Datenschutzrecht im Smart Metering unter Berücksichtigung der Blockchain-Technologie. Viktoria Lehner
Am Themenfeld ‚Smart Metering‘ zeigt sich plakativ der Koordinationsbedarf zwischen Regulierungs- und Datenschutzrecht.40 In den §§ 49ff. MsbG wurde ein sektorspezifisches Datenschutzrecht für den Bereich des intelligenten energiewirtschaftlichen Messwesens geschaffen, um einer Zersplitterung der Rechtsmaterie vorzubeugen und deren Grundrechtsrelevanz zu berücksichtigen.41 Das MsbG wurde allerdings zu einem Zeitpunkt erlassen, zu dem sich das europäische Datenschutzrecht erheblich im Umbruch befand. Am 25.5.2018 hat die Datenschutz-Grundverordnung42 (DS-GVO) nach zweijähriger Übergangszeit gemäß Art. 94 Abs. 1, 99 Abs. 2 UAbs. 1 DS-GVO Geltung erhalten und ist nach Art. 99 Abs. 2 UAbs. 2 DS-GVO i.V.m. Art. 288 Abs. 2 AEUV in all ihren Teilen verbindlich sowie unmittelbar in jedem Mitgliedstaat anwendbar.43 Sie schützt die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf den Schutz personenbezogener Daten nach Art. 1 Abs. 2 DS-GVO.
Trotz des grundsätzlichen Anwendungsvorrangs der DS-GVO als Verordnung hat der nationale Gesetzgeber durch sog. Öffnungsklauseln in vielen Konstellationen die Möglichkeit, spezifischere nationale Regelungen zu schaffen, zu erhalten oder auch Betroffenenrechte zu beschränken, beispielsweise nach Maßgabe von Art. 6 Abs. 2, Abs. 3 oder Art. 23 DS-GVO.
Der deutsche Gesetzgeber hat von dem ihm eingeräumten Handlungsspielraum in Teilen bereits Gebrauch gemacht. Mit dem Datenschutzanpassungs- und Umsetzungsgesetz44 (DSAnpUG-EU) wurde unter anderem das vollkommen neu gefasste Bundesdatenschutzgesetz (BDSG n.F.) erlassen. Die datenschutzrechtlichen Betroffenenrechte wurden in §§ 32–37 BDSG n.F. spezifischer ausgestaltet.45 Das BDSG n.F. ist dabei weiterhin ein Auffanggesetz, das bereichsspezifische nationale Datenschutzregelungen zulässt und gegenüber diesen subsidiär ist.46
Mit dem ‚Zweiten Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680‘ (Zweites Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – 2. DSAnpUG-EU), das am 25.11.2019 im Bundesgesetzblatt verkündet wurde47, wurde der deutsche Kanon der bereichsspezifischen Datenschutznormen weiter an die DS-GVO angepasst. Dieses umfangreiche Artikelgesetz sieht bereichsspezifische Änderungen an datenschutzrechtlich relevanten Normen in insgesamt 155 Fachgesetzen vor. Unter anderem wurde in Art. 90 des 2. DSAnpUG-EU eine – größtenteils redaktionelle – Anpassung der datenschutzrechtlichen Vorgaben des MsbG vorgenommen.48
Durch die Geltung der DS-GVO und die jeweils ergänzend heranzuziehenden nationalen Regelungen wurde das Datenschutzrecht in ein komplexes Mehrebenensystem umgewandelt, das sich durch bislang noch weitgehend ungelöste Abgrenzungsfragen auszeichnet. Auch das Verhältnis der §§ 49ff. MsbG zur DS-GVO bedarf noch einer grundlegenden methodischen Klärung49, obwohl das MsbG seit Herbst 2016 in Kraft ist und der Smart-Meter-Rollout bereits in Teilen gestartet ist. Auf den insgesamt 146 Seiten des Regierungsentwurfs zum Gesetz zur Digitalisierung der Energiewende vom 17.2.201650 findet die DS-GVO keine Erwähnung. Es wird lediglich konstatiert, dass der Entwurf mit dem geltenden EU-Recht und Völkerrecht vereinbar sei.51
38 So auch Bräuchle, Datenschutzprinzipien in IKT-basierten kritischen Infrastrukturen, S. 34. 39 Wolff, in: Gundel/Lange, Digitalisierung der Energiewirtschaft, S. 95 (98). 40 Vgl. Schneider, in: Körber/Kühling, Regulierung, S. 113 (134). 41 BT-Drs.18/7555, S. 3; Karsten/Leonhardt, RDV 2016, 22. 42 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rats vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119, S. 1. 43 Die DS-GVO wurde zuletzt angepasst durch das Corrigendum 8088/18 des Europarats v. 19.4.2018, ABl. L 127 v. 23.5.2018; die Berichtigung der deutschen Sprachfassung erfolgt ab S. 47 des Anhangs zu diesem Corrigendum. 44 Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) v. 30.6.2017, BGBl. 2017 I, S. 2097. 45 Vgl. Dix, in: Simitis/Hornung/Spiecker gen. Döhmann, DSGVO, Art. 23 Rn. 28. 46 Vgl. § 1 Abs. 2 BDSG n.F.; BT-Drs. 18/11325, S. 79. 47 BGBl. 2019 I, S. 1626. 48 Vgl. BMI, Referentenentwurf zum 2. DSAnpUG-EU v. 21.6.2018, S. 368–373; BT-Drs. 19/4674, S. 321–325; BGBl. 2019 I, S. 1679–1681. 49 Keppeler, EnWZ 2016, 99; Bretthauer, ZD 2016, 267; Bretthauer, EnWZ 2017, 56; Diedrich, in: Steinbach/Weise, MsbG, § 52 Rn. 2; Bartsch/Rieke, EnWZ 2017, 435 (441). 50 BT-Drs. 18/7555. 51 BT-Drs. 18/7555, S. 65.
