Machine-to-Machine Communications. Compliance, Datensicherheit, Datenschutz IT LawCamp 2011 RA Sven-Erik Heun Partner Bird & Bird LLP

Transkript

1 Machine-to-Machine Communications Compliance, Datensicherheit, Datenschutz IT LawCamp 2011 RA Sven-Erik Heun Partner Bird & Bird LLP

2 Übersicht - Rechtliche Rahmenbedingungen für M2M Teil 1 Teil 2 Teil 3 Teil 4 Teil 5 Rechtliche Fragestellungen TKG Datensicherheit Datenschutz Zusammenfassung, Fazit und Ausblick und über Bird & Bird page 2

3 Teil 1 Fragestellungen Wovon reden wir überhaupt? page 3

4 Rechtliche Fragestellungen (1) Typische Leistungsbeziehungen bei M2M (vereinfacht!): SIM-Karte und Funknetz = TK-Dienst Verknüpfung TK-Dienst mit IT-Leistung (Datenaggregation, Datenverarbeitung etc.) in ggf. regulierter Industrie (zb Energie) Kauft konvergentes IKT-Leistungspaket -Inhaltsdaten (zb ID, Verbrauch) -TK-Daten (zb Verkehrsdaten, Standort) page 4

5 Rechtliche Fragestellungen (2) Wie sind die M2M Leistungen rechtlich zu qualifizieren, weil die Qualifikation über das rechtliche Regime entscheidet: Rechtliche Qualifikation des Angebots zwischen TelCo und IKT-Dienstleister? Unproblematisch: TK-Dienst! Rechtliche Qualifikation des Angebots zwischen IKT- Dienstleister und Kunde? Viele offene Fragen! Und das wird oft übersehen! Compliance Verpflichtungen TKG Datensicherheit Datenschutz page 5

6 Teil 2 TKG page 6

7 Ein paar Begrifflichkeiten und Folgen daraus Um die Probleme zu verstehen, muss man die Zusammenhänge der Begriffsdefinitionen und (kaskadierenden) Folgen des TKG begreifen! Bird & Bird LLP 2010 RA Sven-Erik Heun M2M Rahmenbedingungen page 7

8 Ein paar TKG-Begrifflichkeiten (1)... Definition Telekommunikationsdienste: in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen ( 3 Nr. 24 TKG) Aber beachte: Abtrennbarkeit von Konnektivität! Definition telekommunikationsgestützte Dienste: Dienste, die keinen räumlich und zeitlich trennbaren Leistungsfluss auslösen, sondern bei denen die Inhaltsleistung noch während der TK-Verbindung erfüllt wird ( 3 Nr. 25 TKG) Definition Diensteanbieter: jeder, der ganz oder teilweise geschäftsmäßig a) TK-Dienste erbringt oder b) an der Erbringung solcher Dienste mitwirkt ( 3 Nr. 6 TKG) Bird & Bird LLP 2010 RA Sven-Erik Heun M2M Rahmenbedingungen page 8

9 Ein paar Begrifflichkeiten (2)... Definition geschäftsmäßiges Erbringen von TK-Diensten das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht ( 3 Nr. 10 TKG) Definition gewerbliche TK-Dienste für die Öffentlichkeit bzw. gewerblicher Betrieb öffentlicher TK-Netze/TK- Anlagen: Nicht vorhanden, obwohl die u.a. Meldepflicht hieran anknüpft Praxis der BNetzA: Gewerblich in diesem Sinne ist jede Tätigkeit, die zumindest mit der Absicht der Kostendeckung der Öffentlichkeit angeboten wird. Öffentlichkeit ist jeder unbestimmte Personenkreis. Betrieb ist tatsächliche und rechtliche Kontrolle der Übertragungsfunktionen (Funktionsherrschaft) Beachte: Closed User Group Privat Kann also Angebot für die Öffentlichkeit sein Bird & Bird LLP 2010 RA Sven-Erik Heun M2M Rahmenbedingungen page 9

