Die EU-Datenschutz-Grundverordnung (DSGVO) trat am 25. Mai 2016 in Kraft und wird ab dem 25. Mai 2018 anwendbares Recht.

Die DSGVO führt zu deutlich erhöhten Compliance-Anforderungen sowie einer erheblichen Erhöhung der Geldbußen auf bis zu 20 Mio. EUR bzw. 4% des gesamten weltweit erzielten Jahresumsatzes einer Unternehmensgruppe. Da die Bußgeldsystematik der etablierten kartellrechtlichen Geldbußensystematik nachgebildet ist, können selbst Compliance-Verstöße kleinerer und weniger wichtiger Niederlassungen eines Konzerns schwerwiegende Konsequenzen haben. Dem Datenschutz kommt somit zukünftig auch aus Risikogesichtspunkten eine nochmals gesteigerte Bedeutung zu.

Mit Blick auf die spezifische Geschäftstätigkeit von Energieversorgern stellen sich vor dem Hintergrund der DSGVO beispielsweise die folgenden Fragen:

  • Entsprechen die im Rahmen des Vertragsabschlusses verwendeten Einwilligungserklärungen zur Datenverarbeitung den zukünftigen Anforderungen der DSGVO und können bestehende Einwilligungen noch fortbestehen?
  • Wie wird zukünftig mit Kundenanfragen umgegangen, die Auskunft zu den über sie gespeicherten Daten verlangen?
  • Welche Daten dürfen im Zusammenhang mit der Kundenakquise zukünftig noch verwendet werden?
  • Können Kundenrückgewinnungsprogramme zukünftig noch durchgeführt werden, um beispielsweise wechselwillige Kunden zu halten bzw. ein neues attraktives Angebot zu unterbreiten?
  • Werden externe Dienstleister (z.B. Call Center) auf Basis entsprechend gesetzeskonformer Datenverarbeitungsverträge eingesetzt, so dass eine rechtskonforme Auftragsverarbeitung erfolgt?
  • Welche Anforderungen werden durch die DSVGO an die unternehmenseigene IT gestellt, um beispielsweise eine rechtssichere Speicherung, aber auch das Recht auf Vergessenwerden oder Datenportabilität zu gewährleisten?
  • Welcher Anpassungsbedarf besteht hinsichtlich des Umgangs mit Bewerberdaten und den Daten der eigenen Mitarbeiter im Unternehmen?
  • Besteht ein Reaktionsmechanismus im Falle einer etwaigen Datenpanne?
  • Werden die Grundsätze „Privacy by Design“ und „Privacy by Default“ beachtet?
  • Existiert eine Dokumentation zu den Rechtskonformitätsabwägungen der Datenverarbeitungsvorgänge?

Da die Vorbereitung auf die DSGVO eine Restrukturierung interner Prozesse erfordert, ist es höchst empfehlenswert, mit dieser zeitnah zu beginnen.

Wir empfehlen die folgenden Schritte zur Implementierung der DSGVO:

Schritt 1:

„Gap analysis“

Schritt 2:

Risikoanalyse

Schritt 3: Projektsteuerung und Ressourcen-/ Budgetplanung

Schritt 4:

Umsetzung einer Datenschutz-Struktur

Schritt 1:

„Gap analysis“

  • Zur Feststellung des datenschutzrechtlichen Handlungsbedarfs eines Unternehmens sollte zuerst eine „Lückenanalyse“ durchgeführt werden, bei der die gegenwärtige Datenschutz-Compliance mit den Anforderungen der DSGVO verglichen wird.
    • In einem ersten Schritt sind die aktuellen datenschutz- rechtlichen Praktiken des Unternehmens zu sammeln (z.B. (i) welche Abteilungen welche Arten von Daten für welchen Zweck verarbeiten, (ii) wie die internen Verantwortlichkeiten verteilt sind, (iii) wie die Rechte betroffener Personen geschützt werden, (iv) ob Datenschutzbeauftragte einge- setzt werden, (v) welche IT-Sicherheitsmaßnahmen vor- handen sind; gemeinsam die „Existierende Datenschutz- Struktur“).
    • In einem zweiten Schritt müssen diejenigen Anforderungen der DSGVO bestimmt werden, die speziell für das vor- liegende Unternehmen gelten („unternehmensspezifische DSGVO-Anforderungen“).
    • Im letzten Schritt werden die unternehmensspezifischen DSGVO-Anforderungen mit der bestehenden Datenschutz- Struktur verglichen. Die „Lücke“ zwischen beiden zeigt den Handlungsbedarf des Unternehmens auf.

