Kurzbeitrag : Datenschutzrechtliche Anforderungen bei intelligenten Messsystemen – Das neue „Gesetz zur Digitalisierung der Energiewende“ : aus der RDV 1/2016, Seite 22 bis 25
1. Einleitung
Das geplante „Gesetz zur Digitalisierung der Energiewende“[1] mit dem wesentlichen Kern, dem neuen „Messstellenbetriebsgesetz“ (MsbG-E)[2], gibt der Energiewende ein digitales Antlitz mit beträchtlichen Auswirkungen für Verbraucher und Unternehmen: Bis spätestens 2032 sollen alle Anschlüsse (so genannte „Messpunkte“[3]) mit intelligenten Messeinrichtungen für Strom und Gas ausgestattet sein[4].
Die spezifischen datenschutzrechtlichen Anforderungen werden die Arbeit von Datenschutzbeauftragten, Syndikusanwälten und Fachpersonal in Energieversorgungsunternehmen, Zuliefererindustrie, Netzbetreibern sowie Rechtsanwaltskanzleien zur Einführung der „intelligenten Messsysteme“ in einem „intelligenten Netz“ in den nächsten Jahren prägen.
Mit der Erfüllung des gesetzlichen Zieles – dass jeder Bundesbürger einen objektiven und transparenten Zugang zu seinen Verbrauchsdaten hat – ist eine der Kernforderungen des „Dritten Binnenmarktpakets Energie“ der Europäischen Union umgesetzt[5]. Vorgabe der EU-Richtlinien ist ein hohes Maß an Verbraucherschutz, das notwendig ist, da sich die Verbraucherseite gerade stark verändert: Passive Stromkonsumenten entwickeln sich mehr zu sogenannten „Prosumern“, die beispielsweise aktiv an der Gestaltung des Stromversorgungssystems teilnehmen, indem sie selbst Strom einspeisen oder den Verbrauch durch Smart Home-Anwendungen eigenständig steuern. Dies erhöht die Quantität und Qualität der Mess- und Kommunikationsdaten erheblich, was naturgemäß datenschutzrechtliche Fragen aufwirft, die der Gesetzgeber lösen muss.
Hinsichtlich der Diskussion und der Lösung dieser Fragen ist zu beachten, dass mit der Regelung der datenschutzrechtlichen Vorschriften in einem eigenständigen Gesetz die Vorgaben im MsbG-E in den meisten Fällen denen des BDSG vorgehen.
2. Darstellung des Gesetzespakets
Das Gesetzespaket enthält eine Reihe von Gesetzeinführungen und -änderungen und soll die Digitalisierung der Energiewende unter folgenden Prämissen umsetzen:[6]
- Vorgabe technischer Mindestanforderungen an den Einsatz intelligenter Messsysteme in Form allgemeinverbindlicher Schutzprofile und technischer Richtlinien,
- Regelung der zulässigen Datenkommunikation zur Gewährleistung von Datenschutz und Datensicherheit in modernen Energienetzen,
- Regelung des Betriebs von Messstellen und Regelung der Ausstattung von Messstellen mit modernen Messeinrichtungen und intelligenten Messsystemen, um den Rahmen für einen kosteneffizienten, energiewendetauglichen und verbraucherfreundlichen künftigen Messstellenbetrieb zu setzen.
Mit Einführung des MsbG-E sind die einzelnen Komponenten des zukünftigen Beziehungsgeflechts im digitalisierten Messwesen festgelegt: Die „moderne Messeinrichtung“ erhebt und übermittelt die (personenbezogenen) Daten an das „intelligente Messsystem“. Über das darin enthaltene „Smart Meter Gateway“ wird mit Vertrieb, Netzbetreiber und weiteren Akteuren außerhalb der Liegenschaft kommuniziert.
An die Datenkommunikation zwischen den Akteuren stellt das Gesetz besondere Anforderungen hinsichtlich des Datenschutzes und der Datensicherheit.
3. Einführung in die datenschutzrechtlichen Bestimmungen
Das MsbG-E enthält ab den §§ 49 ff. umfassende datenschutzrechtliche Regelungen, die an die Stelle der bisherigen Regelungen der §§ 21e–i EnWG treten und nach Vorstellung der Regierung den Anforderungen an Datenschutz und Datensicherheit in intelligenten Energienetzen genügen sollen[7]. Da § 29 von einer generellen Einbaupflicht ausgeht, liegt der Schwerpunkt der Regelungen auf dem zulässigen Umgang mit den an der Messstelle erhobenen Daten (§§ 49–73). Die Festlegungen zu technischen und organisatorischen Maßnahmen sind hingegen weitestgehend auf die Bundesnetzagentur übertragen, die diese im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI)[8] im Verordnungswege treffen soll (§ 75 Nr. 1).
