Datenschutz bei Heartbeat und Dynamic Pulse

Daten sind in unserer digitalisierten Zeit zur Ware geworden und werden von immer mehr Firmen auch als solche behandelt. Mit ihnen kann Geld verdient werden, noch effektiver Werbung geschaltet werden und einiges mehr. Noch bevor man als Unternehmen also irgendetwas technisch umsetzt, geht es beim Thema Datenschutz um eine Grundsatzfrage: Möchte ich als Unternehmen so viele Daten sammeln wie nur möglich, oder setzt man sich schon vor dem ersten Datensatz die Maxime, es beim Mindesten zu belassen? 

Wir brauchen natürlich Daten. Denn wenn Heartbeat keine Informationen hätte, könnten wir den Verbrauch unserer Kundinnen und Kunden nicht intelligent steuern und damit auch nicht den günstigsten Strom anbieten.

Und dennoch ist es für uns wichtig und selbstverständlich, mit diesen Daten nicht nur sorgsam und verantwortungsvoll umzugehen, sondern überhaupt auch nur so wenig Daten von unseren Kundinnen und Kunden zu erheben, wie es für die Funktionalität unserer Produkte notwendig ist. Wir speichern diese Daten wenn möglich anonymisiert, sofern die Funktionalität des jeweiligen Produkts damit nicht eingeschränkt wird.

Gleiches gilt auch für die Dauer der Datenspeicherung. Auch hier verfolgen wir den Ansatz, nicht mehr benötigte Daten möglichst schnell und sicher zu löschen. Die Rechte unserer Kundinnen und Kunden werden dabei natürlich DSGVO-konform gewahrt. 

Unser eigenes Team für Cyber Security hat in diesen Prozessen ebenfalls keinen Zugriff auf persönliche Daten. Dieses Team verbessert kontinuierlich die Sicherheit und Integrität unserer digitalen Systeme, Netzwerke und Daten.

Um unsere Dienste bestmöglich anbieten zu können, erheben wir verschiedene Datenkategorien. Dabei achten wir streng auf den Datenschutz und erheben nur die Daten, die für die präzisen Prognosen und die Steuerung durch Heartbeat notwendig sind:

• Messdaten und Zustandsdaten von den mit Heartbeat verbundenen Geräten: Diese sind notwendig, um den Verbrauch unserer Kundinnen und Kunden intelligent zu steuern.

• Standortspezifische Wetterdaten: Aus der Umgebung der Kundensysteme, um die Effizienz der Systeme zu optimieren, indem Heartbeat durch Wetterprognosen beispielsweise berechnen kann, wie viel Solarstrom am nächsten Tag voraussichtlich produziert wird.

• Energiemarktdaten: Bspw. öffentliche Day-Ahead-Preise, um im dynamischen Tarif die günstigsten Strompreise anzubieten. Außerdem benötigen wir Daten zum standortspezifischen Grundversorgertarif und den lokalen Netzentgelten sowie dem kundenspezifischen Tarif.

Personenbezogene Daten wie Adressen und Koordinaten sind für Dienste wie den dynamischen Tarif im sog. Data Warehouse (Google BigQuery) nicht detailliert hinterlegt (nur auf Postleitzahl-Ebene). Für die Ausübung unserer Geschäfte (Installation, Stromlieferung, Rechnungen etc.) speichern wir Adressen im CRM (Customer Relationship Management), aber nicht im Data Warehouse. In Google BigQuery werden alle Daten automatisch nach dem Advanced Encryption Standard (AES) verschlüsselt.

Die Hersteller der Komponenten unserer Energiesysteme sitzen hauptsächlich in Deutschland, Europa, Japan und den Vereinigten Staaten. Auch unsere Übertragungsbox wird in Deutschland gefertigt. Die Software hinter Heartbeat wurde und wird ebenfalls von unseren Softwareingenieuren in Deutschland entwickelt und auch hier produziert. Diejenige Plattform also, die für die Datenübertragung zuständig ist, wird sich auch zukünftig immer an deutschen und europäischen Datenschutzstandards messen müssen und unser Team optimiert die Software fortlaufend.

Zur Verarbeitung von Kundendaten nutzen wir die sogenannte Google Cloud Platform. Während Google selbst dabei zu keinem Zeitpunkt Zugriff auf die Daten hat, profitieren wir von den gegenwärtig branchenführenden Sicherheitsstandards. 

Kritische Daten werden in verschiedenen Rechenzentren in Europa gespeichert, um einen Datenverlust durch z. B. Hardware-Ausfälle zu verhindern. Kein einziger Datensatz von europäischen Kunden verlässt dabei die EU und entsprechend gelten im gesamten Prozess auch die europäischen Datenschutzrichtlinien. Zudem werden diese kritischen Daten ausschließlich verschlüsselt übertragen und gespeichert.

Zusätzlich zu strengen Zugriffskontrollen, starken Partnern und der Fokussierung auf das Notwendige in der Datenerhebung setzt unser Security Team auf fortschrittliche Sicherheitslösungen zur frühzeitigen Erkennung, Vermeidung und Abwehr von Bedrohungen. Dazu zählen sogenannte Vulnerability Scans sowie aufwändige Thread Protection. Mit solchen Scans werden Computersysteme, Netzwerke oder Anwendungen ständig nach Schwachstellen, wie unsicheren Einstellungen, fehlenden Patches oder bekannten Sicherheitslücken durchsucht. Threat Protection meint einen aktiven Bedrohungsschutz, der darauf abzielt, Bedrohungen wie Malware, Phishing oder Ransomware zu erkennen, zu verhindern und zu bekämpfen.

Diese proaktiven Maßnahmen ermöglichen es uns, Sicherheitslücken zu schließen, bevor sie von etwaigen Angreifern ausgenutzt werden können, und stellen sicher, dass unsere Systeme stets auf dem neuesten Stand der Sicherheitstechnologie sind. Durch diese ganzheitliche Sicherheitsstrategie sind wir in der Lage, unsere Systeme und Daten effektiv vor Cyberangriffen zu schützen und die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen unserer Kunden zu gewährleisten.