möglichkeiten ist zu informieren. Die in Art. 13 DSGVO um-
fangreich geregelten Informationspflichten sind auf den typi-
schen Einzelfall abzustimmen und entsprechende Daten-
schutzerklärungen zu erstellen. Im Zusammenhang mit der
Verwendung von Smart Metern ist der Betroffene z. B. genau
über deren Funktionen und den Erhebungsumfang bei der
Datenerfassung und -weitergabe zu belehren.
Entsprechen die Informationen nicht den gesetzlichen Anfor-
derungen, so droht insbesondere bei einer Verwendung im
Internet eine Abmahnung durch Mitbewerber.
Während die Belehrung unter Anwesenden oder im Internet
in Textform übermittelt werden kann, gestaltet sich eine sol-
che bei telefonischen Vertragsabschlüssen, wie sie mitunter
im Energievertrieb vorkommen, umständlich. Als praktika-
belste Lösung liegt nahe, am Ende des Telefonats eine Beleh-
rung auf Band ablaufen zu lassen. Der Mitarbeiter bedankt
sich für das Gespräch und macht den Kunden auf die sich an-
schließende Belehrung aufmerksam. So könnte der Beleh-
rungspflicht auch Genüge getan werden, ohne das Gespräch
mit dem Kunden unnötig in die Länge zu ziehen. Eine Ent-
scheidung oder ein Hinweis der Aufsichtsbehörden über die
Zulässigkeit eines solchen Vorgehens existiert indes noch
nicht.
Werden Informationen nicht beim Betroffenen selbst, sondern
über Dritte (z. B. Wirtschaftsauskunfteien) erhoben, so gelten
die teils weitergehenden Informationspflichten aus Art. 14
DSGVO.
2. Auskunftsansprüche und Gestaltungsrechte
Betroffene können nun gem. Art. 15 Abs. 1 DSGVO jederzeit
eine Bestätigung darüber verlangen, ob und welche ihrer
personenbezogenen Daten gespeichert und verarbeitet wer-
den.
Betroffene haben zudem einen Anspruch auf Übermittlung
einer kostenlosen Kopie aller gespeicherten Daten (Art. 15
Abs. 3 DSGVO). Unrichtige Daten sind gem. Art. 16 DSGVO
auf Verlangen unverzüglich zu berichtigen. Das bloße Be-
streiten der Richtigkeit von Daten durch den Betroffenen ver-
pflichtet den Verantwortlichen bereits zur Sperrung nach
Art. 18 DSGVO Abs. 1 lit. a. Die Sperrung muss grundsätzlich
so lange aufrechterhalten werden, bis der Sachverhalt ge-
klärt ist.
Art. 17 Abs. 1 DSGVO knüpft an die Rechtsprechung des
EUGH zum »Recht auf Vergessenwerden« an.
11
Betroffene
können von den Verantwortlichen verlangen, die sie betref-
fenden Daten zu löschen. Relevant sind hier vor allem die
Tatbestände des Widerrufs der Einwilligung und des Wegfalls
des Datenverarbeitungszwecks (beispielsweise die Beendi-
gung eines Versorgungsvertrags). Ausnahmefälle zugunsten
des Verantwortlichen finden sich in Art. 17 Abs. 3 und § 35
BDSG-neu. Insoweit ist insbesondere der Verweigerungs-
grund der Wahrnehmung von Rechtsansprüchen aus Versor-
gersicht relevant – Kunden könnten andernfalls den Daten-
schutz als Vehikel nutzen, um die Durchsetzung ausstehen-
der Forderungen zu vereiteln. Darüber hinaus muss eine
Löschung selbstverständlich auch dann nicht vorgenommen
werden, wenn gesetzliche Vorschriften eine Aufbewahrung
anordnen, z. B. Mindestspeicherfristen für steuer- oder abga-
benrechtlich relevante Daten gem. § 147 Abgabenordnung
(AO).
Jede Löschung oder Berichtigung hat der Verantwortliche an
sämtliche Empfänger, an die er die Daten weitergeleitet hat,
nach Maßgabe von Art. 19 DSGVO in den Grenzen der Zu-
mutbarkeit zu kommunizieren. Auch innerhalb einer Unter-
nehmensgruppe ist daher dafür Sorge zu tragen, dass ein
Wegfall der Datenverarbeitungserlaubnis eine effektive Lö-
schung oder Berichtigung bei den anderen Unternehmen der
Gruppe zur Folge hat, eine Art »umgekehrtes« Konzernprivi-
leg existiert insoweit nicht; dies gilt insbesondere auch im
Konzernverbund entflochtener Versorgungsunternehmen.
