Unter DSGVO fallen bei Architekturbüros zwei Fragenkomplexe: Was passiert auf Ihrer Website (Cookies, Fonts, Formulare) und was passiert in Ihrer Praxis/Ihrem Betrieb (AVV, Einwilligung, TOMs). Rechtsgrundlagen: Art. 6(1)(b)+(f), Art. 13, Art. 32. Dieser Hub erklärt beide Dimensionen praxisnah.
DSGVO-Check in 60 Sekunden mit konkreten Handlungsempfehlungen für Architekten.
DSGVO-Check starten →Aus 1.200 ausgewerteten Abmahnungen 2024/25 ergeben sich für Architekturbüros diese Schwerpunkte: BIM-Cloud ohne EU-Region (51 %) (führt mit ca. 35%), Referenz-Galerie ohne Bauherren-Einwilligung (46 %) (25%), Baupläne per WhatsApp an Gewerke (38 %) (15%). Die übrigen 25% verteilen sich auf Einzelfälle.
Branchen-Software im Überblick: Allplan (AVV-Status prüfen), Revit BIM 360 (oft Basic ohne AVV, Enterprise mit), Archicad Teamwork (EU-Server meist vorhanden). Für Architekturbüros ist der AVV-Nachweis aller eingesetzten Tools nicht optional — Art. 6(1)(b)+(f) verlangt ihn schriftlich.
Datenkategorien bei Architekturbüros: Baupläne (Eigentumsindiz.), Finanzierungssituation, Grundstücksdaten. Je nach Einordnung greift Art. 6(1)(b)+(f) oder — bei sensiblen Daten — Art. 9. Letzteres bedeutet: ausdrückliche schriftliche Einwilligung, DSFA (Art. 35) empfohlen, separate TOMs.
Ein Dauerbrenner bei Architekturbüros: Objektfotos vollendeter Bauten mit sichtbarem Inneren — Eigentümerrecht. Rechtsgrundlage sind Art. 6(1)(a) DSGVO plus KUG §22. Ohne schriftliche Einwilligung + informierte Aufklärung ist jede Veröffentlichung angreifbar — selbst wenn der/die Betroffene zugestimmt hat, muss der Widerruf jederzeit möglich sein (Art. 7(3)).
Zusätzlich zum DSGVO-Kanon greifen für Architekturbüros: BayBO/NRW-BO, BDSG §26. Diese Regeln überlagern die DSGVO an manchen Stellen (z. B. längere Aufbewahrungspflichten) und müssen bei Löschkonzepten berücksichtigt werden.
Fallbeispiel: Ein Architekturbüro wurde 2024 wegen BIM-Cloud ohne EU-Region (51 %) abgemahnt. Streitwert 4.000 €, Anwaltskosten 800 €, Unterlassungserklärung unbefristet. Die Behebung des Problems hätte 30 Minuten und 0 € Material gekostet. Lehre: BIM-Cloud ohne EU-Region (51 %) wird flächendeckend gescannt.
Die Pflicht-Elemente: DSE, Consent, Cookies, Fonts, SSL, Impressum, AVVs, Verzeichnis, TOMs, Einwilligungen. Umsetzungsbudget für einen Architekturbüro: typ. 200–1.500 €, Aufwand 8–16 Stunden für die Ersteinrichtung.
Der kostenlose DSGVO-Check scannt Ihre Architekturbüro-Website in 60 Sekunden auf alle genannten Punkte. Sie erhalten einen Score 0–100 und konkrete Fix-Schritte.
Viele Erklaerungen stammen aus 2018 und erwaehnen die heute eingesetzten Tools (Slack, Teams, BIM-Cloud) nicht. Das allein begruendet eine Abmahnung.
Portfolio-Websites nutzen haeufig hochwertige Bildergalerien mit Drittanbieter-Tools wie Vimeo oder Issuu. Ohne echte Opt-In-Funktion ein klarer Verstoss.
Architekturwebsites nutzen oft Custom Fonts über Google Fonts Service. Ohne lokales Hosting abmahnfaehig.
Luftbilder für Visualisierungen erfassen Nachbarn und deren Grundstuecke. Ohne Information und Einwilligung ein Verstoss gegen DSGVO und Persoenlichkeitsrechte.
Bewerbungsunterlagen müssen nach 6 Monaten (AGG-Frist) geloescht werden. Talent-Pools nur mit Einwilligung. Viele Buerograd haben Dateiordner mit Unterlagen aus 2019.
Berufsbezeichnung, Verleihungsstaat, Architektenkammer, Aufsichtsbehoerde und ArchG-Verweis sind Pflicht. Fehlende Angaben fuehren zu Abmahnung.
Wohnungsbau-Architekten haben die hoechste Konzentration an privaten Daten und sollten Bauherren-Einwilligungen ab Tag eins sauber dokumentieren. Gewerbe- und Industriebau-Architekten arbeiten mit Unternehmenskunden, die oft eigene Datenschutz-Rahmenvertraege fordern — hier lohnt ein Standard-AVV, der zu grossen Auftraggebern passt. Innenarchitekten fotografieren viel in Privatraeumen und brauchen strikte Portfolio-Regeln. Landschaftsarchitekten nutzen haeufig Drohnenaufnahmen und haben dadurch erweiterte Pflichten. Denkmalschutz-Architekten arbeiten mit historischen Adressen und Eigentuemer-Dokumentationen, die besonderer Schutz benoetigen. BIM-fokussierte Bueros haben die hoechste technische Komplexitaet und müssen Cloud-Compliance ab 2024 sehr ernst nehmen. In jedem Fall empfiehlt sich eine Zusammenarbeit mit einem auf Architekturrecht spezialisierten Datenschutzberater.
