1.
Einführung / Motivation ^
2.
Rechtlicher Rahmen ^
2.1.
Datenschutz ^
«personenbezogene Daten » [als] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden « betroffene Person ») beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Sektorspezifische Regelungen
Neben den allgemeinen Regelungen der DS-GVO können auch sektorspezifische Vorschriften aus dem Bereich des Energierechts Anwendung finden. Zu nennen ist vor allem das Artikelgesetz «Gesetz zur Digitalisierung der Energiewende» vom 29. August 2016. Den Kern bildet das Messstellenbetriebsgesetz (MsbG), welches den Anspruch hat, abschließende Regelungen bzgl. des Smart-Meter-Datenschutzes zu formulieren. In § 49 Abs. 1 S. 2 MsbG heißt es dementsprechend: «Eine Übermittlung, Nutzung oder Beschlagnahme dieser Daten nach anderen Rechtsvorschriften des Bundes oder der Länder ist unzulässig.»
Für die Umsetzung in der Praxis ist vor allem das vorgeschriebene Datenschutzkonzept von Interesse. In den §§ 55 ff. des MsbG werden die Erlaubnistatbestände zur Datenverwendung aufgezählt. Diese orientieren sich an den energiewirtschaftlichen Vorgängen und dem Grundsatz der Datensparsamkeit.22 Als allgemeine Anforderung bei der Datenkommunikation gilt demnach, dass stets eine Anonymisierung oder Pseudonymisierung der Daten vorzunehmen ist, soweit dies der Verwendungszweck zulässt.23 So gilt beispielsweise, dass bei Verbrauchern, deren Jahresverbrauch 10'000 kWh übersteigt, Zählerstände grundsätzlich nur in viertelstündlicher Auflösung und erst am Folgetag übermittelt werden dürfen.24 Die meisten Privathaushalte fallen nicht hierunter; von diesen dürfen in der Regel nur Jahresarbeitswerte übermittelt werden.25 Ausnahmen gelten u.a., wenn ein variabler Tarif gewählt wurde26 oder eine unterbrechbare Verbrauchseinrichtung nach § 14a EnWG Verwendung findet27.
2.2.
IT-Sicherheit ^
- Pseudonymisierung und Verschlüsselung personenbezogener Daten,
- dauerhaften Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste,
- Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherstellen zu können, und zur
- regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
Die Regelungen richten sich primär an KRITIS-Betreiber. KRITIS sind gemäß § 2 Abs. 10 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) «Einrichtungen, Anlagen oder Teile», u.a. aus dem Sektor Energie, «welche von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdung für die öffentliche Sicherheit eintreten würden.» Näher bestimmt werden sollen KRITIS jedoch gemäß der Rechtsverordnung nach § 10 Abs. 1 BSIG in der sogenannten BSI-KritisV. Die Konkretisierungen wurden in zwei Körben festgelegt, Regelungen zu dem Energiesektor finden sich im ersten Korb. § 2 Abs. 5 BSI-KritisV verweist auf die im Anhang festgelegten Kategorien und Schwellwerte, die zu einer KRITIS-Zuordnung führen. Grundlage der berechneten Schwellwerte sind jeweils 500'000 betroffene Personen. KRITIS-Betreiber werden u.a. dazu verpflichtet, die zur Erbringung ihrer wichtigen Dienste erforderliche IT nach Stand der Technik abzusichern29, die Sicherheit mindestens alle zwei Jahre nachzuweisen30 und Störungen der IT zu melden.31 Bei Aufdeckung von Sicherheitsmängeln kann das BSI im Einvernehmen mit Aufsichtsbehörden deren Beseitigung anordnen. Gemäß § 8a Abs. 2 BSIG können KRITIS-Betreiber branchenspezifische Sicherheitsstandards (B3S) vorschlagen, das BSI muss deren Eignung festlegen. Für den Energiesektor wurde entsprechend ein Sicherheitskatalog gemäß § 11 Abs. 1a EnWG durch die Bundesnetzagentur veröffentlicht. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27000132. Eine Zertifizierung muss bis zum 31. Januar 2018 erfolgen.33
3.
Technische Lösungsansätze ^
3.1.
Abrechnung ^
3.2.
Netzbetrieb ^
3.2.1.
Glättung ^
3.2.2.
Verrauschen ^
3.2.3.
