Es soll keine Geheimnisse geben (vgl. Dötsch in Bärmann, WEG Kommentar, 15. Aufl. 2023, § 18 Rn. 129). Die Gewährung einer Einsicht in Verwaltungsunterlagen entspricht immer ordnungsmäßiger Verwaltung, auch ohne vorherige Beschlussfassung. Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 11. Fe-bruar 2011 (V ZR 66/10, ZMR 2011, 489) bestätigt, dass kein besonderes Interesse an der Einsichtnahme erforderlich ist und diese auch anlasslos jeder Wohnungseigentümer wahrnehmen kann. Auch der Datenschutz steht dem nicht entgegen. Gemäß Art. 6 Abs. 1 lit. f DSGVO ist die Verarbeitung zur Wahrung der berechtigten Interessen des Wohnungseigentümers erforderlich (vgl. Becker, ZWE 2019, 297 [303], so auch Hügel/Elzer, Wohnungseigentumsgesetz, 3. Aufl. 2021, § 18 Rn. 146).
Und der Mieter?
Aber nicht nur Eigentümer, auch Mieter (in Vertretung und mit Vollmacht des vermietenden Wohnungseigentümers) oder andere bevollmächtigte Dritte können Einsicht in die Verwaltungsunterlagen verlangen. Der BGH hat am 7. Fe-bruar 2018 (VIII ZR 189/17, ZMR 2018, 573) ein weitreichendes Urteil zur „Darlegungslast“ des Vermieters bei Heizkostenabrechnungen und zum Umfang der Belegeinsicht bei der Kontrolle der jährlichen Betriebskostenabrechnung gefällt. Der Kläger, ein Vermieter, forderte von den Beklagten, seinen Mietern, eine Nachzahlung von über 5.000 Euro für Heizkosten. Die Beklagten zweifelten die Plausibilität der Abrechnungswerte an und verlangten Einsicht in die Belege mit den Verbrauchseinheiten anderer Wohnungen, was der Kläger ablehnte. Die Vorinstanzen entschieden noch zugunsten des Klägers; jedoch stellte der BGH klar, dass der Vermieter die Beweislast für die Richtigkeit der Kostenverteilung trägt und der Mieter das Recht hat, Einsicht in die Abrechnungsunterlagen zu nehmen, um diese zu überprüfen. Solange die Belegeinsicht unberechtigt verweigert wird, ist der Mieter nicht zur Nachzahlung verpflichtet. Daher hob der BGH das Urteil der Vorinstanz auf und wies die Klage des Vermieters als unbegründet ab.
Und der Datenschutz?
Interessant an diesem Urteil ist, dass der Datenschutz nicht erwähnt wurde. So dauerte es nicht lange, bis die ersten Fragen an Datenschutzbeauftragte herangetragen wurden, ob nun auch Namen von Mietern dem Einsichtsrecht unterworfen seien. Das Urteil des BGH ist eindeutig. Denn Einzelverbrauchsdaten von Mietern sind personenbezogene Daten (Art. 4 Nr. 1 DSGVO). Und so sind durchaus Rückschlüsse auf das Verbrauchsverhalten Einzelner möglich. Die Frage ist also, ob ein betroffener Mieter der Offenlegung widersprechen könnte. Die Antwort ist nicht so ganz eindeutig, zumindest aus Sicht des Datenschutzes. So gesehen hat jemand, der Einsicht nimmt, primär Interesse an den Verbrauchswerten und weniger an den Namen der Mieter. Personenbezogene Daten würden also eben nur eine untergeordnete Rolle spielen. Aber sobald personenbezogene Daten verarbeitet werden, ist der Datenschutz einzuhalten, denn grundsätzlich werden ja personenbezogene Daten bei der Erstellung einer Betriebskostenabrechnung verarbeitet. Auch die Weitergabe personenbezogener Daten an einen beauftragten Dienstleister, zum Beispiel zur Erstellung der Heizkostenabrechnung, sind erforderlich, da eine Zuordnung der Ablesewerte und der resultierenden Abrechnung sonst nicht möglich wäre. Ein Vermieter ist gemäß § 259 Abs. 1 BGB verpflichtet, die Belegeinsicht auf Anforderung zu erfüllen. Auch im Mietvertrag ist diese Verpflichtung in der Regel enthalten. Damit können Mieternamen über Art. 6 Abs. 1 lit. c DSGVO offengelegt werden. Ein Widerspruch dürfte wenig Wirkung haben.
