Nun, da Smart Meter Gateways wirklich verfügbar sind, stellt sich die datenschutzrechtlich interessante Frage, ob die Smart Meter Gateway Administration eine Auftragsverarbeitung darstellt oder in eigener Verantwortung erfolgt. Auf den ersten Blick scheint klar: Die Smart Meter Gateway Administration ist eine Auftragsverarbeitung. Aber Zweifel bleiben: Kann denn ein Messstellenbetreiber diese Funktion überhaupt selber wahrnehmen? Die Aufgaben der Smart Meter Gateway Administration sind doch per Messstellenbetriebsgesetz und Technischer Richtlinie exakt vorgegeben. Schließlich liefert § 51 Abs. 1 Messstellenbetriebsgesetz die gesetzliche Zulässigkeit für die Datenübermittlung gleich mit: „Um eine Erhebung, Verarbeitung und Nutzung von Daten aus dem intelligenten Messsystem oder mit Hilfe des intelligenten Messsystems zu ermöglichen, müssen die nach § 49 Absatz 2 berechtigten Stellen dem Smart-Meter-Gateway-Administrator vorab die nach § 25 Absatz 3 notwendigen Informationen übermitteln.“ Dieser Artikel versucht eine Klärung.
Zur Erinnerung
Das Smart Meter Gateway ist die zentrale Komponente für die Kommunikation zwischen intelligenten Zählern (Local Metrological Network – LMN), Systemen im Haus (Home Area Network – HAN) und externen Marktteilnehmern (etwa den Stadtwerken, Verteilnetzbetreibern oder Messstellenbetreibern). Der Smart Meter Gateway Administrator ist für den sicheren, technischen Betrieb des intelligenten Messsystems verantwortlich. Auch für die Installation, Inbetriebnahme, Konfiguration, Administration, Überwachung und Wartung des Smart Meter Gateways und der informationstechnischen Anbindung von Messgeräten und von anderen (sogenannten externen Marktteilnehmern, die beispielsweise Verbrauchsdaten oder andere Netzmesswerte speichern und verarbeiten) an das Smart Meter Gateway angebundenen technischen Einrichtungen ist der Smart Meter Gateway Administrator zuständig.
„Smart Meter Gateways kommen!“ Diese in den vergangenen Jahren häufig geäußerte Aussage kann nun belegt werden: Das erste vom BSI zertifizierte Smart Meter Gateway ist da! Das „SMGW-Integrationsmodul“ von OPENLiMiT SignCubes AG/ Power Plus Communications AG (vgl. dazu BSI-Webseite).
Bekanntlich greift die Einbauverpflichtung von Smart Meter Gateways gem. § 30 Messstellenbetriebsgesetz, wenn drei Geräte am Markt verfügbar sind. Da sich weitere Gateways im BSI-Zertifizierungsprozess befinden, ist es spätestens nun an der Zeit, sich um die Administration zu kümmern. Denn was ist – aus Sicht eines Stadtwerkes – zu tun, wenn plötzlich die ersten Kunden den Einbau und die Unterstützung eines Smart Meter Gateways wünschen?
Neben der Auswahl von Geräten und der Umsetzung des gesamten Installations- und Betriebsprozesses – samt Einbindung und Nutzung von Daten des Gateways – ist die Administration dieser Gateways wichtig. Dieser Funktion wird im Messstellenbetriebsgesetz (MsbG) eine eigene Definition spendiert (vgl. § 2 Nr. 20 MsbG): „Smart-Meter-Gateway-Administrator: eine natürliche oder juristische Person, die als Messstellenbetreiber oder in dessen Auftrag für den technischen Betrieb des intelligenten Messsystems verantwortlich ist“.
Damit ist doch hinsichtlich unserer Frage, ob der Smart Meter Gateway Administrator (GWA) datenschutzrechtlich Auftragsverarbeitung durchführt oder in eigener Verantwortung, alles geklärt, oder? Jede natürliche oder juristische Person, die im Auftrag des Messstellenbetreibers für den technischen Betrieb des Smart Meter Gateways zuständig ist, ist ein Auftragsverarbeiter.
Versuchen wir einmal, dies ordentlich zu begründen.
Ist das Datenschutzrecht überhaupt anwendbar?
