Von RA C. Weiß

Datenschutz darf auch für die Bauleitung nicht nur auf dem Papier stattfinden. Leider stellt die datenschutzkonforme Verarbeitung von personenbezogenen Daten durch die Bauleitung regelmäßig noch keine Selbstverständlichkeit dar. Hintergrund ist häufig kein böser Wille, sondern Unwissenheit.
Am Bau sind durch die Bauleitung zahlreiche Gewerke zu koordinieren, der Baufortschritt zu dokumentieren, Abrechnungen zu kontrollieren und zahlreiche weitere, der jeweiligen Situation geschuldete Maßnahmen zu ergreifen. Bei allen diesen Tätigkeiten werden regelmäßig personenbezogene Daten der Vertragspartner oder deren Ansprechpartner sowie von sonstigen am Bau beteiligten natürlichen Personen verarbeitet.

Betrachtet man den Umfang der Datenverarbeitungsvorgänge, die vom Erstgespräch bis zur Vollendung des Bauvorhabens stattfinden, so wird deutlich, dass dem Datenschutz auch bei der Bauleitung eine wesentliche Rolle zukommt.

In diesem Artikel sollen neben einer kurzen Einleitung ausgewählte datenschutzrechtliche Probleme behandelt werden, die regelmäßig bei der alltäglichen Bauleitung auftreten.

Datenverarbeitungsvorgänge auf dem Bau

Rund um ein Bauvorhaben finden zahlreiche Datenverarbeitungsvorgänge statt, die datenschutzrechtlich relevant sind. Zunächst ist entscheidend, ob hierbei „personenbezogene Daten“ „verarbeitet“ werden. „Personenbezogene Daten“ sind nach Art. 4
Nr. 1 DSGVO alle „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Dies bedeutet, dass jeder Name, jede E-Mail-Adresse, die sich aus Vor-/Nachname des jeweiligen Ansprechpartners zusammensetzt, und jede
Telefonnummer, die einer natürlichen Person zugeordnet werden kann, personenbezogene Daten sind.

Gemäß Art. 4 Nr. 2 DSGVO ist die „Verarbeitung“ jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das
Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Dieser Begriff ist also erheblich weitreichender als die umgangssprachliche Bedeutung des Begriffs „verarbeiten“.

Hierdurch wird deutlich, dass durch die Bauleitung ständig personenbezogene Daten verarbeitet werden, z. B. der Austausch von Daten beim Termin/Jour fixe, die Verwendung von Daten für eine Geschäfts-E- Mail, das Löschen oder die Vernichtung von Akten/
Plänen nach Ablauf von Aufbewahrungsfristen.

Rechtmäßigkeit der Verarbeitung

Die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten, die keiner besonderen Kategorie des Art. 9 DSGVO unterliegen, richtet sich nach Art. 6 DSGVO. Rechtmäßig ist die Verarbeitung personenbezogener Daten z. B. dann, wenn die betroffene
Person eine Einwilligung in die Verarbeitung erteilt hat, die Verarbeitung der Erfüllung eines Vertrags dient, dessen Vertragspartei die betroffene Person ist oder die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Verantwortliche unterliegt. Gleiches gilt aber auch z. B., wenn die Verarbeitung zur Wahrung der eigenen berechtigten Interessen erforderlich ist und nicht die Interessen der betroffenen Person diese überwiegen (z. B. die Beitreibung von offenen Honorarforderungen gegenüber Vertragspartnern).

Wer ist „Verantwortlicher“?

Gemäß Art. 4 Nr. 7 DSGVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Die Bauleitung ist hiernach selbst „verantwortlich“, wenn sie personenbezogene Daten von ihren Vertragspartnern in „eigenem Namen“ verarbeitet. Dies ist aber keineswegs immer der Fall.

Problematisch ist dies insbesondere dann, wenn sich mehrere Unternehmen in einer ARGE zusammenschließen und gemeinsam ein Bauprojekt abwickeln.

Hier kann es dazu kommen, dass die Unternehmen, die an der ARGE beteiligt sind, „gemeinsam Verantwortliche“ sind.

Gemäß Art. 4 Nr. 7, Art. 26 DSGVO sind „gemeinsam Verantwortliche“ zwei oder mehrere Verantwortliche, die gemeinsam über Zwecke und Mittel einer Verarbeitung entscheiden und dafür personenbezogene Daten gegenüber dem/den jeweils anderen Verantwortlichen offenlegen.

Wer gemeinsamer Verantwortlicher ist, hat zwingend einen Vertrag zur gemeinsamen Verantwortlichkeit zu schließen. Ein Umstand, welcher in der Praxis in Unwissenheit regelmäßig nicht bedacht wird. Diese Vereinbarung gemäß Art. 26 Abs. 1 Satz 2 DSGVO ist mit den anderen gemeinsamen Verantwortlichen zu schließen. Ungeachtet dessen bleibt jeder gemeinsam verantwortliche Gesellschafter vollständig für die Erfüllung aller Pflichten aus der DSGVO im Außenverhältnis verantwortlich.