Eine Frage des Niveaus
Aus datenschutzrechtlicher Sicht muss aber unterschieden werden, inwieweit ein gewisses Datenschutzniveau beim Verwalter vorherrscht. Gemeint ist, dass sich Unternehmen nur dann auf etwaige Rechtsgrundlagen berufen sollten, wenn die gesamte Anforderung zur Umsetzung und zur Wahrung datenschutzrechtlicher Vorgaben stets gewährleistet ist. Und das dürfte in den wenigsten Unternehmen der Fall sein. Es ist zu einfach, einen Paragrafen oder Artikel herauszusuchen und diesen dann als Maßgabe für das geforderte Handeln zu benutzen. Fatal wird es beispielsweise dann, wenn es keinen Plan zur tatsächlichen Einhaltung der datenschutzrechtlichen Vorgaben gibt und ein Betroffener eines seiner „Betroffenenrechte“ (Art. 12–22 DSGVO) geltend macht. Was, wenn dann eine Aufsichtsbehörde eine sogenannte „Prüfung des Unternehmens“ vornimmt? Ein gewisses Niveau zur Umsetzung rechtlicher Pflichten (hier: Datenschutz) ist für jeden Mieter, Eigentümer, Interessenten (Kunden) erwartbar. Egal wie – Datenschutz gehört heute einfach dazu. Also warum kann sich ein Betroffener nicht auf die Umsetzung datenschutzrechtlicher Vorgaben verlassen, wie es beispielsweise auch für die Umsetzung sämtlicher rechtlicher Vorgaben aus dem WEG der Fall ist? Jeder Betroffene hat das Recht, darauf zu vertrauen, dass seine Daten „nach Treu und Glauben“ (Art. 6 Abs. 2 DSGVO) verarbeitet werden. Demnach kann jeder Zuverlässigkeit, Rücksicht und das eigene Vertrauen in die „Treue“ des anderen (hier: Verwalter) erwarten.
Eine Frage der Vertraulichkeit
Nimmt ein Mitglied der Gemeinschaft das Einsichtsrecht wahr, so wird eine Vereinbarung zur Vertraulichkeit sicherlich nicht zwingend sein (vgl. Dötsch in Bärmann, a. a. O. § 18 Rn. 141). In der Regel wird eine Belegprüfung in den Räumen des Verwalters vorgenommen (vgl. Hügel/Elzer, a. a. O. § 18 Rn. 150). Jedoch ist es gerade bei größeren Gemeinschaften üblich, dass Eigentümer oder Beiräte die Belegordner mit nach Hause nehmen. Damit würden Unterlagen aus dem geschützten Betriebs- und Bürobereich – und auch aus dem IT- und Datenschutzbereich – des Wohnungsverwalters ins Ungewisse „entlassen“. Gerade dann ist eine (einseitige) aussagekräftige Information bzw. ein datenschutzrechtlicher Handhabungshinweis zum Umgang mit den überlassenen Daten äußerst sinnvoll bzw. notwendig. Erst recht, wenn beispielsweise bevollmächtigte Dritte Einsicht nehmen. Daher ist es anzuraten, mindestens ein entsprechendes Merkblatt zum Umgang mit den überlassenen Daten auszuhändigen. Innerhalb der Verwaltung sollte es einen entsprechenden Prozess geben, der sicherstellt, dass alle Mitarbeiter derartige Vorgehensweisen einhalten. Im Gegensatz zu den Informationspflichten (Art. 13 und 14 DSGVO) sollte eine Bestätigung über den Erhalt und die Kenntnisnahme verlangt werden. Auch bei der Überlassung der „Eigentümerliste“ ist diese Vorgehensweise stets anzuraten. In der Regel sollte die Eigentümerliste lediglich „postalische“ Daten enthalten. Etwaige „private“ Daten zur Verfügung zu stellen, zum Beispiel die E-Mail-Adresse oder die Mobilfunknummer, ist aus datenschutzrechtlicher Sicht unzulässig und sollte daher kein Bestandteil einer Eigentümerliste sein.
