In 5 Schritten zur Online-Eigentümerversammlung 3

In 5 Schritten zur Online-Eigentümerversammlung

Vorbemerkung: Auf eine Präsenzversammlung darf nicht zugunsten einer reinen Online-Versammlung vollkommen verzichtet werden. Den Eigentümern muss es stets ermöglicht werden, persönlich an der Versammlung teilzunehmen. Es ist aber auch möglich, dass alle Eigentümer nur elektronisch teilnehmen. Es handelt sich lediglich um eine Option, ein einzelner Eigentümer hat keinen Anspruch auf Durchführung einer solchen Versammlung.

Schritt 1: Vorbereitung

Vor der Beschlussfassung zur Durchführung der Versammlung sollte ein Vorbereitungsbeschluss zur Schaffung der technischen Voraussetzungen gefasst werden:

Antragsmuster

Der Verwalter wird beauftragt, die technischen Lösungsmöglichkeiten für die Vorgehensweise zu prüfen, drei Angebote einschließlich der damit verbundenen Kosten von Dienstleistern einzuholen sowie die anfallenden Kosten je Versammlungstermin zu berechnen und diese Informationen der nächsten Eigentümerversammlung zur weiteren Beschlussfassung vorzulegen.

Wie erfolgt die Vorbereitung?

Im Vorfeld der Versammlung sollte sich der Verwalter mit den genauen Ablaufmodalitäten und den damit verbundenen Kosten vertraut machen und das von ihm ausgewählte Versammlungstool testen.

Der Verwalter erstellt und versendet eine Einladung mit allen relevanten Beschlussthemen und Informationen über den Ablauf der Online-Versammlung, insbesondere der Art der Teilnahmemöglichkeit (Video oder Telefon), des Rede-/Stimm- und Fragerechts, eines individualisierten Zugangscodes, bzw. Zugangslinks und dem Verschwiegenheitshinweis über die Zugangsdaten.

Der Verwalter sollte die Eigentümer bereits mit dem Einladungsschreiben darum bitten, mitzuteilen, ob eine Präsenzteilnahme oder eine Online-Teilnahme beabsichtigt ist, um  die Auswahl des Versammlungsortes hinreichend vorbereiten zu können.

Der Verwalter hat darauf zu achten, dass ihm im Hinblick auf die möglichen technischen Lösungen zu jedem Abstimmungszeitpunkt die Mehrheitsverhältnisse der Versammlung bekannt sind.

Zudem sollte der Beschluss die Einhaltung der Datenschutzregelungen festlegen. Hierbei dürften sich (momentan) noch die größten Probleme ergeben, da eine Abwägung der gängigen Programme für Videokonferenzen erfolgen muss. Es ist zur Meidung datenschutzrechtlicher Probleme anzuraten, Anbieter von Online-Tools zu wählen, die ihren Sitz in Europa haben.

Wer trägt die Kosten für die Online-Versammlung?

Es gelten die allgemeinen Grundsätze: Die Gemeinschaft der Wohnungseigentümer hat die allgemeinen Kosten der Versammlung zu tragen. Dazu gehören neben der Raummiete auch die für eine Online-Teilnahme erforderlichen technischen Ausstattungen wie Miete für Computer, Beamer, Tonanlage. Der Verwalter sollte vor der Beschlussfassung die mit der Durchführung der Versammlung verbundenen Kosten (u.a. Inanspruchnahme von Online-Diensten, zusätzliche Mitarbeiter, Anschaffung von Technik) ermitteln und mitteilen. Die Kostenverteilung richtet sich nach § 16 Absatz 2, Satz 1 WEG (Verhältnis der Miteigentumsanteile).

Schritt 2: Auswahl der Hard- und Software

Grundsätzlich sind diese drei Varianten denkbar, um eine virtuelle Eigentümerversammlung aufzubauen und durchzuführen. Alle Möglichkeiten bieten Datenschutz- und kostenseitig Vor- und Nachteile.

Die schnelle Lösung: Software as a Service (SaaS)

Die einfachste und schnellste, jedoch auch Datenschutzseitig anspruchsvollste Variante ist die SaaS-Lösung, in der der Verwalter bestehende Online-Services eines Dienstleisters nutzt. Hier ist aus Sicht des Datenschutzes der Regelungsdruck am größten und einige zentrale Punkte müssen beachtet und abgesichert werden.

