Lesedauer: 5 Minuten
Anna Moldenhauer: Welche datenschutzrechtlichen Regeln sollten in der EU aktuell bereits in der Planungsphase eines Smart Buildings berücksichtigt werden?
Dr. Thomas Rütten: Datenschutz beginnt bereits in der Planungsphase. Das Stichwort dazu ist "Data protection by Design". Den Kern der datenschutzrechtlichen Regelungen in der EU bildet derzeit die Datenschutzgrundverordnung (DSGVO). Diese definiert in Art. 5 Abs. 1 eine Reihe von Grundsätzen zur Verarbeitung von personenbezogenen Daten. Es handelt sich hierbei um die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung, der Integrität und der Vertraulichkeit.
Der Verantwortliche muss diese Grundsätze einhalten und hierüber auch Rechenschaft ablegen. Eine ausreichende Befolgung der oben genannten Pflichten kann allein durch Softwarelösungen kaum sinnvoll hergestellt werden. Deshalb ist es notwendig, bereits in der Planungsphase ein Datenschutzkonzept zu erarbeiten. Die Sensoren, die zur Erfassung von Daten im Gebäude eingesetzt werden, können so von vornherein auf eine Konformität mit den Datenschutzbestimmungen abgestimmt werden. Für die intelligente Klimatisierung eines Raumes könnte es beispielsweise nützlich sein zu wissen, ob und wie viele Menschen sich in diesem befinden. Diese Erkenntnis kann mit einer Kamera erlangt werden, aber ein Bewegungsmelder würde genügen. Es ist sinnvoll, sich bereits bei der Planung zu überlegen, welche Alternative – auch unter Datenschutzgesichtspunkten – die vorzugswürdige ist. Wir haben dies systematisiert und nennen das Ganze "Rechtliches Datenflussmanagement". Dieses "Rechtliche Datenflussmanagement" beginnt bereits in der Projektierung und insbesondere in der Planung des jeweiligen Gebäudes und setzt sich bis in den Betrieb des errichteten Gebäudes fort. Im Ergebnis ist bereits im Zuge der Projektierung und Planung eine umfangreiche technische und rechtliche Analyse erforderlich, um nicht unbewusst Planungsentscheidungen zu treffen, dies sich später als falsch oder problematisch herausstellen, technisch aber nicht mehr abgeändert werden können.
Im Zuge der Frage, welche technischen und organisatorischen Maßnahmen zur Verwirklichung der Datenschutzgrundsätze jeweils konkret erforderlich sind (Art. 25 DSGVO), ist eine Abwägung zwischen Stand der Technik, Implementierungskosten und Art und Zweck der Datenverarbeitung einerseits mit den Risiken der Datenverarbeitung andererseits durchzuführen. Die Verpflichtung beginnt hier also nicht mit der Verarbeitung der personenbezogenen Daten selbst, sondern bereits in dem Moment, in dem die technischen Mittel und Vehikel zur Verarbeitung der Daten festgelegt werden. Darüber hinaus gibt die DSGVO eine ganze Reihe von einzelnen Pflichten vor. Hierzu gehören insbesondere Dokumentations- und Auskunftspflichten. Auch vor diesem Hintergrund sollte in der Planungsphase kritisch erwogen werden, ob der spätere Nutzer des Gebäudes die fraglichen personenbezogenen Daten tatsächlich benötigt.
Die Datenarten, die im Smart Building zur Gebäudenutzung erfasst werden, haben unterschiedliche Schutzbedarfe. Ist es sinnvoll, die in den Gebäuden generierten Daten von nutzerspezifischen Daten zu trennen?
Dr. Thomas Rütten: Ja, denn: Das Datenschutzrecht differenziert zwischen unterschiedlichen Daten und misst diesen unterschiedliche Schutzniveaus bei. Für einige hochsensible Daten sind Schutzvorkehrungen notwendig, die für andere weniger bedeutsame Daten einen nicht notwendigen Aufwand betreiben würden.
Die wichtigste Unterscheidung liegt dabei in der Frage, ob ein Datum personenbezogen ist oder nicht. Nur personenbezogene Daten unterfallen den Regeln der DSGVO. Es handelt sich dabei um solche Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das Spektrum der erfassten Informationen ist dabei sehr groß. Beispiele sind Name, Aussehen, Meinungen, Vermögensverhältnisse und nach der Rechtsprechung "alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt".
Daneben existiert eine Reihe von besonderen personenbezogenen Daten, deren Verarbeitung grundsätzlich verboten ist (Art. 9 DSGVO). Hierzu zählen Daten über ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Nur wenn ein Ausnahmetatbestand (Art. 9 II DSGVO) greift, können die Daten doch verarbeitet werden. Die in einem Smart Building erhobenen Daten sind äußerst vielfältig. Es ist erforderlich, sie nach ihrer datenschutzrechtlichen Sensibilität zu kategorisieren und entsprechend zu behandeln. Ein Sensor, der beispielsweise die Sonneneinstrahlung misst, um Rollläden zu steuern, ist grundlegend anders zu behandeln als ein Fingerabdruckscanner, der den Zugang zum Gebäude regelt. Auch diese Differenzierung sollte über das bereits eingangs angesprochenen "Rechtliche Datenflussmanagement" so früh wie möglich in der Planung beachtet werden.
Die Differenzierung der Kategorien ist dabei mitunter diffizil. Bei einem Anwesenheitssensor in einer Kaffeeküche ließe sich argumentieren, dass die verarbeiteten Daten keiner bestimmten Person zuzuordnen sind. Bei dem gleichen Sensor in einem Einzelbüro ginge das aber nicht.
Die Gebäudeautomatisierung zeigt meist eine komplexe Systemlandschaft, in die zahlreiche Akteure und IoT-Geräte involviert sind – was sollte vom Gebäudebetreiber mit Blick auf eine Haftung im Schadensfall auf jeden Fall vorab vertraglich geregelt werden?
Dr. Thomas Rütten: Die beteiligten Akteure und ihre Rechtsbeziehungen zueinander sind so vielfältig, dass hierauf kaum eine allgemeingültige Antwort gegeben werden kann. Nicht selten sind Planer, ausführende Unternehmen, Programmierer, Projektentwickler, Käufer, Betreiber, Mieter und Nutzer irgendwie nach- und nebeneinander in Kontakt mit dem Projekt. Das führt einerseits zu Schnittstellenproblematiken und andererseits zu möglichen Haftungsrisiken und Regressmöglichkeiten gegenüber einer Vielzahl von Akteuren.
Grundsätzlich sollte ein erster Schritt aber eine klare Verantwortlichkeitsabgrenzung sein. Hier muss geregelt werden, wer zuständig ist für die Wartung und Instandhaltung von Hardware und Software und welche Rechtsfolgen sich aus einer etwaigen Störung ergeben. Beispielsweise müssen gewisse Systeme immer verfügbar und einsatzbereit sein. Hierzu zählen Brandschutz und Zutrittskontrolle. Für weniger kritische Systeme könnte man eine im Vergleich weniger strenge Haftung vereinbaren. Außerdem kann es für den Gebäudebetreiber sinnvoll sein, mit dem Mieter bestimmte Sicherheitsstandards (z.B. ISO/IEC 27001) zu vereinbaren, soweit diese vorhanden sind. Entsprechend fiele es dem Betreiber einfacher, einen Dienstleister mit der Durchführung zu betrauen. Außerdem kann so einfacher nachvollzogen werden, ob der Betreiber seinen vertraglichen Pflichten gegenüber dem Mieter genügt hat oder nicht.
Insgesamt ist es sinnvoll vor der Inbetriebnahme mögliche Sicherheitsrisiken und das entsprechende Schadenspotential zu evaluieren. Auf diese Weise ist es den Beteiligten möglich, sich bei Bedarf über eine Versicherung von Cyber-Risiken zu verständigen. Abseits dessen sollte immer evaluiert werden, ob eine Haftungsfreistellung oder eine Haftungsbegrenzung der Höhe nach möglich und einigungsfähig ist.
Warum ist eine Standardisierung für die Cybersicherheit von Smart Buildings auf Basis gemeinsamer Kriterien und Zertifizierungen derzeit eine große Hürde?
Dr. Thomas Rütten: Die Cybersicherheit ist bei der Herstellung und dem Betrieb von Smart Buildings eine zentrale Herausforderung. Die Gründe, warum eine Standardisierung von Sicherheitskonzepten schwerfällt, sind vielfältig. Zunächst gibt es keine einheitliche Definition von Smart Buildings. Vielmehr gibt es in unterschiedlichen Gebäuden unterschiedliche Automatisierungslösungen und damit auch ein unterschiedliches Risikopotential. Ein Gebäude, das nur mit einer intelligenten Heizungssteuerung ausgestattet ist, bedarf natürlich einer grundlegend anderen Sicherheitsstrategie als ein hoch automatisiertes Smart Building mit eigenem Datenzentrum, in welchem tausende Messpunkte und Dateneingaben zusammenlaufen.
Oft wurden Gebäude nicht als Smart Building geplant und errichtet, sondern nach und nach mit unterschiedlichen digitalen Systemen ausgestattet. In diesen Fällen existiert häufig überhaupt keine umfassende Cyber Security-Strategie. Richtigerweise müsste aber bereits vor der ersten Inbetriebnahme die gesamte Hard- und Software einem Penetrationstest unterzogen werden. Eine solche technische Heterogenität erschwert die Festlegung von einheitlichen Sicherheitsansprüchen. Altgeräte werden in vielen Fällen kaum in der Lage sein, den modernen Sicherheitsprotokollen zu genügen. Andererseits sollen Nutzer auch nicht gezwungen sein, in zu großer Regelmäßigkeit ihre Systeme grundlegend umzustellen. Die kurzen Innovationszyklen von Smart Building-Technologien würden den Zertifizierungsprozess vermutlich oft überholen.
Auch die Gesetzeslage zur Cybersicherheit ist unübersichtlich. Es gibt kein "Smart Building-Gesetz", dem man ein bestimmtes Schutzniveau entnehmen könnte. Vielmehr gibt es unterschiedliche Kodifizierungen, – nationale und europäische – die je nach Konfiguration des Smart Buildings zu beachten sind. Beispiele hierfür sind die Cyberresilienz-Verordnung, die die Sicherheit von Produkten mit digitalen Elementen regelt und die NIS-2-Richtlinie, die kritische Infrastruktur vor Cyberangriffen schützen soll.
