Verband IT für EVU , Sicherheit , VSE

Eine Data Policy für die Energiebranche

Digitalisierung

27.04.2018

Neue Möglichkeiten bei der Datenerhebung und -verarbeitung machen Regelungen und branchenspezifische Richtlinien nötig, damit nationalen und europäischen Datenschutzgesetzen Rechnung getragen werden kann. Eine Arbeitsgruppe des VSE erarbeitet daher eine entsprechende Data Policy.

Mit fortschreitender Digitalisierung stehen zunehmend geschäftsrelevante Daten und deren Mehrwert generierende Verarbeitung im Zentrum unternehmerischer Aktivitäten. Technische Innovationen, eine noch nie dagewesene Fülle an Datenbeständen sowie neue Möglichkeiten der Verknüpfung und Analyse von Daten liefern die Grundlage für ein breites Spektrum möglicher Geschäftsfeldentwicklungen – angefangen bei ergänzenden Ansätzen bis hin zu disruptiven Geschäftsmodellen in verschiedensten Branchen. Auch in der Energiebranche wird die Informationsverarbeitung definitiv zu einem strategischen Erfolgsfaktor und einem Unterscheidungsmerkmal im Wettbewerb.

2007 wurde, ausgehend von den Gafa-Unternehmen (Google, Amazon, Facebook, Apple) und weiteren Marktteilnehmern, ein neues digitales Zeitalter eingeläutet. Diese Firmen begannen mit der systematischen Sammlung, Verarbeitung und Speicherung enormer Datenmengen. Damit wurden Fragen wie «Was geschieht mit unseren Daten?» oder «Welche Rechte und Pflichten gehen mit diesen Daten einher?» aufgeworfen. Die EU beschloss aufgrund dieser Entwicklung, eine neue Datenschutz-Grundverordnung (DSGVO) zu verabschieden, um das bestehende Gesetz an die neue digitale Welt anzupassen und die Rechte der Personen und ihre Privatsphäre zu schützen. Die DSGVO ist ab Mai 2018 in allen EU-Ländern in Kraft.

EVU sind ebenfalls betroffen

Die DSGVO hat direkte Auswirkungen auf die Schweiz und auf Schweizer Unternehmen, unabhängig davon, ob sie über einen Sitz oder eine Niederlassung in der EU verfügen. Neben einem Einfluss auf das Datenschutzgesetz (DSG) der Schweiz muss das «Markt­ortprinzip» der DSGVO berücksichtigt werden. Mit diesem Prinzip gilt ein erweiterter örtlicher Anwendungsbereich. Das heisst, der Anwendungsbereich umfasst auch Unternehmen mit Sitz in der Schweiz, sofern sie ihre Waren oder Dienstleistungen zielgerichtet (entgeltlich oder unentgeltlich) Personen in der EU anbieten oder deren Datenverarbeitung der Verhaltensbeobachtung von Personen in der EU dient – beispielsweise zum Erstellen eines Profils oder zum Tracking.

Bisher wurden die Anforderungen des Datenschutzes in der Schweiz und in den EU-Ländern als äquivalent erachtet. Soll auch künftig ein Datenaustausch von personenbezogenen Daten grenzüberschreitend möglich sein, so muss das Schweizer Datenschutzgesetz den verschärften Anforderungen aus dem EU-Raum Rechnung tragen. Um die erwähnte Konformität gegenüber der EU zu erhalten, wird die Revision des Datenschutzgesetzes voraussichtlich in zwei Schritten vorgenommen, wobei der erste Schritt Anpassungen im Hinblick auf das europäische Recht umfassen dürfte. [1]

Wie kann sich die Branche auf diese Entwicklung vorbereiten?

Zur Sicherstellung eines geordneten, rechtskonformen und branchenweit möglichst einheitlichen Umgangs mit Daten gilt es, für das Zusammenspiel der Marktteilnehmer eine zweckdienliche Data Policy zu etablieren. Diese soll die Grundsätze für wichtige Fragestellungen zu Datennutzung, Datenschutz, Datensicherheit sowie Daten-Governance beschreiben. Eine Data Policy bildet ein gesamtheitliches Framework für den Umgang mit relevanten Daten sowie den Datenaustausch zwischen Marktteilnehmern beziehungsweise Rollen in der Energielandschaft.

Praxisbeispiel Messdatenfluss

Am Beispiel eines Messdatenflusses sollen Herausforderungen für ein EVU im Umgang mit Daten modellhaft aufgezeigt werden.

Ein Smart Meter ermittelt Lastgänge mit einer Periode von 15 Minuten und speichert diese für mindestens 60 Tage im Gerät. Die Daten können über Schnittstellen sowohl von einem Datenverarbeitungssystem des Netzbetreibers als auch direkt durch den Endverbraucher beziehungsweise Erzeuger der Daten oder einen beauftragten Dritten abgerufen werden. Fünfzehn-Minuten-Lastprofile mit Zuordnung zu einem Kunden gelten als Personendaten im Sinne des Datenschutzgesetzes und sind deshalb bezüglich Vertraulichkeit, Integrität und Verfügbarkeit besonders zu schützen.

Zur Datenübertragung vom Smart Meter zum Datenverarbeitungssystem können verschiedene Kommunikationstechnologien verwendet werden, mit je nach Technologie unterschiedlichen Massnahmen zur Einhaltung der Datensicherheit und des Datenschutzes. Grundsätzlich sind die Daten bei der Übertragung gegen Veränderung und Abgriff zu schützen.

