Die Europäische Datenschutzgrundverordnung (Verordnung EU 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016; EU-DSGVO) soll zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechts führen. Während bislang auf Grundlage der EU-Datenschutzrichtlinie noch erhebliche Unterschiede beim Datenschutz zwischen den Mitgliedstaaten möglich waren, ist die EU-DSGVO seit Erlass geltendes Recht in allen Mitgliedstaaten. Die EU-DSGVO ist bereits am 25. Mai 2016 in Kraft getreten. Allerdings ist eine zweijährige Übergangsfrist vorgesehen, so dass ihre Anwendung erst ab dem 25. Mai 2018 verpflichtend ist. Hierdurch sollte den Betroffenen Zeit gegeben werden, die ggf. erforderlichen Anpassungen im jeweiligen Betrieb vorzunehmen. Wo dies noch nicht geschehen ist, wird es langsam aber sicher an der Zeit, sich mit der EU-DSGVO und ihren Anforderungen auseinanderzusetzen. Der nachfolgende Überblick bietet hierzu erste Anhaltspunkte.
Welche Änderungen bringt die EU-DSGVO?
Viele der datenschutzrechtlichen Konzepte und Prinzipien der EU-DSGVO sind im Großen und Ganzen nicht viel anders als auch bisher in der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) geregelt, deren Vorschriften in Deutschland mit dem Bundesdatenschutzgesetz (BDSG) umgesetzt wurden. Durch die EU-DSGVO wird das nationale Datenschutzrecht allerdings in weiten Teilen im Detail neu geregelt. Hieraus ergeben sich eine Vielzahl von Änderungen, die auch Unternehmen zu beachten haben, die sich bereits bisher sorgfältig um den Datenschutz gekümmert haben. Der Teufel steckt hierbei – wie so oft – im Detail, so dass es erforderlich ist, die neuen Regeln der Verordnung genauer unter die Lupe zu nehmen.
Neue Anforderungen an die Einwilligung in die Datenverarbeitung
Der Grundsatz, dass die Verarbeitung personenbezogener Daten verboten ist, wenn diese nicht durch eine europäische oder nationale Rechtsvorschrift erlaubt wird, wird weiterhin beibehalten. Erlaubt ist die Datenverarbeitung unter anderem dann, wenn der Betroffene seine Einwilligung hierzu gibt. Die vielleicht wichtigste Neuregelung der EU-DSGVO betrifft die Erteilung eben dieser Einwilligung des Betroffenen in die Datenverarbeitung. Ausdrücklich geregelt ist nunmehr, dass die Erteilung der Einwilligung eine freiwillige, spezifisch informierte und eindeutige Handlung – z.B. das Anklicken eines Kästchens auf einer Website - erfordert. Keine Einwilligung ist ein stillschweigendes Einverständnis, standardmäßig angekreuzte Kästchen zu einer unzureichenden Belehrung oder die bloße Untätigkeit des Betroffenen. Neu ist auch, dass derjenige, der für die Datenverarbeitung verantwortlich ist, in der Lage sein muss, zu beweisen, dass eine solche qualifizierte Einwilligung erteilt worden ist.
Neue Informations- und Auskunftsrechte
Auch weitere Rechte der Betroffenen werden im Vergleich zur alten Rechtslage deutlich gestärkt. Dies betrifft neben der bereits angesprochenen Einwilligung vor allem neue Informations- und Auskunftsrechte. Dem Betroffenen muss insbesondere auch der Zweck und die Rechtsgrundlage der Datenverarbeitung mitgeteilt werden. Demgegenüber sollen Bereitstellungs-, Übermittlungs- und auch Löschpflichten (Recht auf Vergessen) der datenverarbeitenden Unternehmen für mehr Transparenz bei der Verarbeitung personenbezogener Daten sorgen. Darüber hinaus ist zu beachten, dass Verstöße gegen die Bestimmungen zum Datenschutz künftig wesentlich stärker sanktioniert werden.
