Z. B. sind »Daten« gem. Art 4 Nr. 1 DSGVO alle Informa-
tionen, die sich auf eine identifizierte oder identifizierbare
natürliche Person (»Betroffener«) beziehen. »Verantwortliche«
im Sinne des Art. 4 Nr. 7 DSGVO sind diejenigen, die über
Zweck und Mittel der gesammelten personenbezogenen
Daten entscheiden. Bedient man sich bei der Datenverarbei-
tung anderer Unternehmen, so sind diese Unternehmen wei-
terhin »Auftragsverarbeiter« i.S.d. Art. 4 Nr. 8 DSGVO, wobei
die neuen Regelungen für die Auftragsdatenverarbeitung
denen des »alten« BDSG weitgehend gleichen.
3
Gleich bleibt auch das sog. »Verbotsprinzip« im Datenschutz
(früher § 4 BDSG, § 12 Telemediengesetz). Die Verarbeitung
sämtlicher personenbezogener Daten ist hiernach nur dann
erlaubt, wenn der Betroffene oder ein Erlaubnistatbestand
einer gesetzlichen Reglung dies gestatten.
Relevant ist für »Verantwortliche« insbesondere die Rechen-
schaftspflicht aus Art. 5 Abs. 2 DSGVO. Diese bürdet ihnen
eine erhebliche Darlegungs- und im Prozessfall Beweislast
auf. Die verantwortliche Stelle muss nachweisen, dass sie be-
züglich der durch sie verarbeiteten und/oder gespeicherten
Daten die Grundsätze der Verarbeitung personenbezogener
Daten gem. Art. 5 Abs. 1 DSGVO eingehalten hat.
3. Technische und organisatorische Maßnahmen (»TOMs«)
Weitere Grundlage des kommenden Datenschutzregimes sind
die Regelungen zu technischen und organisatorischen Maß-
nahmen – ohne TOMs ist der effektive Schutz von Daten
undenkbar.
Gem. Art. 32 DSGVO sind wie bisher Maßnahmen zu er-
greifen, um die Systemsicherheit zu gewährleisten und ggf.
Daten durch vorherige Sicherung schnell wiederherzustellen.
Neu ist, dass Verantwortliche nun regelmäßig ein Verfahren
zur Überprüfung, Bewertung und insbesondere Evaluierung
zur Wirksamkeit der genutzten TOMs durchführen müssen.
So soll erreicht werden, dass datenverarbeitende Stellen kon-
tinuierlich ein hohes Datensicherheitsniveau vorhalten.
Interessant ist in diesem Zusammenhang, dass nach dem
Wortlaut des Gesetzes nicht mehr das »höchste«, sondern
lediglich ein »angemessenes« Schutzniveau zu erreichen ist.
4
Was »angemessen« ist, hängt nach Art. 32 DSGVO vor allem
von den Risiken ab, die mit der Datenverarbeitung verbun-
den sind und bedarf einer Einzelfallbetrachtung.
Zur Erreichung datenschutzfreundlichen »Voreinstellungen«
im Unternehmen sind die Anforderungen aus Art. 25 Abs. 1
DSGVO (»Privacy by Design«) und Art. 25 Abs. 2 DSGVO
(»Privacy by Default«) zu erfüllen.
Ergänzt werden die genannten Regeln durch Maßnahmen,
die in § 64 BDSG-neu niedergelegt sind. Darin finden sich
unter anderem verschiedene Kontrollmaßnahmen, wie eine
Zugangs-, Datenträger- und eine Speicherkontrolle, um Infor-
mationssysteme vor unbefugtem Einfluss zu schützen.
Hervorzuheben ist, dass Daten gemäß Art. 25 und 32 DSGVO
mit Blick auf den Verwendungszweck jeweils so früh wie
möglich anonymisiert oder pseudonymisiert werden müssen,
so dass man auf den Gedanken kommen könnte, dass eine
vertrauliche Behandlung ab diesem Zeitpunkt nicht mehr von
Nöten ist. Dem ist jedoch nicht so.
In juristischen Fachkreisen ist derzeit noch umstritten, ob und
falls ja, in welchem Umfang eine frühzeitige Anonymisierung
Vorteile für die verantwortliche Stelle bringt. Die Meinungen
reichen von einem Extrem ins andere: während einige sich
auf den Standpunkt stellen, bei anonymisierten Daten hande-
le es sich schon dem Begriff nach nicht weiter um personen-
bezogenen Daten, vertreten andere die Position, dass allein
schon die technisch-abstrakte Möglichkeit der Rückverfol-
gung dazu führen muss, dass auch anonymisierte Daten in
den Schutzbereich des Datenschutzes miteinzubeziehen sind.
Von den Gerichten ist dies noch nicht endgültig entschieden.