Die Datenverarbeitung in den Zentralsystemen ist heute vielfach auf mehrere Anwendungen verteilt. Bei der Messdatenauslesung werden die Daten primär auf Vollständigkeit geprüft. Da dieser Schritt keine direkten Kundeninformationen benötigt, ist der Datenschutzaspekt weniger kritisch.

Anschliessend werden die Daten in ein Meter-Data-Management-System (MDM) oder in ein Energiedaten-Management-System (EDM) transferiert. Die Messdaten werden unter anderem um Kunden- und Vertragsdaten ergänzt. Entsprechende Systemzugriffsrechte sind res­triktive zu vergeben, da Daten mit Personenbezug betroffen sind und Unbundling-Aspekte berücksichtigt werden müssen. Das Datenmanagement von der Generierung bis zur Löschung muss in einem Unternehmen gesetzeskonform geregelt und den jeweiligen Veränderungen angepasst werden.

Messdaten von Kunden mit Marktzugang sind vom Netzbetreiber diskriminierungsfrei an die berechtigten Marktteilnehmer und somit an fremde Systeme zu liefern. Die Lieferung muss unverändert und für Unberechtigte nicht einsehbar erfolgen.

Kundenprozesse werden heute weitgehend über Portale abgewickelt. Portallösungen verfügen in der Regel über zahlreiche Kunden- und Vertragsdaten und ermöglichen die Visualisierung von Messdaten. Die Informationen sind gegen unberechtigte Zugriffe zu schützen. Dies gilt nicht nur gegenüber Dritten, sondern auch intern, um Datenschutz- und Unbundling-Vorgaben einzuhalten.

Im Vertrieb wird oft mit CRM-Systemen gearbeitet, welche ebenfalls in die IT-Landschaft des EVU integriert sind. Die Verwendung sämtlicher personenbezogenen Daten für neue Geschäftsaktivitäten muss im Rahmen der gesetzlichen Vorgaben erfolgen.

Dieses Beispiel zeigt auf, dass diverse Herausforderungen in Bezug auf den Zugang zu Daten, den Umgang mit Daten und die Sicherheit von Daten im Energiebereich bestehen. Im Bereich der Datensicherheit bei Smart Meter arbeitet zurzeit eine Arbeitsgruppe beim VSE an entsprechenden Umsetzungsdokumenten. Die Ergebnisse sollten noch in diesem Jahr vorliegen.

Die Arbeitsgruppe Data Policy des VSE beschäftigt sich mit drei Kernthemen, nach denen die genannten Herausforderungen strukturiert werden: Datennutzung, Daten-Compliance und Daten-Governance. Im Fokus stehen personenbezogene Daten, für welche die Datenschutzgesetzgebung der EU (DSGVO) und der Schweiz (DSG) grundlegende Vorgaben definieren.

Das Kernthema Datennutzung behandelt Nutzungsrechte an Datenob­jekten. Dabei werden die Ansprüche von beteiligten Marktteilnehmern an einzelnen Datenobjekten genauer untersucht und der Verwendungszweck der Datenobjekte geklärt.

Betreffend Daten-Compliance werden Regeln und Richtlinien im Umgang mit Daten näher betrachtet, mit der Unterscheidung von personenbezogenen und nicht-personenbezogenen Daten.

Im Kernthema Daten-Governance werden Mechanismen zur Steuerung, Umsetzung sowie zur nachhaltigen Weiterentwicklung und Pflege von Data-Policy-Regelungen eines Unternehmens festgelegt. Diese Regelungen gelten sowohl für die unternehmensinterne Handhabung von Daten als auch für den unternehmensübergreifenden Datenaustausch.

Zur Daten-Governance gehört ebenfalls die Definition von Rollen beziehungsweise Funktionen innerhalb eines Unternehmens, die sich mit dem Thema Data Policy auseinandersetzen. Entsprechende Rollen sind beispielsweise im Bereich der Informationssicherheit, des Datenmanagements oder des Datenschutzes angesiedelt. Ihre Zuständigkeiten umfassen – je nach Tätigkeitsgebiet – die Definition und Umsetzung von Vorgaben respektive die Überwachung der Einhaltung bestehender Vorgaben.

Vorbereitung ist essenziell

Die Digitalisierung eröffnet den Unternehmen der Energiebranche vielfältige Chancen und Möglichkeiten für erweiterte und neue Geschäftsmodelle. Der Umgang mit den dazu verwendeten Daten bringt jedoch Herausforderungen mit sich, auf die sich die Unternehmen sorgfältig vorbereiten müssen. Ein Teil dieser Herausforderungen entsteht aus der DSGVO der EU.

Um die Vorteile der neuen digitalen Welt zu nutzen, müssen sich die Energiemarktteilnehmer Gedanken ma­­chen über die Einführung und Anwendung einer passenden, rechtskonformen Data Policy in ihrem Unternehmen. Eine entsprechende allgemeine Data Policy wird im Verlauf dieses Jahres von der zuständigen Arbeitsgruppe des VSE, die ausschliesslich zu diesem Zweck gegründet worden ist, vorbereitet.

Referenz

[1]   «Revision des Datenschutzrechtes in zwei Etappen», Medienmitteilung des Bundes vom 12. Januar 2018, oder auch die Anfrage Fiala «Doppelte Strafverfolgung bei der Umsetzung der EU-Datenschutz-Grundverordnung».

Autor
Stéphane Henry

ist Vorsitzender der VSE-Arbeitsgruppe Data Policy.

Dieser Artikel wurde im Namen der VSE-Arbeitsgruppe Data Policy verfasst.

Kommentare

Jörg Christoph,

Hallo,
ich freue mich, dass wir damit nun live sind.

Bitte addieren Sie 8 und 1.