Die fortschreitende Digitalisierung macht auch vor unseren Kellerräumen nicht halt. Ein Beispiel dafür sind funkbasierte Zähler, die in immer mehr Wohnungen und Häusern installiert werden. So sollen nach Angaben der WELT bereits mehr als drei Viertel aller Zähler für Heizungs- und Warmwasserverbrauch in Mehrfamilienhäusern digital und fernauslesbar sein.

Doch welche Daten fallen hierbei an? Wer hat Zugriff darauf? Wie werden diese Verbrauchsdaten geschützt? Erfolgt die Erhebung und Verarbeitung dieser Verbraucherdaten rechtmäßig? – Mit diesen Fragen hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in ihrer Orientierungshilfe vom 16. August 2024 beschäftigt.

Was sind funkbasierte Zähler und warum sind sie datenschutzrechtlich relevant?

Funkbasierte Zähler messen den Verbrauch von Strom, Heizung oder Wasser und übermitteln die Verbrauchsdaten an den Versorger bzw. an das zur Verarbeitung der Verbrauchsdaten beauftragte Unternehmen. Typische Übertragungsmethoden sind zum Bespiel Walk-by- oder Drive-by-Verfahren. Hierbei erfasst ein zur Ablesung beauftragter Mitarbeiter mithilfe eines Lesegerätes, durch vorbeilaufen oder vorbeifahren am Haus, die Verbrauchsdaten per Funk – oftmals ohne das betreffende Haus betreten zu müssen. Vermehrt kommen auch sogenannte Gateways zum Einsatz, die per Funk die Verbrauchsdaten im Zähler erfassen, zentral im Haus sammeln, zwischenspeichern und in regelmäßigen Abständen oder auf Abruf an den Energieversorger etwa per Internet-Verbindung weiterleiten.

Durch die genaue Erfassung des Energieverbrauchs erhält der Verbraucher die Möglichkeit, seinen Verbrauch gezielter zu kontrollieren. Auf diese Weise kann der Verbraucher beispielsweise besser erkennen, zu welchen Zeiten sein Stromverbrauch besonders hoch ist, ob „Stromfresser“ am Netz angeschlossen sind und ob gegebenenfalls Maßnahmen ergriffen werden können, um die Energiekosten zu senken.

Trotz der Vorteile, die die funkgesteuerte Verbrauchsdatenerfassung für Verbraucher mit sich bringt, birgt deren Einsatz auch datenschutzrechtliche Herausforderungen. Denn diese modernen Zähler können oft wesentlich detailliertere Verbrauchsdaten bereitstellen, als etwa zur Erstellung einer Abrechnung erforderlich sind und erlauben damit Rückschlüsse auf die alltäglichen Gewohnheiten des Haushalts – etwa wann Personen zu Hause sind oder wie häufig die Heizung genutzt wird. Solche Informationen könnten auch für Dritte von Interesse sein, wodurch das Risiko einer Überwachung erhöht wird.

Zudem stellt die Erhebung und Verarbeitung der funkbasierten Zähler Verantwortliche vor besondere Herausforderungen, da die rechtlichen Regelungen je nach Energieart variieren oder teilweise fehlen.

Vor diesem Hintergrund gibt die DSK eine Orientierungshilfe, die Klarheit für alle Beteiligten schaffen soll – von Eigentümern und Mietern über Hausverwaltungen bis hin zu Ablesediensten und Versorgern.

Die wichtigsten Punkte der Orientierungshilfe

1. Verantwortlicher

Gemäß Art. 4 Nr. 7 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet datenschutzrechtlich verantwortlich.

Entscheidend ist demnach, für welche Energieart die funkgesteuerten Zähler eingesetzt werden und wie die damit einhergehenden Datenverarbeitungen ausgestaltet sind.

Im Bereich Kaltwasser ist der Wasserversorger in der Regel verantwortlich. Bei zentraler Heizungs- und Warmwasserversorgung übernehmen meist Gebäudeeigentümer oder beauftragte Dienstleister, wie Ableseunternehmen, die Verantwortung. Bei Wohnungseigentümergemeinschaften (WEGs) liegt diese Aufgabe oft bei der Hausverwaltung. Im Falle von Fernwärme für Heizung und Warmwasser gelten die jeweiligen Energieversorger als verantwortliche Stelle. Für Strom ist in der Regel der Messstellenbetreiber der Verantwortliche.

