Rechtliche Aspekte der Digitalisierung in der Siedlungswasserwirtschaft

Das Smart-Metering-Konzept soll es ermöglichen, den Wasserverbrauch der einzelnen Haushalte exakt und minutengenau zu erfassen. Ob dies nun minütlich oder auch nur viertelstündlich erfolgt – die so gewonnenen Daten geben präzise Aufschluss darüber, wie viel Wasser zu welchem Zeitpunkt in welchem Haushalt verbraucht wird. Dies lässt natürlich Rückschlüsse auf Anwesenheit, Schlaf- und Wachzeiten, Haushaltsgewohnheiten, das Badeverhalten sowie auf die Zahl der im Haushalt anwesenden Personen zu. Zwar ist nicht ersichtlich, welchen konkreten Personen konkrete Wassernutzungen individuell zuzuordnen sind. In der Regel kann jedoch davon ausgegangen werden, dass die im Haushalt lebenden und auch gemeldeten Personen großteils die Wasserverbraucher sind.

Wasserverbrauchsdaten sind grundsätzlich objektbezogene Informationen und als solche nicht unbedingt datenschutzrelevant. Denn die DSGVO gilt grundsätzlich nur für Datenverarbeitungen von personenbezogenen Daten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. IS des Art 4 Z 1 DSGVO wird eine natürliche Person als identifizierbar angesehen, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die Bestimmung der Identifizierbarkeit hat nach objektiven Merkmalen zu erfolgen. Das Ablesen des Wasserverbrauchs von Haushalten, wenn es minutengenau oder auch im Viertel-Stunden-Takt erfolgt, kann unter Umständen die Voraussetzungen dieses Datentatbestandes erfüllen. Namen, Kennnummern, Standortdaten sind die Anknüpfungspunkte dafür, dass es sich bei der minutengenauen Wasserverbrauchsablesung um personenbezogene Daten handelt, wenn der Kreis der Wasserverbraucher so klein ist, dass Rückschlüsse auf individuell bestimmbare Personen möglich sind. Diese Voraussetzung dürften bei Privathaushalten, aber auch bei Klein- und Kleinstunternehmen gegeben sein (Ehmann und Selmayr 2018, Rz 11 zu Art 4; Sydow 2018, Rz 13 zu Art 4). Datenschutzrechtlich irrelevant ist Smart Metering in öffentlichen Gebäuden, größeren Unternehmen, Bildungseinrichtungen, Gastronomiebetrieben ua.

Art 2 DSGVO legt den sachlichen Anwendungsbereich und die Ausnahmen davon fest. Die automatisierte Verarbeitung personenbezogener Daten ist ein zentrales Element des Smart-Metering-Konzepts. Die Wasserversorgung fällt unter keine der in Art 2 genannten Ausnahmen. Die DSGVO ist daher grundsätzlich anwendbar. Auch Art 3, die den räumlichen Anwendungsbereich festlegt, ist anwendbar. Die Wasserversorgung findet zweifelsfrei innerhalb des Territoriums der EU statt.

Die DSGVO ist daher in allen Fällen anwendbar, in denen eine Wasserverbrauchsmessung in sehr kurzen zeitlichen Abständen erfolgt und sich auf private Haushalte, Klein- und Kleinstunternehmen bezieht.

Die Rechte der Endverbraucher sind – wenigstens zum Teil – spiegelbildlich in den Pflichten der Wasserversorgungsunternehmer abgebildet. Diese Rechte und Pflichten sind in der DSGVO sehr detailliert geregelt. Sie in allen Einzelheiten zu erörtern, würde den Rahmen dieses Beitrages bei weitem sprengen. Daher sollen nur die wichtigsten Rechte und Pflichten sowie einzelne speziell für die Wasserversorgung relevante Aspekte herausgegriffen werden.

