DISCOM als Datenverwahrer

Smart Meter Daten sind personenbezogene Daten. DISCOMs sollten ihre Privatsphäre und Sicherheit gewährleisten und bereit sein, das bevorstehende Datenschutzgesetz einzuhalten

Disco, Smart Meter, Stromzähler, Energieministerium, Indian ExpressEtwa 2,1 Millionen Smart Meter wurden bereits installiert und sind im ganzen Land in Betrieb, während weitere 9,1 Millionen im Einsatz sind. (Datei Foto)

Geschrieben von Narendra Pai, Aditya Chunekar

Das Energieministerium (MoP) plant, bis 2022 im Rahmen des Smart Meter National Programme 250 Millionen konventionelle Stromzähler in indischen Haushalten durch Smart Meter zu ersetzen. Intelligente Zähler können die Finanzen von Verteilerunternehmen (DISCOM) potenziell verbessern, indem sie automatisch Rechnungen erstellen und eine pünktliche Zahlung sicherstellen, indem sie durch Fernabschaltungen von säumigen Personen abschrecken. Dies ist eine der vielen Initiativen des MoP, um die zahlreichen langjährigen Probleme des Sektors anzugehen, die durch die anhaltende Pandemie verschärft werden.

Etwa 2,1 Millionen Smart Meter wurden bereits installiert und sind im ganzen Land in Betrieb, während weitere 9,1 Millionen im Einsatz sind. Dieser Artikel beleuchtet einen solchen Aspekt – das Thema Datenschutz. Neben automatisierter Abrechnung und Fernabschaltung können Smart Meter auch alle halbe Stunde oder sogar weniger granulare Stromverbrauchsdaten der Verbraucher erfassen. Diese Daten können, wenn sie effektiv genutzt werden, DISCOMs dabei helfen, die Verteilungsinfrastruktur zu planen, Strom zu kaufen und den Verbrauchern Mehrwertdienste anzubieten, wodurch die DISCOM-Finanzen weiter verbessert werden.

Solche hochfrequenten Verbrauchsdaten, die von intelligenten Zählern gesammelt werden, haben jedoch auch das Potenzial, private Details von Verbrauchern wie Haushaltsbelegungsmuster, Gerätebesitz- und -nutzungsmuster und sogar Unterhaltungsgewohnheiten und -präferenzen durch Analyse und Inferenz aufzudecken.

Der Oberste Gerichtshof hat das Recht auf Privatsphäre bereits als Grundrecht bestätigt, daher würde die Verwendung und Weitergabe solcher personenbezogener Verbrauchsdaten ohne angemessene Garantien und eine entsprechende Einwilligung einer Verletzung desselben gleichkommen. Darüber hinaus können weniger sichere Datenverwaltungs- und -freigabesysteme diese Daten auch illegalen Aktivitäten wie Einbruch, Stalking, Überwachung unter anderem aussetzen. In anderen Teilen der Welt werden diese Datenschutz- und Sicherheitsbedenken durch einen Smart Meter-spezifischen Datenschutzrahmen angegangen, der den allgemeinen Datenschutzrahmen ergänzt.

Dies wirft im indischen Kontext zwei Fragen auf: Wie effektiv sind die derzeitigen Mechanismen zur Gewährleistung der Datensicherheit und des Datenschutzes vorhandener Zähler? und wie bereit sind die DISCOMs, die Regeln und Vorschriften des bevorstehenden Gesetzes zum Schutz personenbezogener Daten einzuhalten. Die Antworten auf diese Fragen sind überwiegend negativ.

Das Informationstechnologiegesetz 2000 (IT-Gesetz) zusammen mit den Regeln von 2011 zu angemessenen Sicherheitspraktiken und -verfahren und sensiblen personenbezogenen Daten oder Informationen gelten definitionsgemäß sowohl für intelligente Zählerdaten als auch für Verbraucherabrechnungsdaten von gewöhnlichen Zählern. Es gibt jedoch keine öffentlichen Informationen über die Einhaltung des IT-Gesetzes durch die DISCOMs. Beispielsweise verlangt eine Bestimmung die Veröffentlichung der Datenschutzrichtlinie bezüglich des Umgangs mit allen elektronisch gespeicherten Daten, aber die meisten DISCOMs haben sie eng ausgelegt und nur auf die über ihre Websites erhobenen anwendbar ausgelegt.

Darüber hinaus hat die Central Electricity Authority (CEA), ein gesetzliches Gremium, das die Regierung in technischen und politischen Fragen im Zusammenhang mit Elektrizität berät, detaillierte funktionale Anforderungen an eine Advanced Metering Infrastructure (AMI) erlassen. Diese Richtlinien, die von den DISCOMs wörtlich in einige der Smart-Meter-Implementierungsverträge übernommen wurden, enthalten keine Anforderungen in Bezug auf die Privatsphäre der Verbraucher.

