Die Reform des Wohnungseigentumsgesetzes hat die Rechtsbeziehungen in der WEG grundlegend verändert. Doch welche Auswirkungen hat das WEMoG auf den Datenschutz? Wer trägt die datenschutzrechtliche Verantwortung – die Gemeinschaft oder der Verwalter? Dieser Beitrag klärt die entscheidenden Fragen und gibt praxisorientierte Handlungsempfehlungen für eine DSGVO-konforme Verwaltung.
Mit dem Wohnungseigentumsmodernisierungsgesetz (WEMoG) wurde die Stellung des Verwalters grundlegend reformiert. Die §§ 9b, 27 WEG nähern seine Position nun der eines Geschäftsführers einer Kapitalgesellschaft an. Diese Änderung wirft eine fundamentale Frage auf: Ist nach der Reform noch der Verwalter oder nunmehr die Gemeinschaft der Wohnungseigentümer (GdWE) datenschutzrechtlich verantwortlich im Sinne der DSGVO?
Trotz der rechtlichen Annäherung an die Geschäftsführerstellung bleibt der Verwalter auch nach der WEG-Reform der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Diese Einschätzung basiert auf einer funktionalen Betrachtung der tatsächlichen Verhältnisse:
Nach der DSGVO ist Verantwortlicher, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Entscheidend sind dabei die Mittel der Verarbeitung – also alle Maßnahmen, die zur Erfüllung des Verarbeitungszwecks erforderlich sind, insbesondere:
Während bei einer Kapitalgesellschaft der Geschäftsführer mit dem Personal und den Organisationsmitteln der Gesellschaft arbeitet, stellt der WEG-Verwalter typischerweise eigenes Personal ein und nutzt eigene Betriebs- und Organisationsmittel.
Ein praktisches Beispiel verdeutlicht den Unterschied:
Die GdWE hat auf den Mitteleinsatz des Verwalters keinen unmittelbaren Einfluss. Sie kann lediglich den Verwalter abbestellen, wenn der Mitteleinsatz ungenügend erscheint, aber nicht über das EDV-System oder die Mitarbeiter bestimmen.
Auch eine gemeinschaftliche Verantwortlichkeit von Verwalter und GdWE nach Art. 26 DSGVO liegt nicht vor. Eine solche würde voraussetzen, dass beide gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden. Dies ist jedoch nicht der Fall:
Unterschiedliche Verarbeitungszwecke:
Fehlende gemeinsame Entscheidung über Mittel: Die GdWE entscheidet mit der Verwalterbestellung nicht über das „Wie" der Datenverarbeitung im Detail. Eine gemeinschaftliche Verantwortlichkeit würde bedeuten, dass der Verwalter jede Änderung bei den Verarbeitungsmitteln der Gemeinschaft vorlegen müsste – eine praxisferne Vorstellung.
Im Ergebnis entscheidet die GdWE nicht über die Mittel der Datenverarbeitung, was eine gemeinschaftliche Datenverarbeitung ausschließt.
Anders stellt sich die Situation dar, wenn kein Verwalter bestellt wurde. Nach § 9b I S. 2 WEG wird die Gemeinschaft dann durch alle Wohnungseigentümer vertreten. In diesem Fall ist die GdWE selbst Verantwortliche für alle Datenverarbeitungen, vergleichbar einer OHG, bei der die Gesellschafter mitarbeiten. Dies dürfte die Eigentümer regelmäßig überfordern.
Als datenschutzrechtlich Verantwortlicher treffen den Verwalter umfangreiche Pflichten aus der DSGVO. Die wichtigsten im Überblick:
Die Datenverarbeitung muss sich an folgenden Prinzipien orientieren:
Bei der Beauftragung von Dienstleistern – etwa Wärmemessdienstleistern für die Heizkostenabrechnung – liegt eine Auftragsverarbeitung vor. Der Verwalter muss:
Der Verwalter muss Wohnungseigentümer bei der Datenerhebung informieren, insbesondere:
Wichtig: Werden Daten für einen anderen Zweck weiterverarbeitet als ursprünglich erhoben (z. B. Weitergabe von Mieter- oder Eigentümerdaten an Kabelnetzbetreiber oder Stromversorger für Werbezwecke), ist eine vorherige Information gemäß § 32 BDSG i.V.m. Art. 13 III DSGVO erforderlich.
Wohnungseigentümer können vom Verwalter verlangen:
Nach Art. 5 II DSGVO muss der Verwalter nachweisen können, dass er die Datenschutzgrundsätze einhält:
a) Verzeichnis von Verarbeitungstätigkeiten (VVT) Ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungen personenbezogener Daten ist zu führen.
b) Dokumentation technischer und organisatorischer Maßnahmen Alle Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme (Art. 32 I DSGVO) müssen dokumentiert und auf Verlangen der Aufsichtsbehörde vorgelegt werden.
Ein Datenschutzbeauftragter ist zwingend zu bestellen, wenn der Verantwortliche ständig mindestens zwanzig Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 BDSG).
Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der zuständigen Aufsichtsbehörde mitzuteilen.
Datenschutzverletzungen wie etwa unbefugte Offenlegung, Verlust oder Vernichtung personenbezogener Daten sind unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Bei verspäteter Meldung ist eine Begründung beizufügen.
