Skip to main content
main-content

Tipp

Weitere Artikel dieser Ausgabe durch Wischen aufrufen

09.05.2019 | Originalarbeit Open Access

Rechtliche Aspekte der Digitalisierung in der Siedlungswasserwirtschaft

Zeitschrift:
Österreichische Wasser- und Abfallwirtschaft
Autor:
o.Univ.-Prof. Dr. Karl Weber
Wichtige Hinweise

Hinweis des Verlags

Der Verlag bleibt in Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutsadressen neutral.

1 Vorbemerkung

In der Stromwirtschaft hat das Smart-Metering-Konzept basierend auf der Energieeffizienz-RL erfolgreich Einzug gehalten. Aufgrund der durchwegs guten Annahme intelligenter Zähler zur Stromverbrauchserfassung wird derzeit an der Einführung von Smart Metern auch in der Siedlungswasserwirtschaft nachgedacht. Bei der Implementierung des Smart-Metering-Konzepts in der Siedlungswasserwirtschaft stehen technische Probleme im Vordergrund. Dieses Konzept wirft aber auch eine Reihe von rechtlichen Fragen auf, die bisher eher am Rande thematisiert wurden. Der folgende Beitrag möchte die rechtlichen, vor allem aber die datenschutzrechtlichen Probleme des Smart Metering in der Siedlungswasserwirtschaft aufzeigen.

