Datenweitergabe auf dem Bau – der Architekt, die Fachplaner und die Handwerker
DSGVO-Serie: Datenschutzkonforme Kommunikation für Planende
Von Jörg Schröder und Cornelius Weiß, Rechtsanwälte bei Caemmerer Lenz, Karlsruhe
Seit dem 25. Mai 2018 gilt in der EU ein neues Datenschutzrecht. Die Datenschutzgrundverordnung (kurz: DSGVO), die von dem ebenfalls neu gefassten Bundesdatenschutzgesetz (kurz: BDSG) flankiert wird, ist seither unmittelbar geltendes Recht.
Wie sich die Beteiligten am Bau, also in erster Linie Architekt, Fachplaner, Handwerker und auch Bauherr von nun an bei beruflich veranlasster Kommunikation datenschutzkonform verhalten sollen/müssen, ist eine der Fragen, die bereits im Vorfeld des 25. Mai für Verunsicherung gesorgt haben und nach wie vor für Verunsicherung sorgen.
Betrachtet man den Umfang der Datenverarbeitungsvorgänge, die vom Erstgespräch bis zur Vollendung des Bauvorhabens stattfinden, so wird deutlich, dass datenschutzkonformer Kommunikation auf der Baustelle seit dem 25. Mai mehr Gewicht zukommt als dies bislang der Fall war.
Wie auch in Zukunft auf der Baustelle datenschutzkonforme Kommunikation stattfinden kann und zwar in einer möglichst pragmatischen, praxisnahen Art und Weise, soll mit diesem Beitrag aufgezeigt werden.
Was ist Datenverarbeitung auf der Baustelle?
Zwischen Spatenstich und Schlüsselübergabe findet rund um ein Bauvorhaben zahlreiche Kommunikation statt, die datenschutzrechtlich relevant ist. Entscheidend dabei ist, ob durch den Architekt, Fachplaner, Handwerker oder sonstigen Beteiligten (i) „personenbezogene Daten“ (ii) „verarbeitet“ werden. „Personenbezogene Daten“ sind nach Art. 4 Nr. 1 DSGVO alle „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Konkret bedeutet dies, dass z.B. jeder Name, jede E-Mail-Adresse, die sich aus Vor-/Nachname des jeweiligen Ansprechpartners zusammensetzt, und jede Telefonnummer, die einer natürlichen Person zugeordnet werden kann, als personenbezogene Daten zu bewerten sind – ein Befund, der auch und gerade am Bau häufig anzutreffen sein wird.
Auch die „Verarbeitung“ dieser Daten findet quasi ständig auf der Baustelle statt. Unter Verarbeitung im Sinne der DSGVO versteht man unter anderem das Erheben, das Erfassen (z.B. Daten beim Termin/Jour fixe), die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung (z.B. des Familienstandes), das Auslesen, das Abfragen, die Verwendung (z.B. für eine Geschäfts-E-Mail), die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung (z.B. im Internet), den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (z.B. von Akten/Plänen nach Ablauf von Aufbewahrungsfristen) „im Zusammenhang mit personenbezogenen Daten“ (Art. 4 Nr. 2 DSGVO).
Die Kommunikation zwischen den Beteiligten eines Bauvorhabens stellt somit eine ständige Form der Verarbeitung personenbezogener Daten dar, was bedeutet, dass DSGVO und BDSG zu beachten sind.
Wie sieht nun eine rechtmäßige Verarbeitung von Daten auf der Baustelle aus?
Unter welchen Voraussetzungen die Verarbeitung rechtmäßig erfolgt, richtet sich nach Art. 6 DSGVO, in dem bestimmte Fallgruppen geregelt sind. Rechtmäßig ist die Verarbeitung personenbezogener Daten z.B. dann, (i) wenn die betroffene Person eine Einwilligung in die Verarbeitung erteilt hat, (ii) die Verarbeitung der Erfüllung eines Vertrages dient, dessen Vertragspartei die betroffene Person ist oder (iii) die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Verantwortliche unterliegt. Gleiches gilt aber auch z.B. wenn die Verarbeitung zur Wahrung der eigenen berechtigten Interessen dient und nicht die Interessen der betroffenen Person diese überwiegen (z.B. die Beitreibung von offenen Honorarforderungen gegenüber Vertragspartnern).
