Laut dem Statistischen Bundesamt gab es im Jahr 2020 108.474 polizeilich erfasste Fälle von Cyberkriminalität. Es wird davon ausgegangen, dass die Dunkelziffer noch weitaus höher ist. Die Schadenssumme durch Datendiebstahl, Industriespionage oder Sabotage in Unternehmen in Deutschland lag im Jahr 2021 insgesamt bei 223,5 Milliarden Euro.
Selbstverständlich stellt sich daher auch beim Einsatz von digitalen Lösungen in Wohngebäuden die Frage nach der Sicherheit und dem Datenschutz. In diesem Beitrag erfahren Sie, welche Art von Daten beim Einsatz von IoT-Lösungen, wie denen von metr, erhoben werden, wer Zugriff auf sie erhält, wie mit möglichen Gefahren und Sicherheitslücken umgegangen wird und wie der Datenschutz und die Datensicherheit gewährleistet werden können.
Welche Gesetze sind beim Einsatz von IoT-Lösungen zu beachten?
Beim Einsatz von IoT-Lösungen (IoT = Internet of Things, Internet der Dinge) in Deutschland richtet sich der Datenschutz nach der EU-Datenschutzgrundverordnung (DSGVO). Sie enthält die Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten und gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, wie sie bei vielen digitalen Lösungen in der Wohnungswirtschaft der Fall ist.
Nun verhält es sich bei den Lösungen, die speziell für das Gebäudemanagement konzipiert sind, in den meisten Fällen so, dass es sich nicht um personenbezogene Daten handelt. Beim Submetering werden zwar personenbeziehbare Daten erhoben, diese können aber lediglich mithilfe eines Schlüssels auf die jeweilige Person bezogen werden. Über diesen Schlüssel verfügt nur das Wohnungsunternehmen beziehungsweise der Eigentümer der Immobilie. Für das PropTech-Unternehmen als Anbieter der Submetering-Lösung ist kein Rückschluss auf die Identität der betreffenden Person möglich.
So sorgt die DSGVO für eine EU-weite Rechtsgrundlage für die Datenerhebung und -verarbeitung beim Einsatz von IoT-Lösungen in der Wohnungswirtschaft. Einerseits sorgt das bereits für eine gewisse Sicherheit, da die Technologieanbieter dazu verpflichtet sind, entsprechende Schutzmaßnahmen einzuhalten. Andererseits beklagt sich die Wohnungswirtschaft darüber, dass die DSGVO ihre eigenen Handlungsmöglichkeiten bei der Mieterverwaltung einschränkt.
Doch hier greift das „berechtigte Interesse“, das ebenfalls in Verordnung verankert ist. Sowohl die Mieter- als auch die Vermieterseite haben beispielsweise ein berechtigtes Interesse daran, dass die Verbrauchsabrechnung als Teil der Nebenkostenabrechnung korrekt ist und die tatsächlichen Verbrauchswerte enthält. Auf Grundlage dessen kann das Wohnungsunternehmen die vom Technologieanbieter erhobenen Daten aus der Submetering-Lösung entsprechend entschlüsseln, mit der jeweiligen Mieterpartei verknüpfen und eine korrekte Verbrauchsabrechnung erstellen. Ebenso lässt sich damit die unterjährige Verbrauchsinformation (UVI) datenschutzkonform erstellen.
Sie möchten keine Neuigkeiten mehr verpassen?
Welche Daten werden erhoben?
Wie bereits erwähnt, handelt es sich bei Submetering-Lösungen um personenbeziehbare Daten. Hierbei werden die in den Wohnungen verbauten Geräte und Zähler ausgelesen. Dabei übermitteln sie die Zählernummern, die Zählerwerte zum Auslesezeitpunkt sowie eventuelle Fehlermeldungen bei einem Gerätedefekt. Dabei hat der Technologieanbieter allerdings keine Information darüber, mit welcher Person dieser Zähler in Verbindung gebracht werden kann. Diese Informationen liegen lediglich den Unternehmen der Wohnungswirtschaft vor – sei es eine große Wohnungsbaugesellschaft oder eine kleine Hausverwaltung.
