BIM und der Datenschutz

© LfD LSA

Vor einem Jahr herrschte großes DS-GVO-Fieber: die Europäische Datenschutz-Grundverordnung  (kurz: DS-GVO) trat zum 24. Mai 2016 in Kraft und ist nach einer Übergangszeit seit dem 25. Mai 2018 unmittelbar anzuwenden. Sie verursachte bei nicht wenigen Mittelständlern Kopfzerbrechen und Zweifel. Muss nun auch bei BIM die DS-GVO beachtet werden? Dr. Harald von Bose, der Landesbeauftragte für den Datenschutz des Landes Sachsen-Anhalt, klärt im Interview über BIM und die DS-GVO auf.

Ist BIM mit dem Datenschutz vereinbar?

Ein klares Ja! BIM lässt sich datenschutzkonform betreiben und wir sollten Datenschutz auch nicht als ein Verhinderungsthema auffassen. Er ist ein Instrument, welches konstruktiv mithilft, mit personenbezogenen Daten gut und verantwortungsvoll umzugehen. Wer die datenschutzrechtlichen Belange beherrscht und beachtet, schafft Vertrauen bei allen Geschäftspartnern. Vertrauen ist gerade für BIM-Projekte von entscheidender Wichtigkeit, da hier viele Personen aus unterschiedlichen Unternehmen und ggf. Behörden intensiv vernetzt kommunizieren. Die DS-GVO ist auch ein Element für den fairen Wettbewerb im EU-Binnenmarkt, weil sie für alle in der EU tätigen Unternehmen in allen Mitgliedstaaten gleichermaßen gilt. Das zuvor gern praktizierte „Forum Shopping“, wonach Unternehmen ihre Datenverarbeitung in Mitgliedstaaten mit geringem Datenschutzniveau erledigten, ist damit vorbei. Außerdem berücksichtigt die DS-GVO neue Aspekte der Digitalisierung, wozu eben auch BIM gehört.

Welche Grundsätze des Datenschutzes sind für BIM-Projekte zu beachten?

Die DS-GVO definiert als Schutzgut die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf den Schutz ihrer  personenbezogenen Daten. Damit sind alle Informationen gemeint, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen beispielsweise Name, Geburtsdatum, Adressdaten, Bankverbindung, Zeugnisse, Ausbildung oder auch der Beruf inklusive der bei der Berufstätigkeit erbrachten Leistungen. In einem BIM-Projekt sind eine Reihe von Personen involviert, etwa der Bauherr, die beteiligten Architekten, Ingenieure, Bauleiter und auch die Beschäftigten der beteiligten Unternehmen. Von ihnen werden Kontaktdaten, Qualifikationen, Adressen und die im BIM-Projekt erbrachten Leistungen erhoben und gespeichert. Möglicherweise werden auch Foto- und Filmaufnahmen gemacht. Die Verarbeitung dieser Daten ist zulässig, wenn sie für die Erfüllung eines Vertrages (z. B. Werkvertrag oder Arbeitsvertrag), deren Vertragspartei die betroffene Person ist, erforderlich ist. Weiterhin können personenbezogene Daten verarbeitet werden zur Wahrung eines berechtigten Interesses, sofern die Interessen der betroffenen Personen nicht überwiegen. Sollen Daten verarbeitet werden, bei denen die genannten Voraussetzungen nicht erfüllt sind, muss eine freiwillige und informierte Einwilligung der betroffenen Person eingeholt werden. Grundsätzlich dürfen personenbezogene Daten nur für festgelegte, eindeutige Zwecke erhoben und nicht in einer mit diesem Zweck nicht zu vereinbarenden Weise weiterverarbeitet werden. Auch haben die Verantwortlichen proaktive Informationspflichten und alle betroffenen Personen umfassende Auskunfts- und Berichtigungs- sowie Löschungsrechte. Zudem muss durch geeignete technische und organisatorische Maßnahmen ein dem Risiko angemessenes Schutzniveau gewährleistet werden, bei dem unter anderem der Stand der Technik zu berücksichtigen ist. Die Einhaltung der Grundsätze des Datenschutzes muss nachgewiesen werden können.

Was bedeuten diese Grundsätze für BIM?

Ganz wichtig ist, den Zweck klar zu benennen: der Zweck von BIM ist die Planung, Ausführung und Bewirtschaftung von Bauwerken mit Hilfe einer unternehmensübergreifend genutzten Software. Grundsätzlich dürfen nur die personenbezogenen Daten verarbeitet werden, die für diesen Zweck erforderlich sind. Zweck ist es damit nicht, Beschäftigte zu überwachen! Die Zugriffsrechte der beteiligten Mitarbeiter sind auf das erforderliche Maß zu beschränken. Das sollte schon bei der Auswahl der Software berücksichtigt werden – wir sprechen hier von „data protection by design“.
Die DS-GVO verlangt, ein Verzeichnis von Verarbeitungstätigkeiten anzulegen, das auf Anforderung der Aufsichtsbehörde zur Verfügung gestellt werden muss. Ein Vordruck für ein solches Verzeichnis von Verarbeitungstätigkeiten sowie weitere Informationsmaterialien gibt es auf der Website des Landesbeauftragten für den Datenschutz. Gerade bei Großprojekten mit vielen Beteiligten muss geklärt werden, welcher der Beteiligten in Bezug auf den Datenschutz welche Verantwortung trägt und ob eine Datenschutz-Folgenabschätzung durchzuführen ist.


26.04.19