18.10.2014   

DE

Amtsblatt der Europäischen Union

L 300/63

(1)

Intelligente Netze sind eine Voraussetzung für die Umsetzung wichtiger energiepolitischer Maßnahmen. Im Kontext des politischen Rahmens für 2030 gelten intelligente Netze, das Rückgrat des künftigen CO2-armen Stromsystems, als Faktor, der zum Umbau der Energieinfrastruktur im Hinblick auf die Einbeziehung eines höheren Anteils erneuerbarer Energien, die Verbesserung der Energieeffizienz und die Gewährleistung der Versorgungssicherheit beiträgt. Intelligente Netze bieten die Chance, die Wettbewerbsfähigkeit von Technologieanbietern in der EU zu verbessern, und dienen als Plattform für traditionelle Energieversorger und neue Marktteilnehmer bei der Entwicklung neuer Energiedienstleistungen und -produkte innerhalb der Netzinfrastruktur und der damit zusammenhängenden Informations- und Kommunikationstechnologie (IKT), der Domotik und elektrischer Geräte.

(2)

Intelligente Messsysteme sind ein Schritt auf dem Weg zu intelligenten Netzen. Sie bieten die Instrumente zur Unterstützung der aktiven Beteiligung der Verbraucher am Energiemarkt und schaffen Flexibilität durch Nachfragesteuerung und andere innovative Dienstleistungen. Gemäß den Richtlinien 2009/72/EG (1) und 2009/73/EG (2) des Europäischen Parlaments und des Rates müssen die Mitgliedstaaten die Einführung intelligenter Messsysteme gewährleisten, durch die die aktive Beteiligung der Verbraucher am Gas- und am Stromversorgungsmarkt unterstützt wird.

(3)

Durch den Betrieb intelligenter Messsysteme — und damit durch jede Weiterentwicklung intelligenter Netze und Geräte — entsteht die Möglichkeit, Daten von natürlichen Personen, d. h. personenbezogene Daten gemäß Artikel 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (3), zu verarbeiten.

(4)

Nach der Stellungnahme 12/2011 (4) der gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzten Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten können intelligente Messsysteme und intelligente Netze dazu führen, dass personenbezogene Daten in zunehmendem Umfang verarbeitet werden und einem größeren Empfängerkreis zur Verfügung stehen, als es gegenwärtig der Fall ist, so dass für die betroffenen Personen neue, im Energiesektor bislang unbekannte Risiken entstehen.

(5)

Nach der Stellungnahme 4/2013 (5) der Datenschutzgruppe lassen die intelligente Verbrauchsmessung und die intelligenten Netze das zukünftige „Internet der Dinge“ erkennen, wobei die mit der Erhebung detaillierter Verbrauchsdaten verbundenen potenziellen Risiken in Zukunft vermutlich weiter zunehmen werden, wenn die Daten mit denen aus anderen Quellen wie z. B. Geopositionsdaten, Daten aus der Verfolgung des Verbraucherverhaltens und der Profilerstellung im Internet, Videoüberwachungssystemen und Systemen zur Funkfrequenzidentifikation (RFID) kombiniert werden (6).

(6)

Die Sensibilisierung für die Merkmale und die erheblichen Vorteile intelligenter Netze dürfte dazu beitragen, dass diese Technologie ihr volles Potenzial entfalten kann und gleichzeitig die Risiken ihrer Nutzung zulasten des öffentlichen Interesses eingedämmt werden, so dass sich ihre Akzeptanz erhöht.

(7)

Werden personenbezogene Daten verarbeitet, so sind die in den Richtlinien 95/46/EG und 2002/58/EG des Europäischen Parlaments und des Rates (7) vorgesehenen Rechte und Pflichten in vollem Umfang auf intelligente Messsysteme und intelligente Netzumgebungen anzuwenden.

(8)

Das von der Kommission angenommene Paket zur Reform der Richtlinie 95/46/EG beinhaltet auch einen Vorschlag für eine Datenschutzverordnung (8), die im Falle der Annahme für intelligente Messsysteme und intelligente Netzumgebungen gelten würde, wenn personenbezogene Daten verarbeitet werden.

(9)

In der Mitteilung „Intelligente Stromnetze: von der Innovation zur Realisierung“ der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 12. April 2011 (9) wurden Datenschutz und -sicherheit als eine der fünf Herausforderungen für die Realisierung intelligenter Netze genannt und eine Reihe von Maßnahmen ermittelt, die die Realisierung intelligenter Netze beschleunigen; hierzu zählen auch der „Privacy-by-Design-“Ansatz (konzeptionsbedingter Datenschutz) und die Bewertung der Sicherheit und der Robustheit der Netz- und Informationsinfrastruktur.