2 Die rechtlichen Grundlagen der Siedlungswasserwirtschaft in Österreich

Die Versorgung der Bevölkerung mit qualitativ hochwertigem Trink‑, Brauch- oder Löschwasser ist in Österreich Gegenstand verschiedenster rechtlicher Regelungen (Hattenberger 2013, Band I, S. 1289).
Die Wasserversorgung ist Gegenstand europarechtlicher Regelungen. Zunächst handelt es sich bei der Wasserversorgung um „Dienste“ oder „Dienstleistungen von allgemeinem wirtschaftlichen Interesse“ (Art 14, 106 Abs 2a EUV). Damit wird europaweit das öffentliche Interesse an der Wasserversorgung hervorgehoben und es wird diese vom europäischen Wettbewerb und von den Regeln über den Binnenmarkt insoweit freigestellt, als es erforderlich ist, die Leistungserbringung nachhaltig zu sichern. Die EU-Trinkwasser-RL wurde kürzlich vom Europäischen Parlament angenommen und soll noch in diesem Jahr vom Rat beschlossen werden. In dieser RL werden verbesserte Qualitätsstandards für Trinkwasser und verpflichtende Kontrollsysteme eingeführt. Damit wird die Trinkwasserversorgung europaweit vereinheitlicht. Eine Reihe von weiteren Rechtsakten der EU betrifft mittelbar die Siedlungswasserwirtschaft (Wasserrahmen-RL, Hochwasserschutz-RL, kommunale Abwasser-RL ua).
Auf nationaler Ebene enthält das WRG Bestimmungen über die Gewässerreinhaltung, über Bau, Erhaltung und Schutz von Wasserversorgungsanlagen sowie über den Anschlusszwang (§§ 34 f). Außerdem erklärt das WRG die Wasserversorgung zu einem vorrangigen öffentlichen Interesse (§ 105), was bei allen wasserrechtlichen Bewilligungen zu berücksichtigen ist. Weiters enthält das WRG Bestimmungen zum Schutz von Wasserversorgungsanlagen, planungsrechtliche Instrumente zum Schutz der Wasserversorgung sowie organisationsrechtliche Bestimmungen über Wasserverbände und Wassergenossenschaften, welche in Österreich vielfach Aufgaben der Siedlungswasserwirtschaft übernehmen. Da Wasser eine eigentumsfähige Sache ist, kann jeder Eigentümer von privaten Gewässern dieses auch grundsätzlich für eine kommerzielle Wasserversorgung benutzen. Allerdings enthält das WRG eine klare Bevorzugung öffentlicher, gemeinnütziger Wasserversorgungsanlagen. § 36 WRG ermächtigt solche öffentlichen gemeinnützigen Wasserversorgungsanlagen zur Vorschreibung eines Anschlusszwanges, was aber durch Landesgesetze näher zu regeln ist. Mit Ausnahme von Tirol haben auch alle anderen Bundesländer solche Wasserversorgungsgesetze erlassen, welche die Bevorzugung öffentlich-rechtlicher Wasserversorger präzisieren. Wie der Wasserverbrauch berechnet und abgerechnet wird, lässt das WRG völlig offen. Auch die unionsrechtlichen Vorgaben für die Wasserversorgung enthalten darüber keine Bestimmungen.
Die Wasserversorgungsgesetze der Länder regeln die Errichtung und den Betrieb von kommunalen Wasserversorgungsanlagen. Diese Landesgesetze überlassen es zumeist den Gemeinden, die Verantwortung für die kommunale Wasserversorgung zu übernehmen (nur in Vorarlberg und Wien wird eine ausdrückliche Bevorzugung kommunaler Abwasserversorgung statuiert). In Österreich wird die Wasserversorgung zu einem überwiegenden Teil von den Gemeinden selbst (76 %) oder einem Gemeindeverband (8 %) besorgt. Der Rest entfällt auf die Selbstversorgung durch Wassergenossenschaften oder Hausbrunnen (Hattenberger 2013, S. 1294). Betreibt eine Gemeinde, ein Gemeindeverband oder ein Wasserverband eine (öffentliche) Wasserversorgungsanlage, so sehen die Landes-Wasserversorgungsgesetze einen Anschlusszwang vor.
Für die Einhebung der Entgelte für die Wasserlieferung ermächtigt das FAG zur Einhebung von (kommunalen) Gebühren, also zur hoheitlichen Vorschreibung von Wasserabgaben. Die öffentlichen Wasserversorger sind aber auch frei, privatrechtliche Entgelte zu verlangen. Die hoheitliche Gebührenvorschreibung ist auch dann zulässig, wenn die Gemeinde die Aufgabe an private Wasserversorger überträgt.
Die Gemeindewasserversorgungsgesetze der Länder schreiben regelmäßig für die Ermittlung des tatsächlichen Wasserverbrauchs einen „Wasserzähler“ vor, ohne diesen jedoch näher zu beschreiben. Nach § 24 Nö LG über den Gemeindewasserleitungsverband der Triestingtal- und Südbahngemeinden werden Wasserzähler entsprechend ihrem größten durchlässigen Durchfluss (Überlastungsdurchfluss, Grenzbelastung etc) in Klassen eingeteilt und jeder Klasse wird eine bestimmte Verrechnungsgröße zugeordnet. Nach § 3 Nö GemeindewasserleitungsG sind die Wasserzähler von der Gemeinde „in erforderlicher Größe“ beizustellen und verbleiben in ihrem Eigentum. Nach dem Nö WasserleitungsanschlussG sind die Bestimmungen über Art und Ort der Messung des Wasserbezuges im Verordnungsweg festzulegen. Im Sbg BenützungsgebührenG werden Wasserzähler als „Wasseruhren“ bezeichnet. Sie gelten als Bestandteil der Trinkwasserversorgungsanlage. Die Verpflichtung, Wasserzähler anzuschaffen, zu erhalten und zu warten obliegt allgemein den Gemeinden. Diese sind auch Eigentümer der Wasserzähler. Genauere Regeln über den Wasserzähler enthält lediglich das Wiener WasserversorgungsG. In § 11a werden differenzierte Regelungen über den Standort des Wasserzählers (der Wasserzähleranlage) getroffen. Aber auch in Wien trifft das Gesetz keine Regelungen, die das System Smart Meter fordern oder auch ausschließen würde.
Zusammenfassend ist festzuhalten, dass aus der Sicht des Wasserrechts und der Landes-Wasserversorgungsgesetze kein Hinweis auf die Zulässigkeit oder Unzulässigkeit des Smart-Meter-Systems ersichtlich ist. Welches System zur Anwendung kommt, hat sich auch nicht nach dem „Stand der Technik“ zu orientieren. Daraus folgt, dass die nähere Ausgestaltung des Wasserzählers weitgehend in der Verfügungsgewalt des Wasserversorgungsunternehmens steht.
Die Abwasserentsorgung ist in Gesetzgebung und Vollziehung den Ländern überlassen (Weber und Obermeier 2012, S. 20). Das Kanalisationsrecht wird von den Gemeinden im eigenen Wirkungsbereich vollzogen, es handelt sich hier durchwegs um Pflichtaufgaben der Gemeinden. Die Kanalisationsgesetze sehen – mit etlichen Ausnahmen – einen Anschlusszwang an das kommunale Kanalisationsnetz vor. Hier ist auch die Möglichkeit der Bildung von Gemeindeverbänden gegeben. Die Kanalisationsgesetze der Länder schreiben in unterschiedlicher Ausgestaltung die Berechnung der Kanalisationsgebühren vor. Auch die Kanalisationsgesetze sind, was die Berechnung des Abwasserverbrauches und der Gebühren betrifft, gegenüber Smart-Metering-Konzepten offen.

