nunmehr
ausdrücklich
grundsätzlich möglich (»(kleines) Kon-
zernprivileg«). Bereits der Austausch von Kunden- und Be-
schäftigtendaten zu internen Verwaltungszwecken kann ein
solches »berechtigtes Interesse« darstellen, z. B. der Aufbau
eines Kundenmanagementsystems und der Austausch von
Kundendaten zu Werbezwecken.
7
Dennoch ist auch in sol-
chen Fällen jedes Verfahren unter Abwägung der schützens-
werten Interessen der Betroffenen auf seine Rechtmäßigkeit
hin zu prüfen und zu bewerten und ggf. trotzdem eine Ein-
willigung des Betroffenen einzuholen.
Zu diesem Zwecke können und sollten Unternehmensgrup-
pen gem. Art. 47 DSGVO gemeinsame verbindliche interne
Datenschutzvorschriften vorhalten und von der Aufsichtsbe-
hörde genehmigen lassen. Darüber hinaus sind Verträge zum
Datenaustausch auch zwischen Konzernunternehmen sinn-
voll und angemessen.
8
Unternehmensgruppen finden sich insbesondere im Energie-
versorgungssektor regelmäßig. Die Unternehmen sind häufig
rechtlich verpflichtend entflochten und bestehen aus mehre-
ren juristisch getrennten Einheiten. Solche juristisch getrenn-
ten Einheiten sind beispielsweise Netzbetreiber-GmbHs und
deren Hauptgesellschafter, das kommunale Stadtwerk. Das
HGB spricht in § 290 diesbezüglich von Mutter- und Tochter-
unternehmen, welche zwar für sich genommen getrennte
Gesellschaften sind, aber aufgrund der beherrschenden Stel-
lung des Mutterunternehmens bilanz- und haftungsrechtlich
als Konzern verbunden sind. Insbesondere hier bleibt es trotz
der Neuregelungen der DSGVO dabei, dass das informatori-
sche Unbundling selbstverständlich weiterhin zu erfüllen ist.
Vertikal integrierte Versorgungsunternehmen sind zur diskri-
minierungsfreien Ausgestaltung und Abwicklung des Netz-
betriebs verpflichtet. Dies bedeutet, dass der interne Zugang
zu Informationen reglementiert werden muss, wodurch sich
eine große Schnittmenge zum Datenschutz ergibt. Es müssen
also nach wie vor Maßnahmen (»Chinese Walls«) ergriffen
werden, die den Informationsfluss sowie die Vermischung der
Datenbestände zwischen den Bereichen Netz und Vertrieb
verhindern. Hieran ändern auch die neuen Vorschriften der
DSGVO zum (kleinen) Konzernprivileg nichts.
Es existieren jedoch auch Fälle, in denen Tochterunterneh-
men Daten an das Mutterunternehmen und umgekehrt über-
mitteln müssen, um vertragliche Verpflichtungen erfüllen zu
können. Ein Beispiel hierfür wäre eine Meldung des Energie-
versorgers an den Netzbetreiber über einen Neukunden.
Dies ist auch ohne die Einwilligung des Kunden gem. Art. 6
Abs. 1 lit. b DSGVO möglich, jedoch muss dieser gemäß
Art. 13 DSGVO bereits bei Vertragsabschluss entsprechend
darüber belehrt worden sein, dass eine solche Weitergabe
erfolgen wird (vgl. EG 40 und 44). Das datenempfangende
Unternehmen hat die Daten ohne Aufforderung jener umge-
hend zu löschen, sobald der Zweck der Übermittlung erreicht
worden ist. Daneben regelt das Messstellenbetriebsgesetz
(MsbG) Datentransfers zwischen Messstellenbetreiber und
Netzbetreiber (§ 49 ff. und 60 ff. MsbG).
Das Konzernprivileg gilt nicht zugunsten von Kommunen, die
regelmäßig Teilhaber von Versorgungsunternehmen sind. An
diese dürfen Daten, selbst bei einem gewissen öffentlichen
Interesse (z.B. Identifizierung des allgemeinen Wohnungs-
leerstands), nicht weitergegeben werden.
9
Betroffene müss-
ten gemäß Art. 6 Abs. 1 lit. a DSGVO in die Weitergabe ein-
willigen.