Positiv ist, dass die vom MoP veröffentlichten Standard-Bieterunterlagen für die Einstellung von AMI-Dienstleistern Datenschutzbestimmungen enthalten. Wir müssen jedoch noch feststellen, dass es von DISCOMs angenommen wird. Auch wenn die aktuellen Datenschutzmechanismen für Smart Meter möglicherweise lax sind, können sie sich nach der Verabschiedung des Gesetzes zum Schutz personenbezogener Daten (PDP) 2019 erheblich ändern.

Um ein Gleichgewicht zwischen der Nutzung des wirtschaftlichen Wertes personenbezogener Daten und der Wahrung des Rechts des Einzelnen auf Privatsphäre zu finden, hat die Regierung das PDP-Gesetz 2019 vorgelegt. Dieses entscheidende Gesetz liegt derzeit dem Gemischten Parlamentarischen Ausschuss vor und ist nur wenige Schritte davon entfernt, zum Gesetz zu werden . Tatsächlich haben Bestimmungen, die denen des PDP-Gesetzes ähneln, bereits in anderen Sektoren wie dem öffentlichen Gesundheitswesen durch die National Health Data Management Policy Anwendung gefunden.

Die PDP-Rechnung wird nach ihrer Verabschiedung die oben genannten Bestimmungen des IT-Gesetzes ersetzen und alle Verbraucherdaten mit den DISCOMs, einschließlich monatlicher Abrechnung und hochfrequenter Smart-Meter-Daten, in ihren Geltungsbereich bringen. DISCOMs, mit oder ohne Smart Meter, hätten dann die mühsame Aufgabe, sicherzustellen, dass der interne Umgang mit solchen Daten sowie alle ihre Verpflichtungen gegenüber Dritten nicht die Privatsphäre des Einzelnen verletzen. Darüber hinaus würde nach dem neuen Gesetz eine Datenschutzbehörde (DPA) als Datenregulierungsbehörde ernannt und DISCOMs wären an ihre Vorschriften gebunden. Die gesetzlichen Strafen bei Nichteinhaltung sind mit bis zu 4 Prozent des weltweiten Jahresumsatzes erheblich hoch. Die vorgeschlagene Datenschutzbehörde wird möglicherweise auch sektorspezifische Vorschriften in Absprache mit den Sektoraufsichtsbehörden entwickeln.

Die spezifischen Vorschriften für den Stromsektor müssen auf einem umfassenden Datenschutzrahmen basieren, der speziell für Smart-Meter-Daten entwickelt wurde. Ein solcher Rahmen sollte die Art der Daten, die durch intelligente Zähler erfasst werden können, die Dauer der Speicherung und die spezifische Verwendung der Daten gemäß den Vorschriften des Elektrizitätsgesetzes von 2003 klar festlegen der erhobenen Daten und der konkreten Verwendungen. Der Rahmen sollte es Verbrauchern ermöglichen, vollen Zugriff auf die Daten und zusammenfassenden Erkenntnisse zu haben, Einwilligungspräferenzen zu ändern und auch klar und einfach auf die Datenschutzrichtlinie zuzugreifen. Darüber hinaus sollten Protokolle für die gemeinsame Nutzung von Daten und Mechanismen zur Rechenschaftspflicht wie Prüfungsanforderungen und öffentliche Berichte Teil dieses Rahmens sein.

Angesichts des rasanten Tempos bei der Installation von Smart Meter sollte das MoP dringend einen solchen Rahmen in Absprache mit CEA, zentralen und staatlichen Regulierungsbehörden, DISCOMs, Smart Meter-Herstellern, zivilgesellschaftlichen Organisationen und anderen Interessengruppen entwickeln und in Form eines Whitepapers veröffentlichen. MoP sollte auch um breitere öffentliche Kommentare dazu bitten. Dieser Rahmen kann ein guter Ausgangspunkt für die vorgeschlagene Datenschutzbehörde sein, um mit den Stromregulierungsbehörden über die Entwicklung spezifischer Vorschriften zu beraten. In der Zwischenzeit ist es von DISCOM-Seite ratsam, ihre Rolle als Datenverwalter zu verstehen und mit dem Aufbau der internen Kapazitäten zum Schutz der Verbraucherdaten sowohl im Interesse der Verbraucher als auch im beiderseitigen Interesse von DISCOM zu beginnen.

Die Autoren sind bei Prayas (Energy Group), Pune