Bauwerkssicherheit durch Datensicherheit
Ein Kommentar aus juristischer Sicht zur Norm ISO EN SN 19650-5:2020 «Organisation von Daten zu Bauwerken – Informationsmanagement mit BIM – Teil 5: Spezifikation für Sicherheitsbelange von BIM, der digitalisierten Bauwerke und des smarten Assetmanagements»
Im Jahr 2020 hat der Schweizerische Normenverein (SNV) die Norm ISO EN 19650-5 für die Schweiz in Kraft gesetzt. Wie die übrigen Normen der Reihe 19650 beschäftigt sich die 19650-5 mit der Bearbeitung (Erschaffung, Verwendung usf.) digitaler Daten im Zusammenhang mit der Planung, Realisierung und Bewirtschaftung von Gebäuden und Infrastrukturen. Zugleich ist die 19650-5 besonders, weil sie nicht die Projektorganisation und das Informationsmanagement im Allgemeinen zum Gegenstand hat, sondern viel spezifischer, die Gewährleistung der Sicherheit von Bauwerken, die mithilfe digitaler Daten konzipiert, errichtet oder betrieben werden.
In der Tat ist die Verwendung solcher Daten geeignet, die Bauwerkssicherheit zu untergraben, und stellt in diesem Sinn ein neues Risiko dar. Dieses verdient Aufmerksamkeit, zumal Bauwerke von Gesetzes wegen weder Personen noch Sachen erheblich gefährden dürfen (vgl. etwa Art. 21 Abs. 1 des bernischen Baugesetzes sowie Art. 58 und 59 OR).
Woraus ergibt sich das neue Risiko für die Bauwerkssicherheit?
Die Gewinnung und Verarbeitung von Informationen gehörte schon immer zum Kerngeschäft all jener, die sich mit der Planung, der Realisierung oder der Bewirtschaftung von Bauwerken beschäftigen. Manche dieser Informationen – wie etwa die Baupläne für einen Banktresor oder ein Pharaonengrab – sind per se sensibel, andere wiederum lassen sich in Kombination mit weiteren Informationen zu Gewinnung sensibler Erkenntnisse nutzen. Dementsprechend können das Bauwerk betreffende Informationen seit jeher der Gefahr des Missbrauchs zum Schaden von Menschen oder Sachen ausgesetzt sein.
Abgesehen davon galt schon vor der Entwicklung, die Digitalisierung genannt wird, dass Fehler in der Übermittlung oder Verarbeitung von Informationen dazu führen können, dass das Bauwerk als solches für Menschen oder Sachen unsicher wird – als Beispiel diene hier die fehlerhafte Berechnung der Statik einer Brücke.
In diesem Sinn ergibt sich aus der Verwendung digitaler Daten im Lebenszyklus eines Bauwerks keine grundlegend neue Art von Gefahr. Doch ist nicht zu unterschätzen, in welchem Ausmass diese Verwendung voraussichtlich zu einer Vervielfältigung und teilweise auch zu einer Verschärfung der mit der Informationsverarbeitung zusammenhängenden Gefahren führen wird.
Zu erwähnen ist erstens die Tatsache, dass in digitalen Daten gefasste Informationen, ungeachtet ihres Umfangs und Komplexitätsgrads, relativ einfach entwendet oder verändert werden können, ohne dass dies notgedrungen erkennbare Spuren hinterlässt. Mit bestimmten Informationen betreffend bestimmte Bauwerke lassen sich mit böser Absicht Menschen und Sachen erhebliche Schäden zufügen. Es geht hier längst nicht nur um Terrorismus, sondern auch um diverse andere Verbrechen, wie etwa Erpressung oder vorsätzliche Tötung und Körperverletzung. In diesen Fällen geht es gemäss der in der englischen Sprache gepflegten Differenzierung des Sicherheitsbegriffs um «security».
