Suchen

Datenschutz-Grundverordnung im Mittelstand Was Energieversorger für die DSGVO noch tun müssen

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Die Datenschutzdebatte rund um Smart Metering ist nur ein Beispiel dafür, dass bei Energieversorgern der Datenschutz eine große Rolle spielen muss. Die Datenschutz-Grundverordnung (DSGVO / GDPR) hält weitere Beispiele bereit, darunter die Sicherheit der Datenverarbeitung. Für Versorger besteht deshalb dringender Handlungsbedarf, auch über den 25. Mai 2018 hinaus.

Firmen zum Thema

Energieversorger sind führend bei Big-Data-Analysen ihrer Kunden, haben aber in Sachen Datenschutz und Sicherheit dringenden Handlungsbedarf.
Energieversorger sind führend bei Big-Data-Analysen ihrer Kunden, haben aber in Sachen Datenschutz und Sicherheit dringenden Handlungsbedarf.
(© sehenswerk - stock.adobe.com)

Energieversorger digitalisieren ihre Branche, bevor es andere tun, so die Studie „Strategieentwicklung von Energieversorgern“ von Horváth & Partners. Laut dieser Studie sieht die deutsche Energiewirtschaft als größte Herausforderung den Markteintritt branchenfremder Player, darunter ITK-Unternehmen, Dienstleistungsfirmen und Start-ups. Mit der Digitalisierung gehen jedoch weitere Herausforderungen einher, dazu gehört eindeutig der Datenschutz.

Seit Jahren befasst sich der Datenschutz mit dem Smart Metering. Die Aufsichtsbehörden für den Datenschutz forderten schon 2012 eine umfassende Berücksichtigung des Datenschutzes bei der Entwicklung und bei dem Einsatz intelligenter Energienetze und Energiezähler. Doch die Anforderungen des Datenschutzes reichen weiter. Die Datenschutz-Grundverordnung (DSGVO / GDPR) enthält zahlreiche Forderungen, die sich auch und gerade Versorgungsunternehmen ansehen müssen. Die Pflicht zur Umsetzung steht kurz bevor.

Probleme bei der Datensicherheit beheben

Grundsätzlich müssen Versorgungsunternehmen wie alle anderen Unternehmen an den Schutz personenbezogener Daten ihrer Beschäftigten (darunter auch Bewerber), Kunden und Partner denken, ebenso an die verschärften Betroffenenrechte wie das Recht auf Vergessenwerden und die Meldepflichten bei Datenschutzverletzung sowie an die Dokumentations- und Rechenschaftspflichten nach DSGVO. Der Einsatz von Dienstleistern und die damit verbundene Auftragsverarbeitung (Artikel 28 DSGVO) spielt bei Versorgern ebenso eine große Rolle.

Auch das Recht auf Datenübertragbarkeit muss Beachtung finden: Wie die Stiftung Datenschutz erklärte, hatte der Verordnungsgeber beim Recht auf Datenübertragbarkeit vor allem soziale Netzwerke wie Facebook vor Augen. Der Anwendungsbereich des Rechts ist jedoch keinesfalls auf solche Geschäftsmodelle begrenzt, betont die Stiftung. Grundsätzlich betrifft das Recht auf Datenübertragbarkeit alle Branchen.

Jede Branche muss dabei eine für sie passende Lösung für die Datenübertragbarkeit finden, denn: „Die Gesamtmenge der Kundendaten wächst und wird zugleich immer mehr ausdifferenziert. So schaut ein Paketdienstleister anders auf den Kunden als ein Call Center, dieses wiederum anders als ein Internetprovider, ein Energieversorger oder ein Autovermieter – ganz zu schweigen von einem sozialen Netzwerk“, erläuterte die Stiftung Datenschutz.

Doch es gibt weitere Punkte, die sich die Versorgungsunternehmen ansehen müssen, da sie dort im Branchenvergleich entweder besondere Probleme haben oder besonders fortgeschritten sind. Zu den Bereichen, in denen besondere Probleme aufgetreten sind, gehört die Sicherheit der Verarbeitung (Artikel 32 DSGVO). Der IT-Sicherheit müssen Versorgungsunternehmen nicht nur im Sinne von KRITIS mehr Aufmerksamkeit schenken.

Laut der „Potenzialanalyse Digital Security“ von Sopra Steria Consulting zum Beispiel haben Energieversorger Nachholbedarf beim Schutz mobiler Endgeräte. 77 Prozent der Energieversorger besitzen demnach zwar eine Mobile Security Policy, und 92 Prozent überprüfen die Einhaltung der Regelwerke regelmäßig. Doch nur 54 Prozent nutzen ein systematisches Mobile Device Management (MDM), das für die nötige Transparenz sorgt und damit Kontrollen signifikant erleichtert. Gleichzeitig wird die mobile IT-Nutzung bei den Versorgungsunternehmen immer wichtiger, sowohl beim Kunden vor Ort als auch bei den Versorgungseinrichtungen.

DSGVO bei Big Data Projekten, neuen Diensten und Angeboten beachten

Wenn es um die Nutzung von Big Data Analytics geht, sind Versorgungsunternehmen im Branchenvergleich relativ weit fortgeschritten, so eine Einschätzung von Capgemini. Big-Data-Analysen werden auch bei neuen Diensten und Angeboten der Versorger eine Rolle spielen, wenn man an Smart Home, Smart Building, Smart City und E-Mobility denkt.

Werden personenbezogene Daten analysiert, um daraus automatisierte Entscheidungen abzuleiten, muss unter anderem Artikel 22 DSGVO (Automatisierte Entscheidungen im Einzelfall einschließlich Profiling) bedacht werden. Profiling ist dabei jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Hier wird auch deutlich, warum die Daten aus dem Smart Metering für Datenschützer oftmals so kritisch gesehen werden, denn es geht eben nicht nur um Verbrauchswerte, sondern um Datenschutz.

Wichtig ist an dieser Stelle auch der Hinweis, was alles unter einem Personenbezug bei den Daten zu verstehen ist, nur dann ist klar, dass weitaus mehr Datenanalysen bei Versorgern unter Datenschutzaspekten zu sehen sind, als man vielleicht denkt.

Personenbezogene Daten sind nach DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

(ID:45269392)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research