Aggregation ^
4.
Fazit und Ausblick ^
5.
Danksagung ^
- 1 Greveler, Ulrich/Justus, Benjamin/Löhr, Dennis, Identifikation von Videoinhalten über granulare Stromverbrauchsdaten. In Sicherheit 2012, Beiträge der 6. Jahrestagung des Fachbereichs Sicherheit, GI, 2012, S. 35–45.
- 2 Vgl. Art. 99 Abs. 2 DS-GVO.
- 3 Art. 8 Abs. 1 DSAnpUG-EU.
- 4 Vgl. Article 29 Data Protection Working Party, Opinion 12/2011 on smart metering, April 2011.
- 5 Art. 25 DS-GVO.
- 6 Art. 16, 17 DS-GVO.
- 7 Konferenz der Datenschutzbeauftragten des Bundes und der Länder und Düsseldorfer Kreis, Orientierungshilfe datenschutzgerechtes Smart Metering, 2012.
- 8 Vgl. Konferenz der Datenschutzbeauftragten des Bundes und der Länder und Düsseldorfer Kreis, S. 8, 9 und 18.
- 9 Vgl. Wiesemann, Hans Peter, Orientierungshilfe zum datenschutzgerechten Smart Metering, ZD 2012, S. 448.
- 10 Vgl. Schulz, Sebastian, Art 9. In: Peter Gola (Hrsg.), Datenschutz-Grundverordnung, C.H.Beck, München 2017, Rn. 11 sowie die Überlegungen von Möllers, Frederik/Sorge, Christoph, Hausautomationssysteme im Datenschutzrecht, In Kooperation: Tagungsband des 18. Internationalen Rechtsinformatik Symposions IRIS 2015, Österreichische Computer Gesellschaft, S. 557.
- 11 EuGH: Speicherung von IP-Adressen beim Besuch einer Website, NJW 2016, S. 2583.
- 12 Vgl. Lutz Martin Keppeler, Personenbezug und Transparenz im Smart Meter-Datenschutz zwischen europäischem und nationalen Recht, EnWZ 2016, S. 102.
- 13 Vgl. Keppeler, S. 102.
- 14 Greveler/Justus/Löhr, S. 35–45.
- 15 Vgl. Keppeler, S. 103, da andernfalls das Recht auf Berichtigung unrichtig gespeicherter personenbezogener Daten nach Art. 16 DS-GVO keine Anwendung finden würde.
- 16 Keppeler, S. 105 ff.
- 17 Vgl. Bräuchle, Thomas: Datenschutzprinzipien in IKT-basierten kritischen Infrastrukturen, Nomos, Baden-Baden 2017, S. 34.
- 18 Lüdemann, Voker/Ortmann, Manuel Christian/Prokrant, Patrick: Das neue Messstellenbetriebsgesetz, EnWZ 2016, S. 342.
- 19 § 60 Abs. 2 MsbG.
- 20 Raabe, Oliver/Lorenz, Mieke/Pallas, Frank/Weis, Eva, Harmonisierung konträrer Kommunikationsmodelle im Datenschutzkonzept des EnWG – «Stern» trifft «Kette», CR 2011, S. 831–840.
- 21 § 49 Abs. 2 MsbG.
- 22 Vgl. Lüdemann/Ortmann/Pokrant, S. 345.
- 23 § 52 Abs. 3 MsbG.
- 24 § 60 Abs. 3 MsbG.
- 25 § 60 Abs. 3 Nr. 1 MsbG.
- 26 § 35 Abs. 1 Nr. 2 MsbG. Dann sind die Zählerstände des Vortages bereitzustellen.
- 27 § 60 Abs. 3 Nr. 2 MsbG.
- 28 EU-Richtlinie 2016/1148 «über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union», in Deutschland umgesetzt mit dem Gesetz zur Umsetzung der NIS-Richtlinie vom 23. Juni 2017.
- 29 § 8a Abs. 1 BSIG.
- 30 § 8a Abs. 3 BSIG.
- 31 § 8b Abs. 4 BSIG.
- 32 IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 8 ff.
- 33 IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 15.
- 34 Im Gegensatz zu Kohle- und Atomkraftwerken ist die Einspeisung durch Windkraft- und Photovoltaikanlagen wetterbedingt großen Schwankungen ausgesetzt.
- 35 Petrlic, Ronald, A privacy-preserving Concept for Smart Grids. In: Sicherheit in vernetzten Systemen: 18. DFN Workshop, Books on Demand GmbH, 2010, S. B1–B14.
- 36 Vgl. BSI-Schutzprofil BSI-CC-PP-0073 und technische Richtlinie BSI TR-03109.
- 37 Rial, Alfredo/Danezis, George, Privacy-preserving smart metering. In: Proceedings of the 10th annual ACM workshop on Privacy in the electronic society (WPES «11). ACM, New York, NY, USA, 2011, S. 49–60. DOI: 10.1145/2046556.2046564.
- 38 Efthymiou, Costas/Kalogridis, Georgio, Smart Grid Privacy via Anonymization of Smart Metering Data. In: Proceedings of the First IEEE International Conference on Smart Grid Communications, Gaithersburg, MD, 2010, pp. 238–243. DOI: 10.1109/SMARTGRID.2010.5622050.
- 39 Narayanan, Arvind/Shmatikov, Vitaly, Robust De-anonymization of Large Sparse Datasets. In: Proceedings of the IEEE Symposium on Security and Privacy (SP 2008), Oakland, CA, 2008, S. 111–125.
- 40 Varodayan, David/Khisti, Ashish, Smart meter privacy using a rechargeable battery: Minimizing the rate of information leakage. In: Proceedings of the IEEE International Conference on Acoustics, Speech and Signal Processing (ICASSP), Prague, 2011, S. 1932–1935. DOI: 10.1109/ICASSP.2011.5946886.
- 41 Backes, Michael/Meiser, Sebastian, Differentially Private Smart Metering with Battery Recharging. In: Data Privacy Management and Autonomous Spontaneous Security: 8th International Workshop, DPM 2013, and 6th International Workshop, SETOP 2013, Egham, UK, September 12-13, 2013, Revised Selected Papers, S. 194–212. DOI: 10.1007/978-3-642-54568-9_13.
- 42 Vergleiche Bohli, Jens-Matthias/Sorge, Christoph/Ugus, Osman, A Privacy Model for Smart Metering. In: Proceedings of the IEEE International Conference on Communications Workshops, Capetown, 2010, S. 1–5. DOI: 10.1109/ICCW.2010.5503916 und Ács, Gergely/Castelluccia, Claude, I Have a DREAM! (DiffeRentially privatE smArt Metering). In: Information Hiding: 13th International Conference, IH 2011, Prague, Czech Republic, May 18-20, 2011, Revised Selected Papers, S. 118–132. DOI: 10.1007/978-3-642-24178-9_9.
- 43 Die Wahl der Zuordnung von Smart Metern zu Gruppen ist ein separates Problem und hängt davon ab, wie die aggregierten Daten weiterverarbeitet werden sollen. In der Regel wird von einer Aggregation der Messwerte geographisch naher Smart Meter zum Zwecke der Netzstabilisierung ausgegangen; denkbar – auch für Prognosezwecke – ist aber auch, Haushalte mit ähnlichem Lastprofil (ähnliche Größe, Bewohnerzahl, …) zu gruppieren.
- 44 Je nachdem, ob der Aggregationsansatz mit Rauschen kombiniert wird, kann es sich um einen exakten oder einen ungefähren Wert handeln.
- 45 Vergleiche Vorschläge in Petrlic, Ronald, A privacy-preserving Concept for Smart Grids. In: Sicherheit in vernetzten Systemen: 18. DFN Workshop, Books on Demand GmbH, 2010, S. B1–B14 und Bohli, Jens-Matthias/Sorge, Christoph/Ugus, Osman, A Privacy Model for Smart Metering. In: Proceedings of the IEEE International Conference on Communications Workshops, Capetown, 2010, S. 1–5. DOI: 10.1109/ICCW.2010.5503916.
- 46 Garcia, Flavio D./Jacobs, Bart, Privacy-Friendly Energy-Metering via Homomorphic Encryption. In: Security and Trust Management: 6th International Workshop, STM 2010, Athens, Greece, September 23-24, 2010, Revised Selected Papers, S. 226–238. DOI: 10.1007/978-3-642-22444-7_15.
- 47 Eine der N Zahlen ist also keine Zufallszahl, sondern die Differenz zwischen Messwert und Summe der N-1 Zufallszahlen.