Wie verhält es sich nun bei anderen IoT-Lösungen, die sich auf die technische Gebäudeausrüstung beschränken? Solch eine Lösung ist zum Beispiel der Heizungswächter von metr, der die Fernüberwachung von Heizungsanlagen ermöglicht. Bei der Nutzung dieser Lösung werden weder personenbezogene noch personenbeziehbare Daten erhoben. Die dort erhobenen Daten beziehen sich ausschließlich auf die Anlage selbst. Das gleiche gilt für Lösungen zur Fernüberwachung von Trinkwasserinstallationen, Aufzügen oder Lüftungsanlagen.
Bei den Daten der Heizungsanlage handelt es sich um Temperatur- oder Sensorwerte sowie um Statusmeldungen, die ohne den technischen Kontext keine nützliche Information ergeben. So lässt sich aus dem Wertepaar „55°C und 06:50“ vielleicht noch ableiten, wie hoch die Wassertemperatur zu dieser Uhrzeit war, aber es gibt keinen Aufschluss darüber, an welchem Punkt der Anlage dieser Wert gemessen wurde. Und auf eine einzelne Wohnung, geschweige denn auf eine einzelne Person, lässt sich das Wertepaar erst recht nicht beziehen.
Nichtsdestotrotz sorgen Technologieanbieter dafür, dass auch solche Daten sicher erhoben, gespeichert und weiterverarbeitet werden. Bei den Lösungen von metr bleibt die Datenhoheit übrigens immer beim beauftragenden Wohnungsunternehmen. Details dazu finden Sie auf dieser Seite.
Wie wird mit möglichen Gefahren und Sicherheitslücken umgegangen?
Um die Daten für die Wohnungswirtschaft verfügbar zu machen, werden sie über ein IoT-Gateway, wie zum Beispiel dem m-gate, mittels Verschlüsselung durch SSL/TLS-Protokolle übertragen. Das m-gate ist dabei bereits durch eine eigene Firewall und Secure Boot geschützt. Das bedeutet, dass das Betriebssystem eines m-gates sicher gestartet und eventuelle Manipulationen automatisch blockiert werden.
Bei metr landen die Daten anschließend auf der Plattform für die Technische Gebäudeausrüstung, die auf der Open Telecom Cloud läuft. Diese hat die Telekom hinsichtlich des Datenschutzes und der Datensicherheit von unabhängiger Stelle zertifizieren lassen. Mehr dazu finden Sie auf der Website der OTC. Grundsätzlich ist die Datenspeicherung in der Cloud deutlich sicherer, als wenn man die Daten auf einem lokalen eigenen Server vorhalten würde. Man kann bei seriösen Cloud-Anbietern davon ausgehen, dass diese regelmäßige Updates ausspielen und Backup-Systeme eingerichtet haben.
metr sorgt auch bei dem in seinen Lösungen eingesetzten Code dafür, dass die verwendeten Bibliotheken und Zertifikate stets auf dem aktuellen Stand sind. Durch regelmäßige Updates werden eventuelle Sicherheitslücken geschlossen, die sonst ein Einfallstor für Hacker darstellen würden.
Die größte Sicherheitslücke wird allerdings immer noch auf Nutzerseite generiert: schwache Passwörter. Diese machen es Hackern leicht, Zugriff auf die Systeme zu bekommen. Daher macht metr für die Nutzer*innen seiner Lösungen auch bestimmte Vorgaben bei der Festlegung von Passwörtern, um die Stärke dieser zu erhöhen. Generell sollte sich jede Person bei der Auswahl von Passwörtern an den „Tipps für ein gutes Passwort“ des BSI – Bundesamt für Sicherheit in der Informationstechnik orientieren.
Autor
Maximilian Thumfart,
CTO
Maximilian Thumfart, CTO von metr, hat über 14 Jahre Erfahrung als Teamleiter und Software-Entwickler der AEC-Industrie. Als Entwicklungsmanager für Building Information Modeling bei thinkproject arbeitet er gemeinsam mit mehreren internationalen Teams an der Erstellung einer Digital Twin Plattform. 2016 war er Mitgründer und CTO einer cloud-basierten SaaS-Plattform für Versionskontrolle und Kollaboration für 3D-Tragwerksmodelle.