Die Tendenz geht aber derzeit dahin, dass bereits die konkre-
te technische Möglichkeit der personenbezogenen Zuord-
nungsbarkeit für die Anwendung der datenschutzrechtlichen
Bestimmungen ausreicht.
5
Eine frühzeitige Anonymisierung oder Pseudonymisierung ist
also gesetzlich vorgeschrieben, bringt für die verantwortliche
Stelle jedoch keine besonderen Vorteile oder Erleichterungen
in der Datenhandhabung.
Gerade Versorgungsunternehmen trifft diese Verantwortung
wegen der hohen Datenbestände schwer. Sie verfügen in der
Regel nicht nur über die reinen Kundendaten wie Name und
Adresse, sondern auch über zusätzliche Daten zur Werbung
und über genaue Abnahmedaten. Insbesondere bei dem Ein-
satz von so genannten Smart Metern, den intelligenten Zäh-
lersystemen in der Energieversorgung, lassen die gesammel-
ten Daten in Kombination mit den erfassten Uhrzeiten Rück-
schlüsse auf die persönlichen Gewohnheiten der Kunden zu.
Hierbei ist unbeachtlich, ob die Daten tatsächlich für solche
Rückschlüsse genutzt werden oder ob sie überhaupt per
Gateway an den Energieversorger übermittelt werden. Allein
das Sammeln und Vorhalten der Daten im Gerät selbst eröff-
net den Anwendungsbereich der DSGVO.
6
Die Einführung oder Stärkung einer unternehmensinternen
Stelle, die auf die konsequente Einhaltung der neuen DSGVO-
Regeln achtet und sich insbesondere um die Dokumentation
dieser Regeltreue für den Prozessfall kümmert, ist in diesem
Zusammenhang dringend zu empfehlen.
II. Aktuelle Grundsätze in der Datenverarbeitung und
-weitergabe
Verantwortliche dürfen nach wie vor Daten nur dann spei-
chern, verarbeiten oder weitergeben, wenn ein Erlaubnistat-
bestand nach Art. 6 DSGVO vorliegt. Unternehmen müssen
sich stets darüber gewahr sein, auf welcher Grundlage sie
ihre Datenbestände jeweils halten und nutzen. Insbesondere
wichtig sind insoweit Art. 6 Abs. 1 lit. a (Einwilligung des Be-
troffenen) und lit. b (Erforderlichkeit zur Vertragserfüllung)
sowie Art. 6 Abs. 1 lit. f, der eine Erlaubnis basierend auf
einer regelmäßig im Ausgang kaum prognostizierbaren Inte-
ressenabwägung ähnlich § 28 Abs. 1 Nr. 2 BDSG-alt begrün-
den kann. Entsprechende Nachweise für die Erlaubnis sind
in jedem Fall umfassend zu dokumentieren.
Eine Einwilligung kann bereits bei Vertragsschluss problem-
los eingeholt werden, wobei zu beachten ist, dass der Ver-
tragsschluss gemäß Art. 7 DSGVO, in welchem i. V. m. EG 42
und 43 auch die sonstigen Anforderungen an die Wirksam-
keit einer Einwilligung zu finden sind, nicht von der Ertei-
lung abhängig gemacht werden darf. Ansonsten gilt sie nach
den Erwägungsgründen 42 und 43 der DSGVO nicht als frei-
willig erteilt und ist mithin unwirksam. Zudem ist sie jeder-
zeit widerrufbar.
1. Konzernprivileg für entflochtene Versorgungsunternehmen?
Positiv ist aus Unternehmenssicht der Regelungsgehalt aus
EG 48 und Art. 88 Abs. 2 DSGVO zu sehen. Aufgrund be-
rechtigter Interessen ist der Austausch von Daten innerhalb
einer Unternehmensgruppe, bestehend aus herrschenden
Unternehmen und von diesen abhängigen Unternehmen,
6
VERSORGUNGSWIRTSCHAFT
HEFT 1 2018
3
Näheres siehe u. a. von Schenck/Mueller-Stöfen: Die Datenschutz-Grund-
verordnung: Auswirkungen in der Praxis, GWR 2017, 171 (176 f.).
4
von Schenck/Mueller-Stöfen, Die Datenschutz-Grundverordnung: Auswir-
kungen in der Praxis, GWR 2017, 171 (175).
5
Vertiefende Gegenüberstellung der verschiedenen Meinungen mit weite-
ren Nachweisen bei Keppeler, Personenbezug und Transparenz im Smart
Meter-Datenschutz zwischen europäischem und nationalem Recht, EnWZ
2016, 99 (100 ff.).
6
Vgl. Keppeler, Personenbezug und Transparenz im Smart Meter-Daten-
schutz zwischen europäischem und nationalem Recht, EnWZ 2016, 99
(101).
