Elektrische Ladestationen auf dem Vormarsch: Mögliche rechtliche Konsequenzen in der Schweiz

Dieser Artikel bietet einen kurzen Überblick über bestimmte rechtliche Fragen, die sich im Zusammenhang mit Ladestationen stellen, insbesondere in Bezug auf Datenschutz und IT-Sicherheit.

1.    Beteiligte an den Infrastrukturen für E-Ladestationen

Um eine E-Ladeinfrastruktur in der Schweiz einzurichten, sind in der Regel mehrere Parteien einzubeziehen. Erstens der Fahrer eines Elektrofahrzeugs (der Kunde oder einfach "Nutzer"), zweitens höchstwahrscheinlich ein Mobilitätsdienstleister ("MSP") und drittens ein Ladestationsbetreiber ("CSO"). Letzterer muss nicht mit dem MSP identisch sein. Es handelt sich meist um Tankstellenbetreiber oder Anlagenbesitzer, die über das gesamte Gebiet der Schweiz verstreut sind. Sie handeln meist in eigenem Namen und auf eigene Rechnung, arbeiten aber eng mit den MSPs zusammen. Schliesslich ist es nicht unüblich, dass MSPs und CSOs zwischengeschaltete Dienstplattformen oder so genannte "Roaming Provider" ("RP") nutzen. RPs ermöglichen es den Nutzern, auch E-Ladestationen anderer MSPs (und nicht nur solche im Netzwerk des MSP) zu nutzen.

Was die einschlägigen Verträge betrifft, so schliesst der Nutzer in der Regel ein "Service Agreement" mit dem MSP ab, während MSP und CSO in der Regel eine interne Vereinbarung miteinander schliessen (siehe unten für weitere Einzelheiten). Schliesslich haben die MSPs und CSOs in der Regel auch einen "Brokering Contract" (im Sinne eines Vermittlungsvertrages) mit dem RP abgeschlossen.

Schauen wir uns diese vertraglichen Beziehungen etwas genauer an:

1.     Mobilitätsdienstleister   

Der MSP stellt dem Nutzer eine Ladeinfrastruktur zur Verfügung. Um diese Infrastruktur zur Verfügung zu stellen, verwaltet der MSP in der Regel Ladekarten und/oder bietet eine mobile Applikation ("App") an, mit der sich der Nutzer identifizieren und den Ladevorgang an einer E-Ladestation starten kann. In der Regel weist der MSP dem Nutzer eine persönliche, statische Kundennummer ("E-Mobility-ID") zu, die ihn dann zum Laden berechtigt. Die Beziehung zwischen dem MSP und dem Nutzer wird in der Regel durch einen Vertrag geregelt, der verschiedene Verpflichtungen enthalten kann, aber am ehesten als "Stromlieferungsvertrag" mit verschiedenen zusätzlichen Serviceaspekten (wie z. B. Zugang zu Strassenkarten und Tankstellenstandortberatung) zu qualifizieren ist. Die Gebühren werden dem Nutzer in Rechnung gestellt (entweder über die App, die häufig einen kreditkartenbasierten In-App-Kauf vorsieht, oder über eine regelmässige Rechnungsstellung).

2.     Der Betreiber der Ladestation  

Eine E-Ladestation wird in der Regel von einem CSO betrieben (d. h. installiert und gewartet). In der Praxis ist es nicht ungewöhnlich, dass die E-Ladestation nicht im Eigentum des CSOs steht, sondern von einem Dritten z.B. gepachtet oder gemietet wird. Der CSO hat in der Regel einen Zugangsvertrag mit dem MSP abgeschlossen. In der Regel verbindet ein gemeinsames IT-Backend den CSO und den MSP miteinander. Dieses dient u.a. der Genehmigung von Ladeanfragen oder der Abrechnung von Ladevorgängen. Über dieses Backend "genehmigt" einerseits der MSP den Nutzer an der E-Ladestation und andererseits übermittelt der CSO die während des Ladevorgangs gesammelten Daten an den MSP, damit dieser dem Nutzer den Ladevorgang in Rechnung stellen kann.

3.     Roaming-Anbieter

Es ist nicht unüblich, dass MSPs und CSOs zwischengeschaltete Service-Plattformen oder RoamingProvider ("RP") nutzen. Diese RPs ermöglichen es dem Nutzer, auch E-Ladestationen anderer CSOs (und nicht nur solche im Netzwerk des MSPs) zu nutzen. MSPs und CSOs schliessen gewöhnlich jeweils einen "Brokering Contract" mit dem RP.

