Welche datenschutzrechtliche Anforderungen an Ausschreibungsbedingungen von Smart-Metering-Komponenten geknüpft werden sollten - um teils drakonische Strafen zu vermeiden - kommentiert Gerald Trieb, Preslmayr Rechtsanwälte.
Nach vielen Jahren der Vorbereitung auf die Einführung Intelligenter Messgeräte („Smart Meter“) haben Netzbetreiber jedenfalls seit letztem Jahr mit der öffentlichen Bekanntmachung von Ausschreibungsbedingungen für die Beschaffung der erforderlichen Komponenten mit der Umsetzung der diesbezüglichen Vorgaben begonnen. Durch die ausführliche Diskussion über die Vor- und Nachteile der Smart Meter im Vorfeld ihrer Einführung ist auch bereits allgemein bekannt, dass mit dem Betrieb der Smart Meter die Verarbeitung personenbezogener Daten der Netzbenutzer verbunden ist, weil die mit den neuen Messgeräten erhobenen Stromverbrauchswerte einem Zählpunkt – und damit einem bestimmten Netzbenutzer – zuordenbar sind. Wegen des in § 1 Datenschutzgesetz 2000 („DSG 2000“) festgehaltenen Grundrechtes auf „Geheimhaltung personenbezogener Daten“ ist es somit erforderlich, dass eine rechtliche Grundlage für jede Verwendung dieser Messwerte als personenbezogene Daten vorliegt.
Der Begriff „Daten“ meint „personenbezogene Daten“ iSd § 4 Z 1 DSG 2000. Nach dieser Bestimmung werden unter personenbezogenen Daten alle „Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist“ verstanden. Nach § 4 Z 8 DSG 2000 ist der Begriff des „Verwendens“ von Daten sehr weit definiert. Darunter fällt jede Handhabung von Daten, also sowohl das Verarbeiten als auch das Übermitteln von Daten. Unter dem „Verarbeiten“ ist nach § 1 Z 9 DSG 2000 etwa das „Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benutzen, Überlassen, Sperren, Löschen, Vernichten oder jede andere Art von Handhabung von Daten mit Ausnahme des Übermittelns von Daten“ zu verstehen. Unter dem „Übermitteln“ von Daten wird die Weitergabe von Daten an einen Dritten verstanden, der die Daten nicht nur zur Erbringung einer Dienstleistung an den Übermittelnden verarbeitet. Mögliche Rechtsgrundlagen bei der Verwendung von Smart Meter-Daten sind nach § 8 DSG 2000 die Zustimmungserklärung des Netzbenutzers (z.B. für die Auslesung der Viertelstundenwerte), das Vorliegen gesetzlicher Verpflichtungen order Ermächtigungen (z.B. §§ 83 ff. ElWOG) und – subsidiär – ein Vorliegen überwiegender berechtigter Interessen des Netzbetreibers an der Verwendung der Daten (z.B. wenn für die Vertragserfüllungmit dem Netzbenutzer unbedingt erforderlich). |
Da nach den Bestimmungen des ElWOG 2010 idF Novelle 2013 („ElWOG“) den Netzbetreiber die Verpflichtung trifft, die Smart Meter zu installieren und zu betreiben, somit die dem Netzbenutzer zuordenbaren Messwerte als Auftraggeber iSd DSG 2000 und damit Verantwortlicher für die rechtskonforme Verwendung der Daten zu erheben, hat der Netzbetreiber nicht nur darauf zu achten, dass die Verwendung der Daten nur auf Basis sicherer Rechtsgrundlagen erfolgt, sondern auch sicherzustellen, dass die Datensicherheitsmaßnahmen nach § 14 DSG 2000 eingehalten und die Betroffenenrechte nach den §§ 26 ff DSG 2000 (Recht auf Auskunft, Richtigstellung und Löschung sowie Widerspruch) gewahrt werden. Zudem hat er bei Beauftragung von Dienstleistern im Zusammenhang mit der Datenverarbeitung (z.B. externer Betreiber des Meta Data Management Systems („MDSM“), externer Datenverwalter) nach § 10 DSG 2000 als Auftraggeber die ordnungsgemäße Verwendung der Daten durch diesen Dienstleister zu sorgen.
