Ohne Datenschutz keine Digitalisierung

Management

Versorger - Warum die EU-Datenschutzgrundverordnung auch für die Energiebranche zum Stolperstein werden könnte.

27. Februar 2018

Mit dem Einsatz intelligenter Messsysteme steigt die Anzahl der Verarbeitungsprozesse personenbezogener Daten und mithin auch die datenschutzrechtliche Relevanz der Energiewende signifikant an. Dies gilt insbesondere für die automatisierte Erhebung, Speicherung und Übermittlung von Messwerten, die einen detaillierten Rückschluss auf das Verbrauchsverhalten der Endkunden zulassen und beispielsweise Tagesabläufe, persönliche Vorlieben und Verhaltensweisen der Verbraucher für Stromanbieter und Dritte offenlegen können. Der Kunde könnte letztlich, da eine Vielzahl der täglichen Handlungen im eigenen Zuhause mit Energieverbrauch verbunden sind, durch Anfertigung eines umfangreichen Personen- und Verhaltens?profils zu einem ›gläsernen Verbraucher‹ verkommen, ohne dass er von der Datenerhebung Kenntnis erlangt, noch weiß, an wen seine Daten übermittelt werden.

Messstellenbetrieb

Um den datenschutzrechtlichen Risiken des Messstellenbetriebs entgegenzutreten, hat der Gesetzgeber in §§49ff. Messstellenbetriebsgesetz (MsbG) eine Vielzahl von Regelungen zur Zulässigkeit der Datenerhebung, Datenverarbeitung und -nutzung festgelegt, die den Vorschriften des Bundesdatenschutzgesetzes (BDSG) grundsätzlich als speziellere Vorschriften vorgehen. Allerdings fehlt dem MsbG eine umfassende Regelung zur organisatorischen und technischen Umsetzung des Datenschutzes einschließlich der Überwachung und Sanktionierung von Verstößen, wie sie bislang im derzeitigen BDSG und ab 25. Mai 2018 neu in der EU-Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG-neu) geregelt sind. Insoweit stellt sich die Frage, ob die datenschutzrechtlichen Regelungen des Messstellenbetriebsgesetzes für die Unternehmen der Energiebranche abschließend sind oder diese ebenfalls die neuen, strengen europäischen und nationalen Vorgaben berücksichtigen müssen.

Verhältnis zur DSGVO

Die DSGVO ist dem MsbG gegenüber als europäisches Gemeinschaftsrecht grundsätzlich vorrangig anzuwenden. Allerdings ermöglicht die DSGVO ihren Mitgliedstaaten durch eine Vielzahl von Öffnungsklauseln, bereichsspezifischere Bestimmungen einzuführen, die die Anforderungen für die Verarbeitung personenbezogener Daten präzisieren. So auch im Rahmen der Rechtmäßigkeit der Datenverarbeitung, für die die §§49ff. MsbG nach zutreffender Ansicht eine solche sektorspezifische Regelung darstellen, sodass sich Rechtmäßigkeit der Datenverarbeitung im Rahmen des Messstellenbetriebes grundsätzlich abschließend nach dem nationalen MsbG bemisst.

Die übrigen Vorschriften der DSGVO bleiben hingegen weiterhin verbindlich, soweit der nationale Gesetzgeber nicht wiederum von einer Öffnungsklausel Gebrauch gemacht hat (insb. durch das BDSG-neu). Insoweit bleibt auch für die Unternehmen Energiewirtschaft, insbesondere für die Messstellenbetreiber, der wesentliche Inhalt der DSGVO und des BDSG-neu verpflichtend.

Anforderungen

Die Datenschutzgrundverordnung verlangt von den Verantwortlichen der Datenverarbeitungen, »durch geeignete technische und organisatorische Maßnahmen (TOMs) sicherzustellen und nachzuweisen, dass die Verarbeitung gemäß den Vorschriften der Verordnung erfolgt« (Art. 24 DSGVO). Hinter diesem recht unscheinbar klingenden Passus verbirgt sich jedoch ein erheblicher Arbeitsaufwand für die Unternehmen. Neue Prozesse, Mechanismen und Zuständigkeiten müssen geschaffen werden, um die vielen neuen organisatorischen und technischen Anforderungen im eigenen Unternehmen rechtskonform umsetzen zu können.

Im Zentrum jeglicher Datenschutzorganisation steht hierbei die Ernennung eines (internen oder externen) Datenschutzbeauftragten, dem zwar die Überwachung der Einhaltung der Datenschutzvorschriften obliegt, ohne jedoch hierfür selbst verantwortlich zu sein. Darüber hinaus müssen die im Unternehmen stattfindenden Verarbeitungsprozesse transparent dokumentiert und auf mögliche Risiken für die Betroffenen systematisch untersucht werden (Risikofolgenabschätzung). Ebenso werden die Unternehmen zur Gewährleistung eines angemessenen technischen Schutzniveaus verpflichtet. Hierzu zählt beispielsweise die Gewährleistung einer effizienten Löschung der Daten.

Bis zum 25. Mai 2018 sind die neuen Vorgaben in den Geschäftsprozessen wirksam zu integrieren. Verstöße werden künftig mit Bußgeldern bis zu 10 oder 20 Mio. Euro oder in Höhe von 2 % beziehungsweise 4 % des gesamten, weltweit erzielten Jahresumsatzes verfolgt, je nachdem, welcher Betrag höher ist. Adressat ist nicht mehr alleine das Unternehmen; vielmehr wird eine eigene Verantwortlichkeit der Geschäftsführer zur Umsetzung der datenschutzrechtlichen Unternehmensprozesse begründet.

Fazit

Es bleibt festzuhalten, dass die erfolgreiche Umsetzung der Digitalisierung der Energiewende von der Einhaltung des Datenschutzes und der Datensicherheit abhängen wird. Hierbei kommt auf die Unternehmen der Energiewirtschaft, insbesondere aber auf die Messstellenbetreiber, ein erheblicher organisatorischer und technischer Aufwand zu. Dennoch fehlt vielen Unternehmen bislang bereits das Bewusstsein, selbst für die Einhaltung verantwortlich zu sein. Wer jedoch auch künftig von der Digitalisierung profitieren will, wird sich mit den Anforderungen der DSGVO und des BDSG detailliert auseinandersetzen müssen. Denn schon jetzt ist sicher: Der Datenschutz wird auch vor der Energiebranche keinen Halt machen.

RA Marco Fischer, Maslaton Rechtsanwaltsgesellschaft

WISSEN KOMPAKT DSGVO

Zum 25. Mai 2018 wird die neue EU-Datenschutzgrundverordnung (DSGVO) im gesamten EU-Beitrittsgebiet verbindlich wirksam, die erstmals einen europaweit einheitlichen Rechtsrahmen für die Verarbeitung personenbezogener Daten vorgibt. Damit wird auch in weiten Teilen das nationale Datenschutzrecht, insbesondere das Bundesdatenschutzschutzgesetz (BDSG), neu geregelt.

(Quelle: Maslaton)

Erschienen in Ausgabe: 01/2018