Die flexible Nutzung erneuerbarer Energien macht es erforderlich, intelligente Energieversorgungsnetze aufzubauen. Stromnachfrage und wetterabhängige Stromeinspeisung müssen in Einklang gebracht werden. Hilfe für diese Energiewende wird in der Digitalisierung gesehen. Doch sind mit der Digitalisierung auch Risiken für die Privatsphäre verbunden. So wird ein hohes Datenvolumen erhoben und verarbeitet, das zu Personenprofilen genutzt werden kann. Die automatische Übermittlung erfolgt unbemerkt, und die Masse der Daten kann ihrer eigentlichen Zweckbestimmung entzogen und missbraucht werden. Außerdem ist der Kommunikationsweg über das Internet anfällig. Diese Aspekte müssen bei der Ausgestaltung der Netzstruktur beachtet werden.
Mit dem Messstellenbetriebsgesetz (MsbG) vom 29. August 2016, zuletzt geändert durch das Zweite DatenschutzAnpassungs- und Umsetzungsgesetz EU vom 20. November 2019 (BGBl. I 2019 S. 1626, 1679 – 1681) hat der Bund – unter Beteiligung der Datenschutzaufsicht – sehr detaillierte Datenschutzregelungen für das Smart Metering geschaffen (§§ 19 – 28, 49 – 70 MsbG). Der Einbau von digitalen Stromzählern wird sowohl von Mieterseite als auch von Seiten der Immobilieneigentümerschaft nicht selten mit Skepsis gesehen, greifen sie doch in die private Wohnsphäre ein.
Die Aufsichtsbehörden erreichen dazu immer wieder Anfragen besorgter Bürgerinnen und Bürger.
Hier Antworten auf eine Auswahl von häufig gestellten Fragen im Überblick:
Worin unterscheiden sich „digitale Stromzähler“ von „intelligenten Stromzählern (Smart Metern)“? Intelligente Stromzähler bestehen aus einer digitalen Messeinheit, die über ein Kommunikationsmodul (Smart-MeterGateway) mit dem Internet verbunden ist. Über diesen Weg können die Verbrauchsdaten aus der Ferne ausgelesen und verarbeitet werden.
Bei dem digitalen Stromzähler handelt es sich nur um eine moderne elektronische und stationäre Ableseeinrichtung ohne Anbindung an das Internet und ohne Funkübertragungsmöglichkeit. Die digitalen Stromzähler können jedoch bei Bedarf mit dieser Kommunikationskomponente nachgerüstet werden.
Ab wann besteht eine gesetzliche Einbaupflicht?
Intelligente Stromzähler sind erst ab einem Jahresstromverbrauch von mindestens 6.000 Kilowattstunden einzubauen (§ 29 MsbG). Zum Vergleich: Der durchschnittliche Stromverbrauch eines 4-Personen-Haushalts in Deutschland beträgt rund 3.500 Kilowattstunden Strom pro Jahr. Damit dürften die durchschnittlichen Familienhaushalte von einer Einbaupflicht nicht betroffen sein. Für diese gilt aber, dass bis zum Jahr 2032 zumindest digitale Stromzähler ohne Funkübertragungsmöglichkeit verbaut werden. Der Einbau intelligenter Stromzähler ist bei einem Jahresstromverbrauch unterhalb der Schwelle von 6.000 Kilowattstunden aber möglich (§ 29 Abs. 2 MsbG).
Wer ist datenschutzrechtlich verantwortlich für die Datenverarbeitung in den intelligenten Stromzählern?
Das sind Messstellenbetreiber, also Stromversorger oder von diesen beauftragte Dienstleister. Messstellenbetreiber sind für den Einbau, den Betrieb und die Wartung des Stromzählers zuständig. Darüber hinaus kümmern sie sich auch um die Datenübertragung der gemessenen Werte. Nicht verantwortlich sind Vermieterinnen und Vermieter. Sie können sich aber an die Stromversorger wenden und dort Informationen zum intelligenten Stromzähler einfordern und diese dann an die Mieter weitergeben, um so für Transparenz zu sorgen.
Wer kann sich gegen den Einbau aussprechen?
Verbraucherinnen und Verbraucher haben keine Möglichkeit, einem geplanten Einbau zu widersprechen. Wie bisher bei herkömmlichen Stromzählern ist auch der Einbau von intelligenten Messsystemen zu dulden. Mieter und Vermieter haben ein Recht ihren Messstellenbetreiber frei auszuwählen. Ab 1. Januar 2021 geht das Auswahlrecht des Vermieters dem Auswahlrecht des Mieters vor (§§ 5, 6 MsbG).
Welche Datenströme gibt es im Zusammenhang mit digitalen und intelligenten Zählern?
Eine digitale Messeinrichtung, bei der kein Kommunikationsmodul eingebaut ist, sendet und empfängt keine Daten. Die Daten verbleiben im Messsystem und müssen wie bei herkömmlichen Zählern weiterhin ausgelesen werden. Anders verhält es sich bei intelligenten Messsystemen: Hier erhalten die Stromversorger des Haushalts ebenso wie Netzbetreiber und Messstellenbetreiber automatisch die jeweiligen Verbrauchswerte. Von Haushalten mit einem Jahresverbrauch von weniger als 10.000 Kilowattstunden bekommen sie aber alle – wie bei herkömmlichen Zählern auch – ausschließlich die Summe des Stromverbrauchs für das gesamte Jahr. Nur wenn im Vertrag mit dem Stromversorger ausdrücklich etwas anderes vereinbart ist – etwa für variable Tarife – fließen detailliertere Daten. Auch bei einem Verbrauch über 10.000 Kilowattstunden werden mehr Daten übertragen. Ein so hoher Verbrauch ist jedoch bei den üblichen Familienhaushalten nicht gegeben.
Werden bei intelligenten Messsystemen laufend Daten übermittelt?
Nein. Bei Verbrauchern mit einem Jahresverbrauch von bis zu 10.000 Kilowattstunden werden die Daten „vor Ort“ allein zum Zwecke der eigenen Verbrauchsveranschaulichung vorgehalten. Grundeinstellung ist hier die jährliche Übermittlung an den Stromlieferanten. Nur für den Fall, dass ein Tarif gewählt wird, der eine feinere Messung und Übermittlung erfordert, werden weitere Daten an Netzbetreiber und Lieferanten versendet. Ein durchschnittlicher 4-Personen-Haushalt in Deutschland verbraucht rund 3.500 Kilowattstunden Strom pro Jahr.
Welche personenbezogenen Daten sind betroffen?
Die Messwerte geben den Verbrauch im häuslichen Bereich zu bestimmten Zeiten wieder und können in Bezug gesetzt werden zu einer Einzelperson oder zu einer Gruppe von Personen (zum Beispiel Familie, Wohngemeinschaft). Da ein Großteil der Handlungen im Alltag mit Energieverbrauch verbunden ist, lässt der Stromverbrauch Rückschlüsse auf die Lebensgewohnheiten und persönlichen Verhältnisse zu. Je umfangreicher die Datenerhebung ist und je häufiger die Datenübertragung in einem Zeitintervall stattfindet, desto größer ist das Risiko eines Verhaltensprofils. Dies gilt vor allem dann, wenn die Messsysteme den Verbrauch einzelner Hausgeräte erfassen und analysieren.
Welche Auskunftsrechet bestehen?
Messstellenbetreiber stellen Datenblätter zur Verfügung, die den Datenverlauf nachvollziehbar erläutern (§ 54 MesbG). Zudem besteht ein umfangreiches Auskunftsrecht nach § 53 MesbG, Art. 12, 15 DSGVO. Danach haben Messstellenbetreiber auf Verlangen von Nutzern die im elektronischen Speicher- und Verarbeitungsmedium gespeicherten auslesbaren personenbezogenen Daten mitzuteilen und Einsicht in die nicht personenbezogenen Daten zu gewähren. Dies hat unentgeltlich zu erfolgen.
Wie wird die Datensicherheit gewährleistet?
Digitale Stromzähler, die über das Kommunikationsmodul mit dem Internet verbunden sind, könnten von außen gehackt werden. Deshalb stellt das MsbG hohe Anforderungen an die Sicherheit der Soft- und Hardware der Messstellenbetreiber, deren Einhaltung über Zertifizierungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgewiesen werden müssen. Um ein einheitliches und sehr hohes Sicherheitsniveau zu gewährleisten, erklärt das MsbG Schutzprofile und Technische Richtlinien für intelligente Messsysteme zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität für verbindlich (§§ 19 ff. MesbG). Diese wurden unter Beteiligung der Datenschutzaufsicht erarbeitet und können auf der Homepage des BSI www.bsi.bund.de nachgelesen werden. Mit einem Siegel des BSI werden nur solche Systeme ausgezeichnet, die die sehr hohen Datenschutz- und Datensicherheitsanforderungen nachweislich erfüllen.
Wer darf die personenbezogenen Daten verarbeiten?
Grundsätzlich dürfen nur die nach § 49 Abs. 2 MsbG berechtigten Stellen die personenbezogenen Daten in dem dort geregelten Umfang verarbeiten. Das sind: Messstellenbetreiber, Netzbetreiber, Bilanzkoordinatoren, Bilanzkreisverantwortliche, Direktvermarktungsunternehmen und Energielieferanten. Andere Stellen dürfen das nur, wenn der Anschlussnutzer vorher ausdrücklich eingewilligt hat. Der Einsatz von Auftragsverarbeitern ist zulässig (§ 49 Abs. 3 MsbG).
Kurzübersicht zu den datenschutzrechtlichen Anforderungen des MsbG Teil 3 des MesbG enthält zahlreiche datenschutzrechtliche Vorgaben:
- Bereichsspezifische Rechtsgrundlage für die Datenverarbeitung, § 50 MsbG.
- Definition der Zwecke für die Datenverarbeitung, § 50 Abs. 2 MsbG.
- Kopplungsverbot, § 49 Abs. 5 MsbG.
- Verschlüsselungspflicht, § 52 Abs. 1 MsbG.
- Pflicht zur Anonymisierung oder Pseudonymisierung, soweit möglich, § 52 Abs. 3 MsbG.
- Umfassendes Auskunftsrecht und Transparenzgebot, §§ 53, 54 MsbG.
- Spezielle Regelungen zur Datenübermittlung und Löschung, §§ 60 ff MsbG.
- Eine über die abschließende Aufzählung in §§ 60 bis 64 MsbG hinausgehende Datenübermittlung ist nur bei Einwilligung des Anschlussnutzers möglich (Art. 6 Abs. 1 Unterabs. 1 Buchstabe a DS-GVO, oder wenn die Übermittlung auf nicht personenbezogene Daten beschränkt ist (§ 65 MsbG).
Jede Digitalisierung bringt datenschutzrechtliche Herausforderungen mit sich. So auch im Energiesektor mit den Smart Metern. Vor dem Hintergrund großer Vorteile im Gesamtzusammenhang – wie zum Beispiel detaillierte Verbrauchsanalyse und flexible Energielieferung – werden die datenschutzrechtlichen Risiken durch detaillierte Regelungen im MesbG ausgeglichen. Die Messstellenbetreiber, Energieunternehmen und Vermieterinnen und Vermieter sollten jedoch unbedingt darauf achten, dass den Verbraucherinnen und Verbrauchern verständliche Informationen zur Verfügung gestellt werden. So kann die nachvollziehbare Skepsis aufgefangen werden.
Quelle: LDI NRW
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks