Von Janina Winz
Selten hat ein Rechtsgebiet innerhalb kürzester Zeit derart an Popularität gewonnen wie derzeit das Datenschutzrecht. Grund ist die Europäische Datenschutz-Grundverordnung (DS-GVO), die ab dem 25. Mai in allen EU-Mitgliedstaaten unmittelbar gilt und drakonische Sanktionen für Verstöße vorsieht. Flankiert wird sie durch das neu gefasste Bundesdatenschutzgesetz (BDSG-neu), das ergänzende Regelungen zur Anpassung des deutschen Datenschutzrechts an die DS-GVO enthält. Dieses Zusammenspiel stellt nicht nur Großunternehmen, sondern auch kleinere Unternehmen wie Architekturbüros vor große Herausforderungen.
Pflicht oder Kür?
Architekturbüros messen dem neuen Datenschutzrecht bislang meist keine größere Bedeutung bei. Dabei gilt es auch für sie, soweit sie personenbezogene Daten, also Daten von natürlichen Personen wie Bauherren, Geschäftspartnern oder Mitarbeitern verarbeiten („verarbeiten“ meint das Erheben, Speichern, Organisieren, Übermitteln oder sonstiges Verwenden). Die scheinbare Gelassenheit gründet in der großen Unsicherheit, wie die sehr abstrakten und strengen Vorgaben der DS-GVO mit verhältnismäßigem Aufwand praktisch umzusetzen sind. Der falsche Weg ist es allerdings, erst einmal abzuwarten, denn datenschutzrechtliche Versäumnisse, wie etwa das Nichtbestellen eines unter Umständen notwendigen Datenschutzbeauftragten, bergen enorme Sanktions- und Haftungsrisiken (Bußgelder bis zu 20 Millionen Euro oder Schadensersatzansprüche). Sie können zudem zum Wettbewerbsnachteil werden. Architekturbüros sollten das neue Datenschutzrecht daher ernst nehmen und seine Grundpflichten umsetzen.
Die ersten Schritte
Der erste Schritt sollte eine Bestandsaufnahme der eigenen Datenverarbeitungsprozesse sein. Um den notwendigen Anpassungsbedarf festzustellen, ist zu ermitteln, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden. Der Begriff der personenbezogenen Daten ist dabei weit zu verstehen und umfasst alle Informationen, die sich auf eine natürliche Person beziehen. Ein guter Ausgangspunkt ist die Erstellung eines sogenannten Verarbeitungsverzeichnisses, in dem die wesentlichen Umstände aller Datenverarbeitungsverfahren dokumentiert werden. Das Führen eines solchen Verzeichnisses ist verpflichtend und dient zugleich als Nachweis für die Rechtmäßigkeit der Datenverarbeitung.
Auf dieser Basis sind sodann die Rechtmäßigkeit und der etwaige Anpassungsbedarf zu prüfen: Ist die Verarbeitung zur Erfüllung eines Vertrages, einer gesetzlichen Verpflichtung oder eines berechtigten Interesses erforderlich? Bedarf es womöglich einer Einwilligung der Personen, deren Daten verarbeitet werden? Genügt eine solche Einwilligung den rechtlichen Anforderungen? Wie lange dürfen die Daten aufbewahrt werden? Wer darf auf die Daten zugreifen? Sind die notwendigen Maßnahmen zur Gewährleistung der Datensicherheit getroffen worden? Birgt die Verarbeitung hohe Risiken für die Betroffenen, die eine besondere Kontrolle erfordern (sogenannte Datenschutz-Folgenabschätzung)? Welche weiteren Pflichten bestehen in Zusammenhang mit der jeweiligen Verarbeitung? Je nach Größe des Büros und Komplexität der Datenverarbeitungsprozesse kann bei der Beantwortung dieser Fragen die Unterstützung durch externe Berater sinnvoll sein.
Welche weiteren Pflichten haben Architekten?
Architekturbüros kann die Pflicht treffen, einen Datenschutzbeauftragten zu bestellen. Das ist unter anderem der Fall, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind – dafür kann es reichen, dass sie am PC tätig sind und beispielsweise E-Mails schreiben. Ferner können weitreichende Informationspflichten gegenüber den Betroffenen, wie zum Beispiel Bauherren, bestehen, um die Datenverarbeitung für sie transparenter zu machen. Werden externe Dienstleister, wie etwa Cloud-Dienste, einbezogen, ist das Architekturbüro nicht etwa von der Pflicht zur Einhaltung der datenschutzrechtlichen Vorgaben befreit, es bedarf vielmehr eines speziellen Auftragsverarbeitungsvertrages.
Zu beachten ist, dass hinsichtlich der Einhaltung all dieser Pflichten grundsätzlich das Unternehmen nachweispflichtig ist. Eine sorgfältige Dokumentation ist daher entscheidend. In der noch zur Verfügung stehenden Zeit ist eine lückenlose Umsetzung der Vorgaben allerdings kaum möglich. Umso wichtiger ist es, nötigenfalls mit externer Unterstützung, ein effektives Konzept auszuarbeiten und Datenschutz als fortlaufenden Prozess zu verstehen. Die seitens fachkundiger Stellen, Datenschutzaufsichtsbehörden und Architektenkammern veröffentlichten Praxishilfen dienen dabei als wertvolle Stütze.p
Janina Winz ist Rechtsanwältin bei Kapellmann und Partner Rechtsanwälte mbB in Düsseldorf
MEHR INFORMATIONEN
Erste übersichtliche Informationen und Begriffsklärungen liefert die Europäische Kommission.
Weitergehende Praxishinweise, Merkblätter und für jedes Bundesland spezifische Musterformulierungen bieten die BAK und verschiedene Länderkammern auf www.architektendatenschutz.de an.
Ferner haben die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Landesdatenschutzaufsichtsbehörden ergänzende Praxishinweise und Muster veröffentlicht, die bei der Umsetzung der DS-GVO und des BDSG-neu eine gute Hilfestellung bieten können:
- Allgemeine Hinweise: Broschüre der BfDI vom 29.09.2017 zur Datenschutz-Grundverordnung und Orientierungshilfen und Kurzpapiere der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) und des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), abrufbar auf den Internetseiten des BayLDA, sowie weitere Informationen zur DS-GVO auf den Internetseiten des Landesdatenschutzbeauftragten NRW (LDI NRW)
- Checklisten zur DS-GVO für Unternehmen: Checkliste für kleine und mittlere Unternehmen des LDI NRW und Fragebogen zur Umsetzung der DS-GVO zum 25. Mai 2018 des BayLDA
- Betriebliche Datenschutzbeauftragte: FAQ zum Datenschutzbeauftragten des LDI NRW
- Verarbeitungsverzeichnis: Hinweise und Muster zum Verarbeitungsverzeichnis der DSK, abrufbar auf den Internetseiten des LDI NRW
- Auftragsverarbeitung: Formulierungshilfe für einen Auftragsverarbeitungsvertrag des BayLDA
- Technische und organisatorische Maßnahmen: Das Standard-Datenschutzmodell des DSK
Mehr Informationen zum Thema Recht erhalten Sie hier
War dieser Artikel hilfreich?
Weitere Artikel zu:
