Schließen

    Wünschen Sie nähere Informationen?

    Digitalhappen

    Datenschutz für Energieversorger

    Home Blog Energie

    Datenschutz ist in Deutschland für Gesetzgeber, Unternehmen und Bürgerinnen und Bürger ein hohes Gut. Was müssen Energieversorger beachten, um sich rechtskonform zu verhalten?

    Datenschutzgesetze für Energieversorger

    Europaweit gilt für alle Unternehmen die Datenschutz-Grundverordnung (DSGVO). Die Mitgliedsstaaten sind dazu verpflichtet, die Vorgaben der DSGVO in nationales Recht umzusetzen. In Deutschland ist von diesen nationalen Rechtsvorschriften für Energieversorger vor allem das Bundesdatenschutzgesetz (BDSG) sowie das Messstellenbetriebsgesetz (MsbG) relevant.

    Das BDSG gilt für alle privatwirtschaftlichen Unternehmen sowie diejenigen öffentlich-rechtlichen Stellen der Länder und Kommunen, die sich im Wettbewerb am Markt behaupten müssen (und somit nicht unter das jeweilige Landesdatenschutzgesetz, LDSG, des Bundeslandes fallen). Immer eindeutig ist dieser Unterschied nicht. Ob bestimmte Stadtwerke etwa unter den Geltungsbereich des BDSG oder (auch) des jeweiligen LDSG fallen, muss im Einzelfall ein Jurist beurteilen.

    Sowohl BDSG als auch die LDSG der Bundesländer dürfen ohnehin nicht die Vorgaben der DSGVO aufweichen, sondern höchstens strengere Regeln als die DSGVO festlegen. Ausnahme sind die sogenannten Öffnungsklauseln der DSGVO: Hier sind bestimmte Bereiche definiert, für die die Mitgliedsstaaten der EU eigene Regelungen treffen dürfen. Das betrifft unter anderem die Fragen, inwiefern eine Zweckänderung einer Datenverarbeitung zulässig ist und unter welchen Umständen ein Datenschutzbeauftragter bestellt oder eine Datenschutzfolgenabschätzung durchgeführt werden muss.

    DSGVO: Pflichten der Energieversorger als Verantwortliche

    Die DSGVO legt bestimmte Pflichten fest, die der sogenannte Verantwortliche erfüllen muss. Verantwortlicher für die Verarbeitung personenbezogener Daten ist das Unternehmen, das diese durchführt, beziehungsweise dessen gesetzlicher Vertreter wie etwa ein Geschäftsführer. Die Person, auf die sich die erhobenen Daten beziehen, wird dagegen als Betroffene bezeichnet.

    Die wichtigste Pflicht des Verantwortlichen nach DSGVO gegenüber dem Betroffenen ist:

    • Informationspflicht bei Datenerhebung (Art. 13 und 14 der DSGVO)

    Der Betroffene hat seinerseits bestimmte Rechte gegenüber dem Verantwortlichen, der damit verpflichtet ist, diese zu erfüllen. Dies sind insbesondere:

    • Recht auf Auskunft (Art. 15) – der Verantwortliche muss Auskunft darüber erteilen, welche personenbezogenen Daten des Betroffenen bei ihm gespeichert sind, und muss auf Wunsch auch eine Kopie aushändigen.
    • Recht auf Berichtigung und Vervollständigung (Art. 16) – unvollständig oder falsch gespeicherte Daten müssen aufgrund einer entsprechenden Erklärung des Betroffenen ergänzt oder korrigiert werden.
    • Recht auf Löschung (Art. 17) – auf Wunsch des Betroffenen muss der Verantwortliche die personenbezogenen Daten löschen, wenn keine anderen rechtlichen Grundlagen (etwa der Buchhaltung oder gesetzlicher Aufbewahrungsfristen) dem entgegenstehen.
    • Recht auf Widerspruch (Art. 21) – auch wenn die weitere Speicherung und Verarbeitung der Daten eine rechtliche Grundlage hat und etwa im öffentlichen Interesse steht, darf der Betroffene unter Umständen dagegen Widerspruch einlegen.

