12.10.2020 | Bau & Immobilien | ID: 1075526

Keine BIM-Projekte ohne Daten(schutz)

Die Abwicklung von BIM-Projekten erfreut sich in der Baubranche zunehmender Beliebtheit. Daten dienen dabei als „Grundstein“ für jedes BIM-Projekt und daher sind für diese Daten auch die entsprechenden Datenschutzmaßnahmen zu treffen.

Grundvoraussetzung für ein funktionierendes BIM-Projekt ist ein transparenter und reibungsloser Austausch sowie die durchgehende Verfügbarkeit projektrelevanter Informationen. BIM macht es als kooperative Arbeitsmethode erforderlich, dass zahlreiche Informationen (Kontaktdaten, Pläne, Arbeitsstände, Modelle, Nutzerwünsche etc) für alle Projektbeteiligten auf der Datenplattform abrufbar sind. Bei all diesen Vorgängen werden Daten generiert, verarbeitet, gespeichert etc die – manche mehr und manche weniger – schutzbedürftig sind.

Datenschutz und Datensicherheit im BIM-Projekt

Den datenschutzrechtlichen Rahmen für BIM-Projekte bestimmt im Wesentlichen die Datenschutz-Grundverordnung, Verordnung 2016/679/EU (DSGVO) und damit einhergehend das österreichische Datenschutzgesetz, BGBl I 165/1999 idgF (DSG). Für die Umsetzung von BIM-Projekten gibt es weder Ausnahmen noch Sonderregelungen für den Umgang mit personenbezogenen Daten. Auch für sie gelten die DSGVO sowie das DSG uneingeschränkt.

Die Verarbeitung so genannter „personenbezogener Daten“ – darunter sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – unterliegen einem besonderen Schutz. In BIM-Projekten werden häufig folgende personenbezogene Daten verarbeitet:

• Namen, Geburtsdaten, Adressen und Telefonnummern
• E-Mail-Adressen und IP-Adressen
• Im BIM-Projekt erbrachte berufliche Leistungen der Beteiligten (zB Bauherr, Architekten, Ingenieure etc)
• Zugriffsdaten (Protokollierung der Zugriffe der BIM-Beteiligten auf die Datenplattform zB Datum, Zeit, Dauer, Aktivität etc)
• Fotos- und Filmaufnahmen
• Bewegungsdaten in der Betriebsphase

Die Verarbeitung personenbezogener Daten ist nur dann erlaubt, wenn die Grundsätze der Datenverarbeitung (Art 5 DSGVO) eingehalten werden und (zumindest) ein Erlaubnistatbestand (Art 6 DSGVO) vorliegt (zB Einwilligung der betroffenen Person, Vertragserfüllung, Bestehen einer rechtlichen Verpflichtung oder berechtigte Interessen des Verantwortlichen).

Darüber hinaus ist auch der Schutz vor Datenmissbrauch im BIM-Projekt zu gewährleisten, wobei insbesondere folgende Vorkehrungen zu treffen sind:

• Minimierung der Verarbeitung personenbezogener Daten
• Auswahl sicherer Passwörter/Zugangsdaten bzw Vorgabe sicherer Bedingungen für die Auswahl von Passwörtern/Zugangsdaten
• Verpflichtung sämtlicher Projektbeteiligten, alle zumutbaren Vorkehrungen zu treffen, um (Zugriffs-)Daten vor unbefugtem Zugriff durch Dritte zu schützen (zB Betrieb von Computern an für Dritte unzugänglichen Orten, Verwendung von Passwörtern auch für die Verwendung von USB-Sticks an den Computern)
• Datenspeicherung auf zentralen Servern zur Minimierung des Risikos eines Datenverlusts bzw eines unbefugten Zugriffs
• Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Auswertung der Wirksamkeit der implementierten technischen und organisatorischen Maßnahmen betreffend die Gewährleistung der Datensicherheit
• Einrichtung eines Warnsystems für den Fall der missbräuchlichen Verwendung von (Zugriffs-)Daten

(Vgl dazu auch Hömme in Eschenbruch/Leupertz [Hrsg] BIM und Recht [2016] 211; Wohlgemuth/Zopf in Forgó [Hrsg] Grundriss Datenschutzrecht [2019] 254 ff).

Der Datenschutz gemäß der DSGVO – welche seit 25.05.2018 direkt anwendbar ist und in allen EU-Mitgliedsstaaten gilt – gestaltete sich zunächst allerdings etwas „zahnlos“. Insbesondere herrschte zu Beginn große allgemeine Unsicherheit darüber, welche Kompetenzen der österreichischen Datenschutzbehörde (DSB) im Rahmen ihrer Aufgabenerfüllung zukommen (zB Muss die DSB bei erstmaligen Verstößen verwarnen statt strafen?) und wie streng Verstöße gegen den Datenschutz – im Rahmen des Ermessenspielraums der DSB – tatsächlich geahndet werden.

Wegweisendes Urteil der Datenschutzbehörde

Das am 23.10.2019 ergangen Urteil der Datenschutzbehörde (Geschäftszahl: DSB-D550.148/0017-DSB/2019), mit dem wegen mehreren Datenschutzverletzungen ein Bußgeld in Höhe von EUR 18 Millionen verhängt wurde, hat mit aller Deutlichkeit gezeigt, dass der Schutz der Daten ein überaus wichtiges Gut darstellt. Diese Entscheidung sollte auch klar vor Augen führen, dass die Verhängung eines Bußgeldes in Höhe von

• bis zu EUR 20 Millionen bzw
• bis zu 4 % des weltweit erzielten Jahresumsatzes

(Art 83 DSGVO) nicht nur projektgefährdend, sondern auch existenzbedrohend sein kann.

Im Ergebnis ist festzuhalten, dass dem rechtskonformen Datenschutz auch bei der Abwicklung von BIM-Projekten ein hoher Stellenwert eingeräumt werden muss, da Datenschutzverletzungen mit entsprechend hohen Sanktionen bestraft werden können.