Mit dem 25. Mai 2018 beginnt für den Datenschutz in Europa ein neues Zeitalter. Ab dann bildet die Datenschutz-Grundverordnung (Verordnung EU 2016/679 - DSGVO) den europäischen Rechtsrahmen für den Datenschutz. Es wird auch weiterhin zahlreiche nationale oder europarechtliche Spezialvorschriften zum Schutz personenbezogener Daten geben. Allerdings setzt die DSGVO anspruchsvolle Grundanforderungen an die Unternehmensorganisation und die Verarbeitung von personenbezogenen Daten.
Die DSGVO baut auf dem Ansatz des bisherigen Datenschutzrechts auf und hat den Anspruch, diesen Ansatz aus den Erfahrungen und der einschlägigen Rechtsprechung der letzten 20 Jahre heraus zu modernisieren. Die DSGVO enthält eine Reihe neuer Elemente, die einerseits den Schutz der Rechte der Betroffenen stärken und andererseits Unternehmen den Datentransfer im digitalen Binnenmarkt erleichtern sollen. Durch die DSGVO werden die Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen („Privacy by Design“ und „Privacy by Default“) eingeführt, um Datenschutzinteressen von Anfang an in Geschäftsprozessen und Produkten zu berücksichtigen. Die Rechte der Betroffenen werden gestärkt, indem neue Transparenzanforderungen eingeführt werden. Die Betroffenen erhalten mehr Kontrolle über die sie betreffenden Daten. Neu ist in diesem Zusammenhang auch das Recht auf Datenübertragbarkeit, welches den Betroffenen erlaubt, von einem Unternehmen die Rück- oder Weiterübertragung personenbezogener Daten zu verlangen, die der Betroffene dem Unternehmen auf Grundlage einer Einwilligung oder eines Vertrages zur Verfügung gestellt hatte. Mit der Verordnung erhalten alle Datenschutzaufsichtsbehörden die Befugnis, Geldbußen gegen Verantwortliche und Auftragsverarbeiter zu verhängen, wobei die Geldbußen bis zu EUR 20 Millionen oder bis zu vier Prozent des weltweiten Konzern-Jahresumsatzes betragen können. Zusätzlich können Betroffene bei Datenschutzverletzungen Schadenersatz für immateriellen Schaden einklagen. Die bislang bestehenden Vorabkontrollpflichten und Meldepflichten werden abgeschafft. Stattdessen gibt es ein für deutsche Unternehmen noch ungewohntes Instrument, das Risiko vor dem Beginn der Datenverarbeitung zu bewerten: Die Datenschutz-Folgenabschätzung.
Eine der wichtigsten Grundsätze, den die DSGVO für die Unternehmen etablieren will, ist der Grundsatz der Eigenverantwortung. Einerseits werden Unternehmen, die personenbezogene Daten verarbeiten, von zahlreichen derzeit noch geltenden bürokratischen Meldepflichten befreit. Andererseits wird von den Unternehmen nun erwartet, sich in ihrer gesamten Geschäftstätigkeit von Anfang an eigenverantwortlich um wirksamen Datenschutz in allen Unternehmens- und Produktbereichen zu kümmern. Die Unternehmensprozesse, wie auch die Produkte, sollen bereits früh in der Entwicklung datenschutzfreundlich gestaltet werden.
Alle Unternehmen sind dazu angehalten, ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, zu führen. Viele Unternehmen haben deshalb bereits eine umfangreiche Bestandsaufnahme aller unternehmensinternen Datenverarbeitungsprozesse vorgenommen. Die DSGVO verlangt von jedem Unternehmen, die Rechtmäßigkeit jedweder Datenverarbeitung sicherzustellen und zu dokumentieren. Das Verarbeitungsverzeichnis kann dabei diese zentrale Dokumentationsfunktion übernehmen. Für Verarbeitungsprozesse mit besonderen Risiken für die Betroffenen müssen die Unternehmen eine Datenschutz-Folgenabschätzung vornehmen. Insbesondere Verarbeitungsprozesse, die eine Verhaltensanalyse (z. B. Verbrauchsverhalten) erlauben, werden einer Datenschutz-Folgenabschätzung unterzogen werden müssen. Außerdem werden die meisten Unternehmen verpflichtet sein, einen Datenschutzbeauftragten zu benennen. Diese Compliance-Anforderungen sind allesamt bußgeldbewehrt, sodass schon die fehlende Dokumentation oder die Nichtbestellung eines Datenschutzbeauftragten entsprechende Bußgeldrisiken auslöst. Neben diesen allgemeinen Compliance-Anforderungen sollten Unternehmen im eigenen Interesse sicherstellen, dass die Rechte der Betroffenen auf Information, Auskunft, Berichtigung, Löschung oder Datenportabilität umgesetzt werden können. Insbesondere das neu geschaffene Recht auf Datenportabilität stellt einige Branchen vor Herausforderungen. Im Energiebereich könnte es für Wettbewerber einfacher sein, maßgeschneiderte Tarife anzubieten, wenn diese auf die Verbrauchshistorie des Neukunden aufsetzen können. Dazu kann der Kunde von seinem bisherigen Versorger die Herausgabe seiner ihn betreffenden Daten in einem allgemein verständlichen elektronischen Format verlangen. Das bedeutet Mehraufwand für die Unternehmen, andererseits aber auch Chancen für neue Produktgestaltungen.
Neben diesen allgemeinen Überlegungen sollten Energieversorger sich vor dem Hintergrund der DSGVO zusätzlich diese Fragen stellen:
Es gibt nach dem 25. Mai 2018 keine Übergangsphase für die DSGVO-Anforderungen. Wir befinden uns aktuell in der seit 2016 laufenden Übergangsphase, so dass die Behörden einen hohen Anspruch an die „DSGVO-readiness“ für Mai 2018 haben. Soweit ersichtlich, werden die meisten Unternehmen den Anforderungen der DSGVO am 25. Mai 2018 nicht zu 100 Prozent gerecht. Wir erwarten deshalb, dass die Behörden in bestimmten Bereichen anfänglich noch toleranter sein werden. Allerdings erwarten die Behörden, dass die Unternehmen sich dem Thema Datenschutz ernsthaft angenommen haben und insbesondere in den Kernbereichen der Datenverarbeitung und in den Bereichen, in denen sensible Daten der Betroffenen verarbeitet werden, ein hoher Umsetzungsstand besteht.
Sofern Sie mit der Umsetzung der DSGVO-Anforderungen noch nicht begonnen haben oder Ihre Aktivitäten erst am Anfang stehen, empfehlen wir folgende Priorisierungen:
Wenn Sie Fragen zu diesem Thema haben, wenden Sie sich bitte an Dr. Axel von Walter.