Gebäude werden smarter. Was macht sie smart und wann kommt der Datenschutz ins Spiel? Der Beitrag betrachtet die Praxis sowohl in gewerblichen Gebäuden als auch im Wohnungsbau und gibt konkrete Hinweise, was man tun oder lassen sollte, um das ab Mai 2018 gültige neue Bundesdatenschutzgesetz einzuhalten.
Industrie- oder Bürogebäude beinhalten Sensoren, die bereits heute Daten über den Energie- und Wasserverbrauch messen, Temperatur und Lichteinfall erfassen sowie Klima und Luftfeuchtigkeit registrieren oder im Brandfall Alarm schlagen. Dabei geht es in aller Regel nicht um personenbezogene Daten. Der Datenschutz hat daher nur geringe Relevanz. Anders sieht es bei Zugangskontroll-Systemen, der smarten Aufzugsteuerung oder der Erfassung von Bewegungsdaten aus.
Dass sich neue smarte Lösungen auch ohne personenbezogene Daten realisieren lassen, zeigen verbesserte Wärmesensoren oder intelligente Fußböden zur Anwesenheits-Erkennung. Sie können erkennen, ob und wie viele Personen sich in einem Raum befinden und zuverlässiger und schneller als heutige Bewegungsmelder zum Beispiel das Licht ein- und ausschalten. Es gibt Lösungen für Konferenzräume: Ist der Raum frei, wie viele Personen tagten darin und wie lange? Abhängig davon wird der Reinigungsdienst gesteuert. Ungenutzte Räume müssen nicht täglich gereinigt werden und Meeting Pausen sollten für die Reinigung genutzt werden. Die Nutzungs-Statistik hilft, die Raum-Verwendung zu optimieren. Intelligent genutzt kann mit den Sensoren auf Fluren oder Zugangswegen auch die Bewegungsrichtung erkannt werden, um Besucherströme zu steuern.
Smarte Wohngebäude
Während es bei Funktionsgebäuden offensichtlich ist, dass bei der Erhebung personenbezogener Daten der Datenschutz gilt, gibt es beim privaten Wohnen ein verbreitetes Missverständnis. Ursache dafür ist eine Einschränkung im neuen Bundesdatenschutzgesetz (BDSG neu), das am 25.Mai 2018 in Kraft tritt. In §1 heißt es: Das Gesetz findet keine Anwendung, wenn „die die Verarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ erfolgt.
Sofern smarte Geräte in der Privatwohnung genutzt werden und deren Daten ausschließlich in den vier Wänden bleiben, ist das tatsächlich kein Thema für den gesetzlichen Datenschutz. Wenn die Geräte Daten drahtlos übertragen und die Daten auch außerhalb der Wohnung empfangen werden können, ist das schon kritischer. Eindeutig datenschutz-relevant wird es, wenn die Übertragung ins Internet erfolgt und die Daten personenbezug haben. „Personenbezug“ bedeutet, die Person kann direkt oder indirekt identifiziert werden. Damit ist schon eine dynamische IP-Adresse personenbezogen, denn über die Daten des Providers könnte die Person identifiziert werden. Bezogen auf IoT-Geräte ist offensichtlich, dass die Wohnung zur Privatsphäre gehört. Alles was von dort nach außen dringt, sind schützenswerte Daten. Das gilt selbst dann, wenn es nur um die ausgewählte Raumtemperatur geht. Die im Garten gemessene Außentemperatur ist dagegen öffentlich und unterliegt nicht dem Datenschutz.
Warum gehen die Daten überhaupt nach außen ins Internet? Mit jedem smarten Gerät ist ein Dienst verbunden. Meist ist es die Möglichkeit, das Gerät über eine App zu steuern. Wir können mit den Apps von überall auf der Welt in unserer Wohnung das Licht, die Heizung oder die Alarmanlage ein- und ausschalten, die Rollläden steuern oder dank IP-Kamera ins Wohnzimmer schauen, um nur einige wenige Beispiele zu nennen. Technisch ist das meist so realisiert, dass die smarten Geräte permanent Daten an den Server des Anbieters schicken, z.B. welches Licht brennt. Die App des Nutzers verbindet sich mit dem Server, er kann die Daten abfragen und über den Server die Geräte steuern.
Die Daten werden natürlich nicht nur für die App gebraucht, sondern haben für den Anbieter einen hohen Wert. Positiv gesehen: Er lernt seinen Kunden besser kennen und kann ihm bessere, weil personalisierte, Angebote machen. Kritisch betrachtet: Er spioniert den Kunden aus, verkauft die Daten weiter und am Ende verliert der Kunde seine Privatsphäre. Das BDSG (neu) will genau das verhindern. Dafür ist eine wesentliche Neuerung die drastische Strafe von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Zum Tragen kommt immer der höhere Wert von beiden.
Rechtssicher vernetzt
Wenn Gebäude smartifiziert sind, fließen Daten. Das ist die Grundlage von Smart Building. Schon in der Planung muss daher überlegt werden, ob sich der Personenbezug vermeiden lässt. Der Aufzug braucht nicht zu wissen, wer ihn gerufen hat. Vielmehr sollte er wissen, dass er gerufen wurde und, sofern die Anwendung „richtig“ smart ist, wie viele Personen warten und wo sie hin wollen. Wenn Daten doch personenbezogen sein müssen, etwa bei der Eingangskontrolle, dann sollten diese so schnell wie möglich entpersonalisiert werden, z.B. durch Anonymisierung. Damit fallen sie aus dem Geltungsbereich des BDSG und können ohne Auflagen verwendet werden.