„Auftraggeber“ iSd § 4 Z 4 DSG 2000, ist derjenige, der die „Entscheidung getroffen hat, Daten zu verwenden“; dies auch dann, wenn die Verwendung auf Basis einergesetzlichen Verpfl ichtung erfolgt. |
Die in § 11 DSG 2000 angeführten „Dienstleisterpflichten“ für die Auftragserfüllung gelten zwar für inländische Dienstleister schon kraft Gesetzes, sollten aber dennoch – auch nach der Empfehlung der Datenschutzbehörde („DSB“) – vor dem Hintergrund dieser Verpflichtung auch vertraglich vereinbart werden. Bei Dienstleistern mit Sitz im Ausland – egal ob innerhalb oder außerhalb des Europäischen Wirtschaftsraums (EWR) – gilt nach § 12 Abs 5 DSG 2000 ohnehin die Pflicht der schriftlichen Einholung der Zusagedes Dienstleisters, die Pflichten nach § 11 DSG 2000 einzuhalten.
Pflichten bei der Datenverarbeitung treffen nach dem DSG 2000 allerdings nicht nur den Netzbetreiber als „ersten Verarbeiter der Messdaten“ und verantwortlichen Betreiber des MDMS, sondern auch den Stromlieferanten, der die ihm nach § 84a Abs 2 ElWOG vom Netzbetreiber monatlich zu übermittelnden Daten zu den dort angeführten, eigenen Zwecken verarbeitet. Auch dieser hat daher die oben angeführten Pflichten von datenschutzrechtlichen Auftraggebern einzuhalten. Schließlich haben auch Dienstleister Vorkehrungen zu treffen, um ihre Pflichten einhalten zu können und nicht zuletzt die Sicherheit der Datenverarbeitung bei der Auftragserfüllung zu gewährleisten.
Drakonische Strafdrohung
Bei der Einführung der Smart Meter ist somit nicht nur auf die Bestimmungen des ElWOG und der auf seiner Basis ergangenen Verordnungen , die den Umfang und die Voraussetzungen für eine zulässige Verwendung der Messwert regeln, Bedacht zu nehmen, sondern sind auch datenschutzrechtliche Schutzmaßnahmen zu implementieren, die eine rechtskonforme Datenverwendung ermöglichen und gleichzeitig sicherstellen. Der vorliegende Artikel widmet sich genau diesen Schutzmaßnahmen für die datenschutzkonforme Erhebung und Weiterverwendung der Messdaten, die das Risiko einer Verletzung datenschutzrechtlicher Vorschriften minimieren sollen.
Dies ist insbesondere in Hinblick auf die in naher Zukunft in Kraft tretende Datenschutzgrundverordnung der Europäischen Union („DSGVO“) essentiell: Während nach geltenderösterreichischer Rechtslage neben der zwar drastischen, aber in der Praxis selten anzutreffenden Maßnahme der DSB, Datenanwendungen bei schweren Datenschutzverletzungen abzuschalten, Schadenersatzforderungen und – insbesondere bei Stromlieferanten und Dienstleistern – auch wettbewerbsrechtliche Unterlassungsklagen samt möglicher Pflicht zu Urteilsveröffentlichung bei Datenschutzverletzungen vergleichsweise geringe Verwaltungsstrafen von bis zu maximal 25.000 Euro (wenn auch grundsätzlich je Verstoß) drohen, sehen die vorliegenden Entwürfe für die DSGVO drakonische Strafen im Ausmaß von mehreren Mio. Euro oder einem bestimmten Prozentsatz vom weltweiten Konzernumsatz (zwei bis fünf Prozent sind derzeit in Diskussion) als möglicher Höchstgrenze - je nachdem, welche Zahl höher ist - vor.
