Herr Fischer, die anfallenden Daten in Windenergieanlagen können wichtige Erkenntnisse zu den Anlagen, ihren Schwächen und Stärken liefern. Gibt es eigentlich datenschutzrechtliche Bedenken bei der Erhebung und Verarbeitung von Windturbinendaten, insbesondere Schadensdaten?
Marco Fischer: Der sachliche Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) und des deutsche Bundesdatenschutzgesetz (BDSG) beschränkt sich jeweils auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von natürlichen Personen. Folgerichtig fällt die Verarbeitung von Daten juristischer Personen (e.V., GmbH, Aktiengesellschaften) oder Personengesellschaften (KG, oHG, GbR) nur dann in Anwendungsbereich des Datenschutzes, wenn die betreffenden Daten zumindest mittelbar Rückschlüsse auf natürliche Personen (insb. die Gesellschafter) zulassen.
Bei Windturbinendaten handelt es sich vornehmlich um Maschinendaten, so dass auf den ersten Blick keine personenbezogenen Daten betroffen sind. Allerdings darf der Begriff der Personenbezogenheit (Art. 4 Nr. 1 DSGVO) nicht zu eng gefasst werden. Es reicht aus, wenn die Informationen einer Person (mittelbar) zugeordnet werden können. Vorliegend könnte man erwägen, dass die Turbinendaten nicht nur über die Qualität der Maschinen selbst, sondern auch über deren Hersteller (hohe Schadensquote gleich schlechte Herstellerqualität) Rückschluss geben. Da die Hersteller jedoch regelmäßig selbst keine natürlichen Personen sind, würde selbst die Namentliche Nennung des Unternehmens nicht zur Anwendung des Datenschutzrechts führen. Nur wenn die betreffenden Turbinendaten über den Hersteller hinaus auch Rückschluss auf nat. Personen (z.B. Gesellschafter oder Kunden) geben, findet das Datenschutzrecht Anwendung. Dies ist letztlich eine Frage des Einzelfalls. Es kommt auf den konkreten Inhalt der Turbinendaten an. Bloße Schadensdaten (etwa: wie oft eine Turbine ausfällt) dürften dem regelmäßig nicht genügen.
Gibt es sonstige Bedenken hinsichtlich des Zur-Verfügung-Stellens von Turbinendaten?
Marco Fischer: Soweit die erhobenen Daten keinen Personenbezug aufweisen, ist das Zur-Verfügung-stellen aus datenschutzrechtlicher Sicht nicht zu beanstanden. Die Problematik stellt sich vielmehr aus einem anderen Blickwinkel. (Schadens-)Daten, die unmittelbaren Bezug auf Unternehmen und der Leistungsqualität haben, werden i.d.R. Betriebs- und Geschäftsgeheimnisse der Unternehmen darstellen, an deren Nichtveröffentlichung diese ein berechtigtes Interesse haben. Folglich könnte die Veröffentlichung eine unerlaubte Handlung darstellen, die – insbesondere vor dem Hintergrund einer möglichen Rufschädigung des Unternehmens – neben Unterlassungsforderungen hohe Schadensersatzklagen zur Folge haben könnten. Die Hersteller werden ihre Vertragspartner (insb. Wartungsservice und Anlagenbetreiber) daher regelmäßig bereits vertraglich zur Geheimhaltung über etwaige Schadensdaten verpflichten. Die Herausgabepflicht bedürfte daher bestenfalls einer gesetzlichen Grundlage.
Datenschutz und Anlagenbetrieb in der Windbranche – woran mangelt es?
Marco Fischer: Unserer Erfahrung nach fehlt es zunächst an dem Bewusstsein der Energiebranche, selbst von den neuen Vorgaben der DSGVO betroffen zu sein. Hier besteht Aufklärungsbedarf. Oftmals besteht die irrige Annahme, die Vorgaben zum Messstellenbetriebsgesetz würden die Vorgaben der DSGVO verdrängen. Dabei findet die DSGVO weiterhin vollumfänglich Anwendung. Dass der Energiebranche darüber hinaus als sog. „Sektor kritischer Infrastrukturen“ (KRITIS-VO) besondere Anforderungen an die IT-Sicherheit zukommen, ist weitestgehend unbekannt.
Erst auf zweiter Ebene stellt sich die Frage nach der konkreten Umsetzung der DSGVO. Diese erweist sich insbesondere in der technischen Realisierung als komplex. Als datenschutzrechtlich besonders relevant ist der B2C-Bereich zu nennen. Datenschutz-Folgeabschätzung, Auftragsdatenverarbeitung und Data-Protection-by-design stellen nur eine kleine Auswahl wichtiger technischen und organisatorischen Maßnahmen zur Umsetzung des Datenschutzes im eigenen Unternehmen dar. Auch die Einführung intelligenter Messsysteme (Smart-Meter) wird unter Datenschutzaspekten eine wesentliche Herausforderung darstellen.
Infos und Anmeldung zur BWE-Konferenz Digitalisierung in Betrieb und Instandhaltung von Windenergieanlagen hier. Die Konferenz findet vom 5. bis 6. Dezember in Hannover statt.
(Nicole Weinhold)