Dem eigenen Anspruch folgend, die „grundrechtsrelevante Regelungsmaterie“ in einem neuen „Stammgesetz“ zusammenzufassen[9], ordnet § 49 Abs. 1 einen generellen Anwendungsvorrang an: „Eine Übermittlung, Nutzung oder Beschlagnahme dieser Daten nach anderen Rechtsvorschriften ist unzulässig“ (S. 2). Die Regelung greift die insoweit wortidentischen Formulierungen in den Gesetzen zur LKW- und PKW-Maut[10] auf. Im Unterschied zu den Maut-Regelungen, die eine strenge Zweckbindung für die erhobenen Daten vorsehen, folgt der Entwurf allerdings einem liberaleren Ansatz:
Zwar beschränkt das Gesetz vordergründig den Datenumgang auf einen numerus clausus berechtigter Stellen (§ 49 Abs. 1 S. 1) und die Erhebung, Verarbeitung und Nutzung von Daten auf „erforderliche“ Zwecke (§ 50). Das Gesetz räumt jedoch den Stellen die Befugnis ein, die gesamten Verarbeitungsvorgänge an Dienstleister auszulagern, sofern die Vorschriften des § 11 BDSG eingehalten werden (§ 49 Abs. 3).
Ein weiter Spielraum sowohl zur Erweiterung der Zwecke als auch des Umfangs des Datenumgangs wird durch die Möglichkeit der „Zustimmung“ des Anschlussinhabers (§§ 59, 65 und 70) eröffnet. Die Regelungen verweisen ausdrücklich auf die formellen Anforderungen des § 4a BDSG. Auch inhaltlich dürfte es sich bei der „Zustimmung“ i.S.d. Gesetzes um eine datenschutzrechtliche Einwilligung handeln, die grundsätzlich bei ausreichender Transparenz für den Betroffenen einen weitgehenden Datenumgang rechtfertigen kann[11].
Klare Grenzen findet die Einwilligung jedoch, soweit Rechte Dritter betroffen sind. Das Gesetz legt die Einwilligungsbefugnis ausschließlich in die Hand des Anschlussnutzers[12]. Dessen Einwilligung dürfte in den meisten Fällen jedoch nicht ausreichend sein, um das Recht auf informationelle Selbstbestimmung aller vom Umgang mit den Daten betroffenen Personen sicherzustellen[13]. In den wenigsten Fällen dürfte der Anschlussnutzer alleiniger Verursacher der durch die intelligenten Messstellen erhobenen Verbrauchsdaten sein. Jedenfalls für die weiteren im Haushalt des Anschlussinhabers lebenden Personen könnten ebenfalls zumindest personenbeziehbare Daten vorliegen. Die Persönlichkeitsrechte dieser Personen sind durch den Umgang mit den Daten in gleicher Weise beeinträchtigt[14]. Hier wäre zu erwarten gewesen, dass das Gesetz zumindest Bestimmungen aufgegriffen hätte, wie sie zur Bekanntgabe des Einzelverbindungsnachweises im Telekommunikationsgesetz geregelt sind[15].
Welche Daten an den intelligenten Messstellen zwingend erhoben werden müssen, legt das Gesetz schließlich in verbindlichen Mindeststandards fest. Für die Messwerterhebung von Strom und Gas ist dies in der Regel die sogenannte Zählerstandsgangmessung[16] (§ 55 Abs. 1 Nr. 2 für Strom und § 58 Abs. 1 Nr. 1 für Gas), die eine feingranulare Verbrauchsmessung bewirkt. Zwar sieht § 60 Abs. 6 eine sofortige Löschung personenbezogener Messwerte unter Beachtung mess- und eichrechtlicher Vorgaben vor; diese nach der Gesetzesbegründung[17] auf Datensparsamkeit ausgerichtete Regelung wird jedoch teilweise dadurch konterkariert, dass der Messstellenbetreiber gemäß § 61 Abs. 1 Nr. 4 dazu verpflichtet ist, neben historischen tages-, wochen-, monats- und jahresbezogenen Energieverbrauchswerten zwingend auch die Zählerstandsgänge für die letzten 24 Monate zur Einsicht vorzuhalten.
Zwar räumt der Gesetzesentwurf gemäß § 61 Abs. 2 der so genannten Inhouse-Kommunikation[18] den Vorrang ein, stellt diese jedoch unter den Vorbehalt der technischen Machbarkeit und wirtschaftlichen Vertretbarkeit. Wann eine wirtschaftliche Vertretbarkeit nicht mehr gegeben ist, bleibt im Gesetzesentwurf offen. Alternativ eröffnet das Gesetz mit Einwilligung des Anschlussnutzers die Möglichkeit, die Daten an ein Online-Portal zu übermitteln. Dies setzt jedoch indirekt voraus, dass die Messwerte über das Smart MeterGateway an eine dritte Stelle übermittelt werden müssen, die die Daten für den Anschlussnutzer speichert und aufbereitet. Die Datenschutzbehörden hatten sich diesbezüglich stets für eine lokale Datenverarbeitung ohne Einbindung externer Stellen ausgesprochen[19].
4. Ausblick
Der Gesetzentwurf zur Digitalisierung der Energiewende soll das gesamte Messwesen im Strombereich und perspektivisch im Gasbereich neu regeln. Der Einbau intelligenter Messstellen wird endgültig zur Pflicht, womit der Umfang der Erhebung, Verarbeitung und Nutzung von (personenbezogenen) Daten beim Kunden gegenüber dem derzeitigen Stand beträchtlich anwächst.
Die Daten dienen den Zwecken der angestrebten Energiewende, wenn z.B. im Bedarfsfall weitere Netzzustandsdaten benötigt werden, um vorgesehene Maßnahmen zum Einspeisemanagement oder andere Schalthandlungen vornehmen zu können. Dabei sollten die Datenübermittlungen nur zwischen den berechtigten Teilnehmern (Verbraucher, Netzbetreiber, Energielieferant, Bilanzkreiskoordinator etc.) unter Einhaltung der mit den technischen Richtlinien des BSI vorgesehenen technischen und organisatorischen Maßnahmen zur Gewährleistung der IT-Sicherheit erfolgen und nur in dem für den jeweiligen Zweck erforderlichen Umfang vollzogen werden.
Die im Gesetzesentwurf enthaltenen datenschutzrechtlichen Vorschriften werden entgegen den Beteuerungen der Regierung der Grundrechtsrelevanz der Regelungsmaterie bisher nicht vollends gerecht. Der Entwurf ebnet in seiner aktuellen Fassung den Weg zum „gläsernen Verbraucher“, der gegenüber dem Anschlussinhaber im eigenen Haushalt transparent wird; entsprechende Einwilligungen und Zustimmungserklärungen vorausgesetzt, auch gegenüber einer unbestimmten Anzahl weiterer Akteure im Energienetz der Zukunft.
Aus Verbrauchersicht wäre es daher wünschenswert, wenn der Gesetzgeber – nicht zuletzt zur Erhöhung der Akzeptanz intelligenter Messstellen – im anstehenden Gesetzgebungsverfahren auch für die evidente Frage der Messwertnutzung im eigenen Haushalt im Gesetzestext adäquate Antworten vorsehen würde. Dabei sollte der Grundsatz der Datenvermeidung und Datensparsamkeit in der Prozesskonzeption der Akteure ausreichend Berücksichtigung finden. Die Möglichkeiten, personenbezogene Daten anonymisiert bzw. wenigstens pseudonymisiert zu verarbeiten, sind, wenn der Zweck dies erlaubt (bspw. im Bereich der Bilanzkreissummenbildung), auszuschöpfen. Die Möglichkeit des Verbrauchers, seine Verbrauchsdaten lokal ohne externe Datenverarbeitung einzusehen, sollte nicht unter dem Vorbehalt einer wirtschaftlichen Vertretbarkeit stehen.
Bereits jetzt ist absehbar, dass – sollte der Regierungsentwurf Gesetz werden – es für die Energieversorgungsunternehmen zu einer Herausforderung werden wird, für Einwilligungserklärungen und eventuelle Auslagerungen Rechtsgestaltungen zu finden, die auch angesichts der erwarteten Regelungen der Datenschutzgrundverordnung zu „Privacy by Design“ Bestand haben werden.
* Till Karsten, LL.M. ist Syndikusanwalt bei der ENTEGA AG aus Darmstadt und mitverantwortlich für den Rollout der intelligenten Messsysteme im südhessischen Netzgebiet.
Andreas Leonhardt, LL.M. ist Informatik-Betriebswirt (VWA) und als Syndikusanwalt im Datenschutz in Neckarsulm tätig.
[1] Beschlossen vom Bundeskabinett in seiner Sitzung am 04.11.2015, BReg-Drs. 543/15 und BR-Drs. 543/15 (Regierungsentwurf). Befassung des Bundesrats am 18.12.2015, des Bundestags wahrscheinlich im ersten Quartal 2016.
