Der Tagesspiegel berichtet, wie Forscher der FH Münster erschrocken und fasziniert auf die Möglichkeiten eines Smart Meters reagierten. In ganz Europa wird mittlerweile diskutiert, ob intelligente Stromzähler, die unser Leben in Zahlen übersetzen können, mit dem Datenschutzrecht vereinbar sind.
Herstellern droht hier, Produkte auf eigene Kosten zu entwickeln, die am Ende niemand kaufen darf. Daher empfiehlt es sich, das Datenschutzrecht schon bei der Entwicklung zu berücksichtigen (Privacy by design). Aus diesem Grund zeigt der nachfolgende Beitrag, welche Vorgaben in welchem europäischen Land zu beachten sind; dies an den Beispielen Deutschland, Frankreich, Großbritannien und der Schweiz.
1. Was sind smart meter?
„Smart Meter“ sind intelligente Stromzähler und gehören damit zu der innovativen Produktgruppe datenbasierter Energieprodukte. Dieses Gerät erfasst den jeweiligen Energiebedarf, was dazu dient, variable Leistungsentgelte in Abhängigkeit von der Gesamtnachfrage und Netzauslastung erheben zu können.
2. Wo liegen die Gefahren für den Verbraucher?
Der somit geförderten Effizienz stehen aber datenschutzrechtliche Bedenken entgegen, die wenig mit Paranoia, aber sehr viel mehr realen Gefahren zu tun haben. In einem Beitrag von K.P. Hoffmann im Tagesspiegel (Was Smart Meter über uns verraten, 4. November 2011) wird berichtet, dass Forscher der FH Münster erschrocken und fasziniert zugleich waren, als sie einen solchen Smart Meter untersuchten. Im Rahmen der Auswertung von Smart Meter – Informationen konnten die Forscher sogar ermitteln, wann und welches Haushaltsgerät verwendet wurde. Hintergrund sei, dass jedes Gerät seine eigene Handschrift, was den Energieverbrauch betrifft, trage. Bemerkenswert war, dass das Gerät diese Informationen sogar unverschlüsselt übermittelte, was mittlerweile durch den Hersteller abgestellt wurde.
Mithin sind die Gefahren, solche Daten auszuspähen, um damit etwa Einbrüche zu planen, Menschen zu beschatten und/oder zu kontrollieren, nicht von der Hand zu weisen. Gerade für diese Fälle ist das Datenschutzrecht gemacht.
3. Welche Probleme haben die Hersteller?
Die Kehrseite ist, dass sich nicht nur Verbraucher, sondern auch Hersteller fragen, wie eine datenschutzkonforme Gestaltung denn aussehen kann. „Privacy by design“ ist hier das allgegenwärtige Stichwort. Das bedeutet, dass eine datenschutzrechtliche Expertise bereits im Entwicklungsstadium einfließt, damit die Geräte auch bedenkenlos eingesetzt werden können.
Entsteht hieraus ein Marktvorteil für den Hersteller, kann von einer win-win-Situation gesprochen werden; denn die Hersteller stechen heraus und die Verbraucher werden geschützt.
4. Diskussion in Deutschland
Die Diskussion in Deutschland wird v.a. durch die engagierte Datenschutzaufsichtsbehörde in Schleswig-Holstein, als durch das Unabhängige Landeszentrum Datenschutz (ULD) vorangetrieben.
Gerade als der Bundestag sich mit der Energiewende auseinandersetzte, mischte sich unter die Freude bald auch Kritik aus datenschutzrechtlicher Ecke. Denn die Abgeordneten stimmen auch der Erfassung von Energieverbrauch und -einspeisung von Endverbrauchern über sog. „Smart Meter“ zu.
Die erste Kritik des Datenschutzbeauftragten von Schleswig-Holstein (ULD) und anderen Ländern hatte der Bundesrat zwar aufgenommen; nach Ansicht des ULD hat der Bundestag hierauf aber nicht adäquat reagiert. Die Kritik des Leiters des ULD, Dr. Thilo Weichert war und ist eindeutig:
“Wer unprofessionell Stromsparen und Stromeinspeisen regelt, muss sich nicht wundern, wenn die gesetzten Ziele und die Akzeptanz bei den Betroffenen nicht erreicht werden. So richtig die Geschwindigkeit bei der Beschlussfassung über den Atomausstieg sein mag, so kontraproduktiv ist es, nicht auf berechtigte Kritik zu achten. Sollte der Bundestag morgen nicht noch umlenken, so geht am Nachbessern kein Weg vorbei. Die geplanten Normen schaffen die Basis für den „gläsernen Verbraucher“. Energiesparen und dezentrale Energieproduktion gehen auch ohne das Erstellen von detaillierten Verbraucherprofilen. Die derzeitigen gefährlichen und teilweise unsinnigen Regelungen müssen modifiziert werden.”
(Quelle: ULD, Bundestag will aus Datenschutzsicht „gefährlichen Unsinn“ zu Smart Metern regeln)
Hierzulande ist also die politische Diskussion noch immer nicht beendet. Sie wird durch die oben geschilderten Erkenntnisse FH Münster sich erneut an Fahrt gewinnen. Hersteller sollten daher auf dem deutschen Markt genau beobachten, wohin sich die Aufsichtspraxis entwickelt.
5. Diskussion in Frankreich
In Frankreich hat sich die Datenschutzaufsichtsbehörde, Commission nationale de l’informatique et des libertés (kurz: CNIL), bereits im Dezember 2010 zum Thema Smart Meter positioniert. Die dort festgeschriebenen Empfehlungen sind ein wichtiger Fingerzeig, denn die CNIL ist eine äußerst mächtige Aufsichtsbehörde.
Dort wird zunächst empfohlen, dem Gefährdungsgrad angemessene Sicherheitsmaßnahmen zu ergreifen, wie eine zwingend erforderliche Verschlüsselung der Daten, die Errichtung eines ausdifferenzierten Rechtesystems und einer ausreichenden Eingabekontrolle. Im Hinblick auf die Möglichkeit, über das Stromverhalten Lebensgewohnheiten analysieren zu können, empfiehlt die CNIL eine klare Zweckbindung, wobei anerkannt wird, dass diese Daten zur Effizienzsteigerung verwendet werden dürfen. Ferner verlangt die CNIL, dass Hersteller und Verwender der Smart Meter gegenüber den Endverbrauchern Transparenz herstellen. Soweit die Einwilligung der Verbraucher notwendig ist, muss diese zwingend in Kenntnis aller Gefahren und Vorteile erteilt werden.
Mithin hat die französische Aufsichtsbehörde, die CNIL, sehr genaue Vorgaben gemacht, die es v.a. den Herstellern ermöglichen, privacy by design auszuüben. Die Vorgaben lassen sich i.Ü. auch auf die deutsche Rechtslage übertragen, sodass sich hier Schritt für Schritt ein europäischer Standard herausarbeiten lässt.
6. Diskussion in Großbritannien
Auch in Großbritannien wird das Phänomen Smart Meter in datenschutzrechtlicher Hinsicht diskutiert. Im Oktober 2010 positionierte sich die britische Datenschutzaufsichtsbehörde, das Information Commissioner’s Office (kurz ICO), zu diesem Thema.
Auch das ICO erkennt die Bedeutung der Smart Meter an, gerade im Hinblick auf die erwünschte Energieeffizienz (Zitat: „The arrival of the Smart Grid will clearly bring with it numerous possibilities in terms of energy management“). Zugleich macht das ICO deutlich, dass die Hauptverantwortung für den Datenschutz bei den Herstellern liegt und dass Privacy by design hier das Gebot der Stunde sei (Zitat: „Privacy by Design has been recognised internationally as a standard for data protection good practice.“). Bedauerlicherweise sind die Vorgaben für die Hersteller wenig konkret.
Insbesondere setzt auch der ICO auf Transparenz und höchstmögliche Selbstbestimmung der Verbraucher (Zitat „Whilst the Commissioner would cautiously support the principle that consumers should be able to choose how their own consumption data is used and by whom, the home area network would need to have rigorous safeguards in place and customers must be made fully aware of the implications of releasing their data and to whom they are releasing it”). Dies sei mit hohen technischen und organisatorischen Sicherheitsmaßnahmen zu kombinieren (Zitat „[…] it is vital that good practice safeguarding individuals is embedded from these very early stages”). Insgesamt wünscht sich das ICO eine einheitliche Smart-Meter-Datenschutzpolitik, um hier Klarheit zu schaffen.
In Großbritannien wird die Diskussion um Smart Meter und Datenschutz weniger aufgeregt geführt. Dies mag mit einer grundlegenden Datenschutzskepsis der Briten zusammenhängen. Gleichwohl ist das ICO bemüht, die Hersteller in die Diskussion einzubinden, sodass ein Engagement auf dem britischen Markt idealerweise voraussetzt, dass sich Hersteller vorab mit dem ICO in Verbindung setzen und abklären, ob das eigene Produkt dem britischen Datenschutzrecht genügt. Sollten Standards wie in Deutschland oder Frankreich beachtet worden sein, dürfte dies dem britischen Recht mehr als genügen.
7. Diskussion in der Schweiz
Auch in dem Nicht-EU-Land Schweiz steht das Thema Smart Meter auf der Datenschutz Agenda. Die dortige Aufsichtsbehörde, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (kurz: EDÖB) hat in diesem Zusammenhang erfreulich deutliche Vorgaben gemacht:
„Empfehlungen des EDÖB
- Umfassende und verständliche Information der betroffenen Personen über die Datenbearbeitung (insb. Zweck der Bearbeitung, aber auch allfällige Weitergabe an Dritte), beispielsweise in den AGB.
- Zur Erstellung von Bedarfsprognosen Erhebung von über mehrere Haushalte zusammengefassten oder anonymisierten Daten anstelle von detaillierten Lastprofilen, die den einzelnen Haushalten zugeordnet werden können.
- Kein Zugriff auf Echtzeitdaten durch den Netzbetreiber bzw. den Energielieferanten.
- Zugriffskontrolle und Protokollierung der Auslesung des Energieverbrauchs/Lastprofils aus den Energiezählern.
- Zugriffskontrolle und Protokollierung im Falle der Speicherung von Lastprofilen bei Energielieferanten bzw. Netzbetreiber.
- Verschlüsselte Übertragung sowohl im Haus als auch an den Energielieferanten bzw. Netzbetreiber.
- Schutz vor Verlust, Diebstahl, unerlaubtem Zugriff, Bekanntgabe, Verwendung oder Modifizierung der Daten.
- Zustimmung der Betroffenen zur Weitergabe oder Auswertung von haushaltsbezogenen Lastprofilen.“
Diese Maßnahmen lassen sich sehr gut im Entwicklungsprozess berücksichtigen, sodass ein Engagement auf dem Schweizerischen Markt zumindest nicht am Datenschutz scheitert.
8. Fazit
Es überrascht – zumindest auf den ersten Blick –, dass es in Europa einen Konsens gibt: Smart Meter sind ein wichtiges datenbasiertes Energieprodukt, dessen Möglichkeit für die Energieeffizienz herausragende Bedeutung haben. Deshalb ist es zulässig, in diesem Zusammenhang personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen.
Es besteht auch Einigkeit darüber, dass der Fremdumgang mit diesen Daten für die Betroffenen erhebliche Gefahren hervorruft. Deshalb ruft ganz Europa nach Sicherungsmaßnahmen, die in Frankreich und der Schweiz schon konkret bekannt, in Deutschland umstritten und in Großbritannien noch weitgehend unklar sind.
Herstellern Smart Metern oder anderen datenbasierten Energieprodukten bietet sich in dieser Diskussion eine einzigartige Möglichkeit. Sie können sich von anderen Produkten abheben, in dem sie dafür sorgen, dass ihr Produkt den datenschutzrechtlichen Standards genügt und die Verwender vor Bußgeldern der Aufsichtsbehörden bewahrt. Es dürfte klar sein, für welche Produkte sich die Energieunternehmen dann entscheiden.
Dieses wirtschaftlich interessante Ziel lässt sich aber nur erreichen, wenn man dem britischen Aufruf folgt und den Datenschutz bereits im Entwicklungsprozess berücksichtigt.
Dr. iur. Stephan Gärtner
Compliance Manager
ilex Datenschutz GbR berät mittelständische Unternehmen bundesweit in Fragen des Datenschutzrechts. Insbesondere berät sie in Fragen des Energiedatenschutzrechts und des internationalen Datenschutzrechts und unterstützt die Entwickler datenbasierter Produkte im Entwicklungsprozess (privacy by design).
________________
Wir unterstützen Sie bei Ihrer Recherche.
ilex Datenschutz – Potsdam
Alleestraße 13
14469 Potsdam
Telefon: (0331) 97 93 75 0
Telefax: (0331) 97 93 75 20
Internet: www.ilex-datenschutz.de
Die ilex Datenschutz GbR ist ein hochspezialisiertes Beratungshaus mit Büros in Potsdam und berät in- und ausländische, mittelständische Unternehmen der privaten und öffentlichen Hand, kommunale Gebietskörperschaften und Behörden auf den Gebieten des Datenschutzes und des Datenschutzrechts!