von Pflichten- und Interessenskollisionen, insbesondere wenn
ein interner, unternehmensangehöriger Datenschutzbeauf-
tragter z. B. für Netzbetreiber und Vertriebsunternehmen
tätig wird. Im Ergebnis bleibt dennoch festzuhalten, dass die
Bestellung eines gemeinsamen Datenschutzbeauftragten auch
für bezüglich der Rechtsform entflochtene Energieversor-
gungsunternehmen möglich ist, so lange kein Hinweis durch
die Aufsichtsbehörden erfolgt oder ein anderslautendes Ur-
teil ergeht. Mit Blick auf die größere Unabhängigkeit bietet
sich jedoch insbesondere in solchen Fällen die Einsetzung
eines externen Datenschutzbeauftragten an.
3. Die Datenschutzfolgenabschätzung
Insbesondere ist der Datenschutzbeauftragte bei der neu ein-
geführten Folgenabschätzung nach Art. 35 DSGVO hinzuzu-
ziehen, die sich in Teilen von dem »alten« Institut der Vorab-
kontrolle nach § 4d Abs. 5 BDSG unterscheidet und für Ener-
gieversorger unter anderem im Rahmen der Datenerhebung
und -verarbeitung von Smart Metern relevant ist. Da diese
jeweils automatisiert erfolgen und für ein Energieverbrauchs-
profil verwendet werden können, ist die Einbindung des
Datenschutzbeauftragten unumgänglich.
Bei der Folgenabschätzung muss stets gefragt werden, ob die
Art der Datenverarbeitung im konkreten Fall ein hohes Risi-
ko für die persönlichen Rechte und Freiheiten des Betroffe-
nen mit sich bringt. Dies ist insbesondere anhand des Um-
fangs und der Sensibilität der gesammelten Daten, den Um-
ständen ihrer Erhebung und dem Zweck der Verarbeitung zu
bewerten. Beispiele hierfür sind die Videoüberwachung öf-
fentlich zugänglicher Bereiche oder das Erstellen individuel-
ler Nutzungsprofile.
In Art. 35 Abs. 7 DSGVO ist festgeschrieben, welche Erwä-
gungen innerhalb der Folgenabschätzung zu treffen sind.
Dazu gehört insbesondere eine Verhältnismäßigkeitsprüfung
zwischen Notwendigkeit der Erhebung und Verarbeitung im
Verhältnis zum beabsichtigten Zweck, verbunden mit der
Frage, ob die getroffenen Sicherheitsvorkehrungen effektiv
genug sind, um Risiken von Betroffenen fernzuhalten. Unter
Umständen sind gemäß Art. 36 Abs. 1 DSGVO die Aufsichts-
behörden miteinzubeziehen, wenn die Abschätzung zu dem
Ergebnis kommt, dass trotz aller Erwägungen ein hohes Ri-
siko verbleibt. Eine Liste mit relevanten Vorgängen wurde
durch die sog. »Art. 29 Datenschutzgruppe« erstellt. Perso-
nalverwaltungssysteme sind aus Unternehmenssicht erfreu-
licherweise nicht erfasst. Bei der Durchführung ist der Einsatz
der Standard-Datenschutzmodelle der Bundesländer (SDM)
ratsam.
13
V. Bußgelder und zivilrechtliche Ansprüche
Bei Diskussionen über die DSGVO stehen regelmäßig die
drakonischen Sanktionsmöglichkeiten für Verstöße im Vorder-
grund.
Aus Unternehmenssicht insbesondere gefährlich ist Art. 83
DSGVO. Dort heißt es bereits prominent in Absatz 1 wie folgt:
»
Jede Aufsichtsbehörde stellt sicher, dass die Verhängung
von Geldbußen gemäß diesem Artikel für Verstöße gegen
diese Verordnung gemäß den Absätzen 5 und 6 in jedem Ein-
zelfall wirksam, verhältnismäßig und abschreckend ist.
«
Aufsichtsbehörden sind demgemäß explizit dazu angehalten,
Exempel zu statuieren. Motivation des europäischen Gesetz-
gebers bei der Erstellung dieser Norm war offensichtlich der
»laxe« Umgang mit Daten in der Vergangenheit, wohl insbe-
sondere durch große US-amerikanische Unternehmen.
Art. 83 DSGVO gibt den Aufsichtsbehörden sodann – inso-
weit folgerichtig – gem. Abs. 6 das Recht, in bestimmten Fäl-
len Bußgelder i.H.v. 20.000.000
€
oder i.H.v. 4% des gesam-
ten weltweiten Jahresumsatzes eines Unternehmens zu ver-
hängen, sofern dieser Betrag den erstgenannten übersteigt.
Die DSGVO orientiert sich dabei an den scharfen Sanktionen
im Kartellrecht, welche regelmäßig zum Bestandteil der
Medienberichterstattung werden. Das »einpreisen« von Risi-
ken ist nicht länger möglich.
Bei der Bemessung der Höhe der Strafe dürften insbesondere
frühere Verstöße, finanzielle Vorteile/vermiedene Verluste,
die betroffene Kategorie der Daten sowie die Frage relevant
sein, ob eine (freiwillige) Meldung an die Aufsichtsbehörde
erfolgt ist.
Neben dem Haftungsregime der DSGVO kann gem. § 43
BDSG-neu für Verstöße gegen Auskunfts- und Unterrich-
tungspflichten ein zusätzliches/eigenständiges Bußgeld i.H.v.
bis zu 50.000
€
verhängt werden.
In Art. 82 DSGVO und § 83 I BDSG-neu finden sich spezielle
Schadensersatzansprüche zugunsten Betroffener gegen den
Verantwortlichen, die auch immaterielle Schäden (»Schmer-
zensgeld«) umfassen. Beide Anspruchsgrundlagen vermuten
bereits das Verschulden des Verantwortlichen, so dass eine
Exkulpation durch Nachweis der Beachtung der erforder-
lichen Sorgfalt erfolgen muss. Hält nun die datenverarbeiten-
de- bzw. speichernde Stelle keine Nachweise/Dokumenta-
tion hierfür bereit, ist es nahezu unmöglich, dieser Beweislast
Genüge zu tun;
14
selbstverständlich wird ein solches Doku-
mentationsdefizit regelmäßig darüber hinaus seinerseits ein
Bußgeld nach o. g. Vorschriften auslösen.
Ergänzend sei bemerkt, dass die durch die DSGVO ge-
steigerten Pflichten im Umgang mit Daten mehr Raum für un-
beabsichtigte Pflichtverletzungen geben – also nicht nur »dra-
konischer«, sondern voraussichtlich auch häufiger gehaftet
wird.
VI. Fazit
Vor diesem Gesamthintergrund empfiehlt es sich für jedes
Unternehmen, den bisherigen Umgang mit Daten umfassend
auf den Prüfstand zu stellen und bis zum 25.05.2018 an die
neue Gesetzeslage anzupassen. Zu initiieren sind die ent-
sprechenden Prozesse nicht durch den Datenschutzbeauf-
tragten und/oder die Rechtsabteilung oder eine sonstige Stelle
innerhalb des Unternehmens, sondern durch die Geschäfts-
leitung höchstpersönlich. Datenschutz wird zur »Chefsache«.
15
Dazu gehört nicht nur die Implementierung der o.g. TOMs,
sondern insbesondere auch die Stärkung des Datenschutz-
beauftragten, die Einführung eines einheitlichen Verfahrens
bei Beschwerden oder Nachfragen Betroffener und interner
Dokumentations- und Datenschutzmanagementsysteme, um
im Rechenschaftsfall die Einhaltung der gesetzlichen Vorga-
ben nachweisen zu können sowie die Überarbeitung von Ver-
trägen, Dienstanweisungen und sonstiger (Muster-)Doku-
mente. Dabei müssen sämtliche Fachabteilungen – und zwar
Einkauf, Personal und Marketing ebenso wie die IT – aktiv
und so früh wie möglich miteinbezogen werden, um die erfor-
derlichen Prozesse umzusetzen; entsprechende Aktivitäten
allein der Rechtsabteilung und/oder dem Datenschutzbeauf-
tragten zu überlassen, ist nicht zielführend. Diese werden
»nur« beratend und unterstützend tätig – allerdings von An-
fang an in sämtlichen Prozessen.
16
Auslegungshinweise durch die Datenschutzaufsichtsbehör-
den und Urteile existieren naturgemäß kaum bzw. noch nicht,
so dass unklare Fälle durch den Datenschutzbeauftragten der
Aufsichtsbehörde vorgelegt werden sollten, wobei zu erwar-
HEFT 1 2018
VERSORGUNGSWIRTSCHAFT
9
13
Siehe z. B. für NRW,
-
menu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Standard-Datenschutz-
modell/Standard-Datenschutzmodell.php.
14
Kühling, Neues Bundesdatenschutzgesetz – Anpassungsbedarf bei Unter-
nehmen, NJW 2017, 1985 (1990); Wybitul, ZD 2016, 253 (254).
15
Siehe u. a. Webseite des Bayrischen Landesamts für Datenschutz,
/ dsgvo_fragebogen.pdf.
16
Vgl. Zander, Datenschutz wird zur Chefsache, Unternehmensjurist
05/2017 S. 12 (13).
