Rechtliche Risiken bei Websites
von Architekturbüros

Eine eigene Website ist für Architekturbüros längst mehr als nur eine digitale Visitenkarte. Sie dient der Präsentation von Projekten, der ersten Kontaktaufnahme mit Bauherren und häufig auch der Abwicklung konkreter Anfragen. Während Gestaltung und Technik meist sorgfältig umgesetzt werden, wird die rechtliche Seite jedoch oft vernachlässigt.

Genau hier liegt ein nicht zu unterschätzendes Risiko. Websites sind öffentlich einsehbar und damit leicht angreifbar – etwa im Rahmen wettbewerbsrechtlicher Abmahnungen. Gleichzeitig werden über sie regelmäßig personenbezogene Daten verarbeitet, beispielsweise bei Kontaktanfragen oder Bewerbungen. Fehler können daher sowohl datenschutzrechtliche als auch rechtliche Konsequenzen nach sich ziehen.

Datenverarbeitung im Alltag: Mehr als nur Kontaktdaten

Schon einfache Funktionen wie Kontaktformulare oder Anfragefelder führen dazu, dass personenbezogene Daten erhoben und verarbeitet werden. Hinzu kommen Bewerbungsunterlagen oder Projektanfragen, bei denen häufig umfangreiche Informationen übermittelt werden.

Gerade im Architekturbereich kann dies sensi­bler sein, als es auf den ersten Blick erscheint. Bauunterlagen, Pläne oder Fotos können Rückschlüsse auf private Lebensverhältnisse oder Eigentum zulassen. Dennoch greifen viele Büros auf Standardlösungen zurück, die nicht speziell für solche Anwendungsfälle konzipiert sind.

Die Datenschutz-Grundverordnung (DSGVO) stellt jedoch klare Anforderungen an die Verarbeitung solcher Daten. Wer Tools einsetzt, sollte daher genau prüfen, ob diese den rechtlichen Vorgaben tatsächlich entsprechen.

Wie schnell sich daraus rechtliche Risiken ergeben können, zeigt ein im Alltag oft übersehenes Detail: In vielen Online-Formularen auf Websites wird bei der Anrede oder beim Geschlecht lediglich eine Auswahl zwischen „Frau“ und „Herr“ beziehungsweise „männlich“ und „weiblich“ vorgesehen – teils sogar als verpflichtende Angabe. Für Personen mit nicht-binärer Geschlechtsidentität kann dies eine unzulässige Benachteiligung darstellen.

Die Rechtsprechung hat hierzu inzwischen klare Maßstäbe entwickelt. So wurde mehrfach entschieden, dass die verpflichtende Auswahl zwischen „Frau“ und „Herr“ das allgemeine Persönlichkeitsrecht verletzen kann. Entsprechende Formulargestaltungen wurden von Gerichten untersagt. In Einzelfällen wurden darüber hinaus Entschädigungsansprüche zugesprochen. Auch eine Benachteiligung im Sinne des Allgemeinen Gleichbehandlungsgesetzes kann vorliegen.

Für Inhaber von Architekturbüros bedeutet dies: Selbst vermeintlich geringfügige Gestaltungsentscheidungen auf der eigenen Website können rechtliche Konsequenzen nach sich ziehen. Gerade bei Standardformularen, die häufig unverändert von externen Dienstleistern übernommen werden, besteht ein erhebliches Risiko, unbeabsichtigt gegen geltendes Recht zu verstoßen.

Impressum: Pflichtangaben mit Fallstricken

Ein klassischer Schwachpunkt vieler Websites von Architekturbüros ist das Impressum. Gerade hier gelten für Architekten, da es sich um einen sogenannten reglementierten Beruf handelt, besondere berufsrechtliche Anforderungen, die über die allgemeinen Pflichtangaben hinausgehen. Neben den üblichen Informationen müssen unter anderem die korrekte Berufsbezeichnung, der Staat der Verleihung, die zuständige Architektenkammer sowie Hinweise auf die einschlägigen berufsrechtlichen Regelungen aufgeführt werden.

In der Praxis zeigt sich jedoch häufig, dass diese Vorgaben nicht vollständig umgesetzt werden. Impressen sind nicht selten veraltet, enthalten Lücken oder basieren auf Mustervorlagen, die ungeprüft übernommen wurden. Dabei wird oft übersehen, dass ein Impressum stets individuell auf den jeweiligen Websitebetreiber zugeschnitten sein muss. Standardtexte bieten hier keine verlässliche Grundlage und können im Zweifel selbst zum Risiko werden.