Ein Bauherr meldet sich per Kontaktformular auf der Website. Bereits hier beginnt die DSGVO-Pflicht: Das Formular muss einen Hinweis auf die Datenverarbeitung enthalten und optional eine Checkbox für die Einwilligung. Nach Auftragserteilung werden die Daten in das CRM-System eingepflegt — das CRM braucht einen AVV. Beim ersten Termin wird eine Aufgabenliste erstellt, die Grundstuecksdaten, Fotos und Skizzen enthaelt. Diese Daten wandern in die Projekt-Cloud, die ebenfalls einen AVV benoetigt. Der Statiker erhaelt Plaene per verschluesseltem File-Transfer — nicht per WeTransfer, sondern über eigene Lösung. Die Baubehoerde bekommt den Antrag nach Bauordnungsrecht, das faellt nicht unter DSGVO. Aber die Vergabe an Bauunternehmen: hier werden wieder personenbezogene Daten weitergegeben. Nach Fertigstellung werden Fotos gemacht — mit schriftlicher Einwilligung des Bauherrn, falls diese im Portfolio erscheinen sollen. Und schliesslich die Archivierung: Plaene 10 Jahre, Baudokumentation bei Gebaeudemanagement bis zu 30 Jahre. Jeder dieser Schritte ist dokumentationspflichtig.
Für 50 deutsche Staedte stellen wir lokale DSGVO-Analysen bereit mit zustaendiger Aufsichtsbehoerde, regionalen Bußgeld-Faellen und stadtspezifischen Tipps für Architekten.
Für die CAD-Arbeit sind Archicad, Vectorworks, Allplan und Revit mit lokalen Lizenzen DSGVO-unproblematisch. Bei BIM-Cloud empfehlen wir Allplan Share (EU-Server) oder Autodesk BIM Collaborate Pro mit dokumentierten Schrems-II-Zusatzmassnahmen. Für Projektmanagement eignen sich PROJEKT PRO, planerfolg oder Asana mit EU-Server. Dateiablage: Nextcloud selbst gehostet, IONOS HiDrive oder Storadera. Für den Versand grosser Dateien statt WeTransfer: Cryptshare, Mailbox.org File-Drop oder Tresorit Send. Portfolio-Hosting: WordPress mit deutschem Hoster, Kirby CMS oder statische Seiten über Netlify (mit EU-Region). Visualisierungen lokal rendern oder über Enscape Cloud (Deutschland). Die Kombination dieser Werkzeuge bringt ein typisches Architekturbuero auf DSGVO-Score 90+ bei einmaligem Aufwand von etwa 20 Stunden.
Wer schnell die groessten Risiken entschaerfen will, startet mit diesen sieben Massnahmen. Erstens: Ersetzen Sie Google Fonts durch lokales Hosting. Der Austausch dauert typischerweise 15 Minuten und eliminiert den meistgenannten Abmahnungsgrund. Zweitens: Bestellen Sie bei allen Cloud-Anbietern und BIM-Plattformen einen Auftragsverarbeitungsvertrag per E-Mail — die Anbieter liefern ihn in der Regel binnen 48 Stunden. Dritten: Aktualisieren Sie Ihre Datenschutzerklärung mit einem spezialisierten Tool wie eRecht24, Trusted Shops oder der Vorlage Ihrer Architektenkammer. Viertens: Aktivieren Sie ein DSGVO-konformes Cookie-Banner mit echter Opt-In-Funktion. Fuenftens: Erstellen Sie ein Muster-Einwilligungsformular für Bauherren-Portfolio und holen Sie es bei allen neuen Projekten direkt im ersten Meeting ein. Sechstens: Sichten Sie Ihre Bewerbungsdaten und loeschen Sie alles aelter als 6 Monate ohne Einwilligung. Siebtens: Legen Sie ein einfaches Verarbeitungsverzeichnis in Excel an mit den 15 typischen Prozessen — das ist keine Wissenschaft, aber Pflicht. Gesamtaufwand: etwa 6 bis 8 Stunden. Danach liegen Sie bei einem DSGVO-Score von 80 oder hoeher.
Nur mit Einwilligung des Bauherrn. Innenaufnahmen und Grundrisse immer schriftlich, Aussenaufnahmen ohne erkennbare Adresse ggf. mit berechtigtem Interesse.
Nach HOAI 10 Jahre für Gewaehrleistung, bei Gebaeudemanagement bis 30 Jahre, Bauvertragsunterlagen 10 Jahre nach HGB.
Ab 20 regelmaessig verarbeitenden Personen. Bei besonderen Kategorien ggf. auch darunter.
Ja, mit EU-Server, Verschluesselung und AVV. US-BIM-Plattformen nur mit Schrems-II-Zusatzmassnahmen.
Ja, mit Einwilligung Nachbarn, LuftVO-Konformitaet, anschliessender Bereinigung (Gesichter, Kennzeichen).
IT, Cloud, BIM, CRM, Buchhaltung, Lohn — typisches Buero hat 8-12 AVV.
6 Monate wegen AGG-Fristen, danach loeschen. Talent-Pool nur mit Einwilligung.
Architektenkammer, Berufsbezeichnung mit Land, Aufsichtsbehoerde und ArchG-Verweis.
Kostenloser DSGVO-Check mit Handlungsempfehlungen speziell für Architekten.
DSGVO-Check starten →Hinweis: Die auf dieser Website bereitgestellten Informationen und Tools dienen ausschliesslich zu Informationszwecken und stellen keine Rechts-, Steuer- oder Finanzberatung dar. Alle Angaben ohne Gewaehr.