Heikle Daten aus dem Gebäude

Trend Datenschutzgrundverordnung

Alle jubeln, wenn es um Internet of Things und Big Data in Gebäuden geht. Christian Wimmer bleibt pragmatisch und erzählt, wie mit versteckten personenbezogenen Daten in der Gebäudetechnik umgegangen werden sollte.

Sie ärgert gerade alle: die Datenschutzgrundverordnung (DSGVO). Während bei Maklern Ungewissheit herrscht, welche Daten sie wie lange aufheben dürfen bzw. müssen und welche sie löschen müssen, fühlen sich andere – etwa Gebäudebetreiber, Facility Manager etc. – davon gar nicht betroffen. Ein Irrtum. Denn schauen wir nur beispielhaft auf ein paar simple technologische Anwendungen:
• Wenn in einem Einzelraumbüro mit Fühler oder Sensoren das Heizen, Kühlen oder die Frischluft gesteuert wird, können die Ein- und Ausschaltzeiten mit einer Person verbunden und somit Rückschlüsse auf die Anwesenheitszeit getroffen werden. Abhängig von der Situierung und der Sensibilität der Messgeräte (zum Beispiel eines CO2-Fühlers) kann sogar festgestellt werden, ob sich eine oder mehrere Personen im Raum befinden.
• Wird das Licht direkt am Arbeitsplatz mit Präsenz-/Bewegungssensoren gesteuert, können – wie bei Fühlern und Sensoren im Raum – personenbezogene Daten (bis hin zum Weg zur Nassgruppe, wie lange diese Person dort war – als Indikator für Krankheit oder andere persönliche Umstände speziell bei jungen Damen) abgeleitet werden.
• Immer öfter werden Bürotüren – anstatt mit mechanischen Schlüsseln – direkt über Zutrittskontrollkarten, elektronische Schlüssel oder die Near Field Communication (NFC)-Technologie des Mobiltelefons aufgesperrt und wieder versperrt. Diese Daten lassen sich direkt einer einzigen Person zuordnen.
• Sobald sich ein Mobiltelefon automatisch im WLAN des Unternehmens anmeldet, entstehen personenbezogene Daten. Sind mehrere WLAN-Knoten im Gebäude vorhanden, können zusätzlich zur Anwesenheitszeit auch noch personenbezogene Zeit-Weg-Diagramme erstellt werden, inklusive der Aus- und Pausenzeiten im Rauchereck, in der Betriebskantine … Zusätzlich können auch das Surfverhalten sowie die Dauer und Nutzung unterschiedlicher sozialer Netzwerke mit den privaten Interessen und persönlichen Vorlieben ausgewertet werden.
• Die Möglichkeiten, die sich durch die Auswertung der internen Logdaten von Computer, Notebook und Mobiltelefon ergeben, lassen noch viel tiefere Einblicke in das persönliche Nutzerverhalten zu.

Personenbezogene = heikle Daten

Aus all diesen gespeicherten Rohdaten können jederzeit personenbezogene Daten generiert, abgeleitet oder ausgewertet werden. Oftmals ist es weder den Lieferanten oder Dienstleistern, die diese Systeme geliefert haben und betreuen, noch den Anwendern und Nutzern dieser technischen Systeme bewusst, dass damit bereits personenbezogene Daten vorhanden sind. Diese personenbezogenen Daten können – je nach Berechtigung und teilweise auch unabhängig von Position, Funktion und hierarchischer Ebene – von jedem Netzwerk-Administrator, oftmals auch vom Betriebsführungs- und Wartungspersonal sowie von externen Servicetechnikern ausgelesen werden.

„Video kann gesichtszüge und stimmungslagen erkennen, das smartphone misst die Herzfrequenz.“

Hersteller, Lieferanten, Betreiber als Auftragsverarbeiter

Wenn externe Hersteller, Lieferanten, Betreiber eines technischen Systems im Zuge ihrer Tätigkeiten zu personenbezogenen Daten gelangen, ist zu überprüfen, ob sie dadurch bereits zu einem Auftragsverarbeiter mit – daraus entstehenden – besonderen Pflichten werden. Sind sie solche Auftragsverarbeiter, müssen sie prüfen, auf welche Kunden (Betroffenengruppen) diese Anwendungen zutreffen, ihrer Hinweis- und Informationspflicht gegenüber diesen Auftraggebern nachkommen, ein zusätzliches Verarbeitungsverzeichnis als Auftragsverarbeiter erstellen, verpflichtend einen schriftlichen Vertrag (als Auftragsverarbeiter) mit dem Kunden abschließen, Datensicherheit und Datenschutz durch Technik und Voreinstellungen (Privacy by Design & Default) gewährleisten sowie gegebenenfalls zusätzliche technische und organisatorische Maßnahmen (TOMs) ergreifen.

Sonderfall Video

Besonders genau reguliert werden Video-, Bild- und Tonaufzeichnungen in der Datenschutzgrundverordnung bzw. dem Datenschutzgesetz 2018. Hier ist vor allem auf rasante Weiterentwicklungen und künftige technologische Auswertungsmöglichkeiten zu achten. Ein paar Beispiele, was damit gemeint ist:
• Kennzeichenauswertung, wenn Nummerntafel bei Ein- und Ausfahrt in die Parkgarage oder auf dem Parkplatz erfasst wird (auch über die Berechtigungskarte für den Parkplatz oder die Garage lassen sich Anwesenheitszeiten feststellen …)
• Foto oder Video des Fahrzeuglenkers
• Bildabgleich durch Gesichtserkennung zwischen unterschiedlichen Kameras zur Erstellung von Zeit- und Bewegungsprofilen
• Verweildauer und Kaufverhalten in Regalgängen und Einkaufspassagen

Was ist bis 25. Mai 2018 zu tun?

Alle gebäudetechnischen Fachgebiete müssen auf mögliche Risiken geprüft, daraus Maßnahmen abgeleitet, Daten sicher gespeichert und archiviert bzw. gegebenenfalls verschlüsselt werden; alle Anwendungen müssen in einem Verarbeitungsverzeichnis aufgelistet, geplante Sicherheitsvorkehrungen und Löschfristen beschrieben und Zugriffsberechtigungen restriktiv definiert werden. So wenig komfortabel es sein mag, es steht fest: Die beschriebenen kommunikations- und gebäudetechnischen Anwendungen decken nur beispielhaft ab, wie durch Einsatz von Technik in einem Gebäude personenbezogene Daten absichtlich oder unabsichtlich „versteckt“ aufgezeichnet und verarbeitet werden. Durch die fortschreitenden technologischen Entwicklungen bei der Digitalisierung werden künftige geschäftliche Anwendungen mit privaten Personenaktivitäten verknüpft, zum Beispiel werden Fitness-Tracker der Raumsteuerung die persönliche Behaglichkeit mitteilen, das Handy das Alarmsystem ein- und ausschalten, die Tür via Fingerprint geöffnet, das Flottenmanagement über GPS und Fahrzeugdaten den Fuhrparkmanager über Zustand und Abnützung informieren, das Tracking der Reinigungsmaschinen, Dosiersysteme und Hygienegeräte oder „RFID-Tags“ als Lesepunkte sowie Aktivitäten und Arbeitstempo des Reinigungs- und Servicepersonals gesteuert u.v.m. Damit steigt auch die Möglichkeit, mit diesen Systemen – gewollt oder ungewollt – personenbezogene Daten zu generieren.

Automatisierte Motivation

Wenn in Zukunft immer mehr Videosysteme und -analysen zur Anwendung kommen, können diese Auskunft über den Gesichtsausdruck und den aktuellen Gemütszustand liefern. Stimmanalysen und Sprachmustererkennung ebenso. Umgehend könnten dann gezielte Maßnahmen zur Steigerung der Motivation und Erhöhung der Produktivität eingeleitet werden. Das Smartphone kann als zusätzlicher Sensor verwendet werden, um über Herzfrequenz und Hauttemperatur die aktuelle Befindlichkeit und die momentane Stressbelastung auszuwerten und darauf die Raumbehaglichkeit und Lichtfarbe anzupassen, optional gezielt Arbeitspausen und Entspannungsübungen vorzuschlagen oder gleich ein Telefonat mit Masseurin, Mentalcoach oder Betriebsarzt zu arrangieren. Werden diese Daten dann auch noch über das Smartphone im Smart Home ausgelesen und mit Smart Building, Home, Car, Fitness, Health, Joy etc. ergänzt, sind wir beim gläsernen Menschen angekommen. Und wenn dann noch die smarte Alexa, Siri oder Cortana „mithören“ darf, haben wir eine aufmerksame persönliche Assistentin, um unser Leben zu erleichtern – und „sie“ hat dafür alle privaten Daten! Inklusive die personenbezogenen Daten aus unserem Adressbuch.

Über den Autor

Christian Wimmer, MBA ist Geschäftsinhaber der cwi solutions, Gerichts-sachverständiger für FM, Energieeffizienz-Auditor, zertifizierter Digitalisie-rungscoach, Experte für Industrie 4.0.
www.denkx.net, www.cwis.at

Nach Oben | zurück

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_N4RP3TFZBP	session	This cookie is installed by Google Analytics.
_gat_gtag_UA_227108145_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Immobilien

WIrtschaft