Allerdings darf in diesem Zusammenhang nicht übersehen werden, dass auch Vermieter für die Weitergabe von Mieterdaten als Verantwortliche agieren können.

2. Rechtsgrundlage

Die Verarbeitung personenbezogener Daten durch funkbasierte Zähler ist datenschutzrechtlich nur dann zulässig, wenn entweder eine gesetzliche Erlaubnisnorm oder die Einwilligung der betroffenen Person vorliegt.

An dieser Stelle ist bereits hervorzuheben, dass für die Erhebung und Verarbeitung von Verbraucherdaten durch einen funkbasierten Zähler je nach Energieart unterschiedliche rechtliche Vorgaben bestehen, die unterschiedliche Zwecke und Abläufe berücksichtigen:

Strom: Für Stromzähler ist die Datenverarbeitung im Messstellenbetriebsgesetz (MsbG) umfassend geregelt. Darin werden unter anderem Datensicherheitsanforderungen (§§ 19 ff. MsbG), der zulässige Umfang der Datenverarbeitung (§§ 49 ff. MsbG) sowie Pflichten zur Datenübermittlung, Archivierung und Löschung (§§ 60 ff. MsbG) definiert. Jede zusätzliche oder darüber hinausgehende Datenverarbeitung erfordert eine freiwillige Einwilligung des Betroffenen.

Heizung und Warmwasser: Die Heizkostenverordnung (HeizkostenV) verpflichtet Gebäudeeigentümer zur Erfassung und Abrechnung der Heiz- und Warmwasserkosten. In § 6b HeizkostenV wird die Zulässigkeit und der Umfang der Datenverarbeitung definiert, die zugleich als datenschutzrechtliche Rechtsgrundlage herangezogen werden kann. Hiernach dürfen die Erhebung, Speicherung und Verwendung von Daten aus einer fernablesbaren Ausstattung zur Verbrauchserfassung nur durch den Gebäudeeigentümer oder einen von ihm beauftragten Dritten erfolgen und soweit dies erforderlich ist (1.) zur Erfüllung der verbrauchsabhängigen Kostenverteilung und zur Abrechnung mit dem Nutzer nach § 6 oder (2.) zur Erfüllung der Informationspflichten nach § 6a. Eine darüberhinausgehende Datenverarbeitung ist nur mit ausdrücklicher Einwilligung des Betroffenen erlaubt. Für die Fernwärmeversorgung gelten ähnliche Regelungen wie bei der HeizkostenV.

Kaltwasser: Anders als bei Strom und Heizung gibt es für die Verarbeitung von Verbrauchsdaten für Kaltwasser in Deutschland bislang keine bundesweit einheitliche Regelung. Einzelne Bundesländer wie Berlin (§ 22 Abs. 1 und 2 BlnDSG) und Bayern (Art. 24 Abs. 4 S. 2 GO) haben jedoch bereits spezifische Regelungen erlassen. Um bundesweit Klarheit für Verantwortliche zu schaffen, hat die DSK bereits in ihrer Stellungnahme vom 11.05.2023 erste Empfehlungen ausgearbeitet.

3. Zulässiger Abrufintervall

Verantwortliche dürfen personenbezogene Daten nicht nach Belieben erheben und verarbeiten, indessen müssen sie stets den Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO berücksichtigen. Das bedeutet, dass personenbezogene Daten nur in dem Umfang erhoben und verarbeitet werden dürfen, der zur Erreichung des festgelegten Zwecks zwingend erforderlich ist.

Bei funkbasierten Zählern steht somit die Einstellung der Intervalle des Datenabrufs, abhängig vom Zweck und der Verbrauchsart, im besonderen Fokus. Ein kontinuierlicher Abruf der Daten im Minutentakt ist daher regelmäßig nicht notwendig.

Für reine Abrechnungszwecke reicht in der Regel ein jährlicher Abruf der Verbrauchsdaten aus, während bei Heiz- und Warmwasser gemäß § 6a HeizkostenV zusätzlich die Verbrauchsdaten zur Erfüllung der Informationspflicht den Nutzern monatlich bereitgestellt werden müssen.