Besondere Aufmerksamkeit erfordern auch steuerliche Angaben. Sofern eine Umsatzsteuer-Identifikationsnummer oder eine Wirtschaftsidentifikationsnummer vorhanden ist, muss diese im Impressum genannt werden. Problematisch wird es hingegen, wenn stattdessen die reguläre Steuer­nummer veröffentlicht wird, da diese sehr häufig mit den genannten Nummern verwechselt wird und eben nicht für die öffentliche Verwendung bestimmt ist und von Dritten missbräuchlich genutzt werden kann. Neben einem möglichen Wettbewerbsverstoß entsteht dadurch ein zusätzliches praktisches Risiko.

Einsatz externer Dienste: Komfort trifft auf Compliance

Moderne Websites von Architekturbüros greifen regelmäßig auf externe Dienste zurück. Dazu zählen etwa Kontaktformulare, Tools zur Terminvereinbarung, Upload-Funktionen für Projekt­unterlagen oder auch Karten- und Analyse­anwendungen. Solche Lösungen erleichtern den digitalen Austausch erheblich, sind jedoch rechtlich nicht unproblematisch.

Sobald personenbezogene Daten verarbeitet werden, sind verschiedene datenschutzrechtliche Anforderungen zu beachten. Dazu gehört insbesondere, dass Datenübertragungen ausreichend abgesichert erfolgen, in der Regel durch eine durchgängige SSL-Verschlüsselung. Ebenso ist zu klären, wo die Daten gespeichert werden und ob eine Übermittlung in Staaten außerhalb der Europäischen Union erfolgt. In solchen Fällen sind zusätzliche rechtliche Voraussetzungen zu erfüllen.

Eine zentrale Rolle spielt hierbei die Frage, ob für das jeweilige Drittland ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission vorliegt. Ein solcher Beschluss bestätigt, dass in dem betreffenden Staat ein mit der EU vergleichbares Datenschutzniveau besteht, sodass Datenübermittlungen unter erleichterten Bedingungen zulässig sind.

Die praktische Bedeutung dieses Instruments zeigt sich insbesondere im Verhältnis zu den USA. Frühere Regelwerke wie das „Safe Harbor“-Abkommen sowie das nachfolgende „Privacy Shield“ wurden vom Europäischen Gerichtshof für unwirksam erklärt, da sie kein ausreichendes Datenschutzniveau gewährleisteten. Dies hatte zur Folge, dass Datenübermittlungen in die USA erheblichen rechtlichen Unsicherheiten unterlagen und zusätzliche Schutzmaßnahmen erforderlich wurden.

Mit dem inzwischen eingeführten „EU-U.S. Data Privacy Framework“ besteht erneut ein Angemessenheitsbeschluss für zertifizierte US-Unternehmen. Allerdings gilt auch hier: Die Übermittlung ist nur zulässig, wenn der konkrete Anbieter tatsächlich unter diese Zertifizierung fällt. Zudem bleibt die rechtliche Entwicklung dynamisch, sodass die langfristige Beständigkeit solcher Regelungen nicht als selbstverständlich angesehen werden kann.

Für Architekturbüros bedeutet dies, dass bei der Auswahl externer Dienstleister genau geprüft werden muss, wo und auf welcher Grundlage Daten verarbeitet werden. Insbesondere bei US-Anbietern ist zu klären, ob eine wirksame Rechtsgrundlage für die Datenübermittlung besteht und ob ergänzende Schutzmaßnahmen erforderlich sind.

Darüber hinaus ist häufig ein Vertrag zur Auftragsverarbeitung mit dem jeweiligen Anbieter erforderlich. Gerade im Architekturbereich, in dem nicht selten vertrauliche Projektunterlagen übermittelt werden, stellt sich zudem die Frage, ob der eingesetzte Dienstleister überhaupt ein angemessenes Datenschutzniveau gewährleistet. Viele Standardlösungen aus dem allgemeinen Dienstleistungsbereich werden diesen Anforderungen nicht ohne Weiteres gerecht.

Einwilligungsmanagement: Typische Fehler bei Cookie-Bannern

Einwilligungsbanner zur Steuerung von Cookies und externen Diensten sind inzwischen auf nahezu jeder Website zu finden. Dennoch zeigt sich in der Praxis, dass viele dieser Lösungen nicht den rechtlichen Anforderungen entsprechen. Häufig sind Einwilligungen bereits voreingestellt, Informationen unklar oder unvollständig formuliert oder die Möglichkeit zur Ablehnung ist unnötig erschwert. Teilweise fehlt auch eine klare Differenzierung zwischen technisch notwendigen und einwilligungspflichtigen Diensten.

