Einleitung
Technische Innovationen, umfangreiche Datenbestände sowie weitreichende Möglichkeiten der Analyse und Verknüpfung von Daten liefern auch in der Energiebranche Grundlagen für neue Geschäftsfeldentwicklungen.
Stromversorgungsrechtlich wurden per 1. Januar 2018 die Rahmenbedingungen für Elektrizitätsversorgungsunternehmen (EVU) – primär in deren Funktion als Netzbetreiber – bei der Erhebung und Bearbeitung von Daten aus intelligenten Mess-, Steuer- und Regelsystemen definiert (insbesondere Artikel 17c Stromversorgungsgesetz [StromVG] und Artikel 8d Stromversorgungsverordnung [StromVV]). Daneben sind aber auch die Bestimmungen über das informatische Unbundling gemäss Artikel 10 Absatz 2 StromVG zu berücksichtigen. Und sofern es sich um Daten mit Personenbezug handelt, sind für die EVUs auch das Schweizer Datenschutzgesetz (DSG) sowie die kantonalen Datenschutzgesetze von grosser Bedeutung. Das DSG wurde 2020 revidiert und wird ab dem 1. September 2023 gelten. Auch die Kantone passen ihre kantonalen Datenschutzgesetze an oder haben dies bereits getan.
Data Policy als Branchendokument zur Nutzung der Strommärkte und zur Organisation des Energiegeschäftes
2017 hat eine Arbeitsgruppe des Verbands der Schweizerischen Elektrizitätsunternehmen (VSE) eine Data Policy erarbeitet, welche Bestandteil eines umfassenden Regelwerkes für die Elektrizitätsversorgung im Strommarkt ist. Die Data Policy dient als Empfehlung für einen branchenweiten, geordneten und rechtskonformen Umgang mit Daten für die Energiebranche. Als Branchendokument beinhaltet sie anerkannte Richtlinien und Empfehlungen zur Nutzung der Strommärkte und zur Organisation des Energiegeschäftes. Die Data Policy wurde nun überarbeitet und aktualisiert. Der Vorstand des VSE hat sie am 23. März 2022 verabschiedet.
Schlüsselthemen der Data Policy
Die Data Policy umfasst Grundsätze für relevante Fragestellungen zu Datennutzung, Data Compliance (d. h. Datenschutz und Datensicherheit) sowie Data Governance. Dabei konzentriert sie sich auf Daten mit eindeutigem Bezug zur Energiebranche. Nicht Bestandteil der Data Policy sind deshalb Daten, die für den Betrieb eines EVUs erforderlich sind, allerdings keinen direkten Bezug zur Energieversorgung haben (Personal, Vertrieb, Marketing, Buchführung, Mehrwertsteuer usw.). Für diese Daten gelten grundsätzlich dieselben Vorschriften und Regularien wie für alle anderen Unternehmen.
Die Schlüsselthemen werden in Form von Handlungsempfehlungen, Hilfsmitteln sowie organisatorischen Vorschlägen für ein mit der Energiebranche verbundenes Unternehmen adressiert. Dabei verfolgt das Dokument den Ansatz der Best Practice. Darüber hinaus wird bei den jeweiligen Empfehlungen zu den Datenbearbeitungsprozessen ein risikobasierter Ansatz verfolgt.
Umsetzungsempfehlungen zur Datennutzung
Mit Bezug auf die Datennutzung der EVUs enthält die Data Policy Handlungsempfehlungen zu folgenden Themen:
- Entflechtung
- Nutzung von Daten aus Netzbetrieb und Grundversorgung
- Nutzung von Daten aus intelligenten Messsystemen des Verteilnetzbetreibers (VNB)
- Einbezug von Dritten
Umsetzungsempfehlungen zur Data Compliance
Die Data Compliance adressiert die Einhaltung von Gesetzen, Verordnungen, Branchendokumenten und eigenen internen Richtlinien, insbesondere im Hinblick auf die Erhebung, Bearbeitung, Weitergabe und Verwendung von Daten.
Die Data Policy enthält Umsetzungsempfehlungen zum Datenschutz generell sowie zur Datensicherheit. Unterschieden wird dabei zwischen Daten mit Personenbezug und Sachdaten. Daneben enthält sie auch Hilfestellungen zur Messdatenbearbeitung nach StromVV. Dabei wird betont, dass mit Bezug auf den Umgang mit Personendaten differenziert werden muss zwischen gebundenen Kunden (Kunden in der Grundversorgung) und Kunden mit privatrechtlichen Verträgen.
Umsetzungsempfehlungen zur Data Governance
Weiter werden in den Umsetzungsempfehlungen der Data Policy die erforderlichen Governance-Aufgaben, -Rollen, -Gremien und -Prozesse definiert und entsprechende Empfehlungen gegeben:
- Umsetzung der auf die eigenen Bedürfnisse angepassten Data Policy
- Definition und Umsetzung unternehmensübergreifender Vorgaben, Richtlinien und Policies sowie verbindlicher Zielsetzungen für den Datenschutz und die Datensicherheit
- Aufbau und Pflege eines umfassenden Dateninventars
- Einführung eines Datenqualitätsmanagements mittels geeigneter Prozesse, Messgrössen, Instrumente und einer angemessene Organisation
- Im Rahmen des Data Reporting Erstellung und Versand der erforderlichen regulatorischen Datenreports sowie Datenauskunft gegenüber betroffenen Bedarfsträgern (gegenüber betroffenen Personen sowie Behörden und weiteren Auskunftsberechtigen gegenüber).
Berücksichtigung der Anforderungen an das revidierte Datenschutzgesetz
Ein wesentlicher Teil der Überarbeitung der Data Policy betraf die Umsetzung der Anforderungen an das revidierte Datenschutzgesetz. So wurden die neuen datenschutzrechtlichen Begriffe Profiling und Profiling mit hohem Risiko, Datenbearbeitung sowie Auftragsbearbeitung mit praktischen branchenbezogenen Beispielen illustriert wie auch eine Vorlage zum Aufbau eines Verzeichnisses der Bearbeitungstätigkeiten im Anhang zur Data Policy angefügt.
Darüber hinaus enthält die Data Policy praktische Anwendungsbeispiele zur Unterscheidung von Daten mit Personenbezug (etwa abrechnungsrelevante Messdaten) und solchen, welche keinen Personenbezug aufweisen (etwa Asset-Daten, Auftrags- und Ereignisdaten, SCADA-Daten). Ferner enthält sie eine Vorlage eines Verzeichnisses der Bearbeitungstätigkeiten und ein Q&A zur Abgrenzung des Anwendungsbereiches mit Bezug auf die Datenschutz-Grundverordnung der EU (EU-DSGVO).
Sehr gerne Unterstützung wir sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.