Keine Meldepflicht besteht nur dann, wenn die Verletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die WEG-Reform hat zwar an der Verantwortlichkeit des Verwalters nichts geändert, jedoch bei den Rechtsgrundlagen für die Datenverarbeitung. Drei Bereiche sind besonders relevant:
Alte Rechtslage (§ 28 V WEG a.F.): Die Eigentümer beschlossen über die vom Verwalter vorgelegte Abrechnung. Zur Vorbereitung der Beschlussfassung war es zulässig, alle Eigentümer über Hausgeldrückstände zu informieren.
Neue Rechtslage (§ 28 WEG n.F.): Nach der Novellierung beschließen die Eigentümer über die Einforderung von Nachschüssen oder Anpassung der Vorschüsse. Der Verwalter muss gemäß § 28 IV WEG einen Vermögensbericht erstellen und jedem Wohnungseigentümer zur Verfügung stellen.
Datenschutzrechtliche Bewertung: Die Information über Hausgeldrückstände einzelner Eigentümer bleibt zulässig, da Forderungen gegen säumige Eigentümer zum Gemeinschaftsvermögen gehören und im Vermögensbericht auszuweisen sind. Dies ist nach Art. 6 I c DSGVO (Erfüllung rechtlicher Verpflichtungen) gerechtfertigt und erforderlich, damit die Eigentümer entscheiden können, ob der Verwalter zur Klageerhebung berechtigt sein soll.
Neue Rechtslage: Der Verwalter vertritt die GdWE nun gerichtlich und außergerichtlich (§ 9b I WEG). Im Außenverhältnis ist keine Beschlussfassung vor Klageerhebung mehr erforderlich.
Im Innenverhältnis ist diese Befugnis jedoch durch § 27 I WEG eingeschränkt. Der Verwalter darf nur Maßnahmen ordnungsmäßiger Verwaltung treffen, die von untergeordneter Bedeutung sind und nicht zu erheblichen Verpflichtungen führen.
Praxisrelevanz: Da die Rechtslage zu Aktivprozessen wegen Hausgeldrückständen noch nicht höchstrichterlich geklärt ist, werden Verwalter zur eigenen Absicherung regelmäßig weiterhin einen Beschluss der Eigentümer einholen.
Datenschutzrechtliche Einordnung: Für die Beschlussfassung benötigen die Eigentümer Informationen über Höhe der Rückstände und den Schuldner. Die Weitergabe dieser Daten ist nach Art. 6 I b DSGVO (Vertragserfüllung) zulässig. Auch kann im Verwaltervertrag die Pflicht zur Einholung eines Beschlusses festgelegt sein.
Wichtige Änderung: Während Beschlussklagen nach altem WEG gegen die übrigen Eigentümer zu richten waren, sind sie nun gegen die GdWE zu richten. Der Verwalter hat die Klageerhebung unverzüglich den Eigentümern bekannt zu machen (§ 44 II WEG).
Datenschutzrechtliche Bewertung: Auch wenn dabei personenbezogene Daten des klagenden Eigentümers oder anderer Eigentümer bekannt werden, bestehen keine datenschutzrechtlichen Bedenken. Die Weitergabe erfolgt nach Art. 6 I c DSGVO in Erfüllung rechtlicher Verpflichtungen.
Zur DSGVO-konformen Verwaltung sollten folgende Maßnahmen umgesetzt werden:
Moderne Verwaltungssoftware kann die DSGVO-konforme Verwaltung erheblich erleichtern
Die Reform des Wohnungseigentumsgesetzes hat zwar die Rechtsbeziehungen in der WEG grundlegend verändert, an der datenschutzrechtlichen Verantwortlichkeit des Verwalters jedoch nichts geändert. Der Verwalter bleibt Verantwortlicher im Sinne der DSGVO. Eine funktionale Betrachtung der tatsächlichen Verhältnisse führt auch unter dem neuen Rechtsrahmen zu keinem anderen Ergebnis.
Für Verwalter bedeutet dies: Die WEG-Reform erfordert keine grundsätzliche Neuausrichtung der Datenschutzpraxis. Wesentlich ist die konsequente Umsetzung der DSGVO-Anforderungen – mit klarer Dokumentation, sicheren Prozessen und moderner technischer Unterstützung.
Adrian Freidank ist Rechtsanwalt und Fachanwalt für IT-Recht bei der Luther Rechtsanwaltsgesellschaft mbH am Standort in Köln. Er berät internationale und nationale Mandanten in allen Fragen des IT-, Urheber- und Datenschutzrechts. Zu seinen Spezialgebieten gehören neben dem klassischen IT-Recht, wie IT-Verträge, Data Act und Datenschutz, insbesondere die Beratung in IT-Ausschreibungen einschließlich der Erstellung und Verhandlung der erforderlichen EVB-IT Verträgen. Seine Interessen liegen außerdem im Bereich des Property Tech (PropTech) und in der Anwendung der Blockchain-Technologie für offline Anwendungen. So hat er z. B. die datenschutzrechtlichen Kapitel im „Handbuch Immobilienwirtschaftsrecht“ (Hrsg. Guido Meyer) geschrieben. Er hält Vorträge und publiziert zu Themen des IT- und Datenschutzrechts, insbesondere zur Digitalisierung der öffentlichen Verwaltung und zum EVB-IT Vertragsrecht und hat einen Lehrauftrag der TH Köln für Informations- und Datenschutzrecht im Bachelor „Data and Information Science“.
