BVwG AT: Lie­gen­schafts­ver­wal­te­rin als Ver­ant­wort­li­che; Klar­stel­lun­gen zum Begriff

Das öster­rei­chi­sche Bun­des­ver­wal­tungs­ge­richt (BVwG) hat sich im Urteil W214 2254151 – 1 vom 21. August 2024 im Zusam­men­hang mit einer Aus­ein­an­der­set­zung zwi­schen zwei Stock­werk­ei­gen­tü­mern mit der Ver­wal­te­rin zu eini­gen Fra­gen der geäussert:

  • Die Ver­brauchs­da­ten der Eigen­tü­mer sind unstrei­tig per­so­nen­be­zo­ge­ne Daten i.S.d. DSGVO.
  • Wer der Ver­ant­wort­li­che ist, hängt davon ab, wer fak­tisch über die Ver­ar­bei­tung ent­schei­det:

    Bei der Aus­rich­tung der Defi­ni­ti­on als Ver­ant­wort­li­cher […] han­delt sich im Regel­fall um eine funk­tio­na­li­sti­sche Sicht­wei­se, wonach die Ver­ant­wort­lich­keit anhand des tat­säch­li­chen Ein­flus­ses auf die Ent­schei­dung zuge­wie­sen wird. Als Mit­tel sind nicht nur die tech­ni­schen und orga­ni­sa­to­ri­schen Metho­den gemeint, son­dern das „Wie“ der Ver­ar­bei­tung. Damit sind Ent­schei­dun­gen gemeint, wie wel­che Daten ver­ar­bei­tet wer­den, an wen sie über­mit­telt wer­den oder wann sie gelöscht wer­den. Die Ver­ant­wor­tung kann sich zudem auch aus der fak­ti­schen Ent­schei­dungs­vor­weg­nah­me erge­ben. Trifft ein Akteur tat­säch­lich und fak­tisch die Ent­schei­dung für die Auf­nah­me einer Daten­ver­ar­bei­tung, ist die­ser als Ver­ant­wort­li­cher iSd DSGVO anzu­se­hen. Aus­schlag­ge­bend ist, wer ent­schei­det und nicht wer recht­mä­ßig ent­schei­det.

  • Des­halb ist der Auf­trags­ver­ar­bei­ter, der sich eine ent­spre­chen­de Bestim­mung anmasst, nicht nur ein ver­trags­brü­chi­ger Auf­trags­ver­ar­bei­ter, son­dern auch ein Ver­ant­wort­li­cher (so auch der EDÖB i.S. Xplain):

    So kann ein Auf­trags­ver­ar­bei­ter zum Ver­ant­wort­li­chen wer­den, wenn er ohne dafür legi­ti­miert zu sein den­noch Ver­ar­bei­tungs­zwecke und Ver­ar­bei­tungs­mit­tel selbst bestimmt […].

  • Bei der Unter­schei­dung zwi­schen Ver­ant­wort­li­chem und Auf­trags­ver­ar­bei­ter schliesst sich das BVwG unter Bezug­nah­me auf die ent­spre­chen­den Leit­li­ni­en des EDSA der “Schwer­punkt­theo­rie” an, die nament­lich das BayL­DA in ihren FAQ aus­führt (dazu hier):

    Die Rol­le eines Auf­trags­ver­ar­bei­ters ergibt sich nicht aus der Art einer Stel­le, die Daten ver­ar­bei­tet, son­dern aus ihren kon­kre­ten Tätig­kei­ten in einem bestimm­ten Kon­text. […] In der Pra­xis kann der Dien­ste­an­bie­ter in Fäl­len, in denen die erbrach­te Dienst­lei­stung nicht spe­zi­ell auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten aus­ge­rich­tet ist oder in denen eine sol­che Ver­ar­bei­tung kein Schlüs­sel­ele­ment der Dienst­lei­stung dar­stellt, in der Lage sein, die Zwecke und Mit­tel die­ser Ver­ar­bei­tung, die für die Erbrin­gung der Dienst­lei­stung erfor­der­lich ist, unab­hän­gig zu bestim­men. In die­sem Fall ist der Dienst­lei­stungs­an­bie­ter als geson­der­ter Ver­ant­wort­li­cher und nicht als Auf­trags­ver­ar­bei­ter anzu­se­hen. Erfor­der­lich ist eine Ana­ly­se im Einzelfall […].

