In einem Satz. Energieversorger und Stadtwerke verarbeiten Verbrauchsdaten als personenbezogene Daten — Vattenfall musste 2021 ein Bußgeld von 900.000 € zahlen wegen unzulässiger Tarifoptimierungs-Recherchen — und unterliegen zusätzlich NIS2 (KRITIS), MsbG (Messstellenbetriebsgesetz) und § 21 EnWG.
Mit dem Smart-Meter-Rollout (Pflicht für Großverbraucher ab 6.000 kWh/a) wachsen die Datenschutz-Risiken weiter. Siehe ergänzend NIS2 Deutschland.
Wichtige Punkte
- Vattenfall 2021: 900.000 € wegen Tarifoptimierungs-Recherchen.
- Smart Meter: Pflicht ab 6.000 kWh/a Verbrauch.
- BSI TR-03109 Smart-Meter-Gateway-Standard.
- NIS2: Stromversorger als wesentliche Einrichtung.
- Verbrauchsdaten sind personenbezogen (BGH-Bestätigung).
1. Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Vertrag Strom/Gas | Art. 6 Abs. 1 lit. b |
| Abrechnung | Art. 6 lit. b + EnWG |
| Smart Meter | MsbG + DSGVO |
| Marketing | Art. 6 Abs. 1 lit. a |
| Bonitätsprüfung | Art. 6 Abs. 1 lit. f |
| Tarifoptimierung | Einwilligung erforderlich (Vattenfall-Lehre) |
2. Vattenfall-Fall 2021
900.000 € Bußgeld (BlnBDI) wegen systematischer Recherchen zur Tarifoptimierung: Mitarbeiter prüften für Vertriebszwecke ohne Einwilligung Daten von Kunden, die mehrfach den Tarif gewechselt hatten. Kernverstoß: fehlende Rechtsgrundlage und fehlende Information der Betroffenen.
3. Smart Meter und MsbG
- Pflicht ab 6.000 kWh/Jahr (Großverbraucher).
- Optional ab 2.000 kWh.
- Smart-Meter-Gateway nach BSI TR-03109 zertifiziert.
- Datenmodell streng nach MsbG (15-min-Werte).
- Datenweitergabe nur an berechtigte Marktrollen.
4. BSI TR-03109 Smart-Meter-Gateway
- Hardware-Security-Modul (HSM) integriert.
- Verschlüsselung Ende-zu-Ende.
- Zugriff über CRMA (Common Criteria EAL 4+).
- Übertragung nur an autorisierte EMT.
5. NIS2-Pflichten
Stromversorger sind nach NIS2 wesentliche Einrichtungen — Details in unserem Leitfaden zu NIS2 im Energiesektor:
- Risikomanagement.
- 24h-Frühwarnmeldung an BSI.
- Sicherheits-Audits.
- Schulungspflicht Geschäftsleitung.
- Personenhaftung Vorstand (NIS2UmsuCG).
6. Kundenkontakt
- Telefon-Vertrieb (Outbound): nur mit ausdrücklicher Einwilligung (UWG, BGH).
- E-Mail-Marketing: Double-Opt-In Pflicht.
- Tür-zu-Tür: BDSG § 4 zu beachten.
- Stadtwerke-Kundenkarten: Einwilligung pro Zweck.
7. Cybersecurity-Vorfälle
- Stadtwerke Schwerin (2023): Hackerangriff, Kundendaten betroffen.
- Stadtwerke Solingen (2023): Ransomware, mehrtägiger Ausfall.
- Typisches Bußgeld-Risiko: 50.000-500.000 €.
8. Datenflüsse Marktrollen
- Netzbetreiber ↔ Lieferant.
- Smart-Meter-Gateway-Administrator (gMSB) ↔ Datenempfänger.
- Bilanzkreismanager.
- Strikt nach Rollenmodell Bundesnetzagentur.
9. Beschäftigtendatenschutz
- Außendienst-Tracking (Monteure): Mitbestimmung.
- Leistungserfassung Service-Center: Datenschutz-Kontrolle.
- Whistleblowing-Kanal Pflicht (HinSchG).
10. Open-Data und Energiewende
- Aggregierte Verbrauchsdaten für Forschung: anonymisiert OK.
- §§ 50, 86, 95 EnWG regeln Datenfreigabe.
- Energiedaten an Aggregatoren (Flexibilitätsmärkte): Einwilligung.
