Aus der Praxis
Datenschutz im Wohnungseigentum ist ein vernachlässigtes Thema. Das wird zunehmend deutlich: Wie ist mit Gesundheitsdaten (Corona!) umzugehen? Wie mit Auskunftsansprüchen über gespeicherte Daten? Wie mit Unterlassungsansprüchen, wenn ein Eigentümer sich gegen Mitteilung seines Namens im Zusammenhang mit einem Schaden wehrt.
So wird also geklagt, ob Auskunftsansprüche der Wohnungseigentümer auch personenbezogenen Daten andere Wohnungseigentümer beinhalten dürfen oder Klage geführt, damit der Verwalter Informationen nicht bestimmten Wohnungseigentumseinheiten zuordnen soll (Legionellenbefall, ausstehende Hausgelder).
Oft sind jedoch noch nicht einmal die Basics, die Grundlagen des Datenschutzes in einer Wohnungseigentümergemeinschaft geklärt. Diese sollte sich jedoch jede WG vor Augen führen. Denn es ist zunächst die Gemeinschaft der Wohnungseigentümer selbst, die für die Einhaltung des Datenschutzes verantwortlich ist.
Geregelt ist der Datenschutz in der Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz und den Landesdatenschutzgesetze.
Verantwortlicher im Sinne der DSGVO ist nach Art. 4 Nummer 7 DSGVO „die natürliche oder juristische Person … die alleine oder gemeinsam mit Anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Zur Organisation der Wohnungseigentümergemeinschaft ist jedenfalls die Verarbeitung von personenbezogenen Daten der Eigentümer, gegebenenfalls auch der Mieter, nötig. Darunter fallen nicht nur die herkömmlichen Daten, Name, Adresse etc., sondern können unter Umständen auch besondere Kategorien personenbezogener Daten fallen, die einem besonderen Schutz nach Art. 9 DSGVO unterliegen. Das sind etwa sensitive Daten wie ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen, Gesundheitsdaten oder Daten über die sexuelle Ausrichtung der Eigentümer oder Mieter.
Da in der Regel mit der Verwaltung des Wohnungseigentums ein Verwalter beauftragt ist, wird diesem auch die Verwaltung der personenbezogenen Daten übertragen. Der Verwalter ist daher in jedem Fall Mitverantwortlicher und regelmäßig Auftragsverarbeiter im Dienste der DSGVO.
Sowohl für die Gemeinschaft, als auch für den Verwalter entstehen daher eine Reihe von Pflichten. Diese Pflichten ergeben sich vor allem aus der Datenschutzgrundverordnung, wie etwa die Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit und Rechenschaftspflicht.
Aufgrund dieser Pflichten erscheint es notwendig, dass zwischen der Gemeinschaft der Wohnungseigentümer und dem Verwalter eine Vereinbarung über das fortlaufende Datenschutzmanagement getroffen wird, die gegebenenfalls auch eine weitere Auftragsdatenverarbeitung beinhaltet.
Noch weitergehend wäre zu berücksichtigen, wenn der Verwalter eine Software benutzt, die, wie heutzutage üblich, die Daten nicht in den Räumen des Verwalters, sondern außerhalb in der Cloud oder als SaaS verarbeitet.
Das Amtsgericht Mannheim hat hierzu wegen der Vergütung des Verwalters für diese Tätigkeit entschieden, dass eine Vereinbarung zwischen der Gemeinschaft der Wohnungseigentümer und dem Verwalter mit Festlegung einer Sondervergütung nicht zu beanstanden ist.
Auch wenn die Speicherung und Verarbeitung personenbezogener Daten durch den Verwalter nicht ausdrücklich gesetzlich geregelt ist, hat er dies im Rahmen der ordnungsgemäßen Verwaltung zu erledigen. Übt der Verwalter das Datenschutzmanagement und die Sorge um eine datenschutzrechtskonforme Verwaltung der personenbezogenen Daten der Eigentümer (und der Mieter) für die Gemeinschaft aus, hat er daher keinen Anspruch auf Sondervergütung. Die Wohnungseigentümer haben jedoch die Kompetenz, durch Mehrheitsbeschluss eine Sondervergütung für diesen besonderen Verwaltungsaufwand zu vereinbaren. Denn die Beachtung des Datenschutzes übt der Verwalter für die Gemeinschaft aus, wodurch ihm zusätzlicher Aufwand entsteht, der mit dem Grundhonorar nicht abgedeckt ist.
