Smart Meter Gateway nach BSI-TR-03109

Eine Hausverwaltung in Bremen betreut 180 vermietete Einheiten in vier Wohnanlagen, die zwischen 2016 und 2021 fertiggestellt wurden. Die Heizkostenabrechnung für 2025 sollte Ende April 2026 fertig sein, doch der Messdienstleister meldet eine Verzögerung von sechs Wochen — ein Walk-by-Termin musste wegen Krankheit verschoben werden, danach fielen drei Ablesungen in einer Anlage aus, weil Mieter nicht angetroffen wurden. Mitte April erreichen die ersten Beschwerden den Verwalter: Ein Mieter mit aufmerksamem Anwalt verweist auf § 556 Abs. 3 BGB und die Zwölfmonatsfrist nach Ende des Abrechnungszeitraums. Der Geschäftsführer ruft am Donnerstag eine kurze Sitzung ein und stellt nur eine Frage: „Warum hängen wir eigentlich noch an einem Termin, den ein Mensch vor Ort einhalten muss, wenn es seit Jahren ein Bundes-Verfahren gibt, das das tägliche Auslesen verbindlich regelt?”

Die Antwort heißt Smart Meter Gateway, kurz SMGW, und basiert auf einer der detailliertesten Technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik: BSI-TR-03109. Wer als Hausverwaltung den Pfad versteht, hat neben Ista und Techem einen dritten Weg zu Verbrauchsdaten — und zwar einen, der täglich liefert, BSI-zertifiziert kommuniziert und im laufenden Rollout des Messstellenbetriebsgesetzes immer mehr Bestände betrifft.

Drei Wege zu Zählerdaten

Verwaltungssoftware lebt von Verbrauchsdaten. Ohne sie sind Heizkosten- und Wasserabrechnung nicht erstellbar, die monatliche Verbrauchsinformation nach § 6a HeizkostenV nicht möglich und das ESG-Reporting nicht belastbar. Heute existieren drei Wege, an diese Daten zu kommen — und sie unterscheiden sich grundlegend in Kosten, Latenz und rechtlichem Rahmen.

Der klassische Weg ist die manuelle Ablesung. Ein Mitarbeiter geht durch die Wohnung, liest Zählerstände ab und überträgt sie in eine Liste oder in ein Erfassungsformular. Dieser Weg wird seit den 1960er Jahren praktiziert, ist aber wirtschaftlich nur noch in Kleinstbeständen ohne Submetering vertretbar. Mit der HeizkostenV-Novelle vom November 2021 und dem Stichtag 31. Dezember 2026 nach § 5 Abs. 3 HKV verliert die manuelle Methode ohnehin ihre rechtliche Grundlage für Heiz- und Warmwasserzähler.

Der zweite Weg ist die Anbindung an einen Messdienstleister — Techem, Ista, Minol, Kalorimeta. Dieser Pfad ist in einem eigenen Beitrag zur EED-Pflicht und zu den klassischen Submetering-Providern ausführlich beschrieben. Der Messdienstleister besitzt Zähler und Funk-Infrastruktur, liefert Daten typischerweise einmal oder mehrmals jährlich über XML-Drops oder Webservices und stellt seine Dienstleistung über mehrjährige Verträge in Rechnung.

Der dritte Weg ist die SMGW-Fernauslese nach BSI-TR-03109. Hier kommuniziert ein im Hausanschlussraum installiertes Hardware-Gateway täglich mit dem Backend des Messstellenbetreibers, der seinerseits berechtigten externen Marktteilnehmern — darunter Hausverwaltungen mit entsprechender Berechtigung — Zugriff über eine REST-API gewährt. Dieser Pfad ist 2016 mit dem Messstellenbetriebsgesetz politisch beschlossen worden, ab 2020 bei Pflichtkunden ausgerollt und mit der MsbG-Reform 2023 spätestens ab Mai 2025 für jeden Letztverbraucher optional verfügbar. Wer als Verwaltung in einem Neubau-Bestand mit modernen Messsystemen arbeitet, hat heute eine reale Chance, Zählerdaten am Folgetag der Messung im eigenen System zu sehen — ohne Anruf beim Messdienst und ohne Walk-by-Termin.