Zweitens ist der Umstand von Bedeutung, dass digitale Daten bei der Bearbeitung oder Übermittlung auch ohne bösen Willen verändert werden können, ohne dass dies rechtzeitig bemerkt würde. Durch die Verwendung fehlerhafter Informationen kann in der Folge die Bauwerkssicherheit gefährdet werden. Das trifft namentlich in den folgenden Fällen zu: wenn die Planung unerkannte und erhebliche Risiken nicht eliminiert; wenn zur Realisierung verwendete Maschinen sich in unerwartet gefährlicher Art verhalten oder unbemerkt mangelhaft bauen; wenn die Bauwerksbewirtschaftung, insbesondere die datengestützt-ferngesteuerte, auf fehlerhaften Annahmen beruht, der wahren Situation nicht angemessene Befehle erteilt oder schlicht ausfällt. In diesen Fällen geht es, englisch gesprochen, um «safety».
Was regelt die Norm 19650-5?
Die Norm richtet sich potenziell an alle Unternehmen, die sich während des Lebenszyklus eines Bauwerks mit diesem beschäftigen und dabei mit Informationen in Verbindung kommen, die sensibel sein könnten (vgl. Ziff. 1). Für diese Unternehmen hält die Norm Vorschläge für das Informationsmanagement bereit. Sie sind darauf ausgerichtet, dass die sich aus der Informationsverarbeitung (ob analog oder digital) ergebenden Bauwerksrisiken zu erkennen und zu eliminieren oder wenigstens zu minimieren.
Zunächst geht es darum, allgemein und zudem jeweils in einem bestimmten Projekt spezifische Risiken zu identifizieren, die mit dem eigenen Unternehmen, dem Projekt, den Projektpartnern oder mit bestimmten Drittparteien – welchen Informationen auszuhändigen sein werden – zusammenhängen. Anschliessend ist zu evaluieren, ob besondere Massnahmen ergriffen werden sollen (Ziff. 4). Trifft das zu, ist im Sinn eines sogenannten «security-minded approach» ein System zur verhältnismässigen und sachgerechten Minimierung der betreffenden Risiken zu errichten (Ziff. 3.10 und 5).
Dieses basiert auf einer generellen Sicherheitsstrategie (Ziff. 6) und einem Sicherheitsmanagement-Plan, dessen Umsetzung und Einhaltung zu überwachen ist (Ziff. 7). Dazu kommt ein Massnahmenplan für besondere Vorfälle und Ereignisse sowie Schadenfälle (Ziff. 8). Schliesslich enthält die Norm 19650-5 Empfehlungen für das Risikomanagement im Verhältnis mehrerer Projektparteien untereinander (Ziff. 9).
Die durch die Norm in ihrer Gesamtheit verkörperte und an die betroffenen Unternehmen gerichtete Empfehlung, die sich aus der Verwendung digitaler Daten ergebenden Gefahren zu beachten und zu eliminieren oder zu minimieren, ist aus rechtlicher Sicht zu begrüssen. So vorzugehen, liegt nicht zuletzt im Eigeninteresse dieser Unternehmen, weil die Vernachlässigung von vermeid- oder reduzierbaren Risiken zu baupolizeilichen Problemen, zur zivilrechtlichen Haftung und unter Umständen zu strafrechtlichen Verurteilungen führen kann.
Widmet sich der juristische Blick jedoch dem eigentlichen Text der Norm und den darin enthaltenen Regelungen der Kernfragen des Normgegenstands, fällt er bedauerlicherweise auf erhebliche Unzulänglichkeiten, die schlimmstenfalls Verwirrung stiften. Dieses Problem kann nur durch eine grosszügige, vorab dem Zweck – und nicht dem Wortlaut – der Norm verpflichteten Interpretation des Textes sowie durch konkretisierende Verständnisempfehlungen gelöst werden.
