Warum BIM Datenschutz braucht
Die Daten von BIM-Projekten werden oft über die Cloud bereitgestellt. Projektdaten lassen sich mithilfe einer versiegelten BIM-Umgebung über Cloud-Dienste rechtssicher speichern und verarbeiten.
Digitalisierung im Bauwesen
Bei der Entwicklung und Realisierung von Immobilienprojekten werden viele verschiedene Daten und Informationen erzeugt, gesammelt und verarbeitet. In BIM-Projekten erfolgt die Verwaltung und Bereitstellung dieser Daten häufig über verschiedene Cloud-Dienste. Wie und insbesondere wo die Betreiber der Cloud-Dienste die Daten verarbeiten und speichern, ist allerdings sehr verschieden. Die Sicherheit und Rechtskonformität der verwendeten Dienste ist dabei jedoch – abhängig vom Schutzbedarf der Daten – oft nicht hinreichend gewährleistet.
Informationsmanagement
Für die Erfassung und Verwaltung von relevanten Informationen innerhalb eines BIMProjektes nutzen die Beteiligten gemeinsame Datenumgebungen, die sich in ihrer Umsetzung und in ihren Funktionalitäten unterscheiden. Weit verbreitet sind zum Beispiel Netzwerklaufwerke, FTP-Server,
Dokumentenmanagement-Systeme oder auch internetbasierte Projektkommunikationsplattformen.
Durch die Nutzung von Bauwerksmodellen und der damit verbundenen objektorientierten Informationshaltung ergeben sich darüber hinaus weitere Möglichkeiten, Projektinformationen zu organisieren.
Die Informationen in BIM-Projekten gliedern sich weitgehend wie folgt: geometrische Daten (zum Beispiel 3D-Bau● werksgeometrie) nicht-geometrische Daten (zum Beispiel ● bauteilbezogene Attribute) Dokumente ( zum Beispiel Projekthand● buch)
Um diese Informationen in einem Projekt zu organisieren braucht es eine technische Infrastruktur, die den Daten- und Informationsaustausch zwischen den einzelnen Projektteilnehmern ermöglicht. Dafür gibt es, je nach Informationsart, verschiedene Lösungsansätze: Geometrische Daten können auf Modell● servern oder speziell dafür eingerichteten
Projektplattformen vorgehalten werden. Diese beschränken sich meist auf Funktionalitäten wie Versionierung, Viewer und gegebenenfalls Aspekte der Modellkoordination. Nicht-Geometrische Daten ( Raum- und ●
Bauteilattribute) lassen sich je nach Art und Umfang entweder direkt an den Fachmodellen selbst oder in dafür eingerichteten Projektdatenbanken vorhalten. Dokumente können beispielsweise in ● gemeinsam genutzten Laufwerken, Dokumenten-Management-Systemen oder speziellen Projektplattformen vorgehalten werden.
Zudem ermöglicht die modellbasierte Arbeitsweise spezielle Formen der modellbasierten Koordination, beispielsweise über das offene Standardformat BCF (BIM Collaboration Format). Für diese Art des Aufgabenmanagements gibt es aktuell verschiedene Plattformanbieter, die ein solches Vorgehen mithilfe von Cloud-Diensten (Kollaborationsplattformen) unterstützen.
All diese Möglichkeiten des Informationsmanagements in BIM-Projekten haben gemeinsam, dass Cloud-Dienste weitgehend unverzichtbar sind. Die so organisierte technische Infrastruktur zur Schaffung einer einheitlichen Informationsquelle bezeichnet man auch als “Common Data Environment“(CDE). Die Möglichkeit, Projektinformationen in verschiedenen CloudDiensten zu sammeln, zu verwalten und für andere bereit zu stellen, bietet große Chancen in der Zusammenarbeit. Sie birgt jedoch das Risiko, die Schutzbedürftigkeit von Projektdaten außer Acht zu lassen.
Schutz von Projektdaten
Durch die Möglichkeit, Daten und Informationen in BIM-Projekten innerhalb von Bauwerksmodellen oder in Projektdatenbanken in Cloud-Diensten zu speichern, spielen Datenschutz und Know-how-Schutz eine besondere Rolle. Dabei stellen sich Fragen: Wo sind die Daten in den Cloud-Diensten ● gespeichert?
Wie werden diese gespeichert und verar● beitet?
Sind die Daten ausreichend und rechts● konform gesichert – auch gegen Zugriffe durch den Betreiber selbst?
