Datenschutz im Versorgungsunternehmen: Was jetzt zu tun ist
Auch Versorgungsunternehmen müssen sich auf neue Datenschutzregeln einstellen. Seit November liegt ein Entwurf zur Anpassung des deutschen Rechts an die neue EU-Datenschutz-Grundverordnung vor, der noch vor dem Ende der Legislaturperiode im Sommer verabschiedet werden soll. Danach besteht auch für Versorgungsunternehmen Handlungsbedarf bei der Gestaltung von Verträgen, Abläufen und Prozessen im Sinne eines datenschutzkonformen Verhaltens.
Die am 25.5.2016 in Kraft getretene Datenschutz-Grundverordnung (DS-GVO/VO (EU) 2016/679) räumt den Mitgliedstaaten in vielen Bereichen des Datenschutzrechts Gestaltungsspielräume ein, die mit dem deutschen Gesetzentwurf ausgefüllt werden sollen. Darüber hinaus sollen damit bestehende Widersprüche zwischen den Regelungen des bisherigen Bundesdatenschutzgesetzes (BDSG) und der DS-GVO ausgeräumt werden. Das bisherige BDSG wird (spätestens) ab dem 25.5.2018 künftig weitgehend durch das angepasste Gesetz abgelöst.
In welchen Bereichen entsteht Handlungsbedarf?
Zwar basieren auch die neuen Regelungen auf den wesentlichen Grundgedanken des Datenschutzrechts in Deutschland. Dennoch haben Versorgungsunternehmen die gesetzlichen Neuerungen rechtzeitig in die betrieblichen Abläufe zu integrieren und in der unternehmerischen Praxis umzusetzen. Betroffen sind alle Unternehmensbereiche, in denen mit personenbezogenen Daten umgegangen wird. Dies betrifft sowohl den Vertrieb als auch den Netzbetrieb, das Personal und die IT.
Bei der Verarbeitung von Kundendaten im Rahmen der Vertragsabwicklung gilt es beispielsweise künftig darauf zu achten, dass der Kunde unter anderem nicht nur über den Namen und die Kontaktdaten des Versorgers informiert wird, sondern auch über die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die Daten verarbeitet werden, die Rechtsgrundlage für die Verarbeitung sowie über das berechtigte Interesse zur Verarbeitung (Art. 13 f. DS-GVO).
Die für die Datenverarbeitung im Unternehmen eingesetzte Technik – wie zum Beispiel Software – ist künftig datenschutzfreundlicher zu gestalten (Art. 25 DS-GVO, § 65 BDSG-E). In diesem Zusammenhang ist zu erwarten, dass die Einhaltung gesetzlich vorgegebener Löschungs- bzw. Sperrfristen stärker in den Fokus der Aufsichtsbehörden rückt. Um hierfür gewappnet zu sein, kommt es darauf an, frühzeitig mit den Softwareherstellern bzw. den IT-Dienstleistern in den Dialog zu treten und die technische Umsetzbarkeit zu diskutieren. Dies betrifft auch die Systeme, die für die Marktkommunikation eingesetzt werden, soweit dort auch personenbezogene Daten verarbeitet werden.
Außerdem können künftig auch Unternehmen, die Daten im Auftrag (beispielsweise für verbundene Unternehmen) verarbeiten, voraussichtlich neben den auftraggebenden Unternehmen von Betroffenen für eine unzulässige Datennutzung in Anspruch genommen werden (Art. 28 Abs. 10 DS-GVO, § 57 Abs. 8 BDSG-E). Bestehende Vereinbarungen über eine Auftragsdatenverarbeitung sollten daher spätestens zum 25.5.2018 auf Anpassungsbedarf geprüft und erforderlichenfalls an die neue Rechtslage angepasst werden; in neuen Vereinbarungen ist dieses unbedingt zu berücksichtigen.
Die Neuregelungen weiten den Bußgeldrahmen bei Verstößen gegen das Datenschutzrecht deutlich aus, um die Wichtigkeit eines rechtskonformen Datenumgangs zu gewährleisten. Daher sollte die anstehende Rechtsänderung unmittelbar zum Anlass genommen werden, den Handlungsbedarf im eigenen Haus zu ermitteln und notwendige, datenschutzkonforme Abläufe rechtzeitig anzupassen bzw. zu implementieren.
Ansprechpartner: Jan-Hendrik vom Wege/Alexander Bartsch
PS: Sie interessieren sich für dieses Thema, dann schauen Sie gern hier (gern unterbreiten wir dazu ein Angebot).