Fragen und Antworten

Datenschutz im Smart Building

26.09.2015
Von 
Der Datenschutzexperte Dr. Christoph Ritzer ist Rechtsanwalt und Of Counsel der internationalen Wirtschaftskanzlei Norton Rose Fulbright in Frankfurt. Er ist seit vielen Jahren auf das Datenschutz- und IT-Recht spezialisiert.

Wer ist verantwortlich für Speicherung/Löschung?

Wer verantwortlich für die Speicherung der Daten ist (die sogenannte "verantwortliche Stelle"), muss stets im Einzelfall festgestellt werden. In einer Gewerbeimmobilie kann verantwortliche Stelle beispielsweise der Eigentümer des Gebäudes, der Mieter (der meist auch Arbeitgeber ist) oder ein externer Dienstleister sein. Je nachdem, wer verantwortlich ist, muss danach geprüft werden, unter welchen Voraussetzungen die Verwendung personenbezogener Daten möglich ist.

Erhebt also im vorher dargestellten Beispiel die Aufzugssteuerung automatisch die Chipkarten-Nummer jedes Mitarbeiters, wenn der Aufzug nach oben oder unten transportiert, so ist es entscheidend, wer für das Steuerungssystem verantwortlich ist. Hat der Arbeitgeber das Gebäude nur gemietet und betreibt der Vermieter die Aufzugsanlage, so hat auch nur der Vermieter die Erhebung der Daten zu verantworten - er wird sich meist nicht auf das Beschäftigungsverhältnis berufen können, da bei ihm die Mitarbeiter nicht angestellt sind. Anders ist dies, wenn der Arbeitgeber selbst die Aufzugsteuerung verantwortet.

In beiden Fällen ist es wichtig, dass die Daten nur solange gespeichert werden dürfen, wie unbedingt erforderlich. Im Idealfall wird die Steuerungsanlage bereits so konzipiert, dass die Daten anonymisiert und/oder aggregiert gespeichert werden. Will der Vermieter beispielsweise die Aufzüge "smart" steuern und dafür sorgen, dass die zur richtigen Urzeit bereits dort bereitstehen, wo regelmäßig mehr Beförderungsfälle anfallen, braucht er hierfür nicht zwingen individuelle Daten einer Person. Profilbildung sollte, soweit möglich, vermieden werden.

Welche Risiken gibt es?

Im Rahmen der zunehmenden Vernetzung von Gebäuden kommen diverse Risiken auf die betroffenen Unternehmen und Personen zu. Wenn das Smartphone das Tor zur Tiefgarage im Bürogebäude steuert - oder das Tor sich gar bereits öffnet, wenn die GPS-Daten des Betriebswagens in der Nähe befinden, wird eine Vielzahl von Daten erhoben und verknüpft. Durch die umfassende Einbindung von datenerhebenden Geräten in die Internet-Infrastruktur lassen sich durch die sich rasch entwickelnde Big-Data-Technologie Nutzerprofile erstellen. Aus solchen Daten können Präferenzen der allgemeinen Lebensführung, das Verbrauchsverhalten und Anwesenheitszeiten ausgelesen werden. Es besteht zudem die Gefahr, dass die so gewonnenen Erkenntnisse unbefugt an Dritte weitergegeben werden, die die Betroffenen möglicherweise auf kriminelle Weise ausforschen und schaden wollen.

Deshalb sollte der Datenschutz bereits in der Planungsphase der Gebäude berücksichtigt werden. Automatisierte Gebäudesteuerung, Big Data und Data Mining bei Gebäudedaten sollten aggregiert oder pseudonymisiert erfolgen.

Schließlich müssen sich Projektentwickler und gewerbliche Vermieter auch überlegen, welche Systeme sie künftig selbst verantworten wollen. (sh)