Weitere Blogbeiträge, die Sie interessieren könnten
Laut dem Statistischen Bundesamt gab es im Jahr 2020 108.474 polizeilich erfasste Fälle von Cyberkriminalität. Es wird davon ausgegangen, dass die Dunkelziffer noch weitaus höher ist. Die Schadenssumme durch Datendiebstahl, Industriespionage oder Sabotage in Unternehmen in Deutschland lag im Jahr 2021 insgesamt bei 223,5 Milliarden Euro.
Selbstverständlich stellt sich daher auch beim Einsatz von digitalen Lösungen in Wohngebäuden die Frage nach der Sicherheit und dem Datenschutz. In diesem Beitrag erfahren Sie, welche Art von Daten beim Einsatz von IoT-Lösungen, wie denen von metr, erhoben werden, wer Zugriff auf sie erhält, wie mit möglichen Gefahren und Sicherheitslücken umgegangen wird und wie der Datenschutz und die Datensicherheit gewährleistet werden können.
Welche Gesetze sind beim Einsatz von IoT-Lösungen zu beachten?
Beim Einsatz von IoT-Lösungen (IoT = Internet of Things, Internet der Dinge) in Deutschland richtet sich der Datenschutz nach der EU-Datenschutzgrundverordnung (DSGVO). Sie enthält die Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten und gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, wie sie bei vielen digitalen Lösungen in der Wohnungswirtschaft der Fall ist.
Nun verhält es sich bei den Lösungen, die speziell für das Gebäudemanagement konzipiert sind, in den meisten Fällen so, dass es sich nicht um personenbezogene Daten handelt. Beim Submetering werden zwar personenbeziehbare Daten erhoben, diese können aber lediglich mithilfe eines Schlüssels auf die jeweilige Person bezogen werden. Über diesen Schlüssel verfügt nur das Wohnungsunternehmen beziehungsweise der Eigentümer der Immobilie. Für das PropTech-Unternehmen als Anbieter der Submetering-Lösung ist kein Rückschluss auf die Identität der betreffenden Person möglich.
So sorgt die DSGVO für eine EU-weite Rechtsgrundlage für die Datenerhebung und -verarbeitung beim Einsatz von IoT-Lösungen in der Wohnungswirtschaft. Einerseits sorgt das bereits für eine gewisse Sicherheit, da die Technologieanbieter dazu verpflichtet sind, entsprechende Schutzmaßnahmen einzuhalten. Andererseits beklagt sich die Wohnungswirtschaft darüber, dass die DSGVO ihre eigenen Handlungsmöglichkeiten bei der Mieterverwaltung einschränkt.
Doch hier greift das „berechtigte Interesse“, das ebenfalls in Verordnung verankert ist. Sowohl die Mieter- als auch die Vermieterseite haben beispielsweise ein berechtigtes Interesse daran, dass die Verbrauchsabrechnung als Teil der Nebenkostenabrechnung korrekt ist und die tatsächlichen Verbrauchswerte enthält. Auf Grundlage dessen kann das Wohnungsunternehmen die vom Technologieanbieter erhobenen Daten aus der Submetering-Lösung entsprechend entschlüsseln, mit der jeweiligen Mieterpartei verknüpfen und eine korrekte Verbrauchsabrechnung erstellen. Ebenso lässt sich damit die unterjährige Verbrauchsinformation (UVI) datenschutzkonform erstellen.
Welche Daten werden erhoben?
Wie bereits erwähnt, handelt es sich bei Submetering-Lösungen um personenbeziehbare Daten. Hierbei werden die in den Wohnungen verbauten Geräte und Zähler ausgelesen. Dabei übermitteln sie die Zählernummern, die Zählerwerte zum Auslesezeitpunkt sowie eventuelle Fehlermeldungen bei einem Gerätedefekt. Dabei hat der Technologieanbieter allerdings keine Information darüber, mit welcher Person dieser Zähler in Verbindung gebracht werden kann. Diese Informationen liegen lediglich den Unternehmen der Wohnungswirtschaft vor – sei es eine große Wohnungsbaugesellschaft oder eine kleine Hausverwaltung.
