Was die Datenschutz-Grundverordnung für die Energiewirtschaft bedeutet und in welcher Weise einheitliche Branchenregeln helfen werden, beantwortet Gerald Trieb, Rechtsanwalt und Partner der Kanzlei Knyrim Trieb Rechtsanwälte.
Report: Wie gut hatten sich die Energieversorger auf die DSGVO vorbereitet, die am 25. Mai 2018 in Geltung getreten ist?
Gerald Trieb: Die Energiewirtschafthat sich besonders stark und mit sehr viel Aufwand auf die Anforderungen der Datenschutz-Grundverordnung vorbereitet. Die Unternehmen haben Verarbeitungsverzeichnisse erstellt, haben Wert auf transparente Informationen über die Datenverarbeitung und das Einholen von Einwilligungserklärungen für Newsletter oder andere Marketing-Aktivitäten gelegt. Der Branche war von Anfang bewusst, aufgrund der Erbringung der Basisdienstleistung Energieversorgung über die Daten vieler BürgerInnen zu verfügen und daher eine besondere Verantwortung zu haben.
Zudem wurden und werden die Energieversorgungsunternehmen und Netzbetreiber bei der Vorbereitung auf die DSGVO und auch bei der laufenden Konformität mit ihren Vorschriften von der Branchenvertretung Oesterreichs Energie unterstützt.
Report: Was sind die sektorspezifischen Besonderheiten bei Datenschutzanforderungen?
Trieb: Oesterreichs Energie hat dazu seit einigen Jahren bereits Projekte laufen. Man hat Konzepte für Datenschutz-Folgeabschätzungen bei Smart Metering erstellt und den Mitgliedsunternehmen zu Verfügung gestellt. Es wurden auch einige Marktprozesse wie der Netzzugangsvertrag, An- oder Abmeldung, Lieferantenwechsel, Übermittlung von Daten vom Netzbetreiber zum Lieferanten für ein Verfahrensverzeichnis standardisiert geprüft und dokumentiert und sozusagen als Schablonen für die EVU bereitgestellt.
Man versucht auch weitere Schritte in Richtung Rechenschaftspflicht zu setzen: Hier geht es um einen von der DSGVO geforderten Nachweis für Unternehmen, tatsächlich datenschutzkonform zu arbeiten. Eines der Instrumente für diesen Nachweis sind branchenspezifische Verhaltensregeln, welche die Datengebarung für den Sektor regeln. Bereits vor der DSGVO wurden Verhaltensregeln für die Verarbeitung von Smart-Meter-Daten ausgearbeitet, um hier einen einheitlichen Prozess und gemeinsame transparente Regeln festzulegen.
Hier wurden die Bestimmungen des Elektrizitätswirtschafts- und -organisationsgesetzes (ElWOG) mit den Anforderungen aus der DSGVO verschränkt, um zu regeln, wie eine datenschutzkonforme Umsetzung der Bestimmungen des ElWOG in Bezug auf die Erhebung, die Verarbeitung und die Übermittlung von Daten aus den Smart Metern aussehen soll. Diese Verhaltensregeln liegen derzeit bei der Datenschutzbehörde zur Genehmigung vor.
Report: Was gilt es insbesondere beim Smart Meter zu beachten?
Trieb: Es wurden die doch sehr diffizilen und detaillierten Regelungen des ElWOG durchleuchtet und vor dem Hintergrund der Datenschutz-Grundverordnung etwas entflechtet. Welche Daten dürfen im Zähler erhoben werden und gespeichert werden? Wer darauf Zugriff haben? Zu welchen Zwecken darf der Netzbetreiber die Daten auslesen – und in welchen Intervallen? Weiters gibt es Regeln zur Datenbereitstellung im Webportal für die Verbraucher, zur Übermittlung an Lieferanten und zur Einwilligung der Verbraucher dazu.
So sind das Auslesen und die Übermittlung der täglichen Verbrauchswerte an Lieferanten nach dem Gesetz festgelegt. Der Lieferant soll ja am Ende des Monats dem Kunden eine Verbrauchs-Kosten-Analyse übermitteln können – solange der Endverbraucher nicht grundsätzlich mit einem Opt-out die Smart-Meter-Funktionen ablehnt. Die Auslesung der Viertelstundenwerte aus dem Zähler und ihre Weitergabe dagegen bedarf stets einer Einwilligung.
Dann geht es auch noch um die technische und organisatorische Absicherung der Daten im Smart Meter, um die Authentifizierung beim Zugang zum Webportal, aber etwa auch um Regelungen zu telefonischen Auskünften im Kundencenter. Letzteres ist aus datenschutzrechtlicher Sicht generell ein schwieriges Thema in allen Branchen.
Report: Welche weiteren Schritte werden zum Nachweis der Datenschutzkonformität gesetzt?
Trieb: In der Energiebranche geht man hier noch einen Schritt weiter und hat ein Projekt für eine datenschutzrechtliche Zertifizierung in Leben gerufen. Damit sollen Energieversorgungsunternehmen künftig ihr Datenschutz-Management-System auf Basis eines Kriterienkatalogs zertifizieren können. Die Arbeiten am entsprechenden Kriterienkatalog laufen auf Hochtouren. Nach dessen Fertigstellung und Erlassung der noch ausständigen Verordnung der Datenschutzbehörde zur Zertifizierung nach der DSGVO, gilt es, diesen von der Behörde als Zertifizierungsprogramm genehmigen zu lassen.
Report: Sie prüfen auch Software auf Datenschutz-Konformität?
Trieb: Wir tun dies auf Wunsch unserer Mandanten, sowohl ihre Unternehmenssoftware als auch etwa Webshops betreffend. Derzeit gibt es zwar Zertifizierungsmöglichkeiten im Bereich Datensicherheit und nach dem alten Datenschutzrecht auch das Gütesiegel EuroPriSe, das in zwei Stufen mit technischen und juristischen Teilen vergeben wird. Aber es ist für Unternehmen mit einem sehr hohen Aufwand verbunden, weshalb sich meiner Einschätzung nach in einem etwas offeneren Zertifizierungsmarkt andere Gütesiegel etablieren werden.
Das Thema wird auf jeden Fall weiter an Bedeutung gewinnen, darunter auch Zertifikate speziell für die Datenschutz-Compliance nach der DSGVO. Sobald die gesetzlichen Voraussetzungen durch eine Verordnung der Datenschutzbehörde vorliegen, werden den Unternehmen Zertifizierungsprogramme geboten werden können.
Ich bin überzeugt, dass datenschutzrechtliche Zertifikate zu einem wichtigen Asset für die Softwarehersteller werden. Die verantwortlichen Unternehmen, welche die Software vielleicht auch als Cloud-Lösung einsetzen, müssen sich auf ihren Softwaredienstleister verlassen können. Eine Zertifizierung wird ein geeignetes Mittel für den Nachweis dieser Prüfung sein. Wir können dann als Experten entweder eine Zertifizierung vorbereiten oder die eingereichten Unterlagen überprüfen.
Zur Firma: Knyrim Trieb Rechtsanwälte wurde von Rainer Knyrim und Gerald Trieb 2017 gegründet. Die Kanzlei ist auf Datenschutzrecht, IT-Recht, E-Commerce-Recht, Arbeitsverfassungsrecht und Vertragsrecht spezialisiert. Gerald Trieb berät den Verband Oesterreichs Energie in datenschutzrechtlichen Fragen.