Datenschutz ab Mai 2018: Die DSGVO in der Energiebranche

Mit dem 25. Mai 2018 beginnt für den Datenschutz in Europa ein neues Zeitalter. Ab dann bildet die Datenschutz-Grundverordnung (Verordnung EU 2016/679 – DSGVO) den europäischen Rechtsrahmen für den Datenschutz. Es wird auch weiterhin zahlreiche nationale oder europarechtliche Spezialvorschriften zum Schutz personenbezogener Daten geben. Allerdings setzt die DSGVO anspruchsvolle Grundanforderungen an die Unternehmensorganisation und die Verarbeitung von personenbezogenen Daten.

 

Was ist neu?

Die DSGVO baut auf dem Ansatz des bisherigen Datenschutzrechts auf und hat den Anspruch, diesen Ansatz aus den Erfahrungen und der einschlägigen Rechtsprechung der letzten 20 Jahre heraus zu modernisieren. Die DSGVO enthält eine Reihe neuer Elemente, die einerseits den Schutz der Rechte der Betroffenen stärken und andererseits Unternehmen den Datentransfer im digitalen Binnenmarkt erleichtern sollen. Durch die DSGVO werden die Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen („Privacy by Design“ und „Privacy by Default“) eingeführt, um Datenschutzinteressen von Anfang an in Geschäftsprozessen und Produkten zu berücksichtigen. Die Rechte der Betroffenen werden gestärkt, indem neue Transparenzanforderungen eingeführt werden. Die Betroffenen erhalten mehr Kontrolle über die sie betreffenden Daten. Neu ist in diesem Zusammenhang auch das Recht auf Datenübertragbarkeit, welches den Betroffenen erlaubt, von einem Unternehmen die Rück- oder Weiterübertragung personenbezogener Daten zu verlangen, die der Betroffene dem Unternehmen auf Grundlage einer Einwilligung oder eines Vertrages zur Verfügung gestellt hatte. Mit der Verordnung erhalten alle Datenschutzaufsichtsbehörden die Befugnis, Geldbußen gegen Verantwortliche und Auftragsverarbeiter zu verhängen, wobei die Geldbußen bis zu EUR 20 Millionen oder bis zu vier Prozent des weltweiten Konzern-Jahresumsatzes betragen können. Zusätzlich können Betroffene bei Datenschutzverletzungen Schadenersatz für immateriellen Schaden einklagen. Die bislang bestehenden Vorabkontrollpflichten und Meldepflichten werden abgeschafft. Stattdessen gibt es ein für deutsche Unternehmen noch ungewohntes Instrument, das Risiko vor dem Beginn der Datenverarbeitung zu bewerten: Die Datenschutz-Folgenabschätzung.

 

Wichtig: Eigenverantwortung der Unternehmen

Eine der wichtigsten Grundsätze, den die DSGVO für die Unternehmen etablieren will, ist der Grundsatz der Eigenverantwortung. Einerseits werden Unternehmen, die personenbezogene Daten verarbeiten, von zahlreichen derzeit noch geltenden bürokratischen Meldepflichten befreit. Andererseits wird von den Unternehmen nun erwartet, sich in ihrer gesamten Geschäftstätigkeit von Anfang an eigenverantwortlich um wirksamen Datenschutz in allen Unternehmens- und Produktbereichen zu kümmern. Die Unternehmensprozesse, wie auch die Produkte, sollen bereits früh in der Entwicklung datenschutzfreundlich gestaltet werden.

 

Was bedeutet das für die Praxis?

Alle Unternehmen sind dazu angehalten, ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, zu führen. Viele Unternehmen haben deshalb bereits eine umfangreiche Bestandsaufnahme aller unternehmensinternen Datenverarbeitungsprozesse vorgenommen. Die DSGVO verlangt von jedem Unternehmen, die Rechtmäßigkeit jedweder Datenverarbeitung sicherzustellen und zu dokumentieren. Das Verarbeitungsverzeichnis kann dabei diese zentrale Dokumentationsfunktion übernehmen. Für Verarbeitungsprozesse mit besonderen Risiken für die Betroffenen müssen die Unternehmen eine Datenschutz-Folgenabschätzung vornehmen. Insbesondere Verarbeitungsprozesse, die eine Verhaltensanalyse (z. B. Verbrauchsverhalten) erlauben, werden einer Datenschutz-Folgenabschätzung unterzogen werden müssen. Außerdem werden die meisten Unternehmen verpflichtet sein, einen Datenschutzbeauftragten zu benennen. Diese Compliance-Anforderungen sind allesamt bußgeldbewehrt, sodass schon die fehlende Dokumentation oder die Nichtbestellung eines Datenschutzbeauftragten entsprechende Bußgeldrisiken auslöst. Neben diesen allgemeinen Compliance-Anforderungen sollten Unternehmen im eigenen Interesse sicherstellen, dass die Rechte der Betroffenen auf Information, Auskunft, Berichtigung, Löschung oder Datenportabilität umgesetzt werden können. Insbesondere das neu geschaffene Recht auf Datenportabilität stellt einige Branchen vor Herausforderungen. Im Energiebereich könnte es für Wettbewerber einfacher sein, maßgeschneiderte Tarife anzubieten, wenn diese auf die Verbrauchshistorie des Neukunden aufsetzen können. Dazu kann der Kunde von seinem bisherigen Versorger die Herausgabe seiner ihn betreffenden Daten in einem allgemein verständlichen elektronischen Format verlangen. Das bedeutet Mehraufwand für die Unternehmen, andererseits aber auch Chancen für neue Produktgestaltungen.

