Risikoverteilung und Compliance im impliziten Vertrauensprinzip der Gasprozesskette (gemäß § 40 EnWG und branchenspezifischen Vorgaben)
1. Veränderung der Risikoverteilung durch das implizite Vertrauensprinzip
Das implizite Vertrauensprinzip („keine Fehlermeldung = erfolgreiche Übernahme“) verschiebt die Beweislast und das Haftungsrisiko in der Prozesskette zwischen Absender und Empfänger grundlegend. Während bei expliziten Bestätigungen (z. B. per APERAK-EDIFACT-Nachricht) der Empfänger die Verantwortung für die korrekte Verarbeitung trägt, kehrt sich diese Logik um:
a) Risikoverlagerung auf den Absender
- Fiktion der Ordnungsmäßigkeit: Der Absender muss nach Ablauf der vereinbarten Frist (z. B. 24 Stunden nach Versand) davon ausgehen, dass die Nachricht fehlerfrei übernommen wurde – selbst wenn technische oder inhaltliche Mängel vorliegen.
- Beweislastumkehr: Im Streitfall obliegt es dem Absender, nachzuweisen, dass der Empfänger die Nachricht nicht verarbeitet hat (z. B. durch Protokolle, Zeitstempel oder Fehlermeldungen Dritter). Dies ist in der Praxis oft schwierig, da der Empfänger keine aktive Bestätigungspflicht hat.
- Haftung für Folgeschäden: Bei fehlerhafter Übernahme (z. B. falsche Allokation von Gasmengen) trägt der Absender das Risiko von Korrekturkosten, Ausgleichsenergie oder regulatorischen Sanktionen (§ 40 EnWG), sofern er nicht belegen kann, dass der Empfänger die Daten ignoriert hat.
b) Entlastung des Empfängers
- Keine aktive Rückmeldepflicht: Der Empfänger muss nur bei erkannten Fehlern eine APERAK-Nachricht senden. Unterbleibt diese (z. B. wegen technischer Störungen oder manueller Überprüfung), gilt die Übernahme als erfolgt.
- Reduzierte Dokumentationspflicht: Der Empfänger muss die Verarbeitung nicht proaktiv nachweisen, solange keine Fehlermeldung vorliegt. Dies vereinfacht interne Prozesse, erhöht aber das Risiko für den Absender.
2. Regulatorische Compliance (§ 40 EnWG) trotz fehlender expliziter Bestätigung
§ 40 Energiewirtschaftsgesetz (EnWG) verpflichtet Netzbetreiber und Marktteilnehmer zur sicheren, transparenten und diskriminierungsfreien Datenübermittlung. Das implizite Vertrauensprinzip steht hierzu in einem Spannungsverhältnis, da es die Nachweispflichten einseitig verschiebt. Folgende proaktive Maßnahmen sind erforderlich, um Compliance sicherzustellen:
a) Technische Absicherung
Automatisierte Plausibilitätsprüfung
- Implementierung von Pre-Validation-Tools (z. B. EDI-Checker), die Nachrichten vor dem Versand auf formale und inhaltliche Fehler prüfen (z. B. Syntax, Referenzdaten, Mengenkonsistenz).
- Beispiel: Automatische Warnung bei Abweichungen von historischen Verbrauchswerten oder fehlenden Pflichtfeldern.
Echtzeit-Monitoring der Empfangsbestätigung
- Einsatz von Tracking-Systemen, die den Status jeder Nachricht dokumentieren (z. B. „versendet“, „empfangen“, „verarbeitet“).
- Lösung: Integration von Message Tracking Protocols (MTP) oder Blockchain-basierten Logs für unveränderliche Zeitstempel.
Fristgebundene Eskalationsmechanismen
- Automatische Erinnerung an den Empfänger nach Ablauf der Bearbeitungsfrist (z. B. 12 Stunden vor Fristende), falls keine APERAK eingegangen ist.
- Rechtliche Absicherung: Vereinbarung von Service Level Agreements (SLAs) mit klaren Reaktionszeiten für Fehlermeldungen.
b) Organisatorische Maßnahmen
Dokumentationspflichten verschärfen
- Protokollierung aller Schritte: Absender müssen den Versand, Empfang und die (fehlende) APERAK-Nachricht lückenlos dokumentieren (z. B. in Audit-Logs oder Data-Lake-Systemen).
- Beweissicherung: Speicherung von Metadaten (z. B. IP-Adressen, Zeitstempel) für mindestens 10 Jahre (§ 257 HGB, § 47 EnWG).
Risikobasierte Stichprobenprüfung
- Regelmäßige manuelle Überprüfung einer Zufallsstichprobe (z. B. 5 % aller Nachrichten) auf korrekte Verarbeitung beim Empfänger.
- Methode: Abgleich von Absenderdaten mit den Systemen des Empfängers (z. B. via EDI-Reconciliation).
Vertragliche Klarstellungen
- Anpassung der Marktregeln: Explizite Vereinbarung, dass das implizite Vertrauensprinzip nur bei technisch fehlerfreien Nachrichten gilt.
- Haftungsklauseln: Definition von Schadensersatzansprüchen bei unterlassener APERAK-Meldung (z. B. Pönalen für den Empfänger).
c) Regulatorische Absicherung
Meldung an die Bundesnetzagentur (BNetzA)
- Bei systematischen Verstößen (z. B. wiederholte Nicht-Meldung von Fehlern) kann der Absender dies der BNetzA als Verstoß gegen § 40 EnWG melden.
- Relevanz: Die BNetzA kann Bußgelder verhängen oder Anpassungen der Marktregeln erzwingen.
Zertifizierung von Prozessen
- Zertifizierung der Datenübermittlung nach ISO 27001 (Informationssicherheit) oder ISO 22301 (Business Continuity), um Compliance nachzuweisen.
- Vorteil: Reduziert das Haftungsrisiko bei Audits.
3. Fazit: Handlungsempfehlungen für Marktteilnehmer
Das implizite Vertrauensprinzip vereinfacht zwar die Prozesskette, erhöht aber die Compliance-Risiken für Absender. Um regulatorische Vorgaben (§ 40 EnWG) einzuhalten, sind folgende Schritte zwingend:
| Maßnahme | Umsetzung | Verantwortlicher |
|---|---|---|
| Automatisierte Prüfroutinen | EDI-Validatoren, Plausibilitätschecks | IT-Abteilung / Dienstleister |
| Echtzeit-Monitoring | Tracking-Systeme, Eskalationsworkflows | Prozessverantwortliche |
| Dokumentation | Audit-Logs, Langzeitarchivierung | Compliance-Beauftragter |
| Vertragsanpassungen | SLAs, Haftungsklauseln | Rechtsabteilung |
| Regulatorische Meldungen | Kommunikation mit BNetzA bei Verstößen | Geschäftsführung |
Kernbotschaft: Ohne proaktive Absicherung drohen Haftungslücken, finanzielle Risiken und regulatorische Sanktionen. Marktteilnehmer müssen technische, organisatorische und vertragliche Maßnahmen kombinieren, um das implizite Vertrauensprinzip mit den Anforderungen des EnWG in Einklang zu bringen.
Quellen: § 40 EnWG, Marktregeln für die Durchführung der Bilanzkreisabrechnung Gas (MaBiS), EDI@Energy-Leitfaden, BNetzA-Beschlüsse