Es gibt jedoch auch Fälle, in denen engmaschigere Abrufintervalle zulässig sein können, zum Beispiel um Fehlfunktionen oder Ausfälle zu erkennen. So dürfen etwa Stromzähler unter bestimmten Bedingungen zur Sicherstellung der Netzstabilität viertelstündliche Messungen vornehmen. Ebenso können auch im Bereich der öffentlichen Trinkwasserversorgung häufigere Abrufe der Daten des Wasserzählers zur Leckage-Erkennung erforderlich sein.

In diesem Zusammenhang müssen Verantwortliche sicherstellen, dass die datenschutzrechtlich zulässigen Abrufintervalle eingehalten werden und keine unnötigen Datenabfragen stattfinden.

Eine Ausnahme von den zuvor genannten Intervallen besteht beispielsweise nur, wenn die Betroffenen explizit einwilligen, dass eine häufigere Übertragung der Verbrauchsdaten zur persönlichen Verbrauchskontrolle ermöglicht werden soll.

4. Technische und organisatorische Sicherheitsmaßnahmen

Die DSK betont in ihrer Orientierungshilfe an mehreren Stellen, dass beim Sammeln oder Übermitteln personenbezogener Daten durch funkbasierte Zähler angemessene technische und organisatorische Schutzmaßnahmen ergriffen werden müssen. Dieser Ansatz folgt dem Grundsatz der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f DSGVO, wonach die personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen geschützt werden müssen.

Die DSK empfiehlt dafür im Wesentlichen folgende Sicherheitsmaßnahmen:

Verschlüsselung der Funksignale: Die Funksignale müssen dem Stand der Technik entsprechend verschlüsselt sein, damit unbefugte Dritte keine Verbrauchsdaten abfangen oder unerlaubt weiterverarbeiten können. Des Weiteren sollten nur autorisierte und geschulte Mitarbeiter Zugang zu Geräten haben, die diese Funksignale entschlüsseln können.

Pseudonymisierung der Daten: Die Verbrauchsdaten sollten pseudonymisiert verarbeitet werden, sodass eine Zuordnung zu einer Person nur mit zusätzlichen Informationen – etwa über Vertragsdaten, die nur autorisierten Personen zugänglich sind – möglich ist. Dies erfolgt meist dadurch, dass die abgerufenen Datensätze (Zählernummer und Zählerstand) allein nicht zur Identifizierung einer Person bzw. eines Haushaltes ausreichen. Damit wird zugleich der Grundsatz der Datenminimierung umgesetzt und das datenschutzrechtliche Risiko für die Betroffenen reduziert.

Ergänzend weist die DSK darauf hin, dass soweit gesetzliche Regelungen bestehen – etwa gemäß §§ 19 ff. Messstellenbetriebsgesetz (MsbG) für Strom oder gemäß § 5 der Verordnung über Heizkostenabrechnung (HeizkostenV) für Heizung und Warmwasser – die Schutzprofile sowie die Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beim Ergreifenden geeigneter Maßnahmen zu berücksichtigen sind.

Fazit

Die Orientierungshilfe der DSK bietet einen hilfreichen Überblick über die wesentlichen datenschutzrechtlichen Anforderungen bei funkbasierten Zählern und beleuchtet spezifische Anforderungen für die jeweiligen Energiearten wie Strom, Heizung und Wasser. Zudem stellt die Orientierungshilfe eine Mustervorlage für die Informationen nach Art. 13 DSGVO zur Verfügung.

Zusammenfassend lässt sich feststellen, dass für bestimmte Bereiche bereits klare gesetzliche Vorgaben bestehen, etwa welche Datenarten durch funkbasierte Zähler erfasst, in welchem Intervall diese verarbeitet werden dürfen und welche Maßnahmen zur Risikominimierung ergriffen werden sollten. Die Orientierungshilfe betont jedoch, dass zusätzliche Verwendungszwecke, die über den primären Zweck (z. B. Abrechnungszwecke) hinausgehen, einer ausdrücklichen Einwilligung der Betroffenen bedürfen. Es zeigt sich zudem, dass in einigen Bereichen, etwa bei der Kaltwasserversorgung, gesetzliche Regelungslücken bestehen, weshalb der Gesetzgeber in der Verantwortung steht, rechtlich Klarheit zu schaffen.