Für den Datenschutz gilt ab 25. Mai 2018 in allen EU-Mitgliedstaaten die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Auf ihrer Grundlage wurden die Regelungen zum Datenschutz personenbezogener Daten durch öffentliche und nicht öffentliche Stellen vereinheitlicht. Die nationale Umsetzung erfolgte mit der Neufassung des Bundesdatenschutzgesetzes (BDSG in der Fassung vom 30. Juni 2017 in BGBl. I, S. 2097 als BDSG 2018) sowie in einer Reihe weiterer tangierender Gesetze.
Zweck des Gesetzes ist es mit Bezug auf § 1 BDSG, den "Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird". Als personenbezogene Daten gelten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
Die Regelungen betreffen ebenfalls "nicht öffentliche Stellen" im Sinne natürlicher und juristischer Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, folglich auch die Bauunternehmen, soweit sie Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben.
Speziell geregelt werden mit dem Gesetz die Datenerhebung, Datenverarbeitung und Datennutzung.
Werden von einem Bauunternehmen personenbezogene Daten automatisiert verarbeitet, ist nach § 4f BDSG ein Beauftragter für den Datenschutz schriftlich zu bestellen. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind, beispielsweise in einem Bauunternehmen im Sekretariat, in der Personalabteilung bzw. Lohnbüro, in der Kalkulation u. a. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.
Der bestellte Datenschutzbeauftragte muss die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen. Er soll weisungsfrei und unabhängig und dem Leiter des Unternehmens unmittelbar unterstellt sein. Als Aufgabe kommt ihm primär zu, auf die Einhaltung des BDSG hinzuwirken. Insbesondere hat der Datenschutzbeauftragte: die ordnungsgemäße Anwendnung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen sowie
die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des BDSG sowie anderer Regelungen zum Datenschutz vertraut zu machen.
Den bei der Datenverarbeitung beschäftigten Personen ist nach § 5 BDSG untersagt, personenbezogene Daten unbefugt zu bearbeiten, zu verarbeiten oder zu nutzen. Sie sind bei Aufnahme ihrer Tätigkeit im Unternehmen auf das Datengeheimnis zu verpflichten. Es besteht auch nach Beendigung ihrer Tätigkeit fort.
Bei Verstößen gegen die Datenschutzbestimmungen können nach Artikel 83 Abs. 5 DSGVO Geldbußen von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.
Der Bundesverband der Deutschen Industrie (BDI) hat zur Datenschutz-Grundverordnung einen Unternehmensleitfaden (A2- 54/207) erstellt und herausgegeben. Er gibt einen detaillierten Überblick zu den neuen Regelungen im allgemeinen Datenschutz auf Grundlage der DSGVO.