EU-Datenschutz-Grundverordnung (DSGVO)

Am 25. Mai 2018 tritt die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Durch das Gesetz wird der Umgang mit personenbezogenen Daten in den Ländern der EU vereinheitlicht. Gleichzeitig tritt ein neues Bundesdatenschutzgesetz in Kraft, das den Datenschutz nicht mehr vollständig regelt, sondern nur noch die Ausnahmeregelungen enthält, welche die DSGVO zulässt. 

Mit zahlreichen neuen Pflichten und Anforderungen an die Organisation des Büros und der Drohung erheblicher Bußgelder bedeutet dieser Termin Aufwand für Planungsbüros. Das bedeutet, auch Architekten, die in ihren Büros Daten über natürliche Personen, wie z. B. Bauherren, verarbeiten (z. B. durch das Erfassen, Organisieren, Speichern, Verwenden oder Löschen von Daten), sind nun gehalten, sich mit den Änderungen, die die DSGVO mit sich bringt, auseinanderzusetzen und eventuell erforderliche Maßnahmen in ihren Büros zu treffen.

Die Architektenkammer Nordrhein-Westfalen hat nun ein Muster zu dem Thema »Sachverständigenwesen und DSGVO« erarbeitet. Öffentlich bestellte und vereidigte Sachverständige können das Dokument nutzen, um nach ihrer Ernennung als Sachverständige durch das Gericht die Parteien über ihre Datenerhebung zu informieren

Muster für die Arbeitspraxis

Die Bundesarchitektenkammer hat mit den Landesarchitektenkammern eine Orientierungshilfe veröffentlicht, in der verschiedene Muster aufgeführt sind. Die Muster können nicht pauschal und ungeprüft übernommen werden, stellen aber eine Grundlage für jedes Architekturbüro zur weiteren individuellen Bearbeitung dar.

Zu den Mustern
 

Europäische Datenschutz-Grundverordnung für Architekturbüros

Mit zahlreichen neuen Pflichten und Anforderungen an die Organisation des Büros und der Drohung erheblicher Bußgelder bedeutet der Termin Aufwand für Architektur- und Ingenieurbüros.

Durch das neue Gesetz wird der Umgang mit personenbezogenen Daten in den Ländern der EU vereinheitlicht. Bei einem Verstoß gegen die Bestimmungen des EU-DSGVO drohen je nach Schwere Bußgelder von bis zu 4 % des weltweiten Unternehmensumsatz.

Wie schon unter dem bislang geltenden Bundesdatenschutzgesetz dürfen personenbezogene Daten nur verarbeitet werden, wenn der Betroffene hierzu ausdrücklich eingewilligt hat, oder eine gesetzliche Erlaubnis zur Verarbeitung von solchen Daten vorliegt. Neu ist aber, dass die Vorschriften bereits erhebliche Anforderungen an die Organisation des Datenschutzes im Büro stellen. Daher ist in allen  Büros der Geschäftsablauf zu überprüfen, ob die Regelungen des Datenschutzrechts eingehalten werden.

Personenbezogen Daten fallen dabei in vielen Bereichen an. Zu denken sind an die bei der Arbeit bekannt gewordenen Daten der jeweiligen Bauherren, sowie deren Bauvorhaben. Aber auch die Daten der Mitarbeiter und Lieferanten, Dienstleister, Handwerker, mit denen der Architekt zusammenarbeitet, werden vom Datenschutz erfasst. In jedem Büro sollte daher u.a. folgendes überprüft werden: 

  • Sind mehr als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt, so ist für den Betrieb einer Datenschutzbeauftragter zu bestellen.
  • Mitarbeiter sind schriftlich auf die Einhaltung des Datengeheimnis zu verpflichten; die Verpflichtung ist zu den Personalakten zu nehmen.
  • Mit Dienstleistern, die Zugriff auf personenbezogene Daten bekommen, sind Abkommen über die Auftragsverarbeitung zu schließen.
  • Es sind externe und interne Verfahrensverzeichnisse anzufertigen. In das interne Verfahrensverzeichnis sind u.a. aufzunehmen, welche personenbezogene Daten im Betrieb anfallen, auf welcher Rechtsgrundlage und zu welchem Zweck die Verarbeitung der Daten erfolgt, wer Zugriff auf die Daten hat, und wann sie zu löschen sind.
  • Auf den Webseiten des Büros sind umfangreiche datenschutzrechtliche Belehrungen vorzuhalten. Dabei ist darauf zu achten, dass diese Belehrungen der aktuellen Gesetzeslage entsprechen.
  • Die getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz sind zu dokumentieren. Dazu gehört die Regelung, wie die Daten vor unbefugtem Zugriff und Veränderung geschützt sind, ebenso wie Regelungen zum Backup und zur sicheren Entsorgung von nicht mehr benötigten Datenträgern und Akten.
  • Besonderer Aufmerksamkeit bedarf es, wenn personenbezogene Daten in Länder außerhalb der Europäischen Union versendet werden. Dies liegt u.a. schon vor, wenn Dienste wie Messenger oder Cloud von Internetanbietern genutzt werden.

Dr. Klostermann
Der Autor ist Rechtsanwalt aus Zwickau im Fachgebiet IT-Recht