4.      Andere Beteiligte 

In der Infrastruktur einer E-Ladestation gibt es regelmässig weitere Akteure, wie z.B. den Eigentümer der E-Ladestation (sofern es sich nicht um den CSO selbst handelt), den Stromlieferanten oder den Verteilnetzbetreiber, die mit dem MSP oder CSO Netzanschlussverträge abgeschlossen haben.

2.    Datenflüsse bei Ladevorgängen

Zu Beginn eines Ladevorgangs an einer E-Ladestation identifiziert sich der Nutzer in der Regel entweder (i) durch Auswahl der E-Ladestation im Kundenportal seiner mobilen App oder (ii) durch Halten einer Ladekarte an das Lesegerät der E-Ladestation (in der Regel erfolgt die Datenübermittlung über einen RFID-Tag) oder (iii) direkt über das Ladekabel des Fahrzeugs (sog. "Plug and Charge"-Methode). Alle Methoden ermöglichen die Zuordnung des Lade- und Abrechnungsvorgangs zu der jeweils beteiligten Ladestation. In allen drei Konstellationen wird die E-Mobility-ID des Nutzers an die E-Ladestation, also an den CSO, übermittelt. Die E-Mobility-ID ist im Wesentlichen eine pseudonymisierte Schlüsselzahl. Der MSP bestätigt dem CSO die erfolgreiche Identifizierung des Nutzers über eine Backend-Datenbank und der CSO gibt daraufhin die E-Ladestation für den Nutzer zum Laden frei. Am Ende des Ladevorgangs übermittelt der CSO über ein Messgerät der E-Ladestation (sog. Smart Meter) ein Ladeprotokoll mit der E-Mobility-ID und den Parametern des Ladevorgangs (z.B. Nummer der E-Ladestation, Ladezeitraum, Strommenge) an den MSP. Dies dient letztlich der Abrechnung.

3.   Bestehender Rechtsrahmen

3.1 Anforderungen an Elektrizitätszähler

E-Ladestationen enthalten einen Elektrizitätszähler, der die Wirkenergie anzeigt. Elektrizitätszähler bergen ein erhebliches Missbrauchspotenzial und müssen deshalb besonderen Anforderungen genügen. Diese Anforderungen ergeben sich aus der europäischen Messgeräterichtlinie 2014/32/EU ("MID"), welche die Schweiz u.a. mit der Messmittelverordnung ("MessMV") sowie der Verordnung des EJPD über Messmittel für elektrische Energie und Leistung ("EMmV") in nationales Recht umgesetzt hat. Die EMmV legt unter anderem die technischen Anforderungen an Elektrizitätszähler fest und regelt die Verfahren für das Inverkehrbringen und die Erhaltung der Messbeständigkeit dieser Messmittel (z.B. müssen Elektrizitätszähler regelmässig von einer ermächtigten Eichstelle nachgeeicht werden).

Zurzeit sind nur bestimmte E-Ladestationen der EMmV unterstellt (insbesondere sogenannte "Wallboxen" in privaten Stellplätzen von Mietern oder Stockwerkeigentümern). Nach der geltenden EMmV sind Elektrizitätszähler in E-Ladestationen, die nur von "Kurzzeitkunden" genutzt werden, nicht der EMmV unterstellt (vgl. Art. 2 Abs. 2 Bst. a EMmV). Folglich entsprechen viele dieser "öffentlichen" E-Ladestationen oft nicht den Anforderungen der EMmV und verfügen insbesondere nicht über die erforderliche EU-Konformitätserklärung.

Das Eidgenössische Institut für Metrologie (METAS) bereitet derzeit eine Revision der EMmV vor, die auch Regelungen zu Elektrizitätszählern für von Kurzzeitkunden genutzte E-Ladestationen enthalten soll. Mit der Revision soll der gestiegenen Bedeutung der Elektromobilität seit dem Inkrafttreten der EMmV im Jahr 2015 Rechnung getragen werden. Die Revision zielt einerseits auf einen umfassenderen Schutz von Kurzzeitkunden vor missbräuchlicher Messung und andererseits auf die Förderung eines fairen Wettbewerbs zwischen den verschiedenen Anbietern von E-Ladestationen ab. Damit die betroffenen E-Ladestationen auch nach Inkrafttreten der EMmV-Revision für eine Übergangszeit weiter genutzt werden können, sind Übergangsbestimmungen vorgesehen.