Eine Frage der Transparenz
Die Informationspflichten, auch als Datenschutzhinweise oder Datenschutzerklärung bezeichnet, sind ein wesentlicher Bestandteil, um die datenschutzrechtlichen Anforderungen zu erfüllen. Artikel 13 der DSGVO regelt die Informationspflichten bei der Erhebung personenbezogener Daten. Danach sind betroffene Personen zu informieren, wenn personenbezogene Daten erhoben werden, zum Beispiel die Identität des Verantwortlichen, der Zweck der Datenverarbeitung, die Rechtsgrundlage und die Empfänger der Daten. Diese Informationen sollen sicherstellen, dass betroffene Personen über die Verarbeitung ihrer Daten informiert sind und ihre Rechte (Betroffenenrechte in Art. 12–22 DSGVO) ausüben können. Besonders bei der Übernahme einer neuen Verwaltung sollte dies ein normaler Prozess sein. Die „neuen Kunden“ sollten sofort, zum Beispiel als Anhang zum Begrüßungsschreiben, die Informationen gemäß Art. 13 DSGVO erhalten, zum Beispiel als Beiblatt oder Flyer. Ein Hinweis auf die Datenschutzerklärung auf der Website ist nicht sinnvoll, da diese im Allgemeinen die Verarbeitung personenbezogener Daten auf der Website selbst erklärt, nicht aber die Verarbeitung innerhalb des Unternehmens. Jeder Verwalter sollte wissen, dass die Informiertheit aller Betroffener die datenschutzrechtliche Angriffsfläche extrem minimiert. Wenn ein Unternehmen transparent die Datenverarbeitung darlegt, minimiert sich auch der Effekt der „negativen Überraschung“, das heißt, die meisten Beschwerden entstehen eigentlich nur, weil der Verwalter vorher nicht entsprechend informiert hat. Für die Praxis heißt dies, dass im Zuge einer Einsichtnahme unter dem Abschnitt „Empfänger der Daten“ auch etwaige Mieter, Eigentümer, Beiräte, bevollmächtigte Dritte dargestellt werden. Da die Empfänger zum Zeitpunkt der Einsichtnahme sicherlich nicht bekannt sein werden, genügt die Nennung der Empfängerkategorien. Damit sind die Informationspflichten insoweit erfüllt, als dass eben auch bei einer Belegprüfung oder einer Kontrolle der Betriebskostenabrechnung personenbezogene Daten offengelegt werden können. Auch Kopien oder Fotografien während der Einsichtnahme sind in der Regel zulässig – aber eben nur dann, wenn das vorher genannte „Datenschutzniveau“ beim Verwalter vorherrscht.
Fazit
Die Offenlegung personenbezogener Daten während der Einsichtnahme durch Eigentümer, Mieter oder bevollmächtigte Dritte ist in der täglichen Praxis einer Wohnungsverwaltung völlig normal. Sofern der Verwalter darauf achtet, dass nur berechtigte Personen die Verwaltungsunterlagen oder Abrechnungsunterlagen einsehen und keine personenbezogenen Daten offenlegt, die nicht zur Einsichtnahme erforderlich sind, entspricht er sowohl seiner Informationspflicht aus dem Wohnungseigentumsgesetz als auch aus dem Datenschutzgesetz. Dabei müssen auch keine personenbezogenen Daten geschwärzt werden. Die DSGVO ist ganz klar auf den Schutz personenbezogener Daten bei der Verarbeitung ausgerichtet und enthält entsprechende Vorschriften zum Umgang mit den erlangten Daten. Sie ist eine Verordnung. Während Gesetze festlegen, was passieren soll, legt eine Verordnung fest, wie Gesetze umgesetzt werden sollen. Die Qualität eines Unternehmens lässt sich leicht an kleinen Hinweisen erkennen, zum Beispiel an der Umsetzung der Informationspflichten nach der DSGVO. Einen besseren Indikator für Rechtstreue und Güte gibt es nicht.
Reinhold Okon
dsb-okon.de
Reinhold Okon ist zertifizierter Datenschutzbeauftragter (TÜV Süd) und hat sich seit Jahren auf den Datenschutz in der Haus- und Immobilienverwaltung spezialisiert.