    Aus diesen Rechten geht hervor, dass ein Energieversorger als Verantwortlicher nach DSGVO stets darauf vorbereitet sein muss, Anfragen von Betroffenen angemessen zu behandeln. Er muss also seine Dokumentationspflichten erfüllen und Prozesse implementiert haben, um Auskunftspflichten zeitnah nachzukommen.

    Lastgänge als personenbezogene Daten

    Zu diesen Handlungsoptionen und Pflichten, die alle Unternehmen im Geltungsbereich der DSGVO haben, kommen noch spezielle Auflagen für Energieversorger.

    Diese sind im 2017 in Kraft getretenen Messstellenbetriebsgesetz festgelegt. Ihr Zweck ist es, die zunehmende Digitalisierung der Energieversorgung datenschutzrechtlich abzusichern – insbesondere mit Blick auf intelligente Messsysteme wie etwa Smart Meter mit Smart-Meter-Gateways. Die dort erhobenen Daten erlauben theoretisch einen sehr detaillierten Einblick in das Alltagsleben von Energiekunden. Sie sind personenbezogen, da von ihnen – selbst wenn sie nicht mit einem Namen verknüpft sind – auf die Identität und andere persönliche Umstände des Verbrauchers rückgeschlossen werden kann.

    Umso wichtiger ist also auch hier der DSGVO-Grundsatz der Zweckbindung von personenbezogenen Daten – sie dürfen nur zum vorgesehenen Zweck verwendet werden, in den der Betroffene eingewilligt hat oder der von einer gesetzlichen Grundlage gedeckt ist.

    Eine solche gesetzliche Grundlage gibt es mit dem Messstellenbetriebsgesetz nun für die Erhebung von Lastgängen ab 10.000 kWh/Jahr (statt wie vorher ab 100.000 kWh/Jahr). Diese dürfen in der Regel nur anonymisiert oder pseudonymisiert verwendet werden, außer in bestimmten Sonderfällen. Zu diesen Sonderfällen gehört beispielsweise auch die Verbrauchsprognose des Netzbetreibers, wenn Verbraucher flexible Stromtarife nutzen wollen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) setzt sich jedoch für die Entwicklung von Standardprofilen ein, die solche individuellen Auswertungen zukünftig möglicherweise ersetzen sollen.

    Bußgelder bei Datenschutzverletzungen durch Energieversorger

    In vielen Aspekten hat die DSGVO die schon vorher in Deutschland geltende, recht strenge Gesetzgebung im Bereich Datenschutz kaum merklich verändert. Eine klare Neuerung sind allerdings die mit der DSGVO eingeführten Bußgelder, die deutlich höher sind als die zuvor im alten BDSG vorgesehenen: Datenschutzverstöße können seit 2018 mit einem Bußgeld von bis zu 20 Mio. € oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden.

    Das stellt keine leere Drohung dar. In frei zugänglichen Datenbanken im Netz werden die verhängten Bußgelder der letzten Jahre katalogisiert. Hier zeigt sich, dass Leaks von Kundendatenbanken an die Öffentlichkeit einer der Hauptgründe für Strafzahlungen durch EU-Unternehmen sind. Ebenfalls häufig werden Bußgelder für den Missbrauch persönlicher Daten zu Werbe- und Akquisezwecken verhängt – auch bereits an Energieversorger.

    Brauchen Energieversorger Datenschutzfolgenabschätzungen?

    Häufig ist nicht auf den ersten Blick zu erkennen, ob mit einer bestimmten Datenverarbeitung der Erhebungs- und Speicherungszweck der Daten überschritten wird und somit das Risiko einer Datenschutzverletzung besteht. Dies ist vor allem dann schwierig, wenn neue Technologien zum Einsatz kommen. Der Datenschutz soll nicht die Energiewende behindern, indem neue Technologien aus Angst vor datenschutzrechtlichen Konsequenzen nicht zum Einsatz gebracht werden.