 

DSGVO in Energieunternehmen

Neben diesen allgemeinen Überlegungen sollten Energieversorger sich vor dem Hintergrund der DSGVO zusätzlich diese Fragen stellen:

 

1. Entsprechen die Kundenverträge und Einwilligungserklärungen zur Datenverarbeitung den Anforderungen der DSGVO?

 

2. Welchen Einfluss hat die DSGVO auf Kundenrückgewinnungsprogramme oder sonstige Marketingaktivitäten?

 

3. Entsprechen die Verträge mit Dienstleistern (z. B. Callcenter) den Anforderungen der DSGVO?

 

4. Sind die unternehmensinternen IT-Prozesse auf die DSGVO eingestellt? Insbesondere: Wie steht es um die Datensicherheit? Bestehen Löschkonzepte und Löschroutinen für personenbezogene Daten?

 

5. Bestehen Prozesse zur Reaktion auf Verletzungen des Schutzes personenbezogener Daten („Hackerangriffe“)?

 

6. Wie ist das Verhältnis der Datenschutzanforderung der DSGVO zu den besonderen Sicherheitsanforderungen an das Unternehmen als kritische Infrastruktur?

 

7. Welche besonderen Anforderungen sind im Hinblick auf Smart-Metering zu implementieren?

 

Es gibt nach dem 25. Mai 2018 keine Übergangsphase für die DSGVO-Anforderungen. Wir befinden uns aktuell in der seit 2016 laufenden Übergangsphase, so dass die Behörden einen hohen Anspruch an die „DSGVO-readiness“ für Mai 2018 haben. Soweit ersichtlich, werden die meisten Unternehmen den Anforderungen der DSGVO am 25. Mai 2018 nicht zu 100 Prozent gerecht. Wir erwarten deshalb, dass die Behörden in bestimmten Bereichen anfänglich noch toleranter sein werden. Allerdings erwarten die Behörden, dass die Unternehmen sich dem Thema Datenschutz ernsthaft angenommen haben und insbesondere in den Kernbereichen der Datenverarbeitung und in den Bereichen, in denen sensible Daten der Betroffenen verarbeitet werden, ein hoher Umsetzungsstand besteht.

 

DSGVO-Sprint-Tipp:

Sofern Sie mit der Umsetzung der DSGVO-Anforderungen noch nicht begonnen haben oder Ihre Aktivitäten erst am Anfang stehen, empfehlen wir folgende Priorisierungen:

 

1. Verschaffen Sie sich einen Überblick über Ihre Prozesse! Sie sollten den Bestand der Datenschutzprozesse erfassen und in einem Verarbeitungsverzeichnis dokumentieren. Die Behörden werden als erstes nach diesem Verarbeitungsverzeichnis fragen.

 

2. Kümmern Sie sich um die kundenbezogenen Prozesse und Betroffenenrechte! Unzufriedene Kunden und Kunden, die schlechte Datenschutzerfahrungen machen, werden sich bei den Behörden beschweren. Sie sollten die Datenschutzerwartungen der Kunden also erfüllen.

 

3. Kümmern Sie sich um die Kundenverträge und Informationstexte! In dieses Schaufenster können Behörden leicht hineinsehen. Sorgen Sie dafür, dass die von Ihnen verwendeten Texte auf dem aktuellen DSGVO-Stand sind.

 

4. Kümmern Sie sich um Ihre Mitarbeiter! Mitarbeiterdatenschutz ist wichtig und unzufriedene Mitarbeiter stellen ein erhebliches Datenschutzrisiko dar.

 

5. Kümmern Sie sich um leicht erreichbare Umsetzungsziele! Ein Datenschutzbeauftragter ist schnell auszuwählen und zu bestellen.

 

6. Kümmern Sie sich dann nach Risikoprioritäten um die weiteren Anforderungen der DSGVO.

 

Wenn Sie Fragen zu diesem Thema haben, wenden Sie sich bitte an
Dr. Axel von Walter.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.