11. Tool-Unterstützung
Legiscope verknüpft DSGVO und NIS2-Pflichten in einem integrierten Compliance-System für Stadtwerke.
11. Sektor-spezifische Enforcement-Fälle
| Jahr | Behörde | Fall | Sanktion | Lehre |
|---|---|---|---|---|
| 2020 | LfDI BW | H&M Hamburg (Retail-Beispiel) | 35.300.000 € | exzessive Mitarbeiterprofile |
| 2020 | LfD Berlin | Deutsche Wohnen (Immobilien) | 14.500.000 € | Aufbewahrungsverstoß |
| 2021 | LfDI Niedersachsen | Notebooksbilliger (E-Commerce) | 10.400.000 € | dauerhafte Videoüberwachung |
| 2022 | LDA Bayern | VW (Industrie) | 1.100.000 € | unzureichende AVV-Kontrolle |
| 2023 | HmbBfDI | Vattenfall (Energie) | 900.000 € | unzulässige Bonitätsprüfung |
| 2023 | LfD Berlin | Online-Plattform | 525.000 € | unzulässiges Targeted Advertising |
| 2024 | LDA Bayern | Pflegedienst | 280.000 € | Patientenakten ungesichert |
Aus diesen Fällen lassen sich Branchenmuster ableiten: Sanktionen treffen typisch Großbetriebe mit jahrelang aufgebauten unzulässigen Praktiken (Massenüberwachung, Profilbildung) oder mittelständische Akteure mit systematischen TOM-Defiziten.
12. Sektor-Standards und Codes of Conduct
Branchenspezifische Standards reduzieren das Compliance-Risiko:
- B3S (Branchenspezifische Sicherheitsstandards) nach § 8a BSI-Gesetz / NIS2UmsuCG.
- ISO 27001:2022 für ISMS-Zertifizierung.
- ISO 27701:2019 für Privacy Information Management (PIMS).
- BSI IT-Grundschutz Bausteine pro Sektor (siehe BSI-Grundschutz).
- TISAX für Automotive-Lieferketten.
- C5 (Cloud Computing Compliance Criteria Catalogue) für Cloud-Anbieter.
- Branchenkodizes nach Art. 40 DSGVO (Verband akkreditiert).
Zertifizierung allein schützt nicht vor Sanktionen, dokumentiert aber Sorgfalt — wirkt sich bußgeldmindernd aus.
13. AVV-Anforderungen im Sektor
Auftragsverarbeitungsverträge nach Art. 28 DSGVO sind sektorkritisch. Mindestinhalt: Gegenstand, Dauer, Art und Zweck, Datenkategorien, Betroffene, Weisungsrecht, Verschwiegenheit, TOM, Sub-Auftragsverarbeiter-Klausel, Audit-Recht, Löschung bei Vertragsende, Haftung. Mustervorlage: Auftragsverarbeitungsvertrag AVV.
Typische Sub-Auftragsverarbeiter im Sektor: Cloud-Hoster (AWS, Azure, GCP, Deutsche Cloud-Anbieter), CRM-Anbieter (HubSpot, Salesforce, Pipedrive), E-Mail-Versender (Brevo, Mailjet, Inxmail), Hosting (Hetzner, Strato), Analytics (Matomo, Plausible). Jeder benötigt eigenen AVV plus TIA bei Drittlandstransfer.
14. 5-Schritte-Compliance-Plan für den Sektor
- Bestandsaufnahme (Datenkartierung, Datenkategorien, Empfänger, Aufbewahrungsfristen, Sub-Prozessoren).
- Risikoanalyse pro Verarbeitungstätigkeit nach Standard-Datenschutzmodell (SDM), mit Schwellenwertanalyse für DSFA-Pflicht nach Art. 35.
- Rechtsgrundlagen-Mapping: Art. 6 Abs. 1 (a-f) pro Tätigkeit, bei besonderen Kategorien Art. 9 Abs. 2.
- TOM und AVV nach DSGVO Art. 32 Sicherheit und Art. 28.
- Wirksamkeitsprüfung mindestens jährlich, DSB-Bericht an Geschäftsleitung, Re-Audit nach Vorfällen.
15. Häufige Audit-Befunde im Sektor
- Verarbeitungsverzeichnis unvollständig oder veraltet (häufigster Befund, 70 % der Audits).
- AVV-Lücken bei IT-Dienstleistern, Druckerei, Lohnbüro.
- Fehlende oder unvollständige DSFA bei Hochrisiko-Verarbeitungen.
- Cookie-Banner ohne TTDSG-konforme Reject-Option.
- Bewerberdaten länger als 6 Monate gespeichert (Verstoß Art. 5 Abs. 1 lit. e).
- Newsletter ohne dokumentierten Double-Opt-In-Nachweis.
- Kameraüberwachung ohne Beschilderung und Interessensabwägung.
- Mitarbeiterüberwachung (Bossware) ohne Information / Betriebsvereinbarung.
- Backups unverschlüsselt oder offen erreichbar.
- Verspätete Datenpannenmeldung — siehe Datenpanne melden.
16. Branchenvergleich Sanktionsrisiko
| Branche | Typisches Sanktionsvolumen | Häufigste Verstöße |
|---|---|---|
| Handel/E-Commerce | 50.000 - 10 Mio. € | Marketing-Tracking, AVV-Lücken |
| Industrie | 100.000 - 35 Mio. € | Beschäftigtendatenschutz |
| Gesundheit/Pflege | 30.000 - 1 Mio. € | TOM-Defizite, Akten ungesichert |
| Energie/Versorger | 50.000 - 900.000 € | SCHUFA-Abfragen, Smart-Meter |
| Bildung | 5.000 - 100.000 € | MS 365 ohne TIA, Schülerdaten |
| Vereine/NGO | 1.000 - 50.000 € | fehlender DSB, AVV-Lücken |
| Influencer/Creator | 5.000 - 200.000 € | Cookie-Banner, Tracking-Pixel |
Höhere Sanktionen treten meist erst nach systematischen Verstößen oder Wiederholungsfällen auf. Erstverfahren enden in 60-70 % der Fälle mit Verwarnung oder Anordnung.
18. DSFA-Pflicht im Sektor
Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist im Sektor regelmäßig erforderlich bei: systematischer Überwachung von Personen, Verarbeitung besonderer Kategorien in großem Umfang, Profiling mit Rechtsfolgen, Einsatz neuer Technologien (KI, Biometrie, IoT). Die DSK-Liste “Muss-DSFA” gibt verbindliche Beispiele. Ablauf: (1) Schwellenwertanalyse, (2) systematische Beschreibung, (3) Notwendigkeits- und Verhältnismäßigkeitsprüfung, (4) Risikobewertung, (5) Schutzmaßnahmen, (6) DSB-Stellungnahme, ggf. Konsultation Aufsichtsbehörde nach Art. 36.
Praxis-Tipp: DSFA-Templates der DSK oder der CNIL (PIA-Tool) verwenden — beide werden von deutschen Aufsichten anerkannt.
19. Branchenkodex und Zertifizierung
Branchenspezifische Verhaltensregeln nach Art. 40 DSGVO können bei akkreditiertem Verband bindende Wirkung entfalten. Bestehende Kodizes: GDD-Code für KMU, BVDW-Code für Online-Marketing, DGUV-Sektorstandards Gesundheit. Zertifizierung nach Art. 42 DSGVO durch akkreditierte Stellen (z.B. TÜV, DEKRA, EuroPriSe) dokumentiert Sorgfalt, wirkt bußgeldmindernd. Kosten Erstzertifizierung 15.000-80.000 €, Re-Audit alle 3 Jahre.
20. Schnittstelle zu NIS2 und DORA
Sektoren mit KRITIS- oder NIS2-Pflicht müssen ihr Datenschutz-Compliance-System mit dem Cybersecurity-Programm integrieren. Doppelmeldepflichten beachten: Datenpannenmeldung an Datenschutzbehörde nach Art. 33 (Datenpanne melden) UND Cyber-Vorfallmeldung ans BSI nach § 35 NIS2UmsuCG (NIS2 Deutschland) — Fristen 72 h bzw. 24 h. Finanzinstitute zusätzlich DORA-Meldung an BaFin.
21. Häufige strategische Fehler im Sektor
- Datenschutz wird als reine IT-Aufgabe gesehen, nicht als Geschäftsprozess.
- DSB ohne Direktzugang zur Geschäftsleitung — Verstoß Art. 38 Abs. 3.
- Kein Budget für Schulungen — Risiko über Mitarbeiterfehler.
- Cloud-Migration ohne TIA und ohne Vertragsanpassung.
- Marketing-Tracking ohne TTDSG-konforme Einwilligung.
- Keine dokumentierte Schwellenwertanalyse für DSFA-Pflicht.
- Vorhandene AVV werden nicht regelmäßig auf Aktualität geprüft.