Aus der Praxis
Bei netzpolitik.org ist mein Beitrag über Verletzungen datenschutzrechtlicher Vorschriften bei der Nutzung von Office 365 an einer bayerischen Schule erschienen.
Im Wesentlichen geht es im Beispielsfall darum, dass die Schule als Verantwortliche ihren Informationspflichten nicht nachkommt und das Vertragsmodell von Microsoft eine klare Trennung von ihrem bisherigen Geschäftsmodell, auch durch Datenverarbeitung Wertschöpfung zu betreiben, nicht erkennen lässt. In den hier untersuchten Vertragsmodellen war für einen Teil der Anwendungen (Word, Excell etc.) die Schule verantwortlich, für andere (Teams, Outlook u.a.) Microsoft selbst. Daher erfolgt die Verarbeitung personenbezogener Daten auch durch Microsoft. Bereits diese Trennung der Verantwortungssphären ist den meisten Beteiligten nicht klar, es wird nicht darüber informiert. Die Vertragsunterlagen von Microsoft tragen eher zur Unklarheit bei.
Datenschutz ist der Schutz der Menschen hinter den Daten. Wenn diese verarbeitet wurden ist es meist bereits zu spät.
Microsoft bestreitet zwar, Daten für Werbung oder anderweitig zu monetarisieren. Den untersuchten Unterlagen, den Datenschutzerklärungen von Microsoft oder den MicrosoftOnlineServicesTerms etc. lassen sich voreingestellte Zustimmungen zur Verwendung der Daten zu Werbezwecken entnehmen, zudem umfangreiche Datenverarbeitung zu einer nicht genauer bestimmten Modellierung der Software. Ebenso behält sich Microsoft weiter die Speicherung der personenbezogenen Daten in den USA vor, was zuletzt wieder durch den EUGH durch das Urteil Schrems II für rechtswidrig erklärt wurde. Hinter der Datenverarbeitung von Microsoft (wie der anderen BigData Unternehmen) stecken also im Wesentlichen folgende Problemlagen:
– Die Daten werden mit Klarnamen oder pseudonymisiert verkauft für Werbung, Versicherungsleistungen etc.
– Die Daten werden zur Modellierung neuer Software verwendet, vor allem zur Bildung von LockInn-Geschäftsmodellen. Besonders im Bildungssektor ein fragwürdiges Modell.
– Die Datenverarbeitung in den USA widerspricht im Besonderen noch einmal den datenschutzrechtlichen Grundlagen, da in den USA eine EU-rechtskonforme Nutzung durch die Geheimdienste nicht gewährleistet wird.
Datenschutz ist nicht Datensicherheit. Der Datenschutz geht im Kern auf das Problem ein, dass Informationen über Menschen die Grundlage für die Ausübung von Macht sind. Es geht dabei nicht nur um den Einzelnen, sondern auch um die Organisation der Individuen in Gruppen, Interssenverbänden, also um die Möglichkeit der Ausübung von Freiheit und ungehinderte Teilnahme am gesellschaftlichen Prozessen: Bildung, Politik, Arbeit. Aus diesem Grund kann ein Einzelner auf sein Grundrecht auf Datenschutz nur in besonderen Fällen verzichten. Er kann etwa nicht sein Telefonbuch „freiwillig“ an WhatsApp freigeben, ohne die dort gespeicherten Personen um ihre Zustimmung gefragt zu haben.
Richtig ist daher, dass jede Datenverarbeitung einen Grundrechtseingriff darstellt, für den es einen Rechtfertigungsgrund geben muss. Das gilt selbstverständlich für öffentliche Stellen, wie Schulen, mehr als für Wirtschaftsunternehmen.
In den Schulen, wie anderswo, wird über die Notwendigkeit und die Grundlagen des Datenschutzes wenig bis nicht informiert. Da keine Sanktionen erfolgen, hält man den Datenschutz bestenfalls für ein Kavaliersdelikt.
