Institute for Digital Business

Risiko und Recht im Digital Business

September 25, 2017

Zu allen Artikeln

Aus dem Unterricht des CAS Digital Real Estate mit David Schwaninger berichtet Claudia Bruppacher:

“Risiko & Recht im Umgang mit Daten: Das Gold der Zukunft” 

David Schwaninger, Rechtsanwalt, LL.M. und Partner bei Blum & Grob Rechtsanwälte

Im kürzlich eingeweihten Europaallee LAB100, dem Innovationslabor von pom+ und SBB Immobilien, verschaffte uns David Schwaninger einen ausführlichen Überblick über die Bedeutung der wichtigsten Rechtsgrundsätze im Umgang mit Daten. Wir gingen der Frage nach, wie man die rechtlichen Probleme, die sich mit der Digitalisierung stellen, erkennen und einordnen kann und besprachen deren Auswirkungen am Fallbeispiel “Building Information Modeling, BIM”, woraus sich komplexe Konstrukte ergeben. Die aus meiner Sicht wichtigsten Aspekte des Moduls habe ich für den Leser zusammengefasst. Vielen Dank an den Dozierenden, der mich bei der präzisen Formulierung an der einen oder anderen Stelle freundlicherweise unterstützt hat.

Europaallee LAB100

Wichtigste Rechtsgrundsätze im Umfeld von Digital Real Estate

  • Datenschutz
  • Verwaltung von Daten
  • Urheberrecht

Mit dem Datenschutz und dem Urheberrecht befasst man sich als Privatperson oder auch in kleinen und mittleren Unternehmen häufig zu wenig, obwohl in der Schweiz sogar Mitarbeitende persönlich haftbar sind. Hierzulande können heute bei schweren Verstössen gegen das Datenschutzgesetz horrende Bussen verhängt werden. Im Zusammenhang mit den Möglichkeiten der Digitalisierung und den riesigen Datenvolumen ist es von Bedeutung, die Rechtsgrundlagen vor der Prozessgestaltung zu kennen und eine Rechtsexpertise früh einzubinden.

Datenschutz

Mit einem Videoclip, der auf eindrückliche Weise an den eigentlichen Zweck des Datenschutzgesetzes erinnert, den Schutz der Person, stimmt uns David Schwaninger auf das Thema ein:
“In einem Experiment werden zufällig ausgewählte Passanten von Dave, einem sehr gut inszenierten Wahrsager zu einer Privat-Session in ein Zelt eingeladen und erleben dort ihr blaues Wunder. Der weiss gewandete Guru rapportiert theatralisch sehr geheime Dinge aus dem Privatleben der verblüfften Menschen, die ihm gegenüber sitzen…
Ihr ahnt schon, wie das weitergehen könnte. Mehr darüber erfahrt Ihr am Ende des Artikels, erst noch etwas Theorie.

In der Schweiz regelt das Datenschutzgesetz (DSG) den Datenbegriff für:

  • Bund und Private (nicht aber Kantone, diese haben eigene Gesetze zum Datenschutz)
  • Personendaten (bestimmt = “Name” oder bestimmbar = “mögliche Zuordnung zu einer Person”)
  • Daten von natürlichen und juristischen Personen (im Kapitel Datenschutz mit dem Begriff “Daten” gemeint)
  • den Inhalt: Bearbeitung von Personendaten
  • ohne anonymisierte oder pseudonymisierte Daten

Beispiel Mietvertrag:
Mietvertragsunterlagen fallen unter das DSG, da sie Personendaten enthalten. Wenn nun eine Drittanbieter-Software eine Wohnungsnummer verwendet, um elektronisch einen Service abzuwickeln, fällt dieses Rechtsgeschäft unter den Datenschutz, sofern die Daten bestimmbar sind oder einer bestimmten Person zugeordnet werden können. 

Grundsätzlich fällt jeder Umgang mit Daten unter das DSG

Wie löst man nun die Problematik der digitalen Datenbearbeitung?

  • Für den Kunden muss erkennbar sein, dass seine Daten bearbeitet werden und zu welchem Zweck. 
  • Dies kann mit einer Datenschutzerklärung erfolgen, anhand welcher der Kunde erkennt, was für Daten zu welchem Zweck bearbeitet werden.
  • Besonders schützenswerte “sensitive Daten” dürfen nicht ohne ausdrückliche Zustimmung der betroffenen Person bearbeitet werden. Darunter fallen religiöse, weltanschauliche, politische Ansichten oder Tätigkeiten, Gesundheit, Intimsphäre, Rassenzugehörigkeit, Massnahmen sozialer Unterstützung, administrative oder strafrechtliche Verfolgung und Sanktionen. Eine ausdrückliche Zustimmung braucht es auch bei der Bearbeitung von Persönlichkeitsprofilen / Profiling EU.
  • Datensammlungen mit Persönlichkeitsprofilen oder besonders schützenswerten Personendaten sind u. a. dem Datenschutzbeauftragten zu melden.
  • Allein das Herunterladen von Daten (auch ein Printscreen mit Personendaten) erfüllt bereits den Umstand einer Datenbearbeitung.

