Konsultation Customer Consent Management

Beschreibung

Die DSGVO regelt in
Artikel 7, dass für die Verarbeitung und Freigabe von Daten ausdrücklich vorher
eine erteilte Zustimmung durch den Kunden erfolgen muss. Darüber hinaus muss
über den Zweck der Datenverarbeitung informiert werden und dem Kunden jederzeit
die Möglichkeit angeboten werden, seine Zustimmung zu widerrufen.

Ziel ist mittels des
Customer Consent Management transparent, digital und effizient und unter
minimalem Abwicklungsaufwand bei den Verteilernetzbetreibern Prozesse zu
etablieren, die genau die gesetzten Forderungen standardisiert implementieren. Die
automatisierten Customer Consent Management Prozesse adressieren die
erforderliche Einwilligung von Endkunden und die Integration in die
Bestandsprozesse.

Basis für den
Nachrichtenaustausch zwischen den Marktteilnehmern soll hierbei die im Einsatz
befindliche EDA Infrastruktur sein. Ein niedrigschwelliger Zugang soll dabei
für den Kunden einerseits, als auch für Dienstleister andererseits geschaffen
werden. Initiativen zur Standardisierung auf europäischer Ebene und Aktivitäten
zu dem Customer Consent Management in anderen Ländern werden mit aktuellem
Stand berücksichtigt werden.




 
Fristen
Konsultation Beginn18.06.2019 
Stellungsnahmen bis26.07.2019 
Vorauss. Veröffentlichung01.09.2019 
Testphase ab01.04.2020 
Produktivsetzung01.10.2020 

Allgemeine Anmerkungen zu der Konsultation

AT009001 T****r

Beitrag zu Konsultation CCM seitens Wiener Netze eingebracht durch Thomas Schneider (Energie Burgenland):

Allgemeine Anmerkungen zu der Konsultation

Wir begrüßen den aktuellen Vorschlag für die Customer Consent Management Prozesse, begrüßen die Forcierung Zustimmungsprozesse zu automatisieren und haben ergänzend folgende allgemeine Anmerkungen:
-       Die geforderte Antwortzeit wird in diversen Prozessen (CM_REQ_ONL, CM_REQ_OFF, CM_REV_CUS) kaum zu halten sein – sie sollte auf zumindest einen Tag erweitert werden
-       Aus den Unterlagen geht nicht konkret hervor, wie mit den Stundenfristen während Feiertagen / Wochenenden umgegangen werden soll – dies ist zu konkretisieren
-       Ist der Dienstleister auch als Beteiligter zu verstehen – oder nur der Anlagenbetreiber?  Dies ist klarzustellen.
-       Die Registrierungsprozesse für Anlagenbetreiber sowie Dienstleister erfolgt mittels ebUtilities – daher muss für die allgemeine Transparenz auf ebUtilities eine laufend aktualisierte Liste der registrierten User auswertbar und für automatisierte Prozesse zugänglich sein.
-       Erweiterungen – es sollte aufgenommen werden, dass der Opt-Out Prozess die Aufhebung der Zustimmung startet.
-       Mengengerüst – aus unserer Sicht ist davon auszugehen, dass der Versand von Lastkurven über die Jahre zunimmt.
-       Verfügbarkeit – das Zeitfenster für die Verfügbarkeit soll an das bestehende Zeitfenster wie bei den Lieferantenwechselprozessen 9-17h an Werktagen angeglichen werden.

Aufgrund der erforderlichen Adaptierung in Bestandsprozessen sowie der umzusetzenden Funktionalitäten (v.a. WebPortal des VNB) sehen wir den Zeitpunkt der Einführung mit frühestens April 2021 möglich.

Betroffene Prozesse:

CM_REQ_OFF

Die Frist der postalischen Zusendung ist so zu verstehen, dass der VNB die Informationen innerhalb 2 Werktagen versendet. Der VNB ist nicht zuständig sicherzustellen, dass die postalisch zugesendeten Informationen innerhalb von 2 Werktagen beim Kunden ankommen.

