Smart Meter erheben und übertragen sensible Daten

Unter Smart Metern versteht man sog. intelligente Messsysteme gem. der Definition in § 2 Nr. 7 des Messstellenbetriebsgesetzes (MsbG). Smart Meter sind sinnvoll und notwendig, um Energienetze intelligent und verbrauchsabhängig zu steuern, damit Energie, insbesondere solche aus dezentralen und wetterabhängigen Energiequellen wie Wind- und Sonnenenergie, effizienter genutzt werden kann. Sie sind deshalb ein wichtiges Element der Energiewende.

Das MsbG wird derzeit novelliert, gerade um den Rollout von Smart Metern zu beschleunigen und um Smart Meter Schritt für Schritt zukünftig für alle Verbraucher verbindlich zu machen (siehe Gesetzentwurf der Bundesregierung: „Entwurf eines Gesetzes zum Neustart der Digitalisierung der Energiewende“)

Smart Meter erheben und übertragen eine Reihe sensibler Informationen: Anhand der von Smart Metern verarbeiteten Verbrauchs-, Erzeugungs- und Einspeisedaten lassen sich z. B. Verbrauchsprofile von Haushaltsmitgliedern erstellen, die Rückschlüsse darauf zulassen, wann das Mittagessen zubereitet oder Wäsche gewaschen wird, ob die Bewohner verreist sind, wann sie zu Bett gehen. Sogar Rückschlüsse darauf, welches Programm im Fernsehen angeschaut wurde, sind grundsätzlich möglich, da Fernsehgeräte je nach dargestelltem Bild einen leicht unterschiedlichen Stromverbrauch haben, der messbar ist.

Klar ist, dass die von Smart Metern verarbeiteten Daten in aller Regel einen Personenbezug haben und im Interesse der Betroffenen Haushalte und Verbraucher geschützt werden müssen. Sie unterliegen unzweifelhaft den Datenschutzregulierungen.

Datenschutzgrundverordnung oder Messstellenbetriebsgesetz?

Das Messstellenbetriebsgesetz vom 29. August 2016 enthält in §§ 49ff bereits ausführliche bereichsspezifische Regelungen zur Verarbeitung personenbezogener Daten in intelligenten Energienetzen.

Nachdem seit 25. Mai 2018 die europäische Datenschutzgrundverordnung als unmittelbar anwendbares Datenschutzrecht in allen EU Mitgliedsstaaten gleichermaßen gilt, stellt sich die Frage, welches Datenschutzrecht nun auf die für die Verarbeitung personenbezogener Daten durch Smart Meter und in intelligenten Energienetzen anwendbar ist. Weiterhin die bereichsspezifischen Datenschutzvorschriften des MsbG oder die DSGVO? Oder beides… ?

Was könnte das MsbG mit dem Bundesdatenschutzgesetz gemeinsam haben?

Derzeit enthält das Bundesdatenschutzgesetz (BDSG) in § 4 eine spezielle Regelung zur Videoüberwachung für private Zwecke. Da die DSGVO als unmittelbar geltendes EU Recht das Datenschutzrecht abschließend regelt und keine sog. Öffnungsklausel für die Videoüberwachung enthält, kann der nationale Gesetzgeber hierzu keine eigenen gesetzlichen Regelung erlassen, § 4 BSDG ist damit europarechtswidrig (so BVerwG, Urteil vom 27.03.2019 – 6 C 2.18 -). Die Videoüberwachung im privaten Sektor richtet sich somit ausschließlich nach den in der DSGVO für die Zulässigkeit der Verarbeitung von personenbezogenen Daten vorgesehenen Rechtsgrundlagen (hier: Art. 6 Abs. 1 lit. f DSGVO – Wahrnehmung berechtigter Interessen).

Beim MsbG haben wir eine vergleichbare Situation: Ebenso wenig wie für die Videoüberwachung für private Zwecke, enthält die DSGVO keine Öffnungsklausel für das Energierecht oder die Datenverarbeitung in intelligenten Netzen.

Dem vom Bundesverwaltungsgericht in seinem o. a. Urteil vom 27.03.2019 aufgestellten Grundsatz folgend, müssen die Datenschutzbestimmungen im MsbG somit genau so als europarechtswidrig angesehen werden wie § 4 BDSG.

DSGVO hat Vorrang vor den datenschutzrechtlichen Regelungen des MsbG

„Nach der Rechtsprechung des Gerichtshofs ist der Vorrang des EG-Rechts einer der Grundpfeiler des Gemeinschaftsrechts.“ (17. Erklärung zur Schlussakte des Vertrages von Lissabon).

Die Datenschutz Grundverordnung gilt seit dem 25.05.2018 unmittelbar, ohne Umsetzungsakt, in allen Mitgliedstaaten der Europäischen Union (gem. Art. 99 Abs. 2 DSGVO i. V. mit Art. 288 Abs. 2 Satz 1 und 2 des Vertrags über die Arbeitsweise der Europäischen Union in der am 1. Dezember 2009 in Kraft getretenen Fassung). Die DSGVO hat damit Vorrang vor den datenschutzrechtlichen Regelungen im MsbG (Vorrangprinzip).

Die datenschutzrechtlichen Bestimmungen in den §§ 49 ff. MsbG können somit nur noch ergänzend herangezogen werden, beispielsweise zur Unterstützung der Auslegung, als Argumentationshilfe für Interessenabwägungen oder zur Konkretisierung technisch-organisatorischer Maßnahmen. Die DSGVO gilt jedenfalls immer vorrangig.

Wichtig: Die Zulässigkeitsvoraussetzungen für die Verarbeitung personenbezogener Daten sind in Art. 6 Abs. 1 DSGVO abschließend geregelt. Als Rechtsgrundlage für die Zulässigkeit der Verarbeitung personenbezogener Daten kann nur noch auf die in der Datenschutz Grundverordnung geregelten Erlaubnistatbestände zurückgegriffen werden.

Eine mögliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten in intelligenten Netzen und durch Smart Meter wäre die Einwilligung der Betroffenen gem. Art. 6 Abs. 1 lit. a DSGVO. Die Einholung von Einwilligungen ist jedoch kompliziert, da die Betroffenen dazu umfassend aufgeklärt werden müssen, die Verantwortlichen die Einwilligungserklärungen dokumentieren müssen und die Betroffenen ihre Einwilligung jederzeit ohne Angabe von Gründen widerrufen können. Für die Marktbeteiligten ist das kaum praktikabel.

Eine weitere Möglichkeit wäre, die Verarbeitung auf Art. 6 Abs. 1 lit. c DSGVO zu stützen, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Soweit Einbau und Betrieb von Smart Metern nach § 29 MsbG verpflichtend werden, kann in einem solchen Szenario von einer rechtlichen Pflicht ausgegangen werden. Allerdings wird es noch einige Jahre dauern, bis die Nutzung von Smart Metern tatsächlich für alle Verbraucher flächendeckend vorgeschrieben ist. Eine gewisse Anzahl von Smart Metern wird bis auf Weiteres auf freiwilliger Basis ausgerollt werden. Bis zum flächendeckenden verpflichtenden Rollout ist auf diese Rechtsgrundlage somit auch nur eingeschränkt zurückzugreifen.

Somit bleibt noch die Wahrnehmung berechtigter Interessen gem. Art. 6 Abs. 1 lit. f DSVGO als geeignete Rechtsgrundlage anzusehen. So, wie es das BVerwG in seinem o. a. Urteil auch für die Videoüberwachung für private Zwecke entschieden hat.

Die Geltung der DSGVO bringt zudem eine Reihe wichtiger Grundsätze, Pflichten und Rechte mit sich, deren Einhaltung der Verantwortliche beachten muss. Die Verletzung von Bestimmungen der DSGVO kann zudem empfindliche Bußgelder nach sich ziehen.

Hier eine Aufzählung der wichtigsten Verpflichtungen (nicht abschließend) nach der DSGVO, die beim Rollout von Smart Metern zu beachten sind:

1. Hinweispflichten gem. Art. 13 u. 14 DSGVO
2. Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO
3. Rechenschaftspflicht und Dokumentation gem. Art. 5 DSGVO
(s. dazu Prüfkatalog Rechenschaftspflicht des Bayerisches Landesamt für
Datenschutzaufsicht)
4. Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO, wo erforderlich
Beispiel: die Smart Meter Gateway Administration ist i. d. Regel Auftragsverarbeitung
5. Datenschutzfolgeabschätzung gem. Art. 35 DSGVO

Der Datenschutz nimmt beim Smart Meter Rollout ein bedeutende Rolle ein. Mit der DSGVO hat Datenschutz Compliance sogar einen noch höheren Stellenwert bekommen. Meine Empfehlung: nehmen Sie Datenschutz und die Bestimmungen der DSGVO ernst und konsultieren Sie so früh wie möglich im Rollout Prozess Ihren internen Datenschutzbeauftragten und/oder ziehen Sie einen erfahrenen Rechtsanwalt hinzu. Im Zweifel ist Compliance immer kostengünstiger als Incompliance!

Rechtsanwalt Gerold Hübner, Ingolstadt