Viele der am Markt bekannten und etablierten Anbieter für Online-Meeting-Lösungen befinden sich in den USA, so dass ein Datentransfer in die Vereinigten Staaten  nicht ausgeschlossen werden kann – auch wenn das eigentliche Hosting in der EU stattfindet. Die USA gelten seit dem EUGH-Urteil vom 16.07.2020 zum Wegfall des EU-US-PrivacyShield als „unsicherer Drittstaat“, in die ein Transfer personenbezogener Daten von in der EU ansässigen Betroffenen nicht mehr so einfach möglich ist.

Auch in der EU gibt es immer mehr Dienstleister, die Tools für Online-Meetings anbieten. Einige Unternehmen haben sich sogar speziell auf Versammlungen spezialisiert, bei denen Dokumentationen und Abstimmungen eine wichtige Rolle spielen.

Daher sind hier verschiedene Aspekte besonders zu beachten.

EU-Standardvertragsklauseln

Bitte achten Sie darauf, dass im Vertrag zur Auftragsverarbeitung die EU-Standardvertragsklauseln unverändert integriert sind. Diese gesonderte Regelung zwischen dem Exporteur der Daten (= Verwalter) und dem Importeur (= Online-System-Anbieter) muss zusätzlich bzw. zusammen mit dem Vertrag zur Auftragsverarbeitung gezeichnet werden. In diesen standardisierten Vertragsklauseln (Englisch: Standard Contractual Clauses) werden weitere Pflichten durch die EU definiert, um die Sicherheit der Verarbeitung und die Rechte der Betroffenen zu gewährleisten.

Zu beachten ist hierbei, dass diese Standardvertragsklauseln nur zwischen einem Verantwortlichen und dem im Ausland ansässigen letztendlichen Verarbeiter abgeschlossen werden können. Sollte eine Auftragskette mit Zwischendienstleistern bestehen (z.B. Verantwortlicher EU –> IT-Dienstleister EU –> Online-System-Anbieter USA), ist eine Konstellation zu wählen, in der dieser direkte Abschluss nachgewiesen werden kann. Dies wäre u.U. auch durch eine offizielle Bevollmächtigung des Zwischendienstleisters im zugehörigen Vertragswerk umsetzbar.

Interessenabwägung

Da es sich beim Einsatz von US-Dienstleistern wie gesagt um einen Datentransfer in ein unsicheres Drittland handelt, muss vom Verwalter als Verantwortlichem im Vorwege (!) eine sogenannte Interessensabwägung erfolgen. In dieser Interessensabwägung hat der Verwalter sein Interesse an einer Verarbeitung mit Hinzuziehung dieses Dienstleisters abzugleichen mit den potenziellen Risiken für die Betroffenen. In dieser Bewertung muss das Interesse des Verwalters die möglichen Risiken neutral betrachtet überwiegen, sonst darf der Einsatz des US-Dienstleisters nicht erfolgen. Zu dokumentieren ist u.a. aus welchen Gründen kein anderer Dienstleister für die Verarbeitung geeignet ist, obwohl er seine Dienste innerhalb der EU datenschutzkonform anbieten könnte (Stichwort Erforderlichkeit). Inzwischen hat sich im Datenschutzumfeld eine Systematik von Kriterien herauskristallisiert, anhand derer die Interessensabwägung strukturiert ablaufen kann.

Einwilligung

Es ist dringend zu empfehlen, von den Teilnehmern, die an der Online-Versammlung teilnehmen wollen, eine gesonderte Einwilligung zur Drittland-Datenübertragung einzuholen. Bei einem Datentransfer in die USA kann trotz der EU-Standardvertragsklauseln nicht vollständig garantiert werden, dass die Rechte der Betroffenen aus der EU-DSGVO auch in den USA gewährt werden und dass bspw. keine Behörde Zugriff auf die Daten erhalten wird. Der Betroffene muss über diese Restriktionen informiert werden, er muss sich dessen bewusst sein und aktiv und nachweisbar zustimmen, dass er diese (wenn auch im Einzelfall eher theoretische) Gefahr akzeptiert.