3 Datenschutzrechtliche Probleme des Smart-Metering-Konzepts in der Wasserversorgung

3.1 Zur Relevanz des Datenschutzes für das Smart-Metering-Konzept

Das Smart-Metering-Konzept soll es ermöglichen, den Wasserverbrauch der einzelnen Haushalte exakt und minutengenau zu erfassen. Ob dies nun minütlich oder auch nur viertelstündlich erfolgt – die so gewonnenen Daten geben präzise Aufschluss darüber, wie viel Wasser zu welchem Zeitpunkt in welchem Haushalt verbraucht wird. Dies lässt natürlich Rückschlüsse auf Anwesenheit, Schlaf- und Wachzeiten, Haushaltsgewohnheiten, das Badeverhalten sowie auf die Zahl der im Haushalt anwesenden Personen zu. Zwar ist nicht ersichtlich, welchen konkreten Personen konkrete Wassernutzungen individuell zuzuordnen sind. In der Regel kann jedoch davon ausgegangen werden, dass die im Haushalt lebenden und auch gemeldeten Personen großteils die Wasserverbraucher sind.
Wasserverbrauchsdaten sind grundsätzlich objektbezogene Informationen und als solche nicht unbedingt datenschutzrelevant. Denn die DSGVO gilt grundsätzlich nur für Datenverarbeitungen von personenbezogenen Daten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. IS des Art 4 Z 1 DSGVO wird eine natürliche Person als identifizierbar angesehen, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die Bestimmung der Identifizierbarkeit hat nach objektiven Merkmalen zu erfolgen. Das Ablesen des Wasserverbrauchs von Haushalten, wenn es minutengenau oder auch im Viertel-Stunden-Takt erfolgt, kann unter Umständen die Voraussetzungen dieses Datentatbestandes erfüllen. Namen, Kennnummern, Standortdaten sind die Anknüpfungspunkte dafür, dass es sich bei der minutengenauen Wasserverbrauchsablesung um personenbezogene Daten handelt, wenn der Kreis der Wasserverbraucher so klein ist, dass Rückschlüsse auf individuell bestimmbare Personen möglich sind. Diese Voraussetzung dürften bei Privathaushalten, aber auch bei Klein- und Kleinstunternehmen gegeben sein (Ehmann und Selmayr 2018, Rz 11 zu Art 4; Sydow 2018, Rz 13 zu Art 4). Datenschutzrechtlich irrelevant ist Smart Metering in öffentlichen Gebäuden, größeren Unternehmen, Bildungseinrichtungen, Gastronomiebetrieben ua.
Art 2 DSGVO legt den sachlichen Anwendungsbereich und die Ausnahmen davon fest. Die automatisierte Verarbeitung personenbezogener Daten ist ein zentrales Element des Smart-Metering-Konzepts. Die Wasserversorgung fällt unter keine der in Art 2 genannten Ausnahmen. Die DSGVO ist daher grundsätzlich anwendbar. Auch Art 3, die den räumlichen Anwendungsbereich festlegt, ist anwendbar. Die Wasserversorgung findet zweifelsfrei innerhalb des Territoriums der EU statt.
Die DSGVO ist daher in allen Fällen anwendbar, in denen eine Wasserverbrauchsmessung in sehr kurzen zeitlichen Abständen erfolgt und sich auf private Haushalte, Klein- und Kleinstunternehmen bezieht.

