Digital Guide Real Estate 2025
Cyberrisiken im Smart Building: Auf Nummer sicher gehen
News
28.07.2025 | 15:12 Uhr
Bild: Gettyimages/Yifei Fang
Bereits die Möglichkeit, anonyme Gebäudedaten mithilfe externer Infos einer Person zuzuordnen, kann strafbar sein
Je smarter das Gebäude, desto attraktiver das Ziel für Cyberangriffe. Hinzu kommen offene rechtliche Fragen, etwa bei der Haftung oder dem Datenschutz. Dieser Beitrag zeigt, welche Gefahren konkret bestehen – und wie Betreiber, Entwickler, Nutzer und Dienstleister diese gezielt beherrschen können.
Cybersecurity im Smart Building: Wer haftet im Ernstfall?
Cybervorfälle sollten idealerweise gar nicht erst eintreten. Entsprechend haben Nutzer und Betreiber von Smart-Building-Infrastruktur grundsätzlich ein großes Interesse an wirksamen Schutzmaßnahmen. Die Umsetzung solcher Schutzmaßnahmen wirft jedoch erhebliche vertragliche und kommerzielle Fragen auf. Durchdachte und klar abgestimmte Verträge sind dabei von zentraler Bedeutung. Denn aus der Frage, wer Adressat und in welchem Umfang zur IT-Sicherheit verpflichtet ist, ergibt sich zugleich die Verantwortlichkeit im Schadensfall.
In modernen Smart Buildings sind zahlreiche Akteure involviert: neben dem Eigentümer typischerweise auch Mieter, Projektentwickler, spezialisierte Smartness-Provider (Anbieter der smarten Technologien), Facility Manager sowie Wartungsdienstleister. Oftmals sind die vorgenannten Rollen auch gleich mehrfach vergeben.
Ein anschauliches Beispiel: Häufig können mehrere Smartness-Provider jeweils Befehle zur Steuerung der smarten Infrastruktur auslösen, wobei die eigentliche Umsetzung solcher Befehle aber mittels der Gebäude-Großanlagentechnik erfolgt, die wiederum von einem Anbieter implementiert und von einem anderen gewartet wird.
IT-Sicherheit im Smart Building: Wenn Interessen kollidieren
Dabei stehen die Interessen dieser vielen Akteure oft im Widerspruch zueinander: Bauherren haben ein Interesse an möglichst weitgehenden technischen Pflichten und der Einhaltung modernster Standards bei der Umsetzung smarter Lösungen. Die Provider wollen hingegen oft nicht anders behandelt werden als jeder andere Softwareanbieter und insbesondere keinen übermäßig starken IT-Sicherheitsstandards ausgesetzt werden.
Wer erst im laufenden Betrieb hinzugezogen wird, also z. B. nur das Hosting fremder Software übernimmt oder fremde Technik wartet, möchte für die Grundsysteme nicht einstehen. Alle anderen Beteiligten suchen hingegen einen einheitlichen Ansprechpartner bei Fehlern und Fragen.
Welche konkreten Standards und Maßnahmen in den jeweiligen Verträgen vereinbart werden, hängt insofern sowohl von der Verhandlungsstärke der Beteiligten als auch von dem jeweiligen Projekt ab. Möglich sind dabei neben sehr abstrakten Verpflichtungen (beispielsweise Verweise auf den „Stand der Technik“) auch Nachweispflichten in Bezug auf bestimmte IT-Sicherheitsstandards der Gesamtlösung (etwa BSI- oder ISO-Zertifizierungen) oder konkrete technische und organisatorische Vorgaben.
Immobilienwirtschaft: Wenn Cyberangriffe teuer werden
Ein weiteres Problemfeld aus dem Kontext der Cyberrisiken bei Smart Buildings liegt im Bereich des Datenschutzes. Dabei handelt es sich trotz der allgemein voranschreitenden Sensibilisierung für Datenschutzthemen in Unternehmen um ein nach wie vor häufig vernachlässigtes Thema – obwohl allen Beteiligten bewusst ist, dass Smart Buildings fortlaufend Daten zur Gebäudenutzung erfassen.
Häufig wird argumentiert, die DSGVO sei auf diese Daten nicht anwendbar, denn es handle sich um reine Sensordaten, die keinen Personenbezug aufweisen. Nur Daten mit Personenbezug eröffnen aber per Definition den Anwendungsbereich der DSGVO. Letzteres ist zutreffend, Ersteres oftmals nicht.
