Smart Home ein Datenschutzfall

Transkript

1 TeleTrusT-Informationstag "IT-Sicherheit im Smart Home und der Gebäudeautomation" Berlin, Smart Home ein Datenschutzfall Michael Götze, ditis Systeme

2 Agenda Datenschutzrechtliche Grundlagen Datenschutz im EnWG Datenschutzrechtliche Anforderungen

3 Michael Götze Beratung Datenschutz Volljurist und nach dem Ulmer Modell ausgebildeter Datenschutzbeauftragter Berufserfahrung als Rechtsanwalt im Bereich des Datenschutz- und IT-Rechts, langjährige Tätigkeit am Lehrstuhl für Rechtsinformatik der Universität Würzburg Aktiv im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.v. Bestellter externer Datenschutzbeauftragter in mehreren Mittelstandsunternehmen Zertifizierungs -nachweis

4 Grundlagen des Datenschutzes Datenschutz ist das Recht jedes Einzelnen, selbst darüber zu bestimmen, wer welche Informationen wann von einem erfährt

5 Grundlagen des Datenschutzes Datenschutz, was ist das? Aufgabe des Datenschutzes ist es, das Persönlichkeitsrecht und insbesondere die Privatsphäre eines Menschen zu schützen Der Datenschutz will den so genannten gläsernen Menschen verhindern

6 Grundlagen des Datenschutzes

7 Datenschutz im Smart Home Lieferant Gateway- Administrations- Dienstleister Netzbetreiber Messstellenbetreiber Letztverbraucher

8 Personenbezogene Daten Informationen zu einer Person oder solche, mit deren Hilfe auf eine Person geschlossen werden kann, z.b: Kundenstammdaten Kontodaten Abrechnungsdaten Rechnungsdaten Ausspeisemenge Einspeisemenge Messdaten

9 Grundsätze des Datenschutzes Grundsätze des Datenschutzes Datenschutz wird prinzipiell auf Basis folgender Grundsätze erreicht: Datenvermeidung und Datensparsamkeit ( 3a BDSG): So viel wie nötig, so wenig wie möglich personenbezogene Daten verarbeiten. Transparenz der Verarbeitung ( 4, 4g Abs. 2, 33, 34, 35 BDSG): Jeder Betroffene (das sind in der Regel Kunden, Lieferanten, Mitarbeiter) soll darüber informiert sein, welche seiner personenbezogenen Daten zu welchem Zweck beschafft, verarbeitet und an wen diese weitergegeben werden. Dies wird durch das BDSG anhand der Rechte des Betroffenen unterstützt (Recht auf Auskunft, Berichtigung, Sperrung, Löschung, Benachrichtigung)

10 Grundsätze des Datenschutzes Grundsätze des Datenschutzes Datenschutz wird prinzipiell auf Basis folgender Grundsätze erreicht: Zweckbindung der Datenverarbeitung ( 4 BDSG): Personenbezogene Daten dürfen nur verarbeitet werden, wenn vor, bei und nach der Erhebung, Verarbeitung oder Nutzung ein legitimer Zweck für die Datenverarbeitung besteht. Verbot mit Erlaubnisvorbehalt ( 4 BDSG): Die Verarbeitung personenbezogener Daten ist grundsätzlich nicht erlaubt, es sei denn, es besteht ein gesetzlicher Erlaubnistatbestand (z.b. 28, 32 BDSG oder andere Spezialgesetze) oder der Betroffene hat in die Verarbeitung seiner personenbezogenen Daten (zweck-informiert, freiwillig, schriftlich und widerrufbar) eingewilligt (nicht im Arbeitsverhältnis)

11 Motivation für Datenschutz Warum machen wir Datenschutz? 1. Gesetzliches Erfordernis: - Das Bundesdatenschutzgesetz (BDSG) und die Landes-Datenschutzgesetze (LDSG-BW, BayDSG,...) bilden hierzu die Grundlage - Weitere gesetzliche Vorschriften regeln den Datenschutz. Diese gelten vorrangig, wie beispielsweise: EnWG Einkommensteuergesetz (EStG) Sozialgesetzbücher (SGB) Telekommunikationsgesetz (TKG) Telemediengesetz (TMG) Betriebsverfassungsgesetz (BetrVG)

12 Motivation für Datenschutz Warum machen wir Datenschutz? 1. Gesetzliches Erfordernis: - Das Bundesdatenschutzgesetz (BDSG) und die Landes-Datenschutzgesetze (LDSG-BW, BayDSG,...) bilden hierzu die Grundlage - Weitere gesetzliche Vorschriften regeln den Datenschutz. Diese gelten vorrangig, wie beispielsweise: EnWG Einkommensteuergesetz (EStG) Sozialgesetzbücher (SGB) Telekommunikationsgesetz (TKG) Telemediengesetz (TMG) Betriebsverfassungsgesetz (BetrVG) 2. Ausdruck ehrlichen und fairen Verhaltens gegenüber Kunden, Lieferanten und Mitarbeitern