Zudem wird ein „Mehr“ an Verpflichtungen für Netzbetreiber und Lieferanten als Auftraggeber von großen bzw. komplexen Datenanwendungen wie der Verarbeitung der Smart Meter-Messdaten enthalten sein. Zu diesen Verpflichtungen zählen die Durchführung von Data Protection Impact Assessments („DPIA“), Sicherheitszertifizierungen und womöglich auch die Bestellung von Datenschutzbeauftragten. Diese Maßnahmen sollen die Konzeption von neuen Datenanwendungen nach datenschutzrechtlichen Gesichtspunkten und mit datenschutzfreundlichen Grundeinstellungen sicherstellen („Privacy by design and by default“). Der für die Erfüllung dieser Verpflichtung zweifelsfrei entstehende Mehraufwand kann sich allerdings schnell teuer bezahlt machen: im Fall von Datenschutzverletzungen wie z.B. dem Datenverlust oder dem Datenmissbrauch wird nämlich die Einhaltung dieser Verpflichtungen strafmindernd von der Strafbehörde zu berücksichtigen sein – angesichts der enormen Strafdrohungen kein zu vernachlässigender Faktor. Insbesondere im Hinblick auf das für Ende 2017/Anfang 2018 erwartetete In-Kraft-Treten dieser neuen Verordnung ist es also dringend zu empfehlen, für die Einhaltung datenschutzrechtlicher Bestimmungen Sorge zu tragen.
DSG 2000 als Richtschnur
Das derzeitig in Geltung stehende Datenschutzrecht in Österreich basiert auf einer EU-Richtlinie aus dem Jahr 1995 , die mit dem DSG 2000 in nationales österreichisches Recht umgesetzt wurde. Die Umsetzung in Österreich durch das DSG 2000 erfolgte vergleichsweise streng; das österreichische Datenschutzrecht gilt als eines der Restriktivsten Europas. Im Hinblick darauf, dass das Datenschutzrecht nach den vorliegenden Entwürfen für die DSGVO zwar an die Gegebenheiten des 21. Jahrhunderts – insbesondere an das Internet und Social Media – angepasst, in seinen Prinzipien aber nicht neu erfunden werden wird, kann das derzeit gültige Datenschutzrecht als Richtschnur herangezogen werden, um auch für die Zukunft eine datenschutzrechtliche Compliance vorzubereiten.
Dies kann bereits durch Aufnahme datenschutzrechtlicher Anforderungen und Schutzmaßnahmen, die die Produkte und Dienstleistungen der Bieter im Beschaffungsprozess von Smart Meter-Komponenten zu erfüllen haben („Muss Anforderungen“), in die Ausschreibungsunterlagen erfolgen. Was ist aber dabei konkret zu beachten?
Implementierung der Anforderungen
Essentiell ist zunächst die Sicherstellung der organisatorischen und datensicherheitsrechtlicher Anforderungen der §§ 10, 11 und 14 DSG 2000. Diese Bestimmungen verpflichten den Netzbetreiber, für eine ordnungsgemäße und gesetzeskonforme Datenverwendung durch einen beauftragten Dienstleister Sorge zu tragen und die Datensicherheitsmaßnahmen einzuhalten. Dafür empfiehlt es sich, entsprechende Verpflichtungen als Anforderungen in den Ausschreibungsunterlagen aufzunehmen, die ja die Basis für den nach der Vergabe mit dem erfolgreichen Bieter abzuschließenden Beschaffungsvertrag darstellen. So sollte etwa festgehalten werden, dass ein Dienstleister selbst und allenfalls von diesem herangezogene Subdienstleister (wenn eine Subbeauftragung nicht an die Zustimmung des Auftraggebers gebunden werden soll) nur innerhalb des EWR sitzen dürfen; dadurch kann ein Antrag auf Genehmigung der Datenüberlassung an den Dienstleister bei der DSB vermieden werden. Zudem sollte dem Dienstleister die Pflicht auferlegt werden, dem Netzbetreiber die einfache und effiziente Wahrung von Auskunfts-, Richtigstellungs und Löschungsbegehren von Netzbenutzern zu ermöglichen, indem etwa alle Daten zu einem bestimmten Netzbenutzer auf Knopfdruck im MDMS verfügbar gemacht oder physisch (auch in allen back-up und Testsys-temen) gelöscht oder gesperrt werden können.
