Artikel drucken Artikel versenden

Datenschutz

Schreckgespenst Datenschutz

Auch Architekturbüros unterliegen bald strengeren Datenschutzregeln. Es gilt genau zu prüfen, ob personenbezogene Daten zu Recht gespeichert wurden und wie mit ihnen umzugehen ist.                            

Von Janina Winz  

Selten hat ein Rechtsgebiet innerhalb kürzester Zeit derart an Popularität gewonnen wie derzeit das Datenschutzrecht. Grund ist die Europäische Datenschutz-Grundverordnung (DS-GVO), die ab dem 25. Mai in allen EU-Mitgliedstaaten unmittelbar gilt und drakonische Sanktionen für Verstöße vorsieht. Flankiert wird sie durch das neu gefasste Bundesdatenschutzgesetz (BDSG-neu), das ergänzende Regelungen zur Anpassung des deutschen Datenschutzrechts an die DS-GVO enthält. Dieses Zusammenspiel stellt nicht nur Großunternehmen, sondern auch kleinere Unternehmen wie Architekturbüros vor große Herausforderungen.

Pflicht oder Kür?

Architekturbüros messen dem neuen Datenschutzrecht bislang meist keine größere Bedeutung bei. Dabei gilt es auch für sie, soweit sie personenbezogene Daten, also Daten von natürlichen Personen wie Bauherren, Geschäftspartnern oder Mitarbeitern verarbeiten („verarbeiten“ meint das Erheben, Speichern, Organisieren, Übermitteln oder sonstiges Verwenden). Die scheinbare Gelassenheit gründet in der großen Unsicherheit, wie die sehr abstrakten und strengen Vorgaben der DS-GVO mit verhältnismäßigem Aufwand praktisch umzusetzen sind. Der falsche Weg ist es allerdings, erst einmal abzuwarten, denn datenschutzrechtliche Versäumnisse, wie etwa das Nichtbestellen eines unter Umständen notwendigen Datenschutzbeauftragten, bergen enorme Sanktions- und Haftungsrisiken (Bußgelder bis zu 20 Millionen Euro oder Schadensersatzansprüche). Sie können zudem zum Wettbewerbsnachteil werden. Architekturbüros sollten das neue Datenschutzrecht daher ernst nehmen und seine Grundpflichten umsetzen.

Die ersten Schritte

Der erste Schritt sollte eine Bestandsaufnahme der eigenen Datenverarbeitungsprozesse sein. Um den notwendigen Anpassungsbedarf festzustellen, ist zu ermitteln, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden. Der Begriff der personenbezogenen Daten ist dabei weit zu verstehen und umfasst alle Informationen, die sich auf eine natürliche Person beziehen. Ein guter Ausgangspunkt ist die Erstellung eines sogenannten Verarbeitungsverzeichnisses, in dem die wesentlichen Umstände aller Datenverarbeitungsverfahren dokumentiert werden. Das Führen eines solchen Verzeichnisses ist verpflichtend und dient zugleich als Nachweis für die Rechtmäßigkeit der Datenverarbeitung.

Auf dieser Basis sind sodann die Rechtmäßigkeit und der etwaige Anpassungsbedarf zu prüfen: Ist die Verarbeitung zur Erfüllung eines Vertrages, einer gesetzlichen Verpflichtung oder eines berechtigten Interesses erforderlich? Bedarf es womöglich einer Einwilligung der Personen, deren Daten verarbeitet werden? Genügt eine solche Einwilligung den rechtlichen Anforderungen? Wie lange dürfen die Daten aufbewahrt werden? Wer darf auf die Daten zugreifen? Sind die notwendigen Maßnahmen zur Gewährleistung der Datensicherheit getroffen worden? Birgt die Verarbeitung hohe Risiken für die Betroffenen, die eine besondere Kontrolle erfordern (sogenannte Datenschutz-Folgenabschätzung)? Welche weiteren Pflichten bestehen in Zusammenhang mit der jeweiligen Verarbeitung? Je nach Größe des Büros und Komplexität der Datenverarbeitungsprozesse kann bei der Beantwortung dieser Fragen die Unterstützung durch externe Berater sinnvoll sein.

Welche weiteren Pflichten haben Architekten?

Architekturbüros kann die Pflicht treffen, einen Datenschutzbeauftragten zu bestellen. Das ist unter anderem der Fall, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind – dafür kann es reichen, dass sie am PC tätig sind und beispielsweise E-Mails schreiben. Ferner können weitreichende Informationspflichten gegenüber den Betroffenen, wie zum Beispiel Bauherren, bestehen, um die Datenverarbeitung für sie transparenter zu machen. Werden externe Dienstleister, wie etwa Cloud-Dienste, einbezogen, ist das Architekturbüro nicht etwa von der Pflicht zur Einhaltung der datenschutzrechtlichen Vorgaben befreit, es bedarf vielmehr eines speziellen Auftragsverarbeitungsvertrages.

Zu beachten ist, dass hinsichtlich der Einhaltung all dieser Pflichten grundsätzlich das Unternehmen nachweispflichtig ist. Eine sorgfältige Dokumentation ist daher entscheidend. In der noch zur Verfügung stehenden Zeit ist eine lückenlose Umsetzung der Vorgaben allerdings kaum möglich. Umso wichtiger ist es, nötigenfalls mit externer Unterstützung, ein effektives Konzept auszuarbeiten und Datenschutz als fortlaufenden Prozess zu verstehen. Die seitens fachkundiger Stellen, Datenschutzaufsichtsbehörden und Architektenkammern veröffentlichten Praxishilfen dienen dabei als wertvolle Stütze.p

Janina Winz ist Rechtsanwältin bei Kapellmann und Partner Rechtsanwälte mbB in Düsseldorf

 

MEHR INFORMATIONEN

Weitergehende hilfreiche Informationen liefern beispielsweise der Praxishinweis 54/2018 der Architektenkammer NRW oder ein Merkblatt der Bayerischen Architektenkammer. Auch andere Architektenkammern haben Anwendungshinweise erstellt.

Ferner haben die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Landesdatenschutzaufsichtsbehörden ergänzende Praxishinweise und Muster veröffentlicht, die bei der Umsetzung der DS-GVO und des BDSG-neu eine gute Hilfestellung bieten können:

Mehr Informationen zum Thema Recht erhalten Sie hier

Passend zum Thema





Kommentare

Wir freuen uns über Ihre Beiträge und bitten Sie, die Regeln dieses Forums einzuhalten:

  • Bitte nennen Sie uns Ihren Namen und Ihre e-Mail-Adresse. Anonyme Statements werden nicht veröffentlicht. Ihre e-Mail-Adresse wird selbstverständlich nicht mit veröffentlicht und nur im Falle von Rückfragen durch die Redaktion genutzt.
  • Schreiben Sie zur Sache.
  • Teilen Sie etwas Neues mit.
  • Nennen Sie Argumente.
  • Bitte keine Beleidigungen.

Die Redaktion behält sich vor, Kommentare zurückzuweisen.
Texte können erst nach Freischaltung durch die Redaktion erscheinen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


*