Die Digital Real Estate Umfrage 2023 zeigt, dass der Reifegrad der Bau- und Immobilienbranche nicht nur von technischen Möglichkeiten und neuen Innovationen abhängt, sondern auch wie wir mit Daten umgehen und diese einsetzen. Dies bringt aber auch immer wieder neue juristische Herausforderungen mit sich. Wie sich diese neuen Innovationen rechtlich auf die Industrie auswirken und was das neue Datenschutzgesetz des 1. September 2023 mit sich bringt erfahren wir von Expert David Schwaninger.
Immer mehr Unternehmen digitalisieren ihre Prozesse und wollen die dabei entstehenden Daten nutzen. Welchen rechtlichen Aspekten muss spezielle Beachtung geschenkt werden?
Es ist wichtig zu wissen, dass Daten keine Sache sind und man somit kein Eigentum daran haben kann. Das Datenschutzgesetz regelt nicht das Recht an Daten generell, sondern die Bearbeitung einer Datenkategorie, der Personendaten. Bearbeiten ist beispielsweise das Speichern, Archivieren und Kopieren. Wichtig ist zudem die Unterscheidung, ob es sich um Daten über natürliche oder juristische Personen handelt, vor allem im Hinblick auf das neue Datenschutzgesetz (nDSG). Denn das Datenschutzrecht wird neu nur zur Anwendung kommen, wenn es sich um Personendaten von natürlichen Personen handelt.
Das neue Datenschutzgesetz tritt auf den 1. September 2023 in Kraft. Welche Auswirkungen hat dieses Gesetz im Hinblick auf Data Analytics in der Bau- und Immobilienbranche?
Im neuen Datenschutzgesetz gibt es einige Änderungen. Die wichtigsten lauten wie folgt:
- Neu beschränkt es sich auf die Daten von natürlichen Personen.
- Es besteht neu eine Informationspflicht. Die betroffenen Personen müssen zwingend durch die Unternehmung informiert werden, wenn diese ihre Daten bearbeitet. Wird diese Informationspflicht vorsätzlich nicht eingehalten, so machen sich die Unternehmen strafbar. Dabei werden nicht die Unternehmen gebüsst, sondern die verantwortlichen Personen mit bis zu 250‘000 Franken.
- Gelangen Personendaten in falsche Hände, besteht neu eine Meldepflicht. Dies kann ein Cyberangriff sein, aber bereits auch das Liegenlassen von Akten in öffentlichen Verkehrsmitteln. Ein solcher Vorfall muss umgehend beim eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und den betroffenen Personen gemeldet werden.
- Beschäftigt eine Unternehmung 250 oder mehr Mitarbeitende, muss sie neu ein Verzeichnis der Bearbeitungstätigkeiten anlegen. In diesem wird beschrieben, welche Personendaten wie und wofür bearbeitet werden. Es empfiehlt sich aber auch für kleine Unternehmen, ein solches Verzeichnis zu erstellen, um eine strukturierte Übersicht über die vorhandenen Daten zu erhalten. Insbesondere können auch kleinere Unternehmen verpflichtet sein, ein solches Verzeichnis zu führen, beispielsweise wenn sie in grossem Umfang besonders schützenswerte Personendaten bearbeiten.
- Beauftragt die Unternehmung einen Auftragsbearbeiter oder eine Auftragsbearbeiterin mit Zugriff auf die Systeme der Unternehmung, muss eine Vereinbarung mit diesen abgeschlossen werden. Weiter besteht eine Kontrollpflicht, womit die Verantwortung nicht an die Auftragsbearbeiter:in «abgeschoben» werden kann. Beispiele von solchen Auftragsbearbeiter:innen sind Anbietende von Cloud-Speichern oder externe IT-Supporter.
Welchen Handlungsbedarf siehst Du für Unternehmen in der Branche?
Die Unternehmen in der Bau- und Immobilienbranche haben schon einiges erledigt. Vor allem in Bezug auf Datensicherheit sind sie schon weit. Zudem haben manche bereits mit Drittanbietenden (Auftragsbearbeitende) ausführliche Vereinbarungen abgeschlossen. Dennoch gibt es nur wenige Unternehmen, die sehr gut auf die bevorstehenden Veränderungen im Datenschutzrecht vorbereitet sind. Es gibt noch einiges zu tun. Denn das nDSG gilt per 1. September 2023 ohne Übergangs- und Schonfristen.
Stellst Du Unterschiede zwischen KMU und grossen Unternehmungen im Umgang mit regulatorischen Vorgaben fest?
Ja, zwischen KMU und grossen Unternehmen gibt es Unterschiede. Bedingt dadurch, dass Grossunternehmen oftmals international agieren und sich somit bereits aufgrund des europäischen Datenschutzgesetzes damit auseinandersetzen mussten, konnten sie schon gewisse Strukturen für die Handhabung ihrer Daten und die der Kundinnen und Kunden aufbauen. KMU sind da noch ein wenig im Hintertreffen und müssen aufholen, denn es ist schon sehr bald September... Nichtsdestotrotz empfehle ich Grossunternehmen, zu überprüfen, ob die Richtlinien und Regelungen auch wirklich intern umgesetzt werden.
Gibt es neben dem Datenschutzrecht weitere Entwicklungen im rechtlichen Bereich, die für den Einsatz von Data Analytics mit Fokus auf die Bau- und Immobilienwirtschaft relevant sind?
