Ab 25.5.2018 gelten neue Bestimmungen im
Datenschutzrecht. Die Bundesarchitektenkammer hat mit den
Länderarchitektenkammern ein Merkblatt und verschiedene
Mustertexte erstellt. Die Muster können nicht pauschal und
ungeprüft übernommen werden, stellen aber eine Grundlage für
jedes Architekturbüro zur weiteren individuellen Bearbeitung
dar. Neben dem Merkblatt finden sich unter
www.architektendatenschutz.de und
www.DABonline.de/tag/datenschutz weitere umfangreiche
Informationen zum neuen Datenschutzrecht.
Im
Mai 2016 ist die EU-Datenschutz-Grundverordnung (DS-GVO) in
Kraft getreten. Sie wird ab dem 25. Mai 2018 in allen
EU-Mitgliedstaaten, also auch in Deutschland, unmittelbar
gelten. Zeitgleich tritt die durch den deutschen Gesetzgeber
geschaffene neue Fassung des Bundesdatenschutzgesetzes (BDSG) in
Kraft. Es wird die Datenschutz-Grundverordnung umsetzen bzw.
ergänzen und mit ihr gemeinsam das derzeit noch geltende
Bundesdatenschutzgesetz ersetzen. Dabei betreffen die Regelungen
der DS-GVO grundsätzlich auch, wie es in der DS-GVO heißt, die
„Kleinstunternehmen sowie kleine und mittlere Unternehmen“.
Das bedeutet:
Auch Architekten, die in ihren Büros Daten über natürliche
Personen, wie z. B. ihre Bauherren, verarbeiten (z. B. durch das
Erfassen, Organisieren, Speichern, Verwenden oder Löschen von
Daten), sind nun gehalten, sich mit den Änderungen, die die
DS-GVO mit sich bringt, auseinanderzusetzen und bis Mai 2018
eventuell erforderliche Maßnahmen in ihren Büros zu treffen.
10 Hinweise zum Umgang mit der
Datenschutzgrundverordnung DSGVO (mit Mustern)
HINWEIS 1: Die DSGVO regelt nur die Verarbeitung
personenbezogener Daten. Dabei handelt es sich um alle
Informationen, mit denen ein Mensch identifiziert werden kann,
z. B. Name, Adresse, Sozialversicherungsnummer, E-Mail-Adresse,
IP-Adresse. Unternehmensdaten oder reine Projektdaten sind keine
personenbezogenen Daten und fallen deshalb nicht in den
Anwendungsbereich der DSGVO.
HINWEIS 2: Zur Erfüllung eines Architektenvertrages ist
eine Datenverarbeitung ohne Einwilligung weiterhin zulässig.
Auch im vorvertraglichen Bereich ist keine Einwilligung
notwendig (z.B. Verarbeitung der E-Mail-Adresse des Bauherrn, um
ihm einen Kostenvorschlag zu zusenden).
HINWEIS 3: Werden Daten eines Bauherrn verarbeitet, so
ist dieser darüber zu informieren, welche Daten erhoben und zu
welchem Zweck sie genutzt werden. Ein MUSTER 1 über die
Information liegt anbei; das Muster betrifft den Fall, dass
Daten direkt vom Architekten erhoben und verarbeitet werden.
HINWEIS 4: Ein Datenschutzbeauftragter wird in einem
Architekturbüro grundsätzlich erst dann notwendig, wenn es
mindestens 10 Personen angestellt hat, die sich ständig mit der
automatisierten Verarbeitung personenbezogener Daten
beschäftigen. Dies sind in der Regel nur die Mitarbeiter, die
ständig in der Personalverwaltung, Kundenbetreuung u.a. zu tun
haben. Dies sind in der Regel nicht angestellte Architekten.
HINWEIS 5: Architekturbüros müssen sämtliche
Verarbeitungsprozesse in einem „Verzeichnis von
Verarbeitungstätigkeiten“ dokumentieren. Ein MUSTER 2 für ein
Verarbeitungsverzeichnis ist beigefügt.
HINWEIS 6: Personen, deren Daten verarbeitet werden,
haben ein Auskunftsrecht. Mit diesem Auskunftsrecht können sie
erfahren, ob über sie personenbezogene Daten gespeichert oder
verarbeitet werden. Sofern solche Daten vom Architekturbüro
gespeichert werden, muss das Büro Auskunft über die Daten und
die Herkunft. Ein MUSTER 3 zur Beantwortung einer
Auskunftsanfrage liegt anbei.
HINWEIS 7: Da Architekten personenbezogene Daten von
Bauherrn in der Regel speichern, besteht die Pflicht, diese
Daten mit technischen und organisatorischen Maßnahmen zu
schützen. Es gilt dabei der Grundsatz, je mehr und je sensibler
die Daten sind, die verarbeitet werden, desto mehr Schutz ist
notwendig. Ein MUSTER 4 stellt einen Maßnahmenkatalog vor.
HINWEIS 8: Bauherrn und anderen Personen, deren Daten
Architekten speichern, stehen besondere Lösch- und Sperrrechte
zu. Wenn eine Verarbeitung unrechtmäßig oder nicht mehr
notwendig ist oder wenn Widerspruch gegen die Verarbeitung
eingelegt wurde, besteht eine Handlungspflicht. Wichtig ist,
dass vorzeitig (ggf. mit dem IT-Anbieter) untersucht und geprüft
wird, wie Daten vollständig und dauerhaft gesperrt und gelöscht
werden können.
HINWEIS 9: Architekten besitzen in der Regel Homepages
auf denen Bauherrn mit ihnen über einen Formular in Kontakt
treten können. Neben Impressumspflichten bestehen auch spezielle
Informationspflichten, über die der Architekt den
Internetbenutzer aufzuklären hat. Wir verweisen als Beispiel auf
unser MUSTER 5.
HINWEIS 10: Architekten übersenden oftmals Daten an
Drittunternehmen, die für sie diese Daten kopieren oder
bearbeiten (Copyshop), speichern (Server-Unternehmen) oder in
anderer Hinsicht nutzen. Alle Drittunternehmen, die
personenbezogene Daten von einem Architekturbüro zur weiteren
Verwendung erhalten, haben mit dem Architekturbüro einen Vertrag
zur Auftragsverarbeitung abzuschließen. Der Vertrag dient zur
Sicherheit des Architekten. Sofern die Drittanbieter nicht von
selbst an das Architekturbüro herantreten, um einen solchen
Vertrag abzuschließen, sollte der Architekt das Drittunternehmen
ansprechen. Weitere Informationen zum
Auftragsverarbeitungsvertrag und Musterformulierungen stellen
einige Landesdatenschutzstellen auf ihren Websites, z.B. unter
https://www.lda.bayern.de/media/muster_adv.pdf bereit.
https://www.akbw.de/fileadmin/download/Freie_Dokumente/Recht/Datenschutz/10_HINWEISE.pdf