Zu kritisieren ist erstens, dass die Norm 19650-5 ein ungeklärtes Verhältnis zur Frage hat, ob es ihr im Ergebnis lediglich um «security» – also Schutz vor Böswilligkeit – geht, wie der Normtitel selbst sowie zahlreiche Gliederungstitel und die Definition des Begriffs des «security-minded approach» (vgl. Ziff. 3.10) es nahelegen, ob es vielleicht nur um Terrorismusabwehr geht, wie insbesondere die Ziff. 3.2 in Verbindung mit der Ziff. 4.3.2 zu zeigen scheint, oder ob auch «safety» – also Schutz vor unbeabsichtigten Schädigungen – zu den Normzielen zählt.
Für das Letztere könnte zunächst sprechen, dass «safety» in der Einleitung der Norm sowie in verschiedenen Einzelbestimmungen (insb. Ziff. 4.3.3 und 4.3.4) vorzufinden ist, namentlich auch in der Definition des Begriffs der «sensitive information» (Ziff. 3.11). Allerdings behandelt die Norm ihrem Text nach die «safety» eher als untergeordnetes Nebenproblem, ja sie vernachlässigt diesen Aspekt nachgerade, zugleich widmet sie sich vergleichsweise eingehend der Bekämpfung des Terrorismus. Für die in der Schweiz herrschende und zu erwartende Gefahrenlage ist das keine sachgerechte Prioritätenordnung.
Für ein Gesamtverständnis der Norm, nach dem die «safety» mindestens ebenso wichtig ist wie die «security», spricht ungeachtet des Wortlauts der Norm, dass die Verwendung digitaler Daten die im Bereich «safety» bestehenden Risiken mindestens ebenso sehr verschärft wie jene des Bereichs «security». Zudem kommt es aus Sicht einer geschädigten Person nicht darauf an, ob der Schaden durch böse Absicht zugefügt worden ist oder nicht. Schliesslich wäre es weder verhältnismässig noch sinnvoll, die erheblichen Anstrengungen, die die Beachtung der Norm mit sich bringt, lediglich zur Reduktion von Risiken des Bereichs «security» zu unternehmen.
Zweitens konzentriert sich die Norm 19650-5 praktisch ausschliesslich auf einzelne Projekte – wie Planung und Realisierung bzw. Objekte wie Bewirtschaftung – und enthält keine Empfehlungen zum projekt- und objektübergreifenden, strategischen Risikomanagement der Unternehmen. Abgeraten wird von einem solchen Risikomanagement zwar nicht, doch birgt der Ansatz, alles auf einer Projekt- bzw. Objektebene anzugehen, die Gefahr der Doppelspurigkeit und, schwerwiegender noch, des Übersehens komplexer Zusammenhänge, die bei der Betrachtung von einzelnen Operationen nur schwerlich zu erkennen sind.
Dazu kommt, dass die in Ziff. 9 der Norm angesprochene Implementierung eines koordinierten und soweit nötig auch vereinheitlichten Risikomanagements unter den Beteiligten eines bestimmten Projekts oder einer bestimmten Operation bei den durch die Implementierung zur Verhaltensanpassung verpflichteten Projektparteien auf einen weitaus fruchtbareren Boden trifft, wenn diese Beteiligten sich als Unternehmen bereits einem Risikomanagement unterworfen haben, das sich am Geist der Norm orientiert.
Drittens ist der Adressatenkreis der Norm 19650-5 unklar. Zwar scheint sich der Text auf die ein Projekt oder eine Operation initiierenden Subjekte, also auf Investoren, Bauherrschaften und Gebäudebetreiber zu konzentrieren – dieser Eindruck ergibt sich bei einer Lektüre der Ziff. 4.2 in Verbindung mit der Ziff. 9. Diese haben die Risiken zu analysieren (Ziff. 4), gegebenenfalls Massnahmen zu ergreifen (Ziff. 5–8) und diese in ihrem Projekt respektive ihrer Operation unter Einschluss der weiteren beteiligten Parteien zu implementieren (Ziff. 9). Damit wird allen weiteren Parteien eine zunächst passive Rolle zugewiesen.