Beispiel Plattform-Services:
Die Service Plattform “streamnow” vernetzt die Anbieter und Nutzer über einen geschlossenen Datentunnel und hat selbst keinen Zugriff auf die Daten. Auf diese Weise sei sichergestellt, dass die Datenbearbeitung nur durch den Auftraggeber erfolgt. Es wäre aber möglich, die Daten durch einen Dritten bearbeiten zu lassen (Auftragsbearbeiter). Dies bedingt jedoch unter anderem die sorgfältige Auswahl und Kontrolle des Auftragsbearbeiters. Die Verantwortung für die Einhaltung des Datenschutzes bleibt aber auch dann beim Auftraggeber selbst.

Beispiel Mietvertrag:
In einer Datenschutzerklärung zum Mietvertrag sollte erkennbar sein, dass die Daten zum Zweck eines Wechsels der Verwaltung, des Bewirtschafters oder bei einem Verkauf der Liegenschaft einem entsprechenden Drittanbieter gezeigt und weitergereicht werden dürfen. 

 

Quelle: David Schwaninger, CAS-DRE Modul “Risiko und Recht im Umgang mit Daten”

Mit der Überarbeitung des EU-Datenschutzgesetz werden neue Regelungen und Verschärfungen erwartet, wie u.a.:

  • obligatorische Meldepflicht bei Pannen
  • Recht auf Vergessen
  • Umfassende Dokumentationspflichten
  • Datenschutzfolgenabschätzung
  • Datenschutzbeauftragter
  • Bestellung eines Vertreters in der EU
  • genetische und biometrische Daten fallen unter “Sensitive Daten”

Fazit zum Datenschutz:

” Um Daten verwenden zu dürfen, müssen sie rechtmässig beschafft werden.”

 

Bekanntgabe von Daten ins Ausland

Auf Websites, die Traceroutes abfangen und visualisieren, ist nachvollziehbar, durch welche Länder sich IP-Datenpakete im Umgang mit bestimmten Anbietern von Online Services bewegen. Interessant dabei ist, dass auch viele Schweizer Unternehmen Datenpakete in die USA versenden, weil sie US-Server Provider nutzen. Diese stellen keine Personendaten dar, weil die Personen mithilfe dieser Datenpakete nicht bestimmbar sind (so zumindest die Theorie). Unabhängig davon gelangen viele Daten im Sinne von Personendaten ins Ausland (z. Bsp. durch Auftragsbearbeitung eines Cloud Providers mit Rechnern im Ausland).

Anhand verschiedener Szenarien lernten wir, wie die Verwaltung von Daten auch in grenzüberschreitenden Verhältnissen zu managen und wie vorzusorgen ist.

Verwaltung von Daten im Zusammenhang mit einem Konkurs oder der Auslagerung von Daten an Dritte (Provider)

Der Begriff der “Sache”, wie er auch in unserem Schuldbetreibungs- und Konkursrecht verwendet wird, fusst auf dem römischen Recht. Als der Begriff “Sachen und Werte” definiert worden ist, ging es um feste Dinge. Daten werden im heutigen Recht nicht als “Sachen” verstanden, weshalb im Konkurs eines Datenbearbeiters kein Anspruch auf Herausgabe der Daten besteht.

Das Recht an den Daten zu haben, genügt noch nicht, dass diese beispielsweise bei einer Datenmigration zu einem anderen Provider übertragen und dort verwendet werden können (Stichwort: kompatibles Format der Daten). Dazu bedarf es einer Vereinbarung, die solches vorausschauend abgedeckt hat.

Digitale Aufbewahrung und Archivierung

Einer der wichtigsten Aspekte bei der elektronischen Archivierung ist, dass die Daten nicht veränderbar sein dürfen. Die Integrität und Echtheit der Information soll so sichergestellt werden. Zudem ist der Zeitpunkt der Speicherung nachzuweisen. Der Ablauf sowie das Verfahren müssen “state of the art” sowie dokumentiert sein.

Aus Beweisgründen ist relevant, dass Originaldokumente aufbewahrt werden (Scankopien sind gemäss Bundesgerichtsentscheid noch immer kein Beweis für die Echtheit). Die Schriftform setzt eine qualifizierte elektronische Signatur voraus. Selbst eine E-Mail, die auf Papier ausgedruckt worden ist, würde im Bestreitungsfall als Beweisstück nicht anerkannt, weil der Inhalt vor dem Ausdruck problemlos verändert werden kann. Konsequenterweise müssen Dokumente so aufbewahrt werden, wie sie entstanden sind.

