GHR Energy Law Quarterly - Oktober 2023 - Datenschutz bei der Verwendung intelligenter Messsysteme

10.10.2023 Publikationen

Ein Beitrag von

Einleitung

Der klassische Stromzähler gilt in der Schweiz als Auslaufmodell, denn im Rahmen der Energiestrategie wurde vorgeschrieben, dass bis im Jahr 2027 80 % der Messeinrichtungen in einem Netzgebiet intelligente Messsysteme sein müssen. Solche intelligenten Messsysteme, sogenannte Smart Meter, werden beim Endverbraucher installiert. Im Vergleich zum klassischen Stromzähler sind Smart Meter grundsätzlich in der Lage, die Stromnutzung der Endverbraucher zeitgenau zu erfassen und zu dokumentieren, was eine Reihe von Fragen zum Thema Datenschutz aufwirft. Dieses Thema ist gerade auch deshalb sehr aktuell, da mit Inkrafttreten des revidierten Bundes-gesetzes über den Datenschutz (DSG) am 1. September 2023 die Pflichten für Datenbearbeiter erweitert wurden. Bei der Verwendung von Smart Metern gilt es für die Netzbetreiber deshalb aus datenschutzrechtlicher Sicht Verschiedenes zu beachten. Vorbehalten und in diesem ELQ nicht berücksichtigt sind spezifische Vorgaben für Bundesorgane sowie allenfalls auf Netzbetreiber anwendbare, kantonale Datenschutzgesetze.

Verwendung von Smart Metern nach Gesetz

Das Bundesgesetz über die Stromversorgung (StromVG) erklärt in Art. 17 Abs. 1 betreffend die Bearbeitung von Personendaten im Zusammenhang mit intelligenten Messsystemen das DSG für anwendbar. Spezifische Bestimmungen zur Datenbearbeitung finden sich zudem in der Stromversorgungsverordnung (StromVV). Gemäss Art. 8b Abs. 1 StromVV dürfen von den Netzbetreibern nur intelligente Messsysteme, deren Elemente erfolgreich auf Datensicherheit geprüft wurden, eingesetzt werden. Ohne Einwilligung der betroffenen Personen dürfen die Daten aus dem Einsatz der Smart Meter gem. Art. 8d StromVV aber nur wie folgt bearbeitet werden:

in pseudonymisierter Form (einschliesslich Lastgangwerten von fünfzehn Minuten und mehr) für die Messung, Steuerung und Regelung, für den Einsatz von Tarifsystemen sowie für den sicheren, leistungsfähigen und effizienten Netzbetrieb, die Netzbilanzierung und die Netzplanung;
in nicht pseudonymisierter Form (einschliesslich Lastgangwerten von fünfzehn Minuten und mehr) für die Abrechnung der Energielieferung, des Netznutzungsentgelts und der Vergütung für den Einsatz von Steuer- und Regelsystemen.

Pseudonymisierte Personendaten fallen weiterhin in den Anwendungsbereich des DSG, da der Bezug zur individuell bestimmbaren natürlichen Person (betroffene Person) durch jenen Verantwortlichen, der über den Bezugsschlüssel verfügt, jederzeit wiederhergestellt werden kann. Der Anwendungsbereich des DSG ist erst dann verlassen, wenn die Personendaten anonymisiert sind – dies ist z.B. dann der Fall, wenn die pseudonymisierten Daten ohne Bezugsschlüssel an einen Dritten weitergegeben werden, da dieser Dritte den Bezug zur betroffenen Person nicht mehr herstellen kann. Im Rahmen der gesetzlich vorgesehenen Verwendung der Smart Meter-Daten bedarf es aber auch basierend auf dem DSG keiner Einwilligung, da es sich um eine durch Gesetz gerechtfertigte Bearbeitung von Personendaten handelt (Art. 31 Abs. 1 DSG). Weiter bedarf es aufgrund der gesetzlich vorgesehenen Bearbeitung wohl auch keiner gesonderten Information der betroffenen Person (Art. 20 Abs. 1 lit. b DSG), wobei es aus Gründen der Transparenz und zur Erhöhung der Akzeptanz von Smart Metern beim Endkunden empfehlenswert bleibt, über die Bearbeitung von Personendaten zu informieren (z.B. in der allgemeinen Datenschutzerklärung).

Weitergehende Verwendung von Smart Meter-Daten

Smart Meter verfügen über ein Nutzungspotenzial, das über die voranstehend erläuterten, gesetzlich vorgesehenen Verwendungsmöglichkeiten hinausgeht. So können beispielsweise Lastgangmessungen unter 15 Minuten durchgeführt werden, was eine Echtzeitablesung des Stromverbrauchs ermöglicht. Je nach Ausstattung und in Kombination mit Smart Home Systemen ist auch die Messung des Stromverbrauchs einzelner Geräte mittels Smart Meter denkbar.

Soweit weitergehende Auswertungen von Smart Meter-Personendaten anonymisiert erfolgen, finden die Einschränkungen des DSG keine Anwendung. Dies setzt jedoch voraus, dass jene weitergehenden Bearbeitungen technisch und organisatorisch so getrennt werden, dass es für jene Personen oder Systeme, welche diese weitergehenden Bearbeitungen vornehmen, unmöglich ist, auf den Bezugsschlüssel zuzugreifen und damit den Bezug zur betroffenen Person wiederherzustellen.

Eine personenbezogene, weitergehende Auswertung von Smart Meter-Daten (pseudonymisiert oder offengelegt) dürfte regelmässig die Einwilligung der betroffenen Person voraussetzen, da die berechtigten Interessen der Betreiber das Interesse der betroffenen Person an Privatsphäre eher nicht überwiegen dürften. So hat der Verordnungsgeber in Art. 8d StromVV die Interessensabwägung bereits vorweggenommen und weitergehende Datenbearbeitungen bewusst nicht erwähnt. Scheitert der Nachweis sowohl eines überwiegenden Bearbeitungsinteresses als auch eines gesetzlichen Bearbeitungsrechts, bleibt lediglich die Einwilligung der betroffenen Person, um die Bearbeitung rechtfertigen zu können (Art. 31 Abs. 1 DSG). Die Einwilligung wiederum ist nur gültig, wenn sie freiwillig und in Bezug auf die vorgesehenen Bearbeitungen angemessen informiert erteilt wird (Art. 6 Abs. 6 DSG).

Weitere datenschutzrechtliche Aspekte

Die Einführung der Smart Meter bringt für die Netzbetreiber weitere Pflichten hinsichtlich der erhobenen Daten mit sich. So müssen die im Intervall von 15 Minuten erfassten Lastgangwerte den Endverbrauchern in verständlicher Form elektronisch zur Verfügung gestellt werden (Art. 8a Abs. 2 lit. c StromVV), was in der Regel via Kundenportal erfolgt. Zu prüfen ist die Pflicht zur Erstellung eines Bearbeitungsreglements (Art. 5 und 6 der Datenschutzverordnung DSV). Des Weiteren sind die Netzbetreiber gemäss Art. 12 DSG verpflichtet, ein Verzeichnis der Bearbeitungstätigkeiten mit dem gesetzlich vorgeschriebenen Inhalt (Identität des Verarbeiters, Bearbeitungszweck, Kategorien betroffener Personen und Personendaten, Kategorien von Empfängern, Aufbewahrungsdauer, ergriffene Datensicherheitsmassnahmen, Empfängerstaat bei Bekanntgaben ins Ausland) zu führen; dies spätestens dann, wenn sie mehr als 250 Mitarbeiter beschäftigen, besonders schützenswerte Personendaten in grossem Umfang bearbeiten oder ein Profiling mit hohem Risiko durchführen (was sodann allenfalls auch die Durchführung einer Datenschutz-Folgenabschätzung notwendig macht, Art. 22 DSG).

Fazit

Bei der Verwendung von Smart Metern durch die Netzbetreiber sind die Vorgaben für die Datenbearbeitung aus StromVG, StromVV und nun auch aus dem revidierten DSG jederzeit einzuhalten. Geht der Einsatz von Smart Metern über die gesetzlich vorgesehene Verwendung hinaus, so ist zwingend die Einwilligung des Endverbrauchers einzuholen. Zur Vermeidung von datenschutzrechtlichen Risiken lohnt sich ein frühzeitiger Einbezug eines Spezialisten.