Daran ist richtig, dass die weiteren Parteien meistens nicht über die wirtschaftliche Verhandlungsmacht verfügen, um ihre eigene Sicht im Projekt durchzusetzen. Im Sinn des obenerwähnten strategischen Risikomanagements ist der Ansatz insoweit unglücklich, als das projekt- oder objektbezogene Risikomanagement vor allem dann erfolgreich ist, wenn alle Projektbeteiligten ein unternehmensbezogenes Risikomanagement bereits betreiben, das sich an den Grundsätzen der Norm orientiert.
Trotz der angesprochenen Verständnismöglichkeit bleibt der Adressatenkreis der Norm unklar, weil der in Ziff. 4.2 zentrale Begriff des «asset» gemäss Ziff. 3.1 praktisch jeder Vermögenswert sein kann, also nicht nur Grundstücke und Bauwerke, sondern auch Baumaterialien, Baumaschinen, Pläne und digitale Datenkonstrukte usf. Dadurch wird praktisch jeder Projektbeteiligte zu einer «organization», die unter Ziff. 4.2 der Norm fallen kann, weil es dafür nur die Absicht zur Entwicklung oder Veränderung eines «asset», zum Betrieb eines «asset» oder zur Erbringung von «asset-based service(s)» braucht. Somit ist nicht klar, ob die Ziff. 4-8 der Norm alle möglichen Parteien betreffen und in welchen Situationen das genau zutrifft.
Vor diesem Hintergrund erscheint es mir sinnvoll, ein Verständnis der Norm zu vertreten, bei dem sich alle Unternehmen soweit erforderlich mit einem unternehmensbezogenen Risikomanagement ausstatten sollten. Dabei sollte jedes an einem Projekt oder einer Operation beteiligte Unternehmen selbstverantwortlich die projekt- oder objektspezifischen Risiken behandeln, soweit dem nicht vertragliche Abreden entgegenstehen (nach denen andere, projekt- oder objektspezifische Regeln gelten).
Abgesehen von den für das strategische Management bereits angeführten Gründen ist darauf hinzuweisen, dass die gesetzlichen Haftungs- und Strafbarkeitsrisiken, die ein Projektbeteiligter eingeht, wenn er mit digitalen Bauwerk-Daten umgeht, nicht dadurch ausgeschlossen werden, dass der betreffende Beteiligte vertraglich zu gewissen Sorgfaltsmassnahmen nicht gehalten ist. Mit anderen Worten: Wo die das Projekt oder die Operation initiierende Partei auf die vertragliche Überbindung von Massnahmen auf die weiteren beteiligten Parteien verzichtet – oder wo diese Massnahmen zu wenig weit gehen oder ineffektiv sind –, ist der Projektbeteiligte auf seine in Eigeninitiative beachtete Sorgfalt angewiesen, wenn die tatsächlich vorgegebenen Massnahmen aufgrund des Gesetzes oder eines mit Dritten geschlossenen Vertrags nicht genügend sind und entsprechendes Verhalten daher als unsorgfältig zu betrachten ist, selbst wenn es dem mit der initiierenden Partei geschlossenen Vertrag genügt.
Um einen Schaden sowie daraus folgende Rechtsprobleme nicht entstehen zu lassen, sind Projektbeteiligte stets gut beraten, sich nicht allein auf das ihnen vertraglich auferlegte Risikomanagement zu verlassen. Die Norm, die selbstredend vom Fall ihrer vollumfänglichen Beachtung ausgeht, sollte nicht dahin verstanden werden, dass sich Projektbeteiligte aus Sicht des Gesetzes ohne weiteres passiv verhalten dürfen.
