Sie verwenden
iz.de als
Gastnutzer
Alle Leistungen ansehen
Tooltipp
{{counter.remaining}} {{counter.title}}

Sie haben einen Artikel verbraucht

Als registrierter Nutzer können Sie bis zu 10 Artikel pro Monat lesen - kostenfrei und unverbindlich

{{vm.izPaket[vm.user.izPaket].title}}

Ihre Leistungen

Digitales | 10.01.2019

Aus IZ01-02/2019, S. 14

Von Monika Hillemacher

In diesem Artikel:

Totaler Datenschutz ist illusorisch

Entwickler, Facility-Manager und Wohnungsunternehmen setzen verstärkt auf intelligente Gebäudetechnik. André Schmidt, Datenschutzexperte am Hamburger Standort der Kanzlei Lutz Abel, begleitet diese digitale Transformation im und am Gebäude kritisch. Nach seinem Geschmack wird zu viel Wert auf Funktionalität und zu wenig auf Datensicherheit gelegt. Dabei muss klar sein: Eine hundertprozentige Sicherheit gibt es ohnehin nicht.

André Schmidt, Rechtsanwalt und Experte für Datenschutz

"Nach derzeitigem Stand ist im FM eine 100%-Sicherheit mit der DSGVO nicht machbar."
Immobilien Zeitung: Herr Schmidt, ich fände es ganz praktisch, per App von unterwegs die Heizung und das Licht zu Hause zu steuern. Jetzt sagen Sie, schöne neue Welt, aber ... Ist das typisch deutsche Bedenkenträgerei?

André Schmidt: Das Internet der Dinge vernetzt Infrastruktur miteinander. Über eine App z.B. werden viele Informationen über den Nutzer an einen zentralen Punkt weitergeleitet. Aus Sicht des Datenschutzes fallen im Hintergrund zahlreiche Informationen an, etwa zum Wasserverbrauch, Heizgewohnheiten, Stromnutzung oder sogar zu häuslichen An- und Abwesenheiten des App-Nutzers. Die Daten sind wertvoll, weil sich daraus Nutzerprofile erstellen lassen. Das ist für Marketingzwecke interessant, wobei es datenschutzrechtliche Grenzen gibt. Die Datensammlung kann aber auch für illegale Zwecke missbraucht werden.

IZ: Inwiefern?

Schmidt: Derartige Dienste sind anfällig für Datendiebstähle und Hackerangriffe. Es kann ausgelesen werden, wer wann das Haus verlässt oder wann die Putzfrau kommt. Wenn jemand über ein gehacktes Smart-Home-System die Haustür öffnet, ohne Einbruchsspuren zu hinterlassen, gemütlich ins Haus spaziert und es ausräumt, das erklären Sie mal der Polizei. Ist das rechtlich gesehen überhaupt ein Einbruch, der vom Versicherungsschutz abgedeckt ist? Solche Szenarien sind möglich. Meiner Ansicht nach achten Anbieter und Nutzer derzeit mehr auf Funktionalität der Systeme und Bequemlichkeit für die Nutzer als auf Sicherheit.

IZ: Das hat aber mehr mit Technik zu tun als mit Datenschutz.

Schmidt: Aber es ist ein Sicherheitsthema und damit datenschutzrechtlich relevant. Dabei ist für Anbieter vieles noch nicht abgeklärt: In welchem Umfang dürfen Daten über Smart Home erhoben werden? Für welche Zwecke? Sind die Daten zu anonymisieren?

IZ: Sind sie?

Schmidt: Aggregieren geht, aber die Daten dürfen nicht einem einzelnen Haushalt zuzuordnen sein. Sonst greift das Datenschutzrecht ein.

IZ: Was bedeutet das in der Praxis?

Schmidt: Es reicht nicht, den Namen des Nutzers bzw. des Mieters zu streichen, wenn gleichzeitig dessen IP-Adresse beibehalten wird, denn bereits die IP-Adresse kann dem Einzelnen zugeordnet werden.

IZ: Einige Wohnungsgesellschaften überlegen, Smart Home im Bestand nachzurüsten. Was geht und was nicht?

