Von Thomas Kranig
Die Datenschutz-Grundverordnung (DSGVO) regelt in Artikel 37, unter welchen Voraussetzungen Datenschutzbeauftragte benannt werden müssen und, ermöglicht es den Mitgliedstaaten in Art. 37 Abs. 4, darüber hinaus weitere Regelungen für die Pflicht, einen Datenschutzbeauftragten zu benennen, zu erlassen. Deutschland hat von dieser Möglichkeit Gebrauch gemacht und in § 38 Bundesdatenschutzgesetz (BDSG) weitere Kriterien dazu aufgestellt.
Benennungspflicht nach DSGVO
Gemäß Art. 37 Abs. 1 DSGVO gibt es drei Fälle, in denen ein Datenschutzbeauftragter zu benennen ist:
Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt. Dies trifft auf die Architektenkammer, aber nicht auf Architekturbüros zu (siehe auch auf DABonline: „Datenschutzbeauftragter im Sachverständigenbüro?“).
Die Kerntätigkeit ist die umfangreiche, regelmäßige und systematische Überwachung von Personen. Das trifft in keinem Fall auf Architekturbüros zu.
Die Kerntätigkeit ist die umfangreiche Verarbeitung von besonderen Kategorien personenbezogener Daten, wie zum Beispiel Daten, aus denen sich ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder auch Gesundheitsdaten ergeben. Selbst wenn man in Architekturbüros vereinzelt mit derartigen Daten in Berührung kommen kann, ist dies in keinem Fall die Kerntätigkeit eines Büros.
Festzuhalten ist deshalb, dass sich aus der DSGVO für Architekturbüros keine Pflicht zur Benennung eines Datenschutzbeauftragten ergibt.
Benennungspflicht nach BDSG
Gemäß § 38 BDSG benennen nichtöffentliche Stellen einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Zu prüfen ist deshalb, welche Personen zu den zehn Personen zählen, was „ständig“, „automatisierte Verarbeitung“, „personenbezogene Daten“ und „beschäftigen“ bedeutet, da nur dann, wenn alle diese Voraussetzungen erfüllt sind, die Pflicht besteht, Datenschutzbeauftragte zu benennen.
„Personenbezogene Daten“ sind nach der Definition in Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. In einem Architekturbüro wird insbesondere mit Daten von Bauherren, Ansprechpartnern von Firmen und den eigenen Beschäftigten umgegangen, sei es auf Plänen, Angeboten, Aktenvermerken über Besprechungen, Abrechnungen oder in Personalangelegenheiten. Jeder Mitarbeiter in einem Architekturbüro geht also in der Regel mit personenbezogenen Daten um.
„Verarbeiten“ ist nach der Definition in Art. 4 Nr. 2 DSGVO das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung – eigentlich alles, was man mit Daten machen kann. Automatisiert ist die Verarbeitung dann, wenn sie mithilfe von IT erfolgt, wovon bei Architekturbüros auszugehen ist.
„Beschäftigt“ sind Mitarbeiter, die in einem Büro tätig sind, unabhängig davon, auf welcher Basis beziehungsweise unter welchen Bedingungen sie die Beschäftigung ausüben. Beschäftigt sind damit feste Mitarbeiter, Auszubildende, Praktikanten usw.
Zu den „zehn Personen“ zählen alle Mitarbeiter, die, wie oben ausgeführt, beschäftigt sind. Gezählt wird dabei nach Köpfen, sodass es auf die Frage, ob jemand Teilzeit oder Vollzeit arbeitet, nicht ankommt.
„Ständig“ mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt ist jemand, bei dem dies den Schwerpunkt seiner Tätigkeit für das Büro ausmacht. Konkret bedeutet dies, dass Mitarbeiter, die Pläne zeichnen, mit Handwerksbetrieben verhandeln und sonstige Arbeiten zur Erfüllung des Architekturvertrages durchführen, dabei zwar immer auch mit personenbezogenen Daten zu tun haben, soweit mit Namen von natürlichen Personen umgegangen wird, dies aber nicht den Schwerpunkt ihrer Tätigkeit ausmacht, sodass sie nicht zu den zehn Personen dazuzählen (anders zum Beispiel wohl DAB 03.2018, „Schreckgespenst Datenschutz“). Lediglich bei Personen, die in der Personal- oder Kundenverwaltung permanent mit Kunden- oder Mitarbeiterdaten umgehen, dürfte der Schwerpunkt ihrer Tätigkeit in der automatisierten Verarbeitung personenbezogener Daten liegen.
Ob damit im Einzelfall in einem Architekturbüro ein Datenschutzbeauftragter zu benennen ist, ergibt sich nach Auswertung der oben genannten Kriterien. In aller Regel dürften es in den Architekturbüros weniger als zehn Personen sein, die ständig automatisiert mit personenbezogenen Daten umgehen, sodass in aller Regel Datenschutzbeauftragte nicht benannt werden müssen.
Wer wird Datenschutzbeauftragter?
Wenn ein Datenschutzbeauftragter zu benennen ist, kann dies ein eigener Mitarbeiter oder eine externe Person auf der Basis eines entsprechenden Dienstvertrages sein. Bei der Benennung eines internen Datenschutzbeauftragten ist insbesondere eine Interessenkollision zu vermeiden, was bedeutet, dass jemand, der für die Büroleitung oder auch für den Einsatz der IT verantwortlich ist, als Datenschutzbeauftragter ausscheidet. Fachlich ist darauf zu achten, dass Datenschutzbeauftragte Kenntnisse im Datenschutz in dem Umfang besitzen, der für den jeweiligen Einsatzbereich notwendig ist. Sicherzustellen ist, dass internen Datenschutzbeauftragten ausreichend Zeit und Ressourcen zur Verfügung gestellt werden, um ihre verantwortungsvolle Aufgabe angemessen ausführen zu können.
Thomas Kranig ist Präsident des Bayerischen Landesamtes für Datenschutzaufsicht