Eine Konsultation der interessierten Kreise zur EMmV-Revision fand bis zum 29. Dezember 2023 statt. Wann die Revision in Kraft treten kann, hängt u.a. von den Ergebnissen dieser Vernehmlassung ab. Als grober Zeitplan wird erwartet, dass die EMmV am 1. Juli 2024 revidiert wird. Gemäss dem aktuellen Entwurf der EMmV-Revision ist für Elektrizitätszähler an E-Ladestationen für Kurzzeitkunden eine Übergangsfrist von voraussichtlich 3 Jahren nach Inkrafttreten der Revision vorgesehen, damit die betroffenen E-Ladestationen vorübergehend weiter genutzt werden können.

Topic Schweiz

New Media & Technologies

3.2 Fragen zur datenschutzrechtlichen Qualifikation

3.2.1.      Personendaten 

Im Rahmen des Ladevorgangs werden regelmässig Personendaten des Nutzers bearbeitet: Die vom MSP erhobenen Daten des Nutzers (Name, Adresse, Bankverbindung) sind Personendaten. MSP und Nutzer stehen in einer klassischen Anbieter-Kunden-Beziehung und wissen voneinander. Die dem CSO bekannte E-Mobility-ID ist im Wesentlichen pseudonymisiert und kann identifizierbar werden, wenn eine Verbindung zwischen den Daten der E-Ladestation und dem Backend des MSP hergestellt wird. Während einige MSPs über ein Validierungssystem verfügen, bei dem keine Personendaten an den CSO weitergegeben werden, können andere MSPs die Identität des Nutzers an den CSO weitergeben, wenn dies zu Abrechnungszwecken erforderlich ist. Je nach gewähltem Modell müssen wir also davon ausgehen, dass CSOs auch Zugang zu Personendaten haben könnten und die Datenschutzgesetzgebung berücksichtigen müssen.

3.2.2.     Rollen der beteiligten Parteien

In der Praxis zeigt sich, dass MSP und CSO oft getrennt über die Zwecke und Mittel der Datenbearbeitung entscheiden. Die CSOs betrachten die vorbeifahrenden Nutzer als ihre eigenen Kunden. Oftmals laden sie nicht nur elektronisch, sondern kaufen auch Lebensmittel in ihrem örtlichen Geschäft und/oder verbringen Zeit im Restaurant, und der CSO hat ein ureigenes Interesse daran, seine Attraktivität und seine Beziehung zu jedem Nutzer zu gestalten. Unter der Annahme, dass sowohl MSP als auch CSO Personendaten bearbeiten, sind wir daher der Ansicht, dass jede Partei (MSP und CSO) als für die Datenbearbeitung Verantwortlicher zu betrachten ist (u.U. auch als gemeinsam für die Bearbeitung Verantwortliche), wenn es um die Ermöglichung des E-Charging geht - je nach der spezifischen Vereinbarung zwischen dem MSP und dem CSO. Wenn und soweit der CSO lediglich auf Anweisungen des MSP als reiner Helfer und Zahlungserleichterer handelt, der keinerlei Personendaten von den Nutzern erhebt, ist u.U. auch eine Einstufung als blosser Auftragsdatenbearbeiter denkbar.

Die Einstufung von MSP und CSO als (gemeinsam) für die Bearbeitung Verantwortliche(r) zieht bestimmte Konsequenzen nach sich:

• Informationspflichten (Art. 19 Abs. 1 DSG, Art. 21 Abs. 1 DSG) und Auskunftsverfahren (Art. 25 DSG) gelten direkt für jeden für die Bearbeitung Verantwortlichen. Mit anderen Worten: Jeder Verantwortliche muss in der Regel die Nutzer über den Datenaustausch mit dem anderen Verantwortlichen informieren und für weitere Informationen auf die Datenschutzerklärung des anderen verweisen.
• Darüber hinaus ist jeder für die Bearbeitung Verantwortliche verpflichtet, Verzeichnisse über seine Bearbeitungstätigkeiten zu führen (mit den Mindestanforderungen von Art. 12 Abs. 2 DSG).
• Schliesslich sind für die Bearbeitung Verantwortliche mit Sitz oder Wohnsitz im Ausland verpflichtet, eine Vertretung in der Schweiz zu bezeichnen (Art. 14 Abs. 1 DSG). Dies kann z.B. der Fall sein, wenn Nutzer/Fahrer aus der Schweiz zu CSOs im Ausland durchreisen und deren Infrastruktur nutzen.
• Vor der Bearbeitung von Personendaten sind die für die Bearbeitung Verantwortlichen verpflichtet, eine Datenschutz-Folgenabschätzung ("DPIA") durchzuführen, wenn die geplante Datenbearbeitung zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann (Art. 22 ff. DSG). Es gibt jedoch keine offensichtlichen Hinweise darauf, dass MSPs oder CSOs hochriskante Datenbearbeitungen vornehmen würden (keine sensiblen Daten und meist pseudonymisiert).
• Bei Hochrisikoverletzungen der Datensicherheit ist ein für die Bearbeitung Verantwortlicher verpflichtet, den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ("EDÖB") und gegebenenfalls die betroffene Person zu benachrichtigen, während ein Auftragsdatenbearbeiter nur verpflichtet ist, den für die Bearbeitung Verantwortlichen (und nicht die Aufsichtsbehörde) zu benachrichtigen.

Neben der oben genannten Übersicht müssen die Verantwortlichen weitere Verpflichtungen erfüllen, die im schweizerischen Bundesgesetz über den Datenschutz ("DSG") näher erläutert werden.

3.2.3.    Rechtfertigung von Datenbearbeitungen

Das schweizerische DSG geht von einem recht liberalen Verständnis von Datenbearbeitungsaktivitäten aus. Mit anderen Worten: Das DSG erlaubt grundsätzlich die Bearbeitung von Personendaten, sofern die Grundsätze der Datenbearbeitung gemäss Art. 6 DSG eingehalten werden, wie z.B. Rechtmässigkeit, Treu und Glauben, Transparenz, Verhältnismässigkeit und Zweckbindung der Bearbeitung. Für den Fall, dass diese Grundsätze nicht eingehalten werden können bzw. verletzt werden, sieht das DSG Rechtfertigungsgründe vor, die ebenfalls als Grundlage für die Bearbeitung dienen können: Zum Beispiel (i) die Einwilligung einer betroffenen Person (Art. 31 Abs. 1 DSG); (ii) ein überwiegendes öffentliches oder privates Interesse oder eine gesetzliche Rechtfertigung (Art. 31 Abs. 1 DSG); oder (iii) eine Datenbearbeitung der Vertragspartei in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags (Art. 31 Abs. 2 lit. a. DSG). Wir sind der Meinung, dass das DSG die Bearbeitung von Personendaten im Rahmen des beschriebenen Datenaustausches zwischen MSP und CSO generell zulassen würde. Diese Datenbearbeitung ist fester Bestandteil des Geschäftsmodells, dem die Nutzer zustimmen, und wird in der Regel im Voraus transparent gemacht. Doch selbst wenn man einen Verstoss gegen die o.g. Grundsätze geltend machen würde, würden wahrscheinlich die folgenden Rechtfertigungsargumente gelten:

•  Austausch und Validierung der E-Mobility-ID (ggf. über RP):

Durch die Validierung der E-Mobility-ID und deren Übermittlung an den CSO (ggf. über einen RP) bearbeitet der MSP Personendaten des Nutzers in direktem Zusammenhang mit der Abwicklung des Vertrags zwischen MSP und Nutzer. Hier wird erfahrungsgemäss eine Rechtfertigung nach Art. 31 Abs. 2 lit. a. DSG in Betracht kommen. Der Zweck der Erhebung der E-Mobility-ID durch den CSO ist die Authentifizierung des Nutzers im Hinblick auf den zwischen MSP und dem Nutzer geschlossenen Vertrag. Gestützt auf den Wortlaut von Art. 31 Abs. 2 lit. a. DSG ist es unseres Erachtens unschädlich, dass der CSO nicht Partei dieses Vertrages ist, insbesondere da der CSO als Unterauftragnehmer auch in das gesamte Stromladesystem eingebunden ist. Darüber hinaus könnten die Vereinbarungen zwischen dem MSP und dem Nutzer sogar Ansprüche der Nutzer gegenüber den CSOs begründen. Ausserdem erfolgt die Bearbeitung höchstwahrscheinlich aufgrund überwiegender privater Interessen des MSPs und des CSOs gemäss der Generalklausel des Art. 31 Abs. 1 DSG. Da es sich bei der E-Mobility-ID um ein Pseudonym handelt und in diesem Zusammenhang keine weiteren Personendaten des Nutzers an den CSO übermittelt werden, erscheint die Bearbeitung auch verhältnismässig und mit dem Bearbeitungszweck vereinbar (Art. 6 Abs. 2, Abs. 3 DSG).

• Erstellung des Ladeprotokolls und dessen Übermittlung vom CSO an den MSP (ggf. über RP):

Wie oben dargelegt, kann ein Rechtfertigungsgrund für die Erstellung des Ladeprotokolls und dessen Übermittlung an den MSP in der Erfüllung des Vertrages zwischen dem MSP und dem Nutzer (Art. 31 Abs. 2 lit. a DSG) und in den überwiegenden privaten Interessen des MSPs und des CSOs (Art. 31 Abs. 1 DSG) gesehen werden. Wie oben dargelegt, ist der MSP die Kontaktstelle des Benutzers und verantwortlich für die Abrechnung der Ladevorgänge und die Information des Benutzers darüber. Sollte der CSO eine Verwendung des Ladeprotokolls ins Auge fassen, z.B. zur Erstellung von statistischen Analysen und Berichten zur Optimierung seiner eigenen Dienstleistungen, d.h. eine Bearbeitung von Personendaten für nicht personenbezogene Zwecke, sondern nur für Forschung und Statistik, so könnte Art. 31 Abs. 2 lit. e. DSG einen Rechtfertigungsgrund darstellen.

3.3 Fragen zur Qualifikation nach dem Informationssicherheitsgesetz

CSOs gelten (noch) nicht als "kritische Infrastruktur" im Sinne von Art. 5 lit. c. des Schweizerischen Informationssicherheitsgesetzes ("ISG"). Anbieter kritischer Infrastrukturen unterliegen nach dem ISG einer Reihe von Pflichten, u.a. datenschutzrechtliche Pflichten und Pflichten zur Implementierung eines spezifischen Informationssicherheits.Managementsystems. Darüber hinaus können sich Meldepflichten bei Cyberangriffen ergeben, da eine entsprechende Änderung des ISG kürzlich vom Schweizer Parlament verabschiedet wurde und im Januar 2025 in Kraft treten soll. CSOs gehören nicht zu den derzeit aufgelisteten Infrastrukturanbietern (womöglich im Gegensatz zu dem/den Stromlieferanten der Ladestation). Nach unserem Verständnis gelten CSOs weiterhin (noch) nicht als selbst an anderen Prozessen, Systemen und Einrichtungen beteiligt, die für das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung essenziell sind (Art. 2 Abs. 5, Art. 5 Abs. 5 ISG). Folglich dürften die erhöhten Sicherheits- und Meldepflichten des ISG (noch) nicht auf CSOs anwendbar sein. Es ist jedoch zu empfehlen, die Entwicklungen zum ISG in dieser Hinsicht genau zu verfolgen.

4.    Ausblick

Es gibt aktuell weder eine öffentlich zugängliche Rechtsprechung noch Empfehlungen der Schweizer Regulierungsbehörden zu Anwendungsfällen im Geschäftsverkehr mit E-Ladestationen. Wir empfehlen, die laufenden rechtlichen Entwicklungen zu beobachten, insbesondere die Revision der EMmV, die Leitfäden der Datenschutzaufsichtsbehörden und/oder allfällige Entwicklungen in Bezug auf das ISG (und die Aussagen der Behörden zur Qualifikation als "kritische Infrastrukturen").

Im Zusammenhang mit der Revision der EMmV ist zu beachten, dass die MessMV eine gesetzliche Pflicht zur Aufbewahrung von Daten vorsieht: Nach Nr. 11 des Anhangs 1 der MessMV muss ein Messgerät, das nicht zur Messung von Versorgungsleistungen verwendet wird - in casu: die E-Ladestation (de lege ferenda) - ein Messergebnis und die zur Bestimmung eines bestimmten Geschäftsvorgangs erforderlichen Angaben dauerhaft aufzeichnen, wenn (i) die Messung nicht wiederholbar ist und (ii) das Messgerät normalerweise in Abwesenheit einer der Parteien benutzt wird. Dies dürfte sich zwar nicht direkt auf die Behandlung von Personendaten auswirken, aber wir sind der Meinung, dass dies die Möglichkeit des CSOs, technische/geschäftliche Daten zu speichern, in einem weiteren Sinne ausbauen könnte, als dies derzeit in der Schweiz vorgesehen ist.