Nicht zu unterschätzen

IT/EVU

Die Vorgaben der EU-Datschutzgrundverordnung betreffen auch Prozesse der Energieversorger. Wer sie nicht zum Stichtag umsetzt, riskiert Strafen bis zu vier Prozent des Umsatzes, so ein IT-Dienstleister.

21. Juli 2017

Ab dem 25. Mai 2018 müssen alle Vorgaben der EU-Datenschutzgrundverordnung (EU-DSGVO) in den Unternehmen umgesetzt sein. Nach einer zweijährigen Übergangszeit wird sie in Deutschland damit geltendes Recht. »Jetzt haben wir Halbzeit und noch ist wenig geschehen«, so Klaus Nitschke, Geschäftsführer des IT-Dienstleisters Cortility. Es gilt, alle Dokumente und Geschäftsprozesse anzupassen. Dies betrifft auch IT-Infrastrukturen und Compliance-Richtlinien.

Die EU-DSGVO verlangt unter anderem, dass personenbezogene Daten so schnell wie möglich pseudonymisiert und gelöscht werden müssen, wenn der Zweck, für den sie erhoben wurden, weggefallen ist. Dies gilt zum Beispiel für personenbezogene Daten bei Rechnungen, wenn der Kunde gewechselt hat. Zugleich müssen die Geschäftsvorgänge jedoch den steuerrechtlichen Vorgaben entsprechen.

»Es wird in Zukunft drei Arten von Daten geben: einmal die von Kunden, zu denen es eine aktive Geschäftsbeziehung gibt und die dementsprechend in allen IT-Systemen aktiv genutzt werden«, erläutert Nitschke. »Zweitens die Daten, die nach Ende der Geschäftsbeziehung für eine definierte Übergangszeit noch im System aktiv zur Verfügung stehen und dann Daten, die gesperrt und anonymisiert sind und nur aufgrund von gesetzlichen Aufbewahrungsfristen nicht gelöscht werden dürfen.«

 

Für IT-Systeme, die im SAP-Standard betrieben werden, sind definierte Vorgehensweisen vorhanden. »Energieversorger, die unseren Empfehlungen folgen, sich dicht am Standard zu orientieren, werden es daher einfacher haben.« Eine Herausforderung seien Drittsysteme, die etwa auf die Stammdaten von SAP IS-U zugreifen und nicht in die Prüfung auf Ende des Verwendungszwecks (EoP-Check) eingebunden sind. Auch müssten die Zeiträume möglichst bereits bei der Erfassung definiert werden.

Aufwendig können zudem die neuen Rechenschaftspflichten werden. Je nach Art der Daten müssen technische und organisatorische Maßnahmen ergriffen werden, um zu gewähren und den Nachweis erbringen zu können, dass personenbezogene Daten in Übereinstimmung mit den neuen EU-Regeln verarbeitet werden.

Die zusätzlichen Informationspflichten werden Formulare und Verträge verändern. Zudem müssen Voraussetzungen geschaffen werden, um die Meldepflicht bei Datenschutzverletzungen sicherzustellen. Die Meldung an die Aufsichtsbehörde muss innerhalb von 72 Stunden erfolgen – je nach Vorfall sind die Personen zu informieren, deren Daten von der Datenschutzverletzung betroffen sind.

Die Verordnung verschärfe zwar nur in wenigen Punkten das bisher gültige deutsche Bundesdatenschutzgesetz, einige Regeln erforderten aber deutliche Veränderungen beim Speichern personenbezogener Daten und bei Workflows in den Unternehmen, so Nitschke. »Und außerdem sind die möglichen Strafen bei Verstößen wesentlich höher.«

Erschienen in Ausgabe: 06/2017