Schlagwort-Archive: DSGVO

Smart Meter und der Datenschutz

Kommentar verfassen

Smart Meter erheben und übertragen sensible Daten

Unter Smart Metern versteht man sog. intelligente Messsysteme gem. der Definition in § 2 Nr. 7 des Messstellenbetriebsgesetzes (MsbG). Smart Meter sind sinnvoll und notwendig, um Energienetze intelligent und verbrauchsabhängig zu steuern, damit Energie, insbesondere solche aus dezentralen und wetterabhängigen Energiequellen wie Wind- und Sonnenenergie, effizienter genutzt werden kann. Sie sind deshalb ein wichtiges Element der Energiewende.

Das MsbG wird derzeit novelliert, gerade um den Rollout von Smart Metern zu beschleunigen und um Smart Meter Schritt für Schritt zukünftig für alle Verbraucher verbindlich zu machen (siehe Gesetzentwurf der Bundesregierung: „Entwurf eines Gesetzes zum Neustart der Digitalisierung der Energiewende“)

Smart Meter erheben und übertragen eine Reihe sensibler Informationen: Anhand der von Smart Metern verarbeiteten Verbrauchs-, Erzeugungs- und Einspeisedaten lassen sich z. B. Verbrauchsprofile von Haushaltsmitgliedern erstellen, die Rückschlüsse darauf zulassen, wann das Mittagessen zubereitet oder Wäsche gewaschen wird, ob die Bewohner verreist sind, wann sie zu Bett gehen. Sogar Rückschlüsse darauf, welches Programm im Fernsehen angeschaut wurde, sind grundsätzlich möglich, da Fernsehgeräte je nach dargestelltem Bild einen leicht unterschiedlichen Stromverbrauch haben, der messbar ist.

Klar ist, dass die von Smart Metern verarbeiteten Daten in aller Regel einen Personenbezug haben und im Interesse der Betroffenen Haushalte und Verbraucher geschützt werden müssen. Sie unterliegen unzweifelhaft den Datenschutzregulierungen.

Datenschutzgrundverordnung oder Messstellenbetriebsgesetz?

Das Messstellenbetriebsgesetz vom 29. August 2016 enthält in §§ 49ff bereits ausführliche bereichsspezifische Regelungen zur Verarbeitung personenbezogener Daten in intelligenten Energienetzen.

Nachdem seit 25. Mai 2018 die europäische Datenschutzgrundverordnung als unmittelbar anwendbares Datenschutzrecht in allen EU Mitgliedsstaaten gleichermaßen gilt, stellt sich die Frage, welches Datenschutzrecht nun auf die für die Verarbeitung personenbezogener Daten durch Smart Meter und in intelligenten Energienetzen anwendbar ist. Weiterhin die bereichsspezifischen Datenschutzvorschriften des MsbG oder die DSGVO? Oder beides… ?

Was könnte das MsbG mit dem Bundesdatenschutzgesetz gemeinsam haben?

Derzeit enthält das Bundesdatenschutzgesetz (BDSG) in § 4 eine spezielle Regelung zur Videoüberwachung für private Zwecke. Da die DSGVO als unmittelbar geltendes EU Recht das Datenschutzrecht abschließend regelt und keine sog. Öffnungsklausel für die Videoüberwachung enthält, kann der nationale Gesetzgeber hierzu keine eigenen gesetzlichen Regelung erlassen, § 4 BSDG ist damit europarechtswidrig (so BVerwG, Urteil vom 27.03.2019 – 6 C 2.18 -). Die Videoüberwachung im privaten Sektor richtet sich somit ausschließlich nach den in der DSGVO für die Zulässigkeit der Verarbeitung von personenbezogenen Daten vorgesehenen Rechtsgrundlagen (hier: Art. 6 Abs. 1 lit. f DSGVO – Wahrnehmung berechtigter Interessen).

Beim MsbG haben wir eine vergleichbare Situation: Ebenso wenig wie für die Videoüberwachung für private Zwecke, enthält die DSGVO keine Öffnungsklausel für das Energierecht oder die Datenverarbeitung in intelligenten Netzen.

Dem vom Bundesverwaltungsgericht in seinem o. a. Urteil vom 27.03.2019 aufgestellten Grundsatz folgend, müssen die Datenschutzbestimmungen im MsbG somit genau so als europarechtswidrig angesehen werden wie § 4 BDSG.