3.2 Rechte und Pflichten der Wasserversorgungsunternehmer und der Endverbraucher

Die Rechte der Endverbraucher sind – wenigstens zum Teil – spiegelbildlich in den Pflichten der Wasserversorgungsunternehmer abgebildet. Diese Rechte und Pflichten sind in der DSGVO sehr detailliert geregelt. Sie in allen Einzelheiten zu erörtern, würde den Rahmen dieses Beitrages bei weitem sprengen. Daher sollen nur die wichtigsten Rechte und Pflichten sowie einzelne speziell für die Wasserversorgung relevante Aspekte herausgegriffen werden.
Zunächst ist zu unterscheiden, ob die Wasserversorgung durch ein privates Unternehmen oder eine „öffentliche Stelle“ durchgeführt wird. Der Begriff „öffentliche Stelle“ ist in der DSGVO nicht definiert. Die hM stellt dabei auf die Rechtsform und auf die Funktion ab (Ehmann und Selmayr 2018, Rz 20 zu Art 37; Feiler und Horn 2018, S. 31). Wird ein Wasserversorgungsunternehmen als Regiebetrieb einer Gemeinde, also von einer in die Gemeindeverwaltung integrierten Wirtschaftseinheit ohne institutionelle Selbstständigkeit vorgenommen, so handelt es sich zweifellos um eine öffentliche Stelle, da ein Regiebetrieb Teil der Gemeindeverwaltung ist. Ähnliches gilt für Gemeindeverbände, Wasserverbände, Agrargemeinschaften oder andere Körperschaften des öffentlichen Rechts. Privatrechtlich organisierte öffentliche Unternehmen, mögen sie auch im Eigentum einer Gebietskörperschaft stehen, erfüllen die Voraussetzungen als öffentliche Stelle aber nur begrenzt. Zwar zählt die Wasserversorgung im Sinne des Unionsrechts zu den „öffentlichen Diensten“, die nicht den gleichen Wettbewerbsregeln unterliegen wie andere Dienstleistungen, die am Markt angeboten werden. Da jedoch, wie gezeigt, Wasser (auch) ein wirtschaftliches Gut darstellt, das zu Erwerbszwecken veräußert werden kann, ist hier darauf abzustellen, ob in der Wasserversorgung in einer Region grundsätzlich ein Wettbewerb möglich ist. Das wird aufgrund der Wasserversorgungsgesetze der österreichischen Bundesländer grundsätzlich in weiten Teilen Österreichs zu bejahen sein (AA König 2016, S. 233). Der Unterschied zwischen einem privaten Wasserversorger und einer öffentlichen Stelle bezieht sich zunächst auf die Verpflichtung zur Benennung eines Datenschutzbeauftragten. Ein solcher muss bestellt werden, wenn die Datenverarbeitung von einer Behörde oder einer öffentlichen Stelle durchgeführt werden. Davon ausgenommen sind nur Gerichte im Rahmen ihrer justiziellen Tätigkeit. Private Unternehmen sind nur zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn ihre Kerntätigkeit in der umfangreichen regelmäßigen und systematischen Überwachung von Personen oder der umfangreichen Verarbeitung sensibler Daten oder strafrechtlich relevanter Daten besteht. Dies ist bei der Wasserversorgung zweifellos nicht der Fall. Ein weiterer Unterschied besteht in der Haftung. Bei Übertretung der DSGVO sieht diese drakonische Strafen vor. Die DSGVO hat es den Mitgliedstaaten überlassen, den Kreis der strafrechtlich Verantwortlichen zu bestimmen. Gemäß § 58 Abs 2 DSG 2018 können Geldbußen bis zu 20 Mio. € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Nach der österreichischen Datenschutzregelung sind die „öffentlichen Stellen“ von Strafen bei Übertretung der DSGVO befreit. Wenn also der Regiebetrieb einer Gemeinde oder ein Wasserverband die DSGVO verletzt, wird keine Strafe verhängt, bei einem privaten Wasserversorgungsunternehmen sehr wohl. Dass dies mitunter zu massiven Wettbewerbsverzerrungen führen kann, sei nur am Rande erwähnt.
Der Endverbraucher hat ein Recht, das Wasserversorgungsunternehmen die Pflicht, die Datenverarbeitung rechtmäßig durchzuführen. Nach Art 6 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine von sechs in Abs 1 genannten Bedingungen erfüllt ist. Neben der Einwilligung der betroffenen Person zur Verarbeitung kommen hier fünf Gründe in Betracht, die eine Datenverarbeitung auch gegen den Willen der betroffenen Person zulässig machen: Erforderlichkeit für die Erfüllung eines Vertrages, für die Erfüllung einer rechtlichen Verpflichtung, für den Schutz lebenswichtiger Interessen der Betroffenen oder einer anderen natürlichen