...Weiterlesen

AT007000 W****z

Wir begrüßen den aktuellen Vorschlag zur Einholung der Zustimmung zur Datennutzung und deren Verwaltung bzw. Dokumentation mittels der Customer Consent Management Prozesse und haben ergänzend folgende Anmerkungen.

 

Begleitend zur Einführung und Produktivsetzung der Customer Consent Management Prozesse müssen unserer Ansicht nach alle von kundenbezogenen Zustimmungen, Vollmachten, … betroffenen Marktprozesse (wie z.B. jene zu den gemeinschaftlichen Erzeugungsanlagen) identifiziert und auf die Customer Consent Management Prozesse angepasst werden.

Weiters müsste sichergestellt sein, dass der Customer Consent Management Prozess nach der Produktivsetzung innerhalb der Branche von allen Marktpartnern angewendet werden muss.

 

KNG-Kärnten Netz GmbH


AT001002 Wien Energie A****k

Wien Energie begrüßt den aktuellen Vorschlag für die Customer Consent Management Prozesse.

Aus unserer Sicht sind noch folgende datenschutzrechtliche Gesichtspunkte bei der weiteren Entwicklung der Prozesse zu bedenken:

 

1)      Einwilligung als Grundlage für die Verarbeitung

 

Die Prozesse beruhen offenbar auf der Prämisse, dass datenschutzrechtlich jedenfalls die Einwilligung (Art. 7 DSGVO) des Endkunden erforderlich ist. Denkbar ist aber, dass auch eine andere der in Art. 6 DSGVO genannten Rechtsgrundlagen (z.B. Erfüllung eines Vertrags, überwiegende berechtigte Interessen) maßgeblich sein könnte. Insbesondere im Zusammenhang mit der "Online-Datenfreigabe" ("Prozessauslösend: Ein Dienstleister benötigt Kundendaten vom VNB, um seine Dienstleistung erbringen zu können") könnte abhängig von der konkreten Fallkonstellation aufgrund des Vertrags zwischen dem Endkunden und dem Dienstleister die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) relevant sein. Bei der Definition der Prozesse sollten daher mögliche alternative Rechtsgrundlagen mitbedacht werden.

 

2)      Datenschutzrechtliche Rollenverteilung

 

Weiters sollten bei der Erstellung der Prozesse die relevanten datenschutzrechtlichen Rollen der beteiligten Marktpartner als Verantwortlicher, Auftragsverarbeiter, gemeinsamer Verantwortlicher etc. berücksichtigt werden. Je nachdem, ob etwa der VNB in einer bestimmten Fallkonstellation als Verantwortlicher oder Auftragsverarbeiter des Dienstleisters zu qualifizieren ist, könnte für die Datenfreigabe eine Einwilligung erforderlich sein oder nicht. Außerdem zieht die jeweiligen Rollenverteilung unterschiedliche Pflichten zum Abschluss von Verträgen zwischen den Marktpartnern nach sich (kein Vertrag, Vertrag nach Art. 26 DSGVO, Vertrag nach Art. 28 DSGVO etc).

 

3)      Einhaltung der Betroffeneninformation

 

Hinweisen möchten wir auf den zwingenden Umfang der vor der Verarbeitung erforderlichen Betroffeneninformationen, welcher sich je nach Erhebu...

...Weiterlesen

AT008000 D****r

Sehr geehrte Damen und Herren!
Die Energienetze Steiermark kommen der Möglichkeit der Stellungnahme zur öffentlichen Konsultation „Customer Consent Management“ gerne nach:

  • Prozessintegration Gemeinschaftliche Erzeugungsanlagen:

Im Zuge der Einführung CCM müsste unserer Ansicht nach auch eine Adaptierung und Konsultation der Prozesse der gemeinschaftlichen Erzeugungsanlagen (MD_VDC, GC_REQ_RP) erfolgen.

