EU-Datenschutzgrundverordnung: Handlungsbedarf für Versorgungsunternehmen

Die neue EU-Datenschutzgrundverordnung (DSGVO), die seit Mai 2018 in allen EU-Mitgliedsstaaten Anwendung findet, soll ein europaweit einheitliches Datenschutzniveau schaffen. Mit Themen wie der „Datenschutzfolgenabschätzung“, „Datenübertragbarkeit“ oder dem „Recht auf Vergessen“ stellt die DSGVO Herausforderungen für Versorgungsunternehmen dar, aus der unmittelbarer Handlungsbedarf resultiert. Im Rahmen der Digitalisierung reiht sich diese Verordnung in die Liste der datenschutzrechtlichen Anforderungen ein, die sich bereits aus dem Messstellenbetriebsgesetz (MsbG) u. a. für den Rollout intelligenter Messsysteme oder für den Messstellenbetrieb ergeben.

Die Schleupen AG stellt Unternehmen sowohl für die Umsetzung der DSGVO als auch der Informations-Sicherheitsvorgaben (ISMS) Softwareanwendungen zur Verfügung und bietet begleitende Beratungsangebote im Rahmen der Implementierung und Zertifizierung. Die europaweite Datenschutzgrundverordnung ist bereits am 25. Mai 2016 in Kraft getreten und findet nach einer zweijährigen Übergangsphase seit dem 25. Mai 2018 verbindlich in allen Mitgliedsstaaten der Europäischen Union Anwendung. Gerade mit Fortschreiten der Digitalisierung soll mit dieser Verordnung eine angemessene Balance zwischen den Interessen von Verbrauchern, mit ihrem Recht auf informationelle Selbstbestimmung ihrer Daten, und datenverarbeitenden Unternehmen erzielt werden.

Kern der Verordnung ist die Stärkung der Rechte der Kunden in Bezug auf die über sie erhobenen personenbezogenen Daten. So müssen beispielsweise neue Vorschriften für das Löschen oder Anonymisieren von personenbezogenen Daten oder auch von Messwerten in die Arbeitsprozesse implementiert werden. Alle Unternehmensprozesse, in denen personenbezogene Daten verwendet werden, müssen zudem in einem Verarbeitungsverzeichnis dokumentiert werden. Das schafft auch die Grundlage, um der Rechenschaftsverpflichtung zum Nachweis zur Einhaltung des Datenschutzes nachzukommen. Darüber hinaus müssen personenbezogene Daten anonymisiert bzw. gelöscht werden, sobald der Verwendungszweck, wie z. B. beim Vertragsende, entfällt. In der IT sind folglich alle Prozesse betroffen, in denen mit personenbezogenen Daten im Vertrieb oder Netzbetrieb umgegangen wird, wie z. B. die Vertragsverwaltung, Abrechnung oder Marktkommunikation.

Die DSGVO muss von Versorgungsunternehmen rechtzeitig in die betrieblichen Abläufe integriert werden. Es ist zu erwarten, dass die Einhaltung gesetzlich vorgegebener Löschungs- bzw. Sperrfristen stärker in den Fokus der Aufsichtsbehörden rücken wird; Pönalstrafen in Höhe von bis zu 20 Millionen Euro bzw. 4 % des weltweit erwirtschafteten Jahresumsatzes eines Unternehmen sind bei Nichtbeachtung angekündigt. Es drohen bereits Bußgelder, wenn Unternehmen versäumen, die Prozesse gemäß DSGVO einzurichten.

Die neue DSGVO stellt auch an die Softwareanbieter hohe Anforderungen. So wurde Schleupen.CS durch umfassende Erweiterungen entsprechend der rechtlichen Anforderungen noch datenschutzfreundlicher gestaltet und den Anwendern zur Verfügung gestellt.