10 ... und die Folgen daraus Wer? Leistungsbeispiele Verpflichtungsbeispiele Jeder Anbieter von TK-Diensten oder Mitwirkender Geschäftsmäßige Anbieter von TK- Diensten oder Mitwirkender Betreiber von TK- Anlagen für öffentliche TK-Dienste Anbieter öffentlicher TK- Dienste Mitbenutzung von Nebenstellenanlagen (Regus, Hotels) Corporate Networks, VPN Private Telefonie am Arbeitsplatz Switch- und/oder Routermanagement, auch in Corporate Networks (str.) VoIP mit Übergang in PSTN/ISDN Kundenanbindungen per Mietleitung M2M Enabling TK-Überwachung: Ermöglichung konkret im Einzelfall (zb 100b Abs. 3 StPO), u.a. für Telefonie, , Internet Fernmeldegeheimnis und TK-Datenschutz Speicherung von und Auskunft über Bestandsdaten ( TKG) Erweiterte Sicherheitspflichten ( 109 TKG) TK-Überwachung: Vorhalten von Einrichtungen und Treffen von Vorkehrungen ( 110 TKG) Meldepflicht ( 6 TKG) <Vorratsdatenspeicherung, 113a, 113b TKG> Bird & Bird LLP 2010

11 TKG Qualifikation (1) Übertragung und Verarbeitung von Telemetrie-Daten in Bau- und/oder Landmaschinen durch Hersteller oder IKT- Anbieter: Grenzfall und abhängig von Ausgestaltung Automatisiertes senden von Telemetrie-Daten, Verarbeitung und RZ und Bereitstellung über Internet-Portal (TKG (-)) - Telekommunikationsgestützter Dienst (?) oder - Schwerpunktmäßig IT-Dienst Bidirektionaler Datenverkehr, insbesondere, wenn durch Kunden steuer- oder auslösbar (TKG (+)) - Vermutlich zumindest teilweise TK-Dienst page 11

12 TKG Qualifikation (2) Navigationshilfen, emobility, icar, durch Hersteller und/oder IKT-Anbieter: Navigationssystem mit Internetzugang Nur Download Updates und Pushdienst für Verkehrsinfo - vermutlich nur TK-gestützter Dienst (TKG (-)) Mit z.b. Google Suchanfrage und/oder Internet Konnektivität, auch wenn nur auf soziale Netzwerke beschränkt (TKG (+)) - TK-Dienst PKW mit Internetzugang (TKG (+)) TK-Dienst page 12

13 TKG Qualifikation (3) Smart Metering, Zählerfernablesung: Wiederum Ausgestaltungsfrage für Anbieter der IT-Leistung (nicht den Lieferanten der SIM-Karte): Datenübertragung aus Ablesegeräten nur als Teil des eigenen Leistungspakets wie z.b. Verbrauchsabrechnung (TKG (-)) - TK nur für eigene Zwecke (ähnlich wie Toll-Collect) - Grenzfälle denkbar, aber Tendenz gegen TK-Dienst Öffnung Übertragungsfunktion für Dritte (TKG (+)) - Angebot von Signalübertragung Andere Fälle: POS-Bezahlsysteme (meist +), Ortungssysteme (eher -), Hausautomatisierung (eher +) usw. page 13

14 Also: TKG Kriterien Angebot / Erbringen Im eigenen Namen mit Dritten kontrahieren - irrelevant, ob die Leistung auch selbst erstellt wird - Einkauf bei TelCos und Weiterverkauf ändert nichts ganz oder überwiegend Signalübertragung Problem Leistungspakete wie M2M Auswertung Telemetrie BNetzA: (potenzielle) Selbständigkeit der Leistung entscheidet - PKW + Internet Access = TK-Dienst - Auswertung + Zählerfernablesung TK-Dienst - Zusammenhang mit Selbst-Bereitstellung, also nicht (unmittelbar) für Dritte (Kunden) page 14

15 TKG Compliance Pflichten Meldepflicht ( 6 TKG) Nur bei Diensteangeboten für die Öffentlichkeit oder entsprechendem Netzbetrieb Aber Compliance Pflichten setzen teilweise früher an! - Problemlösung durch Vertragsgestaltung Bird & Bird LLP 2010 RA Sven-Erik Heun M2M Rahmenbedingungen page 15