2. Verfahrensverzeichnis
Hervorzuheben ist ferner, dass die Verantwortlichen und
auch Auftragsbearbeiter nun gem. Art. 30 DSGVO ein Ver-
fahrensverzeichnis mit umfassenden Pflichtangaben zu füh-
ren haben, welches jeweils zu versionieren ist, weil histori-
sche Entwicklungen nachvollziehbar sein müssen. Das Ver-
zeichnis muss auf Anfrage den Aufsichtsbehörden vorgelegt
werden. In diesem werden nicht nur die einzelnen Datenver-
arbeitungskategorien wie Name, Adresse und Bankverbin-
dung aufgezählt, sondern auch deren Zwecke und etwaige
Datenübermittlungen an Dritte oder ins Ausland. Zudem
muss das Verzeichnis automatische Löschungsfristen enthal-
ten, innerhalb derer nicht mehr benötigte Daten automatisch
aus dem Bestand entfernt werden. Ebenso müssen die getrof-
fenen technischen und organisatorischen Maßnahmen (TOMs)
zum Schutz der Daten vor Missbrauch und Angriffen von
außen dargelegt werden. Ziel des Verfahrensverzeichnisses
ist es, den Behörden gegenüber oder im Prozessfall zeitnah
nachzuweisen, wie und in welchem Umfang das einzelne Un-
ternehmen mit den betreffenden Daten umgegangen ist. Das
Verfahrensverzeichnis ist insoweit Freude und Leid zugleich
– wer den Dokumentationspflichten akribisch nachkommt,
kann im Streitfalle belegen, dass er den gesetzlichen Bestim-
mungen nachgekommen ist.
10
3. Datenschutz im MsbG
Neben DSGVO und BDSG-neu enthält das Messstellen-
betriebsgesetz (MsbG) für die Energieversorgung insbeson-
dere im Zusammenhang mit dem Einsatz von Smart Metern
relevante Datenschutzvorschriften – diese werden durch die
Datenschutznovelle nicht verdrängt. §§ 55–59 MsbG ent-
halten spezielle Vorschriften für die Datenerhebung und
§§ 60–75 MsbG regeln die Datenverarbeitung und -nutzung.
In Teilen enthält das MsbG strengere Regelungen als die
DSGVO. So ist in den §§ 66–70 MsbG abschließend geregelt,
zu welchen konkreten Zwecken die gewonnenen Messwerte
von Smart Metern genutzt werden dürfen und die §§ 60–70
beinhalten weitreichende Löschpflichten auch während der
Vertragslaufzeit, die eine genaue Unterscheidung und Doku-
mentation der einzelnen Datensätze erfordern.
4. Mittelungspflichten
Verletzungen des Schutzes personenbezogener Daten sind
gem. § 65 BDSG-neu unverzüglich, aber spätestens innerhalb
von 72 Stunden, dem Bundesdatenschutzbeauftragten zu
melden, es sei denn, die Verletzung ist irrelevanter Natur.
Dasselbe gilt für Auftragsverarbeiter, die eine entsprechende
Meldung an die Verantwortlichen zu leisten haben (§ 65
Abs. 2 BDSG-neu). Daneben sind Betroffene, deren Rechte
auch sonst erheblich gestärkt/erweitert werden (s. u. Ziff. III),
gemäß den Regeln in Art. 34 DSGVO zu benachrichtigen.
III. Betroffenenrechte
1. Informationspflichten
Betroffene müssen zunächst gemäß Art. 13 DSGVO bei Ver-
tragsabschluss eine Belehrung über Umfang und Reichweite
ihrer Datenspeicherung, -nutzung und -verarbeitung erhal-
ten. Die entsprechende Rechtsgrundlage, auf Basis derer die
Erhebung und Nutzung erfolgt, ist anzugeben, ebenso die
Weitergabe an Dritte oder die Übermittlung ins Ausland.
Zudem müssen Aussagen darüber getroffen werden, wie
lange die Daten voraussichtlich gespeichert werden und wel-
che Rechte den Betroffenen zustehen, beispielsweise das
Recht auf Auskunft oder auf Widerspruch und Löschung.
Auch über den Datenschutzbeauftragten und seine Kontakt-
HEFT 1 2018
VERSORGUNGSWIRTSCHAFT
7
7
Siehe auch VKU, FAQ und Antworten zur Datenschutzgrundverordnung,
August 2017; Best Practice Guide Europäische Datenschutzgrundverord-
nung, Auswirkungen auf das Dialogmarketing, abrufbar unter www.
ddv.de/verband/publikationen/best-practice-guides.html .
8
VKU, FAQ und Antworten zur Datenschutzgrundverordnung, August
2017.
9
Der Landesbeauftragte für Datenschutz NRW, 23. Bericht zum Daten-
schutz und Informationsfreiheit, S. 146.
10
Zander, Datenschutz wird zur Chefsache, Unternehmensjurist 05/2017
S. 12 (14).