Ja, diverse. Es gab eine Änderung im Konkursrecht, die bei einer Auslagerung an Cloud-Anbietende eine Rolle spielt. Neu hat man bei einem Konkurs Anrecht auf Herausgabe seiner Daten. Bis anhin musste man auf den Goodwill der Konkursverwaltung hoffen. Aber Achtung, auch eine Aussonderung von Daten braucht Zeit. Daher müssen Daten immer separat gesichert werden. Weiter gab es urheberrechtliche Änderungen, so sind mittlerweile alle Fotografien urheberrechtlich geschützt. Bei der Bearbeitung von Bauwerksdaten müssen Urheberrechte berücksichtigt werden, da beispielsweise an einem BIM-Modell ein Miturheberrecht besteht. Zukünftig wird der noch in Entstehung befindliche Digital Services Act (DSA) der EU für Veränderungen sorgen. Dieser wird einen Einfluss auf die Handhabung der Daten über Personendaten hinaus haben. Die Schweizer Gesetzgebung wird sich wahrscheinlich früher oder später dem DSA annähern.
Durch den Einsatz von BIM findet eine digitale Planung an einem gemeinsamen Gebäudemodell statt. Wie ist das Dateneigentum bzw. die Datennutzung bei solchen Modellen geregelt und was gibt es zu beachten?
Wie bereits angedeutet, spielt das Urheberrecht bzw. die Miturheberschaft eine wichtige Rolle beim Einsatz dieser Methodik. Gibt es keine vertraglichen Regelungen, so können nur gemeinsam Änderungen am Modell vorgenommen werden. Daher empfiehlt es sich, dies als Eigentümer:in bereits vor Erstellung vertraglich zu regeln, damit bei Beendigung des Bauprojektes Veränderungen am Modell ohne die Zustimmung aller weiteren Projektbeteiligten vorgenommen werden können. Da bei der Planung eines Bauprojektes ohnehin die benötigten Daten für die spätere Nutzungsphase bestellt werden, kann die Definition der rechtlichen Rahmenbedingungen für eine reibungslose Übergabe nach Abschluss des Projektes gleichzeitig erfolgen. Jedoch werden erfahrungsgemäss den rechtlichen Komponenten wenig Beachtung geschenkt. Diese Änderungen im Nachhinein vorzunehmen, können sehr teuer zu stehen kommen.
Immer mehr Immobilieneigentümer:innen sind an Betriebsdaten zu ihren Objekten interessiert, wie beispielsweise Verbrauchsdaten. Wie ist die Thematik Dateneigentum diesbezüglich geregelt und was empfehlen Sie Eigentümer:innen und deren Dienstleister:innen im Hinblick auf diese Datenlieferungen?
Einerseits ist es grundsätzlich kein Problem, Informationen aus den BIM-Datenbanken weiterzugeben, ausser es handelt sich um spezifisches Know-how, was aber selten der Fall ist. Wird jedoch das gesamte Modell an Dienstleister:innen bzw. Dritte weitergegeben, so muss dies ebenfalls im Vorfeld vertraglich geregelt werden. Oftmals sind in diesem Fall aber nicht die rechtlichen Aspekte ein Hindernis, sondern die technischen. Andererseits ist es wichtig zu wissen, dass bei Aufbewahrung der Daten von Mieter:innen in Aktenform oder im System mit dem neuen Datenschutzgesetz eine Datenschutzerklärung im Mietvertrag vorhanden sein oder diesem beigelegt werden muss. Bei kleineren Unternehmen wird das oftmals vernachlässigt, was zu rechtlichen Problemen führen kann. Auch auf Gebäudeebene findet eine immer stärkere Vernetzung statt – Stichwort Smart Building.
Welche Risiken aus rechtlicher Sicht müssen dabei im Auge behalten werden?
Bis anhin sind die Eigentümerinnen und Betreiber in diesem Themenfeld relativ frei, sofern die Daten anonymisiert sind. Sind jedoch beispielsweise die Verbrauchsdaten zuweisbar und lässt sich die Identität der betroffenen Person ermitteln − beispielsweise durch die Zuordnung auf die Wohnungsnummer −, greift neu das Datenschutzrecht. In diesem Fall muss auch gewährleistet sein, dass die Daten gelöscht werden, sobald die Unternehmung diese nicht mehr benötigt. Daher empfehle ich, anhand der Aufbewahrungs- und Verjährungsfristen eine Auflistung zu erstellen, wann welche Daten gelöscht werden können.
Immer mehr werden Daten auf Plattformen von Drittanbietenden beziehungsweise in der Cloud gespeichert und genutzt. Gibt es spezielle Punkte, auf die bei der Auswahl und der Zusammenarbeit mit dem Plattformanbietenden geachtet werden sollte?
Es ist wichtig, sich abzusichern, dass die Drittanbietenden die Daten nicht für eigene Zwecke verwenden und die Datensicherheit gewährleistet ist. Das lässt sich mittels diverser Zertifikate überprüfen. Des Weiteren müssen mögliche Geheimhaltungspflichten in den Verträgen mit den Kundinnen und Kunden beachtet werden. Sind solche vorhanden, dürfen die Daten in der Regel nicht an Dritte weitergegeben werden oder nur unter strengen Auflagen. Geht das Dienstleistungsunternehmen Konkurs, besteht ein Herausgabeanspruch auf die Daten. Entweder ist dieser vertraglich festgelegt oder es greift der Aussonderungsanspruch, welcher gesetzlich im Konkursrecht geregelt ist.
Über die Studie
Die Digital Real Estate Umfrage erhebt seit 2016 jährlich den Stand der digitalen Transformation der Bau- und Immobilienwirtschaft in der Schweiz und seit 2019 auch für Deutschland. Das Whitepaper präsentiert die Ist-Situation in den beiden Ländern basierend auf den Einschätzungen von verschiedenen Führungs- und Fachkräften aus der Branche und wird durch das Expertenwissen von Beraterinnern und Berater der pom+Consulting AG ergänzt.
Die Studie kann kostenlos heruntergeladen werden.
Haben Sie Fragen? Unsere Expertinnen und Spezialisten helfen gern.