Auch bezüglich der Auftragsdatenverarbeitung, also der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Verarbeitung Verantwortlichen auf Grundlage eines schriftlichen Vertrages wurden die beiderseitigen Pflichten erweitert. Die EU-DSGVO enthält eine umfangreiche Aufzählung von Regelungsinhalten sowie Rechte und Pflichten, die in dem Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter zwingend vereinbart werden müssen.
Darüber hinaus ist es zukünftig auch zulässig, dass mehrere verantwortliche Stellen eine erlaubte Datenverarbeitung gemeinsam durchführen können, sogenanntes Joint Controllership. Erforderlich ist hierzu eine transparente Vereinbarung, die die jeweiligen Zwecke und Verantwortlichkeiten sowie die Handhabung hinsichtlich der Betroffenenrechte festlegt. Betroffene können ihre Rechte aber weiterhin gegenüber jedem einzelnen Verantwortlichen geltend machen.
Was droht bei Nichtbeachtung oder Verstoß gegen die EU-DSGVO?
Verstöße gegen die neuen Datenschutzvorschriften können künftig je nach Art des Pflichtverstoßes mit Bußgeldern bis zu 20 Millionen Euro oder in Höhe von bis zu vier Prozent des gesamten, weltweit erzielten Jahresumsatzes verfolgt werden, je nachdem, welcher Betrag höher ist. Adressat ist nicht alleine das Unternehmen; vielmehr wird eine eigene Verantwortlichkeit der Geschäftsführung für die Umsetzung der datenschutzrechtlichen Unternehmensprozesse begründet.
Und was hat Datenschutz mit der Energiewirtschaft zu tun?
Rechtlich relevante Datenverarbeitung von personenbezogenen Daten kommt in allen Branchen vor. Die Energiebranche stellt hier keine Ausnahme dar. Im Gegenteil: In der Energiebranche werden Daten immer wichtiger. Ganze Geschäftsmodelle drehen sich allein um Nutzerdaten. Dementsprechend intensiv befasst sich die Energiebranche derzeit mit der Umsetzung der EU-DSGVO. Nahezu jede Kundenbeziehung bedarf der Überprüfung. Zudem muss in jedem Einzelfall genau geprüft werden, welche tatsächlichen und rechtlichen Änderungen in den Verträgen, AGB und den Betriebsabläufen der Unternehmen erforderlich werden.
Bereits die Speicherung der personenbezogenen Daten im Rahmen eines Vertragsabschlusses stellt eine Datenverarbeitung im Sinne der EU-DSGVO dar. Insbesondere aber auch im Rahmen des Angebots von Online-Vertragsstrecken, was von vielen Unternehmen in der Energiewirtschaft genutzt wird, kommt es schnell zu einer automatisierten Erfassung großer Datenmengen, die entsprechend den gesetzlichen Regelungen zu verarbeiten sind. Hier ist insbesondere darauf zu achten, ob die Daten noch für den Vertragszweck oder bereits für andere Zwecke, wie Werbung oder die Übersendung von Newslettern, die über den eigentlich Vertragszweck – etwa die Belieferung mit Strom – hinausgehen, genutzt werden sollen. Je nachdem können sich hierfür unterschiedliche Anforderungen an die erforderliche Einwilligung und das Erfordernis einer Widerrufsmöglichkeit der Einwilligung ergeben. Soweit ein Unternehmen die Bestimmungen zum Datenschutz vornehmlich in seinen Allgemeinen Geschäftsbedingungen regelt, sollte überprüft werden, ob eine hinreichende Einwilligung in die dort geregelte Datenverarbeitung vorliegt und den Informations- und Auskunftsrechen der Betroffenen genügend Rechnung getragen wurde.
Nach Eintritt der verpflichtenden Anwendung der Vorgaben der EU-DSGVO ab dem 25. Mai 2018 ist zu erwarten, dass die für die Einhaltung erforderlichen maßgeblichen Punkte durch Gerichtsurteile, Stellungnahmen und Anordnungen der Aufsichtsbehörden noch weiter konkretisiert werden.