Fazit
Stadtwerke sind doppelt reguliert: DSGVO + NIS2 + EnWG + MsbG. Mit Vattenfall hat die Aufsicht klar gemacht, dass Tarifoptimierung mit Kundendaten ohne Einwilligung tabu ist. Wer Smart-Meter sauber implementiert und NIS2-Pflichten ernst nimmt, ist gut aufgestellt.
Amtliche Quellen
- Verordnung (EU) 2016/679 (DSGVO) — konsolidierter Volltext auf EUR-Lex
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
- Datenschutzkonferenz (DSK) — Beschlüsse und Orientierungshilfen der Aufsichtsbehörden
- Europäischer Datenschutzausschuss (EDPB) — Leitlinien
FAQ
Sind Stromverbrauchsdaten personenbezogen?
Ja, BGH bestätigt: Verbrauchsdaten lassen sich Personen zuordnen und sind damit DSGVO-relevant.
Wer braucht Smart Meter?
Großverbraucher ab 6.000 kWh/a Pflicht; optional ab 2.000 kWh; bei Erzeugungsanlagen über 7 kW Pflicht.
Fallen Stadtwerke unter NIS2?
Ja, als wesentliche Einrichtung im Energiesektor. Personenhaftung Vorstand nach NIS2UmsuCG.
Wie hoch war das Vattenfall-Bußgeld?
900.000 € (2021, BlnBDI) für unzulässige Tarifoptimierungs-Recherchen ohne Rechtsgrundlage.
Welche AVVs sind typisch?
Smart-Meter-Gateway-Administrator, Abrechnungsdienstleister, CRM-Anbieter, Cloud-Services — alle nach Art. 28.
Welche Behörde ist für meinen Sektor zuständig?
Grundsätzlich die Landesdatenschutzbehörde am Sitz des Verantwortlichen — siehe etwa BayLDA für Bayern. Bei mehreren Niederlassungen greift One-Stop-Shop nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde. Telekommunikation, Post und Bundesbehörden unterliegen dem BfDI. Bei grenzüberschreitenden EU-Verfahren koordiniert der EDSA über das Konsistenzverfahren nach Art. 63 ff.
Brauche ich einen Datenschutzbeauftragten?
Nach § 38 BDSG ab 20 mit der automatisierten Verarbeitung beschäftigten Personen, unabhängig vom Sektor. Zusätzlich Pflicht nach Art. 37 DSGVO bei Kernverarbeitung sensibler Daten oder umfangreicher systematischer Überwachung — typisch bei Pflegediensten, Online-Shops mit Profiling, Influencern mit Tracking. Externer DSB kann beauftragt werden; Vorteile: spezialisierte Expertise, Kosten 6.000-30.000 €/Jahr je nach Unternehmensgröße.
Wie hoch sind realistische Bußgelder im Mittelstand?
Erstverfahren ohne Vorsatz typisch 5.000-50.000 €. Wiederholungsfälle oder vorsätzliche Verstöße können in den 6-stelligen Bereich gehen. Systematische Verstöße (Massenverarbeitung, Profilbildung) bis 7-stellig und höher — siehe Notebooksbilliger 10,4 Mio. €. Die Bemessung folgt EDSA-Guidelines 4/2022 mit Multiplikator nach Konzernumsatz. Kooperation und Mitwirkung senken den Betrag deutlich.
Welche TOM sind im Sektor Pflicht?
Mindestens: Zugangs-, Zutritts-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle nach Anlage zu § 9 BDSG a.F. (gilt fort als Auslegungshilfe). Konkret nach DSGVO Art. 32 Sicherheit: Pseudonymisierung, Verschlüsselung (BSI TR-02102), Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, regelmäßige Wirksamkeitsprüfung. Bei besonderen Kategorien (Art. 9) zusätzlich erweiterte Maßnahmen.
Wie läuft ein Audit der Behörde ab?
Ankündigung (in der Regel 2-6 Wochen vor Ort), Unterlagenanforderung (Art. 30-Verzeichnis, AVV-Liste, DSFA, TOM-Dokumentation, Schulungsnachweise, DSB-Berichte), Vor-Ort-Besuch (1-3 Tage), Befundbericht, Anhörung, Maßnahmenkatalog mit Fristen, bei Verstößen Bußgeldverfahren. Vorbereitung: dokumentierte Compliance, klare Verantwortlichkeiten, geübter DSB als Single Point of Contact.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial