Elektromobilität & Datenschutz
Bereits vor einem Jahr warnte Peter Schaar, Bundesbeauftragter für Datenschutz und Informationssicherheit, eindringlich davor, die datenschutzrechtlichen Vorgaben beim Ausbau der Ladeinfrastruktur zu vernachlässigen:
»Die neu entstehende Infrastruktur aus Ladesäulen, die Anbindung an intelligente Stromnetze sowie an elektronische Kommunikationsdienste darf nicht zu einer Kontrolle des Fahrverhaltens der Nutzer von Elektromobilen führen. So sehr ich auch nachhaltige Mobilitätskonzepte begrüße, dürfen über den Umweg Elektromobilität keine umfangreichen Bewegungsbilder der Nutzer entstehen, aus denen sich Rückschlüsse auf Gewohnheiten und Aufenthaltsorte der Betroffenen ziehen lassen. Durch frühzeitige Berücksichtigung von Datenschutzbelangen können umweltfreundliche Mobilitätskonzepte ohne Abstriche am informationellen Selbstbestimmungsrecht realisiert werden.«
Das Bundesdatenschutzgesetz (BDSG) normiert hierzu einige Grundsätze. Ergänzend wurden inzwischen sektorenspezifische Datenschutzvorgaben in das Energiewirtschaftsgesetz (EnWG) aufgenommen. In diesem Beitrag möchten wir die wesentlichen Grundsätze des Datenschutzes vorstellen: Die Grundsätze der Datenvermeidung und -sparsamkeit, des Löschens und der Einwilligung.
Grundsatz der Datenvermeidung und Datensparsamkeit
Stets sind bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten und der Auswahl und Gestaltung von Datenverarbeitungssystemen so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen. Personenbezogene Daten sind zu anonymisieren und zu pseudonymisieren, soweit dies nach dem jeweiligen Verwendungszweck möglich ist und hierdurch kein unverhältnismäßiger Aufwand entsteht. Dabei beinhaltet gerade das Gebot der Datensparsamkeit auch eine Reduzierung der Anzahl der Nutzung von Daten, nicht nur eine Reduzierung der Anzahl der verarbeiteten Daten. Eine wiederholte Verwertung von Daten ohne Erzeugung eines Mehrwertes widerspricht demnach ebenfalls diesem Grundsatz. Das Prinzip der Datenvermeidung soll bereits durch technische Ausgestaltung erreicht werden, sofern der angestrebte Endzweck dadurch noch erzielt werden kann. Davon getrennt ist stets zu überprüfen, ob die Datenerhebung bzw. -verarbeitung tatsächlich erforderlich ist (Erforderlichkeitsgrundsatz).
Grundsatz des Löschens
Weiterhin sind personenbezogene Daten in bestimmten Fällen verpflichtend zu löschen. Diese Pflicht korrespondiert mit einem weiteren wichtigen Grundsatz, der Datensicherheit. Bei existenten Daten muss demnach entweder sichergestellt sein, dass die Daten nur von den berechtigten Personen verwendet werden oder sie sind dem nicht berechtigten Personenkreis durch Löschung vorzuenthalten. Beispielsweise sind personenbezogene Daten zu löschen, wenn sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Dies ist z.B. der Fall, wenn Vertragsbeziehungen beendet sind. Außerdem besteht die grundsätzliche Pflicht der verantwortlichen Stelle, Empfänger zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden. Diese Pflicht gilt jedoch nur, soweit dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen. Das Energierecht sieht in diesem Kontext eine spezielle Löschpflicht für Daten vor, die im Zusammenhang mit Anhaltspunkten für die rechtswidrige Inanspruchnahme eines Messsystems oder seiner Dienste erhoben wurden.
Grundsatz der Einwilligung
Die Erhebung von Daten bedarf (falls keine gesetzliche Erlaubnis besteht) grundsätzlich der Einwilligung durch den Betroffenen. Das Legitimationsbedürfnis einer Datenverarbeitung besteht für jeden Schritt der üblichen vier Datenverarbeitungsphasen (Erhebung, Speicherung, Nutzung sowie Weitergabe und Übermittlung der Daten). Dabei sind die unterschiedlichen Phasen über ihren jeweiligen Zweck gebunden(Zweckbindungsgrundsatz), so z.B. um die Überwachung der Parkdauer und die Berechnung der Parkgebühren zu ermöglichen.
Die EG-Datenschutzrichtlinie definiert die Einwilligung der betroffenen Person als »jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden«. Aus dieser EG-rechtlichen Vorgabe haben sich auch die nationalen (und im Ergebnis strengeren) Vorgaben nach BDSG herausgebildet. Eine wirksame Einwilligung setzt Freiwilligkeit, Informiertheit, Schriftlichkeit sowie/und die jederzeitige Möglichkeit des Widerrufs voraus.
Ausblick
Die Angst vor einem »gläsernen Autofahrer« muss ernst genommen werden. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder und der Düsseldorfer Kreis veröffentlichten im Juni 2012 eine Orientierungshilfe für datenschutzgerechtes Smart Metering.
Es ist insbesondere mit Blick auf die neuen Verordnungsermächtigungen im EnWG zu erwarten, dass in Zukunft weitergehende, sehr differenzierte Bestimmungen zum Datenschutz zu beachten sind. Die Aufgabe dieser Normen wird es dann sein, die Notwendigkeit einer fortschrittlichen und benutzerfreundlichen Ladeinfrastruktur auf der einen und dem Schutz des Persönlichkeitsrechts des Nutzers auf der anderen Seite zu einem guten Ausgleich zu bringen.
Carolin Klein und Christian A. Mayer
⇢ Noerr LLP
⇢ www.noerr.com
