Datenschutz in Smart Grids

Mai 1, 2021

Am 30. September 2016 verabschiedete das Parlament das erste Massnahmenpaket der Energiestrategie 2050. Darin enthalten sind auch Bestimmungen zum Thema intelligente Stromnetze, sogenannte „Smart Grids“. Datenschutz in Smart Grids – was gilt es zu beachten ?

 

Energiestrategie 2050 – Regelungen zu den intelligenten Systemen

Smart Grids gelten als vielversprechend um Versorgungssicherheit, Wirtschaftlichkeit und Umweltverträglichkeit der Energieversorgung zu sichern. Kern solcher intelligenter Energiesysteme ist es, mit Hilfe der Informations- und Kommunikationstechnologien (IKT) die verbrauchsorientierte Erzeugung um einen erzeugungsorientierten Verbrauch zu ergänzen, damit dezentrale und regenerative Energiequellen ausgebaut werden können.

Auf der Seite der Endverbraucher sind Bausteine für das Funktionieren eines intelligenten Netzes intelligente Messsysteme, sogenannte «Smart Meters». Nach Art. 17a Abs. 1 des Stromversorgungsgesetzes (StromVG) ist ein intelligentes Messsystem

«… eine Messeinrichtung zur Erfassung elektrischer Energie, das eine bidirektionale Datenübertragung unterstützt und beim Endverbraucher den tatsächlichen Energiefluss und dessen zeitlichen Verlauf erfasst.»[1]

Smart Meters unterstützen die Funktionalitäten des intelligenten Netzes und tragen zur Erhöhung der Energieeffizienz bei, indem sie helfen, Strom zu sparen.[2]

 

Viele Datenbearbeitungen umfassen Personendaten

Durch den Einsatz von Smart Grids, bzw. Smart Meters werden deutlich mehr Daten als bislang von Energieerzeugern und -verbrauchern erhoben, ausgewertet und genutzt. Bei einem Teil der Daten handelt es sich um Abrechnungsdaten, Kundendaten und damit um Personendaten, die dem Datenschutzgesetz (DSG) unterstehen. So steht es auch in Artikel 17c StromVG.

Beim Umgang mit diesen Personendaten sind die datenschutzrechtlichen Grundsätze (Rechtmässigkeit, Transparenz, Treu und Glauben, Zweckbindung, Datenminimierung, Speicherbegrenzung, Datensicherheit) zu beachten.

 

Umgang mit Daten aus intelligenten Mess-, Steuer- und Regelsystemen

In der Stromversorgungsverordnung (StromVV) hat der Bundesrat spezifische datenschutzrechtliche Regelungen getroffen, die im Umgang der Netzbetreiber mit Smart Meters seit Inkrafttreten am 1. Januar 2018 zu beachten sind und dem allgemeineren Datenschutzgesetz (DSG) vorgehen. In der StromVV wird insbesondere auf die Lastgangwerte respektive Lastgangmessungen Bezug genommen. Gemäss Art. 8d der StromVV dürfen Netzbetreiber die Daten aus dem Einsatz von Mess-, Steuer- und Regelsystemen im Wesentlichen ohne Einwilligung der betroffenen Person auf zwei Arten bearbeiten (vgl. Art. 8d Abs.1 Strom VV):

  • Persönlichkeitsprofile und Personendaten in pseudonymisierten Form für die Messung, Steuerung und Regelung, für den Einsatz von Tarifsystemen sowie für den sicheren, leistungsfähigen und effizienten Netzbetrieb, die Netzbilanzierung und die Netzplanung
  • Persönlichkeitsprofile und Personendaten in nicht pseudonymisierter Form: für die Abrechnung der Energielieferung, des Netznutzungsentgeltes und der Vergütung für den Einsatz von Steuer- und Regelsystemen.

Zum Schutz der Persönlichkeit darf der Netzbetreiber die Daten von intelligenten Messsystemen maximal einmal täglich abrufen.[3] Damit soll verhindert werden, dass der Netzbetreiber genaue Persönlichkeitsprofile bilden kann.