US-Dienstleister

  • Microsoft Teams / Stream (USA)
  • Zoom (USA)
  • WebEx (USA)
  • GoToMeeting / GoToWebinar (USA)

EU-Dienstleister

  • Vulcavo (smarteins GmbH)
  • Vote@Home (Deutschland)
  • Polyas
  • Neove
  • Facilioo

Die komfortable Lösung: Aufbau eines eigenen Servers in einem Rechenzentrum

Der Verantwortliche bringt einen oder mehrere eigene („dedizierte“) Server in ein Rechenzentrum (RZ) bzw. mietet hier einen solchen exklusiven Server, um die professionelle Infrastruktur des RZ-Betreibers zu nutzen.

Dies beinhaltet die Vorteile von Variante 3, da das System selbst faktisch durch den Verwalter (bzw. von ihm beauftragtes IT-Fachpersonal) installiert und verwaltet wird und er somit die volle Kontrolle hat. Des Weiteren ist in der Regel die Infrastruktur eines zertifizierten Rechenzentrumsbetreibers als angemessen sicher anzusehen, so dass die Technischen und organisatorischen Maßnahmen zum Schutz der Daten als gewährleistet angesehen werden können. Auch eine entsprechend schnelle Internet-Leitung kann hier üblicherweise vorausgesetzt werden.

Bei der Auswahl eines Rechenzentrumsbetreibers sollte aber beachtet werden, dass sich dieser Betreiber innerhalb der EU befindet und eine aktuelle ISO27001-Zertifizierung (Zertifizierung in der Informationssicherheit) vorweisen kann. Des Weiteren sollten die so genannten Service Levels  (festgehalten in einem Service Level Agreement/SLA) genauestens geprüft werden in Bezug auf Ausfallzeiten und wie schnell eine Problemlösung erfolgen kann.

Variante 3: Die sichere Lösung: Aufbau einer eigenen Infrastruktur

Der Verantwortliche (der Verwalter) betreibt eine eigene Infrastruktur („on premise“) für ein entsprechendes Videokonferenzsystem, d.h. er hat an seinem Standort seine eigene Hardware mit Verbindung zum Internet, auf der dann eine geeignete Softwarelösung läuft. Hier gibt es verschiedene sogenannte Open Source-Tools am Markt. (z.B. OwnCloud, Jitsi, NextcloudTalk)

Der Einsatz solcher Tools auf eigener Infrastruktur ist Datenschutz-seitig die beste Variante, da die Verarbeitung der personenbezogenen Daten ausschließlich beim Verantwortlichen in seiner direkten Kontrolle stattfindet. Der Verwalter kann die Verarbeitung transparent darstellen und auch den Abfluss von Daten durch geeignete Sicherheitsmaßnahmen aktiv nahezu ausschließen.

Für den optimalen Datenschutz müssen die „Technischen und organisatorische Maßnahmen (TOMs)“ genau zu beschrieben und dafür Sorge getragen werden, dass ein hohes Maß an Sicherheit beim gesamten System an sich, bezüglich der Ausfallsicherheit und der Übertragung im Internet gewährleistet ist. Des Weiteren sollte eine entsprechend schnelle Internetleitung zur Verfügung stehen. Meist ist zur Implementierung und Dokumentation geeigneter TOMs die Unterstützung durch eine qualifizierte IT-Fachkraft nötig.

Diese Variante ist aus Datenschutzsicht vorzugswürdig, stellt  im Normalfall jedoch die kostenintensivste Variante dar.