Person, für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt sowie für die Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Für Smart Metering in der Trinkwasserversorgung ist vor allem lit a relevant. Wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmten Zwecke ihre Einwilligung gibt, ist die Datenverarbeitung ohne Weiteres möglich. Vor allem aus den Erwägungsgründen (insb Erwägungsgrund 40), aber auch aus dem Text der DSGVO geht hervor, dass es sich um eine explizite Willenskundgebung in Form einer Erklärung oder einer sonstigen eindeutigen Willensbildung handeln muss. Allerdings reicht eine Einwilligung in Allgemeine Geschäftsbedingungen aus, wenn die Einwilligungserklärung deutlich als eigener Punkt (möglichst mit entsprechender Überschrift) in den AGB formuliert ist. Die Einwilligung kann auch Bestandteil des Wasserlieferungsvertrages sein. Ebenso ist eine gesonderte Erklärung mittels eines Formulars oder per E‑Mail möglich. Bei Neueinführung des Smart-Metering-Konzeptes wird es nötig sein, Überzeugungsarbeit zu leisten und die Vorteile für den Kunden herauszustreichen.
Verweigert der Endverbraucher seine Einwilligung, so ist eine Verarbeitung der Wasserverbrauchsdaten nur unter bestimmten Konstellationen zulässig. Art 6 DSGVO erklärt eine Datenverarbeitung ohne Einwilligung des Betroffenen für zulässig, wenn die Datenverarbeitung für die Erfüllung eines Vertrages unumgänglich ist. Nun ist die Wasserversorgung schon derzeit auch ohne das Smart-Metering-Konzept möglich, hier müsste also die technische Infrastruktur der Wasserversorgung so umgebaut werden, dass ein datenverarbeitungsfreies Ablesen des Zählerstandes so gut wie nicht mehr möglich ist. In diesem Fall könnte zwar der Endkunde seine Einwilligung verweigern, es könnten ihm dann aber allfällige Mehrkosten verrechnet werden.
Nach Art 6 Abs 1 lit c DSGVO ist eine Verarbeitung auch gegen den Willen der betroffenen Person zulässig, wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Dazu bedürfte es aber klarer gesetzlicher Grundlagen in den Wasserversorgungsgesetzen der Länder bzw im WRG. Dies scheint derzeit aber Zukunftsmusik zu sein.
Jede betroffene Person hat das Recht, über die Datenverarbeitung informiert zu werden (Art 15 DSGVO; Haidinger 2016). Der betroffenen Person sind dazu alle relevanten Hinweise darüber zu geben, was gespeichert wird, in welcher Weise dies geschieht und wie lange die Speicherung andauert. Über Antrag des Endverbrauchers sind diesem die gespeicherten Daten zu übermitteln. Stellt sich dabei heraus, dass die Daten falsch sind, so hat der Kunde das Recht auf Berichtigung bzw auf Löschung (Art 16 DSGVO). Ist die Speicherung von personenbezogenen Daten nicht mehr notwendig, so hat der Kunde das Recht auf Löschen („Recht auf Vergessenwerden“, Art 17 DSGVO; Sydow 2018 zu Art 17). Es ist ein Grundsatz der DSGVO, dass Daten nur im absolut notwendigen Umfang verarbeitet werden (Art 5 Abs 1 lit c DSGVO) und dass diese nach Erfüllung des Zwecks der Verarbeitung zu löschen sind. Das Prinzip der Datenminimierung beschränkt die Wasserversorgungsunternehmen ausschließlich auf Daten des Wasserverbrauchs, der technischen Infrastruktur und der wichtigsten personenbezogenen Daten des Kunden. Ausnahmen für die Wasserversorgung gibt es nicht.
Von besonderer Bedeutung für die Verwendung intelligenter Messgeräte in der Siedlungswasserwirtschaft ist der Grundsatz der Integrität und Vertraulichkeit (Ehmann und Selmayr 2018, Rz 28 zu Art 5). Alle Daten sind vor unbefugtem Zugriff zu schützen. Der Datenverantwortliche, das ist in den meisten Fällen das Wasserversorgungsunternehmen, ist auch verpflichtet, Maßnahmen zu setzen, die der unbeabsichtigten Löschung, Zerstörung oder Schädigung von Daten entgegenwirken sollen. In den §§ 32–35 DSGVO sind dazu sehr detailliert konkrete Handlungspflichten für den Verantwortlichen normiert. Dazu gehört auch die Pflicht zur Erstellung einer Datenschutzfolgeabschätzung, also einer datenschutzbezogenen Risikoanalyse (Trieb 2016). Handelt es sich um eine öffentliche Stelle, so ist ein Datenschutzbeauftragter zu bestellen, dem dabei wichtige Mitwirkungsaufgaben zukommen.