Personenbezogene Daten
In Artikel 5 führt die DSGVO [1] explizit die folgenden sechs Grundsätze für die Verarbeitung personenbezogener Daten auf: Rechtmäßigkeit
●
Zweckbindung
●
Datenminimierung
●
Richtigkeit
●
Speicherbegrenzung
●
Integrität und Vertraulichkeit
●
Der Verantwortliche muss die Einhaltung dieser Grundsätze nachweisen; eine Nichteinhaltung kann mit einem Bußgeld in Höhe von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent des weltweit erzielten Jahresumsatzes geahndet werden (vgl. Art. 83). Diese Grundsätze der DSGVO gelten auch für BIM-Projekte – ebenso wie die Rechenschaftspflicht. Denn die digitalen Abbilder von Gebäuden können ebenfalls Daten mit Personenbezug enthalten. Dazu zählen neben solchen Daten, die keinen erhöhten Schutzbedarf aufweisen – beispielsweise von Personen, die am BIM-Projekt mitarbeiten – auch Daten, die Sozialbereiche betreffen oder aus denen sich durch Verkettung ein neuer Informationsgehalt ergibt. So lassen sich aus Verbrauchs- oder Mieterdaten (Namen, Adressen, Staats- und Religionszugehörigkeiten, Geburtsdaten, Lieferverträge, Messdaten) Persönlichkeitsprofile erstellen. Diese Datensätze weisen einen erhöhten oder hohen Schutzbedarf auf.
Vertrauliche Informationen
Die EU-Richtlinie 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung wird seit April 2019 durch das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) [2] umgesetzt. Ziel der Richtlinie ist ein einheitlicher Mindestschutz für Geschäftsgeheimnisse in Europa. Demnach gelten Geschäftsgeheimnisse künftig nur noch dann als geschützt, wenn „angemessene Geheimhaltungsmaßnahmen“getroffen wurden. In Betracht kommen dabei sowohl technische Zugangsbeschränkungen und Vorkehrungen als auch vertragliche Sicherungsmechanismen; die Beweislast liegt beim Geheimnisinhaber. Auch digitale Gebäude-Abbilder können Informationen enthalten, die als Geschäfts- oder Betriebsgeheimnisse einzustufen sind. Dementsprechend sind dann auch angemessene Maßnahmen zu deren Schutz zu treffen – zumal sich digitale Daten einfacher vervielfältigen und weitergeben lassen als Papierunterlagen. Welche Maßnahmen konkret zu treffen sind, darauf gehen leider weder die EU-Richtlinie noch der Entwurf des Gesetzes zum Schutz von Geschäftsgeheimnissen ein; was als „ausreichende Maßnahmen“zu verstehen ist, haben demnach wohl die Gerichte im Einzelfall zu entscheiden. Fest steht: Unternehmen, die keine angemessenen Maßnahmen zum Schutz von Geschäftsgeheimnissen treffen, können bei Verlust derselben eventuelle schuldrechtliche Ansprüche (zum Beispiel Schadensersatz) nicht geltend machen.
Versiegelte BIM-Umgebung
Um schutzbedürftige Daten auch in der Cloud rechtskonform verarbeiten zu können, braucht es eine Cloud-Technologie oder Infrastruktur, die das nötige Schutzniveau bietet. Mit der Sealed Platform der TÜV SÜD-Tochter Uniscon GmbH existiert eine solche Infrastruktur. Die Sealed Platform basiert auf Uniscons patentierter SealedCloud-Technologie und ermöglicht den hochsicheren Betrieb von Anwendungen in der Cloud. Möglich macht dieses hohe Maß an Sicherheit die spezielle Versiegelung der Sealed Cloud: Die Server der Sealed Platform kapseln sich selbstständig komplett von der Außenwelt ab und ermöglichen so eine geschützte, manipulationssichere und damit rechtskonforme Speicherung, Übertragung und Verarbeitung von Daten. Ein privilegierter Zugriff im Rechenzentrum oder auf Applikationsebene über privilegierte Nutzerzugänge, etwa durch den Admin, den Betreiber des Dienstes oder seine Mitarbeiter, ist technisch ausgeschlossen. Selbstverständlich müssen sich auch Drittanbieter-Dienste wie BIM-Software an die Vorgaben des Sealed-Cloud-Konzepts halten. Das bedeutet, dass keine schützenswerten Daten in Log-Dateien geschrieben oder die Regeln der Anwendungssicherheit verletzt werden dürfen.
Versiegelte BIM-Umgebung
Mithilfe der Sealed Platform lassen sich demnach bestehende Projekt- und/oder Kollaborationsplattformen, Projektdatenbanken und andere projektrelevante CloudDienste in eine versiegelte BIM-Umgebung einbinden. Dies ermöglicht, die gewohnte Arbeitsumgebung beizubehalten und die rechtskonforme Absicherung der in den Cloud-Diensten gespeicherten Daten. Geschäftsgeheimnisse oder personenbezogene Daten sind so vor Datenmissbrauch geschützt. ( anm) ■
[1] https://www.bmwi.de/Redaktion/DE/Artikel/ Digitale-Welt/europaeische- datenschutzgrundverordnung.html
[2] http://www.gesetze-im-internet.de/geschgehg/ BJNR046610019.html