Stichtag 25.5.: Datenschutz-Grundverordnung wird Pflicht!

Am 25.5.2018 ist es soweit: Dann kommen die neuen Datenschutz-Spielregeln für alle Unternehmen zum Einsatz (wir berichteten), die mit personenbezogenen Daten (z.B. von Kunden oder Mitarbeitern) zu tun haben. Darunter auch: Energieversorger. Ziel der Datenschutz-Grundverordnung (DS-GVO/VO (EU) 2016/679), die mit einer zweijährigen Umsetzungsfrist bereits 2016 in Kraft getreten ist, ist eine Vereinheitlichung des europäischen Datenschutz-Niveaus.

Für Unternehmen, die sich mit den neuen Vorgaben noch nicht auseinander gesetzt haben, wird die Zeit allmählich knapp: Zumindest die Kernforderungen der DS-GVO sollten sie rechtzeitig umsetzen. Auch deshalb, weil die Sanktionsmöglichkeiten bei Datenschutzverstößen nicht trivial sind: War die Höhe der Geldbußen bisher in der Regel bis zu 50.000 Euro oder 300.000 Euro, können nun Strafen bis zu 20 Mio. Euro oder bis zu 4 Prozent des erzielten Jahresumsatzes drohen. Zwar werden kleine oder mittlere Energieversorger wahrscheinlich keine Höchststrafen fürchten müssen; auf Bußgelder „über der Schmerzgrenze“ bei Datenschutzverstößen wird man sich aber einstellen müssen.

Mit der DS-GVO ist das verantwortliche Unternehmen – und damit in letzter Konsequenz die Geschäftsleitung – dafür rechenschaftspflichtig, dass die Grundsätze der Verarbeitung eingehalten werden. Das Prinzip der „Accountability“ bringt es mit sich, dass sie die Einhaltung jederzeit nachweisen können muss. Diese Pflicht bezieht sich auf die Grundsätze der Rechtmäßigkeit und Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung sowie der Integrität und Vertraulichkeit. Dass diese Grundsätze eingehalten werden, muss bei jeder Verarbeitungstätigkeit im Unternehmen durch geeignete technische und organisatorische Maßnahmen sichergestellt sein. Ohne belastbare Dokumentation der Verarbeitungstätigkeiten geht es also nicht mehr.

Damit nicht genug. Auch beim Vertragsmanagement muss gewährleistet und dokumentiert werden, dass die Vertragsabwicklung auf einer einschlägigen gesetzlichen Grundlage oder einer Einwilligung erfolgt. Neu in diesem Zusammenhang sind ausführliche Informationspflichten gegenüber den Personen, um deren Daten es geht.

Die von der Verarbeitung betroffenen Kunden, Mitarbeiter und Geschäftspartner haben zudem zahlreiche Rechte gegenüber dem verantwortlichen Unternehmen: Sie können etwa Auskunft zu ihren verarbeiteten personenbezogenen Daten verlangen, haben Anspruch auf Herausgabe der Daten in einem strukturierten, maschinenlesbaren und gängigen Format. Oder können sie löschen lassen, wenn diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dies macht es unabdingbar, entsprechende Auskunfts-, Herausgabe- und Löschungsprozesse zu installieren.

Für alle Versorger ist damit „Datenschutzmanagement“ zum Pflichtprogramm geworden. Sinnvollerweise sollten die Vorgaben zum Datenschutz unmittelbar mit dem Informationssicherheitsmanagement verzahnt werden.

Ansprechpartner: Dr. Jost Eder/Alexander Bartsch

PS: Sie interessieren sich für dieses Thema? Dann ist vielleicht unsere Webinar-Reihe auch etwas für Sie.