Zunächst ist zu unterscheiden, ob die Wasserversorgung durch ein privates Unternehmen oder eine „öffentliche Stelle“ durchgeführt wird. Der Begriff „öffentliche Stelle“ ist in der DSGVO nicht definiert. Die hM stellt dabei auf die Rechtsform und auf die Funktion ab (Ehmann und Selmayr 2018, Rz 20 zu Art 37; Feiler und Horn 2018, S. 31). Wird ein Wasserversorgungsunternehmen als Regiebetrieb einer Gemeinde, also von einer in die Gemeindeverwaltung integrierten Wirtschaftseinheit ohne institutionelle Selbstständigkeit vorgenommen, so handelt es sich zweifellos um eine öffentliche Stelle, da ein Regiebetrieb Teil der Gemeindeverwaltung ist. Ähnliches gilt für Gemeindeverbände, Wasserverbände, Agrargemeinschaften oder andere Körperschaften des öffentlichen Rechts. Privatrechtlich organisierte öffentliche Unternehmen, mögen sie auch im Eigentum einer Gebietskörperschaft stehen, erfüllen die Voraussetzungen als öffentliche Stelle aber nur begrenzt. Zwar zählt die Wasserversorgung im Sinne des Unionsrechts zu den „öffentlichen Diensten“, die nicht den gleichen Wettbewerbsregeln unterliegen wie andere Dienstleistungen, die am Markt angeboten werden. Da jedoch, wie gezeigt, Wasser (auch) ein wirtschaftliches Gut darstellt, das zu Erwerbszwecken veräußert werden kann, ist hier darauf abzustellen, ob in der Wasserversorgung in einer Region grundsätzlich ein Wettbewerb möglich ist. Das wird aufgrund der Wasserversorgungsgesetze der österreichischen Bundesländer grundsätzlich in weiten Teilen Österreichs zu bejahen sein (AA König 2016, S. 233). Der Unterschied zwischen einem privaten Wasserversorger und einer öffentlichen Stelle bezieht sich zunächst auf die Verpflichtung zur Benennung eines Datenschutzbeauftragten. Ein solcher muss bestellt werden, wenn die Datenverarbeitung von einer Behörde oder einer öffentlichen Stelle durchgeführt werden. Davon ausgenommen sind nur Gerichte im Rahmen ihrer justiziellen Tätigkeit. Private Unternehmen sind nur zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn ihre Kerntätigkeit in der umfangreichen regelmäßigen und systematischen Überwachung von Personen oder der umfangreichen Verarbeitung sensibler Daten oder strafrechtlich relevanter Daten besteht. Dies ist bei der Wasserversorgung zweifellos nicht der Fall. Ein weiterer Unterschied besteht in der Haftung. Bei Übertretung der DSGVO sieht diese drakonische Strafen vor. Die DSGVO hat es den Mitgliedstaaten überlassen, den Kreis der strafrechtlich Verantwortlichen zu bestimmen. Gemäß § 58 Abs 2 DSG 2018 können Geldbußen bis zu 20 Mio. € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Nach der österreichischen Datenschutzregelung sind die „öffentlichen Stellen“ von Strafen bei Übertretung der DSGVO befreit. Wenn also der Regiebetrieb einer Gemeinde oder ein Wasserverband die DSGVO verletzt, wird keine Strafe verhängt, bei einem privaten Wasserversorgungsunternehmen sehr wohl. Dass dies mitunter zu massiven Wettbewerbsverzerrungen führen kann, sei nur am Rande erwähnt.

Verweigert der Endverbraucher seine Einwilligung, so ist eine Verarbeitung der Wasserverbrauchsdaten nur unter bestimmten Konstellationen zulässig. Art 6 DSGVO erklärt eine Datenverarbeitung ohne Einwilligung des Betroffenen für zulässig, wenn die Datenverarbeitung für die Erfüllung eines Vertrages unumgänglich ist. Nun ist die Wasserversorgung schon derzeit auch ohne das Smart-Metering-Konzept möglich, hier müsste also die technische Infrastruktur der Wasserversorgung so umgebaut werden, dass ein datenverarbeitungsfreies Ablesen des Zählerstandes so gut wie nicht mehr möglich ist. In diesem Fall könnte zwar der Endkunde seine Einwilligung verweigern, es könnten ihm dann aber allfällige Mehrkosten verrechnet werden.

Nach Art 6 Abs 1 lit c DSGVO ist eine Verarbeitung auch gegen den Willen der betroffenen Person zulässig, wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Dazu bedürfte es aber klarer gesetzlicher Grundlagen in den Wasserversorgungsgesetzen der Länder bzw im WRG. Dies scheint derzeit aber Zukunftsmusik zu sein.