DSGVO hat Vorrang vor den datenschutzrechtlichen Regelungen des MsbG

Nach der Rechtsprechung des Gerichtshofs ist der Vorrang des EG-Rechts einer der Grundpfeiler des Gemeinschaftsrechts.“ (17. Erklärung zur Schlussakte des Vertrages von Lissabon).

Die Datenschutz Grundverordnung gilt seit dem 25.05.2018 unmittelbar, ohne Umsetzungsakt, in allen Mitgliedstaaten der Europäischen Union (gem. Art. 99 Abs. 2 DSGVO i. V. mit Art. 288 Abs. 2 Satz 1 und 2 des Vertrags über die Arbeitsweise der Europäischen Union in der am 1. Dezember 2009 in Kraft getretenen Fassung). Die DSGVO hat damit Vorrang vor den datenschutzrechtlichen Regelungen im MsbG (Vorrangprinzip).

Die datenschutzrechtlichen Bestimmungen in den §§ 49 ff. MsbG können somit nur noch ergänzend herangezogen werden, beispielsweise zur Unterstützung der Auslegung, als Argumentationshilfe für Interessenabwägungen oder zur Konkretisierung technisch-organisatorischer Maßnahmen. Die DSGVO gilt jedenfalls immer vorrangig.

Wichtig: Die Zulässigkeitsvoraussetzungen für die Verarbeitung personenbezogener Daten sind in Art. 6 Abs. 1 DSGVO abschließend geregelt. Als Rechtsgrundlage für die Zulässigkeit der Verarbeitung personenbezogener Daten kann nur noch auf die in der Datenschutz Grundverordnung geregelten Erlaubnistatbestände zurückgegriffen werden.

Eine mögliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten in intelligenten Netzen und durch Smart Meter wäre die Einwilligung der Betroffenen gem. Art. 6 Abs. 1 lit. a DSGVO. Die Einholung von Einwilligungen ist jedoch kompliziert, da die Betroffenen dazu umfassend aufgeklärt werden müssen, die Verantwortlichen die Einwilligungserklärungen dokumentieren müssen und die Betroffenen ihre Einwilligung jederzeit ohne Angabe von Gründen widerrufen können. Für die Marktbeteiligten ist das kaum praktikabel.

Eine weitere Möglichkeit wäre, die Verarbeitung auf Art. 6 Abs. 1 lit. c DSGVO zu stützen, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Soweit Einbau und Betrieb von Smart Metern nach § 29 MsbG verpflichtend werden, kann in einem solchen Szenario von einer rechtlichen Pflicht ausgegangen werden. Allerdings wird es noch einige Jahre dauern, bis die Nutzung von Smart Metern tatsächlich für alle Verbraucher flächendeckend vorgeschrieben ist. Eine gewisse Anzahl von Smart Metern wird bis auf Weiteres auf freiwilliger Basis ausgerollt werden. Bis zum flächendeckenden verpflichtenden Rollout ist auf diese Rechtsgrundlage somit auch nur eingeschränkt zurückzugreifen.

Somit bleibt noch die Wahrnehmung berechtigter Interessen gem. Art. 6 Abs. 1 lit. f DSVGO als geeignete Rechtsgrundlage anzusehen. So, wie es das BVerwG in seinem o. a. Urteil auch für die Videoüberwachung für private Zwecke entschieden hat.

Die Geltung der DSGVO bringt zudem eine Reihe wichtiger Grundsätze, Pflichten und Rechte mit sich, deren Einhaltung der Verantwortliche beachten muss. Die Verletzung von Bestimmungen der DSGVO kann zudem empfindliche Bußgelder nach sich ziehen.

Hier eine Aufzählung der wichtigsten Verpflichtungen (nicht abschließend) nach der DSGVO, die beim Rollout von Smart Metern zu beachten sind:

1. Hinweispflichten gem. Art. 13 u. 14 DSGVO
2. Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO
3. Rechenschaftspflicht und Dokumentation gem. Art. 5 DSGVO
(s. dazu Prüfkatalog Rechenschaftspflicht des Bayerisches Landesamt für
Datenschutzaufsicht)
4. Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO, wo erforderlich
Beispiel: die Smart Meter Gateway Administration ist i. d. Regel Auftragsverarbeitung
5. Datenschutzfolgeabschätzung gem. Art. 35 DSGVO

Der Datenschutz nimmt beim Smart Meter Rollout ein bedeutende Rolle ein. Mit der DSGVO hat Datenschutz Compliance sogar einen noch höheren Stellenwert bekommen. Meine Empfehlung: nehmen Sie Datenschutz und die Bestimmungen der DSGVO ernst und konsultieren Sie so früh wie möglich im Rollout Prozess Ihren internen Datenschutzbeauftragten und/oder ziehen Sie einen erfahrenen Rechtsanwalt hinzu. Im Zweifel ist Compliance immer kostengünstiger als Incompliance!