Es gehen nach dem Artikel viele Nachfragen ein, wie sich die behandelten Verstöße gegen den Datenschutz mit der Integrität der öffentlichen Verwaltung vereinbaren lassen. Die Frage ist berechtigt, sollte jedoch an die Schulverwaltungen und die Kultusministerien gestellt werden, die sich für Verträge mit Microsoft entschieden haben und seit langem offenbar erfolglos im Hintergrund daran arbeiten, die Verträge datenschutzkonform zu gestalten. Dieses Bevorzugen einer im Kern kritischen Lösung ist zuletzt nicht nur datenschutzrechtlich bedenklich, sondern auch wirtschaftspolitisch. Bedeutet es doch, dass heimische Anbieter, die geltende Gesetze beachten, nicht gleichberechtigt berücksichtigt werden. In Bayern etwa ist nicht bekannt, dass vor der Entscheidung für Microsoft eine Ausschreibung erfolgt wäre.
Aus der Praxis
Im Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Dann müssen sich im Zweifel alle Verantwortlichen für die automatisierte Verarbeitung personenbezogener Daten den Grundsätzen und Pflichten der DSGVO unterwerfen. Die Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Die Verordnung wird besonders im Internet zum Teil kritisiert: Ich halte das nicht für angebracht. Wie der aktuelle Missbrauch personenbezogener Daten bei Facebook (März 2018) wieder zeigt, sollte das Internet kein rechtsfreier Raum sein. Das beschädigt nachhaltig das Vertrauen der Nutzer und der Kunden in das System und führt womöglich langfristig zu dessen Kollaps. Das Beispiel der westlichen demokratischen Industriestaaten zeigt, dass bürgerliche Freiheitsrechte und wirtschaftlicher Erfolg einander bedingen. Die Voraussetzungen dafür hat der Rechtsstaat mit seinem Regelwerk der Balance der gesellschaftlichen und wirtschaftlichen Interessen aller Beteiligten geschaffen. Auch die DSGVO dient der Vertrauensbildung und ist als innovativ und zukunftsweisend zu begrüßen.
Verpflichtet sind „Verantwortliche“: Das sind (im unterschiedlichen Maß und mit Ausnahmen) alle natürlichen oder juristischen Personen, Behörden, Einrichtungen oder andere Stellen, die über Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheiden. Verantwortliche sind daher u.a.
– Vereine und Verbände,
– Schulen, Bildungsinstitute,
– Gewerbetreibende: Ärzte, Hausverwaltungen oder die Reparaturwerkstatt,
– Arbeitgeber,
– Betreiber von E-Commerce-Shops usw. usf..
Eine Ausnahme kann bestehen bei der Datenverarbeitung im Rahmen ausschließlich privater oder familiärer Tätigkeit, wobei auch da der Grundsatz der Verhältnismäßigkeit zu beachten ist: Im Rahmen einer rein privaten Tätigkeit kann auch die Veröffentlichung von persönlichen Daten im Internet (beispielsweise von Mitgliedern einer Kirchengemeinde) unverhältnismäßig und nicht erlaubt sein.
Umfasst von der DSGVO sind demnach z.B. die Verarbeitung der Daten von Vereinsmitgliedern, Angestellten, Mitarbeitern, Kunden, Patienten, Mietern, Schülern oder das Anbieten von Dienstleistungen im Internet: alle Verarbeitungsvorgänge, die persönliche Daten mit Hilfe von Informationstechnologie betreffen.
Allgemeine mögliche Pflichten des Verantwortlichen:
1. Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten.
2. Pflicht zur Ernennung und öffentlicher Bekanntgabe eines Datenschutzbeauftragten.
3. Informationspflichten.
4. Achtung der Betroffenenrechte.
5. Sorgfaltspflicht bei Vergabe der Auftragsverarbeitung, Erstellung neuer Verträge
6. Mitteilungspflicht bei Verletzung des Schutzes personenbezogener Daten.
7. Erstellung einer Datenschutzfolgeabschätzung bei besonders sensiblen (risikogeneigten) Daten (z.B. Patientendaten).
8. Umsetzung „data protection by design“ und „data protection by default“.
Berücksichtigung der Betroffenenrechte:
1. Recht auf Berichtigung.
2. Recht auf Löschung.
3. Recht auf Datenübertragbarkeit.
4. Widerspruchsrecht
5. Automatisierte Entscheidung im Einzelfall einschließlich Profiling.
Ob im Einzelfall alle Pflichten zu beachten sind oder Ausnahmeregelungen bestehen, ist von einem Fachmann zu prüfen. Die Verletzung der Pflichten ist mit Bußgeldern bedroht.