Für die Praxis bedeutet dies, dass jeder Architekt, Fachplaner und Handwerker seine Geschäfts- und Vertragspartner bei Beauftragung und bei Anfragen zur Beauftragung über die in seinem jeweiligen Unternehmen stattfindende Art der Datenverarbeitung informieren muss (Art. 13f. DSGVO). Zu Dokumentations- und Nachweiszwecken ist es empfehlenswert, sich den Erhalt der Informationen durch Unterschrift der jeweils betroffenen Person bestätigen zu lassen.
Die Information muss sich insbesondere darauf beziehen, (i) wer Verantwortlicher für die Datenverarbeitung ist (also der Name des Unternehmens und der Geschäftsführung, Anschrift sowie Kontaktdaten), (ii) wer der bestellte Datenschutzbeauftragten ist (falls vorhanden), (iii) welche Art von Daten zu welchem Zweck erhoben werden, (iv) auf welcher gesetzlichen Grundlage die Verarbeitung der Daten erfolgt, (v) wie lange die erhobenen Daten gespeichert werden und (vi) welche Daten an Dritte weitergeben werden (z.B. IT-Dienstleister, Vertragspartner aus den Bereichen der Logistik, Druckdienstleistungen, Vertrieb und Marketing, Subunternehmer).
Zentral ist auch die Aufklärung über Betroffenenrechte, z.B. die Möglichkeit des Widerrufs einer erteilten Einwilligung zur Datenverarbeitung, die Möglichkeit der Auskunftserteilung über Verarbeitungszwecke, die Möglichkeit der Berichtigung unrichtiger oder nicht vollständig gespeicherter personenbezogener Daten sowie die Aufklärung, wem gegenüber ein Widerspruch zur Datenverarbeitung abgegeben werden kann.
Wie lässt sich diese Theorie möglichst praxisnah umsetzen?
Es liegt auf der Hand, dass die Umsetzung dieser von Gesetzes wegen notwendigen Informationsverpflichtungen einigermaßen reibungslos in die konkreten Arbeitsabläufe auf der Baustelle eingebettet werden sollte. Die Übergabe eines Informationsschreibens mit anschließender Gegenzeichnung und Rückgabe ist zwar wünschenswert, jedoch nicht immer realisierbar – schon gar nicht, wenn viele Beteiligte gleichzeitig zusammenkommen. Empfehlenswert ist es daher, möglichst mehrgleisig zu fahren: Zum einen sollte das Informationsblatt zur Datenverarbeitung zur Vertragsgrundlage bei jeglicher Form der Beauftragung und Zusammenarbeit gemacht werden. Praktisch bedeutet dies, dass die Datenschutzhinweise dem Architekten- bzw. Werkvertrag als Anlage beigefügt werden sollten. Zum anderen ist zusätzlich empfehlenswert, standardmäßig in der E-Mail-Signatur einen Link mit aufzunehmen, über den die Informationen zur Datenverarbeitung abgerufen werden können. Dies sorgt für eine möglichst breite Abdeckung.
Sollten Dritte (z.B. bestimmte Subunternehmer) personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten, wäre ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen. Dieses Thema ist jedoch eine eigene Betrachtung wert.
Ob für die Datennutzung und -weitergabe der Handwerker-Daten durch den Architekten an andere Handwerker bzw. der Bauherren-Daten an die Handwerker durch den Architekten eine Einwilligung (Art. 6 Abs. 1 a) DSGVO) notwendig ist oder ob hierzu der Architekten- bzw. Bauhandwerkervertrag (Art. 6 Abs. 1 b) DSGVO) eine ausreichende Grundlage bietet, ist derzeit – mangels höchstrichterlicher Rechtsprechung – eine offene Frage. Da solcherlei koordinative Tätigkeit unter den am Bau Beteiligten typisch ist, dürfte die Verarbeitung „der Erfüllung eines Vertrages“ dienen und somit eine (explizite) Einwilligung entbehrlich sein. Allerdings sollte darauf geachtet werden, dass die Datenschutzhinweise explizit auch die Weitergabe der Daten an Dritte sowie der Zweck der Weitergabe und die zugrunde liegende Rechtsgrundlage vorsehen. Wer auf Nummer sicher gehen möchte, sollte die personenbezogenen Daten nur verarbeiten, wenn die betroffene Person darin eingewilligt hat.
Datenschutzkonforme Kommunikation auf der Baustelle kann weiterhin stattfinden, wenn die oben genannten Punkte eingehalten werden.
26.07.2018
Datenschutzgrundverordnung
Minimieren Sie das Risiko beim Datenschutz und erhöhen Sie die Datensicherheit, neue Kompaktseminare bieten eine erste Orientierung.