Zudem sollten Anforderungen zum weiteren Verfahren mit den Daten durch den Dienstleister (Vernichtung, Rückgabe der Daten in einem bestimmten Format oder Aufbewahrung für einen bestimmten, über die Vertragslaufzeit hinauslaufenden Zeitraum) nach Beendigung der Vertragslaufzeit aufgenommen werden. Zudem muss etwa das MDMS dem Netzbetreiber die Möglichkeit bieten, eine klares und sicheres Berechtigungskonzept im Unternehmen implementieren zu können, um sicherzustellen, dass nur Mitarbeiter, die Zugang zu den Messdaten unbedingt benötigen (Definition der Mitarbeiter erforderlich), eine entsprechende Zugriffsberechtigung bekommen. Jeder entsprechende Zugriff muss zudem zur Nachvollziehung der Verwendungsvorgänge protokolliert, getroffene Datensicherheitsmaßnahmen müssen dokumentiert werden können.
Von dieser Protokollierung müssen auch jeder Lese-, Remote- oder Fernwartungszugriff sowie physische Datenexporte erfasst werden, weil gerade derartige Zugriffe nicht nur datenschutzrechtlich bereits als Weitergabe von Daten zu qualifizieren sind, für die eine Rechtsgrundlage vorliegen muss, sondern auch ein besonderes Risiko für Datenverlust und -missbrauch darstellen. Exporte von Daten sollten zudem nur im gesetzlich erforderlichen Ausmaß (Weiterleitung an Lieferant oder sonstigen externen Dienstleister) bei Vorliegen der vom System abzufragenden Voraussetzungen (etwa Vorliegen einer Zustimmungserklärung) möglich sein.
Dies soll verhindern, dass etwa Mitarbeiter „wahllos“ Exporte aus dem MDMS ziehen und sie auf ihrem lokalen Rechner abspeichern, Betroffenenrechte folglich nicht mehr sicher vollständig erfüllt werden können, weil etwa nicht mehr nachvollzogen werden kann, auf welchen Datenträgern Daten über Netzbenutzer gespeichert sind. Da Systemtests und entwicklung mit Echtdaten datenschutzrechtlich unzulässig sind, weil die Verwendung der Echtdaten für diese Zwecke vom Gesetz nicht gedeckt ist, sollte auch eine Anonymisierungs bzw. Pseudonymisierungsfunktion enthalten sein.
In Bezug auf den Smart Meter selbst ist im Sinne einer Konzeptionierung nach dem Prinzip „Privacy by design and by default“ sicherzustellen, dass eine Speicherung von Daten im Zähler ausschließlich
- im Ausmaß der gesetzlichen Vorgaben (Viertelstundenwerte, Tagesverbrauchswerte) und
- für die gesetzlich vorgesehene Dauer von 60 Tagen möglich ist.
Gleichzeitig muss gewährleistet sein, dass eine differenzierte Auslesung der Werte möglich ist, weil eine Auslesung von Viertelstundenwerten nur nach Zustimmung des Netzbenutzers erlaubt ist, die Auslesung des Tagesverbrauchswertes aber jedenfalls zu erfolgen hat.
Da eine Verarbeitung der Daten bereits im Smart Meter erfolgt, sollte der Zähler etwa auch so konfiguriert sein, dass der Netzbenutzer über das Webportal die gesetzlich erforderlichen Einstellungsmöglichkeiten (Anzeige der Messwerte über das Zähler-Display, Auslesung von Viertelstundenwerten aus dem Zähler) steuern kann, damit der Zugriff des Netzbenutzers auf „seine“ Daten gewahrt bleibt. Zudem muss der Netzbetreiber eine Steuerungsmöglichkeit haben, den Abruf von Daten über den Zähler für den Kunden bei Kundenwechsel für 60 Tage zu blockieren, um eine unzulässige Datenübermittlung an den neuen Netzbenutzer zu verhindern.
