rating service  security service privacy service
 
Datenschutzprinzipien gemäß DSGVO für Smart Meter
DSGVO Art 5-6, 13-14, 15-21, 32, 82-83; ElWOG § 83; GWG § 126a
Definition - Datenschutzgrundsätze gemäß DSGVO - Rechtmäßigkeit der Verarbeitung von Energieverbrauchsdaten - Transparenzgebot - Keine Verarbeitung ohne Zweck - Gebot der Datenminimierung - Pflicht zur Datensicherheit - Speicherbegrenzung laut DSGVO und Aufbewahrungspflicht - Geldstrafe und Schadenersatz droht

Definition

Für Smart Meter (Intelligente Stromzähler) gelten die Bestimmungen gemäß Datenschutz-Grundverordnung (DSGVO) bezüglich Datenschutz und Datensicherheit. Smart Meter messen und speichern personenbezogene Daten (=Energieverbrauchsdaten) von Betroffenen. Unter „Datenschutz“ von personenbezogenen Daten versteht man die rechtlichen Vorschriften, wer wie Daten erheben, speichern und verarbeiten darf. Unter „Datensicherheit“ versteht man technische Vorschriften für den Umgang mit Daten, wie etwa die Dokumentationspflicht oder die Pflicht zur Verschlüsselung.


Datenschutzgrundsätze gemäß DSGVO

Smart Meter haben als komplexe IT-Systeme eine Reihe von datenschutzrechtlichen Mindestanforderungen. Gemäß Art 5 DSGVO sind Verantwortliche verpflichtet die Einhaltung der allgemeinen Datenschutzgrundsätze zu gewährleisten. Es gelten insbesondere folgende Prinzipien:
- das Gebot der rechtmäßigen Verarbeitung
- das Zweckbindungsgebot
- das Gebot der Datenminimierung
- der Grundsatz der zeitlichen Begrenzung der Datenverarbeitung (Speicherbegrenzung)
- das Transparenzgebot
- das Gebot der Datensicherheit
- die Rechenschaftspflicht des Verantwortlichen für die Einhaltung aller vorgenannten Datenschutzgrundsätze (Nachweispflicht)
Unternehmen müssen Vorkehrungen treffen, um die durch Smart Meter generierten personenbezogenen Daten datenschutzkonform zu schützen. Folglich müssen sie auch den Nachweis über die Einhaltung erbringen (Rechenschaftspflicht). Zu Dokumentationszwecken wird ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art 30 DSGVO geführt.


Rechtmäßigkeit der Verarbeitung von Energieverbrauchsdaten

Für die datenschutzkonforme Verarbeitung von Energieverbrauchsdaten bedarf es einer wirksamen Rechtsgrundlage gemäß DSGVO. Verantwortliche sind daher verpflichtet die Rechtmäßigkeit der Datenverarbeitung sicherzustellen. Das heißt, dass sich jede personenbezogene Datenverarbeitung zwingend auf eine Rechtsgrundlage gemäß Art 6 Abs 1 DSGVO stützt. Die Energieverbrauchsdaten der Betroffenen dürfen auf Basis folgender Rechtsrundlagen verarbeitet werden:
- Eine Einwilligungserklärung des Betroffenen liegt vor. Die Erhebung und Verarbeitung der Daten ist ohne Einwilligung des Betroffenen nur soweit erlaubt, wie es für gesetzliche Zwecke (ElWOG, GWG, ...) erforderlich ist.
- Weiters ist eine Datenverarbeitung aus den intelligenten Zählern rechtmäßig, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (ElWOG § 83 ff, GWG § 126a ff, ...) des Verantwortlichen erforderlich ist. Die Energieverbrauchsdaten dürfen nur zu den im Gesetz ausdrücklich genannten Zwecken erhoben und verarbeitet werden.
- Ferner ist die Datenverarbeitung des Betroffenen zur Vertragserfüllung notwendig.


Transparenzgebot

Der Verantwortliche muss alle erforderlichen Schritte unternehmen um die Verarbeitung von Daten gegenüber dem Betroffenen möglichst transparent zu gestalten. Empfohlen wird, dass der Verantwortliche Techniken und Mechanismen anbietet, die es dem Betroffenen laufend erlauben, sein Datenkonto beim Verantwortlichen zu kontrollieren. Dies umfasst nicht bloß die Energieverbrauchsdaten, sondern auch eine Protokollierung, wer auf die Daten zugegriffen hat und wozu diese Daten verarbeitet wurden.
Der Grundsatz der Transparenz soll eine verdeckte Verarbeitung von Betroffenendaten verhindern. Daher sollten Betroffene über die Erhebung und Verarbeitung ihrer Daten und über ihre Betroffenenrechte (Art 15-21 DSGVO) umfassend unterrichtet werden (Art 13-14 DSGVO). Die Unterrichtung muss in leicht zugänglicher Art und Weise und in einer klaren und verständlichen Sprache erfolgen. Verantwortliche müssen Dateninformationen und -auskunft zur Verfügung stellen, die den notwendigen Datenverkehr erläutern.


Keine Verarbeitung ohne Zweck

Das Prinzip der Zweckbindung sieht Datenverarbeitungen nur für festgelegte, eindeutige und rechtmäßige Zwecke vor. Verantwortliche müssen vor der Erhebung einen Zweck für die Datenverarbeitung festlegen und die Betroffenen darüber informieren.
Im Falle einer Zweckentfremdung drohen gemäß Art 83 Abs 5 DSGVO Sanktionen aufgrund eines vorliegenden Datenschutzverstoßes.
Gemäß DSGVO ist eine datenschutzkonforme Weiterverarbeitung von Energieverbrauchsdaten zu neuen Zwecken rechtmäßig, wenn die Weiterverarbeitung auf der Einwilligung der betroffenen Person oder einer Rechtsvorschrift beruht.


Gebot der Datenminimierung

Gemäß dem Grundsatz der Datenminimierung müssen personenbezogene Daten dem Zweck nach angemessen (verhältnismäßig) und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Verantwortliche sind aufgefordert gemäß der DSGVO Maßnahmen einzuführen, die das Anonymisieren und Pseudonymisieren personenbezogener Daten ermöglichen. Dadurch soll die Einsicht oder Manipulation durch nicht berechtigte Dritte verhindert werden.
Die Verarbeitung personenbezogener Daten muss dem Datenminimierungsgebot folgen. Es dürfen nur jene Daten verarbeitet werden, die unmittelbar für den, mit dem Kunden, vereinbarten Zweck erforderlich sind.


Pflicht zur Datensicherheit

Datenverarbeitungen müssen in einer Art und Weise erfolgen, so dass die angemessene Sicherheit der personenbezogenen Daten gegeben ist, einschließlich des Schutzes vor unbefugter/unrechtmäßiger Verarbeitungen, sowie vor Datenverlust. Verantwortliche sind verpflichtet für die Sicherheit der Verarbeitung geeignete technische und organisatorische Maßnahmen gemäß Art 32 DSGVO zu treffen.
Im Zusammenhang mit Security wäre sicher zu stellen, dass die Datenermittlung (in erster Linie am Gerät), die Datenübertragung, die Speicherung und die Weiterverarbeitung in jedem Schritt authentifiziert, integritätsgesichert und verschlüsselt erfolgt.
In der Internet-Datenverarbeitung wird davon ausgegangen, dass Endgeräte beim Benutzer (PCs, Smartphones, Notebooks, ...) und die Übertragungswege generell unsicher sind und daher eine Authentisierung, Verschlüsselung und Integritätssicherung auf Ebene des einzelnen Datenpaketes bzw. des einzelnen Gerätes zu erfolgen hat.
Jedes "im Feld" befindliche Gerät ist mit digitalen Zertifikaten auszustatten, Datensätze sind digital zu signieren und in der Endgerätespeicherung und Übertragung zu verschlüsseln.
Dieselben Vorgaben sind für Smart Meter Endgeräte und für die Übertragung (unabhängig unter welchen technischen Standards sie letztlich erfolgt) erforderlich, da für die Geräte und Leitungen im Feld niemand generell die Sicherheitsverantwortung übernehmen kann und somit die Integrität auf Datenebene sicher zu stellen ist.
In den Zentralsystemen wird ein Zusammenspiel technischer und organisatorischer Sicherheitsmaßnahmen ausreichen und wirtschaftlich realistisch möglich sein, wenn diese Systeme in kontrollierten Umgebungen betrieben werden (z.B. abgekoppelt von der eigentlichen Energiesteuerung), generelle Sicherheitsmaßnahmen, wie Firewalls, laufendes Monitoring des IT-Betriebs, qualifiziertes Personal, klare Rollenverteilung, eigener Security-Verantwortlicher usw. gesetzt sind.


Speicherbegrenzung laut DSGVO und Aufbewahrungspflicht

Die DSGVO sieht eine Speicherbegrenzung vor. Eine rechtmäßige Speicherung der Betroffenendaten ist insbesondere zur Zweckerfüllung oder zur Erfüllung einer rechtlichen Verpflichtung notwendig. Daher soll die Speicherung der Energieverbrauchsdaten im Zähler ausschließlich im Ausmaß der gesetzlichen Vorgaben und nur für die Dauer des gesetzlich Zulässigen durchgeführt werden. Es ist daher wichtig, für alle Verarbeitungen festzulegen, wie lange die Energieverbraucherdaten aufbewahrt werden und wie die Löschung, Anonymisierung oder Pseudonymisierung der Daten sichergestellt werden kann. Die Aufbewahrungsfristen sind auf Basis der Rechtsvorschriften zu bestimmen.


Geldstrafe und Schadenersatz droht

Verstöße gegen die Datenschutzgrundsätze können eine Geldstrafe von bis zu 20 Mio. Euro oder bei Unternehmen von bis zu 4 % des letzten weltweiten Jahresumsatzes verhängt werden (Art 83 Abs 5 DSGVO). Die Datenschutzbehörde ist für die Verhängung der Geldstrafe zuständig. Weiters können Betroffene bei materiellen oder immateriellen Schäden Schadenersatz geltend machen (Art 82 DSGVO). Die ordentlichen Zivilgerichte (NICHT die Datenschutzbehörde) sind zuständig für Schadenersatzklagen.

mehr --> Auskunftsbegehren gemäß Art 15 DSGVO (Facebook - deutsche Ve...
mehr --> Kann ich dem Einbau eines smarten Wasserzählers widersprechen?
mehr --> Ausbildungsreihe "betrieblicher Datenschutzbeauftragter"
mehr --> Entwurf - Intelligente Messgeräte- Einführungsverordnung
mehr --> Zusammenstellung: Alle Beiträge zu Smart Metering
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
andere --> https://www.ris.bka.gv.at/Bundesrecht/

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018 Information gemäß DSGVOwebmaster