  • Funktionalität „Download my data“

Diese Funktionalität ist im Dokument „Umzusetzende Funktionalitäten“ enthalten jedoch existiert dazu keine Spezifikation. Hier sollte das Format bzw. der Inhalt dieser Datenlieferung an den Kunden im Detail spezifiziert werden und einheitlich bei allen VNB umgesetzt werden (Gas und Strom).
  • Zeitplan

Aufgrund der angeführten Adaptierungen in den Bestandsprozessen und der umzusetzenden Funktionalitäten erachten wir den Zeitpunkt der Einführung mit Oktober 2020 mehr als ambitioniert. 
Eine Verschiebung der Einführung auf April 2021 wäre aus unserer Sicht realistischer.

Salzburg AG N****r

Wir danken für die Möglichkeit einer rechtzeitigen Stellungnahme als Betreiber, auch wenn die Prozesse erst 2020 produktiv sein werden. Wir können die Notwendigkeit der gegenwärtigen Prozesse nachvollziehen (geordnete Art und Weise mit Anfragen von DL umzugehen). Speziell für die Rolle eines Betreibers nach § 16a ELWOG nehmen wir wie folgt Stellung:

Allgemeines zu den Datenfreigabe-Prozessen

1.            Für einen niederschwelligen Prozess (für eine hohe Kundenakzeptanz bei Gemeinschaftlichen Erzeugungsanlagen/GEA‘s) wird es aus unserer Sicht einfache Prozesse brauchen. Denn sollten Kunden vor Teilnahme an einer GEA (abgesehen von allen notwendigen Verträgen) zusätzlich aktiv die Datenweitergabe entweder Online im VNB Portal oder durch Weiterleitung des QR-Codes anstoßen müssen, kann dies zu Akzeptanzproblemen und geringer Teilnahme führen.

Kurzum: Komplexe Prozesse werden die meisten Kunden nicht annehmen (können) und sie sollten daher durch Dienstleister (kurz DL) übernommen werden können. Es benötigt daher aus unserer Sicht auch einen Prozess „Online-Datenfreigabe durch registrierte (oder autorisierte) Dienstleister“ und „Aufhebung Datenfreigabe Anforderung durch DL“ für bestimmte Dienstleistungen.

Voraussetzung: Vom Netzbetreiber autorisierte Vollmachten (durch Kunden für den DL)

Beschreibung: Bestehende Prozesse bei Gemeinschaftsanlagen – wie GC_REQ_RP – Anforderung Registrierung Teilnahme beinhalten bereits die Notwendigkeiten eines Nachweisdokumentes inkl. 15‘ Zustimmung. Es sollte daher ermöglicht werden, dass der DL die Datenfreigabe vom Kunden einholt – vgl. Prozessbeschreibung: „Als Begleitprozess ist die Übermittlung des Nachweisdokumentes (MD_VDC) mit der "Zusatzvereinbarung zum Netzzugangsvertrag" anzustoßen. Diese Zusatzvereinbarung muss die Auslesung und Verwendung der Viertelstundenwerte durch den Netzbetreiber sowie die Weitergabe an den Betreiber der gemeinschaftlichen Erzeugungsanlage, für die Zwecke der vertragskonformen Verwendung bis ...

...Weiterlesen

AT004000 A****i

Stellungnahme Salzburg Netz GmbH zu „Konsultation Customer Consent Management“

Wir begrüßen den aktuellen Vorschlag für die Customer Consent Management Prozesse und haben ergänzend folgende Anmerkungen.

Die Identifikation der Prozesse muss durchgeführt werden, die in dem Zusammenhang mit den „Customer Consent Management“ betroffen sind und wie sich diese Prozesse im Detail beeinflussen (Vollmachten, Zustimmungserklärungen, vertragliche Voraussetzungen mit Dienstleistern,…)

Eine kurze Erläuterung bzgl. Unterscheidung der existierenden Datentypen ist hilfreich, da diese Info in der Konsultation nicht direkt vorhanden ist https://ebutilities.at/utilities/prozesse/kategorien/detail.php?ProcessCategoryID=14&ReturnTo=%2Futilities%2Fprozesse%2Fkategorien%2F

 

