DSGVO trifft auf KRITIS: Datenschutzmanagement in der Energiewirtschaft

Datenschutz spielt heute in so gut wie jeder Branche eine bedeutende Rolle. Hierzu zählt nicht zuletzt die Energiewirtschaft. Aufgrund ihrer besonderen Charakteristik und aktuellen Entwicklungen ist der Energiesektor auch datenschutzrechtlich gesehen sehr interessant. In diesem Beitrag geben wir einen Einblick, was die Branche für Datenschützer:innen so spannend macht und worauf Unternehmen in puncto DSGVO und weiteren Gesetzen achten müssen.

6. Jan 2023 | caralegal, Wissenswertes

Datenschutzmanagement ist gerade für KRITIS-Betreiber relevant

Warum Datenschutz in der Energiewirtschaft so wichtig ist

Datenschutz ist auch in der Energiewirtschaft ein sehr relevantes Thema. Das liegt vor allem an der Art und Weise, wie Unternehmen im Energiesektor arbeiten und dabei personenbezogene Daten erheben und nutzen. Tatsächlich passiert juristisch gesehen eine ganze Menge bei Energieversorgern, Messstellenbetreibern und anderen Akteuren der Energiewirtschaft: Im Speziellen bei der Verbrauchsauswertung und Abrechnung erheben und verarbeiten die Unternehmen regelmäßig personenbezogene Informationen zum Strom-, Gas- oder Fernwärmeverbrauch. Das sind sehr sensible und entsprechend schützenswerte Informationen, die tiefe Einblicke in die Lebensweise von Menschen geben. Zudem arbeiten in der Energiewirtschaft überwiegend Großunternehmen mit einer immens großen Zahl an Kund:innen, so auch kommunale oder überregionale Energieversorger. Umfassende Datenschutzregeln einzuhalten, ist für diese Unternehmen entsprechend unumgänglich für den geschäftlichen Erfolg und nicht zuletzt für die Vermeidung von Bußgeldern.

Datenschutz in der Energiewirtschaft: Der Datenschutz-Impuls der Digitalisierung

Datenschutz ist in der Energiewirtschaft besonderes aufgrund des hohen Digitalisierungsgrads der Branche ein hochaktuelles Thema. Zahlreiche digitale Technologien haben den Energiesektor in den letzten Jahren vorangebracht. Neue technische Lösungen zur Verbrauchsmessung sowie Smarthomes und Anwendungen aus dem Bereich Internet-of-Things (IoT) beschleunigen Prozesse und machen das Stromnetz intelligenter. Gleichzeitig erfordern sie die stringente Einhaltung von Datenschutzvorgaben.

Smart Meter als Praxisbeispiel für Datenschutz in der Energiewirtschaft

Ein großartiges Beispiel für die Digitalisierung im Energiesektor und datenschutzrechtliche Anforderungen sind sogenannte Smart Meter. Das sind intelligente Stromverbrauchsmessgeräte, die die gewohnten analogen Stromzähler, die in vielen Haushalten im Keller angebracht sind, ersetzen. Der Vorteil der neuen Technik: Die intelligenten Geräte speichern den Stromverbrauch automatisch und senden diesen direkt via Funk an den Stromanbieter bzw. Messstellenbetreiber. Das manuelle Ablesen vor Ort ist nicht mehr erforderlich.

Doch was machen Smart Meter für Fragen des Datenschutzes relevant? Es sind die sensiblen Informationen, die die Geräte durch die automatische Übermittlung verarbeiten: zahlreiche Kund:innendaten wie Name, Anschrift und die Verbrauchsdaten bzw. die Auswertung des Energieverbrauchs. Natürlich ist die Nutzung dieser Daten im Rahmen eines Stromliefervertrags im Regelfall rechtmäßig. Dennoch müssen Energieversorger und Messtellenbetreiber entsprechend datenschutzrechtliche Anforderungen erfüllen. Neben der grundsätzlichen Einhaltung von branchenspezifischen Regularien wie etwa das Messstellenbetriebsgesetz (MsbG) gehören hierzu insbesondere die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO).

DSGVO-konform bleiben: Was Unternehmen des Energiesektors beachten müssen

Da Energieunternehmen bei ihrer Arbeit und vor allem beim Einsatz digitaler Technologien viele personenbezogene Daten verarbeiten, greift die DSGVO, und zwar ausnahmslos und in vollem Umfang. Ein besonderes Augenmerk müssen Unternehmen hinsichtlich des Datenschutzes in der Energiewirtschaft auf folgende Themen legen:

 

  • die Einhaltung von Aufklärungspflichten gegenüber den Verbraucher:innen bezüglich der Erhebung und Verarbeitung ihrer personenbezogenen Daten,
  • die Pflicht zur sicheren und umfänglichen Dokumentation und Aufbewahrung von personenbezogenen Informationen – inklusive Anonymisierung und Pseudonymisierung der Daten,
  • die Umsetzung von geeigneten technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Daten,
  • gegebenenfalls die Aufsetzung von Auftragsverarbeitungsverträgen (AVV) mit Dritten, z. B. Dienstleistern wie Ablesefirmen.

IT-Sicherheit spielt eine große Rolle in der Energiebranche

Als Betreiber kritischer Infrastrukturen (KRITIS) müssen sich Unternehmen der Energiewirtschaft ebenso an das IT-Sicherheitsgesetz 2.0 halten. Die Verordnung stellt hohe Sicherheitsanforderungen unter anderem an die IT-Anlagen von Unternehmen wie beispielsweise Energieversorger. Diese sind als Betreiber von kritischen Systemen, die der allgemeinen Versorgung dienen, unter anderem dazu verpflichtet,

eine Kontaktstelle für die betriebene kritische Infrastruktur zu benennen,
IT-Störungen oder erhebliche IT-Beeinträchtigungen zu melden,
IT-Strukturen in puncto Sicherheit auf dem aktuellen Stand der Technik zu halten und dies gegenüber dem Bundesamt für Sicherheit und Informationstechnik (BSI) nachzuweisen, und zwar in einem Turnus von zwei Jahren.

Laut Gesetz müssen KRITIS-Betreiber also geeignete organisatorische und technische Maßnahmen umsetzen, um eine angemessene Informationssicherheit in ihren Anlagen zu gewährleisten. Hierzu zählt es, Vorkehrungen zu treffen, die zur Vermeidung von Störungen und zur Förderung der Verfügbarkeit, Authentizität, Integrität sowie zur Vertraulichkeit der betreffenden Systeme, deren Komponenten und Prozessen beitragen. Eine gute Orientierung für angemessene Maßnahmen liefert der Anforderungskatalog für KRITIS-Betreiber und Prüfer des Bundesamts für Sicherheit und Informationstechnik (BSI) mit einhundert wesentlichen Empfehlungen.

Um die gesetzlichen Anforderungen erfüllen zu können, benötigen Unternehmen überdies ein Informationssicherheitsmanagementsystem (ISMS). Insbesondere bedarf es diesbezüglich eines umfassenden Asset Managements sowie eines durchdachten Risikomanagement-Prozesses. Ein entsprechendes System ermöglicht es, Risiken langfristig zu strukturieren und strategisch zu organisieren, statt lediglich kurzfristig auf Vorfälle zu reagieren. Orientierung gibt diesbezüglich die Norm ISO 27001.

Gut zu wissen: Nicht zuletzt kommen ab voraussichtlich 2023 weitere Regularien auf Unternehmen zu. Für Betreiber von KRITIS-Anlagen gelten dann das neue KRITIS-Dachgesetz sowie das neue IT-Sicherheitsgesetz 3.0. Details dazu erfährst du hier.