Rechtsanwalt Gerold Hübner, Ingolstadt

Abmahnwelle wegen Google Fonts

3 Antworten

Ingolstadt, 12.10.2022: Viele Betreiber von Websites erhalten derzeit Abmahnungen, weil sie durch die dynamische Einbindung von Google Fonts angeblich gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hätten. Diese Abmahnungen stellen sich u. E. in vielen Fällen als rechtsmissbräuchlich dar. Im Folgenden geben wir Ihnen Hinweise zu unserer Einschätzung und zum weiteren Vorgehen.

Hintergrund:

Bei Google Fonts handelt es sich um einen kostenlosen Service von Google, der über eintausend Fonts zur Einbindung auf einer Website zur Verfügung stellt (https:// fonts. google. com/). Diese Einbindung der Google Fonts kann lokal oder dynamisch erfolgen. Bei einer dynamischen Einbindung kommt es regelmäßig dazu, dass der Browser des Website Besuchers einen oder mehrere Fonts vom Google Service in den USA im Hintergrund nachlädt. Dabei wird auch die dynamische IP-Adresse des Benutzers an Google übertragen. Da die IP-Adresse nach der Legaldefinition in Art. 4 Ziff. 1 DSGVO ein personenbeziehbares Datum ist, verstößt es gegen die DSGVO, wenn die IP-Adresse ohne vorherige Zustimmung des Betroffenen an Google in den USA übertragen wird. Das hat das Landgericht München kürzlich so entschieden (Urteil vom 20. Jan. 2022 – Az. 3 O 17493/20 -). In diesem Fall hat das Gericht dem Kläger zudem einen immateriellen Schadensersatz gem. Art. 82 Abs. 1 der DSGVO i. H. von 100,- € zugesprochen. Fraglich ist jedoch, was eine für einen immateriellen Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO ausreichende Intensität einer Verletzung des allgemeinen Persönlichkeitsrechts sein kann. Nach Ansicht des Landgerichts München soll ein bloßer „Kontrollverlust“ einer dynamischen IP-Adresse an Google und/oder ein damit verbundenes „empfundenes individuelles Unwohlsein“ bereits ausreichen. Diese umstrittene Entscheidung dient derzeit offensichtlich einigen Rechtsanwälten als Grundlage dafür, massenhaft Betreiber von Websites mit dynamischer Einbindung von Google Fonts abzumahnen.

Rechtliche Einschätzung

Aus rechtlicher Sicht sind diese Massenabmahnungen in vielerlei Hinsicht problematisch. Vieles spricht dafür, dass sie rechtsmissbräuchlich und daher unwirksam sind. Denn ganz offensichtlich rufen diese „Abmahner“ Websites mit dynamisch eingebundenen Google Fonts ganz gezielt nur deshalb auf, um einen Verstoß gegen die DSGVO zu konstruieren. Und zwar primär in der Absicht einen immateriellen Schadensersatz gem. Art. 82 Abs. 1 DSGVO geltend zu machen. Bei dieser Konstellation kann man ausschließen, dass ein solcher Nutzer durch die von ihm wissentlich und willentlich ausgelöste Übertragung seiner IP-Adresse an Google in den USA in seinem allgemeinen Persönlichkeitsrecht verletzt ist.

Im Übrigen hat inzwischen das LG Ravensburg mit Beschluss vom 30.06.2022 – 1 S 27/22 – den EuGH mit einer sog. Vorabentscheidungsfrage um rechtsverbindliche Klärung gebeten, wie der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO auszulegen ist:

„Ist der Begriff des immateriellen Schadens in Artikel 82 Abs. 1 DSGVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Internet für einen Zeitraum von wenigen Tagen, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?“

Das LG Ravensburg sagt in seinem Beschluss selbst, dass es die Auffassung vertrete, “… für die Bejahung eines immateriellen Schadens müsse eine Bagatellgrenze überschritten sein, die bei einem lediglich kurzfristigen Verlust der Datenhoheit, der keinerlei spürbare Nachteile für die betroffenen Personen verursacht habe, nicht überschritten sei.

