Keiner will, jeder muss

Der Datenschutz polarisiert wie der aktuelle Datenskandal um Facebook und Cambridge Analytica einmal mehr beweist. Empörte Stimmen melden sich zu Wort, die fragen, wie es denn dazu kommen kann, und natürlich fehlen nicht die Stimmen der üblichen Verdächtigen, die einmal mehr gesetzliche Regelungen einfordern. Wer sich aber über die Datenkraken aufregt und mehr Gesetze einfordert, muss sich nicht wundern, dass es zu immer mehr datenschutzrechtlichen Vorgaben kommt. Ab 25. Mai 2018 findet eine neue Regelung zum Datenschutz Anwendung, die Datenschutz-Grundverordnung (DS-GVO). Zeitgleich tritt das novellierte Bundesdatenschutzgesetz in Kraft. Schon jetzt werden die neuen Vorgaben, die auf einer Verordnung des Europäischen Parlaments beruhen, als „Bürokratiemonster“ bezeichnet, das Unternehmen drangsaliere und nur die Praxisferne der Europäischen Union belege. Wie es der Gesetzgeber also handhabt: Er macht es nie allen recht.

Pflicht für alle

Wichtig ist für alle Architektinnen und Architekten, dass sie sich mit den neuen Datenschutzvorschriften beschäftigen müssen. Wer einen Architektenvertrag mit einem Bauherrn abschließt und dessen Daten verarbeitet, benötigt dafür keine Einwilligung. Auch wenn sich ein Kunde an einen Architekten wegen eines Kostenvoranschlags wendet, dürfen die Daten, die der Architekt erhält, verarbeitet werden. Problematisch wird es dann, wenn der Architekt die Daten für andere Zwecke verwenden will. Einige Planer verfügen über einen eigenen E-Mail-Newsletter, mit dem sie Interessierte über ihre Bauprojekte informieren, andere schreiben regelmäßig Geburtstags- oder Weihnachtsgrüße: Ist das noch erlaubt?

Zunächst ist es wichtig, dass diejenigen, deren Daten genutzt und verarbeitet werden, darüber informiert werden und dem zustimmen. Dabei ist in der Information stets auf ein Widerspruchsrecht hinzuweisen. Für diese Anschreiben und Mailings benötigen Architekten daher stets Einverständniserklärungen. Ein Bauherr muss nicht damit rechnen, dass er in ein Newsletterverzeichnis aufgenommen wird, bloß weil er einen Architektenvertrag unterschrieben hat. Wer diese Form der Werbung, Akquise und Kundenbindung für sich nutzen will, kommt nicht umhin, den Kunden um ein explizites Einverständnis zu bitten. Dieses sollte aus Beweisgründen schriftlich oder über eine Rückbestätigung einer per Mail übermittelten Information (sogenanntes Double-Opt-In-Verfahren) erfolgen.

Besonderes Augenmerk sollte bei der Informationspflicht auf die Datenschutzerklärung auf der Homepage und die Information zu online erhobenen Daten gerichtet werden, da hier unmittelbar ab 25. Mai 2018 Abmahnungen bei fehlender, unvollständiger oder unrichtiger Information drohen.

Jeder Kunde hat das Recht darüber informiert zu werden, welche Daten von ihm beim Architekten gespeichert sind. Wer eine solche Frage eines Kunden erhält, muss diese präzise und verständlich beantworten. Und zwar grundsätzlich innerhalb eines Monats!

Recht auf Löschen, Recht auf Vergessenwerden

Im Datenschutzrecht wurde ein Recht auf Löschung und Einschränkung der Verarbeitung geschaffen. Auf Verlangen können somit bestimmte Daten gelöscht werden. Nicht davon betroffen sind Daten, die Architekten zur Erfüllung ihrer rechtlichen Verpflichtungen (Aufbewahrungspflichten) oder zur Durchsetzung ihrer Ansprüche (bis zum Ende der Verjährungsfrist) benötigen. Ein säumiger Bauherr, der noch nicht die fällige Schlussrechnung bezahlt hat oder dessen Gewährleistungsansprüche noch nicht verjährt sind, kann daher nicht vom Architekten verlangen, dass sämtliche Daten von ihm gelöscht werden. Daten, die nicht mehr gebraucht werden und die nur wegen Aufbewahrungs- oder Verjährungsfristen gespeichert werden, dürfen nur noch mit Zustimmung des Betroffenen oder zu Beweiszwecken verwendet werden.

Mit jedem Vertragspartner, mit dem der Architekt personenbezogene Daten austauscht, ist eine Auftragsverarbeitungsvereinbarung inkl. Beschreibung der Art der Daten und der dafür vorgesehenen IT-Sicherheits- und Datenschutzmaßnahmen zu schließen.

Etwas Arbeit werden die technischen und organisatorischen Maßnahmen bereiten, die Architekten dieser Auftragsverarbeitungsvereinbarung beizufügen haben. Dort ist darzustellen, welche Sicherheitsmaßnahmen ein Architekt für die Datenverarbeitung vornimmt. Sicher ist auch hier: An einen Arzt, der mit hochsensiblen Gesundheitsdaten zu tun hat, sind andere Anforderungen zu stellen als an einen Planer. Dennoch: die Pflicht, zumindest bestimmte Schutzmaßnahmen vor Datenklau und Datenmissbrauch zu treffen, besteht auch hier.

Größere Architekturbüros, die mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, müssen einen Datenschutzbeauftragten bestimmen. Wichtig ist, dass dieser über Fachwissen auf dem Gebiet des Datenschutzes verfügt.

Verstöße gegen den Datenschutz sehen enorme Bußgelder von bis zu 20 Millionen Euro im Einzelfall vor. Auch können Schadensersatzansprüche entstehen. Deshalb sollte sich jedes Büro mit den neuen Aufgaben rechtzeitig vor In-Kraft-treten der Verordnung beschäftigen. Es wird sich auszahlen.