Vergabeverfahren gestartet
Da viele Netzbetreiber Vergabeverfahren für die Beschaffung der Smart Metering Komponenten bereits gestartet haben, stellt sich die Frage, ob datenschutzrechtliche Anforderungen von den Bietern auch während eines laufenden Vergabeverfahrens oder sogar noch nach dessen Beendigung gefordert oder beauftragt werden können, ohne die Rechtmäßigkeit der Auftragsvergabe zu gefährden. Dafür ist das Vergabeverfahren, das bei der Beschaffung der entsprechenden Komponenten oft im Verhandlungsverfahren geführt werden wird, in drei Phasen einzuteilen:
- In der ersten Phase vor Ende der Angebotsfrist ist jedenfalls – wie im Übrigen auch noch bis zur Zuschlagserteilung – ein Widerruf der Ausschreibung möglich. Alternativ könnte aber auch eine Berichtigung der Ausschreibungsbedingungen in Frage kommen.
- In der zweiten Phase, der sogenannten Verhandlungsphase, also nach Ende der Angebotsfrist bis zur Zuschlagserteilung, darf keinesfalls der Kern der Ausschreibung geändert werden. Datenschutzrechtliche Anforderungen an die ausgeschriebene Leistung sind zwar ein essentieller Baustein für die Sicherstellung der datenschutzrechtlichen Compliance, stellen aber wohl nicht den Kern der ausgeschriebenen Leistung dar. Daher sollten Änderungen in dieser Beziehung möglich sein, soweit
- allen (verbliebenen) Bietern bekannt gegeben werden,
- sich der Bieterkreis durch die Änderungen nicht verändert
- und alle Bieter die Voraussetzungen für die Erfüllung der Änderungen mitbringen.
Zudem ist weiterhin ein Widerruf aus sachlichen Gründen zulässig. - Nach Zuschlagserteilung verbleibt dem Auftraggeber nur Spielraum für Leistungsänderungen oder Berichtigungen. Zusatzaufträge an den erfolgreichen Bieter könnten im Rahmen einer Direktvergabe erteilt werden, allerdings nur bis zu bestimmten Schwellenwerten.
Jede(r) nachträgliche Änderung, Widerruf oder Zusatzauftrag muss unbedingt im Einzelfall juristisch geprüft werden.
Erste Erfahrungen mit datenschutzrechtlichen Anforderungen in Ausschreibungs-unterlagen sind positiv; die Bieter sind gewillt und in der Lage, die organisatorischen und datensicherheitsrechtlichen Anforderungen zu erfüllen. Endgültige Verhandlungs-ergebnisse und Endprodukte sind allerdings noch ausständig. Als zwischenzeitliches Fazit kann jedoch festgehalten werden, dass datenschutzrechtliche Anforderungen in Ausschreibungsunterlagen ohne Behinderung des Ausschreibungs- und Beschaffungsprozesses zur datenschutzrechtlichen Compliance beitragen und daher in den entsprechenden Ausschreibungsunterlagen nicht fehlen sollten.
Über den Autor
Dr. Gerald Trieb, LL.M. ist seit 2013 Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte. Er ist in den Bereichen Datenschutzrecht, Energierecht und Insolvenzrecht tätig und hat sich auf die datenschutzrechtskonforme Einführung von Smart Metern spezialisiert. Er berät Netzbetreiber bei der datenschutzkonforme Durchführung von Smart Metering-Pilotprojekten sowie bei der Einführung der Smart Meter. Information und Kontakt:
RA Dr. Gerald Trieb, LL.M Preslmayr Rechtsanwälte OG,