YOUR
Search

    30.09.2024

    Was dürfen Smart-Meter? Datenschutzkonferenz zu funkbasierten Zählern


    Die Digitalisierung schreitet auch im Bereich der Energie- und Wasserwirtschaft voran. Funkbasierte Zähler, sogenannte Smart-Meter, werden flächendeckend zur Erfassung von Verbrauchsdaten eingesetzt. Diese bieten nicht nur Vorteile im Hinblick auf die Effizienz von Abrechnungen und die Verbrauchstransparenz, sondern werfen auch erhebliche datenschutzrechtliche Fragen auf. Die Datenschutzkonferenz (DSK), das gemeinsame Gremium der deutschen Datenschutzbehörden, hat kürzlich eine Orientierungshilfe herausgegeben, die den datenschutzrechtlichen Umgang mit diesen Geräten beleuchtet und diesbezüglich mehr Klarheit schaffen soll.

    1. Vorgang der funkgesteuerten Verbrauchsdatenerfassung

    Die smarten Zähler, die in Haushalten für die Erfassung von Strom, Wasser und Wärme eingesetzt werden, ermöglichen die automatische Übertragung der Verbrauchswerte. Dies kann über unterschiedliche Methoden erfolgen, wie etwa durch sogenannte "Walk-by"- oder "Drive-by"-Verfahren. Bei diesen Verfahren können die Daten von außerhalb des Gebäudes im Vorbeifahren oder -laufen mit einem Ablesegerät abgerufen werden. Immer häufiger kommen jedoch auch stationäre "Gateways" zum Einsatz, die die Verbrauchsdaten sammeln und regelmäßig an den Energieversorger weiterleiten. Diese Systeme ermöglichen nicht nur eine kontinuierliche Verbrauchsmessung, sondern erlauben auch detailliertere Einblicke in den Energieverbrauch eines Haushalts.

    Während diese Technologie erhebliche Vorteile hinsichtlich der Effizienz bieten dürfte, erhöht sie auch das Risiko eines Missbrauchs. Denn die erhobenen Daten lassen Rückschlüsse auf das individuelle Verbrauchsverhalten der Bewohner zu, was die Gefahr einer Überwachung der Lebensgewohnheiten birgt. Deshalb ist es erforderlich, geeignete technische und organisatorische Maßnahmen zum Schutz dieser Daten zu ergreifen.

    2. Abruffrequenz der Verbrauchsdaten

    Aus Sicht der DSK ist daher die Häufigkeit, mit der Verbrauchsdaten von den Zählern abgerufen werden dürfen, ein zentraler Aspekt. Hierbei ist besonders der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO zu beachten. Daten dürfen nur in dem Umfang erhoben und verarbeitet werden, der zur Erreichung des jeweiligen Zwecks erforderlich ist. Dies gilt insbesondere für die Frequenz des Datenabrufs.

    Dabei soll die Abruffrequenz von verschiedenen Faktoren abhängen:

    • Jährliche und monatliche Intervalle: Für die Abrechnung von Energie- oder Wasserverbräuchen ist in der Regel ein jährlicher Abruf der Daten ausreichend. Gesetzliche Vorgaben, wie etwa § 6a der Verordnung über die verbrauchsabhängige Abrechnung der Heiz- und Warmwasserkosten, können jedoch monatliche Abrufe erforderlich machen, um die Nutzer über ihren Verbrauch zu informieren.
    • Häufigere Abrufe: In bestimmten Situationen kann es notwendig sein, die Daten in kürzeren Intervallen abzurufen. So sollen bei Stromzählern, die zur Netzstabilität beitragen, viertelstündliche Messungen zulässig sein, um die Lastgänge zu erfassen. Auch bei Wasserzählern können häufigere Messungen zur Leckage-Erkennung erforderlich sein.

    3. Rechtsgrundlagen der Datenverarbeitung

    Ein weiterer zentraler Punkt der Orientierungshilfe ist die Frage, auf welcher rechtlichen Grundlage die Verarbeitung von Verbrauchsdaten durch funkbasierte Zähler erfolgen darf. Die Datenschutzkonferenz unterscheidet dabei je nach Verbrauchsart:

    • Strom: Die Erhebung und Verarbeitung von Stromverbrauchsdaten stützt sich auf das Messstellenbetriebsgesetz (MsbG). Dieses regelt den zulässigen Umfang der Datenerfassung und soll sicherstellen, dass nur die für die Abrechnung notwendigen Daten erhoben werden. Das MsbG enthält auch detaillierte Vorschriften zur Datensicherheit, um den Missbrauch der Verbrauchsdaten zu verhindern.
    • Heizung und Warmwasser: Die bereits erwähnte Verordnung über Heizkostenabrechnung (HeizkostenV) bildet die gesetzliche Grundlage für die Verarbeitung von Heiz- und Warmwasserdaten. Nach § 6b HeizkostenV dürfen Verbrauchsdaten ausschließlich für die Abrechnung und die monatliche Information der Nutzer verwendet werden. Jede darüberhinausgehende Verarbeitung ist nur mit ausdrücklicher Einwilligung der betroffenen Person erlaubt.
    • Kaltwasser: Für die Erfassung und Verarbeitung von Kaltwasserdaten gibt es bisher keine bundesweit einheitliche gesetzliche Regelung. In einigen Bundesländern existieren spezifische Vorgaben, wie beispielsweise in Berlin oder Bayern, wo die Nutzung von Fernmesstechnik einer Einwilligung bedarf. Die DSK hat hierzu bereits Vorschläge für eine bundeseinheitliche Regelung unterbreitet, die jedoch noch nicht umgesetzt wurden.

    4. Technische und organisatorische Sicherheitsmaßnahmen

    Damit die Erhebung und Verarbeitung von Verbrauchsdaten datenschutzkonform erfolgt, müssen technische und organisatorische Maßnahmen ergriffen werden. Laut der Orientierungshilfe der DSK zählen dazu unter anderem:

    • Verschlüsselung der übertragenen Daten, um sicherzustellen, dass unbefugte Dritte keinen Zugriff auf die Verbrauchsdaten erhalten.
    • Pseudonymisierung der Daten, sodass diese nur mit zusätzlichem Wissen einer Person zugeordnet werden können.
    • Beachtung der Schutzprofile und Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI), insbesondere bei der Nutzung von Smart-Meter-Gateways. Diese gewährleisten, dass die Daten nur an berechtigte Stellen übertragen werden.

    Handlungsbedarf

    Die Orientierungshilfe zeigt, dass die Datenschutzbehörden Smart-Meter „auf dem Schirm“ haben. Es ist in Zukunft also damit zu rechnen, dass die Behörden bei den datenschutzrechtlich Verantwortlichen gezielt nachfragen könnten, ob und wie die datenschutzrechtlichen Bestimmungen eingehalten werden. Die DSK hält vor allem Gebäudeeigentümer, Versorgungsunternehmen, aber auch Messstellenbetreiber für datenschutzrechtlich verantwortlich. Diese sollten also untersuchen, ob sie den von der DSK aufgestellten Anforderungen entsprechen, insbesondere im Hinblick auf die Abruf- und Auswertungsfrequenz sowie die zu ergreifenden technischen und organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten.

    Fabian Eckstein

    E-Commerce Action Plan: Germany’s Strategy…
    On 6 September, the German Federal Ministry of Economics and Technology (“BMWK”)…
    Read more
    Consent Management Regulation - Goodbye co…
    According to a recent study by Bitkom, 76% of internet users feel annoyed by coo…
    Read more
    ADVANT Beiten Advises Shareholders of Fisc…
    Freiburg, 5 August 2024 – The international law firm ADVANT Beiten has advised t…
    Read more
    ADVANT Beiten Advises Aesculap on Sale of TETEC AG to the Canadian Octane Group
    Dusseldorf, 26 June 2024 – The international law firm ADVANT Beiten has provided interdisciplinary advice to Aesculap AG, a subsidiary of the B. Braun group seated in Melsungen, Germany, on the sale of its…
    Read more
    Silent whistleblowers? Effects of the Whistleblower Protection Act on confidentiality agreements
    In addition to the much-publicised obligations, in particular the establishment of reporting channels, the new Whistleblower Protection Act (HinSchG) primarily contains rights for whistleblowers. They now …
    Read more
    Update AI Act - the ten most important questions for users of AI systems
    After the political agreement on the AI Act was effectively announced in the media in December 2023, the now provisionally final version was adopted on 13 March 2024. The AI Act was approved by the Europea…
    Read more
    Artificial intelligence: what is more important than the AI Act?
    The EU recently passed the EU Artificial Intelligence Act (AI Act) with much fanfare. The Act is a milestone (see our blog post for more details). It is really relevant for providers and deployers of AI…
    Read more
    The Cyber Resilience Act: What You Should Know Now
    Almost unnoticed in the shadow of the AI Regulation, the so-called Cyber Resilience Act ("CRA") was passed by the European Parliament on March 12, 2024. This comprehensive law introduces extensive security…
    Read more
    Cloud, SaaS and edge business models under fire
    The EU Data Act came into force on January 11, 2024. Up to now, connected products have been the main focus of public interest. However, providers of cloud, SaaS, edge and similar services are also affe…
    Read more