Schritt 3: Beschlussfassung zur Durchführung der Online-Teilnahme

Das muss in der Beschlussfassung zur Durchführung der Versammlung geregelt werden:

  1. Festlegung der Möglichkeit an einer/allen Versammlungen im Wege elektronischer Kommunikation teilzunehmen (Beispiel: „ Die Eigentümer beschließen, dass diese grundsätzlich auch in elektronischer Form an Wohnungseigentümerversammlungen teilnehmen können“)
  2. Wie erfolgt die Wahrung des Datenschutzes: Es ist sicherzustellen, dass die elektronische Teilnahme an der Versammlung der DSGVO entspricht, also insbesondere nicht über Server abgewickelt wird, die diesen Vorschriften nicht unterliegen.
  3. Notwendige technische Ausstattung auf Seiten der Gemeinschaft und der Wohnungseigentümer muss festgelegt werden (vorzugsweise wechselseitige Kommunikation in Echtzeit- beliebige Kommunikationswege
  4. Welche Technik soll eingesetzt werden (Beschreibung Hardware-Software-Voraussetzungen)?
  5. Welche Versammlungsrechte können ausgeübt werden (Rede-, Antrags- Stimmrecht)? Eine Einschränkung wird nicht empfohlen!
  6. Wie soll die Vertretungsmacht geprüft werden (Vollmacht)?

Schritt 4: Durchführung der Versammlung

Welche Teilnahmemöglichkeiten gibt es?

Die Eigentümer erhalten vor der Versammlung mit dem Einladungsschreiben einen Einladungslink. Um diesen zu aktivieren ist ggfls. das Herunterladen einer APP erforderlich. Neben den präsenten Teilnehmern, können die Eigentümer mit ihrem eigenen PC oder mobilen Endgeräten teilnehmen.

Wie können die Teilnehmer identifiziert werden?

Bei der Durchführung der Versammlung ist der Grundsatz der Nichtöffentlichkeit einzuhalten. Es dürfen nur die dazu Berechtigten teilnehmen.

Die sicherlich schwierigste Aufgabe bei einem Online-Meeting und den dabei ablaufenden bindenden Abstimmungen ist eine verlässliche Identifikation der Teilnehmer und ihrer Berechtigung zur Teilnahme sowie zur Stimmabgabe.

Ähnlich wie auch bei einer größeren Vor-Ort-Versammlung, bei der nicht jeder jeden kennt, ist es nicht auszuschließen, dass durch Weitergabe von Zugangsinformationen jemand anderes als der eigentlich berechtigte Teilnehmer an der Veranstaltung teilnimmt und auch seine Stimme abgibt.

Solange die formalen Anforderungen an eine korrekte und richtig adressierte und zugestellte Einladung und eine angemessene Zugangskontrolle erfüllt werden, kann auch eine Online-Versammlung rechtmäßig abgehalten werden.

Technisch darstellbar sind bei den meisten Online-System-Anbietern individualisierte verschlüsselte Teilnahmelinks und extra Zugangscodes, die nicht von mehreren Usern gleichzeitig verwendet werden können (das wäre dann vergleichbar mit einer Eintrittskarte).

Auch besteht die Möglichkeit eines virtuelles „Vorzimmers“, aus dem die Teilnehmer manuell durch den Veranstalter in den eigentlichen Online-Versammlungsraum eingelassen werden. Hier empfiehlt es sich – sofern es die Anzahl der Teilnehmer organisatorisch zulässt – zumindest eine Basis-Identifikation durchzuführen, bspw. anhand einer Abgleichliste mit Namen und E-Mail-Adressen. Die Ein- und Austritte aus den virtuellen Versammlungsräumen werden meist von den Systemen mit Zeitstempel mitgeloggt, so dass der Verwalter in jedem Fall nachweisen kann, wann ein Teilnehmer als „anwesend“ zu werten ist.

Wie wird das Stimmrecht ausgeübt?

Bei Abstimmungen zu Beschlussfassungen muss je nach Versammlungsgröße eine organisatorische oder technische Lösung Anwendung finden:

Bis zu einer gewissen Anzahl an Teilnehmern sind „klassische“ Abstimmungen durch „Handheben“ auch bei Online-Versammlungen machbar, sei es über das Kamerabild oder eine virtuelle „Melden“-Funktion.

Darüber hinausgehend bieten integrierte oder eigenständige spezielle Online-Voting-Tools (beispielsweise Vulcavo; Vote@Home; Polyas; Neove; Facilioo,) rechtskonforme Wege einer Abstimmung, meist unter Verwendung von zuvor verifizierten E-Mail-Adressen, individuellen Wähler-IDs und zeitbegrenzten Abgabe-Fenster.