Denn oft liegt ein Personenbezug der Gebäudedaten in der Praxis durchaus vor: Systeme wie Videoüberwachung, digitale Zutrittskontrollen oder smarte Arbeitsplatzsensoren erheben regelmäßig auch Informationen, die Rückschlüsse auf einzelne Personen ermöglichen (zum Beispiel wann jemand ein Gebäude betritt, welche Flächen genutzt werden usw.). Solche Daten gelten als personenbezogen und fallen damit in den Anwendungsbereich der DSGVO. Das hat diverse Folgen:
- Rechtsgrundlage und Transparenz: Jede Verarbeitung personenbezogener Daten erfordert eine gültige Rechtsgrundlage – etwa berechtigte Interessen des Betreibers oder eine informierte Einwilligung der Betroffenen. Zudem müssen die datenschutzrechtlich Verantwortlichen die Gebäudenutzer (Bewohner, Mitarbeitende, Besucher) transparent über Art und Zweck der Datenverarbeitung informieren.
- Datensicherheit und Meldepflichten: Gemäß Art. 3 DSGVO müssen angemessene technische und organisatorische Sicherheitsmaßnahmen implementiert werden, um die personenbezogenen Daten zu schützen. Sollte es dennoch zu einem Datenschutzvorfall (z. B. einem Datenleck) kommen, besteht in vielen Fällen die Pflicht, diesen innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde zu melden. In der Praxis zeigt sich, dass gerade in diesem Bereich ein erhöhtes Fehlerrisiko besteht.
- Klare Verantwortlichkeiten: Eigentümer, Facility Manager, Mieter und IoT-Dienstleister müssen genau festlegen, wer für welche Datenverarbeitung verantwortlich ist. Diese Rollenverteilung ist nicht nur für die Einhaltung der DSGVO, sondern auch für spätere Haftungsfragen entscheidend. Dabei spielt die technische Gestaltung der Systeme eine große Rolle – etwa wer die „Registrierungsdaten“ einzelner Nutzer bereitstellt und wer Zugriff darauf hat, um sie mit ursprünglich anonymen Gebäudedaten zu verknüpfen.
DSGVO-Falle Smart Building: Wenn Anonymisierung nicht schützt
Aus datenschutzrechtlicher Sicht lässt sich die Rollenverteilung nur zu einem gewissen Grad vertraglich gestalten, denn überwiegend bestimmt die normative Kraft des Faktischen, wer Verantwortlicher und wer Auftragsverarbeiter ist – oder ob womöglich eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) vorliegt.
Der einzige „Ausweg“ aus dem Anwendungsbereich der DSGVO ist dabei die wirksame Anonymisierung: Die Hürden für eine wirksame Anonymisierung von Nutzungsdaten sind allerdings hoch. Erstens stellt bereits der Anonymisierungsvorgang (also das Verwandeln von personenbezogenen Daten in einen anonymisierten Datensatz) eine Verarbeitung personenbezogener Daten dar, die einer Rechtsgrundlage bedarf.
Zweitens ist sicherzustellen, dass ein hinreichender Grad der Anonymisierung erreicht wird, denn bereits die Möglichkeit, anonyme Gebäudedaten mithilfe externer Informationen einer Person erneut zuzuordnen, kann laut Europäischem Gerichtshof (EuGH) und Europäischem Datenschutzausschuss (EDSA) genügen, um nach wie vor von Personenbezug auszugehen.
So gelingt die IT-Sicherheit in vernetzten Gebäuden
Deshalb empfiehlt es sich aus Compliance-Sicht, die von den Gebäuden generierten Daten von nutzerspezifischen Daten (wie beispielsweise ID-Nummern) zu trennen (z. B. zwischengeschaltete Anonymisierungs- oder Single-Sign-On-Dienste), um eine ReIdentifizierbarkeit der Nutzer so weit wie möglich auszuschließen.
Über die DSGVO hinaus beeinflussen weitere gesetzliche Vorgaben die IT-Sicherheit von Smart Buildings – insbesondere wenn die Gebäude von Unternehmen aus kritischen oder regulierten Branchen genutzt werden, wie zum Beispiel Betreiber aus dem Energie- und Wassersektor, Gesundheitseinrichtungen, Banken und Versicherungen sowie Unternehmen der Telekommunikation oder digitaler Infrastrukturanbieter. In solchen Fällen bestehen häufig nicht verhandelbare Vorgaben zu Sicherheitsstandards oder vertraglichen Nutzungsbedingungen. Die regulatorische Dichte nimmt in diesem Bereich derzeit spürbar zu.
Zu den wichtigsten aktuellen Vorgaben zählen das deutsche ITSicherheitsgesetz sowie die neue, noch umzuwandelnde NIS2-Richtlinie (Network and Information Security). Beide regeln die Netzund Informationssicherheit und legen dabei besonderen Fokus auf die Pflichten für Betreiber kritischer Infrastrukturen. Die Vorgaben müssen im Fall ihrer Anwendbarkeit auf die Gebäudenutzer auch für das Smart Building selbst eingehalten werden. Daneben steht der ebenfalls erst seit Kurzem geltende EU-Digital Operation Resilience Act (DORA).
