Von Eva-Maria Linz
Nicht öffentliche Stellen – mithin auch Architekturbüros – sind seit dem Inkrafttreten des Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die DSGVO am 26. November 2019 nur noch zur Benennung eines Datenschutzbeauftragten verpflichtet, soweit sie in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Galt zuvor noch die Zehn-Personen-Grenze, so können Architekturbüros mit weniger als zwanzig Beschäftigten nun in jedem Fall aufatmen.
Bei der Berechnung der Beschäftigtenzahl im Sinne des Datenschutzrechtes zählt jeder Mitarbeiter „pro Kopf“, egal, ob in Vollzeit oder Teilzeit, Festangestellter oder Praktikant.
Datenschutzrecht wird sachgerechter
Weiterhin umstritten bleibt jedoch die Frage, wer als „ständig mit der automatisierten Verarbeitung personenbezogener Daten Beschäftigter“ gilt (vgl. DAB 10.2019, „Datenschutzbeauftragter, ja oder nein?“, von Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht). Während einige Datenschutzbehörden (zum Beispiel Nordrhein-Westfalen) den Gesetzeswortlaut streng auslegen und jeden Beschäftigten mitzählen, der auch nur „bei Gelegenheit“ automatisiert personenbezogene Daten verarbeitet, zum Beispiel mithilfe eines Computers, sehen dies andere Datenschutzbehörden (zum Beispiel Bayern) so: Nur derjenige sei „ständig“ mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, bei dem dies den Schwerpunkt seiner Tätigkeit für das Büro ausmacht, zum Beispiel Mitarbeiter der Personalabteilung. Wer aber weniger als zwanzig Mitarbeiter hat, für den kommt es auf diese Auslegungs- beziehungsweise Abgrenzungsfrage nun nicht mehr an. Er muss keinen Datenschutzbeauftragten benennen.
Die Gesetzesänderung ist zu begrüßen, denn sie führt – unabhängig von der Auslegung des Gesetzeswortlauts – zu einer sachgerechteren Anwendung des Datenschutzrechtes. Für viele kleine Architekturbüros war die Bestellung eines externen Datenschutzbeauftragten mit einem hohen finanziellen Aufwand verbunden. Andererseits ließen es ihre Kapazitäten auch nicht zu, einen Mitarbeiter für Fragen des Datenschutzes abzustellen. Aus diesem Grund hatte auch der Berufsstand auf eine Anpassung des Gesetzes gedrängt und angeregt, auf ein bundeseinheitliches Verständnis des Datenschutzrechtes hinzuwirken, damit europäisches Recht in Nordrhein-Westfalen nicht anders verstanden wird als in Bayern oder anderen Bundesländern.
Abberufung von Datenschutzbeauftragten
Wer bereits einen Datenschutzbeauftragten benannt hat und nun hierzu nicht mehr verpflichtet ist und ihn auch nicht freiwillig weiter beauftragen will, muss ihn wirksam abberufen. Das betrifft vor allem Büros mit zehn bis neunzehn Mitarbeitern. Bei der Abberufung selbst ist zwischen externen und internen Datenschutzbeauftragten zu unterscheiden. Mit einem externen Datenschutzbeauftragten wurde ein Dienstvertrag geschlossen, der aufgrund der geänderten gesetzlichen Pflicht zur Bestellung eines Datenschutzbeauftragten gekündigt werden kann.
Der interne Datenschutzbeauftragte ist Mitarbeiter des Büros; er genießt gemäß § 38 Abs. 2 i. V. m. § 6 Abs. 4 S. 1 BDSG grundsätzlich Abberufungsschutz. Das heißt, er kann – entsprechend § 626 BGB – nur aus wichtigem Grund abberufen werden. Gemäß § 38 Abs. 2 BDSG besteht ein solcher Abberufungsschutz jedoch nur, wenn die Benennung eines Datenschutzbeauftragten verpflichtend ist. Da diese Verpflichtung für Architekturbüros mit weniger als zwanzig Beschäftigten aufgrund der Gesetzesänderung weggefallen ist, kann die Benennung des Datenschutzbeauftragten nunmehr – ohne Einhaltung weiterer Voraussetzungen – ihm gegenüber beendet werden. Mit Zugang des Widerrufs endet die Benennung. Mitarbeiter des Büros bleibt er selbstverständlich dennoch.
Meldepflicht gegenüber Behörde
Egal, ob externer oder interner Datenschutzbeauftragter, ist ferner die Meldepflicht gegenüber der zuständigen Datenschutzbehörde gemäß Art. 37 Abs. 7 DSGVO zu beachten. Die Meldepflicht umfasst eine Erstmeldung bei Benennung des Datenschutzbeauftragten, eine Änderungsmeldung bei personeller Veränderung und eine Löschungsmeldung bei Abberufung des Datenschutzbeauftragten.
Übrige Regeln bleiben in Kraft
Nur weil die Verpflichtung zur Benennung eines Datenschutzbeauftragten nun möglicherweise entfällt, heißt das nicht, dass auch die übrigen Regeln der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes nicht mehr einzuhalten sind. Im Gegenteil: Als Verarbeiter von personenbezogenen Daten sind Sie natürlich auch weiterhin unter anderem verpflichtet, die Datenschutzgrundsätze einzuhalten, Verzeichnisse von Verarbeitungstätigkeiten zu führen und technische und organisatorische Maßnahmen (TOM) zu ergreifen, um die Daten zu sichern.
Eva-Maria Linz ist Syndikusrechtsanwältin und Rechtsreferentin bei der Hamburgischen Architektenkammer
Die Bundesarchitektenkammer hat ihre Informationen für Architekturbüros aktualisiert.