Das gilt gemäß Art. 26 Abs. 3 DSGVO und insbesondere für die Geltendmachung von Rechten betroffener Personen gegenüber jedem einzelnen gemeinsamen Verantwortlichen.

Dabei ist wichtig zu wissen, dass bei einer tatsächlichen gemeinsamen Verantwortlichkeit, ohne das eine Vereinbarung nach Art. 26 DSGVO geschlossen wurde, hierfür die Geldbußen nach Art. 83 Abs. 4 lit. a) DSGVO verhängt werden können.

Informationspflichten

Bei der Erhebung von personenbezogenen Daten ist der Verantwortliche, also auch die Bauleitung, verpflichtet, seine Geschäfts- und Vertragspartner bei Beauftragung und bei Anfragen zur Beauftragung über die in seinem jeweiligen Unternehmen stattfindende
Art der Datenverarbeitung zu informieren (Art. 13 f. DSGVO). In Fällen der gemeinsamen Verantwortlichkeit, kann dies die Bauleitung der gemeinsamen Verantwortlichen vor nicht unerhebliche Probleme stellen. Hier muss die Information von den gemeinsam Verantwortlichen einheitlich erteilt werden, was in den Ablauf der Projektabwicklung mit integriert werden muss.

Die Information muss sich insbesondere darauf beziehen, (a) wer Verantwortlicher für die Datenverarbeitung ist (also der Name des Unternehmens und der Geschäftsführung, Anschrift sowie Kontaktdaten), (b) wer der bestellte Datenschutzbeauftragte ist (falls
vorhanden), (c) welche Art von Daten zu welchem Zweck erhoben werden, (d) auf welcher gesetzlichen Grundlage die Verarbeitung der Daten erfolgt, (e) wie lange die erhobenen Daten gespeichert werden und (f) welche Daten an Dritte weitergeben werden (z. B. IT-Dienstleister, Vertragspartner aus den Bereichen der Logistik, Druckdienstleistungen, Vertrieb und Marketing, Subunternehmer). Obligatorisch ist ebenso die Aufklärung über Betroffenenrechte, z. B. die Möglichkeit des Widerrufs einer erteilten Einwilligung zur Datenverarbeitung, die Möglichkeit der Auskunftserteilung über Verarbeitungszwecke, die Möglichkeit der Berichtigung unrichtiger oder nicht vollständig gespeicherter personenbezogener Daten sowie die Aufklärung, wem gegenüber ein Widerspruch zur Datenverarbeitung abgegeben werden kann.

Zu Dokumentations- und Nachweiszwecken ist es empfehlenswert, sich den Erhalt der Informationen durch Unterschrift der jeweils betroffenen Person bestätigen zu lassen. Dabei wird nicht verkannt, dass dies in der Praxis selten der Fall sein wird.
Zwar sind alle Beteiligten zwischenzeitlich daran gewöhnt, von Informationen zu allen möglichen Belangen bedacht zu werden. Gleichwohl hat sich gezeigt, dass Unterschriften häufig nicht unter diese Informationen abgegeben werden, weil diese schlicht nicht gelesen und in der Wahrnehmung der Betroffenen eher als „Papierkram“ angesehen werden.

Dies entbindet den Verantwortlichen aber nicht von seiner Pflicht zur Information und auch nicht von seiner Pflicht zur Dokumentation, dass er diese Informationen erteilt hat.

Ein Lösungsansatz kann daher sein, dass zusätzlich neben der Aushändigung dieser Informationen in Papierform, z. B. als Anlage zu einem Vertrag, dieses Informationsblatt zur Datenverarbeitung standardmäßig in der E-Mail-Signatur mit einem Link mit aufgenommen wird, über den die Informationen zur Datenverarbeitung abgerufen werden können.

Hierdurch wird durch jegliche Form der Mail Kommunikation der Nachweis geführt, dass die Informationen zur Datenverarbeitung einsehbar und erteilt wurden. Aber Vorsicht: Die erteilten Informationen, zu denen der Link führt, müssen auch richtig sein,
d. h. auch in der jeweiligen Situation für den Betroffenen passen. Falsch wäre es z. B., einen Link auf die Datenschutzerklärung der Webseite zu legen, da hierin lediglich Informationen für den Besucher der Webseite hinterlegt sein dürfen. Dabei handelt
es sich aber um gänzlich andere (technische) Datenverarbeitungsvorgänge als bei der Kommunikation mit dem Ansprechpartner.