16 Teil 3 Datensicherheit page 16

17 Datensicherheit (1) Anforderungen: Unterscheide Allgemeine Anforderungen, die sich von selbst verstehen Sicherheitsanforderungen aus dem BDSG - Anhang zu 9 BDSG Sicherheitsanforderungen aus oder aufgrund von Spezialgesetzen - TKG, EnWG, FTEG etc. Sicherheitsanforderungen aus oder aufgrund von Zulassungsund/oder Zertifizierungsverfahren. - DIN-Normung, ETSI, ISO - Schutzprofile durch BSI wie derzeit für die Kommunikationseinheit eines Messsystems (Smart Meter) page 17

18 Datensicherheit (2) Anforderungen des TKG: Technische Schutzvorkehrungen ( 109 TKG) Einfach nach Abs. 1 treffen jeden Diensteanbieter Erweiterungen nach Abs. 2 und 3 treffen Betreiber öffentlicher Anlagen und Netze - Zusätzliche Maßnahmen - Sicherheitsbeauftragter - Sicherheitskonzept Künftig zusätzliche Anforderungen wegen VDS-Urteil BVerfG? TKG-Novelle 2011 Ausdehnung auf Diensteanbieter page 18

19 Datensicherheit (3) Anforderungen des EnWG: Verweise in Eichgesetz Festlegungen durch BNetzA Wechselprozesse Strom und Gas Messstellenbetreiber und Messstellendienstleister - Festlegung Prozesse, Datenformate und Verträge - Aber nur Hinweise auf datenschutzrechtliche Regelungen Anforderungen allgemein: Verstärkte Rolle des BSI Handbuch IT-Grundschutz Schutzprofile für Zertifizierungen Empfehlungen Künftige Einbeziehung durch BNetzA bei Sicherheitsmängeln in TK-Netzen page 19

20 Teil 4 Datenschutz page 20

21 Datenschutz (1) Besonderheiten bei M2M: Vollständig automatisierte Erhebung und Übermittlung sowie ggf. auch Verarbeitung Häufig viele beteiligte Personen und Unternehmen Smart Metering: - Letztverbraucher (Mieter) Anschlussnutzer (Vermieter) Messstellenbetreiber Messdienstleister TK und IT- Dienstleister - Energienetzbetreiber - Energielieferant Personenbezogene Daten ermöglichen tiefgreifende Profilieferung des Betroffenen: Standort und Bewegungsprofil Verbrauch (Strom, Gas, Kraftstoff, Haushaltsgeräte) page 21

22 Datenschutz (2) Qualifikation der relevanten Daten: Standort- und Verbindungsdaten TKG Verbrauchsdaten (z.b. Energieverbrauch) BDSG Abrechnungsdaten Ggf. TKG und BDSG, je nachdem inwieweit die TK-Vorgänge abrechnungsrelevant sind oder entsprechend des Angebots sind Qualifikation der relevanten Beteiligten: Betroffener Stellen, die Daten erheben und/oder verwenden (nutzen, verarbeiten) Auftragsdatenverarbeiter page 22

23 Datenschutz (3) Beispiel Standortdaten: Definition in 3 Nr. 19 TKG Regelung in 98 TKG Einwilligungserfordernis oder anonymisierte Nutzung Beachte: GPS-Daten sind heute keine Standortdaten, weil sie nicht in einem TK-Netz erhoben oder verwendet werden - Anders bei Verknüpfung mit Zelldaten Empfangen von IMSI- oder Bluetooth IDs und Verfolgung in bspw. Flughafen oder Shopping Center zulässig - Keine Standortdate - Erhebung erfordert ggf. unmittelbare Verschlüsselung Erweiterungen durch TKG-Novelle 2011 RFID und generell M2M (GPS)? page 23

24 Datenschutz (4) Beispiel Smart Metering (I): Datenerhebung durch Messdienstleister? Zulässig nach 28 Abs. 1 Nr. 1 BDSG zur Vertragserfüllung mit Betroffenem (Letztverbraucher) Aber Datenschützer fordern besondere Einwilligung für Automatisierung wegen Direkterhebungsgrundsatz Datenübermittlung durch Messdienstleister an Netzbetreiber? Zulässig nach 28 Abs. 1 Nr. 2 BDSG zur Vertragserfüllung mit Betroffenem (Letztverbraucher Aber: Interessenabwägung - Datenschützer fordern Aggregierung, die keine Profile ermöglichen und keine Direktübermittlung page 24

