DABonline | Deutsches Architektenblatt
Menü schließen

Rubriken

Services

Menü schließen

Rubriken

Services

Zurück
[ Datenschutz ]

Schreckgespenst Datenschutz

Auch Architekturbüros unterliegen bald strengeren Datenschutzregeln. Es gilt genau zu prüfen, ob personenbezogene Daten zu Recht gespeichert wurden und wie mit ihnen umzugehen ist.

Von Janina Winz

Selten hat ein Rechtsgebiet innerhalb kürzester Zeit derart an Popularität gewonnen wie derzeit das Datenschutzrecht. Grund ist die Europäische Datenschutz-Grundverordnung (DS-GVO), die ab dem 25. Mai in allen EU-Mitgliedstaaten unmittelbar gilt und drakonische Sanktionen für Verstöße vorsieht. Flankiert wird sie durch das neu gefasste Bundesdatenschutzgesetz (BDSG-neu), das ergänzende Regelungen zur Anpassung des deutschen Datenschutzrechts an die DS-GVO enthält. Dieses Zusammenspiel stellt nicht nur Großunternehmen, sondern auch kleinere Unternehmen wie Architekturbüros vor große Herausforderungen.

Pflicht oder Kür?

Architekturbüros messen dem neuen Datenschutzrecht bislang meist keine größere Bedeutung bei. Dabei gilt es auch für sie, soweit sie personenbezogene Daten, also Daten von natürlichen Personen wie Bauherren, Geschäftspartnern oder Mitarbeitern verarbeiten („verarbeiten“ meint das Erheben, Speichern, Organisieren, Übermitteln oder sonstiges Verwenden). Die scheinbare Gelassenheit gründet in der großen Unsicherheit, wie die sehr abstrakten und strengen Vorgaben der DS-GVO mit verhältnismäßigem Aufwand praktisch umzusetzen sind. Der falsche Weg ist es allerdings, erst einmal abzuwarten, denn datenschutzrechtliche Versäumnisse, wie etwa das Nichtbestellen eines unter Umständen notwendigen Datenschutzbeauftragten, bergen enorme Sanktions- und Haftungsrisiken (Bußgelder bis zu 20 Millionen Euro oder Schadensersatzansprüche). Sie können zudem zum Wettbewerbsnachteil werden. Architekturbüros sollten das neue Datenschutzrecht daher ernst nehmen und seine Grundpflichten umsetzen.

Die ersten Schritte

Der erste Schritt sollte eine Bestandsaufnahme der eigenen Datenverarbeitungsprozesse sein. Um den notwendigen Anpassungsbedarf festzustellen, ist zu ermitteln, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden. Der Begriff der personenbezogenen Daten ist dabei weit zu verstehen und umfasst alle Informationen, die sich auf eine natürliche Person beziehen. Ein guter Ausgangspunkt ist die Erstellung eines sogenannten Verarbeitungsverzeichnisses, in dem die wesentlichen Umstände aller Datenverarbeitungsverfahren dokumentiert werden. Das Führen eines solchen Verzeichnisses ist verpflichtend und dient zugleich als Nachweis für die Rechtmäßigkeit der Datenverarbeitung.

Auf dieser Basis sind sodann die Rechtmäßigkeit und der etwaige Anpassungsbedarf zu prüfen: Ist die Verarbeitung zur Erfüllung eines Vertrages, einer gesetzlichen Verpflichtung oder eines berechtigten Interesses erforderlich? Bedarf es womöglich einer Einwilligung der Personen, deren Daten verarbeitet werden? Genügt eine solche Einwilligung den rechtlichen Anforderungen? Wie lange dürfen die Daten aufbewahrt werden? Wer darf auf die Daten zugreifen? Sind die notwendigen Maßnahmen zur Gewährleistung der Datensicherheit getroffen worden? Birgt die Verarbeitung hohe Risiken für die Betroffenen, die eine besondere Kontrolle erfordern (sogenannte Datenschutz-Folgenabschätzung)? Welche weiteren Pflichten bestehen in Zusammenhang mit der jeweiligen Verarbeitung? Je nach Größe des Büros und Komplexität der Datenverarbeitungsprozesse kann bei der Beantwortung dieser Fragen die Unterstützung durch externe Berater sinnvoll sein.

Welche weiteren Pflichten haben Architekten?

Architekturbüros kann die Pflicht treffen, einen Datenschutzbeauftragten zu bestellen. Das ist unter anderem der Fall, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind – dafür kann es reichen, dass sie am PC tätig sind und beispielsweise E-Mails schreiben. Ferner können weitreichende Informationspflichten gegenüber den Betroffenen, wie zum Beispiel Bauherren, bestehen, um die Datenverarbeitung für sie transparenter zu machen. Werden externe Dienstleister, wie etwa Cloud-Dienste, einbezogen, ist das Architekturbüro nicht etwa von der Pflicht zur Einhaltung der datenschutzrechtlichen Vorgaben befreit, es bedarf vielmehr eines speziellen Auftragsverarbeitungsvertrages.

Zu beachten ist, dass hinsichtlich der Einhaltung all dieser Pflichten grundsätzlich das Unternehmen nachweispflichtig ist. Eine sorgfältige Dokumentation ist daher entscheidend. In der noch zur Verfügung stehenden Zeit ist eine lückenlose Umsetzung der Vorgaben allerdings kaum möglich. Umso wichtiger ist es, nötigenfalls mit externer Unterstützung, ein effektives Konzept auszuarbeiten und Datenschutz als fortlaufenden Prozess zu verstehen. Die seitens fachkundiger Stellen, Datenschutzaufsichtsbehörden und Architektenkammern veröffentlichten Praxishilfen dienen dabei als wertvolle Stütze.p

Janina Winz ist Rechtsanwältin bei Kapellmann und Partner Rechtsanwälte mbB in Düsseldorf


MEHR INFORMATIONEN

Erste übersichtliche Informationen und Begriffsklärungen liefert die Europäische Kommission.

Weitergehende Praxishinweise, Merkblätter und für jedes Bundesland spezifische Musterformulierungen bieten die BAK und verschiedene Länderkammern auf www.architektendatenschutz.de an.


Ferner haben die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Landesdatenschutzaufsichtsbehörden ergänzende Praxishinweise und Muster veröffentlicht, die bei der Umsetzung der DS-GVO und des BDSG-neu eine gute Hilfestellung bieten können:


Mehr Informationen zum Thema Recht erhalten Sie hier

Schreibe einen Kommentar

Sie wollen schon gehen?

Bleiben Sie informiert mit dem DABnewsletter und lesen Sie alle zwei Wochen das Wichtigste aus Architektur, Bautechnik und Baurecht.

Wir nutzen die von Ihnen angegebenen Daten sowie Ihre E-Mail Adresse, um Ihnen die von Ihnen ausgewählten Newsletter zuzusenden. Dies setzt Ihre Einwilligung voraus, die wir über eine Bestätigungs-E-Mail noch einmal abfragen. Sie können den Bezug des Newsletters jederzeit unter dem Abmeldelink im Newsletter kostenfrei abbestellen. Nähere Angaben zum Umgang mit Ihren personenbezogenen Daten und zu Ihren Rechten finden Sie hier.
Anzeige