Schritt 2:

Risikoanalyse

  • Die vielfältigen Anforderungen der DSGVO können nicht zeitgleich vollständig erfüllt werden. Das Unternehmen muss daher abschätzen, welche Datenverarbeitungstätigkeiten das größte Risiko für (i) den Geschäftsbetrieb des Unternehmens und/oder (ii) die Rechte der betroffenen Personen darstellen sowie (iii) welche Risiken am wahrscheinlichsten zu hohen Geldbußen führen. Im Anschluss an diese Einschätzung sind die Ressourcen entsprechend zu verteilen. Der DatenschutzCompliance für risikoreiche Verarbeitungstätigkeiten sollte dabei größere Aufmerksamkeit geschenkt werden als der in weniger riskanten Bereichen.

Schritt 3:

Projektsteuerung und Ressourcen-/ Budgetplanung

  • Die Umsetzung der DSGVO erfordert zum einen die Zusammenarbeit der verschiedenen Geschäftsbereiche des Unternehmens (Vertrieb, Marketing, IT und Rechtsabteilung), zum anderen die Kenntnis der noch ausstehenden Aufgaben auf Management-Ebene. Das Unternehmen sollte Verantwortlichkeiten für das Projekt an Schlüsselpersonen übertragen und einen leitenden Projektmanager ernennen. Dieser kann auch ein externer Berater sein.
  • Das Unternehmen muss die notwendigen Ressourcen zur Verfügung stellen. Die Budgetplanung sollte insbesondere (i) interne Ressourcen, wie für die Umsetzung benötigtes internes Personal, (ii) rechtliche Kosten sowie (iii) IT-Kosten (z.B. für unterstützende Software; IT-Überprüfungen etc.) berücksichtigen.

Schritt 4:

Umsetzung einer Datenschutz-Struktur

Die DSGVO enthält eine Reihe zusätzlicher Anforderungen im Verhältnis zum bisher geltenden Recht:

  • Stärkere Rechte der betroffenen Personen (z.B. auf Information, Auskunft und Berichtigung/Löschung; das Recht auf Datenübertragbarkeit; das Recht auf Widerspruch gegen bestimmte Datenverarbeitungstätigkeiten; das „Recht auf Vergessenwerden“ – die Verpflichtung, Auskunfts- oder Löschanträge an dritte Datenempfänger weiterzuleiten; strengere Anforderungen an Einwilligungserklärungen etc.),
  • Strengere organisatorische Anforderungen (z.B. die Verpflichtung, ein die internen Datenverarbeitungstätigkeiten zusammenfassendes Verzeichnis von Datenverarbeitungs-tätigkeiten zu erstellen; die Notwendigkeit, in verschiedenen Fällen eine Datenschutz-Folgeabschätzung durchzuführen und einen Datenschutzbeauftragten zu ernennen; Datenschutz durch Technik („privacy by design“) und Datenschutz durch datenschutzrechtliche Voreinstellungen („privacy by default“); die Verpflichtung zur Verknüpfung personenbezogener Daten mit dem Zweck ihrer Erhebung und der Ermächtigungsgrundlage für ihre Verarbeitung; die Dokumentation von Datenübermittlungen; möglicherweise ein Entwurf für Löschungskonzepte etc.),
  • Strengere Meldepflichten (z.B. die Verpflichtung, im Falle einer Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden die Datenschutzbehörden sowie ggf. die betroffenen Personen zu informieren),
  • Höhere IT/Cyber-Sicherheitsanforderungen,
  • Strengere vertragliche Anforderungen (mit externen Service Providern und unter Umständen auch innerhalb der Unternehmensgruppe müssen strengere Datenverarbeitungs verträge geschlossen werden).

Für weitere Details zu den wichtigsten Änderungen der DSGVO wird auf den Annex verwiesen. Um allen neuen Verpflichtungen nachzukommen, muss das Unternehmen eine robustere Datenschutzstruktur einführen:

4.1 Datenschutz-Management-System

Die DSGVO sieht eine Reihe von Anforderungen vor, die ohne ein umfassendes Datenschutz-Management-System schwierig zu bewältigen sind. Ein solches System sollte konzernweit eingeführt werden, da datenschutzrechtliche Verstöße selbst kleiner Niederlassungen zu hohen Geldbußen für die gesamte Unternehmensgruppe führen können.