25 Datenschutz (5) Beispiel Smart Metering (II): Datenübermittlung durch Messdienstleister an Lieferant? Zulässig nach 28 Abs. 1 Nr. 1 BDSG zur Vertragserfüllung mit Betroffenem (Letztverbraucher) Aber Datenschützer fordern keine Direktübermittlung Einbeziehung IKT-Dienstleister im Wege der Auftragsdatenverarbeitung Inhaltsanforderungen und Schriftformerfordernis des 11 BDSG für ADV-Vertrag! Nebeneffekt: Auftraggeber bleibt Betreiber des Systems - Vorteil = Kontrolle, Nachteil = ggf. TKG Compliance Forderungen der Datenschutzbeauftragten vom 3./ Einführung van Datenschutzbestimmungen in EnWG! page 25

26 Teil 5 Über Bird & Bird Thesen zum Datenschutz page 26

27 About Bird & Bird International Law Firm of the Year The Lawyer Awards 2008 Global Law Firm of the Year 2009 International Council of Jurists Bird & Bird not only has breadth, with offices in all the main countries in Europe, but also depth with the continuous high standard of the lawyers impressing clients and peers. Chambers Global 2008 page 27

28 A strong sector focus Broad legal expertise deep knowledge all-round vision the right team knowing your industry taking you forward Information Technology Sport Media Automotive Aviation and Defence Banking and Finance Communications Electronics Energy and Utilities Life Sciences Food page 28

29 An award-winning Communications Group We are universally well known for our market leading communications group. We work with clients ranging from national and international operators and regulators through to major financial institutions and users. Our services include International strategic joint ventures National/international licensing and regulatory issues New licensing and regulatory frameworks for telecoms including the inter-relationship between anti-trust/ competition rules and telecoms regulation Commercial agreements for the construction and maintenance of dark-fibre based wholesale capacity networks International joint ventures for fixed, mobile and satellite telecommunications throughout Europe, the USA and the Asia Pacific region Significant telecommunications infrastructure projects worldwide Strategic alliances (including for auction licence bids) Mergers and acquisitions/privatisations/project finance Submarine cable systems and correspondent agreements National and international outsourcing agreements/ facilities management TMT Team of the Year Legal Business Awards 2010 One of the leading names for IT and communications advice. Chambers Global 2008 Bird & Bird LLP is pre-eminent in TMT. Legal page 29

30 A specialist Information Technology Group We have an unrivalled understanding of the IT and outsourcing sectors built over two decades. Our lawyers are recognised experts who work with blue-chip companies as well as developers, distributors and suppliers of technology systems and services. Our expertise spans across our full service capability we provide advice in connection with all technology and outsourcing projects and includes Procurement and delivery of IT systems and services Outsourcing projects and managed services Software development and distribution Joint ventures and strategic alliances E-commerce and internet-based businesses, Data protection, privacy principles and security Regulatory compliance Competition and anti-trust issues Procurement law, practice and procedure, best practice Contract management, best practice Bird & Bird offers a well-rounded top-level IT practice for e-commerce and other pure IT matters. Chambers and Partners 2009 Lauded by commentators as clear front runners in TMT, the group has established itself as a centre of expertise in this diverse and fastchanging sector. Chambers and Partners 2008 IT Law Firm of the Year JUVE 2008/2009 A key player in IT sources confirm that its international network plays an important role in its success. Chambers and Partners 2008 page 30

31 Thesen zum Datenschutz Thesen: Es liegt auch im Interesse der beteiligten Unternehmen, dass besondere Datenschutzregelungen für M2M, insbesondere im EnWG eingefügt werden, denn Regelungen im TKG und im TMG haben Rechtssicherheit für alle Beteiligten geschaffen BDSG ist für M2M strukturell (noch) nicht geeignet, so dass Interessenabwägung und/oder Einwilligungserfordernis unnötige Risiken und Unsicherheit schafft. Die Entwicklungen bei M2M werden noch viel weitergehende Überlegungen beim Datenschutz erfordern, an deren Mitwirkung die Unternehmen ein Interesse haben müssen. page 31

32 Vielen Dank Sven-Erik Heun Rechtsanwalt Partner Bird & Bird LLP Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated businesses.