Für eine wirksame Einwilligung im Sinne der DSGVO ist jedoch entscheidend, dass Nutzer eine echte Wahl haben. Sie müssen ihre Entscheidung freiwillig, informiert und ohne Beeinflussung treffen können. Dazu gehört insbesondere, dass keine Voreinstellungen bestehen und die Ablehnung ebenso einfach möglich ist wie die Zustimmung.

Die rechtliche Bewertung gängiger Consent-Tools zeigt, dass selbst weit verbreitete Lösungen nicht automatisch als datenschutzkonform angesehen werden können. Aktuelle Entwicklungen und behördliche Einschätzungen machen deutlich, dass die konkrete Ausgestaltung im Einzelfall entscheidend ist. Pauschales Vertrauen in bekannte Anbieter genügt daher nicht.

Besonders kritisch ist der Einsatz von Tracking- oder Analyse-Tools ohne entsprechende Einwilligung. Bereits das Setzen von Cookies oder die Übermittlung von Nutzerdaten an Dritte kann in solchen Fällen einen Rechtsverstoß darstellen – insbesondere dann, wenn Daten an Anbieter außerhalb der EU weitergeleitet werden.

Erschwerend kommt hinzu, dass viele Websites über Jahre hinweg gewachsen sind. Im Zuge dessen werden häufig zusätzliche Dienste integriert, ohne dass diese systematisch erfasst oder regelmäßig überprüft werden. Nicht selten binden Webdesigner standardmäßig Analyse- oder Tracking-Tools ein. Dadurch entstehen Datenverarbeitungen, die dem Betreiber nicht vollständig bekannt sind und für die keine wirksame Einwilligung vorliegt.

Gerade vor diesem Hintergrund wird deutlich, dass ein funktionierendes Einwilligungsmanagement nicht allein durch die Implementierung eines Cookie-Banners erreicht wird. Vielmehr ist eine fortlaufende rechtliche und technische Überprüfung erforderlich, um sicherzustellen, dass alle eingesetzten Dienste korrekt erfasst und datenschutzkonform eingebunden sind.

Datenschutzerklärung: Maßgeblich ist die
tatsächliche Praxis

Auch die Datenschutzerklärung gehört zu den Bereichen, in denen sich in der Praxis häufig Defizite zeigen. In vielen Fällen entspricht sie nicht mehr dem aktuellen Stand der Website oder bildet die tatsächlichen Datenverarbeitungen nur unzureichend ab.

Oft wird die Erklärung einmal erstellt und anschließend über einen längeren Zeitraum unverändert übernommen, obwohl sich Funktionen und Inhalte der Website weiterentwickeln. Umgekehrt finden sich nicht selten sehr umfangreiche Datenschutzerklärungen, die vorsorglich zahlreiche Dienste aufführen, die tatsächlich gar nicht eingesetzt werden.

Beides ist rechtlich problematisch. Die Datenschutzerklärung muss die konkreten Verarbeitungsprozesse vollständig, zutreffend und transparent darstellen. Abweichungen können nicht nur zu Abmahnungen führen, sondern auch datenschutzrechtliche Maßnahmen nach sich ziehen. Eine regelmäßige Überprüfung und Anpassung ist daher unerlässlich.

Verantwortlichkeit: Architekturbüros in der Pflicht

Ein weit verbreitetes Missverständnis besteht darin, die Verantwortung für die rechtliche Ausgestaltung der Website bei Webdesignern oder externen Agenturen zu sehen. Tatsächlich liegt die Verantwortung jedoch beim Betreiber der Website – also beim Architekturbüro selbst.

Das bedeutet, dass etwaige Verstöße (zunächst) unmittelbar dem Büro zugerechnet werden (Regressansprüche gegen Webdesigner oder Agentur sind im Einzelfall zu prüfen). Mögliche Folgen reichen von wettbewerbsrechtlichen Abmahnungen über behördliche Bußgelder bis hin zu Schadensersatzansprüchen.

Fazit: Rechtliche Prüfung als fortlaufende Aufgabe

Die rechtlichen Anforderungen an Websites von Architekturbüros sind vielfältig und entwickeln sich kontinuierlich weiter. Gleichzeitig lassen sich viele Risiken durch eine bewusste Gestaltung und regelmäßige Kontrolle vermeiden.

Vorlagen und Standardlösungen bieten hierfür in der Regel keine ausreichende Sicherheit. Wer seine Website nicht nur technisch, sondern auch rechtlich fortlaufend überprüft, reduziert das Risiko von Abmahnungen und Bußgeldern erheblich – und stärkt zugleich die Professionalität und Vertrauenswürdigkeit des eigenen Auftritts.