(10)

In der Digitalen Agenda für Europa ist eine Reihe geeigneter Maßnahmen aufgeführt, die insbesondere den Datenschutz in der Union, die Netz- und Informationssicherheit sowie Cyberangriffe zum Gegenstand haben. In der „Cybersicherheitsstrategie der Europäischen Union — ein offener, sicherer und geschützter Cyberraum“ (10) und im Vorschlag der Kommission vom 7. Februar 2013 (11) für eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union sind rechtliche Maßnahmen und Anreize vorgesehen, um Investitionen, Transparenz und eine Sensibilisierung der Nutzer zu fördern und hierdurch die Sicherheit der Online-Umgebung der EU zu erhöhen. Die Mitgliedstaaten sollten gemeinsam mit der Wirtschaft, der Kommission und anderen Interessenträgern geeignete Maßnahmen treffen, um für einen kohärenten Ansatz bei der Sicherheit und beim Schutz personenbezogener Daten zu sorgen.

(11)

Die Stellungnahme der gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzten Gruppe zum Schutz von Personen bei der Verarbeitung personenbezogener Daten und die Stellungnahme des Europäischen Datenschutzbeauftragten vom 8. Juni 2012 (12) geben Hilfestellung für den Schutz personenbezogener Daten und die Gewährleistung der Datensicherheit bei der Verarbeitung von Daten in intelligenten Messsystemen und intelligenten Netzen. In der Stellungnahme 12/2011 der Datenschutzgruppe zur intelligenten Verbrauchsmessung („Smart Metering“) wird den Mitgliedstaaten empfohlen, Einführungspläne zu entwickeln, nach denen eine Datenschutz-Folgenabschätzung durchgeführt werden muss.

(12)

Eine der entscheidenden Voraussetzungen, um die Vorteile intelligenter Messsysteme nutzen zu können, sind geeignete technische und juristische Lösungen zum Schutz der Privatsphäre und der personenbezogenen Daten als Grundrechte gemäß den Artikeln 7 und 8 der Charta der Grundrechte der Europäischen Union und Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union. Die Empfehlung 2012/148/EU der Kommission (13) enthält spezielle Leitlinien zu Datenschutz- und Sicherheitsmaßnahmen für solche Systeme und die Aufforderung an die Mitgliedstaaten, sicherzustellen, dass intelligente Messsysteme und intelligente Netzanwendungen überwacht und die Grundrechte und -freiheiten der Bürger beachtet werden.

(13)

In der Empfehlung 2012/148/EU heißt es, es sollte mit Hilfe von Folgenabschätzungen zum Datenschutz möglich sein, Datenschutzrisiken nach dem Grundsatz des konzeptionsbedingten Datenschutzes bei der Entwicklung von intelligenten Netzen von Anfang an festzustellen. Außerdem wird in der Empfehlung angekündigt, dass die Kommission ein Muster zur Datenschutz-Folgenabschätzung für intelligente Netze und intelligente Messsysteme entwickeln wird, das der Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten zur Stellungnahme vorgelegt werden soll.

(14)

Ferner wird in der Empfehlung 2012/148/EU erklärt, dass das Muster den für die Datenverarbeitung Verantwortlichen Hilfestellung bei der Durchführung einer gründlichen Datenschutz-Folgenabschätzung geben soll; diese sollte eine Beschreibung der geplanten Verarbeitungsvorgänge und eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken sowie der geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren enthalten, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis für die Einhaltung der Richtlinie 95/46/EG erbracht werden soll, wobei sie den Rechten und den berechtigten Interessen der von der Datenverarbeitung betroffenen Personen und sonstiger Betroffener Rechnung tragen sollte.

(15)

Durch die vorgeschlagene Datenschutzverordnung zur Ersetzung der Richtlinie 95/46/EG würden Datenschutz-Folgenabschätzungen als entscheidendes Instrument zur Verstärkung der Rechenschaftspflicht von für die Datenverarbeitung Verantwortlichen unter bestimmten Bedingungen verbindlich vorgeschrieben. In dieser Hinsicht wird das Muster zur Datenschutz-Folgenabschätzung für intelligente Netze und intelligente Messsysteme, obwohl nicht verbindlich, den im Bereich intelligente Netze tätigen für die Datenverarbeitung Verantwortlichen bei der Einhaltung der künftigen rechtlichen Verpflichtung im Rahmen der „vorgeschlagenen Datenschutzverordnung“ als Bewertungs- und Entscheidungsfindungsinstrument dienen.

(16)

Ziel eines auf Unionsebene erstellten Musters zur Durchführung von Datenschutz-Folgenabschätzungen ist es, dafür zu sorgen, dass die Bestimmungen der Richtlinie 95/46/EG und der Empfehlung 2012/148/EU in allen Mitgliedstaaten einheitlich beachtet werden und ein EU-weites gemeinsames Verfahren der für die Datenverarbeitung Verantwortlichen zur Sicherstellung der angemessenen und harmonisierten Verarbeitung personenbezogener Daten gefördert wird.

(17)

Ein solches Muster dürfte die Anwendung des Grundsatzes des konzeptionsgebundenen Datenschutzes erleichtern, indem es die für die Datenverarbeitung Verantwortlichen dazu anhält, Datenschutz-Folgenabschätzungen zum frühestmöglichen Zeitpunkt durchzuführen, wodurch sie in die Lage versetzt werden, mögliche Auswirkungen auf die Rechte und Freiheiten von Betroffenen rechtzeitig zu erkennen und strenge Sicherheitsvorkehrungen zu treffen. Solche Maßnahmen sollten von den für die Datenverarbeitung Verantwortlichen über den gesamten Lebenszyklus der Anwendung oder des Systems hinweg überwacht und überprüft werden.

(18)

Der Bericht über die Einführung des Musters sollte auch zur Tätigkeit der nationalen Datenschutzbehörden in den Bereichen Kontrolle und Überwachung der Einhaltung der vorschriftsmäßigen Verarbeitung und insbesondere der Risiken für den Schutz personenbezogener Daten beitragen.

(19)

Das Muster dürfte nicht nur die Lösung von Problemen erleichtern, die in den Bereichen Datenschutz, Privatsphäre und Sicherheit im Umfeld der intelligenten Netze auftreten, sondern auch dazu beitragen, den Herausforderungen beim Umgang mit Daten im Zusammenhang mit der Entwicklung des Endkunden-Energiemarkts zu begegnen. Denn ein erheblicher Teil der Wertschöpfung des künftigen Endkundenmarkts wird auf Daten und auf einer umfassendere Einbeziehung der IKT in das Energieversorgungssystem beruhen. Die Sammlung der und die Organisation des Zugangs zu diesen Daten sind eine entscheidende Voraussetzung für die Schaffung von Geschäftschancen für neue Marktteilnehmer, insbesondere Aggregatoren, Energiedienstleistungsunternehmen oder die IKT-Branche. Damit gewinnen die Themen Datenschutz, Privatsphäre und Sicherheit für die Versorgungsunternehmen zunehmend an Bedeutung. Das Muster wird insbesondere in der Anfangsphase der Einführung intelligenter Messsysteme dazu beitragen, dass intelligente Messanwendungen überwacht und Grundrechte und -freiheiten der Bürger beachtet werden, indem von Beginn an festgestellt wird, welche Datenschutzrisiken bei der Entwicklung intelligenter Netze auftreten.

(20)

Nachdem das Muster — wie durch die wichtigsten Interessenträger im Bereich der intelligenten Netze in einem von der Kommission begleiteten Verfahren entworfen — der Datenschutzgruppe zur förmlichen Konsultation vorgelegt worden war, wurde die Stellungnahme 4/2013 veröffentlicht. Nach der Vorlage eines überarbeiteten Musters auf der Grundlage der Stellungnahme 4/2013 veröffentlichte die Datenschutzgruppe die Stellungnahme 7/2013 vom 4. Dezember 2013 (14). Die in diesen beiden Stellungnahmen abgegebenen Empfehlungen wurden von den Interessenträgern zur Kenntnis genommen.

(21)

In der Stellungnahme 7/2013 der Datenschutzgruppe wird die Organisation einer Testphase für die Einführung des Musters empfohlen, in der einzelne Datenschutzbehörden es möglicherweise in Betracht ziehen, ihre Unterstützung anzubieten. Diese Testphase sollte auch dazu beitragen, dass das Muster den betroffenen Personen im Zusammenhang mit dem Einsatz intelligenter Netze einen verbesserten Datenschutz bietet.

