Startschuss zur Digitalisierung der Energiewende – Smart-Meter-Rollout zwischen Datenschutz und Messstellenbetriebsgesetz
« NewsübersichtManchmal mahlen auch die Mühlen der Digitalisierung langsam. Bereits 2016 war im Rahmen eines Gesetzespaketes zur Digitalisierung der Energiewende das neue Messstellenbetriebsgesetz (MsbG) verabschiedet worden.
Die zentrale Verpflichtung, der sukzessive Einbau intelligenter Echtzeitmesssysteme für Stromverbrauchsstellen stand allerdings noch unter dem Vorbehalt der Marktreife hinreichend zuverlässiger IT-Infrastruktur. Erst nach Marktverfügbarkeit entsprechender Messgeräte bei mindestens drei verschiedenen Anbietern sollte die Installationspflicht greifen, § 30 MsbG.
Nun ist dem Kernstück der neuen Messsysteme, dem sog. Smart-Meter-Gateway vom Bundesamt für Sicherheit in der Informationstechnik eben diese Marktreife attestiert worden.1
Auf Verbraucherseite wird damit das Tor zu Tarifen mit Echtzeitmessung und variablen Preisen weit aufgestoßen, auch wenn die gesetzliche Installationspflicht nach § 29 Abs. 1 Nr. 1 MsbG erst ab einem Jahresverbrauch von 6000 kWh greift - ein Wert doppelt so hoch wie der Durchschnittsverbrauch der deutschen Haushalte.2
Denn realistischerweise wird man davon ausgehen dürfen, dass sich die Echtzeitmessung auf lange Sicht auch auf freiwilliger Basis durchsetzen wird. Zu groß sind die wirtschaftlichen Anreize, auch für den Verbraucher selbst, auf den Abrechnungen den tatsächlichen Verbrauch und vor allem den im Zeitpunkt des Verbrauchs tatsächlich geltenden Strompreis abzubilden.
Darüber hinaus werden zumindest die intelligenten Messstellen als Teil der Smart-Meter-Infrastruktur ohnehin verpflichtend, § 29 Abs. 3 MsbG. Im Übrigen sind die Energieversorger, soweit technisch machbar und wirtschaftlich zumutbar, bereits jetzt verpflichtet, lastvariable und tageszeitabhängige Tarife anzubieten, § 40 Abs. 5 S. 2 EnWG. Die Förderung dieser neuen Vermarktungsformen ist nach der Gesetzesbegründung auch ausdrücklich Ziel des MsbG.3
Das derartige Echtzeitverbrauchsdaten datenschutzrechtlich nicht unbedenklich sind, hat auch die Bundesregierung eingesehen und diesem Aspekt den gesamten Dritten Teil des Gesetzes gewidmet, §§ 49 – 75 MsbG.
Aber auch auf Seiten der Wirtschaft besteht ein Bewusstsein für die anfallenden Daten. So existieren bereits Gedankenspiele, nach denen der Verbraucher seinen Strom zukünftig auch mit seinen Daten bezahlen könnte.4 Einsparpotenziale durch exakte monatliche Abrechnung am tatsächlichen Verbrauch und geringere Ablesekosten liegen auf der Hand.
Aus den Daten des Echtzeitverbrauchs lassen sich aber auch zahlreiche Rückschlüsse auf das Verhalten des privaten Verbrauchers ziehen. Wann geht dieser zu Bett? Wann steht er auf? Wann kocht er und wann sieht er fern? Anhand der Verbrauchsdaten von gängigen TV-Geräten lässt sich sogar ermitteln, welches Programm eingeschaltet wurde.5
Hieraus wird klar: Zukünftig werden die Betreiber der Messstellen im großen Umfang Daten erheben und verarbeiten. Grundzuständig für den Betrieb der Messstellen sind in der Regel die örtlichen Verteilnetzbetreiber, § 2 Nr. 4 MsbG. Auf Stadtwerke und regionale Energieversorger kommen also neue Herausforderungen im Bereich Datenschutz zu.
Datenschutzrechtliche Verpflichtungen ergeben sich dabei zunächst aus dem MsbG selbst. Aber auch die DSGVO ist einschlägig. Insbesondere was die Bußgeldvorschriften bei Verstößen angeht.
So wird stets die Frage zu stellen sein, ob die Erhebung und Verarbeitung der Daten nach der DSGVO überhaupt rechtmäßig ist. Bei Letztverbrauchern mit einem Strombedarf von über 6000 kWh pro Jahr, bei denen also der Einbau intelligenter Messsysteme verpflichtend ist, werden sich die Energieversorger wohl zur Rechtfertigung auf diese gesetzliche Pflicht nach § 29 MsbG berufen können, Art. 6 I c) DSGVO.
Werden kleinere Privathaushalte jedoch mit entsprechenden Zählern ausgestattet, gestaltet sich die Situation bereits schwieriger. Mangels Pflicht zum Einbau muss sich der Energieversorger anderweitig absichern. Insbesondere die Einholung einer schlichten Einwilligung dürfte kaum ausreichend sein, da diese jederzeit frei widerruflich ist, Art. 7 Abs. 3 DSGVO.
Um sich dennoch weiter im Rahmen der rechtmäßigen Datenverarbeitung zu bewegen ist es für die Energieversorger umso wichtiger, die Regelungen des MsbG einzuhalten.
Die Vorschriften der §§ 49 – 75 MsbG stellen nach gängiger Meinung nämlich eine nationale Rechtfertigungsnorm dar. Der Erlass solcher Vorschriften ist nach den Öffnungsklauseln der §§ 6 Abs. 2 und Abs. 3 DSGVO bereichspezifisch weiterhin möglich. Solange sich der Messstellenbetreiber also im Rahmen des MsbG bewegt, dürfte die Datenerhebung und Verarbeitung auch nach der DSGVO rechtens sein.
Hierbei sind dann aber zahlreiche Spezialvorschriften zu beachten. So legt § 49 MsbG fest, welche Stellen überhaupt die Daten der Messsysteme verarbeiten dürfen. Sie darf nur zu den in § 50 MsbG genannten Zwecken erfolgen.
Im Übrigen gelten nach § 52 MsbG umfangreiche Verschlüsselungs- und Pseudonymisierungspflichten. Nach dem Grundsatz der Datensparsamkeit greifen zudem zahlreiche Löschpflichten, §§ 60 Abs. 6, 64 Abs.2, 66 Abs. 3, 67 Abs. 3, 68 Abs. 3, 69 Abs. 3 MsbG
Nach alledem stellt sich dann selbstredend auch die Frage der Rechtsfolge von Datenschutzverstößen. § 76 MsbG sieht derzeit nur allgemein „Aufsichtsmaßnahmen“ der Bundesnetzagentur vor. Damit ist die Verhängung einer Geldbuße gem. Art. 83 Abs. 9 DSGVO denkbar, da diese Norm angewandt werden kann, wenn das nationale Recht selbst keine Geldbußen vorsieht.
Dann wären wie immer im Rahmen der DSGVO Geldbußen von bis zu 20.000.000 EUR oder von bis zu 4 Prozent des gesamt weltweit erzielten Jahresumsatzes des Unternehmens möglich, Art. 83 Abs. 5 DSGVO.
1 BSI Allgemeinverfügung v. 31.01.2020, Az: 610 01 04 /2019_001
2 Laut Statistischem Bundesamt 2801 kWh im Jahr 2018, https://de.statista.com/statistik/daten/studie/245790/umfrage/stromverbrauch-eines-privathaushalts-in-deutschland/
3 Vgl. BT-Drs. 18/7555, 1, 62
4 Böttcher/Heuer, brand eins 6/2017, 124 (129)
5 Labor für IT-Sicherheit der FH Münster, Version 0.6, Greveler, 20. Sep. 2011