SMGW-Architektur und BSI-Sicherheitsmodell

Das Smart Meter Gateway ist keine Software, sondern ein zertifiziertes Hardware-Gerät, das im Hausanschlussraum zwischen Zähler und Außenwelt sitzt. Das Bundesamt für Sicherheit in der Informationstechnik hat dafür mit BSI-TR-03109 eine der ausführlichsten Technischen Richtlinien des deutschen IT-Sicherheitsrechts vorgelegt. Die Richtlinie gliedert sich in mehrere Teile und definiert Hardware-Schutzprofile, kryptografische Verfahren, Kommunikationsprotokolle und Lebenszyklus-Anforderungen.

Die zugrundeliegende Hardware muss nach dem Schutzprofil BSI-CC-PP-0073 zertifiziert sein, der formellen Common-Criteria-Spezifikation für SMGW-Geräte. Jedes Gateway enthält ein dediziertes Sicherheitsmodul nach BSI-CC-PP-0077, das kryptografische Schlüssel hardwareisoliert verwaltet — vergleichbar mit einem Hardware Security Module im Serverraum, nur im Wandschrank des Mehrfamilienhauses. Ohne diese doppelte Zertifizierung darf ein Gerät in Deutschland nicht als SMGW betrieben werden, eine Vorgabe, die unmittelbar aus § 22 MsbG folgt.

Die Kommunikation zwischen SMGW und Backend läuft über TLS 1.3 nach den BSI-Mindeststandards, ergänzt um eine zweite kryptografische Schicht auf Anwendungsebene. Diese doppelte Verschlüsselung sorgt dafür, dass selbst eine Kompromittierung der Transportschicht — etwa durch einen kompromittierten Root-Trustanchor — die Nutzdaten nicht offenlegt. Schlüsselmaterial wird über eine Public-Key-Infrastruktur verteilt, deren Wurzel beim BSI selbst liegt, abgesichert über die sogenannte SM-PKI nach BSI-TR-03109-4.

Auf der Datenebene werden Zählerstände im Protokoll DLMS/COSEM nach IEC 62056 übertragen, eingebettet in ein vom BSI definiertes Tarifanwendungsfall-Modell — kurz TAF. Für die Hausverwaltung relevant sind insbesondere TAF-6 für die abrechnungsrelevante zählerwerksbezogene Speicherung und TAF-7 für die zeitgenaue Erfassung netzzustandsabhängiger Werte. Beide Anwendungsfälle sind in BSI-TR-03109-1 normiert und vom Hersteller zwingend zu implementieren.

Externe Marktteilnehmer — Energielieferanten, Direktvermarkter, in bestimmten Fällen auch Hausverwaltungen oder von ihnen beauftragte Dienstleister — erhalten Daten nicht direkt vom Gateway, sondern über das Backend des Messstellenbetreibers. Die Datenweitergabe ist in § 60 MsbG geregelt und erfordert eine berechtigte Marktrolle in den Verzeichnissen der Bundesnetzagentur sowie eine vertragliche Datenfreigabe durch den Anschlussnutzer. Der technische Übergang erfolgt typischerweise über eine REST- oder SOAP-Schnittstelle — die Branche bewegt sich seit 2024 in Richtung einer harmonisierten REST-API, die der BDEW als SMGW-Connect spezifiziert hat.

Wie ImmoGenio den SMGW-Pfad integriert

Innerhalb von ImmoGenio ist die Provider-Anbindung als saubere Schnittstelle ausgelegt, die in einem anderen Kontext bereits beschrieben wurde: das Interface IMeteringProvider mit den Operationen fetchReadings, validateMeter und subscribeToUpdates. Der SMGW-Pfad ist die dritte Implementierung neben den bereits skizzierten Adaptern für Ista und Techem. Die Funktionssignaturen bleiben identisch — was sich ändert, sind Authentifizierung, Datenfrequenz und Schemata.

