Sonntag, Dezember 22, 2024
Datenschutz auf der Baustelle

Die Datenschutz-Grundverordnung ist am 25. Mai 2018 in Kraft getreten. In welcher Weise sich das Thema auch in der Bauwirtschaft niederschlägt, erklärt Rainer Knyrim, Rechtsanwalt und Partner der Kanzlei Knyrim Trieb Rechtsanwälte.

Report: Wie geht es den Unternehmen mit der Umsetzung der DSGVO?
Rainer Knyrim: Vor dem 25. Mai hatten viele das Thema Datenschutz nicht ernst genommen. Heute bemüht man sich allerorts, den Anforderungen der DSGVO zu entsprechen, unabhängig von der Größe des Betriebes und der Branche. Es gibt eine Basis von Datenanwendungen, die sicherlich jedes Unternehmen hat: eine Software für die Personalverwaltung, für die Buchhaltung, Marketinginstrumente oder Dokumentenarchiv. Unternehmen haben immer personenbezogene Daten gespeichert. Auch ein Name auf einer Rechnung fällt in diese Kategorie. Die Unternehmen sind mit personenbezogenen Daten regelrecht kontaminiert – sie kommen der DSGVO fast nicht aus.

Report: Was sind die Besonderheiten dazu in der Bauwirtschaft?
Knyrim: Bereits auf der Baustelle gibt es datenschutzrechtlich einiges zu beachten – das ist vielen nicht bewusst. Bei größeren Projekten gibt es typischerweise eine Videoüberwachung, die gesetzeskonform installiert werden muss. Jeder, der die Baustelle betritt, muss ausführlich darüber informiert werden – ein einfaches Hinweisschild mit Piktogramm ist nicht ausreichend.
Dann gibt es auf großen Baustellen auch Zugangskontrollen. Ausweise und Personen werden dort bei festgelegten Schleusen kontrolliert. Die Datenverarbeitung erfolgt bei der Speicherung der Ausweise und dazu braucht es klare Regeln – auch zum Zugang zu diesen Daten und zu Aufbewahrungsfristen.
Auch die Vernetzung von Baumaschinen mittels GPS-Überwachung ist datenschutz- und auch arbeitsrechtlich relevant – der Bauunternehmer weiß aufgrund der Daten, welcher Mitarbeiter wo und wann bestimmte Maschinen bewegt hat.
Ein Riesenthema wird auch Building Information Modelling – BIM – werden, das den Entstehungsprozess eines Gebäudes von der Planung bis zum Betrieb praktisch zur reinen Datenverarbeitung gestaltet. Es ist schon interessant, dass uns noch niemand zu den datenschutzrechtlichen Anforderungen dazu befragt hat. Mag sein, dass BIM immer noch kein Riesenthema in Österreich ist – aber es wird sicherlich kommen. In der Industrie ist die volldigitalisierte Produktion und damit eine durchgängige »Datenspur« des Entstehungsprozesses eines Produktes längst Realität. Auch Großbaustellen werden in ein paar Jahren ähnlich digital bis ins kleinste Detail abgebildet werden – schon aufgrund von Haftungs- und Compliance-Anforderungen.
In der Wirtschaft betragen die maximalen Speicherfristen in der Regel 30 bis 40 Jahre. Wenn aber die Nutzungs- und Lebensdauer eines Gebäudes noch länger ist, wird man sich überlegen müssen, welche Daten über den gesamten Zeitraum aufgehoben werden müssen. Kann ich etwa den Personenbezug aus gewissen Bereichen und Dokumenten herausnehmen? Je digitaler die Prozesse in dieser Branche werden, desto mehr muss man sich auch das überlegen. Das betrifft dann auch Spezialfälle wie Personennamen auf einem digitalen Plan, die Jahre später in dieser Form eigentlich nicht mehr gespeichert vorliegen sollten, weil sie nicht mehr benötigt werden.

Report: Berücksichtigen denn die Softwarehersteller bereits die datenschutzrechtlichen Regelungen in ihren Produkten?
Knyrim: Das ist unterschiedlich. Letztlich ist es nicht so schwer, das hineinzuprogrammieren – vorausgesetzt der Entwickler erkennt das Problem. Die Notwendigkeit, alle IT-Systeme nachzurüsten und auch die datenschutzkonforme Entwicklung von Produkten und Services von Anfang an zu berücksichtigen, ist ein brennendes Thema der gesamten IT-Branche. Datenschutz muss jetzt per Gesetz »by Design« mitgedacht werden.
Meist geht es dabei aber nicht um eine einzelne Anwendung, sondern um etwa die Auskunft oder die vollständige Löschung von personenbezogenen Daten in mehreren Systemen – und um Benutzer- und Zugangsrechte innerhalb des Unternehmens. Manche Unternehmen beschäftigen sich bereits intensiv damit – auch unsere eigene Aktenverwaltung wird von einer Software unterstützt, in die der Hersteller viel Zeit und Geld investiert hat. Doch viele andere tun dies leider noch immer nicht.
Ein Negativbeispiel, das uns aktuell untergekommen ist, betrifft eine Personalverwaltungssoftware, die nach amerikanischer Denklogik den Einblick in die personenbezogenen Daten der Mitarbeiter ohne Filter über alle Konzernebenen hinweg zulässt. Natürlich soll der direkte Vorgesetzte und vielleicht noch die Ebene darüber Einsicht nehmen können – nicht aber fünf Hierarchiestufen weiter bis zum obersten Personalchef auf einem anderen Kontinent, der ebenfalls Einblick in Krankenstände bekommt. Möchte man dazu feinere Einstellungen vornehmen, ist das mit dieser Personalsoftware gar nicht möglich.

Report: Datenschutz ist also eine Baustelle vor allem für Softwareanbieter aus den USA?
Knyrim: Hinsichtlich Berechtigungs- und Löschkonzepten sind nicht nur die Softwarehersteller aus den USA im Verzug, es betrifft auch die Hersteller in Europa. Nur wenige Unternehmen betrachten bei ihren Produkten das Thema Datenschutz ganzheitlich.
Im empfehle, auf Datenschutz-Features bereits beim Einkauf zu achten. Nachträglich etwas zu implementieren ist immer teurer und es stellt sich auch die Frage, wer das bezahlt – das Softwareunternehmen oder dessen Kunde? Der Wechsel auf andere Softwarelösungen ist nicht einfach – das wissen auch die Anbieter. Wenn Softwareprodukte die datenschutzrechtlichen Anforderungen aber nicht bald umsetzen können, werden die Kunden zu einem Wechsel gezwungen sein, um nicht selbst nach der DSGVO bestraft zu werden, denn sie tragen aus Behördensicht die Verantwortung für die Datenverarbeitung.

Log in or Sign up