Auch haben Betroffene gemäß Art. 20 DSGVO das Recht auf
»Datenportabilität«. Demgemäß hat der Betroffene einen An-
spruch darauf, dass sein gesamter Datensatz auf sein Verlan-
gen hin in einem gängigen Dateiformat an einen Dritten
übermittelt wird (siehe auch EG 68). Ein relevantes Beispiel
ist der Wechsel des Energieversorgungsunternehmens. Der
bisherige Versorger muss auf Verlangen seines Kunden des-
sen Daten an den neuen Versorger übermitteln, so dass die-
ser die Daten barrierefrei in sein System einpflegen kann.
Dies setzt die Wahl eines gängigen Formats voraus, die For-
mate JSON und XML sollten z. B. als »gängig« anzusehen
sein.
Die betreffenden Rechte können Betroffene auch mündlich,
beispielsweise in einem Telefonat mit einer Kundenhotline,
wirksam ausüben. Die Mitteilung des Betroffenen muss in-
nerhalb eines Monats, im Ausnahmefall innerhalb von drei
Monaten, entsprechend umgesetzt werden (Art. 12 Abs. 3
DSGVO).
IV. Der Datenschutzbeauftragte und die Datenschutzfolgen-
abschätzung gemäß DSGVO
1. Grundsätze
Auch die Stellung des Datenschutzbeauftragten wird durch
die DSGVO künftig gestärkt (Art. 37 ff. DSGVO).
Die weit verbreitete Praxis bestand bislang darin, einen Mit-
arbeiter zusätzlich zu seinen eigenen Aufgaben zum Daten-
schutzbeauftragten zu bestellen. Unternehmen kamen so den
gesetzlichen Regelungen ohne größeren finanziellen Aufwand
nach. Diese Gestaltung wird der zunehmenden Relevanz und
Verantwortung des Datenschutzbeauftragten gemäß der
DSGVO nicht länger gerecht. Unternehmen müssen ihren
Datenschutzbeauftragten stärken und mit erweiterter zeit-
licher Kapazität ausstatten. Insbesondere im Zusammenhang
mit der Umsetzung der weitreichenden Regelungen der
DSGVO bietet sich regelmäßig die Einsetzung eines exter-
nen, unabhängigen Datenschutzbeauftragten an.
Die Haftung wegen Datenschutzverstößen kann indes nicht
auf den Datenschutzbeauftragten »ausgelagert« werden. Auch
bei Nachlässigkeiten seitens des Beauftragten haftet weiter-
hin die jeweils verantwortliche Stelle. Allein aus diesem
Grund liegt es im originären Interesse der Unternehmen und
insbesondere der Geschäftsleitung, dass der Datenschutzbe-
auftragte intern auch mal »unbequem« wird und energisch
auf die Einhaltung der neuen DSGVO-Normen drängt.
2. Der Datenschutzbeauftragte im Konzernverbund
Unternehmensgruppen ist es nun durch Art. 37 Abs. 2
DSGVO erlaubt, einen gemeinsamen Datenschutzbeauftrag-
ten zu bestellen. Dieser muss jedoch von jeder Niederlassung
aus gut erreichbar sein. Hiermit ist die örtliche Erreichbarkeit
gemeint, der Datenschutzbeauftragte muss unter Aufwen-
dung zumutbarer zeitlicher und finanzieller Ressourcen per-
sönlich aufgesucht werden können. Eine bloße »elektroni-
sche Erreichbarkeit« ist nicht ausreichend.
12
Keine der neuen Regelungen spricht sich dagegen aus, einen
gemeinsamen Datenschutzbeauftragten für Energieversor-
gungsunternehmen einzusetzen, die dem Legal Unbundling
(ab 100.000 angeschlossene Kunden) unterliegen. Vielmehr
ist die Einsetzung eines »Konzerndatenschutzbeauftragten«
ausdrücklich zulässig. Auch der deutsche Gesetzgeber hat im
DSAnpUG-EU-Gesetz insoweit keine Einschränkungen ein-
geführt. Auf der anderen Seite verbleibt dennoch das Risiko
8
VERSORGUNGSWIRTSCHAFT
HEFT 1 2018
11
EuGH, Urt. v. 13.05.2014 – C-131/12.
12
Niklas/Faas, Der Datenschutzbeauftragte nach der Datenschutzgrundver-
ordnung, NZA 2017, 1091.