Die beiden wichtigsten Auflagen sind die Zweckbindung und die Einwilligung . Es muss fest definiert sein, zu welchem Zweck die Daten erhoben werden und der Betroffene muss zustimmen. Statt das individuell auszuhandeln, wird es im gewerblichen Umfeld durch Vereinbarungen – beispielsweise mit Arbeitnehmervertretern - geregelt. Auf diese kommt bei smarten Gebäuden mehr Verantwortung auf alle Beteiligte zu. Diese müssen wissen, dass eine Einwilligung immer an den Zweck gebunden sein muss. Der kann sich zwar später ändern. Aber dann ist eine entsprechende Information darüber zwingend nötig ebenso wie eine erneute Einwilligung.
Keine Einwilligung ist nötig, aber eine Zweckbindung muss vorliegen, bei Aufgaben im öffentlichen Interesse, der Ausübung öffentlicher Gewalt sowie bei lebenswichtigen oder anderen genau abzuwägenden Interessen. Hieraus können etwa Überwachungsmaßnahmen im öffentlichen Gebäude oder im öffentlichen Raum abgeleitet werden.
Eng mit der Zweckbindung verbunden ist die Minimierung und Befristung personenbezogener Daten. Es sollen nur die Daten erhoben werden, die für den vereinbarten Zweck benötigt werden und die Daten sollen sobald wie möglich wieder gelöscht oder entpersonalisiert werden. Dies hat spätestens zu erfolgen, wenn sie für den vereinbarten Zweck nicht mehr gebraucht werden.
Das BDSG behandelt nicht nur den Schutz der Daten, sondern auch die Sicherheit der Verarbeitung. Speziell im baulichen Umfeld soll hier auf die Verschlüsselung hingewiesen werden. Es wird baulich kaum möglich sein, Datenleitungen zu smarten Geräten gegen unberechtigten Zugriff zu schützen. Bei der Funkübertragung gilt dies noch mehr. Daher soll die Datenübertragung immer verschlüsselt erfolgen.
Datenschutz an erster Stelle
Es ist schon verführerisch: Die Sensoren im smarten Gebäude liefern jede Menge Daten, aus denen sich viele Erkenntnisse erzielen lassen. Solange dies nicht personenbezogen erfolgt, ist das im Sinne des BDSG unkritisch. Falls doch, ist Zurückhaltung angesagt:
Die Verkettung von Datensätzen aus unterschiedlichen Quellen macht aus harmlosen Daten plötzlich sensible. Dazu ein Beispiel: Ein smarter Anwesenheitssensor im Büro steuert das Licht. Werden die Daten gespeichert und mit dem Raumverzeichnis verkettet, lassen sich Mitarbeiter-Listen erstellen, wer wann wie oft und wie lange sein Büro verlässt. Zumindest ist dies bei Einzelbüros möglich. Anwesenheit kann auch über Sensoren erkannt werden, denen man das gar nicht zutraut: Beim heutigen Baustandard wird wegen der hohen Dichtheit der Gebäudehülle der nach DIN 1946 empfohlene Grenzwert von 0,1 Prozent Kohlendioxid überschritten, wenn nicht ausreichend gelüftet wird. Smarte Sensoren messen laufend die Konzentration und steuern die Lüftung. Der Kohlendioxid-Gehalt ist ein zuverlässiger Hinweis darauf, ob jemand im Büro ist und sogar wie viele Personen es sind.
Die Verkettung von Daten ist nach dem BDSG untersagt, vor allem um Profilbildung zu verhindern. Es darf nicht sein, dass zusätzlich zur offiziellen Personalakte eine Datenbank entsteht, die umfassend Auskunft über das individuelle Verhalten gibt.
Für die oben erwähnte Steuerung der Beleuchtung über Anwesenheits-Sensoren wäre dies technisch nicht erforderlich. Da Speicherplatz praktisch nichts kostet, hebt man die Daten gern auf. Diese Vorratsdaten-Speicherung ist nicht zulässig.
Unzulässig ist auch die Täuschung. Es muss transparent sein, wo welche Daten und zu welchem Zweck erhoben werden. Die Weitergabe oder gar der Verkauf personenbezogener Daten ist ebenfalls nicht zulässig, abgesehen von eng definierten Ausnahmen. Das ist vor allem im privaten Bereich, also bei Wohngebäuden, ein kritischer Punkt. Mancher Anbieter smarter Geräte lässt sich über einen Absatz in der Datenschutzerklärung vom Nutzer pauschal genehmigen, aufbereitete Sensor-Daten an die Werbewirtschaft oder sogar an Finanzdienstleister weiterzugeben. Die Nutzung des Gerätes wird an vertragliche Vereinbarungen gekoppelt, die nicht für den Nutzungs-Zweck erforderlich wären. Mit dem neuen BDSG ist mit solchen Vereinbarungen Schluss.
Zusammenfassung
Smart Buildings mit ihren faszinierende Möglichkeiten und Datenschutz sind keine Gegensätze. Im Gegenteil: Ohne Datenschutz wird es auf Dauer keine Akzeptanz für Smart Buildings geben. Niemand möchte sich ausspionieren lassen. Das neue Bundesdatenschutzgesetz zeigt, wo es lang geht. Personenbezogene Daten dürfen natürlich auch weiter erhoben und genutzt werden, aber es muss sehr sorgsam mit ihnen umgegangen werden. Smarte Buildings dürfen nicht Quellen für personenbezogene Big Data Analysen werden.