  • Ver­ant­wort­li­cher kann auch sein, wer weder Zugang zu den per­so­nen­be­zo­ge­nen Daten hat noch die­se kon­trol­liert:

    Der EuGH hält zudem in zwei rezen­ten Ent­schei­dun­gen fest, dass die Umstän­de, dass die natür­li­che oder juri­sti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le selbst kei­ne per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet oder selbst kei­nen unmit­tel­ba­ren Zugang zu den per­so­nen­be­zo­ge­nen Daten hat, es nicht aus­schlie­ßen, dass die­se als Verantwortliche/r im Sin­ne von Art. 4 Z 7 DSGVO ein­ge­stuft wer­den kann (EuGH 05.12.2023, C‑683/21, Rz 35, sowie EuGH 07.03.2024, C‑604/22, Rz 69). Auch der Umstand, dass ein Ver­ant­wort­li­cher die bei ihm ein­ge­gan­ge­nen per­so­nen­be­zo­ge­nen Daten nicht kon­trol­liert und unver­än­dert wei­ter­ver­brei­tet, kann kei­nen Ein­fluss auf die Fra­ge haben, ob er als Ver­ant­wort­li­cher ange­se­hen wer­den kann (EuGH 11.01.2024, C‑231/22, Rz 37 und 38, Moni­teur Belge).

  • Vor­lie­gend war die Immo­bi­li­en­ver­wal­te­rin eine Ver­ant­wort­li­che, weil sie :

    Im vor­lie­gen­den Fall hat näm­lich die mit­be­tei­lig­te Par­tei [sc. die Ver­wal­te­rin] – wie fest­ge­stellt – die i‑GmbH per Ser­vice­ver­trag mit der jähr­li­chen Able­sung […] beauf­tragt. Im abge­schlos­se­nen Ser­vice­ver­trag sind ua. der Lei­stungs­um­fang […], die erfor­der­li­chen Daten für die Abrech­nungs­er­stel­lung, sowie die Lei­stun­gen der i‑GmbH […] ent­hal­ten. Die mit­be­tei­lig­te Par­tei hat daher […] im Eigen­in­ter­es­se auf die Ent­schei­dung über die Zwecke und Mit­tel der Ver­ar­bei­tung Ein­fluss genom­men. […] zumal die mit­be­tei­lig­te Par­tei die end­gül­ti­ge Ent­schei­dung getrof­fen hat, die Art und Wei­se der Ver­ar­bei­tung aktiv zu bewilligen […].
    Die mit­be­tei­lig­te Par­tei hat zudem mit der i‑GmbH eine Ver­ein­ba­rung über eine Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO abge­schlos­sen, aus wel­cher sich ergibt, dass die i‑GmbH […] an die Wei­sun­gen [der mit­be­tei­lig­ten Par­tei] gebun­den ist.
    Ent­ge­gen den Aus­füh­run­gen der belang­ten Behör­de scha­det es […] auch nicht, dass die mit­be­tei­lig­te Par­tei die Heiz­ko­sten­ab­rech­nun­gen nicht selbst erstellt und die Ein­zel­rech­nun­gen auch nicht abän­dern oder berich­ti­gen kann, weil sie selbst im Zusam­men­hang mit der Abrech­nung kei­ne per­so­nen­be­zo­ge­ne Daten betref­fen­de Ver­ar­bei­tungs­vor­gän­ge durchführt […]. […].

Nicht Gegen­stand der Aus­füh­run­gen war die Fra­ge, ob Immo­bi­li­en­ei­gen­tü­mer und Lie­gen­schafts­ver­wal­tung gemein­sam Ver­ant­wort­li­che sind. Das ist zwei­fel­los eine Ein­zel­fall­ent­schei­dung. In der Pra­xis (jeden­falls in der Schweiz) ver­lan­gen Immo­bi­li­en­ver­wal­tun­gen oder auch insti­tu­tio­nel­le Eigen­tü­mer aber häu­fig den Abschluss einer Ver­ein­ba­rung über die gemein­sa­me Ver­ant­wort­lich­keit, die u.a. die kon­kre­ten Daten­flüs­se beschreibt (bspw. Mit­tei­lung des Mie­ter­spie­gels, Vor­be­halt einer Zustim­mung zu bestimm­ten Ver­mie­tun­gen, Vor­ge­hen bei Inkas­so­fäl­len usw.), aber auch die Betrof­fe­nen­rech­te (bspw. eine Infor­ma­ti­on der Mie­ter­schaft durch die Ver­wal­te­rin auch bzgl. der Bear­bei­tun­gen der Eigentümerschaft).

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter