Zurück zur Übersicht
12.12.2020

Datenschutz bei Building Information Modeling

Mehrfach wurde die Datenschutzaufsichtsbehörde gebeten, im Rahmen von Vorträgen und Interviews zum Datenschutz bei der Anwendung der Methode des Building Information Modeling (BIM) Stellung zu nehmen.

Der Begriff des „Building Information Modeling“ (deutsch: Bauwerksdatenmodellierung) beschreibt eine Methode der Planung, Ausführung und Bewirtschaftung von Gebäuden und anderen Bauwerken mit Hilfe elektronischer Datenverarbeitung. Als digitale Plattform führt BIM alle relevanten Daten, Pläne, Baufortschritte und Akteure zusammen und kann den gesamten Lebenszyklus eines Bauprojekts digital abbilden, von den ersten Entwürfen eines Bauwerks, der Durchführung der Baumaßnahmen bis hin zum Betrieb und Rückbau des Bauwerks. BIM vernetzt die Beteiligten am gesamten Bauprozess. Jeder Projektbeteiligte hat Zugriff auf die Daten – ob Vollzugriff oder eingeschränkt kann bzw. muss individuell festgelegt werden.

BIM ist ein Beispiel für den Digitalisierungsfortschritt in der Wirtschaft. Dieses Thema gehört in eine Novellierung der Digitalen Agenda des Landes. Datenschutz trägt zum Gelingen solcher Projekte bei. Der Landesbeauftragte hat mehrfach betont, dass der Datenschutz den BIM-Projekten nicht entgegensteht; allerdings sind dessen Regelungen zu beachten.

Dies gilt insbesondere deshalb, weil im Rahmen von BIM über zahlreiche natürliche Personen deren personenbezogene Daten verarbeitet werden. Zu den betroffenen Personen gehören z.B. Bauherren, Manager, Koordinatoren, Ingenieure, Statiker, Architekten, Bauleiter, Zeichner, Handwerker, Grundstückseigentümer, Nutzer sowie die am Projekt beteiligten Mitarbeiter der Unternehmen.

Zu diesen Personenkreisen werden eine Fülle von Einzeldaten verarbeitet. Dies sind Kontaktdaten, berufliche Qualifikationen und Spezialisierungen, Standortdaten, zahlreiche Projekt- und Kalendereinträge sowie personenbezogene Daten, die aufgrund der Bewirtschaftung zustande kommen.

Für diese umfangreichen Verarbeitungen sind insbesondere folgende datenschutzrechtliche Aspekte zu beachten:

  • Als Rechtsgrundlage für Verarbeitung personenbezogener Daten kommt insbesondere Art. 6 Abs. 1 Satz 1 lit. b DSGVO in Betracht. Die Verarbeitung personenbezogener Daten von nicht am Vertrag Beteiligten kann auf Art. 6 Abs. 1 Satz 1 lit. f DSGVO gestützt werden, soweit nicht deren Interessen oder Grundfreiheiten und Grundrechte überwiegen. Soweit die Verarbeitung im BIM-Projekt öffentlichen Interessen dient, kann die Verarbeitung auf der Grundlage des Art. 6 Abs. 1 Satz 1 lit. e DSGVO erfolgen. Bei allen genannten Vorschriften ist zu beachten, dass nur die personenbezogenen Daten verarbeitet werden, die für die Durchführung des BIM-Projektes wirklich erforderlich sind. Dies kann eine detaillierte Prüfung erfordern. Die Zugriffsrechte der Beteiligten sind auf das für ihre Aufgabe erforderliche Maß zu beschränken. Es darf nur Software genutzt werden, mit der die entsprechende Datensparsamkeit verwirklicht werden kann, Art. 25 Abs. 1 DSGVO. Soweit möglich, sollten personenbezogene Daten pseudonymisiert werden.
  • Betroffene Personen müssen über die Verarbeitung ihrer Daten informiert werden. Gerade bei größeren Projekten kann es sinnvoll sein, die nach Art. 12 bis 14 DSGVO erforderlichen Informationen durch einen zentralen Koordinator erarbeiten zu lassen. Zu informieren sind insbesondere Geschäftspartner als natürliche Personen, deren Beschäftigte, aber gegebenenfalls auch am Projekt Unbeteiligte (z.B. Grundstückseigentümer, deren Grundstücksdaten gerade im Rahmen von großen Baumaßnahmen – wie dem Straßenbau – verarbeitet werden). Auch die weiteren Betroffenenrechte (Art. 15 bis 21 DSGVO) müssen beachtet werden.
  • Die Zwecksetzung von BIM macht es erforderlich, eine Fülle von Arbeitsschritten und -ergebnissen, die einzelnen Mitarbeitern zugeordnet werden können, automatisiert zu protokollieren. Mitarbeiterbezogene Daten dürfen allerdings nur insoweit protokoliert und genutzt werden, als dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Dies ist dann der Fall, wenn diese Daten für die Planung, Ausführung und Bewirtschaftung im Rahmen des BIM benötigt werden. Hier ist insbesondere die Implementierung von Rollenkonzepten mit dem Ziel, den Personenbezug der protokollierten Daten auf ein Mindestmaß zu beschränken, zu prüfen. Die Nutzung der protokollierten mitarbeiterbezogenen Daten kann durchaus zu Kontrollzwecken oder zur Qualitätssicherung erfolgen; allerdings ist ein unverhältnismäßiger Überwachungsdruck für die Beschäftigten zu vermeiden.
  • Bei mehreren beteiligten Unternehmen ist zu klären, wer die datenschutzrechtliche Verantwortung trägt. Verantwortlich ist immer derjenige, der die Zwecke und Mittel zur Verarbeitung personenbezogener Daten festlegt. Eine gemeinsame Verantwortung mehrerer Unternehmen kann auch vorliegen, wenn zwar einzelne Beteiligte für bestimmte Teile bzw. Phasen einer Verarbeitung getrennt verantwortlich sind, jedoch die Daten auf einer gemeinsamen Plattform zusammentragen. Aus einer gemeinsamen Verantwortung folgt, dass die Verantwortlichen gemäß Art. 26 DSGVO in transparenter Weise festlegen, wer von ihnen welche der in der DSGVO geregelten Verpflichtungen, insbesondere die Informationspflichten nach Art. 13 und 14 DSGVO, erfüllt.
  • An BIM-Projekten beteiligte Verantwortliche und Auftragsverarbeiter müssen ein Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO führen. Dies gilt auch für kleine Unternehmen (z.B. kleine Ingenieurbüros), wenn sie aufgrund der Projektbeteiligung regelmäßig personenbezogene Daten verarbeiten.
  • Im Falle der Auftragsverarbeitung (z.B. IT-Wartung, Cloud-Computing, Nutzung von Rechenzentren, Datenträgerentsorgung) ist gem. Art. 28 DSGVO ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter abzuschließen.
  • Gerade bei Großprojekten mit vielen Beteiligten und Beschäftigten sollte geprüft werden, ob eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchzuführen ist. Diese ist immer dann erforderlich, wenn eine Form der Verarbeitung personenbezogener Daten, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Erforderlichkeit einer Datenschutz-Folgenabschätzung liegt bei BIM-Großprojekten sehr nahe.
  • Schon im Hinblick auf die vielen sachbezogenen Daten, aber ohnehin in Bezug auf die umfangreiche Verarbeitung personenbezogener Daten, ist für BIMPlattformen und die damit verbundene digitalisierte Nutzung die Beachtung der Grundsätze der Informationssicherheit unabdingbar (vgl. Art. 25, 32 DSGVO).

Wie der Datenschutz einzuhalten ist, sollte schon bei der Projektvorbereitung thematisiert werden. Gerade bei Großprojekten ist es ratsam, einen Beauftragten einzusetzen, der den Datenschutz im BIM-Projekt insgesamt koordiniert.

Quelle: LfD Sachsen-Anhalt

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks