Mit der Einführung der DSGVO wurden einige dieser Regeln neu gefasst und um weitere ergänzt. Was anfangs noch zu großer Verunsicherung führte, ist nun allen Beteiligten klar: Wie beim alten Bundesdatenschutzgesetz müssen auch mit der DSGVO eine Reihe an Anforderungen umgesetzt werden und viele Details beachtet werden. Der Umgang mit datenschutzrelevanten Themen im Unternehmen ist dabei bestenfalls in einem Datenschutzkonzept festgehalten. Im Datenschutzkonzept werden alle für das Unternehmen relevanten Maßnahmen beschrieben, um die Einhaltung der Regelungen zu gewährleisten – man könnte sagen, dass das Datenschutzkonzept das Herz im Umgang mit dem Datenschutz im Unternehmen darstellt. Ein wichtiger Baustein eines solchen Konzeptes ist die regelmäßige Überprüfung und gegebenenfalls Anpassung aller Richtlinien, um allen aktuellen Gegebenheiten und dem Fortschritt der Technik gerecht zu werden. Als Energieversorgungsunternehmen stehen auch Sie vor diesen Herausforderungen.

Wir geben ihnen nachfolgend einen kurzen Überblick über wesentliche Anforderungen, die sich auch für Energieversorgungsunternehmen, durch die DSGVO ergeben.

Als Energieversorgungsunternehmen kommen Sie unweigerlich in Kontakt mit einer Vielzahl an personenbezogenen Daten. Zu ihren Mitarbeiterdaten kommen eine Menge an Kundendaten. Dabei vertrauen alle auf den ordnungsgemäßen Umgang mit ihren Daten durch Ihr Unternehmen. Doch bereits hier besteht die erste Pflicht: Damit Ihre Kunden wissen, mit wem sie es zu tun haben und was Sie mit den personenbezogenen Daten machen, müssen Sie Ihre (potentiellen) Kunden über die Verarbeitung der personenbezogenen Daten informieren – und das im besten Fall zeitgleich zur Erhebung der Kundendaten. So weiß der Kunde direkt, an wen er sich bei Fragen zum Umgang mit seinen Daten wenden kann und welche Rechte ihm zustehen. Will der Kunde wissen, ob bzw. welche personenbezogenen Daten durch Sie verarbeitet werden, so steht ihm einerseits ein Recht auf Auskunft zu und Sie haben andererseits die Pflicht, dem Kunden diese Auskunft zu erteilen. Schließlich müssen Sie dem potenziellen Kunden auch eine Kopie der verarbeiteten Daten, sofern zutreffend, zur Verfügung stellen. Der Kunde bzw. genauer gesagt die betroffene Person, kann dadurch zum Beispiel prüfen, ob die Verarbeitung seiner personenbezogenen Daten richtig ist oder ob sich beispielsweise einzelne Bestandteile geändert haben. An dieser Stelle greifen weitere Rechte der betroffenen Personen:

• Recht auf Berichtigung: werden falsche Daten verarbeitet bzw. haben sich Daten bei der betroffenen Person geändert, müssen Sie diese Daten auf Verlangen unverzüglich ändern.
• Recht auf Löschung: fällt der Zweck für die eigentliche Verarbeitung weg (z.B. durch Widerruf einer Einwilligung der betroffenen Person), müssen Sie die betreffenden Daten der Person unverzüglich löschen. Natürlich können Sie die Daten der Person nicht löschen, wenn eine andere (gesetzliche) Regelung die Verarbeitung notwendig macht.
• Recht auf Einschränkung der Verarbeitung: Unter gewissen Voraussetzungen müssen Sie die Daten der betroffenen Person für die weitere Verarbeitung einschränken. Vereinfacht ausgedrückt heißt das, dass solche Daten zwar gespeichert werden dürfen, aber mit den Daten nicht mehr „gearbeitet“ werden darf.

Gegebenenfalls müssen Sie dritten Empfängern diese Änderungen (Berichtigung, Löschung, Einschränkung) mitteilen.

Neben den wichtigen Rechten der betroffenen Personen, die Sie bei Bedarf erfüllen müssen, gibt es natürlich auch noch zahlreiche weitere Regelungen. Zwei der wohl wichtigsten Regelungen der DSGVO sind die Rechenschaftspflicht sowie - zusammengefasst - die Datenminimierung.

Bei der Rechenschaftspflicht geht es darum, dass Sie als Unternehmen in der Pflicht sind, die ordnungsgemäße Verarbeitung personenbezogener Daten sowie die Einhaltung der gesetzlichen Regelungen nachweisen zu können. Eine weitere dieser Regeln ist der Grundsatz der Datenminimierung. Als Unternehmen sind Sie aufgefordert, personenbezogene Daten nur solange zu verarbeiten wie es notwendig ist und zeitgleich auf ein Minimum zu beschränken. Sie sollen also nur so lange Daten verarbeiten, wie es ein bestimmter Zweck erfordert und dabei nur so viele Daten verarbeiten, die für die Erfüllung des Zweckes unbedingt notwendig sind. Im Umkehrschluss lässt sich daraus ableiten, dass Sie nach Zweckerfüllung die betroffenen personenbezogenen Daten wieder löschen müssen. Wann welche Daten zu löschen sind, lässt sich pauschal jedoch nicht sagen. Zahlreiche gesetzliche Regelungen (z.B. im Bürgerlichen Gesetzbuch oder der Abgabenordnung) fordern die Speicherung bestimmter Daten für einen gewissen Zeitraum – andere Daten müssen unverzüglich nach Zweckerfüllung gelöscht werden. In bestimmten Fällen kann es sein, dass personenbezogene Daten nicht mehr verarbeitet werden dürfen, die Speicherung aber erforderlich ist. In diesem Fall müssten die personenbezogenen Daten zu bestimmten Fristen für die weitere Verarbeitung gesperrt werden. Um den Überblick zu bewahren, welche Daten wann und wie zu behandeln sind empfiehlt sich die Erstellung eines Löschkonzepts mit Ihrem Datenschutzbeauftragten. Dieses Löschkonzept muss natürlich auch umgesetzt werden.

In unserem Beitrag können wir nicht auf alle für Sie einschlägigen Regelungen eingehen, da die Maßnahmen im Einzelfall immer vom Verantwortlichen für die Verarbeitung getroffen werden müssen. Insofern stellt dieser Beitrag auch keine rechtliche Beratung dar, sondern dient lediglich der Information.