Folgt der EuGH dem wohlbegründeten Vorlagebeschluss der LG Ravensburg, was aus Sicht des Autors ausgesprochen wahrscheinlich ist, wird die aktuelle Abmahnwelle damit erledigt sein. Die Gerichte werden weitere Entscheidungen in vergleichbaren Fällen bis zur Entscheidung des EuGH aussetzen.

Empfehlung

Wenn Sie eine Abmahnung durch einen Rechtsanwalt erhalten, sollten Sie die Sache aber trotzdem nicht einfach auf sich beruhen lassen. Wichtig wäre statt einer dynamischen Einbindung von Google Fonts unverzüglich auf eine datenschutzfreundlichere lokale Lösung zu wechseln, die von Google ebenfalls unterstützt wird. Denn wenn die Fonts auf dem lokalen Webserver liegen, werden Fonts von dort nachgeladen und es kommt nicht zu einer Übertragung der IP-Adresse an Google in den USA. Darüber hinaus wäre es wichtig, selbst einen Rechtsanwalt einzuschalten um die mit den Abmahnungen geltend gemachten Ansprüche abzuwehren.

Gerold Hübner
Rechtsanwalt | Of Counsel

Gastbeitrag: Aktive Datenschutzkontrollen durch die Aufsichtsbehörden nehmen zu!

Kommentar verfassen

München, 09.08.2021: Unser Kooperationspartner im Bereich Datenschutzrecht, das Institut für Datenschutzrecht – Weller, dort dessen Geschäftsführer Herr Rechtsanwalt Sascha Weller, informiert in diesem Gastbeitrag über die weiterhin zunehmenden aktiven und meist ohne konkreten Anlass erfolgenden Datenschutzkontrollen der Aufsichtsbehörden:

Die Aufsichtsbehörden verstärken weiterhin die Datenschutzkontrollen. So kam es nun auch dazu, dass ein Unternehmen aus Niedersachsen 65.500 € Bußgeld zahlen musste, da es eine veraltete Software benutzt hatte, die Passwörter nicht angemessen absicherte.

Was war passiert?

Anlass des Verfahrens war eine Meldung eines Unternehmens an die Aufsichtsbehörde hinsichtlich eines Datenschutzvorfalls. Diese Meldung wurde zum Anlass genommen, weitere Prüfungen beim betroffenen Unternehmen durchzuführen. So wurde beispielsweise auch dessen Webseite unter technischen Gesichtspunkten überprüft. Hierbei stellte sich heraus, dass auf der Webseite eine Anwendung eingesetzt wurde, deren Version veraltet war und nicht mehr mit Sicherheitsupdates versorgt wurde. Die weiteren Ermittlungen der Aufsichtsbehörde ergaben, dass die in der Datenbank abgelegten Passwörter zwar „mit der kryptografischen Hashfunktion MD5 gesichert“ waren, diese jedoch nicht für den Einsatz mit Passwörtern ausgelegt ist. Hierdurch wäre eine Berechnung der Klartext-Passwörter und somit weitere Angriffsvektoren möglich gewesen. Die Aufsichtsbehörde kam somit zum Ergebnis, dass die vom betroffenen Unternehmen ergriffenen Maßnahmen nicht dem Schutzbedarf der DSGVO angemessen waren und setzte eine Geldbuße in Höhe von 65.500 € fest.

Praxisempfehlung:

Bereits seit Einführung der DSGVO im Jahr 2018 haben die Aufsichtsbehörden immer wieder angekündigt, auch aktive Prüfungen in den Unternehmen durchzuführen. Diese Ankündigung scheint zwischenzeitlich auch immer häufiger in die Praxis umgesetzt zu werden. Der oben geschilderte Fall einer aktiven Prüfung stellt zwischenzeitlich keinen Einzelfall mehr dar. Vielmehr ist davon auszugehen, dass dies in den kommenden Jahren wohl eher die Regel werden dürfte.

Ich werde Sie diesbezüglich natürlich weiter auf dem Laufenden halten!

Sascha Weller, Rechtsanwalt und externer Datenschutzbeauftragter, Institut für Datenschutzrecht – Weller