    Daher gibt es das Instrument der Datenschutzfolgenabschätzung (DSFA), das ähnlich wie die im alten BDSG vorgesehene Vorabkontrolle funktioniert. Die Notwendigkeit einer DSFA muss für jede Verarbeitung spezifisch Nach Art. 35 Abs. 1 DSGVO ist eine DSFA vorgeschrieben, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Insbesondere bei einer systematischen und umfassenden „Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet“ (Art. 35 Abs. 3 DSGVO) müssen die Konsequenzen für die Persönlichkeitsrechte der Verbraucher bewertet werden. Dazu gehören auch Konsequenzen im Falle von Cyberangriffen und ähnlichen Zwischenfällen, bei denen auch personenbezogene Daten gestohlen oder kompromittiert werden können. Die EU-Kommission empfiehlt im Bereich Energieversorgung eine DSFA insbesondere beim Einsatz von Smart Metering.

    Datenschutz für Energieversorger mit EWERK

    Die Vorgaben für Smart-Meter-Gateways sind zwar im Messstellenbetriebsgesetz derart formuliert, dass sogar der BfDI sie „mustergültig“ findet. Doch sie machen letzten Endes nur einen kleinen Teil der IT-Infrastruktur eines Energieversorgers aus.

    Die DSGVO schreibt umfangreiche technisch-organisatorische Maßnahmen vor, die umgesetzt werden müssen, um den Datenschutz sicherzustellen und um Schäden oder Bußgelder zu vermeiden. Unternehmen haben dabei aber durchaus Handlungsspielräume. Nicht zuletzt wegen der hohen Anforderungen an die Informationssicherheit entscheiden sich immer mehr Energieversorger, ob KRITIS oder nicht KRITIS, für das Outsourcing von IT-Ressourcen und -Prozessen an IT-Dienstleister mit spezifischer Expertise für den KRITIS- und Energiebereich – wie EWERK. Denn entgegen landläufigen Annahmen sind Daten in professionell geführten Rechenzentren spezialisierter Dienstleister – in einer Private Cloud oder dort betriebenen eigenen Systemen – in der Regel sehr viel sicherer als on-premises: geschützt nach außen durch wirksame Absicherungsmaßnahmen und intern durch strenge Regularien, zertifizierte Prozesse, regelmäßige Personalschulungen und andere Maßnahmen.

    EWERK berät und unterstützt Energieversorger bei der Umsetzung aller IT-bezogenen Anforderungen der DSGVO. Insbesondere werden bei EWERK alle Daten auf Servern in Deutschland gespeichert. Ein strenges Identity & Access Management (IAM) schützt Daten und Systeme. Im Zweifel kann jederzeit genau nachvollzogen werden, wer wann worauf zugegriffen hat.

    Rechenzentren und Prozesse von EWERK sind umfassend auf Sicherheit und Zuverlässigkeit geprüft und zertifiziert (EN 50600, TÜViT TSI Level 3, ISO/IEC 20000-1, ISO/IEC 27001 plus ISO/IEC 27017/27018, ISO 9001, ISAE 3402 Type II); als einer der ersten Cloud-Anbieter in Deutschland trägt EWERK das BMWi-Siegel „Trusted Cloud“. Das unterscheidet EWERK von den bekannten international agierenden Cloud-Anbietern. Anders als viele andere Dienstleister hat EWERK zudem ein Datenschutzmanagementsystem (DSMS) implementiert, welches Teil des Integrierten Managementsystems (IMS) der EWERK-Gruppe ist.

    Das hohe Sicherheitsniveau der von EWERK betriebenen Services schützt nicht nur Daten und Prozesse von EVUs, es reduziert auch den Aufwand für Audits und Zertifizierungen. Denn für eine Zertifizierung müssen EVUs auch für ausgelagerte Services das geforderte Sicherheitsniveau nachweisen – und EWERK bringt diesen Nachweis schon mit.

