Wie smart sind die neuen Smart Meter?

201730.06.

Bei der Einführung Intelligenter Messgeräte („Smart Meter“) sind nicht nur energierechtliche Themen, sondern vor allem das Datenschutzrecht relevant, weil schon durch die Erfassung des Stromverbrauchs im Smart Meter personenbezogene Daten generiert, verarbeitet und übermittelt werden. Mit 25. Mai 2018 treten sowohl die europäische Datenschutz-Grundverordnung („DSGVO“) als auch das österreichische Datenschutz-Anpassungsgesetz 2018 („DSAG 2018“), das mit 29. Juni 2017 im Nationalrat verabschiedet wurde, in Kraft.

Bis Mai 2018 ist es nötig, dass Netzbetreiber Vorkehrungen treffen, um die durch Smart Meter generierten personenbezogenen Daten rechtskonform zu schützen. Wie Ihnen das gelingt, lesen Sie hier.

Artikel

Grundsatz der Zweckbindung

Smart Meter erheben Stromverbrauchsdaten, die einem bestimmten Zählpunkt – also einem bestimmten Netzbenutzer – zugeordnet sind. Diese personenbezogenen Daten dürfen nach datenschutzrechtlichen Vorschriften nur verarbeitet werden, wenn sich dafür eine rechtliche Grundlage finden lässt. Eine Grundlage könnte nach Art 6 DSGVO entweder in einer Einwilligungserklärung des Netzbenutzers, in einer gesetzlichen Verpflichtung oder Ermächtigung – wie etwa in §§ 83 ff ElWOG oder §§ 126a ff GWG statuiert – liegen oder zur Vertragserfüllung notwendig sein.

Generell statuiert § 84a Abs 5 ElWOG bzw § 129a Abs 5 GWG, dass die Verwendung von mittels intelligenter Messgeräte ermittelten Verbrauchsdaten zu anderen als den im Gesetz genannten Zwecken unzulässig ist. Während dies zwar dem Zweckbindungsgrundsatz der DSGVO entspricht, ist ein absolutes Verbot uE dennoch überschießend: Die DSGVO erlaubt die Zweckerweiterung nämlich sehr wohl, sofern eine Zustimmung der Betroffenen eingeholt wurde. Auch in Hinblick auf den Grundsatz der Privatautonomie, der die Vertrags- und Gestaltungsfreiheit garantiert, würde eine Einschränkung auf nur die im ElWOG bzw GWG genannten Zwecke widersprechen. Aufgrund des Anwendungsvorrangs des Unionsrechts ist eine Verwendung der Daten zu anderen Zwecken unter den in der DSGVO genannten Voraussetzungen, insbesondere mit Zustimmung der Betroffenen, somit zulässig. Zu beachten ist auch, dass die DSGVO an die Zustimmung des Datensubjekts bezüglich Freiwilligkeit und Information sehr hohe Maßstäbe anlegt.

Verpflichtungen und Umsetzungsmaßnahmen

Den Netzbetreiber trifft nach zukünftiger Rechtslage die Verpflichtung, sicherzustellen, dass die Verarbeitung der Daten von einer rechtlichen Grundlage gedeckt ist, die Datensicherheitsmaßnahmen eingehalten und die Betroffenenrechte gewahrt werden. Zusätzlich müssen Netzbetreiber eine Datenschutz-Folgeabschätzung (Data Protection Impact Assessments) und Sicherheitszertifizierungen durchführen sowie allenfalls einen Datenschutzbeauftragten bestellen.

Der Netzbetreiber als Verantwortlicher nach der DSGVO hat daher Sorge zu tragen, dass folgende Maßnahmen bis 25. Mai 2018 umgesetzt werden.

  • Alle Zugriffe und Sicherheitsmaßnahmen müssen lückenlos protokolliert Daher ist es sinnvoll, organisatorische und technische Maßnahmen zu ergreifen, die es schnell und effizient möglich machen, auf personenbezogene Daten zuzugreifen. Unter die Protokollierungspflicht fallen auch Lese-, Remote- und Fernwartungszugriffe, weil gerade diese Zugriffe hohe Datenverlust- und Datenmissbrauchsrisiken in sich bergen. --> siehe dazu Art 30 DSGVO
  • Netzbetreiber müssen sicherstellen, dass Daten im Zähler ausschließlich gemäß den gesetzlichen Vorgaben und nur für die gesetzlich vorgesehene Dauer gespeichert werden. Konkret sollen Tagesverbrauchswerte für 60 Tage im Smart Meter gespeichert werden. Eine differenzierte Auslesung der Stromverbrauchswerte muss möglich sein. Zulässig ist jedenfalls eine Auslesung des Tagesverbrauchs. Eine Auslesung von Viertelstundenwerten im Strom bzw Stundenwerten im Gas ist nur mit Zustimmung des Endnutzers oder, soweit sie für die Aufrechterhaltung eines sicheren und effizienten Netzbetriebs unabdingbar ist, zulässig. --> siehe dazu Art 25 DSGVO
  • Zusätzlich ist den Kunden ein sicheres Webportal bereitzustellen, aus dem sie die täglichen sowie auf Wunsch auch die viertelstündlichen Verbrauchswerte der letzten 36 Monate auslesen können. Die Nutzer haben das Recht, einzelne Werte monatsweise oder ihr gesamtes Webportal mit allen Daten jederzeit zu löschen. Abgesehen davon ist auf Wunsch des Kunden am Messgerät selbst, abweichend von der standardmäßig vorgesehenen, nur den aktuellen Zählerstand zeigenden Einstellung, eine solche Einstellung zu treffen, die es dem Endnutzer ermöglicht, alle im Gerät erfassten Messwerte auszulesen. --> siehe dazu 84 ElWOG; § 129 GWG
  • Die Europäische Kommission hat weiters die Durchführung einer Datenschutz-Folgeabschätzung Daher sollten die Netzbetreiber alle Verarbeitungsvorgänge – von Erhebung über Speicherung und Weitergabe bis hin zur Löschung – dokumentieren und gegebenenfalls der Datenschutzbehörde ("DSB") das Risiko für Rechte und Freiheiten natürlicher Personen nach Art 35 DSGVO mitteilen. Bei Datenschutzverstößen würde die Implementierung eines solchen Systems sich strafmildernd auswirken.

Eine anerkannte Datenschutzzertifizierung nach Art 42 DSGVO ist zwar keine Garantie, von Kontrollen unbehelligt zu bleiben und alle Auflagen der DSGVO zu erfüllen, jedoch ein starkes Indiz dafür, dass ein Unternehmen seine datenschutzrechtlichen Pflichten erfüllt. Zertifizierungen können von der nationalen Regulierungsbehörde sowie bestimmten akkreditierten Stellen vorgenommen werden. Eine bekannte Zertifizierung, von der aber noch nicht geklärt ist, ob sie alle Anforderungen der DSGVO erfüllt, ist die ISO27001 Zertifizierung, die beim TÜV, der Österreichischen Computergesellschaft oder der CIS – Certification & Information Security Service GmbH vorgenommen werden kann.

Zur Notwendigkeit der Bestellung eines Datenschutzbeauftragten für Netzbetreiber siehe den Artikel: "Wer hat Angst vor Datenschutz? Nicht davonlaufen, sondern nachrüsten."

Weitergabe der Daten an Dritte

Da Netzbetreiber an die Geheimhaltungsverpflichtung des § 11 ElWOG bzw § 11 GWG gebunden sind, ist bei der Weitergabe von Daten an Dritte höchste Vorsicht geboten.

  • Die Netzbetreiber sind verpflichtet, die durch intelligente Messgeräte erhobenen Verbrauchsdaten an die Lieferanten/Versorger zum Zwecke der Rechnungslegung zu übermitteln. Die Lieferanten sind verpflichtet, den Endverbrauchern monatlich eine detaillierte, klare und verständliche Verbrauchs- und Energiekosteninformation über die Gesamtkosten, die auf Basis der erfassten Messwerte ermittelt wurden, elektronisch (oder auf Wunsch per Post) zukommen zu lassen. --> siehe dazu § 81a, 84a ElWOG, §§ 126a, § 129a GWG
  • Ein weiterer durch Gesetz ausdrücklich vorgesehener Fall der Datenübermittlung an Dritte ist der Lieferantenwechsel. Nach dem in der DSGVO verankerten Recht auf Datenübertragbarkeit (Art 20 DSGVO) sind Netzbetreiber und Lieferanten/Versorger verpflichtet, über eine von der Verrechnungsstelle zu betreibende Plattform die für einen Anbieterwechsel notwendigen Daten auf Wunsch des Kunden zu übertragen. Auch für diesen Vorgang gelten diverse Protokollierungspflichten. --> siehe dazu 76 ElWOG; § 123 GWG
  • In Zusammenhang mit der oben behandelten Möglichkeit des Kunden, die Verbrauchswerte der letzten 60 Tage direkt am Smart Meter auszulesen, muss der Netzbetreiber Steuerungsmöglichkeiten besitzen, um eine Auslesung im Falle eines Kundenwechsels blockieren zu können um die Daten des Vorbenutzers zu schützen.
  • Außerdem sollten Maßnahmen ergriffen werden, die das Anonymisieren bzw Pseudonymisieren personenbezogener Daten ermöglichen, da Systemtests und ‑entwicklung mit Echtdaten unzulässig sind und auch für statistische Zwecke nur pseudonymisierte Daten herangezogen werden dürfen. --> siehe dazu 84a Abs 1 ElWOG, § 129a Abs 1 GWG.