Wie verhält es sich nun bei anderen IoT-Lösungen, die sich auf die technische Gebäudeausrüstung beschränken? Solch eine Lösung ist zum Beispiel der Heizungswächter von metr, der die Fernüberwachung von Heizungsanlagen ermöglicht. Bei der Nutzung dieser Lösung werden weder personenbezogene noch personenbeziehbare Daten erhoben. Die dort erhobenen Daten beziehen sich ausschließlich auf die Anlage selbst. Das gleiche gilt für Lösungen zur Fernüberwachung von Trinkwasserinstallationen, Aufzügen oder Lüftungsanlagen.
Bei den Daten der Heizungsanlage handelt es sich um Temperatur- oder Sensorwerte sowie um Statusmeldungen, die ohne den technischen Kontext keine nützliche Information ergeben. So lässt sich aus dem Wertepaar „55°C und 06:50“ vielleicht noch ableiten, wie hoch die Wassertemperatur zu dieser Uhrzeit war, aber es gibt keinen Aufschluss darüber, an welchem Punkt der Anlage dieser Wert gemessen wurde. Und auf eine einzelne Wohnung, geschweige denn auf eine einzelne Person, lässt sich das Wertepaar erst recht nicht beziehen.
Nichtsdestotrotz sorgen Technologieanbieter dafür, dass auch solche Daten sicher erhoben, gespeichert und weiterverarbeitet werden. Bei den Lösungen von metr bleibt die Datenhoheit übrigens immer beim beauftragenden Wohnungsunternehmen. Details dazu finden Sie auf dieser Seite.
Wie wird mit möglichen Gefahren und Sicherheitslücken umgegangen?
Um die Daten für die Wohnungswirtschaft verfügbar zu machen, werden sie über ein IoT-Gateway, wie zum Beispiel dem m-gate, mittels Verschlüsselung durch SSL/TLS-Protokolle übertragen. Das m-gate ist dabei bereits durch eine eigene Firewall und Secure Boot geschützt. Das bedeutet, dass das Betriebssystem eines m-gates sicher gestartet und eventuelle Manipulationen automatisch blockiert werden.
Bei metr landen die Daten anschließend auf der Plattform für die Technische Gebäudeausrüstung, die auf der Open Telecom Cloud läuft. Diese hat die Telekom hinsichtlich des Datenschutzes und der Datensicherheit von unabhängiger Stelle zertifizieren lassen. Mehr dazu finden Sie auf der Website der OTC. Grundsätzlich ist die Datenspeicherung in der Cloud deutlich sicherer, als wenn man die Daten auf einem lokalen eigenen Server vorhalten würde. Man kann bei seriösen Cloud-Anbietern davon ausgehen, dass diese regelmäßige Updates ausspielen und Backup-Systeme eingerichtet haben.
metr sorgt auch bei dem in seinen Lösungen eingesetzten Code dafür, dass die verwendeten Bibliotheken und Zertifikate stets auf dem aktuellen Stand sind. Durch regelmäßige Updates werden eventuelle Sicherheitslücken geschlossen, die sonst ein Einfallstor für Hacker darstellen würden.
Die größte Sicherheitslücke wird allerdings immer noch auf Nutzerseite generiert: schwache Passwörter. Diese machen es Hackern leicht, Zugriff auf die Systeme zu bekommen. Daher macht metr für die Nutzer*innen seiner Lösungen auch bestimmte Vorgaben bei der Festlegung von Passwörtern, um die Stärke dieser zu erhöhen. Generell sollte sich jede Person bei der Auswahl von Passwörtern an den „Tipps für ein gutes Passwort“ des BSI – Bundesamt für Sicherheit in der Informationstechnik orientieren.
Autor
Maximilian Thumfart,
CTO
Maximilian Thumfart, CTO von metr, hat über 14 Jahre Erfahrung als Teamleiter und Software-Entwickler der AEC-Industrie. Als Entwicklungsmanager für Building Information Modeling bei thinkproject arbeitet er gemeinsam mit mehreren internationalen Teams an der Erstellung einer Digital Twin Plattform. 2016 war er Mitgründer und CTO einer cloud-basierten SaaS-Plattform für Versionskontrolle und Kollaboration für 3D-Tragwerksmodelle.