Salzburg Netz GmbH
Aleksandar Stefanoski


AT112731 M****r

Anmerkungen der regiocom SE im Namen aller unserer Mandanten:

Der Prozess Customer Consent Management eignet sich hervorragend auch als Lösung für die Authentifizierung bei dem Prozess „CP_REQ_CMI - Anforderung auf Änderung des Mess-/Übertragungsintervalls“. Aber weder im CP_REQ_CMI noch in der hier veröffentlichen Beschreibungen wird dies erwähnt. Der CP_REQ_CMI müsste daher an dieser Stelle angepasst werden. Ansonsten wäre dieser Prozesse auch für einen Lieferanten nicht relevant.

Gibt es eine Verpflichtung für die Marktteilnehmer, speziell den VNBs, die Infrastruktur für diesen Prozess zu implementieren? Wird es eine verpflichtende APP / Webseite geben, mit der die Online Datenfreigabe sofort erfolgen kann? Wie wird sichergestellt, dass die Prozesse implementiert werden?


Betroffene Prozesse

  
  
  

CM_REQ_ONL (00.99) Consent Management - Online Datenfreigabe

  
ProzessCM_REQ_ONL 
Version00.99 
BezeichnungConsent Management - Online Datenfreigabe 
Gültig von01.05.2019 

Stellungnahmen

AT001002 Wien Energie A****k

Timer für Rückantwort = 72 h bei Dienstleister
Wird hier Arbeitstag (z.B.: 9:00-17:00) bzw. Wochenenden und Feiertage berücksichtigt?

Es sollte einheitlich geregelt sein.

Salzburg AG N****r

BP01.BP13.BP24 & BP01.BP14.BP43

Timer für Rückantwort = 72 h bei Dienstleister

Timer für Endkundenentscheidung = 10 AT bei VNB  => Inwiefern kompatibel?


BP01.BP15.BP11:

Unklar ist, um welche Daten es konkret geht und ob einzelne wählbar sind.

RequestedDatatypes = Auswahlmöglichkeiten einzelner DataTypes oder nur Einwilligung für ein definiertes Set an Daten? Für Dienstleistungen nach § 16a wird es immer ein vom DL definiertes Set an Daten benötigen. Dies sollte auch so ermöglicht werden.

„Versand von DataTyp nicht möglich“ -> ABLEHNUNGSGRUND 174. Wird dieser auch zurückgemeldet, wenn nur ein DataTyp von mehreren nicht lieferbar ist?


BP01.BP14.BP27

Fehlerhandling im VNB-Portal? Kundenfreundliche Lösung gewünscht. Interpretierbarer Ablehnungsgrund sollte angezeigt und (ergänzend) an den DL übermittelt werden.

AT004000 A****i

Prozesslogik

-       Timer des Dienstleisters (72h) für die Rückantwort unterschiedlich zu dem Timer für die Endkundenentscheidung (10 Arbeitstage) =>in der Beschreibung erläutern

o   72 Stunden dienen zur Bestätigung oder Ablehnung der Datenfreigabe-Anfrage des Dienstleisters an den Netzbetreiber, bei positiver Antwort ist die Anfrage 10 Arbeitstage gültig für die Antwort des Endkunden an den Netzbetreiber, ab dem nächsten Arbeitstag

-       BP01.BP13.BP26 ist immer notwendig, wenn kein Zählpunkts-ID genutzt wird, Text anpassen, statt „Alternativ“ - Bei der Datenfreigabe-Anforderung ohne Zählpunkt wird eine…

-       Grund für Ablehnung bei bereits übermittelten Daten – ABLEHNUNG_CMQM – „Daten werden bereits übermittelt“

 Fehlende Prozessschritte im Prozessdiagramm

-       Schritt „BP01.BP13.BP26 „Endkunde die Consent-Request-ID mitteilen“ – nach dem Prozessschritt ist eine Nachricht vom Dienstleister an den Endkunden zu senden – auf der Seite Endkunde „Consen t-Request-ID vom Dienstleister empfangen“ in der Darstellung zu ergänzen

-       Schritt „BP01.BP14.BP11 „Datenfreigabeantrag speichern“ – nach dem Prozessschritt ist eine pos. Nachricht an den Dienstleister sinnvoll, da der VNB den rechtmäßigen Empfang bestätigt, ev. mit Gültigkeit, da der Timer dann vom VNB bekanntgeben werden könnte – ev. würde der Dienstleister erst danach die Information an den Endkunden übermitteln, da im Fehlerfall der Kunde keine ID’s mehrfach vom Dienstleister bekommt

-       Ergänzung des zyklischen Datenversands vom VNB an den Dienstleister als Prozessschritt sinnvoll, da dieser Prozess nach der Datenfreigabe gestartet wird (CR_MSG bzw. allgemeiner für zukünftige Datenanforderungen?)

 Voraussetzungen

-       „aktiver Anmeldeprozess“ ist keine gültige Voraussetzung, Anmeldeprozess für den Zählpunkt muss abgeschlossen sein, d.h. der Kunde einen aktiven Vertrag beim Netzbetreiber

 Fristen

-       Die Fristen im Sekundenbereich sollten gelockert werden, da abhängig von T...

...Weiterlesen

AT112731 M****r

Die Anfrage vom Dienstleister soll innerhalb von 72 Stunden beantwortet werden, sonst soll der Prozess abgebrochen werden. Der VNB hat aber einen Timer von 10 AT, wo er auf die Rückmeldung des Endkunden wartet. Ist das korrekt? Wenn ja, dann bitte die Beschreibung klarer formulieren, denn hier scheint es doch so zu sein, dass nur 3 Tage gewartet werden muss. Bitte ggf. im Prozessbild die Fristen hinterlegen.


  
  

CM_REQ_OFF (00.99) Consent Management - Offline Datenfreigabe

  
ProzessCM_REQ_OFF 
Version00.99 
BezeichnungConsent Management - Offline Datenfreigabe 
Gültig von01.10.2020 

Stellungnahmen

Salzburg AG N****r

BP01.BP13.BP02

Schritt 1 fehlt: Angebot & Erbringung der Dienstleistung analog zu Online Datenfreigabe    

AT004000 A****i

Fehlende Prozessschritte im Prozessdiagramm

-       Schritt „BP01.BP11.BP40 „Hinweis auf ConsentRequest über hinterlegten Kommunikationskanal senden“ – nach dem Prozessschritt ist eine pos. Nachricht vom VNB an den Dienstleister sinnvoll, da der VNB den rechtmäßigen Empfang bestätigt, ev. mit Gültigkeit, da der Timer dann vom VNB bekanntgeben werden könnte

Voraussetzungen

-       „aktiver Anmeldeprozess“ ist keine gültige Voraussetzung, Anmeldeprozess für den Zählpunkt muss abgeschlossen sein, d.h. der Kunde einen aktiven Vertrag beim Netzbetreiber


Aleksandar Stefanoski

  
  

CM_REV_CUS (00.99) Consent Management - Aufhebung Datenfreigabe durch Endkunden

  
ProzessCM_REV_CUS 
Version00.99 
BezeichnungConsent Management - Aufhebung Datenfreigabe durch Endkunden 
Gültig von01.10.2020 

Stellungnahmen

AT001002 Wien Energie A****k

Zu BP62.BP03.BP01:

Hier sollte eine Einschränkung auf einzelne ZP erwähnt werden. Andernfalls ist es problematisch wenn die Nachricht für alle betroffenen ZP innerhalb kürzester Zeit versendet werden muss.

Zudem sollte eine Mindestfrist bis zum Ende der Datenfreigabe erwähnt werden.


Salzburg AG N****r

BP62.BP02.BP05: ohne Deadline? BP62.BP02.BP05 bei Datenfreigabe DL hat 24 h

BP62.BP01.BP06: Datenfreigabe-Aufhebung empfangen

„Durch die EDA Infrastruktur wird die Zustellung der Nachrichten auf Kommunikationsebene dokumentiert und eine fachliche Bestätigung des Erhalts der Datenfreigabe-Aufhebung durch den Dienstleister entfällt.“ Widerspricht dies nicht der weiter unten angeführten Beschreibung: „3: Der VNB kann aufgrund der signierten Empfangsbestätigung des Dienstleisters nachweisen, dass die Datenfreigabe-Aufhebung weitergegeben wurde“



  
  

CM_REV_SP (00.99) Consent Management - Aufhebung durch Dienstleister

  
ProzessCM_REV_SP 
Version00.99 
BezeichnungConsent Management - Aufhebung durch Dienstleister 
Gültig von01.05.2019 

Stellungnahmen

Salzburg AG N****r

BP62.BP02.BP42 VNB Nutzer über Fehlersituation informieren: Information sollte auch an den DL gehen, der die Kundenbeziehung hat (bzw. der Auslöser zur Datenfreigabe-Aufhebung war)


AT004000 A****i

Fehlende Prozessschritte im Prozessdiagramm

-       Schritt BP62.BP02.BP42 „VNB Nutzer über Fehlersituation informieren“ – nach dem Prozessschritt ist eine Nachricht vom VNB an den Endkunden in der Darstellung sinnvoll, „Endkunde von Fehlersituation informiert“

-       Schritt BP62.BP02.BP45 „Fehlersituation an Dienstleister per Datenfreigabe-Aufhebung mitteilen“ – es fehlt ein zusätzlicher Responsecode für den Feherfall bei ANTWORT_CMS



Aleksandar Stefanoski

AT112731 M****r

Es gibt keine Fehler-Nachricht und auch keinen passenden ResponseCode. Wie soll hier die Nachricht hier erfolgen? Definition fehlt bzw  wir haben sie nicht gefunden.


  
  

CM_REV_IMP (00.99) Consent Management - Implizite Datenfreigabe-Aufhebung durch energiewirtschaftliche Prozesse

  
ProzessCM_REV_IMP 
Version00.99 
BezeichnungConsent Management - Implizite Datenfreigabe-Aufhebung durch energiewirtschaftliche Prozesse 
Gültig von01.05.2019 

Stellungnahmen

AT001002 Wien Energie A****k

Wenn Kunde beim Netzbetreiber optiert, welche Auswirkungen hat das auf diesen Prozess?
Es sollte eindeutig definiert werden.

Salzburg AG N****r

BP62.BP08.BP30 Lieferant meldet Endkunden am Zählpunkt ab (Erweiterung ABM Prozess des VNB):

Bei einem alleinigen Lieferantenwechsel (aber keinen Auszug) muss die Datenfreigabe für den DL unberührt bleiben (vgl. § 16 -> freie Lieferantenwahl bei aufrechtem Vertrag DL <-> Kunde).


AT004000 A****i

Prozessauslösend

-       Zu Pkt. 4 Deaktivierung  mind. eines Zählpunkts einer Gemeinschaftserzeugungsanlage verursacht keine Änderung der Kundenbeziehung zw. Netzbetreiber und Endkunden (aktiver Vertrag)

-       Zu Pkt. 5 WIES-Prozess verursacht keine Änderung der Kundenbeziehung zw. Netzbetreiber, Dienstleister und Endkunden (aktiver Vertrag), die Datenfreigabe bleibt unverändert. Falls die Datenfreigabe als Lieferant (Dienstleister) erfolgt ist, beendet ein WIES die Datenfreigabe sinngemäß.

-       Nach Änderung des Messintervalls (Customer Prozess CP_REQ_CMI - Anforderung auf Änderung des Mess-/Übertragungsintervalls) müsste die Datenfreigabe entweder aufgehoben werden oder definierte Änderungen zugelassen sein, da diese der Datenfreigabe entsprechen


Aleksandar Stefanoski

AT112731 M****r

Was passiert bei einer Rückabwicklung der ABM (RAABM)? Wird der ursprüngliche Status wieder hergestellt? Aus Sicht des RAABM Prozesses müsste dies so sein.

Bitte hier eine klare Handlungsanweisung formulieren.