1. Home
  2. Joint Controllership oder...
DataAgenda

Joint Controllership oder Auftragsverarbeitung: Immobilienwirtschaft

Joint Controllership

Art. 26 DS-GVO enthält eine Regelung zur gemeinsamen Verantwortlichkeit für die Datenverarbeitung (Joint Controllership). Der Umstand, dass bei Zusammenarbeit mehrerer Stellen diese gemeinsam für eine Datenverarbeitung verantwortlich sein können, ist nicht neu. Allerdings erfuhr die Rechtsfigur vor Geltung der DS-GVO wenig praktische Relevanz. Stattdessen wurde in diesen Fällen häufig eine Auftragsverarbeitung angenommen und der (Mit-)Verantwortliche zum vermeintlichen Auftragsverarbeiter erklärt. Die Rechtsfigur der gemeinsamen Verantwortlichkeit hat zu einer nicht unerheblichen Verunsicherung geführt und wirft zahlreiche praxisrelevante Fragen auf. So bedarf es der Abgrenzung zur Auftragsverarbeitung (Art. 28 DS-GVO) einerseits und zur alleinigen Verantwortlichkeit andererseits.

In seinem 29. Tätigkeitsbericht thematisiert auch der Landesdatenschutzbeauftragte Rheinland-Pfalz diese Verunsicherung aus dem Blickwinkel der Behörde. Dem LfDI seien im Berichtszeitraum sowohl seitens der Wohnungseigentümergemeinschaften (WEG) als auch von den Hausverwaltungen immer wieder Fragen im Hinblick auf die datenschutzrechtliche Verantwortlichkeit dieser Stellen gerichtet worden.
Ein Grund dafür könne sein, dass auch das Amtsgericht Mannheim (Urt. v. 11.09.2019 – 5 C 1733/19 WEG) Stellung zu dieser Frage genommen habe. Die im Rahmen von Tätigkeiten der WEG und Hausverwaltungen entstehenden Datenverarbeitungsvorgänge bewertet der LfDI wie folgt:

„1. Der Verwalter ist überwiegend alleinverantwortlich, soweit er seine originären Verwalteraufgaben (vgl. §§ 27, 28 Wohnungseigentumsgesetz) ausführt.

2. Führt der Verwalter einen Beschluss der Eigentümergemeinschaft aus (z.B. Entscheidung über eine Videoüberwachung im Haus), so ist es wahrscheinlich, dass die WEG datenschutzrechtlich verantwortlich ist und der Verwalter die Aufgaben nur auf Weisung der WEG ausführt und somit keine eigenen Entscheidungen über Zwecke und Mittel der Verarbeitung trifft. Wenn diese der Fall ist, liegt ggf. eine Auftragsverarbeitung i.S.v. Art 28 DS-GVO vor. Für die Frage, ob es sich gegebenenfalls um eine Auftragsverarbeitung handelt, sollte jedoch immer der konkrete Beschluss bzw. die Datenverarbeitung im Einzelfall geprüft werden.

3. Es ist nicht ausgeschlossen, dass es auch Fälle geben kann, in denen die WEG und der Verwalter als gemeinsame Verantwortliche i.S.v. Art. 26 DS-GVO agieren. Auch dies ist anhand des konkreten Einzelfalles zu beurteilen.“

Der LfDI ist mit der Datenschutzkonferenz nicht der Auffassung, dass die Verwaltung für WEG grundsätzlich eine Auftragsverarbeitung im Sinne von Art. 28 DS-GVO darstellt. Die Hausverwaltung verarbeitet personenbezogene Daten in eigener Verantwortung. Sie ist mithin Verantwortlicher im Sinne der DS-GVO.
In einem internen Arbeitskreis der Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sei das Urteil des AG Mannheims vom 11. September 2019 bereits im Herbst 2019 thematisiert und einhellig besprochen worden, dass dieses nichts an der bisherigen Rechtsauffassung der DSK ändert.

Der Landesdatenschutzbeauftragte Rheinland-Pfalz

(Foto: jirapong – stock.adobe.com)

Letztes Update:25.08.22

Verwandte Produkte

  • Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Seminar

    794,60 € Mehr erfahren

Das könnte Sie auch interessieren

  • Datenschutz-Defizite bei Paypal

    Gutachten: Datenschutz‑Defizite bei PayPal

    Ein aktuelles Gutachten des Netzwerks Datenschutzexpertise kritisiert die DS-GVO‑Praxis von PayPal. Demnach erhebt und verarbeitet der Zahlungsdienstleister weit über die reine Zahlungsabwicklung hinausgehende Daten – darunter Transaktions-, Identifikations-, Geräte- und abgeleitete Profildaten – auch für Werbe- und Marketingzwecke. Sensible Daten werden teilweise ohne hinreichende Schutzmaßnahmen verarbeitet. Zentrale Schwachstellen betreffen Transparenz und Einwilligung: Nutzer werden unzureichend

    Mehr erfahren
  • Sicherheit und Passwortmanager

    BSI‑Analyse: Sicherheitslage bei Passwortmanagern

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen einer IT‑Sicherheitsanalyse auf dem digitalen Verbrauchermarkt die Sicherheitsaspekte gängiger Passwortmanager untersucht. Der Bericht basiert auf einer Bewertung von zehn verbreiteten Produkten verschiedener Typen (inkl. browserbasierter Lösungen, Apps und Open‑Source‑Varianten). Ziel ist es, Chancen und Risiken dieser zentralen Tools zur Passwortverwaltung praxisnah aufzuzeigen. Wesentliche Befunde

    Mehr erfahren
  • Sicherheit E-Mail-Clients

    BSI-Bewertung zur Sicherheit von E-Mail-Programmen

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jüngst im Rahmen seines Digitalen Verbraucherschutz-Berichts (DVS) eine Untersuchung zur Sicherheit gängiger E-Mail-Programme veröffentlicht. Der Report beleuchtet, inwiefern etablierte Clients und Softwarelösungen zentrale Sicherheits- und Datenschutzanforderungen erfüllen, insbesondere im Hinblick auf Verschlüsselung, Authentifizierung und Schadsoftware-Abwehr. Kernpunkte der Analyse Ergebnisse und Einordnung Die vorläufige Bewertung des BSI

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner