München, den 02.01.2024

Die aktuelle Lage

Smart Meter – in deutscher Gesetzessprache „intelligente Messsysteme“ – sind eine wichtige Voraussetzung für das Gelingen der Energiewende! Mit Smart Metern kann elektrische Energie effizenter und kostengünstiger genutzt werden, Stromnetze können flexibler gemanaged und damit auch entlastet werden.

Tatsächlich gehört Deutschland aber beim Smart Meter Rollout immer noch zu den absoluten Schlusslichtern in Europa!
s. European Commission, Joint Research Centre, De Paola, A., Andreadou, N., Kotsakis, E., Clean Energy Technology Observatory, Smart grids in the European union – Status report on technology development, trends, value chains and markets – 2023, Publications Office of the European Union, 2023, https://data.europa.eu/doi/10.2760/237911

Der Gesetzgeber hat mit dem Gesetz zum Neustart der Digitalisierung der Energiewende vom 12. Mai 2023 nun allerdings gegengesteuert. Dadurch soll der Rollout intelligenter Messsysteme vereinfacht und beschleunigt werden. Der gesetzliche Fahrplan sieht vor, dass die Messtellenbetreiber verpflichtet sind, Haushalte mit einem Jahresstromverbrauch von über 6000 kWh oder einer Photovoltaik-Anlage mit mehr als sieben Kilowatt installierter Leistung ab 2025 mit Smart Metern auszustatten. Der Rollout für diese Abnehmer soll dann bis 2030 abgeschlossen sein.

Ab 2025 sollten somit Millionen von Anschlusssstellen in Deutschland mit intelligenten Messsystemen ausgestattet werden. Dazu müssen nicht nur geeignete Geräte in ausreichender Anzahl zur Verfügung stehen, sondern die Messstellenbetreiber müssen auch das dazu erforderliche Personal mit entsprechenden Kompetenzen sowie u. U. neue technische und organisatorische Prozesse (z. B. für die Administration von intelligenten Messystemen) aufbauen. Im ein oder anderen Fall kann dazu ein professionelles Change Management erforderlich werden.

Nicht alles ganz so einfach…

Wenn der für 2025 gesetzlich vorgeschriebene Beginn des Rollouts von Smart Metern in Deutschland möglichst reibungslos klappen soll, ist 2024 das Jahr, in dem die organisatorischen Vorbereitungen verstärkt anlaufen müssen. Dabei gibt es ein paar interessante Themen:

Warum fehlt es beim Smart Meter Rollout in Deutschland bislang eigentlich an Dynamik? Dazu lohnt es sich als Erstes einmal einen Blick auf die Legaldefinition für ein intelligentes Messsystem gem. § 2 Ziff. 7 des Messstellenbetriebsgesetzes (MsbG) zu werfen:

„intelligentes Messsystem: eine über ein Smart-Meter-Gateway in ein Kommunikationsnetz eingebundene moderne Messeinrichtung zur Erfassung elektrischer Energie, das den tatsächlichen Energieverbrauch und die tatsächliche Nutzungszeit widerspiegelt und über den Smart-Meter-Gateway-Administrator im Zusammenwirken mit den informationstechnischen Systemen weiterer Berechtigter aus § 49 Absatz 2 den besonderen Anforderungen nach den §§ 21 und 22 in Verbindung mit § 31 Absatz 1 genügt, die zur Gewährleistung des Datenschutzes, der Datensicherheit und Interoperabilität in Schutzprofilen und Technischen Richtlinien festgelegt werden können, …“

Wie man allein schon anhand dieser Definition sehen kann, ist Smart Metering ein sehr komplexes Thema, insbesondere auf Grund hoher Anforderungen an Datenschutz, Datensicherheit und Interoperabilität. Smart Meter erfassen und verarbeiten schließlich personenbezogene Informationen über die Verbraucher an den Abnahmestellen. Anhand dieser Informationen können Stromlieferanten feststellen, wer wann wie viel Strom verbraucht und die daraus ableitbaren Rückschlüsse (z. B. wer wann zuhause ist, wann zu Bett geht, wer wann kocht oder nicht kocht, wer wann Fernsehen schaut, usw.) ziehen. Darüber hinaus haben Smart Meter auch Funktionalitäten zur Übertragung von Steuerbefehlen, um Stromnetze effektiv steuern zu können (z. B. Lastmanegement in Verteilnetzen zu ermöglichen), neben der Verarbeitung personenbezogener Daten ein weiterer Aspekt, der hohe Anforderungen an die Datensicherheit stellt.

Es ist unbestritten sehr wichtig, ein hohes Mass an Datensicherheit und Datenschutz beim Rollout von Smartmetern zu gewährleisten. Ein dafür geeignetes Instrument ist die IT-Sicherheitszertifizierung von Smart-Meter-Gateways (also der besonders sicherheitsrelevanten Kommunikationskomponente des intelligenten Messsystems), wie es § 24 MsbG Abs. 1 S. 1 vorsieht:

„Zum Nachweis der Erfüllung der sicherheitstechnischen Anforderungen nach § 22 Absatz 1 und 2 müssen Smart-Meter-Gateways im Rahmen des Zertifizierungsverfahrens nach den Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert werden.“

immerhin stehen bis heute schon fünf vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Smart Meter zur Verfügung, die somit sofort (auch schon vor 2025) eingebaut werden können:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Smart-metering/Smart-Meter-Gateway/Zertifikate24Msbg/produkte.html

Bei der gesetzlich vorgeschriebenen Zertifizierung von Smart-Meter-Gateways nach dem Sicherheitsregelwerk der Common Criteria ist der Aufwand für die Prüftiefe und die Zertifizierung insgesamt sowie die Komplexität der implementierten Sicheheitsfunktionalität des zertifizierten Gerätes vom angewandten sog. Evaluation Assurance Level (EAL) abhängig. Je höher der zu Grunde gelegte EAL, desto höher der Aufwand für die Konstruktion des Gerätes als auch den Zertifizierungsprozess selbst.

Während das BSI für die Zertifizierung von Smart-Meter-Gateways einen recht hohen EAL4 verlangt, müssen z.B. die Netz-Konnektoren für die Telematik-Infrastruktur des deutschen Gesundheitswesens „nur“ nach EAL3 zertifiziert werden. Objektiv erklärbar ist dieser Wertungswiderspruch wohl nicht. Wie die öffentliche Stromversorgung, ist auch das öffentliche Gesundheitswesen eine wichtige kritische Infrastruktur mit hohen Datenschutz- und Sicherheitsanforderungen. Nur dass die im öffentlichen Gesundheitswesen verarbeiteten Patientendaten offenkundig noch um einiges sensibler sind, als die mit intelligenten Messsystemen erfassten Daten der Stromkunden.

Eine Reduzierung auf einen niedrigeren, aber immer noch angemessenen EAL bei der Zertifierung von Smart-Meter-Gateways könnte eine signifikante Erleichterung des Aufwands für die Konstruktion und Produktion von Smart Meter und deren Rollout bedeuten! Es lohnt sich, über dieses Thema nochmal (neu) nachzudenken…

Smart Meter wollen auch administriert werden

Allein ein zertifiziertes Smart Meter einzubauen, reicht nicht, um ein angemessenes Niveau an Datensicherheit und Datenschutz zu gewährleisten. Die Smart Meter und die mit ihnen verbundenen informationstechnischen Komponenten müssen auch professionell administriert werden. Deshalb verlangt das MsbG nicht nur, dass alle Smart-Meter-Gateways zertifiziert sein müssen. Gem. § 25 MsbG muss zusätzlich ein technisch versierter Administrator für einen sicheren Betrieb der Smart-Meter-Gateways sorgen und dazu eine ganze Reihe von sicherheitstechnischen Vorkehrungen treffen. U.A. muss er ein Informationssicherheitsmanagementsystem (sog. ISMS) einrichten, betreiben und dokumentieren. Ein tatsächlich nicht unerheblicher Aufwand.

Die Erfüllung der Sicherheitsvorgaben gem. § 25 MsbG inkl. des eingerichteten ISMS muss der jeweilige Messstellenbetreiber durch ein Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik oder durch die erfolgreiche Zertifizierung durch eine Zertifizierungsstelle, die gemäß ISO/IEC 27006 bei einer nach dem Akkreditierungsstellengesetz zuständigen Stelle akkreditiert ist, nachweisen.

Dazu kommt, dass die Administration von Smart-Meter-Gateways in Größenordnungen von mehreren tausend Geräten und darüber hinaus nicht mehr „händisch“ möglich ist und faktisch den Einsatz spezialisierter Software Tools voraussetz. Auch deren Beschaffung muss rechtzeitig VOR 2025 beginnen und deren Bereitstellung und Konfiguration wird selbst einiges an Auffwand in Anspruch nehmen.

Unser Rat: die für den gesetzlich vorgeschriebenen Smart Meter Rollout zuständigen Messstellenbetreiber sollten die Aufgabe mit genügend Vorlauf angehen und spätestens jetzt, wenn nicht schon angelaufen, mit der Rolloutplanung beginnen.

Last but not least: Was folgt aus der Datenschutzgrundverordnung (DSGVO)?

Die Verarbeitung der von Smart Metern erfassten und übertragenen Daten der Stromkunden fällt in vollem Umfang unter den Anwendungsbereich der DSGVO. Mit allen Rechten und Pflichten, wie z. B. Rechenschaftspflicht des Verantwortlichen, Zweckbindung, Datenminimierung, Betroffenenrechte (Auskunfterteilung,…),Meldepflichten, Aufsicht durch Datenschutzbehörden, usw.

Das MsbG enthält ja auch einige datenschutzrechtliche Regelungen. Diese gelten auch weiterhin, soweit in der DSGVO nichts anderes geregelt ist. Immer dann hat die DSGVO als unmittelbar geltendes EU-Recht aber sog. Anwendungsvorrang.

Bislang ist auch nicht ersichtlich, dass jemand daran gedacht hätte, ob eine Datenschutzfolgeabschätzung gem. Art. 35 DSGVO für den Massenrollout von Smart Metern erforderlich ist und wenn ja, wer dann dafür zuständig wäre (wohl die Mestellenbetreiber). Dafür spricht in der Tat Einiges. Die Frage sei hier lediglich gedanklich angerissen. Eine Entscheidung kann im Rahmen der Möglichkeiten des Mediums (Blog) hier nicht getroffen werden. Das Thema sollte nur nicht vollends in Vergessenheit geraten.

Wichtig, weil in der Praxis relevant: die Administration von Smart Metern durch einen Dritten im Auftrag eines Messstellenbetreibers ist i. d. Regel eine Auftragsverarbeitung i. S. von Art. 28 DSGVO und bedarf immer eines explizit abgeschlossenen Auftragsverarbeitungsvertrages!

Fragen?

Haben Sie Fragen und/oder Anregungen? Dann können Sie sich gern jederzeit an den Unterzeichner wenden.

Gerold Hübner
Rechtsanwalt