logo minify

Ein Thema auch für Sachverständige

DSGVO-Serie: Architekten und Architektinnen, die als Sachverständige arbeiten, müssen die EU-Datenschutzgrundverordnung beachten.

Von Katharina Bleutge

Die Datenschutzgrundverordnung (DSGVO) betrifft alle Tätigkeitsbereiche. Dazu zählt zum Beispiel auch das Sachverständigenwesen. Unsere Autorin Katharina Bleutge, Rechtsanwältin und Justiziarin des Instituts für Sachverständigenwesen, stellt im nachfolgenden Artikel unserer DSGVO-Serie die konkreten Auswirkungen der DSGVO auf Sachverständige vor.

Wie sind Sie von der Verordnung betroffen?

Sachverständige müssen bei ihrer Tätigkeit neben den bundes- und landesdatenschutzrechtlichen Regelungen die Vorgaben der seit 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) beachten, wenn sie personenbezogene Daten verarbeiten. Personenbezogen sind alle Informationen über eine identifizierte oder identifizierbare Person. Verarbeiten bedeutet erheben, erfassen, organisieren, ordnen, speichern, anpassen, verändern, abfragen, verwenden, offenlegen, übermitteln, verbreiten, bereitstellen, abgleichen, verknüpfen, löschen, vernichten.

Wann dürfen welche Daten verarbeitet werden?

Für jede Datenverarbeitung muss eine Rechtsgrundlage gem. Art. 6 DSGVO gegeben sein. Bei Sachverständigen kommt hier insbesondere die Verarbeitung von Daten zur Erfüllung ihrer Sachverständigenaufträge in Frage, ggf. auch die Nutzung von Kundendaten für Werbe- und Informationszwecke – hier kann eine konkrete Einwilligung oder berechtigte Interessen des Sachverständigen eine Rechtsgrundlage sein.

Wie lange dürfen/müssen Daten aufbewahrt werden?

Je nach Zweck und Rechtsgrundlage unterschiedlich, spätestens aber, sobald der Zweck der Speicherung weggefallen ist (Art. 17 DSGVO). Bei Verträgen kann dies z. B. die Verjährungsfrist von Ansprüchen sein, bei der Einwilligung insbesondere der Widerruf. Zu beachten sind zudem gesetzliche Aufbewahrungspflichten, insbesondere aus dem Steuer- und Handelsrecht und die Aufbewahrungspflichten aus den Sachverständigenordnungen.

Welche Rechte haben betroffene Personen?

Die Betroffenenrechte verpflichten Sachverstände, aktiv über die Datenverarbeitung zu informieren. Weiterhin haben diese Personen ein Recht auf Datenauskunft, Datenberichtigung, Datenlöschung, Einschränkung der Verarbeitung und das Recht auf Datenübertragbarkeit (Art. 12 - Art. 20 DSGVO).

Brauchen Sachverständige einen Datenschutzbeauftragten?

Das kommt insbesondere auf die Zahl der mit der Datenverarbeitung befassten Mitarbeiter im Sachverständigenbüro an. Wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter zu bestellen (§ 38 BDSG – Datenschutzbeauftragte nichtöffentlicher Stellen). Weitere Gründe ergeben sich aus § 37 BDSG.

Was passiert, wenn die Vorgaben der DSGVO nicht eingehalten werden?

Dann drohen Bußgelder von bis zu 20.000.000 Euro, bzw. bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (Art. 83 DSGVO) und ggf. wettbewerbsrechtliche Abmahnungen.

Was sollten Sachverständige jetzt tun?

Zunächst sollte eine Bestandsaufnahme durchgeführt werden:

  • Wer verarbeitet wie welche Daten zu welchem Zweck?
  • Sind mindestens zehn Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung befasst?
  • Gibt es für jeden Datenverarbeitungsvorgang eine Rechtsgrundlage gem. Art. 6 DSGVO (z. B. Auftragserfüllung, Einwilligung)?
  • Sind alle Datenverarbeitungsprozesse in Verfahrensverzeichnissen erfasst?
  • Gibt es eine ausreichende Dokumentation der Datenverarbeitungsprozesse inkl. Löschkonzept und Umgang mit Datenschutzverletzungen?
  • Werden die erforderlichen technischen und organisatorischen Maßnahmen (TOM) erfüllt, um einen sicheren Datenschutz zu gewährleisten (IT ausreichend gesichert, Sicherungsmaßnahmen im Büro wie z. B. Verschluss von Personaldaten, passwortgeschützter Zugang zu den Arbeitsrechnern, Bildschirmschonern, Firewall etc.)?
  • Werden die betroffenen Personen über die Verarbeitung ihrer Daten ausreichend informiert?
  • Werden die Daten an Dritte weiter gegeben (z. B. IT-Dienstleister)

