Das österreichische Bundesverwaltungsgericht (BVwG) hat sich im Urteil W214 2254151 – 1 vom 21. August 2024 im Zusammenhang mit einer Auseinandersetzung zwischen zwei Stockwerkeigentümern mit der Verwalterin zu einigen Fragen der geäussert:
- Die Verbrauchsdaten der Eigentümer sind unstreitig personenbezogene Daten i.S.d. DSGVO.
- Wer der Verantwortliche ist, hängt davon ab, wer faktisch über die Verarbeitung entscheidet:
Bei der Ausrichtung der Definition als Verantwortlicher […] handelt sich im Regelfall um eine funktionalistische Sichtweise, wonach die Verantwortlichkeit anhand des tatsächlichen Einflusses auf die Entscheidung zugewiesen wird. Als Mittel sind nicht nur die technischen und organisatorischen Methoden gemeint, sondern das „Wie“ der Verarbeitung. Damit sind Entscheidungen gemeint, wie welche Daten verarbeitet werden, an wen sie übermittelt werden oder wann sie gelöscht werden. Die Verantwortung kann sich zudem auch aus der faktischen Entscheidungsvorwegnahme ergeben. Trifft ein Akteur tatsächlich und faktisch die Entscheidung für die Aufnahme einer Datenverarbeitung, ist dieser als Verantwortlicher iSd DSGVO anzusehen. Ausschlaggebend ist, wer entscheidet und nicht wer rechtmäßig entscheidet.
- Deshalb ist der Auftragsverarbeiter, der sich eine entsprechende Bestimmung anmasst, nicht nur ein vertragsbrüchiger Auftragsverarbeiter, sondern auch ein Verantwortlicher (so auch der EDÖB i.S. Xplain):
So kann ein Auftragsverarbeiter zum Verantwortlichen werden, wenn er ohne dafür legitimiert zu sein dennoch Verarbeitungszwecke und Verarbeitungsmittel selbst bestimmt […].
- Bei der Unterscheidung zwischen Verantwortlichem und Auftragsverarbeiter schliesst sich das BVwG unter Bezugnahme auf die entsprechenden Leitlinien des EDSA der “Schwerpunkttheorie” an, die namentlich das BayLDA in ihren FAQ ausführt (dazu hier):
Die Rolle eines Auftragsverarbeiters ergibt sich nicht aus der Art einer Stelle, die Daten verarbeitet, sondern aus ihren konkreten Tätigkeiten in einem bestimmten Kontext. […] In der Praxis kann der Diensteanbieter in Fällen, in denen die erbrachte Dienstleistung nicht speziell auf die Verarbeitung personenbezogener Daten ausgerichtet ist oder in denen eine solche Verarbeitung kein Schlüsselelement der Dienstleistung darstellt, in der Lage sein, die Zwecke und Mittel dieser Verarbeitung, die für die Erbringung der Dienstleistung erforderlich ist, unabhängig zu bestimmen. In diesem Fall ist der Dienstleistungsanbieter als gesonderter Verantwortlicher und nicht als Auftragsverarbeiter anzusehen. Erforderlich ist eine Analyse im Einzelfall […].
- Verantwortlicher kann auch sein, wer weder Zugang zu den personenbezogenen Daten hat noch diese kontrolliert:
Der EuGH hält zudem in zwei rezenten Entscheidungen fest, dass die Umstände, dass die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle selbst keine personenbezogenen Daten verarbeitet oder selbst keinen unmittelbaren Zugang zu den personenbezogenen Daten hat, es nicht ausschließen, dass diese als Verantwortliche/r im Sinne von Art. 4 Z 7 DSGVO eingestuft werden kann (EuGH 05.12.2023, C‑683/21, Rz 35, sowie EuGH 07.03.2024, C‑604/22, Rz 69). Auch der Umstand, dass ein Verantwortlicher die bei ihm eingegangenen personenbezogenen Daten nicht kontrolliert und unverändert weiterverbreitet, kann keinen Einfluss auf die Frage haben, ob er als Verantwortlicher angesehen werden kann (EuGH 11.01.2024, C‑231/22, Rz 37 und 38, Moniteur Belge).
- Vorliegend war die Immobilienverwalterin eine Verantwortliche, weil sie :
Im vorliegenden Fall hat nämlich die mitbeteiligte Partei [sc. die Verwalterin] – wie festgestellt – die i‑GmbH per Servicevertrag mit der jährlichen Ablesung […] beauftragt. Im abgeschlossenen Servicevertrag sind ua. der Leistungsumfang […], die erforderlichen Daten für die Abrechnungserstellung, sowie die Leistungen der i‑GmbH […] enthalten. Die mitbeteiligte Partei hat daher […] im Eigeninteresse auf die Entscheidung über die Zwecke und Mittel der Verarbeitung Einfluss genommen. […] zumal die mitbeteiligte Partei die endgültige Entscheidung getroffen hat, die Art und Weise der Verarbeitung aktiv zu bewilligen […].
Die mitbeteiligte Partei hat zudem mit der i‑GmbH eine Vereinbarung über eine Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen, aus welcher sich ergibt, dass die i‑GmbH […] an die Weisungen [der mitbeteiligten Partei] gebunden ist.
Entgegen den Ausführungen der belangten Behörde schadet es […] auch nicht, dass die mitbeteiligte Partei die Heizkostenabrechnungen nicht selbst erstellt und die Einzelrechnungen auch nicht abändern oder berichtigen kann, weil sie selbst im Zusammenhang mit der Abrechnung keine personenbezogene Daten betreffende Verarbeitungsvorgänge durchführt […]. […].
Nicht Gegenstand der Ausführungen war die Frage, ob Immobilieneigentümer und Liegenschaftsverwaltung gemeinsam Verantwortliche sind. Das ist zweifellos eine Einzelfallentscheidung. In der Praxis (jedenfalls in der Schweiz) verlangen Immobilienverwaltungen oder auch institutionelle Eigentümer aber häufig den Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit, die u.a. die konkreten Datenflüsse beschreibt (bspw. Mitteilung des Mieterspiegels, Vorbehalt einer Zustimmung zu bestimmten Vermietungen, Vorgehen bei Inkassofällen usw.), aber auch die Betroffenenrechte (bspw. eine Information der Mieterschaft durch die Verwalterin auch bzgl. der Bearbeitungen der Eigentümerschaft).