13 Datenschutz im Smart Home Lieferant Gateway- Administrations- Dienstleister Netzbetreiber Messstellenbetreiber Letztverbraucher

14 Datenschutz im Smart Home 21g EnWG

15 Verbot mit Erlaubnisvorbehalt 21g EnWG: Erhebung, Verarbeitung und Nutzung personenbezogener Daten 21g Abs. 1 EnWG: aus dem Messsystem oder mit Hilfe des Messsystems 21g Abs. 1, 2 EnWG: durch die zum Datenumgang berechtigte Stelle Messstellenbetreiber Netzbetreiber Lieferant oder Einwilligung nach 4a BDSG

16 Legitimer Zweck Legitimer Zweck der Datenverarbeitung gem. 21g Abs. 1 Nr. 1-8 EnWG: 1. Begründung, Ausgestaltung, Änderung v. Vertragsverhältnissen 2. Messung Energieverbrauch und Einspeisemenge 3. Belieferung mit Energie (inkl. Abrechnung) 4. Einspeisen von Energie (inkl. Abrechnung) 5. Steuerung von unterbrechbaren Verbrauchseinrichtungen 6. Umsetzung variabler Tarife 7. Ermittlung des Netzzustandes in begründeten und dokumentierten Fällen 8. Aufklärung und Unterbindung von Leistungserschleichung

17 Datensparsamkeit 21g Abs. 5 EnWG: Anonymisierung und Pseudonymisierung von Messdaten soweit dies nach dem Verwendungszweck möglich ist, und im Verhältnis zum angestrebten Schutzzweck keinen unverhältnismäßigen Aufwand darstellt

18 Transparenz 21h Abs. 1 EnWG: Informationspflichten des Messstellenbetreibers 21h Abs. 1 Nr. 1: Einsichtsrecht des Anschlussnutzers 21h Abs. 1 Nr. 2: Recht des Anschlussnutzers auf kostenfreie Zur-Verfügung-Stellung seiner Daten 21h Abs. 1 EnWG: Informationspflichten des Messstellenbetreibers bei einer Datenpanne Verweis auf 42a BDSG: Energieverbrauchsdaten als besonders sensible personenbezogene Daten (?) unrechtmäßige (unbefugte) Verarbeitung Maßnahmenbündel des 42a BDSG 35 BDSG: Berichtigung, Löschung und Sperrung

19 Datenschutzrechtliche Anforderungen Gelebte Datenschutzorganisation Datenschutzleitlinie Datenschutzkonforme Prozesse Datenschutzbeauftragter (BDSG / LDSG) intern / extern Schulungskonzept / Awarenesskampagnen Belehrung der Mitarbeiter Verfahrensverzeichnis Konzerninterner Datenaustausch Datenschutzkonforme Richtlinie Datenschutzkonformer Internetauftritt Internes Kontrollwesen durch DSB

20 Datenschutzrechtliche Anforderungen Sichere und bekannte Meldewege - für datenschutzrelevante Verfahren - im Fall von Datenschutzvorfällen Beauftragung von Dienstleistern, 21g Abs. 4 EnWG i.v.m. 11 BDSG - Vorabkontrolle, da besonders sensible Daten (?) Missbrauchskontrolle 21g Ab. 3 EnWG - dokumentierte Anhaltspunkte - (Energieverbrauchs-) Daten nicht älter als 6 Monate - pseudonymisierter Gesamtdatenbestand (keine Analyse im Messsystem selbst) - festgelegte (begründbare) Missbrauchskriterien

21 Datenschutz im Smart Home Lieferant Gateway- Administrations- Dienstleister Netzbetreiber Messstellenbetreiber Letztverbraucher

22 Umsetzung im Unternehmen Analyse Konzeption Einführung Betreuung Analyse und Handlungsempfehlungen erstellen Grundlagen schaffen Organisation aufbauen / Verfahren einführen Organisation betreiben Dokumentation und Gewichtung der Risiken Vorschlag einer bewerteten Maßnahmenliste Präsentation der Ergebnisse Organisatorische Grundlagen aufbauen: Leitlinie zur Organisation inkl. Definition von Verantwortlichkeiten und Aufgaben Verfahrensanweisungen Arbeitshilfen, Formulare Mitarbeiter schulen Datenschutzkonforme Prozesse etablieren Verfahrensverzeichnis zusammen mit den Fachbereichen mit Inhalten füllen Prüfen, dokumentieren, empfehlen und aufklären Anfragen (intern, extern) bearbeiten Schulen und aufklären Jahresbericht erstellen und diesen der Geschäftsführung vorstellen Vorabkontrolle durchführen Formale Grundlagen schaffen: Rahmenbedingungen für die Verfahrensverzeichnisse

23 Vielen Dank für Ihre Aufmerksamkeit! Zertifizierungs -nachweis