Jede betroffene Person hat das Recht, über die Datenverarbeitung informiert zu werden (Art 15 DSGVO; Haidinger 2016). Der betroffenen Person sind dazu alle relevanten Hinweise darüber zu geben, was gespeichert wird, in welcher Weise dies geschieht und wie lange die Speicherung andauert. Über Antrag des Endverbrauchers sind diesem die gespeicherten Daten zu übermitteln. Stellt sich dabei heraus, dass die Daten falsch sind, so hat der Kunde das Recht auf Berichtigung bzw auf Löschung (Art 16 DSGVO). Ist die Speicherung von personenbezogenen Daten nicht mehr notwendig, so hat der Kunde das Recht auf Löschen („Recht auf Vergessenwerden“, Art 17 DSGVO; Sydow 2018 zu Art 17). Es ist ein Grundsatz der DSGVO, dass Daten nur im absolut notwendigen Umfang verarbeitet werden (Art 5 Abs 1 lit c DSGVO) und dass diese nach Erfüllung des Zwecks der Verarbeitung zu löschen sind. Das Prinzip der Datenminimierung beschränkt die Wasserversorgungsunternehmen ausschließlich auf Daten des Wasserverbrauchs, der technischen Infrastruktur und der wichtigsten personenbezogenen Daten des Kunden. Ausnahmen für die Wasserversorgung gibt es nicht.

Von besonderer Bedeutung für die Verwendung intelligenter Messgeräte in der Siedlungswasserwirtschaft ist der Grundsatz der Integrität und Vertraulichkeit (Ehmann und Selmayr 2018, Rz 28 zu Art 5). Alle Daten sind vor unbefugtem Zugriff zu schützen. Der Datenverantwortliche, das ist in den meisten Fällen das Wasserversorgungsunternehmen, ist auch verpflichtet, Maßnahmen zu setzen, die der unbeabsichtigten Löschung, Zerstörung oder Schädigung von Daten entgegenwirken sollen. In den §§ 32–35 DSGVO sind dazu sehr detailliert konkrete Handlungspflichten für den Verantwortlichen normiert. Dazu gehört auch die Pflicht zur Erstellung einer Datenschutzfolgeabschätzung, also einer datenschutzbezogenen Risikoanalyse (Trieb 2016). Handelt es sich um eine öffentliche Stelle, so ist ein Datenschutzbeauftragter zu bestellen, dem dabei wichtige Mitwirkungsaufgaben zukommen.

Für die Wasserversorgung hat der Grundsatz der Integrität und Vertraulichkeit zweierlei Bedeutung: Zunächst müssen sämtliche erfassten Daten auf einem Server gesammelt werden, solange sie für Informationszwecke oder zur Berechnung der anfallenden Kosten gebraucht werden. Von diesem aus können sie im Fall von Störungen der Wasserversorgung jederzeit wieder rekonstruiert werden. Gleichzeitig hat dieser Server so gegen Angriffe von außen geschützt zu sein, dass ein widerrechtlicher Zugriff auf die personenbezogenen Daten durch Dritte nicht möglich ist. Hier ist zweifellos Verschlüsselung oder Pseudonymisierung der entsprechenden Informationen auf dem Speichermedium unumgänglich.