Data Act: Herausforderung für vernetzte Gebäude und Dienstleister
Die Verordnung enthält, neben technischen Pflichten, auch Anforderungen an die vertraglichen Regelungen, die Banken, Finanzdienstleister und Versicherungen beim Einsatz von IT-Diensten einhalten müssen. Sie wirken sich daher mittelbar als Anforderungen auf die Vertragsgestaltung mit allen technischen Dienstleistern in Smart Buildings aus, sobald ein regulierter Nutzer das Gebäude bezieht. Absehbar ist, dass die regulatorischen Pflichten beim Betrieb von Smart Buildings zukünftig auch weiter wachsen werden.
Der ab September 2025 voll anwendbare EU Data Act enthält unter anderem allgemeine Anforderungen an die Sicherheit des Datenzugriffs und schafft darüber hinaus weitgehende Daten-Zugriffsrechte, die auch zugunsten der einzelnen Personen in Smart Buildings gelten dürften. Außerdem enthält beispielsweise der geplante EU-Cyber-Resilience-Act verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen und erfasst damit insbesondere auch IoT-Geräte in Smart Buildings. Die kontinuierliche Beobachtung relevanter neuer Rechtsakte ist und bleibt daher für den Betrieb von Smart Buildings unerlässlich.
Cybersicherheit im Immobilienmanagement
Cybersicherheit ist ein zentraler Bestandteil des modernen Immobilienmanagements. Die frühzeitige Integration von Sicherheits- und Datenschutzkonzepten, klare vertragliche Regelungen und regelmäßige IT-Sicherheitsaudits ermöglichen es Eigentümern, Nutzern und IT-Betreibern, nicht nur gesetzliche Anforderungen zu erfüllen, sondern auch das Risiko folgenschwerer Vorfälle zu verringern und zugleich das Vertrauen von Mietern und Investoren zu stärken. Ebenso essenziell sind robuste, klar abgestimmte Verträge, um eindeutig festzulegen, welcher Beteiligte welches Risiko trägt und wer im Schadensfall bis wohin haftet.
Die Praxis lehrt dabei, dass Unternehmen, die Cybersicherheit zur Chefsache machen, Ausfallzeiten reduzieren, die Privatsphäre der Nutzer wahren und langfristig Kosten sowie Reputationsrisiken minimieren. Datenschutzrechtliche Beratung sollte bereits bei der technischen Planung einbezogen werden, um teure Nachbesserungen zu vermeiden. Artikel 25 DSGVO verpflichtet Verantwortliche zur Umsetzung von „Privacy by Design“ und „by Default“ – diese Grundsätze sollten frühzeitig technische und vertragliche Entscheidungen leiten.
Dieser Beitrag stammt aus dem Digital Guide Real Estate 2025.
Schlagworte zum Thema:
Immobilienunternehmen
,
Immobilienwirtschaft
,
Wohnungsunternehmen
,
IT
,
IT-Sicherheit
,
Cyberkriminalität
,
Cybersicherheit
-
Sonder-AfA für den Neubau von Mietwohnungen wird angepasst
2.3386
-
Mindesttemperatur in Wohnungen: Das gilt rechtlich
2.233
-
Effizienzhaus 55-Plus-Förderung startet: die Konditionen
2.0831
-
Degressive AfA für den Wohnungsbau: fünf Prozent, sechs Jahre
1.334
-
Verkürzte Nutzungsdauer, höhere jährliche Abschreibung
9952
-
Was die Grundsteuer 2025 für Vermieter und Mieter bedeutet
7491
-
Energetische Sanierung: Kosten von der Steuer absetzen
658
-
Hydraulischer Abgleich und Heizungscheck: alle Infos
4971
-
Bundesfinanzministerium plant Beschränkung bei Gutachten
443
-
Neuer CO2-Preis für 2027 gegen Preissprünge beim Heizen
331
-
Rechtliche und steuerliche Neuerungen ab 2026
23.12.2025
-
Härtere Gangart gegen Schwarzarbeit beschlossen
22.12.2025
-
Indexmieten beim Wohnen deckeln – mit fatalen Folgen?
22.12.2025
-
Das gibt der Bund im Jahr 2026 fürs Wohnen aus
19.12.2025
-
EZB lässt weiter auf eine Zinswende warten
18.12.2025
-
Verstoß gegen Mietpreisbremse: Tausende Rügen erfolgreich
18.12.2025
-
Vergesellschaftungsgesetz ohne Enteignungen
18.12.2025
-
Bayern verlängert Umwandlungsschutz für Mietwohnungen
17.12.2025
-
Gewerbemietverträge: Textform-Regelung ab Januar 2026
16.12.2025
-
Effizienzhaus 55-Plus-Förderung startet: die Konditionen
16.12.20251
Noch keine Kommentare - teilen Sie Ihre Sicht und starten Sie die Diskussion
Aktuelle Informationen aus dem Bereich Immobilienverwaltung frei Haus - abonnieren Sie unseren Newsletter:
- Rechtsprechung
- Miet- und Wohnungseigentumsrecht
- energetische Sanierung