Der SMGW-Adapter spricht eine SMGW-Connect-konforme REST-API. Authentifizierung läuft über OAuth 2.0 mit Client-Credentials, die ein berechtigter Messstellenbetreiber pro Hausverwaltung ausstellt — verwaltet werden die Credentials im Portal verschlüsselt nach AES-256-GCM, ergänzt um eine Schlüsselableitung pro Mandant, damit ein Datenleck nicht den gesamten Bestand offenlegen kann. Tokens werden mit dem dokumentierten Refresh-Mechanismus rotiert, sodass ein Verbindungsabriss nicht zu manuellem Eingriff zwingt.

Die tägliche Sync läuft um 02:45 UTC. Dieser Zeitpunkt liegt bewusst zwischen den bestehenden Provider-Slots — Ista um 02:30 UTC, Techem um 03:00 UTC — um die Last auf den eigenen Workern zu verteilen und den Messstellenbetreiber-Backends nicht in deren ohnehin lastintensiven Nachtfenstern unmittelbar nachzulagern. Pro Bestand wird ein Job gescheduled, der für alle freigegebenen Gateway-IDs die Tageswerte abruft und in nk_zaehlerstaende schreibt. Damit landen SMGW-Werte in derselben Tabelle wie manuelle Eingaben und wie Werte aus klassischen Messdienst-Provider-Adaptern — die nachgelagerte Heizkosten- und Nebenkostenabrechnung muss nicht zwischen Quellen unterscheiden.

Jeder Sync-Lauf erzeugt ein Eintragspaar in einem Sync-Log: eine Header-Zeile mit Provider, Job-ID, Start- und Endzeitpunkt sowie ein Detailrecord pro Zähler mit Erfolgs- oder Fehlercode, HTTP-Status und gegebenenfalls einer SMGW-Connect-Fehlernachricht im Klartext. Wer eine Reklamation des Mieters bearbeitet, sieht damit nicht nur den Verbrauchswert, sondern auch den Pfad, auf dem er entstanden ist — relevant für die Beweissicherung nach § 6b HeizkostenV, der die Pflichtangaben in der Jahresabrechnung normiert.

Eine pragmatische Anomalie-Erkennung läuft als Post-Processing auf jedem Sync-Ergebnis. Verbrauchssprünge über 30 Prozent gegenüber dem Vortageswert lösen eine Warnung im Sync-Log aus und erzeugen einen Eintrag im Operational-Cockpit der Verwaltung. Diese Schwelle ist konfigurierbar und an den Zählertyp gebunden — bei Warmwasserzählern sind kurzfristige Spitzen über 30 Prozent durchaus normal, bei Wärmemengenzählern dagegen oft Hinweis auf einen Defekt oder einen unbeabsichtigten Verbrauchsausreißer.

Die Verbrauchshistorie pro Zähler steht im selben Detail-Drawer, der für manuelle Eingaben und für Ista-/Techem-Werte ohnehin gezeigt wird. Tageswerte werden in einer Recharts-Linie visualisiert, Monatsaggregate für die Verbrauchsinformation nach § 6a HKV werden serverseitig vorberechnet und in einer Materialized View gehalten. Wer die Heizkostenabrechnung im Detail nachvollziehen will, findet im Beitrag zur Heizkostenabrechnung nach VDI 3807 die zugehörige Methodik — die Quelle der Werte ist für die Methodik unerheblich, solange sie zeitlich konsistent und plausibilisiert vorliegt.

Praxis-Workflow: Onboarding eines SMGW-Bestands

Der Einstieg in den SMGW-Pfad ist regulatorisch vorgegeben und folgt einer festen Reihenfolge. Erster Schritt ist die Klärung der Berechtigung. Die Hausverwaltung selbst ist in den meisten Konstellationen nicht primärer Anschlussnutzer, sondern handelt im Auftrag des Eigentümers. Der Eigentümer erteilt entweder eine Vollmacht zur Datenfreigabe oder benennt die Verwaltung als beauftragten Dritten gegenüber dem Messstellenbetreiber. Die rechtliche Grundlage steht in § 60 Abs. 4 MsbG. Ohne dokumentierte Freigabe verweigert der Messstellenbetreiber jede API-Auskunft — und das zu Recht.