Das Smart-Metering-Konzept bringt nicht nur für die Wasserversorger große Vorteile, sie unterstützt auch den Wasserkunden beim rationalen Umgang mit dem Wasser. Aus diesem Grund müssen ihm auch die Verbraucherdaten zugänglich gemacht werden. Nur so kann auch der Kunde langfristig einen wirklichen Nutzen im Umstieg auf ein intelligentes Messgerät erzielen. In den letzten Jahren sind Smartphone und Tablet für die meisten Menschen selbstverständlich geworden – weitere technische Optimierungen sind zu erwarten. Sämtliche Informationen, die für das tägliche Leben von Bedeutung sind, werden jetzt schon von sehr vielen Menschen darauf gespeichert. Daher bietet es sich geradezu an, eine eigene App zu installieren, die ein unkompliziertes Überblicken des eigenen Wasserverbrauchs ermöglicht. Da für einen Teil der Wasserkunden die in Rede stehenden Messwerte personenbezogene Daten iSd DSGVO sind, erfordert dies für diese Personengruppe neue Sicherheits- und Verschlüsselungsanforderungen. Denn eine Bereitstellung der aufgenommenen Daten im Internet ist stets mit gewissen Sicherheitsrisiken verbunden. Dies gilt besonders für eine App, die auf ein Smartphone geladen wird. Verbrauchserfassungsdaten genießen aber in der österreichischen und in der europäischen Rechtsordnung besonderen Schutz, weshalb Vorkehrungen getroffen werden müssen, um Hacking bzw Datenlecks weitgehend zu vermeiden. Art 32 Abs 1 DSGVO enthält eine demonstrative Aufzählung der erforderlichen Sicherheitsvorkehrungen. Diese sind zwar allgemein gehalten, da sie offen für den weiteren technischen Fortschritt sein müssen, wichtige Maßnahmen sind aber die Pseudonymisierung und Verschlüsselung der entsprechenden Daten sowie Maßnahmen einer dauerhaften Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme bei der Datenverarbeitung. Dazu gehört auch die rasche Wiederherstellbarkeit von Daten nach einem Zwischenfall sowie die Einrichtung von Verfahren zur Überprüfung, Bewertung und Evaluierung der risikominimierenden Maßnahmen. Sinnvoll für Smartphone-Anwendungen ist die inzwischen gängige „Ende-zu-Ende-Verschlüsselung“. Nach dieser Methode haben nur der Kunde und der Wasserversorger den Schlüssel zur Dekodierung. Dazu muss für die Authentifizierung des jeweiligen App-Nutzers ein persönlich zu beantragendes Login installiert werden. Erst nach Eingabe der Benutzerdaten und eines Kennworts wird der volle Zugriff auf die erfassten Daten gewährt. Das bloße Herunterladen der App und der Angabe des Namens ist nicht ausreichend. Hier wird vor Einführung des Smart-Metering-Konzepts in der Wasserversorgung ein professionelles informationstechnologisches Konzept zu entwickeln sein. Dabei wird sich für das Wasserversorgungsunternehmen die Frage nach einer Kosten-Nutzen-Analyse stellen, wenn der Anteil der privaten Haushalte und der Kleinunternehmen an der Zahl der Kunden gering ist. Treten Störungen oder Fehler auf, so enthält die DSGVO umfassende Informationsverpflichtungen an die Datenschutzbehörde (Oman 2016, S. 209).

Die DSGVO verlangt gerichtlichen und administrativen Rechtsschutz (Weiss 2016; Souhrada-Kirchmayer 2016). Der gerichtliche Rechtsschutz bezieht sich in Österreich auf Schadenersatzforderungen im Zusammenhang mit der Verletzung der DSGVO. Der administrative Rechtsschutz wird durch die Datenschutzbehörde gewährt, die mittels Bescheid zu entscheiden hat. Dagegen kann das Bundesverwaltungsgericht und in weiterer Folge der Verfassungs- und Verwaltungsgerichtshof angerufen werden.

Die Übernahme von Aufbau und Wartung einer gesamten Infrastruktur für personenbezogene Daten durch ein externes Unternehmen im Auftrag eines Wasserversorgers ist datenschutzrechtlich zulässig, wenngleich mit gewissen Kautelen verbunden. Nach Art 4 Z 8 DSGVO ist ein „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde oder Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Bogendorfer 2016) Nach Z 10 ist ein „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftraggebers befugt ist, die personenbezogenen Daten zu verarbeiten. Bei diesem Dritten handelt es sich also um eine Art Subunternehmer. Um dieses „Outsourcing“ datenschutzrechtlich korrekt umzusetzen, müssen strenge Sicherheitsvorkehrungen getroffen werden. Hier muss zunächst eine sogenannte „Auftragsverarbeitervereinbarung“ abgeschlossen werden. In dieser sind die Rechte und Pflichten, die Weisungsbindung und die Überwachungsmöglichkeiten des Auftraggebers genau festzuhalten. Diese Vereinbarung ist ein zivilrechtlicher Vertrag, der gegenüber dem Endverbraucher keine Wirkungen entfaltet. Gegenüber der Datenschutzbehörde bleibt der Auftraggeber weiterhin in seiner datenschutzrechtlichen Verantwortlichkeit verfangen. Eine solche Auslagerung ist selbstverständlich in den Fällen wesentlich einfacher, in denen die Wasserkunden keine privaten Haushalte und Kleinunternehmen sind.