(a) Festlegung von Rollen und Verantwortlichkeiten

Das Unternehmen sollte Datenschutzstrukturen in allen EU-Niederlassungen schaffen und einen verantwortlichen Leiter in der Muttergesellschaft bestimmen. Die entsprechende Struktur sollte (i) eine einfache Erteilung datenschutzbezogener Anweisungen und/oder Empfehlungen an die beteiligten Stellen ermöglichen („top-downAnsatz“) sowie (ii) die Mitteilung datenschutzbezogener Angelegenheiten an den Leiter gewährleisten („bottom-up-Kommunikation“).

(b) Verfahren und Konzepte

Viele der Verpflichtungen aus der DSGVO können in der Praxis nur implementiert werden, wenn entsprechende Konzepte, Richtlinien und Standardvorgehensweisen (kumulativ sog. „Standard Operating Procedures“, „SOP“) eingeführt werden. Dies betrifft insbesondere die Rechte betroffener Personen, die Meldepflichten bei der Verletzung des Schutzes personenbezogener Daten, die Datenschutz-Folgeabschätzungen etc.

(c) Training

Mitarbeiter sollten in Bezug auf ihre sich aus der DSGVO ergebenden Verpflichtungen und Verantwortlichkeiten geschult werden.

(d) Dokumentation

Das Unternehmen muss angemessene Maßnahmen ergreifen, um die Einhaltung der Anforderungen der DSGVO nachzuweisen. Diese Maßnahmen sollten regelmäßig überprüft und aktualisiert werden.

4.2 Datenverarbeitungsverträge

Aufgrund der hohen Anzahl von Vereinbarungen, die konzernintern sowie mit Dritten geschlossen werden müssen, ist eine durchdachte Strategie für das Management von Datenverarbeitungsverträgen erforderlich.

Der Einsatz von Auftragsverarbeitern (Stellen, die personenbezogene Daten im Auftrag des Unternehmens entsprechend dessen Anweisungen verarbeiten) erfordert zwingend den Abschluss von Datenverarbeitungsverträgen. Bestehende Verträge müssen überprüft werden, um festzustellen, ob sie den Voraussetzungen der DSGVO entsprechen oder ob Änderungsbedarf besteht; neue Vereinbarungen müssen den hohen Standards der DSGVO genügen.

In einigen Fällen können verschiedene Unternehmensteile als gemeinsam für die Verarbeitung Verantwortliche qualifiziert werden, wenn sie zusammen den Zweck und die Mittel der Datenverarbeitung festlegen. Grundsätzlich müssen auch in diesen Fällen zwischen den involvierten Stellen Datenverarbeitungsverträge geschlossen werden.

Annex:

Die wichtigsten Verpflichtungen der DSGVO

Die DSGVO führt eine Reihe von neuen Verpflichtungen ein; die Wichtigsten werden nachfolgend kurz dargestellt:

1. Organisatorische Maßnahmen

1.1 Verzeichnis von Datenverarbeitungstätigkeiten, Art. 30

In den meisten Fällen muss ein Verzeichnis der in die Unternehmenszuständigkeit fallenden Datenverarbeitungstätigkeiten geführt werden. Dieses soll insbesondere die folgenden Informationen enthalten:

  • Den Namen und die Kontaktdaten des Unternehmens und dessen Datenschutzbeauftragten;
  • Die Zwecke der Verarbeitung;
  • Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittstaaten oder in internationalen Organisationen;
  • Die Übermittlung von personenbezogenen Daten an Drittstaaten und die Dokumentierung geeigneter Garantien;
  • Vorgesehene Fristen für die Löschung verschiedener Datenkategorien;
  • Eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.

1.2 Datenschutz-Folgeabschätzung, Art. 35, 36

Birgt eine Datenverarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen in sich, muss das Unternehmen vor der Datenverarbeitung eine Einschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge durchführen. Ergibt diese ein hohes Risiko, wenn keine Maßnahmen zur Risikominimierung seitens des Unternehmens getroffen werden, ist die Aufsichtsbehörde zu konsultieren.