Daraus ergeben sich dann die konkreten Umsetzungsmaßnahmen:

  • Bestimmung eines internen Datenschutzkoordinators und/oder ggf. eines Datenschutzbeauftragten
  • Erstellung eines Verarbeitungsverzeichnisses inkl. Darstellung der Rechtsgrundlagen und ergänzenden Dokumentationen, Löschkonzepten und Umgang mit Datenschutzverletzungen
  • Datenschutzhinweise erstellen und ggf. auf Webseite einstellen
  • Ggf. IT-Sicherheit verbessern (z.B. Verschlüsselung, Firewall)
  • Ggf. Zugangsberechtigungen anpassen (z.B. Personalunterlagen verschließen, passwortgeschützter Zugang zu den Arbeitsrechnern, Bildschirmschoner, etc.)
  • Bei Weitergabe der verarbeiteten Daten an Dritte: Vertrag über Auftragsverarbeitung (AVV-Verträge) abschließen (z. B. Webdienstleister)

Auswahl an Informationsquellen und Muster:

 

Allgemeine Informationen, Merkblätter und Orientierungshilfen:

DSGVO:www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_6.pdfwww.eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE

Kurzpapiere der Datenschutzkonferenz:
www.datenschutzkonferenz-online.de/kurzpapiere.html

Erste Hilfe zur Datenschutzgrundverordnung für Unternehmen und Vereine (Herausgegeben vom Bayerischen Landesamt für Datenschutzaufsicht, C.H.Beck Verlag)

Praxishilfen der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD):
www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo

Handreichungen für kleine Unternehmen und Vereine:
www.lda.bayern.de/de/kleine-unternehmen.html

www.baden-wuerttemberg.datenschutz.de

Fragebogen zur Umsetzung der DSGVO zum 25. Mai 2018:
www.lda.bayern.de/media/dsgvo_fragebogen.pdf.)

 

Muster:

Verarbeitungsverzeichnis:
www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/02/Muster-Verarbeitungsverzeichnis-Verantwortlicher.pdf
www.lda.bayern.de/de/kleineunternehmen.html
www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf

Auftragsdatenverarbeitung:
www.bitkom.org/NP-Themen/NPVertrauen-Sicherheit/Datenschutz/EU-DSG/170515-Auftragsverarbeitung-Anlage-Mustervertrag-online.pdf
www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_4.pdf

Einwilligung:
www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_13.pdf

Ergänzend zum Thema bietet das IFBau landesweit vertiefende Seminare an, z.B.:
27. November, Karlsruhe: Datenschutzrecht kompakt - die neue EU-DSGVO (18579);
5. Dezember, Friedrichshafen: Datenschutz- Grundverordnung After-Work (18586);
10. Dezember, Stuttgart: Das neue Datenschutzrecht (18584)

Weitere Angebote: www.ifbau.de > Seminarsuche > Datenschutz

21.09.2018

Weitere Beiträge

Eintragen lohnt sich

Die Architektenkammer stellt sich Erstsemestern in Stuttgart vor
mehr03.12.2019
Architektur macht Schule

Architektur macht Schule

Sie möchten die gebaute Umwelt als einer der großen Einflussfaktoren unserer Zeit in ihre Bildungsarbeit aufnehmen? Das Netzwerktreffen am ...
mehr04.08.2021
Wettbewerbe erfolgreich mit Innenarchitekt:innen

Wettbewerbe erfolgreich mit Innenarchitekt:innen

Welche Vorteile haben Auslober, wenn sie Büros für Innenarchitektur explizit in von ihnen ausgeschriebenen Wettbewerben berücksichtigen?
mehr02.08.2021

Beispielhaftes Bauen

7334_1.jpg
Wagenhallen
7353_1.jpg
Café Jušinski
7239_1.jpg
MaxAcht - Baugemeinschaft auf dem Olga-Areal

Ihr Ansprechpartner

Dr. Eric Zimmermann

Justiziar, Geschäftsführer,
Recht und Wettbewerb
Dr. Eric Zimmermann (Justiziar, Geschäftsführer,<br>Recht und Wettbewerb)

Dr. Eric Zimmermann

Justiziar, Geschäftsführer,
Recht und Wettbewerb

Tel: 0711 / 2196-120(vormittags)

eric.zimmermann@akbw.de