In der Energiewirtschaft gehen Datenschutz und Informationssicherheit im Optimalfall Hand in Hand

Datenschutz und IT-Risikomanagement – gehört das nicht zusammen? Tatsächlich doch. Unternehmen im Energiesektor sind gut beraten, wenn sie ihr Datenschutzmanagement mit Maßnahmen zur Informationssicherheit koppeln. Das spart jede Menge Zeit und vermeidet doppelte Arbeit. Darüber hinaus werden Energieunternehmen als Betreiber kritischer Infrastrukturen alle zwei Jahren auditiert. Der Datenschutz sollte dann unbedingt mitbedacht werden – Grund genug, beides gemeinsam auf die Agenda zu setzen.

Datenschutzmanagement in der Energiewirtschaft – aber bitte mit Software

Datenschutz in der Energiewirtschaft ist nicht zuletzt für Unternehmen, die im Endkundenkontakt stehen, von besonderer Bedeutung. Diese müssen neben den bereits genannten Aufklärungspflichten ebenso datenschutzrechtliche Einwilligungen sauber abbilden können. Zudem sind Anfragen von Kund:innen hinsichtlich ihrer Daten möglichst rasch abzuarbeiten, wobei sich dann oft die Frage stellt: Wo sind die Daten der betroffenen Kund:innen überhaupt abgelegt?

Wie digitale Lösungen das Datenschutzmanagement vereinfachen

Während in der Vergangenheit noch oft Excel & Word als Behelfslösungen verwendet wurden, setzen Unternehmen im Energiesektor vermehrt auf professionelle digitale Lösungen. Durch den Einsatz einer geeigneten Datenschutzmanagement-Software werden Prozesse weitestgehend zentralisiert und automatisiert. Dabei ist die Benutzerfreundlichkeit und Übersichtlichkeit besonders relevant, da so die Kollaboration mit anderen Unternehmensbereichen stark vereinfacht wird.

Eine professionelle Datenschutzmanagement-Software kann außerdem beim Unbundling unterstützen, denn ein gut gepflegtes Verzeichnis von Verarbeitungstätigkeiten (VVT) in Verbindung mit einem Asset Management ermöglicht es, Datenflüsse jederzeit im Blick zu behalten.
Achten Sie daher bei der Auswahl Ihres Anbieters neben dem Funktionsumfang auch darauf, dass intelligente Verknüpfungen innerhalb Ihrer Dokumentation vorhanden sind, um Doppelaufwand und Inkonsistenzen beim Datenschutzmanagement zu vermeiden. Darüber hinaus sind bestehende Erfahrungen des Anbieters mit Kunden aus dem KRITIS-Bereich von großem Vorteil, da diese die umfassenden IT-Sicherheitsanforderungen bereits erfüllen.

Wie Datenschutz in der Energiewirtschaft gelingt

Datenschutz, und das eben auch in der Energiewirtschaft, bedeutet, die Anforderungen der DSGVO stringent einzuhalten. Zudem bringen heutige und künftige technische Neuerungen weitere Pflichten im Datenschutz mit sich, die Unternehmen berücksichtigen müssen. Als Betreiber kritischer Infrastrukturen steht nicht zuletzt das IT-Risikomanagement im Fokus. Wer Datenschutz und Risikomanagement dabei als einen Prozess begreift und sich mit einer Software eine zentrale Management-Lösung schafft, stellt sich in juristischer Hinsicht souverän für die Zukunft auf.

Diese Beiträge könnten Sie auch interessieren

Standardvertragsklauseln: Alles Wichtige über die neuen SCCs

Standardvertragsklauseln: Alles Wichtige über die neuen SCCs

Ab dem 27.12.2022 müssen alle Standardvertragsklauseln dem von der EU vorgegebenen neuen Muster entsprechen. Dann läuft die letzte Übergangsfrist für einen Prozess ab, der mit dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) bereits 2020 begonnen hat. In...

Wörterbuch für die Datenschutzpraxis

Wörterbuch für die Datenschutzpraxis

Spätestens seit der Einführung der DSGVO 2018 ist der Datenschutz eine internationale Angelegenheit. Das ist für Unternehmen, die außerhalb von Deutschland eine Niederlassung haben, auch eine sprachliche Herausforderung.Praxistaugliches Datenschutzwörterbuch Das...