D. Forschungsfragen und Gang der Untersuchung
Das vorliegende Werk nimmt die beschriebenen Transformations- und Digitalisierungsprozesse im Energiesektor, der Informationstechnologie und dem Datenschutzrecht zum Anlass, die Auswirkungen auf datenschutzrechtliche Betroffenenrechte bei intelligentem Messstellenbetrieb (‚Smart Metering‘) zu hinterfragen – sowohl mit als auch ohne Einsatz der Blockchain-Technologie.
Im Rahmen der Ausführungen wird auf den Strommarkt als relevanten und am stärksten regulierten Energiemarkt Bezug genommen, auch wenn die Ergebnisse grundsätzlich auf den Gassektor und in Teilen ebenfalls auf die Bereiche Fernwärme- und Wasserversorgung übertragbar sind.52 Angesichts der oben bereits angesprochenen Problemkreise soll dabei das strukturelle und materielle Verhältnis zwischen dem europäischen Datenschutzrecht nach der DS-GVO und dem bereichsspezifischen Datenschutzrecht gemäß §§ 49ff. MsbG für die Erlaubnistatbestände und die datenschutzrechtlichen Betroffenenrechte herausgearbeitet werden.
Im zweiten Teil dieser Arbeit werden die energiewirtschaftlichen, technischen und energiedatenschutzrechtlichen Grundlagen für die später darauf aufbauenden Ausführungen gelegt.
Zunächst sollen einige realanalytische Vorüberlegungen zu Smart Metering im Kontext der intelligenten Energieversorgung erfolgen (Teil 2 A.). In einem Überblick werden zudem die Funktionsweise von Blockchain-Netzwerken und deren Einsatzmöglichkeiten in der Energiewirtschaft unter dem derzeitigen regulatorischen Rechtsrahmen dargestellt (Teil 2 B. und C.). Das durch das Gesetz zur Digitalisierung der Energiewende geschaffene bereichsspezifische Normkonzept der §§ 49ff. MsbG wird in Teil 2 D. skizziert. Es soll ferner gezeigt werden, dass energiewirtschaftliche Daten aus einem Smart Meter Personenbezug i.S.d. Art. 4 Nr. 1 DS-GVO aufweisen, sofern diese nicht vollständig anonymisiert werden, und somit eine sachliche Anwendbarkeit des Datenschutzrechts nach Art. 2 Abs. 1 DS-GVO bedingen (Teil 2 E.).
Daran anschließend wird in Teil 3 untersucht, auf welche fakultative Öffnungsklauseln aus dem Kanon der DS-GVO die datenschutzrechtlichen Regelungen des MsbG gestützt werden können und welche Anforderungen an die nationalen Spezifikationen der §§ 49ff. MsbG bei unionsrechtskonformer Auslegung sowie unter Berücksichtigung bisheriger Kontinuitätslinien der unter der Datenschutz-Richtlinie53 (DS-RL) ergangenen Rechtsprechung des EuGH54 zu stellen sind (Teil 3 A.). In einem Überblick soll auf die spezifischen Erlaubnistatbestände des MsbG und das Problem der Mehrrelationalität von Smart-Meter-Daten eingegangen werden (Teil 3 B.). Für die im MsbG statuierten Betroffenenrechte, insbesondere die Informations- , Auskunfts- und Löschungsrechte, wird sodann konkret für die Einzelnorm geprüft, ob die zuvor entwickelten Spezifizierungsmaßstäbe eingehalten werden, und, falls dies nicht der Fall sein sollte, welche Konsequenzen sich hieraus ergeben (Teil 3 C.).
In Teil