1.3 Datenschutzbeauftragter, Art. 37-39

Bestehen die Kerntätigkeiten des Unternehmens aus folgenden Verarbeitungsvorgängen, ist grundsätzlich ein Datenschutzbeauftragter zu ernennen: 

  • Verarbeitungsvorgänge, welche eine regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang erforderlich machen; oder
  • Die umfangreiche Verarbeitung besonderer Kategorien von Daten (z.B. Gesundheit, Religion, Rasse, sexuelle Orientierung etc.) und von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten.

Der Datenschutzbeauftragte muss unabhängig, zuverlässig und sachkundig sein.

Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern dieser von jeder Niederlassung aus leicht erreicht werden kann. Nationale Gesetze können die Ernennung eines Datenschutzbeauftragten in weiteren Fällen erforderlich machen (was z.B. in Deutschland wahrscheinlich der Fall sein wird). Daher kann ein den Datenschutz europaweit steuernder Datenschutzbeauftragter hilfreich sein, um die Herausforderung abweichender EU-Vorschriften zu bewältigen.

1.4 Einführung von technischen und organisatorischen Sicherheitsmaßnahmen, Art. 32

Zum Schutz der verarbeiteten personenbezogenen Daten sind geeignete und dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zu ergreifen.

1.5 Meldung von Verletzungen des Schutzes personenbezogener Daten, Art. 33, 34

Im Falle einer Verletzung des Schutzes personenbezogener Daten mit der Folge von Risiken für die Rechte und Freiheiten der betroffenen Person muss die Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnis der Verletzung informiert werden; im Falle von hohen Risiken für die betroffene Person muss auch diese unverzüglich über die Verletzung informiert werden.

1.6 Privacy by design und Privacy by default, Art. 25

Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen,

  • Um Datenschutzgrundsätze, wie etwa zur Datenminimierung, wirksam umzusetzen (z.B. durch Pseudonymisierung);
  • Um durch Voreinstellungen sicherstellen zu können, dass nur solche personenbezogenen Daten verarbeitet werden, die für den jeweilig bestimmten Zweck erforderlich sind.

1.7 Vertreter in der EU, Art. 27

Unternehmen, die dem Anwendungsbereich der DSGVO unterfallen, aber über keine Niederlassung in der EU verfügen, müssen für behördliche Angelegenheiten einen Vertreter in der EU benennen.

2. Materielle Anforderungen an die Datenverarbeitung

2.1

Die materiellen Anforderungen an die Datenverarbeitung ändern sich ebenfalls, jedoch in überschaubarerem Umfang. Jede Verarbeitung personenbezogener Daten (der Begriff wird nach wie vor weit ausgelegt und umfasst auch IP-Adressen sowie Gerätekennungen) setzt wie bisher entweder eine wirksame Einwilligung der betroffenen Person oder eine gesetzliche Grundlage voraus.

2.2

Grenzüberschreitende Datenübermittlungen an Länder außerhalb des Europäischen Wirtschaftsraums setzen nach wie vor zusätzliche Schritte voraus, z.B. eine Zertifizierung des Empfängers nach den „EU-U.S. Privacy Shield“-Prinzipien, den Abschluss von EU-Standardvertragsklauseln, die Implementierung von „Binding Corporate Rules“ oder (in eingeschränkten Fällen) eine Einwilligung.

3. Rechte der betroffenen Personen, Art. 12-23

Die Rechte der betroffenen Personen wurden gestärkt und umfassen insbesondere:

3.1 Informationsrechte, Art. 12-14

Den betroffenen Personen müssen transparente und sehr viel weiter reichende Informationen als bisher zur Verfügung gestellt werden.

3.2 Auskunfts-, Löschungs-, Berichtigungs- und Beschränkungsrechte, Art. 16-19

Betroffene Personen werden weitreichende Auskunftsrechte bezüglich ihrer Daten haben; in einigen Fällen werden sie auch das Recht haben, ihre Daten löschen oder berichtigen zu lassen oder die Beschränkung der Verarbeitungstätigkeiten zu verlangen.

3.3 Widerspruchsrecht, Art. 21-22

In einigen Fällen haben die betroffenen Personen das Recht, der Datenverarbeitung aus Gründen zu widersprechen, die sich aus ihrer besonderen Situation ergeben.

3.4 Datenübertragbarkeit, Art. 20

In begrenzten Fällen haben betroffene Personen das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen, zu erhalten und diese Daten an ein anderes Unternehmen zu übermitteln.