Bei dem Ladevorgang eines Elektrofahrzeugs erfolgt – anders als beim herkömmlichen Tanken – ein reger Datenaustausch: So werden in diesem Prozess Daten über das Fahrzeug (ID) wie auch Daten zur Bezahlung verarbeitet, wobei diese Daten entweder direkt über das Fahrzeug an die Ladesäule oder über gesonderte digitale Services (App) bereitgestellt werden. Für die Abwicklung des Ladevorgangs werden diese Daten von verschiedenen Stakeholdern verarbeitet, etwa dem Charge Point Operator oder dem E-Mobility Service Provider. Und weil ein Großteil der Daten als personenbezogen zu qualifizieren ist, richtet sich die Verarbeitung dieser Daten nach dem Datenschutzrecht. Aber wer darf diese Daten wie verarbeiten?

Charging Data als personenbezogene Daten?

Das Datenschutzrecht gilt nur für personenbezogene Daten. Personenbezogene Daten sind solche Daten, die entweder allein oder in Verbringung mit anderen Daten, auf ein bestimmtes Individuum zurückzuführen sind bzw. dieses identifizierbar machen. Haben Daten diese Eigenschaft, dann ist bei der Verarbeitung das Datenschutzrecht zu beachten.

Aber können Daten, die im Rahmen des Ladevorgangs anfallen, auch personenbezogen sein? Das ist zwar jeweils individuell zu bewerten, ist aber in der Regel der Fall: Identifizierende Informationen über das Fahrzeug sowie die Informationen für die Abrechnung lassen sich bei Privatnutzern auf eine Person zurückführen. Bei Dienstfahrzeugen ist dies davon abhängig, inwieweit das Dienstfahrzeug oder die Ladekarte einer bestimmten Person zuzuordnen sind. Sind bestimmte Daten personenbezogene, kann sich diese Verbindung auf andere Daten beziehungsweise einen gesamten Datensatz übertragen.

Verantwortlichkeit der Stakeholder

An der Abwicklung des Ladevorgangs und dem Angebot weiterer Services sind verschiedene Stakeholder beteiligt, wie der Charge Point Operator oder der E-Mobility Service Provider. Ebenfalls können die Hersteller des Fahrzeugs oder – im Falle eines Dienstwagens – der Arbeitgeber mit Ladedaten in Kontakt kommen. Für die beteiligten Stakeholder ist es daher von herausragender Bedeutung, die Grundsätze der datenschutzrechtlichen Verantwortlichkeit für die Datenverarbeitung zu kennen. Denn daraus ergeben sich die Rechte und Pflichten der Datenverarbeiter – mit anderen Worten, welche Möglichkeiten sie bei der Datenverarbeitung haben.

Das Datenschutzrecht sieht einen abschließenden Katalog verschiedener Rollen vor und unterscheidet grundsätzlich zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Ausschließlich der Verantwortliche darf bestimmen, für welche Zwecke die Daten verarbeitet werden, wohingegen der Auftragsverarbeiter die Daten nur auf Grundlage eines vertraglich fixierten „Auftrags“ und auf Anweisung des Verantwortlichen, aber nicht für eigene Zwecke, verarbeiten darf. Neben dem „einfachen“ Verantwortlichen kann es aber auch die sogenannte Gemeinsame Verantwortlichkeit geben, bei der die Verantwortlichkeit für eine Datenverarbeitung einzelner Datenverarbeiter aufgeteilt wird, mit der Folge, dass auch die Pflichten aufgeteilt werden können.

Die datenschutzrechtlichen Rollen der Stakeholder folgen den tatsächlichen Gegebenheiten der Datenverarbeitung. Damit folgen auch die Rechte und Pflichten der Datenverarbeitung – sprich auch die Möglichkeiten der Datenverarbeitung – den Rollen der einzelnen Stakeholder. Wer also Verantwortlicher, Gemeinsam Verantwortlicher oder Auftragsverarbeiter ist, folgt nicht etwa vertraglichen Vereinbarungen zwischen den Parteien, sondern allein dem Umstand, wer die Zwecke und Mittel der Datenverarbeitung bestimmt, also den tatsächlichen Gegebenheiten der Datenverarbeitung.

Datenschutzrechtliche Gestaltung durch strukturelle Planung

Es ist nicht möglich, die – den tatsächlichen Umständen folgenden – gesetzlich zugeschriebenen Rollen durch vertragliche Vereinbarungen zwischen den Parteien zu verteilen oder zu ändern. Allerdings besteht eine Möglichkeit, die datenschutzrechtlichen Rollen zu steuern. Wenn bereits bei der strukturellen Planung der Zusammenarbeit berücksichtigt wird, welcher Stakeholder welche Daten für welche Leistungserbringung oder sonstige Zwecke benötigt, kann die Datenverarbeitung und der Datenaustausch an diese Struktur angepasst und rechtssicher gestaltet werden. So wird die geplante Datenverarbeitung der einzelnen Stakeholder möglich. Das Datenschutzrecht sollte daher von Anfang an mitbedacht werden.