- von Rechtsanwalt Markus Heinrich, Hamm-*

Es ist in aller Munde - am 25.05.2018 tritt die Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Die Verordnung ersetzt die bis dahin geltenden Regeln des Bundesdatenschutzgesetzes (BDSG) und die Datenschutzrichtlinie (RL 95/46/EG) aus dem Jahre 1995 - damals hatten lediglich 0,6 % der Weltbevölkerung Zugang zum Internet.1 Mittlerweile digitalisieren insbesondere auch Versorgungsunternehmen bereits nahezu alles, was digital abgebildet werden kann - Strom-, Gas-, Trinkwasser- und Fernwärmeinformationen, Online-Plattformen zur Einholung von Leitungsauskünften sowie Abholzeiten von Abfallbehältern als App, »Smart Home« Angebote und »City Clouds« für den

sicheren Datenverkehr stellen nur einen Ausschnitt der vielfältigen digitalen Angebote dar, welche Versorger mittlerweile zur Verfügung stellen; die intelligente Vernetzung von Daten bei der Suche nach neuen Geschäftsfeldern wird dabei immer wichtiger.2

Diese Entwicklungen greift die DSGVO EU-weit auf, um das Vertrauen in Seriosität und Verlässlichkeit beim Umgang mit Daten auch in der Daseinsvorsorge zu konservieren.

Insoweit heißt es nicht umsonst in Erwägungsgrund (EG) 7 zu der Verordnung, der den Sinn und Zweck der Novelle umreißt:

»Diese Entwicklungen erfordern einen soliden, kohärenten und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union, da es von großer Wichtigkeit ist, eine Vertrauensbasis zu schaffen, die die digitale Wirtschaft dringend benötigt, um im Binnenmarkt weiter wachsen zu können. …«

I. Allgemeines

1. Struktur der Neuregelugen

Die Datenschutz-Grundverordnung (DSGVO), welche erst im Mai 2016 verabschiedet wurde und mit nur 2 Jahren bis zu ihrer Geltung am 25.05.2018 den Betroffenen einen vergleichsweise knappen Umsetzungszeitraum gönnt, ist als Verordnung unmittelbar geltendes Recht und bedarf keines besonderen nationalen Umsetzungsgesetzes. Ergänzend zur

Verordnung existieren 173 Erwägungsgründe (EGs), welche die Ziele der DSGVO definieren und bei der Auslegung der Regelungen heranzuziehen sind.

Die DSGVO enthält eine Mehrzahl an Schnittstellen, die einer Ausformung durch nationales Recht bedürfen. Der deutsche Gesetzgeber ist dem durch das »Datenschutz-Anpassungs-

und -Umsetzungsgesetz EU« (DSAnpUG-EU) nachgekommen. In diesem wird das Bundesdatenschutzgesetz (BDSG) mit Wirkung zum 25.05.2018 als sog. »BDSG-neu« grundlegend neu gefasst und flankiert als solches die primäre Rechtsquelle DSGVO.

Der deutsche Gesetzgeber hat insbesondere im prozeduralen und institutionellen Bereich mit Blick auf die Betroffenenrechte (§§ 32-37 BDSG-neu) sowie bezüglich der Regelungen für betriebliche Datenschutzbeauftragte Ergänzungen vorgenommen - gem. § 38 Abs. 1 BDSG n.F. ist ein solcher weiterhin bereits für Betriebe ab 10 Mitarbeitern, die regelmäßig personenbezogene Daten automatisiert verarbeiten, fest vorgeschrieben. …

II. Aktuelle Grundsätze in der Datenverarbeitung und -weitergabe

Verantwortliche dürfen nach wie vor Daten nur dann speichern, verarbeiten oder weitergeben, wenn ein Erlaubnistatbestand nach Art. 6 DSGVO vorliegt. Unternehmen müssen sich stets darüber gewahr sein, auf welcher Grundlage sie ihre Datenbestände jeweils halten und nutzen. Insbesondere wichtig sind insoweit Art. 6 Abs. 1 lit. a (Einwilligung des Betroffenen) und lit. b (Erforderlichkeit zur Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f, der eine Erlaubnis basierend auf einer regelmäßig im Ausgang kaum prognostizierbaren Interessenabwägung

ähnlich § 28 Abs. 1 Nr. 2 BDSG-alt begründen kann. Entsprechende Nachweise für die Erlaubnis sind in jedem Fall umfassend zu dokumentieren. …