Weitergabe von Daten an Dritte

Ein regelmäßiges Problem ist die Frage der Datennutzung und -weitergabe von personenbezogenen Daten unter den Beteiligten des Bauprojekts. Es stellt sich nämlich die Frage, ob als Rechtsgrundlage hierfür eine Einwilligung (Art. 6 Abs. 1 a) DSGVO)
notwendig ist oder ob hierzu der Bauhandwerkervertrag (Art. 6 Abs. 1 b) DSGVO) eine ausreichende Grundlage bietet.

Dient die Weitergabe „der Erfüllung eines Vertrags“ mit der betroffenen Person, ist dies die Rechtsgrundlage der Weitergabe. Gleiches gilt für vorvertragliche Maßnahmen auf Anfrage des Betroffenen hin.

Anders liegt der Fall, wenn die Weitergabe von Daten nicht der Erfüllung des Vertrags mit der betroffenen Person dient, deren personenbezogene Daten weitergegeben werden sollen.

Dies kann z. B. dann gegeben sein, wenn bei einem Beteiligten ein Baustoffhändler oder Baumittelhersteller um Weitergabe der Kontaktdaten eines Bauherrn bittet, um diesem einen neuen Baustoff anzubieten.

In diesem Fall dient die Weitergabe der Daten nicht der Erfüllung des Vertrags mit dem Bauherrn. Hier ist eine Einwilligung zur Weitergabe der personenbezogenen Daten notwendig.

Fotodokumentation vom Baufortschritt – Einsatz von Drohnen

Baufortschritte werden durch Fotos dokumentiert. Teilweise wird durch Fotos auch dokumentiert, wie viele Mitarbeiter eines Bauunternehmens gerade mit Bauarbeiten beschäftigt sind, um später die Abrechnungen überprüfen zu können.

Sind auf diesen Bildern Personen abgebildet, enthalten diese Bilder personenbezogene Daten. Neben der DSGVO ist auch das Kunsturheberrechtsgesetz – kurz KUG – zu beachten, aus dem sich das Recht am eigenen Bild ergibt. Beim Recht am eigenen Bild handelt es sich um ein höchstpersönliches Recht, über das der Betroffene nur selbst entscheiden kann. Ohne wirksam abgegebene vorherige Einwilligung darf ein Foto des Betroffenen nicht veröffentlicht werden, wenn er auf dem Foto zu erkennen ist.

Nach gängiger Rechtsprechung reicht dafür die bloße Verpixelung des Gesichts der betroffenen Person häufig nicht. Im Ergebnis ist daher zu empfehlen, nach Möglichkeit keine Personen ohne vorherige Einwilligung zu fotografieren oder, sofern nicht anders möglich, dass sämtliche Personen, die bei Anfertigung der Fotodokumentation des Baufortschritts zu erkennen sind, gänzlich unkenntlich gemacht werden.

Werden für die Fotodokumentation Drohnen eingesetzt ist die Situation noch einmal komplexer.

Beim Einsatz von Drohnen ist zusätzlich die Luftverkehrs-Verordnung (LuftVO) zu beachten. Diese enthält ein Verbot zum Betrieb unbemannter Luftfahrtsysteme und Flugmodelle an bestimmten Orten. Nach § 21b Abs. 1 Ziff. 2 der LuftVO ist der Betrieb von Drohnen u. a. über und in einem seitlichen Abstand von 100 m von Menschenansammlungen, Unglücksorten, Katastrophengebieten und anderen Einsatzorten von Behörden und Organisationen mit Sicherheitsaufgaben verboten. Gleiches gilt nach Ziff. 7 der gleichen Vorschrift u. a. auch bei dem Betrieb von Drohnen, die elektronische Bildaufnahmen anfertigen können. Hier ist der Betrieb über Wohngrundstücken verboten, wenn der betroffene Eigentümer oder sonstige Nutzungsberechtigte nicht ausdrücklich  zugestimmt hat.

Ein weiteres Problem ist, dass der Betroffene bei Nutzung der Drohne nicht erkennen kann, wer der Verantwortliche der Datenverarbeitung ist. An wen kann er sich mit seinen Betroffenenrechten wenden? Wie soll der Verantwortliche seine Informationspflichten  erfüllen, wenn Unbeteiligte durchs Bild laufen?

Daher haben Aufsichtsbehörden auch schon im Zusammenhang mit dieser Problematik ausdrücklich darauf hingewiesen, dass bei unrechtmäßiger Nutzung von Drohnen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten Bußgelder
verhängt werden können. Nach Ansicht der Aufsichtsbehörden dürfen Nutzer von Drohnen mit Foto- oder Videoausrüstung diese nur in solchen Bereichen einsetzen, in denen eine Verletzung von Rechten Dritter ausgeschlossen werden kann. Insbesondere in urbanen Umgebungen ist nach Auffassung der Aufsichtsbehörden das Betreiben von Drohnen mit Film-und Videotechnik im Einklang mit den geltenden Gesetzen i. d. R. nicht möglich.

Quelle: Informationsdienst „Der Bauleiter“, Ausgabe März 2020 (www.derbauleiter.info)