[2] Entwurf über ein „Gesetz über den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen“. Alle weiteren §§ ohne Nennung des Gesetzes sind solche des Entwurfes für das Messstellenbetriebsgesetz (MsbG-E).
[3] Nach Recherchen der Verbraucherzentrale Bundesverband treffen danach jeden Haushalt jährliche Zusatzkosten. Lt. einer Umfrage lehnen 70% der Bundesbürger die Smart Meter-Pflicht ab, vgl. „Dumm wie Strom“, WamS vom 06.12.2015.
[4] Bis spätestens 2032 sollen die Messpunkte mit mehr als 6.000 kWh Jahresstromverbrauch bzw. bis spätestens 2025 von mehr als 7 kW installierter Leistung bei EEG- und KWK-Anlagen mit modernen Messeinrichtungen ausgestattet sein; unterhalb dieser Grenzwerte optional nach wirtschaftlicher Vertretbarkeit (siehe § 31).
[5] Beschlossen vom Europäischen Parlament am 13.07.2009 mit insgesamt zwei Richtlinien (Richtlinie 2009/72/EG sowie Richtlinie 2009/73/EG mit gemeinsamen Vorschriften für den Elektrizitätsbinnenmarkt und den Erdgasbinnenmarkt) sowie drei weiteren Verordnungen.
[6] Vgl. Regierungsentwurf, S. 4, Fn. 2.
[7] A.a.O.
[8] In § 52 Abs. 1 und 4 ausdrücklich angeordnet ist lediglich die verschlüsselte elektronische Kommunikation und die Nutzung der „Smart Metering PKI – Public Key Infrastruktur für Smart Meter Gateways“ (Technische Richtlinie BSI TR-03109-4 – Version 1.1.1 vom 18.05.2015).
[9] Vgl. Regierungsentwurf, a.a.O.
[10] § 4j Abs. 3 S. 2 Bundesfernstraßenmautgesetz (BFStrMG) und § 11 Abs. 3 S. 3 Infrastrukturabgabengesetz (InfrAG).
[11] Vgl. Gola/Schomerus, BDSG 12. Aufl. 2015, § 4a Rn. 26.
[12] „Der zur Nutzung des Netzanschlusses berechtigte Letztverbraucher oder Betreiber von Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz oder Kraft-Wärme-Kopplungsgesetz“ (§ 2 Nr. 3).
[13] So Gola/Schomerus, a.a.O, Rn. 25. Danach könne die Einwilligung zwar auch in Vertretung erklärt werden, keinesfalls genüge es jedoch (hier ausdrücklich für die Fälle der Anmeldung zum Melderegister oder der Beauftragung eines Nachsendeantrags gegenüber der Post), wenn der „Haushaltsvorstand“ oder der Mieter einer Wohnung die Mitbewohner lediglich mit angibt.
[14] So soll der Anschlussinhaber in diese Daten Einsicht nehmen, um Energieeinsparungspotenziale aufzudecken. Zwangsläufig gewinnt er durch Auswertung der Verbrauchsdaten jedoch auch Einsicht in die Benutzungsgewohnheiten seiner Mitbewohner.
[15] Der Teilnehmer (= Anschlussinhaber) muss gemäß § 99 Abs. 1 S. 3 TKG erklären, dass er die zum Haushalt gehörenden Mitbenutzer über die Mitteilung der Verkehrsdaten unterrichtet hat und zukünftige Mitnutzer unverzüglich darüber informieren wird.
[16] Die Zählerstandsgangmessung ist in § 2 Nr. 27 legaldefiniert als „die Messung einer Reihe viertelstündig ermittelter Zählerstände von elektrischer Arbeit und stündlich ermittelter Zählerstände von Gasmengen“
[17] Vgl. Regierungsentwurf, S. 188.
[18] D.h. dass der Zugriff auf die detaillierten Messdaten ausschließlich lokal, z.B. durch Visualisierung an einer lokalen Anzeigeeinheit erfolgt.
[19] Zuletzt u.a. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Datenschutz kompakt vom 07.10.2015, „Datenschutz und Smart Metering”. Die Empfehlungen nehmen Bezug auf die „Orientierungshilfe zur datenschutzkonformen Konzeption von technischen Systemen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom Juni 2012. Die externe Datenhaltung erhöht die Gefahren einer Vorratsdatenspeicherung. Zu den grundrechtlichen Anforderungen vgl. Büllesbach, in: Festschrift für W. Hassemer, Heidelberg 2010, S. 1185.