Schmidt: Das geht über das Datenschutzrecht hinaus ins Mietrecht hinein. Mietrechtlich ist zuerst zu prüfen, ob es sich um eine Modernisierung handelt, die die Mieter zu dulden haben. Vermieter sollten außerdem darauf achten, dass angemessene Sicherheitsstandards umgesetzt werden. Allerdings: Was ist angemessen? Vermieter können natürlich versuchen, die Installation des Systems allein zu stemmen. Meiner Erfahrung nach stoßen die meisten dabei an Grenzen, da es doch um sehr spezifische IT-Anforderungen geht. Es kommt darauf an, einen IT-Dienstleister zu finden, der die Sicherheit des Systems einschließlich des Datenschutzes garantiert. Der also auch gewährleistet, dass die Daten der Mieter nicht irgendwo ungesichert in einer Cloud landen. Außerdem sollten die Daten wegen der europäischen Datenschutzgrundverordnung idealerweise in der EU bleiben.

IZ: Und welche Rechte hat der Mieter?

Schmidt: Er muss genau erkennen können, was mit seinen Daten geschieht und auf welcher Rechtsgrundlage dies erfolgt. Er kann auch den Zugriff auf die Daten verweigern. Das gilt nur dann nicht, wenn ein Gesetz den Vermieter zwingt, Daten zu erheben, wie es beim Smart Metering der Fall ist. Die Einführung von intelligenten Messsystemen ist im Messstellenbetriebsgesetz verankert. Mieter und Vermieter sind daran gebunden.

IZ: Gebäudemanager wollen mithilfe digitaler Techniken und Smart-Home-Anwendungen u.a. Ressourcen sparen und Gebäude effizienter betreiben. Wie ist das mit dem Datenschutz vereinbar?

Schmidt: Es ist ratsam, eine datenschutzrechtliche Vorabprüfung zu machen oder sogar eine Datenschutzfolgeabschätzung, wie sie die DSGVO vorsieht. Ein Beispiel: In einem Bürogebäude wird die Raumtemperatur automatisch gemessen; einzelne Büros werden anhand der Raumnummer erfasst. Über die Raumnummer könnte an einer anderen Stelle im System nachvollziehbar sein, wer in dem Büro sitzt. Das ließe Rückschlüsse auf das Verhalten eines Einzelnen zu, etwa auf den Strom- und Heizungsverbrauch des Büronutzers. Das wäre eine Verhaltenskontrolle, die aus Sicht des Datenschutzes womöglich unzulässig ist.

IZ: Was empfehlen Sie Facility-Managern?

Schmidt: Vor dem Kauf eines Systems sollten Facility-Manager prüfen, ob die gewünschte IT-Lösung den rechtlichen Anforderungen genügt. Das wird üblicherweise mit dem Anbieter besprochen und vor Vertragsabschluss verhandelt. Arbeitgeber können sich übrigens von ihren Mitarbeitern das Einverständnis zum Erfassen z.B. der Energiedaten am Arbeitsplatz nicht einfach im Arbeitsvertrag absegnen lassen. Es wäre keine freiwillige Einwilligung und daher unzulässig.

IZ: Können Betreiber von Immobilien und Vermieter rechtlich gesehen überhaupt eine Rundumdatensicherheit gewährleisten?

Schmidt: Es gibt in Deutschland 17 Landesdatenschutzbehörden, zwei davon in Bayern, die zum Teil sehr abweichende Meinungen vertreten. Mit der DSGVO soll zwar eine Harmonisierung eintreten. Das wird aber noch eine Weile dauern. Nach derzeitigem Stand ist meiner Einschätzung nach im Facility-Management eine 100%-Sicherheit mit der Datenschutzgrundverordnung nicht machbar. Da müssten Sie schon den gesamten Geschäftsbetrieb niederlegen. Nichtdestotrotz müssen sich Gebäudemanager mit IT-Sicherheit vertraut machen. Es gibt beispielsweise Websites, die Livebilder von gehackten Videokameras an Gebäuden auch aus Deutschland zeigen. Die Betreiber der Kameras wissen nichts davon. Da ist die eigentlich zu gewährleistende Vertraulichkeit dahin.

IZ: Herr Schmidt, vielen Dank für das Gespräch.

Die Fragen stellte Monika Hillemacher.

In Netzwerken weiterempfehlen

Kostenfrei für Abonnenten

Alle Zwangsversteigerungen in Deutschland

Unser Service für IZ-Abonnenten:
Alle Zwangsversteigerungen in Deutschland - täglich aktuell, übersichtlich geordnet und kostenfrei!