Die Daten aus dem Einsatz von Messsystemen ohne Einwilligung der betroffenen Person dürfen an folgende Personen weitergegeben werden:

  • Persönlichkeitsprofile und Personendaten in pseudonymisierter oder geeignet aggregierter Form: den Beteiligten[4] nach Artikel 8 Absatz 3 StromVV
  • Die Informationen zur Entschlüsselung der Pseudonyme: den Energielieferanten des betreffenden Endverbrauchers

Die Personendaten und Persönlichkeitsprofile werden nach zwölf Monaten vernichtet, sofern sie nicht abrechnungsrelevant oder anonymisiert sind[5].

Der Netzbetreiber ruft die Daten von intelligenten Messsystemen maximal einmal täglich ab, sofern der Netzbetrieb nicht eine häufigere Abrufung erfordert.[6]

 

Neues DSG – was kommt auf die EVU zu ?

Das schweizerische DSG wurde revidiert und im September 2020 verabschiedet. Es wird voraussichtlich Ende 2022 oder anfangs 2023 in Kraft treten. Damit kommen auf die EVU neue Verpflichtungen hinzu, die sie rechtzeitig, vor Inkrafttreten umzusetzen haben, denn das neue DSG kennt keine Übergangsfrist.

Datenschutz in Smart Grids – folgendes gilt es zu beachten:

  • Neu müssen EVU ein Verzeichnis der Bearbeitungstätigkeiten führen. Wie der zukünftigen Datenschutzverordnung zu entnehmen sein wird, sind gewisse Unternehmen, die weniger als 250 Mitarbeitende beschäftigen und deren Datenbearbeitung nur ein geringes Risiko mit sich bringt, von dieser Pflicht befreit.
  • EVU sind verpflichtet, bei der Planung der Datenbearbeitung diese technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden (Data Protection by Design). Ferner ist der Verantwortliche verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Data Protection by Default).
  • Von gewissen Ausnahmen abgesehen, werden EVU’s verpflichtet sein, betroffene Personen bei der Datenbeschaffung und deren Bearbeitung zu informieren.
  • Jede Person darf von einem EVU verlangen, sie betreffende und ihm vorgängig bekannt gegebene und auf Basis einer Einwilligung oder eines Vertrags automatisiert bearbeitete Personendaten in einem gängigen elektronischen Format herauszugeben oder diese Daten einem anderen Verantwortlichen zu übergeben (Recht auf Datenportabilität).
  • Soll das Bearbeiten von Personendaten weiter gehen als im StromVV vorgesehen, wozu es der Einwilligung der betroffenen Person bedarf, ist vorgängig eine Datenschutz-Folgenabschätzung zu erstellen.
  • Verletzung der Datensicherheit ist zukünftig an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) (und ggf. den betroffenen Personen) zu melden, wenn sie mit einem hohen Risiko für die betroffene Person verbunden ist.

Näheres im Blogbeitrag To Do’s bis zum Inkrafttreten zum neuen Datenschutzgesetz. 

Fussnoten:

[1]  Näheres hierzu in der Botschaft erstes Massnahmenpaket der Energiestrategie 2050, S. 7716 f.

[2]  Vgl. Bericht BFE.

[3]  Art. 8d Abs. 4 StromVV.

[4]  Vgl. Art. 8 Abs. 3 StromVV.

[5]  Art. 8d Abs. 3 StromVV

[6]  Art. 8d Abs. 4 StromVV

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaffachfrau an der Kaderschule Zürich ab. Im Anschluss an ihrem Diplom als Wirtschaftsfachfrau arbeitete Sangmo Agontsang als CEO Assistentin unter anderem für Freitag lab ag und CBM Schweiz. Sie verfügt des Weiteren über Erfahrung in der Organisation der Kaderschule Zürich, sowie über 3 Jahre Erfahrung in der Intellectual Property Abteilung der Freitag lab ag und hat dabei international mit einem Team von Anwälten die Rechte ihres Unternehmens verteidigt. Seit 2022 arbeitet sie als Paralegal bei der Balthasar Legal AG.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.