Big Data & Datenräume Cyberrisiken 78 · Digital Guide · Real Estate 2025 Häufig wird argumentiert, die DSGVO sei auf diese Daten nicht anwendbar, denn es handle sich um reine Sensordaten, die keinen Personenbezug aufweisen. Nur Daten mit Personenbezug eröffnen aber per Definition den Anwendungsbereich der DSGVO. Letzteres ist zutreffend, Ersteres oftmals nicht. Denn oft liegt ein Personenbezug der Gebäudedaten in der Praxis durchaus vor: Systeme wie Videoüberwachung, digitale Zutrittskontrollen oder smarte Arbeitsplatzsensoren erheben regelmäßig auch Informationen, die Rückschlüsse auf einzelne Personen ermöglichen (z. B. wann jemand ein Gebäude betritt, welche Flächen genutzt werden usw.). Solche Daten gelten als personenbezogen und fallen damit in den Anwendungsbereich der DSGVO. Das hat diverse Folgen: • Rechtsgrundlage und Transparenz: Jede Verarbeitung personenbezogener Daten erfordert eine gültige Rechtsgrundlage – etwa berechtigte Interessen des Betreibers oder eine informierte Einwilligung der Betroffenen. Zudem müssen die datenschutzrechtlich Verantwortlichen die Gebäudenutzer (Bewohner, Mitarbeitende, Besucher) transparent über Art und Zweck der Datenverarbeitung informieren. • Datensicherheit und Meldepflichten: Gemäß Art. 32 Neben technischen und organisatorischen Maßnahmen gilt es auch die rechtlichen und finanziellen Folgen unzureichender Cybersicherheit im Blick zu behalten. Regulatorisch drohen empfindliche Sanktionen – etwa Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes bei DSGVO-Verstößen; auch die NIS2-Richtlinie und das IT-Sicherheitsgesetz sehen empfindliche Sanktionen vor. Darüber hinaus drohen Schadensersatzforderungen, wenn Eigentümer, Facility Manager oder IT-Dienstleister ihre vertraglich geschuldeten Sicherheitspflichten verletzen. Mietminderungen, Betriebsunterbrechungen oder die „Weitergabe“ von Bußgeldern sind dabei reale Kostenrisiken, die auf unklare Risikozuweisung oder unzureichende Compliance zurückzuführen sind. DATENSCHUTZ Ein weiteres Problemfeld aus dem Kontext der Cyberrisiken bei Smart Buildings liegt im Bereich des Datenschutzes. Dabei handelt es sich trotz der allgemein voranschreitenden Sensibilisierung für Datenschutzthemen in Unternehmen um ein nach wie vor häufig vernachlässigtes Thema – obwohl allen Beteiligten bewusst ist, dass Smart Buildings fortlaufend Daten zur Gebäudenutzung erfassen. DSGVO müssen angemessene technische und organisatorische Sicherheitsmaßnahmen implementiert werden, um die personenbezogenen Daten zu schützen. Sollte es dennoch zu einem Datenschutzvorfall (z. B. einem Datenleck) kommen, besteht in vielen Fällen die Pflicht, diesen innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde zu melden. In der Praxis zeigt sich, dass gerade in diesem Bereich ein erhöhtes Fehlerrisiko besteht. • Klare Verantwortlichkeiten: Eigentümer, Facility Manager, Mieter und IoT-Dienstleister müssen genau festlegen, wer für welche Datenverarbeitung verantwortlich ist. Diese Rollenverteilung ist nicht nur für die Einhaltung der DSGVO, sondern auch für spätere Haftungsfragen entscheidend. Dabei spielt die technische Gestaltung der Systeme eine große Rolle – etwa wer die „Registrierungsdaten“ einzelner Nutzer bereitstellt und wer Zugriff darauf hat, um sie mit ursprünglich anonymen Gebäudedaten zu verknüpfen. Aus datenschutzrechtlicher Sicht lässt sich die Rollenverteilung nur zu einem gewissen Grad vertraglich gestalten, denn überwiegend bestimmt die normative Kraft des Faktischen, wer Verantwortlicher und wer Auftragsverarbeiter ist – oder ob womöglich eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) vorliegt. Der einzige „Ausweg“ aus dem Anwendungsbereich der DSGVO ist dabei die wirksame Anonymisierung: Die Hürden für eine wirksame Anonymisierung von Nutzungsdaten sind allerdings hoch. Erstens stellt bereits der Anonymisierungsvorgang (also das Verwandeln von personenbezogenen Daten in einen anonymisierten Datensatz) eine Verarbeitung personenbezogener Daten dar, die einer Rechtsgrundlage bedarf. Zweitens ist sicherzustellen, dass ein hinreichender Grad der Anonymisierung erreicht wird, denn bereits die Möglichkeit, anonyme Gebäudedaten mithilfe externer Informationen einer Person erneut zuzuordnen, kann laut Europäischem Gerichtshof (EuGH) und 20 Bei unzureichender Cybersicherheit drohen regulatorisch empfindliche Sanktionen – etwa Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes bei DSGVO- Verstößen 1 FEHL- FUNKTIONEN Ein Risiko sind Fehlfunktionen vom Ausfall einzelner Sensoren bis zum vollständigen Versagen ganzer Gebäudesysteme 1
RkJQdWJsaXNoZXIy Mjc4MQ==