Zunächst einmal ist festzustellen, dass typischerweise das Datenschutzrecht einschlägig ist. Auch wenn Smart Meter Gateway Administratoren häufig nur mit Smart Meter Gateway-IDs arbeiten – den konkreten Einbauort oder den Besitzer/Eigentümer also gar nicht kennen, und mit Pseudonymen arbeiten – der Messstellenbetreiber wird eine Zuordnung vom ID zu Einbauort/Besitzer/Eigentümer herstellen können. Damit handelt es sich bei dieser ID um ein personenbeziehbares Datum – und somit ist die Datenschutz-Grundverordnung anwendbar. Übrigens auch unter Berücksichtigung der Tätigkeit nach der Definition einer „Verarbeitung“ gem. Artikel 4 Nr. 2 DSGVO.
Wer ist primär zuständig?
Der Messstellenbetreiber – ob grundzuständig oder wirtschaftlicher (ein Dritter, der dies im Auftrag wahrnimmt) – ist zuständig, Smart Meter Gateways zu betreiben. Die Funktion heißt korrekt „Smart Meter Gateway Administrator (GWA)“. Und dies kann der Messstellenbetreiber selber tun oder als Dienstleistung in Anspruch nehmen. Das BSI bietet auf seiner Webseite eine Übersicht über zugelassene Smart Meter Gateway Administratoren. Hier finden sich aktuell (01.03.2019) 32 Unternehmen. Ist nun die als Dienstleistung angebotene Funktion Smart Meter Gateway Administrator aus datenschutzrechtlicher Sicht als Auftragsverarbeitung zu klassifizieren?
Welche Tätigkeiten führt der GWA exakt aus?
Die GWA-Tätigkeiten sind in der Technischen Richtlinie TR-03109-6 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vorgegeben und beinhalten insbesondere die folgenden Anwendungsfälle: Verbindungsaufbau, Dienste, Administration und Konfiguration, Unterstützung der Messwertverarbeitung, Monitoring sowie Fehlerbehandlung. Ferner gibt es Vorgaben an den Betrieb und die Auditierung und Zertifizierung des Informationssicherheits-Managementsystems (ISMS) gem. ISO 27001.
Wer ist Vertragspartner?
Typischerweise hat der Smart Meter Gateway Administrator einen Vertrag mit dem Messstellenbetreiber, nicht mit den einzelnen Gateway-Besitzern/-Eigentümern.
Deshalb ist aus unserer Sicht die Smart Meter Gateway Administration als datenschutzrechtliche Auftragsverarbeitung anzusehen: Obwohl der GWA Tätigkeiten gem. gesetzlicher Vorgabe durchführt – und dies in diesem technischen Detailgrad nicht jeder Messstellenbetreiber wahrnehmen kann –, so führt er dies doch im Auftrag des Messstellenbetreibers durch. Und zwar für die Kunden des Messstellenbetreibers, die ein Gateway bei sich installiert haben. Deshalb ist Art. 28 DSGVO anwendbar.
Dafür spricht auch, dass das BSI, das sich sonst bzgl. datenschutzrechtlicher Aspekte stets zurückhält, sich in der TR-03109-6 auf die datenschutzrechtliche Einstufung als Auftragsverarbeitung festlegt.
Summa sumarum ist festzuhalten, dass die Smart Meter Gateway Administration eine Auftragsverarbeitung ist.
27. März 2019 @ 15:02
Vielen Dank für diesen Artikel, sehr interessante Einschätzung. Könnten Sie noch mal die Abgrenzung verdeutlichen, warum ist der Stromanbieter nicht einzuordnen wie z.B. der Telekommunikationsanbieter. Dieser benötigt ebenfalls Daten für die Erbringung der Kommunikationsdienstleistung. Ich muss also keine AV schließen, obwohl vermutlich in der Vermittlungsstelle pbD hinterlegt sind. Ähnlich könnte man dies mit dem Energieversorger einordnen.
Vielen Dank.
27. März 2019 @ 19:28
Hallo Thorsten,
vielen Dank für Ihren Beitrag.
Aus meiner Sicht haben sowohl Stromanbieter als auch TK-Dienst-Anbieter eine direkte rechtliche Grundlage zur Verarbeitung personenbezogener Daten – insb. weil sie Verantwortliche und keine Auftragsverarbeiter sind. Der Smart Meter Gateway Administrator ist ja eine Funktion/Rolle, die gesetzlich vorgesehen ist. Dieser Gateway Administrator wird meist vom Messstellenbetreiber beauftragt. Er benötigt auch personenbezogene Daten, und die gesetzliche Grundlage zur Verarbeitung ist die Auftragsverarbeitung gem. Art. 28 DSGVO.
Mit freundlichen Grüßen
Dr. Sönke Maseberg