Zweiter Schritt ist die Hinterlegung der SMGW-Connect-Credentials im Portal. Nach Vertragsabschluss mit dem Messstellenbetreiber erhält die Verwaltung Client-ID und Client-Secret, die im Mandanten-Setup unter „Provider — SMGW” eingetragen werden. Die Speicherung erfolgt verschlüsselt mit AES-256-GCM und einem mandantenspezifischen Schlüssel. Eine Anzeige im Klartext ist nicht möglich, eine Rotation der Credentials kann jederzeit angestoßen werden, ohne dass laufende Sync-Jobs scheitern.

Dritter Schritt ist das Geräte-Mapping. Jedes SMGW besitzt eine eindeutige Geräte-ID, die der Messstellenbetreiber pflegt. Diese Geräte-ID wird im Portal mit einer ImmoGenio-Einheit verknüpft — typischerweise einer Wohnung, in Sonderfällen einem Gewerbebereich oder einer Allgemeinfläche. Das Mapping wird einmalig bei der Inbetriebnahme angelegt und ist später Grundlage für jede Aggregation auf Objekt- oder Mandantenebene. Fehlt das Mapping, scheitert der Sync mit einem definierten Fehlercode, ohne dass Datenkorruption entsteht.

Vierter Schritt ist der Test-Sync. Ein manuell ausgelöster Lauf prüft Authentifizierung, Geräte-Auflösung und Datenformat. Die Werte erscheinen am Folgetag in der Nebenkosten-Sicht und in der Verbrauchshistorie der jeweiligen Einheit. Erst nach einem erfolgreichen Test-Sync wird der tägliche Job aktiviert. Dieser Sicherheitsschritt verhindert, dass eine fehlerhafte Konfiguration über Wochen unbemerkt bleibt, weil keine Daten kommen — eine Erfahrung, die im klassischen Messdienst-Geschäft regelmäßig auftritt.

Sobald der tägliche Sync läuft, bedient sich die Heizkostenabrechnung direkt aus den Fernauslese-Daten. Eine separate Datenerhebung entfällt, die Plausibilitätsprüfung läuft kontinuierlich statt einmalig vor Abrechnungserstellung, und die monatliche Verbrauchsinformation nach § 6a HKV wird in derselben Pipeline erzeugt, die auch die Jahresabrechnung speist. Wer in der Folge eine Nebenkostenabrechnung erstellt, profitiert von derselben Datenbasis — die Methodik dazu findet sich im Beitrag zur Nebenkostenabrechnung nach DIN 580.

Compliance-Anker

Wer SMGW-Fernauslese in der Hausverwaltung betreibt, bewegt sich gleichzeitig in mehreren Rechtsräumen. Die folgenden Normen sind die wichtigsten Bezugspunkte.

BSI-TR-03109 in den Teilen 1 bis 6 normiert die technischen Anforderungen an Hardware, Kommunikationsprotokolle, Schlüsselmanagement und Lebenszyklus. Ohne Konformität zu BSI-TR-03109 darf ein Gerät im deutschen Stromnetz nicht als SMGW betrieben werden — die Zertifizierung durch das BSI ist Markteintritts-Voraussetzung.

Das Messstellenbetriebsgesetz regelt seit 2016 den gesamten Messstellenbetrieb. § 19 MsbG definiert den grundzuständigen Messstellenbetreiber, § 22 MsbG normiert die technischen Anforderungen, § 60 MsbG regelt die Datenverarbeitung und insbesondere die Weitergabe an externe Marktteilnehmer. Die MsbG-Reform 2023 hat den Rollout dynamisiert: Pflichtkunden mit Jahresverbrauch über 6.000 kWh waren bereits vorher dran, mit der Reform werden ab Mai 2025 schrittweise alle Letztverbraucher optional einbeziehbar.

§ 21b EnWG steht weiter im Hintergrund und schreibt seit dem Jahr 2008 fernauslesbare Messeinrichtungen vor — die SMGW-Pflicht ist die konsequente Fortschreibung. Die EU-Energieeffizienz-Richtlinie 2023/1791, kurz EED-Recast, ergänzt diese Linie auf europäischer Ebene und verlangt unter anderem unterjährige Verbrauchstransparenz.