(22)

In Anbetracht der Vorteile, die das Muster der Wirtschaft, den Verbrauchern und den nationalen Datenschutzbehörden bietet, sollten die Mitgliedstaaten mit der Wirtschaft, Interessenträgern der Zivilgesellschaft und nationalen Datenschutzbehörden zusammenarbeiten, um die Anwendung und Verbreitung des Musters für die Datenschutz-Folgenabschätzung in einem frühen Stadium der Einführung der intelligenten Netze und der intelligenten Messsysteme zu fördern und zu unterstützen.

(23)

Die Kommission sollte direkt und indirekt zur Umsetzung dieser Empfehlung beitragen, indem sie den Dialog und die Zusammenarbeit zwischen den Interessenträgern insbesondere durch die Bündelung und Weitergabe von Feedback in der Testphase zwischen der Wirtschaft und den nationalen Datenschutzbehörden unterstützt.

(24)

Die Kommission sollte unter Berücksichtigung der Schlussfolgerungen aus der Testphase und nach der Überarbeitung der Richtlinie 95/46/EG prüfen, inwieweit das durch das Muster vorgegebene Verfahren überprüft und verfeinert werden sollte.

(25)

Diese Empfehlung steht im Einklang mit den Grundrechten und Grundsätzen, die in der Charta der Grundrechte der Europäischen Union anerkannt wurden. Insbesondere sollen mit dieser Empfehlung die uneingeschränkte Achtung des Privat- und Familienlebens (Artikel 7 der Charta) und der Schutz personenbezogener Daten (Artikel 8 der Charta) gewährleistet werden.

(26)

Nach Anhörung des Europäischen Datenschutzbeauftragten —

1.

Diese Empfehlung gibt den Mitgliedstaaten Orientierungshilfen für die Maßnahmen, die für effektive und umfassende Verbreitung, Anerkennung und Verwendung des Musters für die Datenschutz-Folgenabschätzung bei intelligenten Netzen und intelligenten Messsystemen (im Folgenden „Muster“) zu treffen sind, um die Beachtung der Grundrechte auf Schutz personenbezogener Daten und der Privatsphäre bei der Einführung intelligenter Netzanwendungen und intelligenter Messsysteme zu gewährleisten.

Das Muster ist auf der Website (http://ec.europa.eu/energy/gas_electricity/smartgrids/smartgrids_en.htm) der Task Force für intelligente Netze abrufbar.

2.

Die Mitgliedstaaten werden aufgefordert, folgende Begriffsbestimmungen zur Kenntnis zu nehmen:

3.

Um den Schutz personenbezogener Daten unionsweit zu gewährleisten, sollten die Mitgliedstaaten die für die Datenverarbeitung Verantwortlichen dazu anhalten, für intelligente Netze und intelligente Messsysteme das Muster für die Datenschutz-Folgenabschätzung zu verwenden, und ihnen dabei nahelegen, die Empfehlungen der Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten und insbesondere deren Stellungnahme 7/2013 (17) zu berücksichtigen. Die Stellungnahmen der Datenschutzgruppe sind auf der Website (http://ec.europa.eu/energy/gas_electricity/smartgrids/smartgrids_en.htm) der Taskforce für intelligente Netze abrufbar.

4.

Die Mitgliedstaaten sollten mit der Wirtschaft, Interessenträgern der Zivilgesellschaft und nationalen Datenschutzbehörden zusammenarbeiten, um in einem frühen Stadium der Einführung intelligenter Netze und intelligenter Messsysteme die Verbreitung und Anwendung des Musters für die Datenschutz-Folgenabschätzung zu fördern und zu unterstützen.

5.

Die Mitgliedstaaten sollten die für die Datenverarbeitung Verantwortlichen dazu anhalten, für jede der unter der Nummer 42 der Empfehlung 2012/148/EU aufgeführten Mindestfunktionsanforderungen die von den Mitgliedstaaten in Zusammenarbeit mit der Wirtschaft, der Kommission und anderen Interessenträgern festzulegenden besten verfügbaren Techniken als Ergänzung zur Datenschutz-Folgenabschätzung zu betrachten.

6.

Die Mitgliedstaaten sollten die für die Datenverarbeitung Verantwortlichen bei der Entwicklung und Anwendung von Lösungen zum konzeptionsbedingten Datenschutz (data protection by design) und zum standardmäßigen Datenschutz (data protection by default) unterstützen, die einen wirksamen Datenschutz ermöglichen.

7.

Die Mitgliedstaaten sollten sicherstellen, dass die für die Datenverarbeitung Verantwortlichen vor der Verarbeitung ihre jeweiligen nationalen Datenschutzbehörden zur Datenschutz-Folgenabschätzung anhören.

8.

Die Mitgliedstaaten sollten sicherstellen, dass die für die Datenverarbeitung Verantwortlichen nach Durchführung einer Datenschutz-Folgenabschätzung und in Übereinstimmung ihrer anderen Verpflichtungen aus der Richtlinie 95/46/EG die geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten treffen und die Folgenabschätzung sowie die anhaltende Eignung der festgelegten Maßnahmen während des gesamten Lebenszyklus der Anwendung bzw. des Systems überprüfen.

9.

Die Mitgliedstaaten sollten die Organisation einer Testphase (18) mit Fällen aus der Praxis unterstützen und dabei auch Prüfer aus den Sektoren intelligente Netze und intelligente Messsysteme auffordern, sich an dieser Testphase zu beteiligen.

10.

Die Mitgliedstaaten sollten sicherstellen, dass während dieser Testphase bei allen diesbezüglichen Anwendungen oder Systemen das Muster, die Empfehlungen (19) der Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten sowie die in Abschnitt III dieser Empfehlung enthaltenen Bestimmungen angewandt werden, um die bestmögliche Wirkung für den Datenschutz zu erreichen und für die spätere Überprüfung des Musters möglichst viele Informationen bereitzustellen.

11.

Die Mitgliedstaaten sollten die für Datenschutz zuständigen nationalen Behörden auffordern, den für die Datenverarbeitung Verantwortlichen während der gesamten Testphase Unterstützung und Orientierungshilfen anzubieten, und diese dabei unterstützen (20).

12.

Die Kommission plant, einen direkten Beitrag zur Durchführung und Überwachung der Testphase zu leisten, indem sie insbesondere durch die Bereitstellung einer Interessenträger-Plattform (21) zur Veranstaltung von Treffen zwischen Prüfern, der Wirtschaft, Vertretern der Zivilgesellschaft, der für den Datenschutz zuständigen nationalen Behörden und Energieregulierungsbehörden den Dialog und die Zusammenarbeit zwischen den Interessenträgern unterstützt.

13.

Die Mitgliedstaaten sollten die Prüfer auffordern, die Ergebnisse der Testphase zu übermitteln und mit den für den Datenschutz zuständigen nationalen Behörden und anderen maßgeblichen Interessenträgern im Rahmen der Interessenträger-Plattform auf der Grundlage von drei Kategorien von Bewertungskriterien auszutauschen:

Die Berichterstattung zu diesen Bewertungskriterien sollte insbesondere darauf ausgerichtet sein, Informationen bereitzustellen, die für die Umsetzung der Empfehlung der Kommission und für die Verwendung des Musters bei allen diesbezüglichen Anwendungen oder Systemen maßgeblich sind.

14.

Die Kommission beabsichtigt, eine Zusammenstellung aller in der Testphase durchgeführten Datenschutz-Folgenabschätzungen vorzunehmen. Diese Zusammenstellung wird auf der Website der Taskforce „Intelligente Netze“ während der gesamten Testphase bereitgestellt und regelmäßig aktualisiert, um dazu beizutragen, dass die Anwendung des Musters laufend und zeitnah verbessert wird.

15.

Innerhalb von zwei Jahren nach Veröffentlichung dieser Empfehlung im Amtsblatt der Europäischen Union sollten die Mitgliedstaaten der Kommission einen Bewertungsbericht mit den wesentlichen Schlussfolgerungen aus der Testphase übermitteln.

16.

Die Kommission beabsichtigt, zwei Jahre nach Veröffentlichung dieser Empfehlung im Amtsblatt der Europäischen Union anhand der Testphasenberichte der Mitgliedstaaten und unter Berücksichtigung der oben genannten Bewertungskriterien zu prüfen, inwiefern eine Überarbeitung des Musters für die Datenschutz-Folgenabschätzung erforderlich ist. Bevor die Kommission die Überarbeitung vornimmt, wird sie prüfen, ob sie hierzu eine Zusammenkunft mit den Interessenträgern ausrichtet, um Meinungen zu dieser Bewertung auszutauschen.

17.

Diese Überarbeitung sollte dazu beitragen sicherzustellen, dass mit dem Muster für die Datenschutz-Folgenabschätzung die Daten von Personen im Rahmen der Einführung intelligenter Netze besser geschützt werden und den Bestimmungen der überarbeiteten Richtlinie 95/46/EG und der Stellungnahme 7/2013 der Datenschutzgruppe in angemessener Weise Rechnung getragen wird.