Als Fallback-Lösung für sehr sensible Abstimmungen ist natürlich immer eine von der Versammlung getrennte Briefabstimmung möglich. Auch hier gilt: 100%ige Sicherheit darüber, wer faktisch „das Kreuz gesetzt“ hat, gibt es nicht.

Die Art der Ausübung des Stimmrechts muss in der Beschlussfassung festgelegt werden.

Der Beschluss hat also zunächst festzulegen, mit welcher technischen Option die elektronische Teilnahmemöglichkeit und ob alle bzw. welche der fundamentalen Eigentümerrechte (Rede-, Frage- und Abstimmungsrecht) dadurch zu ermöglichen sind. Insofern bestehen vielfältige Gestaltungsmöglichkeiten von der passiven, bzw. aktiven Teilnahmemöglichkeit bis hin zur (reinen) Abstimmungsmöglichkeit per Chat oder Email.

Wer ist für technische Störungen verantwortlich?

Wer das technische Übertragungsrisiko trägt, ist im Gesetz nicht geregelt.

  • Der Verwalter als Versammlungsleiter hat lediglich dafür zu sorgen, dass ein geeigneter Versammlungsraum vorhanden und den Eigentümern zugänglich ist. Er muss sicherstellen, dass der Versammlungsraum technisch so ausgestattet ist, dass während der gesamten Versammlung eine Teilnahme mittels elektronischer Kommunikationsmittel möglich ist.
    – Bestehende Internetverbindung, Kamera, Mikrofone, Leinwand, Lautsprecher, störungsfreie Software
  • Die Eigentümer tragen das individuelle Teilnahmerisiko und für Störungen ihrer verwendeten Technik, einschließlich der Internetverbindung außerhalb der Versammlungsräume.

Bei technischen Fehlern, muss die Fehlerquelle dann jeweils genau eruiert werden.

Wie wird der Versammlungsablauf dokumentiert?

Die Dokumentation erfolgt wie in jeder anderen Eigentümerversammlung auch. Nach der Beschlussverkündung werden diese in einer Niederschrift dokumentiert.

Wie ist mit Präsentationen/ Dienstleitungsangeboten / Abrechnungsbelegen umzugehen?

Grundsätzlich sollte die Präsentation des Verwalters zur WEG-Versammlung aus Datenschutzgründen so wenig personenbezogene Daten wie möglich enthalten, da auch hier der Grundsatz der Datenminimierung gilt. Es sollten nur die zwingend erforderlichen personenbezogenen Daten preisgegeben werden. Dies gilt sowohl für die Präsentation selbst, aber auch Dienstleistungsangebote und Abrechnungsbelege.

 

In 5 Schritten zur Online-Eigentümerversammlung 4

 

Schritt 5: CheckUp Technik und Datenschutz

Bei dem Einsatz von virtuellen Eigentümerversammlungen müssen zahlreiche Punkte grundsätzlich beachtet und durch den Verwalter als aus Datenschutz-Sicht Verantwortlichem umgesetzt werden.

Technikgestaltung und datenschutzfreundliche Voreinstellungen

Der Verwalter muss dafür sorgen, dass die ausgewählte Technik zur Durchführung einer virtuellen Eigentümerversammlung so gestaltet ist, dass schon durch die Konfiguration im Vorfeld ein möglichst hohes Datenschutz-Niveau hergestellt werden kann bzw. dem Teilnehmer entsprechend die Möglichkeit gegeben wird private Details (z.B. Vorgänge im Hintergrund) unkenntlich zu machen oder in einem Checkfenster vor dem eigentlichen Beitritt zur Veranstaltung seine Einstellungen bzgl. Video- und Tonübertragungen zu prüfen. Bei manchen Anbietern (z.B. Zoom) sind solche Konfigurationsmöglichkeiten durch den Verantwortlichen oder den Teilnehmer jedoch nur in einer teureren Businessversion möglich.