§ 556 Abs. 3 BGB normiert die Zwölfmonatsfrist für die Nebenkostenabrechnung. Wer wegen verzögerter Ablesungen die Frist reißt, verliert nach ständiger Rechtsprechung den Nachforderungsanspruch. Tägliche SMGW-Daten reduzieren dieses Risiko erheblich, weil Abrechnungserstellung nicht mehr von Walk-by-Terminen abhängt.

Datenschutzrechtlich gilt die DSGVO. Verbrauchsdaten sind personenbezogen, weil Rückschlüsse auf Anwesenheit und Lebensgewohnheiten möglich sind. Die Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung gegenüber Mieter und Eigentümer — sowie auf Art. 6 Abs. 1 lit. c DSGVO für die abrechnungsrechtlichen Pflichten. Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO bedeutet im SMGW-Kontext konkret, dass Tageswerte für Heizkostenabrechnung und monatliche Verbrauchsinformation ausreichen — höhere Granularität wird vom SMGW zwar erfasst, aber nicht in die Verwaltung exportiert.

Grenzen v1

Der aktuelle Stand ist bewusst auf den dokumentierten Goldenen Pfad fokussiert. Ein direkter M-Bus- oder LoRa-Anschluss an Zähler vor Ort ist nicht vorgesehen. Daten werden ausschließlich über das SMGW-Backend des Messstellenbetreibers konsumiert. Die Verwaltung tritt nicht selbst als Messdienst auf.

Minol und Kalorimeta sind im Interface vorbereitet, aber noch nicht produktiv. Beide Provider werden mandanten-getrieben aktiviert, sobald ein erster Vertrag in der Pilotphase vorliegt.

Anomalie-Erkennung ist im aktuellen Stand auf Wärme- und Wasserverbrauch ausgelegt. Strom-Verbrauchsmuster sind in der Wohnungswirtschaft zwar grundsätzlich über SMGW abrufbar, aber für die klassische Mietverhältnis-Abrechnung untergeordnet — eine eigene Anomalie-Engine für Strom ist erst geplant, wenn ein belastbarer Use-Case im Bestand auftritt.

Die Beantragung einer Marktrollen-Berechtigung bei der Bundesnetzagentur erfolgt aktuell außerhalb des Portals. Geplant ist ein begleiteter Workflow, der die formalen Anträge nach § 60 MsbG vorbereitet.

FAQ

Wer hat Zugriff auf SMGW-Daten?

Anschlussnutzer, grundzuständiger und gegebenenfalls wettbewerblicher Messstellenbetreiber, Energielieferant sowie ausdrücklich freigegebene externe Marktteilnehmer. § 60 MsbG definiert die Berechtigtenkreise abschließend. Hausverwaltungen erhalten Zugriff über eine dokumentierte Vollmacht oder eine ausdrückliche Beauftragung des Anschlussnutzers — ohne diese Grundlage gibt es keine API-Auskunft.

Was kostet SMGW-Fernauslese?

Der Messstellenbetrieb ist gesetzlich nach § 30 ff. MsbG mit Preisobergrenzen versehen. Aktuell liegt die jährliche Pauschale für ein Standard-SMGW bei rund 23 Euro netto pro Messlokation, mit kleinen Steigerungen für Mehrsparten-Anwendungen. Die Datenweitergabe an externe Marktteilnehmer ist Bestandteil des regulierten Entgelts — eine zusätzliche Submetering-Gebühr fällt nicht an. Der wirtschaftliche Vergleich gegen klassische Messdienstleister fällt vor allem dann zugunsten von SMGW aus, wenn ohnehin moderne Messsysteme verpflichtend installiert sind.

Was, wenn nicht alle Wohnungen ein SMGW haben?

Realistisch ist im laufenden Rollout ein gemischter Bestand. ImmoGenio kombiniert Provider transparent in derselben Tabelle nk_zaehlerstaende — Einheiten mit SMGW liefern täglich, Einheiten mit Ista oder Techem liefern in deren Rhythmus, manuelle Einheiten werden weiterhin ergänzt. Die Heizkostenabrechnung arbeitet quellunabhängig auf den persistierten Werten und nutzt für die Verbrauchsinformation die jeweils frischeste verfügbare Datenlage.

Wie sicher ist SMGW gegen Hacking?

Die Sicherheitsarchitektur ist eine der strengsten im europäischen IoT-Markt. Hardware-Zertifizierung nach BSI-CC-PP-0073, Sicherheitsmodul nach BSI-CC-PP-0077, doppelt verschlüsselte Kommunikation, BSI-eigene Public-Key-Infrastruktur und ein durch BSI-TR-03109-2 geregeltes Updateverfahren über signierte Firmware-Pakete. Keine Architektur ist absolut sicher, aber die regulatorischen Anforderungen liegen deutlich über typischen Smart-Home-Standards.

Wie unterscheidet sich SMGW von Techem oder Ista?

Drei wesentliche Unterschiede. Erstens: Eigentum und Verantwortung. SMGW gehört dem Messstellenbetreiber, Techem- oder Ista-Hardware gehört dem jeweiligen Messdienst. Zweitens: Sparten. SMGW deckt potenziell Strom, Gas, Wasser und Wärme multispartenfähig ab, klassische Submetering-Provider fokussieren auf Heiz- und Wasserzähler. Drittens: Datenfrequenz. SMGW liefert über das regulierte Verfahren typischerweise Tagesfrequenz, Submetering-Provider liefern abhängig vom Vertrag mit Frequenz zwischen monatlich und jährlich.

Kann der Mieter der Fernauslese widersprechen?

Der Mieter kann der Datenweitergabe an externe Marktteilnehmer widersprechen, soweit diese nicht der Vertragserfüllung dient. Für die Heizkostenabrechnung und die monatliche Verbrauchsinformation nach § 6a HeizkostenV besteht eine gesetzliche Grundlage nach Art. 6 Abs. 1 lit. b und lit. c DSGVO — diese Verarbeitung ist nicht widerspruchsfähig. Weitergehende Auswertungen — etwa eine Lastganganalyse für ein Energie-Coaching — bedürfen einer separaten Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und können jederzeit widerrufen werden.

Wo wir stehen

Der SMGW-Connect-Provider ist in ImmoGenio produktiv für Bestände mit ausgewählten Pilot-Messstellenbetreibern. Die Sync-Pipeline läuft täglich um 02:45 UTC, das Sync-Log dokumentiert jeden Lauf pro Zähler, die Anomalie-Erkennung für Wärme- und Wasserverbrauch ist scharfgeschaltet. Die Skalierung auf weitere Messstellenbetreiber erfolgt im Gleichschritt mit dem MsbG-Rollout — sobald eine Region ausreichend versorgt ist und die Vertragslage zwischen Hausverwaltung, Eigentümer und Messstellenbetreiber dokumentiert vorliegt, lässt sich ein Bestand in wenigen Tagen anbinden.

Wer als Verwaltung jetzt eine Multi-Provider-Strategie aufbaut, hat den Vorteil, dass SMGW, Ista und Techem in derselben Datenbasis landen und dieselben Abrechnungs- und Verbrauchsinformations-Pipelines bedienen. Der Bestand bleibt heterogen, die Software bleibt einheitlich.

Sprechen wir darüber

Wenn Sie einen Bestand mit Smart Meter Gateway anbinden möchten — Marktrollen-Beauftragung klären, Credentials hinterlegen, Geräte-Mapping aufsetzen — schreiben Sie uns. Wir zeigen Ihnen, wie der dritte Provider-Pfad neben Ista und Techem in Ihrer Verwaltung produktiv läuft und wie sich tägliche Fernauslese in die nachgelagerte Heizkosten- und Nebenkostenabrechnung einsteuert.

Kontakt: kontakt@immogenio.de

Smart Meter Gateway nach BSI-TR-03109: Tägliche Fernauslese, MsbG-Rollout und der Provider-Pfad SMGW in der Hausverwaltung