    Jetzt beraten lassen »

    Datenschutz im Informationssicherheitsmanagement

    Die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 treibt die Einhaltung der Datenschutzvorschriften sowie die Erhöhung Ihrer IT-Sicherheit maßgeblich voran. Wie Sie es in 10-Schritten einführen, erfahren Sie in unserem kostenlosen Whitepaper

    Design Thinking? Kannst Du vergessen!

    Oct 2, 2018 9:00:55 AM Design Thinking gaukelt Managern eine schöne neue Welt vor: Wir alle sollen Kreativität erlernen können. Als Designer sage ich: Schwachsinn. 

    Meine ehrliche Designer-Meinung: Schluss mit dem Designer-Porno! [Update 12.09.19]

    Aug 3, 2017 11:30:00 AM User Experience Design– kurz: UX Design – ist kein Selbstzweck. Doch was ist gutes UX Design? Die Definition von gutem UX Design bemisst nach seinem Gebrauchswert und nicht nur nach ästhetischen ...

    Patientendaten in der Cloud: Es wird Zeit für smarte Plattformen

    Mar 8, 2019 2:13:13 PM Viele Menschen ängstigt die Idee, dass ihre Gesundheitsdaten bald digital verwaltet werden könnten. Doch mittlerweile überwiegen die Vorteile deutlich – auch für den Patienten, um sicher gehen zu ...

    MaRisk-Novelle: Stabilere Banken dank IT-Fokus

    Feb 15, 2018 11:28:00 AM Die Novelle der "Mindestanforderungen an das Risikomanagement" (MaRisk) für Finanzinstitute rückt IT-Risiken, Auslagerungen und Datenmanagement ins Blickfeld der Bankenaufsicht. Der Fokus auf IT ...

    Holacracy: „Eine Inspirationsquelle, jedoch kein Heilsbringer“

    Aug 7, 2018 9:07:41 AM Holacracy – ein Betriebssystem für Unternehmen zur Organisation von Arbeit und Führung – wird entweder verteufelt oder in den Himmel gelobt. Bisher fehlt eine differenzierte Bewertung. Sabri Eryiǧit, ...

    System-Sanierung durch Data Access Layer: Dolmetscher zwischen den IT-Generationen

    Apr 5, 2019 9:48:00 AM IT-Infrastruktur steht vielerorts durch neue Kundenanforderungen vor einem kompletten Generationswechsel. Alte Systeme halten den heutigen Anforderungen nicht mehr Stand. Die Lösung liegt in einer ...

    Cyberbedrohungen für Energieversorger: Wie steht es um die OT- & IT-Sicherheit deutscher EVUs?

    Dec 14, 2021 4:10:37 PM Die spektakulären Cyberangriffe auf das ukrainische Stromnetz in 2015 und 2016 schockierten viele hiesige Betreiber. Dass Hacker die speziell gesicherten Steuerungssysteme von EVUs kapern und ganzen ...

    EnWG 2021 – Alle Änderungen und Neuerungen im Überblick

    Jan 25, 2022 2:30:59 PM Das Energiewirtschaftsgesetz (EnWG) soll eine sichere, preisgünstige, verbraucher- und umweltfreundliche Versorgung mit Strom, Gas und neuerdings auch Wasserstoff ermöglichen. Um aktuellen ...

    So implementieren Energieversorger ein zertifiziertes ISMS nach ISO/IEC 27001

    May 25, 2022 4:05:00 PM Energieversorger als KRITIS-Betreiber sind gesetzlich dazu verpflichtet, ein Informationssicherheitsmanagementsystem, kurz ISMS, einzuführen und zu pflegen. Was ist ein ISMS und wie können ...

    Innovationen katapultieren Unternehmen und Branchen in neue Dimensionen. Wir wissen, wie.

    Zur Sache: Rein formell ist ein Projekt mit der Abnahme und Entlastung beendet. Das dachten auch die Verantwortlichen des