Ab dem 25.05.2018 wird die Datenschutzgrundverordnung (DSGVO) verbindlich. Durch die DSGVO soll das Datenschutzniveau innerhalb der Europäischen Union vereinheitlicht werden. Unternehmen sind daher ab dem 25.05.2018 unionsweit verpflichtet, die neuen „Spielregeln“ zum Datenschutz bei der Verarbeitung personenbezogener Daten zu beachten. Dies gilt auch für Energieversorger.

Die DSGVO schützt natürliche Personen bei der Verarbeitung personenbezogener Daten. Dabei handelt es sich um Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Grundsätzlich gilt, dass alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann, unter den Begriff der personenbezogenen Daten fallen. Bei Energieversorgern können z. B. Kundendaten wie Name, Anschrift, Bankverbindung, Kundennummer, Mess- und Marktlokation sowie Verbrauchs-, Abrechnungs- oder Einspeisedaten personenbezogene Daten darstellen.

Mit der DSGVO wird das verantwortliche Unternehmen – und damit in letzter Konsequenz die Geschäftsleitung – dafür rechenschaftspflichtig, dass die Grundsätze der Verarbeitung eingehalten werden. Das Prinzip der „Accountability“ bringt es mit sich, dass sie die Einhaltung jederzeit nachweisen können muss.

Diese Pflicht bezieht sich auf die Grundsätze der Rechtmäßigkeit und Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung sowie der Integrität und Vertraulichkeit. Dass diese Grundsätze eingehalten werden, muss bei jeder Verarbeitungstätigkeit im Unternehmen durch geeignete technische und organisatorische Maßnahmen sichergestellt sein. Ohne belastbare Dokumentation der Verarbeitungstätigkeiten geht es also nicht mehr. Hauptbestandteil der Dokumentation im Unternehmen ist zukünftig das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO.

Nach wie vor bedarf es bei der Verarbeitung von personenbezogenen Daten einer Einwilligung des Betroffenen oder einer gesetzlichen Grundlage. Im Vertragsmanagement muss daher gewährleistet und dokumentiert werden, dass die Vertragsabwicklung auf einer einschlägigen gesetzlichen Grundlage oder einer Einwilligung erfolgt.

Von besonderer Bedeutung ist die Interessenabwägungsklausel in Art. 6 Abs. 1; danach ist die Datenverarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Unter den Begriff des berechtigten Interesses fällt jedes rechtliche, wirtschaftliche oder ideelle Interesse. Nach den Erwägungsgründen des Verordnungsgebers zählt zu den berechtigten Interessen des Unternehmens auch die Direktwerbung. Energieversorger sind daher zur werblichen Ansprache ihrer Kunden berechtigt, soweit der Betroffene mit einer werblichen Ansprache rechnen musste und schutzwürdige Belange nicht entgegenstehen, was bei einem bestehenden Vertragsverhältnis häufig der Fall sein wird.

Bei der Erhebung personenbezogener Daten sind insbesondere die Vorgaben des Art. 13 DSGVO zu beachten. Hierdurch werden die Informationspflichten bei der Erhebung von personenbezogenen Daten gegenüber den von der Verarbeitung betroffenen Personen erweitert. Während bisher eine Unterrichtung nur über die Identität der verantwortlichen Stelle, die Zweckbestimmungen der Verarbeitung und die Kategorien von Empfängern der Daten erforderlich ist, verlangt die DSGVO zukünftig neben dem Namen und der Adresse des Verantwortlichen (Energieversorger) die Angabe der Kontaktdaten des Datenschutzbeauftragten, die Verarbeitungszwecke und deren Rechtsgrundlage, die berechtigten Interessen die der Verantwortliche verfolgt, die Empfänger der personenbezogenen Daten und die Dauer der Speicherung bzw. die Kriterien für deren Festlegung. Darüber hinaus ist der Betroffene über bestehende Auskunfts-, Widerrufs- und Beschwerderechte zu informieren. Dies führt zu einem Anpassungsbedarf der Datenschutzhinweise in Vertragsunterlagen für Kunden, Mitarbeiter und sonstige Geschäftspartner, soweit Personen- bezug besteht, sowie auf der Webseite.

Die von der Verarbeitung betroffenen Kunden und sonstigen Personen können zukünftig von dem Verantwortlichen Auskunft zu ihren verarbeiteten personenbezogenen Daten verlangen und haben Anspruch auf Herausgabe der Daten in einem strukturierten, maschinenlesbaren und gängigen Format. Die Daten sind zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dies macht es unabdingbar, entsprechende Auskunfts-, Herausgabe- und Löschungsprozesse zu installieren. Für Dokumente, die einen Personenbezug aufweisen, ist ein Löschkonzept mit konkreten Sperr- und Löschfristen erstellen. Dabei sind bestehende Aufbewahrungsfristen, etwa aus dem Handelsund Steuerrecht (vgl. §§ 147 AO, 257 HGB) zu beachten. Die Sperr- und Löschfristen sind auch in den verwendeten Datenverarbeitungssystemen umzusetzen.

Betroffen von den neuen Vorgaben der DSGVO sind alle Unternehmensbereiche bei Energieversorgern, in denen mit personenbezogenen Daten umgegangen wird. Durch die Neuerungen der DSGVO wird eine datenschutzkonforme Organisation des Unternehmens notwendig. Insbesondere mit Blick auf die bereits erwähnte Rechenschaftspflicht bedeutet dies, dass künftig eine Evaluation der Datenverarbeitungsvorgänge auszuarbeiten ist und diese Vorgänge zu dokumentieren sind. Energieversorger werden daher künftig ein Datenschutz-Managementsystem aufbauen müssen.

Bei Datenschutzverstößen drohen zukünftig empfindliche Bußgelder: Betrug die Höhe der Geldbußen bisher in der Regel bis zu 50.000 Euro oder 300.000 Euro, können die Aufsichtsbehörden zukünftig Bußgelder bis zu 20 Mio. Euro oder bis zu 4 Prozent des erzielten Jahresumsatzes verhängen. Zwar werden kleine oder mittlere Energieversorger wahrscheinlich keine Höchststrafen fürchten müssen; auf Bußgelder „über der Schmerzgrenze“ bei Datenschutzverstößen wird man sich aber einstellen müssen.

Mit der DSGVO kommen weitreichende organisatorische und inhaltliche Anforderungen auf Energieversorgungsunternehmen zu. Insbesondere der Aufbau eines Datenschutz- Managementsystems wird notwendig. Darüber hinaus sind unter anderem Verträge an die Vorgaben der DSGVO anzupassen.

www.bbh-online.de