Angesichts des Ausgeführten bedarf die Einführung der Norm 19650-5 in der Schweiz aus meiner Sicht der Begleitung durch eine autonome binnenstaatliche Interpretation, die in Beachtung des Geists der Norm die angesprochenen Unzulänglichkeiten überwinden soll. Dies sollte durch eine Ergänzung in Bezug auf das unternehmensbezogene strategische und nötigenfalls auch projekt- beziehungsweise objektspezifische Risikomanagement, durch eine Klärung des Adressatenkreises und durch eine von den unausgegorenen und bisweilen beliebig scheinenden Details der Norm abstrahierende Beschreibung der anzugehenden Risiken aus den Bereichen «security» und «safety» geschehen. Was das Letztere betrifft, reicht es aus, den Gegenstand der Norm durch die Risiken zu definieren, die sich aus dem Gebrauch von digitalen Daten im Zusammenhang mit der Planung, Realisierung und Bewirtschaftung von Bauwerken in Bezug auf Schäden an Menschen und Sachen ergeben können.
Welcher rechtliche Status kommt der Norm 19650-5 zu?
Juristisch betrachtet, bedeutet die Klassierung eines Texts als Norm respektive als SN nicht automatisch, dass der Normtext eine allgemeine Verbindlichkeit zulasten aller anvisierten Subjekte entfalten würde. Private Normen, namentlich jene des SN, können nur zu verbindlichem Recht werden, wenn sich dies aus einem Gesetz ergibt oder wenn es in einem Vertrag vereinbart wird.
Dazu kommt der Fall der sich aus akzeptierten Statuten ergebenden privatrechtlichen Verpflichtung zur Beachtung bestimmter Normen. Dabei muss der gesetzliche, vertragliche oder statutarische Verweis auf eine Norm nicht explizit sein, um wirksam zu werden. Vielmehr kann sich ein wirksamer Verweis auch aus der Auslegung einzelner Bestimmungen und Begriffe (bspw. «Sorgfalt») ergeben. Ist eine Norm durch Gesetz verbindlich erklärt worden, schuldet der Normadressat die Einhaltung gegenüber allen, insbesondere auch gegenüber dem Staat. Ist sie durch einen Vertrag verbindlich geworden, besteht eine entsprechende Verpflichtung nur gegenüber dem begünstigten Vertragspartner.
Nun gibt es derzeit kein Gesetz, das explizit auf die Norm 19650-5 verweist, und es scheint auch nicht wahrscheinlich, dass ein Gericht demnächst einen allgemeinen Rechtsbegriff wie «Sicherheit» (eines Bauwerks) oder «Regeln der Baukunde» dahin auslegt, dass ein Verhalten nach der Norm 19650-5 als geboten erscheint und dass ein nicht normkonformes Verhalten in der Folge zu einer Haftung oder Bestrafung führt. Denn es kann, jedenfalls vorläufig, nicht behauptet werden, die Beachtung der in der Norm vorgesehenen Handlungen entspreche dem Stand der Technik oder den Regeln der Fachkunde.
Indessen ist ein solcher Schluss auf mittlere Frist nicht ausgeschlossen, zumindest wenn sich entsprechende Verhaltensweisen verbreiten und nach und nach durch breite Kreise als zweckmässig und richtig erachtet werden. Dementsprechend ist es wahrscheinlich, dass im Rahmen der gerichtlichen Bewältigung eines zukünftigen Schadenfalls zumindest die vollständige Missachtung der Empfehlungen der Norm rechtliche Konsequenzen nach sich zieht, weil dies unter dem Eindruck der konkreten Umstände als unsorgfältiges Handeln erscheint, und dass sich die Rechtsprechung fortan an diesem Urteil orientiert.
Sollte es allerdings gelingen, in der Schweiz mittels geeigneter Empfehlungen eine allgemein anerkannte Übung zu etablieren, die sich am wohlverstandenen Geist der Norm 19650-5 orientiert und umsetzt, nötigenfalls über den Wortlaut hinaus, so ist es unwahrscheinlich, dass ein Gericht dafürhielte, die Norm gehe dieser Übung vor, wenn es um die Ausfüllung «offener» Rechtsbegriffe wie «Sicherheit», «Sorgfalt» und «Regeln der Fachkunde» geht.
Kurzum: Heute und morgen ist niemand von Gesetzes wegen verpflichtet, die Norm zu beachten, selbst wenn sie «in Kraft» ist. Das heisst aber nicht, dass die Beachtung nicht empfohlen werden könnte. Auf mittlere oder lange Frist hinaus ist nicht auszuschliessen, sondern beinahe zu erwarten, dass die Rechtsprechung die geschuldete Sorgfalt dahingehend verstehen wird, dass ein Verhalten im Sinn dieser Norm unabdingbar wird.
Zugleich besteht die Möglichkeit, die erheblichen Unzulänglichkeiten des Normtexts durch weiterführende Konzepte und Empfehlungen zu überwinden, eine entsprechende allgemeine Übung zu initiieren und hierdurch für eine vergleichsweise rechtssichere und zielführende Lage der Dinge zu sorgen. Denn es darf angenommen werden, dass die Gerichte einer solchen Übung folgen würden. Die Norm kann solches nicht verbieten.
In diesem Zusammenhang ist hervorzuheben, dass die Sicherheit der Menschen und Sachen in einem Land nicht allein von internationalen Normen abhängig sein kann, sondern stets in erster Linie durch die in diesem Land anwendbare Gesetzgebung bestimmt wird. Insoweit ist die Beachtung einer internationalen Norm weder automatisch notwendig noch in allen Fällen per se hinreichend für die Einhaltung der Gesetze. Dass die Norm diesem Umstand kein Wort widmet, ist übrigens ein weiterer bedauernswerter Punkt.
Im Weiteren können sich Rechtspflichten auch aus einem Vertrag ergeben. Allerdings ist dringend davon abzuraten, die Norm 19650-5 zum Vertragsbestandteil zu erklären – auch zur Vereinbarung von Teilen davon kann nicht geraten werden. Nicht der Normtext ist zu vereinbaren, denn er ist zu wenig konkret, sondern es sind, konkrete Massnahmen und Verhaltensweisen zu vereinbaren, die die Empfehlungen der Norm umsetzen und die der Erreichung der angestrebten Ziele tatsächlich dienlich sind.
In jedem Fall aber hindert der Umstand, dass der allgemeine Sorgfaltsbegriff vorläufig (noch) nicht entlang der Norm ausgelegt werden wird, eine Vertragspartei nicht daran, vertraglich verpflichtet zu sein, bestimmte Massnahmen oder Verhaltensweisen oder gar direkt die Norm zu beachten. Wenngleich von einer solchen Vereinbarung abgeraten wird, wäre sie doch nicht per se rechtswidrig, sondern nur höchst unklar in der Bedeutung und damit rechtlich riskant.
Zum Schluss ist darauf aufmerksam zu machen, dass die Norm 19650-5 in Ziff. 8.3 (vgl. auch Ziff. 8.1.1/c) Verhaltensweisen vorsieht, die auf ein uneingeschränktes Zuarbeiten für die im Schadenfall möglicherweise auftretenden Strafverfolgungsbehörden hinauslaufen und daher im Einzelfall mit den gesetzlich geschützten Verteidigungsinteressen der betroffenen Unternehmen und Subjekte direkt kollidieren könnten. Die genannte Ziffer sollte zur Wahrung der Verfahrens- und Verteidigungsrechte der Betroffenen dahin ausgelegt werden, dass sie empfiehlt, eine Zusammenarbeit mit den Strafverfolgungsbehörden im Rahmen der gesetzesmässigen Spielräume erst nach Abwägung aller auf dem Spiel stehenden Interessen in Erwägung zu ziehen.
Fazit
Die Norm 19650-5 ist als Gedankenanstoss und Inspirationsquelle hilfreich, zumal sie von erheblichen Risiken handelt. Doch die Behandlung dieser Risiken bedarf gründlicherer Überlegungen und weitblickender Massnahmen. Diese Arbeit steht noch bevor. Eine interpretierende Konkretisierung der Norm für die Anwendung in der Schweiz sollte insbesondere in Bezug auf die anvisierten Risiken, die adressierten Subjekte und zu behandelnden Ebenen vorgenommen werden.