Fazit zur Datenverwaltung:

“Daten gehören niemandem. Die Rechte daran müssen sichergestellt werden.”

 

 

Urheberrecht

Der Buchdruck war der Ursprung des Urheberrechts. Am Fallbeispiel Archilyse” wird das Verhältnis zwischen Planer, Kunde und dem Versand von Bauplänen aufgezeigt. Pläne und Zeichnungen wie auch Computerprogramme sind geistige Schöpfungen, woraus der Urheber (im Fall von Archilyse somit der Planer) ein Recht über die Werkverwendung sowie die Vervielfältigung und Verbreitung hat.

Die Urheberpersönlichkeitsrechte sind nicht übertragbar, daher muss der Urheber genannt werden (ausser dieser verzichtet darauf). Es braucht aber auch dann eine Vereinbarung, worin diese Geschäfte geregelt sind.

Fazit zum Urheberrecht:

“Ein Werk haben heisst noch nicht, dass man es auch frei verwenden darf.”

 

 

Im Anwendungsbeispiel Building Information Modeling (BIM) sind die rechtlichen Fragen noch nicht ausreichend geklärt

Bei BIM sind verschiedenste Akteure beteiligt und die Modelle werden mit unbeschränkten Informationen unterschiedlicher Urheber angefüllt (Terminplanungen, Mieterdaten, Plandaten etc.). Anhand einer Grafik wurde im Plenum diskutiert, welche Akteure, Schnittstellen und Prozesse beteiligt sein können. Daraus haben wir die Haftungsfragen abgeleitet und wie diese in den Verträgen (Z. Bsp. Back-up, Service Level Agreement) festzuhalten sind. Ein gangbarer Weg könnte sein, dass ein Generalplaner die gesamte IT-Vertragsdokumentation mit dem Bauherrn, an den sämtliche Akteure vertraglich angebunden sind, vorgängig ausarbeitet. Es drängt sich auf, in einem solchen Fall einen BIM-Anhang zu definieren, der möglichst für alle Akteure gleich ist.

Zum Beispiel sollte vertraglich geregelt werden, wem Facility Management Daten, z. Bsp. Sensordaten im Gebäudeleitsystem gehören. Diese Daten sind keine Werke und somit greift das Urheberrecht nicht. Wenn BIM rechtlich an das Gebäude gekoppelt wird, kann die Datenhoheit beim Eigentümer angebunden werden. Da Eigentümer, Facility Manager und Bewirtschafter im Lebenszyklus von Immobilien öfters wechseln, ist das Schadenpotenzial ohne ausreichende Vertragsgrundlagen enorm.

Die Herausforderungen werden noch komplexer bei Open BIM Systemen, wenn jeder Akteur eine eigene Software über ein einheitliches Format verwendet. Die Tendenzen weisen daher eher auf closed BIM (d.h. Software wird vom Plattformbetreiber vorgegeben, wodurch die Rechteverwaltung kontrollierbar wird) hin.

 

Zurück zu unserem langhaarigen Guru in den weissen Leinenhosen. Wer die Story anschauen möchte, findet den Clip auf YouTube mit der Suche nach:
amazing mind reader reveals his secret
Das Video spricht für sich. Aber denkt daran, nicht ohne Einwilligung des Urhebers teilen

Weitere interessante Artikel zu Rechtsfragen im Zusammenhang mit der Digitalisierung findet Ihr auch im Blog des CAS Digital Risk Management, hier eine kleine Auswahl:

 

Tags

Entdecken Sie unsere Kurse zum Thema

Start Herbst 2024

CAS AI Management HWZ

  • Afke Schouten
  • 1 Semester (16 Tage)
  • Zürich; Sihlhof (direkt beim HB)
Mehr erfahren
Start August 2024

CAS AI Transformation HWZ

  • Afke Schouten
  • 1 Semester (16 Tage inkl. 5 Tage Studienwoche off-site)
  • Zürich; Sihlhof (direkt beim HB)
Mehr erfahren
Start Februar 2025

CAS Digital Ethics HWZ

  • Cornelia Diethelm
  • 1 Semester (16 Tage, davon 5 Tage Online)
  • Zürich; Sihlhof (direkt beim HB)
Mehr erfahren
Start August 2024

CAS Digital Leadership HWZ

  • Sven Ruoss
  • 1 Semester (16 Tage, davon 5 Tage Studienreise)
  • Zürich; Sihlhof (direkt beim HB)
Mehr erfahren

Dein Persönliches Digital Update

Bleibe auf dem Laufenden über die neuesten Entwicklungen der digitalen Welt und informiere dich über aktuelle Neuigkeiten zu Studiengängen und Projekten.