thomas Hannemann. Eine solche Auftragsverarbeitung liegt aber bei weitem nicht automatisch vor. „Es kommt bei der Bewertung auf den Entscheidungsspielraum des Hausverwalters, die Weisungsgebundenheit, an“, fährt Hannemann fort. Liegt eine Weisungsgebundenheit vor, ist auch die Auftragsverarbeitung gegeben, anderenfalls nicht. Eine grundsätzliche Regelung dazu sucht man vergeblich und letztendlich bietet der Art. 26 DSGVO mit der „gemeinsamen Verantwortung“ auch noch eine dritte Option an. „In vielen Fällen ist es wohl so, dass der Verwalter die Daten in eigener Verantwortung verarbeitet, aber es kommt letztendlich immer auf die genaue vertragliche Ausgestaltung zwischen Gemeinschaft und Verwalter im Einzelfall an“, ordnet der Experte ein.

‍

WEITERE PFLICHTEN NICHT ZU VERNACHLÄSSIGEN

Ob nun eine Auftragsverarbeitung vorliegt oder nicht, die DSGVO hält noch die ein oder andere weitere Pflicht für Hausverwalter bereit. So muss er ein schriftliches Verzeichnis über seine Verarbeitungstätigkeiten führen. Die Mitarbeiter einer Hausverwaltung, auch wenn sie nur in kleinerem Umfang personenbezogene Daten verarbeiten, müssen eine Datenschutzverpflichtung unterschreiben. Sowohl ihnen als auch den Kunden gegenüber sind Hausverwaltungen zur Auskunft verpflichtet. Darüber hinaus müssen Verwalter gespeicherte Daten gemäß den gesetzlichen Vorgaben auch wieder löschen. Unabhängig davon, ob sie selbst Auftragsverarbeiter sind, müssen sie mit externen Partnern gegebenenfalls Auftragsverarbeitungsverträge schließen und kommt es zu Datenschutzverletzungen, unterliegen sie der Meldepflicht. Solche Verletzungen können beispielsweise durch Hacking entstehen oder auch durch den Verlust eines Datenträgers.

‍

HANDWERKERKOMMUNIKATIONBIRGT RISIKEN

Die DSGVO hält also durchaus einige Stolpersteine für Hausverwaltungen bereit, „die gekannt und beachtet werden müssen“, rät Thomas Hannemann. Besondere Aufmerksamkeit hat hier auch die Datenkommunikation mit beauftragten Handwerkern verdient. Diese sind in der Regel nämlich als eigenverantwortlich einzustufen und damit keine Auftragsverarbeiter. Müssen Handwerkern personenbezogene Daten zugeleitet werden, und das ist ein durchaus praxisrelevanter Fall, bietet der Art. 6 DSGVO verschiedene Voraussetzungen. Zunächst ist das mit schriftlicher Einwilligung möglich, wobei zu bemerken ist, dass eine entsprechende Klausel direkt im Mietvertrag ausreichend konkret die gemeinten zukünftigen Fälle beschreiben muss. Eine pauschale Generaleinwilligung ist nicht wirksam. Die Alternative wäre die Einwilligung im Einzelfall, was rechtssicherer, aber auch deutlich aufwändiger wäre.

‍

Option zwei ist ein berechtigtes Interesse, das höher einzustufen ist als die Rechte des Bewohners, was zwar denkbar ist, jedoch immer wieder aufs Neue zu bewerten wäre.

‍

Wenn die Datenweitergabe zur Erfüllung eines Vertrags notwendig ist, wäre sie auch gedeckt. Jedoch scheitert das oft am Zusammenfallen von Vertragsverhältnis und Erforderlichkeit, da in der Regel kein Vertragsverhältnis zwischen Verwalter und Bewohner vorliegt. Und schließlich ist auch die Datenweitergabe zur Erfüllung rechtlicher Pflichten in der Praxis meist nicht zielführend, „so dass für diesen Fall eine gesetzeskonforme Einwilligungsklausel im Mietvertrag der in der Praxis anzustrebende Weg sein sollte“, empfiehlt Hannemann.