Üblicherweise müssen bei jedem Tool entsprechende Einstellungen und Konfigurationen im Vorfeld aktiv vorgenommen werden, da die Grundkonfiguration der einzelnen Features oft nicht Datenschutz-konform eingestellt ist. Aus diesem Grund sollte eine detaillierte Dokumentation der vom Verwalter vorgegebenen Standard-Systemkonfiguration erstellt werden. Konkret zu empfehlen ist es etwa, für dazu stoßende Teilnehmer als Standard beim Eintreten sowohl die Video- als auch die Audio-Übertragung zu deaktivieren, damit das Risiko einer ungewollten Übertragung dieser personenbezogenen Daten zu Beginn ausgeschaltet wird und der Teilnehmer erst durch seine aktive Handlung die Übertragung startet.

Was versteht man unter elektronischen Kommunikationsmitteln?

Alle sprach- und/oder bildbasierten elektronischen Kommunikationsmittel und elektronische Textkommunikation. Dies sind Video und/oder Ton, Email, Messenger, Soziale Netzwerke

Virtueller Konferenzraum

In technischer Hinsicht soll hierzu der Präsenzversammlung ein virtueller Konferenzraum zugeschaltet werden, der es den Eigentümern ermöglicht, mittels Bild- und Tonkommunikation in vollem Umfang an der Versammlung teilzunehmen und es präsenten Eigentümern möglich macht, Rede- und Fragebeiträge sowie die Stimmabgaben der auf elektronischem Wege teilnehmenden Eigentümer zu verfolgen.

Präsentationen

Soweit die Information der Eigentümer zu einzelnen TOP über Power-Point-Präsentationen oder sonstige Folien erfolgen, ist zu gewährleisten, dass diese auch von den virtuell an der Versammlung teilnehmenden Miteigentümern zur Kenntnis genommen werden können.

Identifikation der Teilnehmer

Es ist ferner sicherzustellen, dass die mittels virtueller Kommunikation an der Versammlung teilnehmenden Eigentümer eindeutig identifiziert werden können. Dies kann auch dadurch erfolgen, dass mit der Einladung ein individueller Zugangscode an alle Eigentümer übersandt wird, über den die elektronische Teilnahme an der Versammlung möglich ist. Gleichzeitig sind die Eigentümer hierbei darauf hinzuweisen, dass dieser Zugangscode nicht an Dritte weitergegeben werden darf und dass sie mit ihrer Einwahl über diesen Code versichern, keine gemeinschaftsfremden Personen (z.B. gemeinschaftsfremde Familienmitglieder) an der Übertragung teilnehmen zu lassen

Hinweispflichten nach Art. 13 EU-DGVO

Als Verantwortlicher (Verwalter) ist man verpflichtet, spätestens zum Zeitpunkt der Erhebung von personenbezogenen Daten den Betroffenen über eine definierte Anzahl von Punkten, die die Verarbeitung betreffen, zu informieren, damit dieser eine informierte Entscheidung bzgl. der preiszugebenden Daten treffen kann. Diese nicht personalisierte Hinweispflicht sollte daher allen Teilnehmern bereits direkt bei der Anmeldung für die virtuelle Eigentümerversammlung bereitgestellt werden.

Vertrag zur Auftragsdatenverarbeitung nach Art. 28 EU-DSGVO

Wenn Sie externe Dienstleister damit beauftragen Ihnen eine entsprechende Software zur Verfügung zu stellen oder diese zu administrieren, benötigen Sie in diesen Fällen bereits vor Inbetriebnahme des Dienstes einen sogenannten Vertrag zur Auftragsverarbeitung, der regelt, wie der Dienstleister (Auftragsverarbeiter) mit den Daten umzugehen hat. Die meisten Anbieter bieten einen solchen Vertrag von sich aus bereits an, überdies sind diese Verträge meist sehr standardisiert und inhaltlich gut vergleichbar.

Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 EU-DSGVO

Ein Unternehmen muss grundsätzlich alle regelmäßigen Prozesse, in denen personenbezogene Daten verarbeitet werden, nach einem bestimmten Schema beschrieben haben. Auch die Durchführung einer Online-Versammlung zählt zu diesen Prozessen und muss entsprechend dokumentiert werden.

Die Anleitung „Datenschutz –Step by Step“ können Sie im Internen Bereich des IVD herunterladen.

 

Quelle: IVD Bundesverband
Bild: © Elnur – stock.adobe.com

Seid merkwürdig


Sie interessieren sich für weitere Artikel des IVD?
Lesen Sie HIER alle Artikel im Blog!