79 · Digital Guide · Real Estate 2025 Europäischem Datenschutzausschuss (EDSA) genügen, um nach wie vor von Personenbezug auszugehen. Deshalb empfiehlt es sich aus Compliance-Sicht, die von den Gebäuden generierten Daten von nutzerspezifischen Daten (wie beispielsweise ID-Nummern) zu trennen (z. B. zwischengeschaltete Anonymisierungs- oder SingleSign-On-Dienste), um eine ReIdentifizierbarkeit der Nutzer so weit wie möglich auszuschließen. CYBERSECURITY-REGULIERUNG Über die DSGVO hinaus beeinflussen weitere gesetzliche Vorgaben die IT-Sicherheit von Smart Buildings – insbesondere wenn die Gebäude von Unternehmen aus kritischen oder regulierten Branchen genutzt werden, wie zum Beispiel Betreiber aus dem Energie- und Wassersektor, Gesundheitseinrichtungen, Banken und Versicherungen sowie Unternehmen der Telekommunikation oder digitaler Infrastrukturanbieter. In solchen Fällen bestehen häufig nicht verhandelbare Vorgaben zu Sicherheitsstandards oder vertraglichen Nutzungsbedingungen. Die regulatorische Dichte nimmt in diesem Bereich derzeit spürbar zu. Zu den wichtigsten aktuellen Vorgaben zählen das deutsche ITSicherheitsgesetz sowie die neue, noch umzuwandelnde NIS2-Richtlinie (Network and Information Security). Beide regeln die Netz- und Informationssicherheit und legen dabei besonderen Fokus auf die Pflichten für Betreiber kritischer Infrastrukturen. Die Vorgaben müssen im Fall ihrer Anwendbarkeit auf die Gebäudenutzer auch für das Smart Building selbst eingehalten werden. Daneben steht der ebenfalls erst seit Kurzem geltende EU-Digital Operation Resilience Act (DORA). Die Verordnung enthält, neben technischen Pflichten, auch Anforderungen an die vertraglichen Regelungen, die Banken, Finanzdienstleister und Versicherungen beim Einsatz von IT-Diensten einhalten müssen. Sie wirken sich daher mittelbar als Anforderungen auf die Vertragsgestaltung mit allen technischen Dienstleistern in Smart Buildings aus, sobald ein regulierter Nutzer das Gebäude bezieht. Absehbar ist, dass die regulatorischen Pflichten beim Betrieb von Smart Buildings zukünftig auch weiter wachsen werden. Der ab September 2025 voll anwendbare EU Data Act enthält unter anderem allgemeine Anforderungen an die Sicherheit des Datenzugriffs und schafft darüber hinaus weitgehende Daten-Zugriffsrechte, die auch zugunsten der einzelnen Personen in Smart Buildings gelten dürften. Außerdem enthält beispielsweise der geplante EU Cyber Resilience Act verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen und erfasst damit insbesondere auch IoT-Geräte in Smart Buildings. Die kontinuierliche Beobachtung relevanter neuer Rechtsakte ist und bleibt daher für den Betrieb von Smart Buildings unerlässlich. PRAKTISCHE LEHREN Cybersicherheit ist ein zentraler Bestandteil des modernen Immobilienmanagements. Die frühzeitige Integration von Sicherheits- und Datenschutzkonzepten, klare vertragliche Regelungen und regelmäßige IT-Sicherheitsaudits ermöglichen es Eigentümern, Nutzern und IT-Betreibern, nicht nur gesetzliche Anforderungen zu erfüllen, sondern auch das Risiko folgenschwerer Vorfälle zu verringern und zugleich das Vertrauen von Mietern und Investoren zu stärken. Ebenso essenziell sind robuste, klar abgestimmte Verträge, um eindeutig festzulegen, welcher Beteiligte welches Risiko trägt und wer im Schadensfall bis wohin haftet. Die Praxis lehrt dabei, dass Unternehmen, die Cybersicherheit zur Chefsache machen, Ausfallzeiten reduzieren, die Privatsphäre der Nutzer wahren und langfristig Kosten sowie Reputationsrisiken minimieren. Datenschutzrechtliche Beratung sollte bereits bei der technischen Planung einbezogen werden, um teure Nachbesserungen zu vermeiden. Artikel 25 DSGVO verpflichtet Verantwortliche zur Umsetzung von ‚Privacy by Design‘ und ‚by Default‘ – diese Grundsätze sollten frühzeitig technische und vertragliche Entscheidungen leiten. 1 Fehlfunktionen Das wohl typischste und gleichzeitig unberechenbarste Risiko bei der Nutzung von smarter Gebäudetechnik ist die Fehlfunktion. Hierunter fallen zahlreiche Szenarien, die vom Ausfall einzelner Sensoren bis zum vollständigen Versagen ganzer Gebäudesysteme (beispielsweise der Aufzugsanlage oder der Temperatursteuerung) reichen. Das können einfache Softwarefehler (Bugs) sein, fehlerhafte Nutzerinteraktionen oder Veränderungen der technischen Umgebung, die nicht mit einer Schädigungsabsicht externer Dritter einhergehen. 2 Cyberattacken Als zweites und stetig wachsendes Risiko gelten Cyberattacken, also vorsätzliche Versuche, unbefugt auf Gebäudesysteme zuzugreifen oder sie zu stören. Zuverlässige Daten über tatsächlich eingetretene Cybervorfälle in Smart Buildings sind bislang rar. Typische Angriffsformen sind das klassische Hacking über unsichere Protokolle oder schwache Zugangsdaten, die Ausnutzung veralteter Software in IoT-Geräten (z. B. durch Malware wie Mirai) sowie gezielte Ransomware- oder DDoS-Attacken, die zentrale Gebäudefunktionen blockieren oder gar eine Lösegeldforderung nach sich ziehen können. 3 Datenlecks und Industriespionage Ein weniger sichtbares, aber relevantes Risiko besteht beim Verlust oder bei der unbefugten Nutzung von IoT-Daten, die oft Rückschlüsse auf Personen zulassen. Smart Buildings erfassen etwa Informationen zu Nutzungsmustern oder Zutritten. Fließen diese Daten ab, entweder unbeabsichtigt oder bei gezielter Ausspähung, kann dies erhebliche Folgen für Datenschutz und Compliance unter der DSGVO und dem Data Act haben. Smart-Building-Systeme sind vom Ausfall bis zur Lösegeld- forderung einer Vielzahl von Cyberrisiken ausgesetzt. Da Gebäudeautomationsnetzwerke oft auf standardisierten IT- bzw. IoT-Technologien basieren und mittlerweile auch über das Internet erreichbar sind, weisen sie viele der gleichen Sicherheitslücken auf wie klassische Unternehmens-IT-Umgebungen. Zu den wichtigsten Bedrohungen gehören:
RkJQdWJsaXNoZXIy Mjc4MQ==