Für die Wasserversorgung hat der Grundsatz der Integrität und Vertraulichkeit zweierlei Bedeutung: Zunächst müssen sämtliche erfassten Daten auf einem Server gesammelt werden, solange sie für Informationszwecke oder zur Berechnung der anfallenden Kosten gebraucht werden. Von diesem aus können sie im Fall von Störungen der Wasserversorgung jederzeit wieder rekonstruiert werden. Gleichzeitig hat dieser Server so gegen Angriffe von außen geschützt zu sein, dass ein widerrechtlicher Zugriff auf die personenbezogenen Daten durch Dritte nicht möglich ist. Hier ist zweifellos Verschlüsselung oder Pseudonymisierung der entsprechenden Informationen auf dem Speichermedium unumgänglich.
Das Smart-Metering-Konzept bringt nicht nur für die Wasserversorger große Vorteile, sie unterstützt auch den Wasserkunden beim rationalen Umgang mit dem Wasser. Aus diesem Grund müssen ihm auch die Verbraucherdaten zugänglich gemacht werden. Nur so kann auch der Kunde langfristig einen wirklichen Nutzen im Umstieg auf ein intelligentes Messgerät erzielen. In den letzten Jahren sind Smartphone und Tablet für die meisten Menschen selbstverständlich geworden – weitere technische Optimierungen sind zu erwarten. Sämtliche Informationen, die für das tägliche Leben von Bedeutung sind, werden jetzt schon von sehr vielen Menschen darauf gespeichert. Daher bietet es sich geradezu an, eine eigene App zu installieren, die ein unkompliziertes Überblicken des eigenen Wasserverbrauchs ermöglicht. Da für einen Teil der Wasserkunden die in Rede stehenden Messwerte personenbezogene Daten iSd DSGVO sind, erfordert dies für diese Personengruppe neue Sicherheits- und Verschlüsselungsanforderungen. Denn eine Bereitstellung der aufgenommenen Daten im Internet ist stets mit gewissen Sicherheitsrisiken verbunden. Dies gilt besonders für eine App, die auf ein Smartphone geladen wird. Verbrauchserfassungsdaten genießen aber in der österreichischen und in der europäischen Rechtsordnung besonderen Schutz, weshalb Vorkehrungen getroffen werden müssen, um Hacking bzw Datenlecks weitgehend zu vermeiden. Art 32 Abs 1 DSGVO enthält eine demonstrative Aufzählung der erforderlichen Sicherheitsvorkehrungen. Diese sind zwar allgemein gehalten, da sie offen für den weiteren technischen Fortschritt sein müssen, wichtige Maßnahmen sind aber die Pseudonymisierung und Verschlüsselung der entsprechenden Daten sowie Maßnahmen einer dauerhaften Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme bei der Datenverarbeitung. Dazu gehört auch die rasche Wiederherstellbarkeit von Daten nach einem Zwischenfall sowie die Einrichtung von Verfahren zur Überprüfung, Bewertung und Evaluierung der risikominimierenden Maßnahmen. Sinnvoll für Smartphone-Anwendungen ist die inzwischen gängige „Ende-zu-Ende-Verschlüsselung“. Nach dieser Methode haben nur der Kunde und der Wasserversorger den Schlüssel zur Dekodierung. Dazu muss für die Authentifizierung des jeweiligen App-Nutzers ein persönlich zu beantragendes Login installiert werden. Erst nach Eingabe der Benutzerdaten und eines Kennworts wird der volle Zugriff auf die erfassten Daten gewährt. Das bloße Herunterladen der App und der Angabe des Namens ist nicht ausreichend. Hier wird vor Einführung des Smart-Metering-Konzepts in der Wasserversorgung ein professionelles informationstechnologisches Konzept zu entwickeln sein. Dabei wird sich für das Wasserversorgungsunternehmen die Frage nach einer Kosten-Nutzen-Analyse stellen, wenn der Anteil der privaten Haushalte und der Kleinunternehmen an der Zahl der Kunden gering ist. Treten Störungen oder Fehler auf, so enthält die DSGVO umfassende Informationsverpflichtungen an die Datenschutzbehörde (Oman 2016, S. 209).
Die DSGVO verlangt gerichtlichen und administrativen Rechtsschutz (Weiss 2016; Souhrada-Kirchmayer 2016). Der gerichtliche Rechtsschutz bezieht sich in Österreich auf Schadenersatzforderungen im Zusammenhang mit der Verletzung der DSGVO. Der administrative Rechtsschutz wird durch die Datenschutzbehörde gewährt, die mittels Bescheid zu entscheiden hat. Dagegen kann das Bundesverwaltungsgericht und in weiterer Folge der Verfassungs- und Verwaltungsgerichtshof angerufen werden.