Falls der Netzbetreiber einen Auftragsverarbeiter (Art 28 DSGVO, früher: Dienstleister) zur Verarbeitung personenbezogener Daten einsetzt, so hat er dafür zu sorgen, dass auch dieser die datenschutzrechtlichen Bestimmungen einhält. Besonderes Augenmerk sollte auch auf den schriftlich festgehaltenen Vertrag zwischen Netzbetreiber und Auftragsverarbeiter gelegt werden, der die in der DSGVO vorgesehenen Voraussetzungen erfüllen muss. Dazu gehört unter anderem, dass personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen hin verarbeitet werden dürfen, dass die Wahrung der gesetzlichen Verschwiegenheitspflichten gewährleistet sein muss und dass der Auftragsverarbeiter nach Abschluss der Verarbeitungsleistungen die betreffenden Daten, je nach Wahl des Verantwortlichen, löscht oder zurückgibt.

Rechtsdurchsetzung und Strafen

Sollte es trotz Einhaltung der datenschutzrechtlichen Vorgaben zu Verletzungen der Rechte und Freiheiten natürlicher Personen kommen, so hat die betroffene Person mehrere Möglichkeiten.

  • Einerseits kann nach Art 77 DSGVO Beschwerde an die DSB als zuständige Aufsichtsbehörde bei Nichteinhaltung der datenschutzrechtlichen Vorschriften erhoben werden. Die DSB hat sich mit der Beschwerde zu befassen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu informieren. Die DSB hat zahlreiche Befugnisse, Netzbetreiber zu veranlassen, ihr rechtswidriges Verhalten einzustellen. Neu ist die Frist zur Geltendmachung in 13 Abs 4 DSAG 2018: ein Jahr ab Kenntnis des beschwerenden Ereignisses, spätestens drei Jahre ab dem Ereignis. Gegen Bescheide der DSB kann Beschwerde an das BVwG eingebracht werden. Auch bei Verletzungen der Entscheidungspflicht bzw Verzögerung der Mitteilungspflicht oder Nichtunterrichten des Beschwerdeführers gewährt das DSAG 2018 die Beschwerdebefugnis an das BVwG nach § 16 DSG 2018.
  • Möglich wäre auch, eine Schadenersatzklage bei den ordentlichen Gerichten nach Art 82 DSGVO Materielle und immaterielle Schäden aus Verstößen gegen die DSGVO sind beim zuständigen LG geltend zu machen. Die Beweislast zur rechtskonformen Verarbeitung trägt der Netzbetreiber.
  • Nach aktueller Rechtslage kann die DSB das Unternehmen verpflichten, die Datenanwendungen bei schweren Datenschutzverletzungen zu unterlassen, SE-Forderungen und auch wettbewerbsrechtliche Unterlassungsklagen samt möglicher Pflicht zur Urteilsveröffentlichung bei Datenschutzverletzungen zu genehmigen, sowie Verwaltungsstrafen von bis zu 25.000 EUR zu erlassen. Nach Art 83 DSGVO können ab 25. Mai 2018 Strafen von bis zu 20 Mio EUR oder zwischen 2% und 4% des weltweiten Gesamtumsatzes des vorhergegangenen Jahres – je nachdem, welche Strafe höher ist – drohen. Nach neuem österreichischem DSAG 2018-Entwurf werden Verletzungen je nach Rechtsverletzung mit Geldstrafe bis zu 50.000 EUR, einer Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 720 Tagessätzen sanktioniert (§§ 69 f DSAG 2018), sofern Verletzungen nicht nach der DSGVO sanktioniert werden.

Angesichts der zahlreichen Möglichkeiten zur Rechtsdurchsetzung und der hohen Strafen ist es für Netzbetreiber notwendig, sich auf die neuen datenschutzrechtlichen Vorgaben einzustellen und rechtzeitig Maßnahmen zu deren Implementierung zu setzen.