3.3 Die Zulässigkeit zur Ausgliederung der informationstechnologischen Dienste an (private) Dienstleister

Die Übernahme von Aufbau und Wartung einer gesamten Infrastruktur für personenbezogene Daten durch ein externes Unternehmen im Auftrag eines Wasserversorgers ist datenschutzrechtlich zulässig, wenngleich mit gewissen Kautelen verbunden. Nach Art 4 Z 8 DSGVO ist ein „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde oder Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Bogendorfer 2016) Nach Z 10 ist ein „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftraggebers befugt ist, die personenbezogenen Daten zu verarbeiten. Bei diesem Dritten handelt es sich also um eine Art Subunternehmer. Um dieses „Outsourcing“ datenschutzrechtlich korrekt umzusetzen, müssen strenge Sicherheitsvorkehrungen getroffen werden. Hier muss zunächst eine sogenannte „Auftragsverarbeitervereinbarung“ abgeschlossen werden. In dieser sind die Rechte und Pflichten, die Weisungsbindung und die Überwachungsmöglichkeiten des Auftraggebers genau festzuhalten. Diese Vereinbarung ist ein zivilrechtlicher Vertrag, der gegenüber dem Endverbraucher keine Wirkungen entfaltet. Gegenüber der Datenschutzbehörde bleibt der Auftraggeber weiterhin in seiner datenschutzrechtlichen Verantwortlichkeit verfangen. Eine solche Auslagerung ist selbstverständlich in den Fällen wesentlich einfacher, in denen die Wasserkunden keine privaten Haushalte und Kleinunternehmen sind.
Open Access Dieser Artikel wird unter der Creative Commons Namensnennung 4.0 International Lizenz (http://​creativecommons.​org/​licenses/​by/​4.​0/​deed.​de) veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden.

Hinweis des Verlags

Der Verlag bleibt in Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutsadressen neutral.

Unsere Produktempfehlungen

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 69.000 Bücher
  • über 500 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Umwelt
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe

Testen Sie jetzt 30 Tage kostenlos.

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 50.000 Bücher
  • über 380 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Umwelt
  • Maschinenbau + Werkstoffe​​​​​​​




Testen Sie jetzt 30 Tage kostenlos.

Premium-Abo der Gesellschaft für Informatik

Sie erhalten uneingeschränkten Vollzugriff auf alle acht Fachgebiete von Springer Professional und damit auf über 45.000 Fachbücher und ca. 300 Fachzeitschriften.

Literatur
Über diesen Artikel