Termine August 2017

08.08.
VKU-Infotag: Effektives Controlling in Stadtwerken
22.08.
VKU-Infotag: Kompaktwissen Energiebeschaffung und -handel
23.08.
VKU-Infotag: Kompaktwissen Energievertrieb
24.08.
VKU-Infotag: Nachhaltigkeitsberichte erfolgreich erstellen
29.08.
VKU-Infotag: Digitale Geschäftsmodelle für Vertrieb und Handel
29.08.
VKU-Infotag: Grundlagen der Netzentgeltkalkulation Strom
30.08.
VKU-Infotag: Sekretariat und Assistenz in der Abfallwirtschaft
30.08.
VKU-Infotag: IT-Lösungen zur Digitalisierung der Energiewirtschaft
30.08.
VKU-Infotag: Kalkulation der Erlösobergrenze Strom 2018
31.08.
VKU-Infotag: Berechnung der Netzentgelte Gas
31.08.
VKU-Infotag: Digitalisierung im Verteilnetz

Neues Datenschutzrecht aus Brüssel und Berlin– was müssen kommunale Unternehmen beachten?

11.08.2017. Der VKU veröffentlicht den „FAQ und Antworten zur Datenschutzgrundverordnung (DS-GVO)“ für eine leichtere Umsetzung der neuen Vorgaben in den Mitgliedsunternehmen.

In dem FAQ erhalten Sie einen weitreichenden Überblick über wesentliche neue Anforderungen an das Datenschutzrecht in kommunalen Unternehmen. Er enthält Antworten auf wichtige Fragen zur Umsetzung des neuen Rechtsrahmens. Die Antworten orientieren sich überwiegend am Wortlaut der DS-GVO und des DSAnpUG-EU. Rechtsprechung oder Erfahrungswerte liegen noch nicht vor.


Das zweiseitige Infoblatt  gibt einen gebündelten Überblick über wichtige Aufgabenfelder zur Erfüllung der datenschutzrechtlichen Anforderungen für die VKU-Mitgliedsunternehmen.

Änderungen des Datenschutzrechts

Aufgrund der europäischen Datenschutzgrundverordnung (DS-GVO) und dem deutschen Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) sind kommunale Unternehmen verpflichtet, bis zum 25. Mai 2018 die neuen datenschutzrechtlichen Regelungen umzusetzen.
Wofür gelten die Neuerungen?


Die DS-GVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht-automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. „Personenbezogene Daten“ sind sehr weit gefasst: alle Informationen, über die natürliche Personen identifiziert oder durch Zuordnung weiterer Informationen identifiziert werden (Identifizierbarkeit) können, zum Beispiel Name, Kennnummer, Standortdaten, Online-Kennung, Telefonnummer. Es kann sich um Daten z.B. der eigenen Beschäftigten, von Kunden oder von Geschäftspartnern handeln.

Die wesentlichen Änderungen für kommunale Unternehmen:

Umfangreichere Informations- und Dokumentationspflichten

Unternehmen werden in die Nachweispflicht genommen, dass sie personenbezogene Daten im Einklang mit der Verordnung verarbeiten. Diese Nachweispflicht erfordert eine umfassende Dokumentation der Datenschutzmaßnahmen.
Betroffene sollen durch die neuen Informationspflichten in die Lage versetzt werden, die Datenerhebung, -verarbeitung bzw. -nutzung zu prüfen. Das heißt sie werden informiert darüber, welche Stelle welche Informationen über sie vorhält.

Führung eines Verzeichnisses von Verarbeitungstätigkeiten

Grundlage zur Umsetzung der Dokumentationspflichten ist das „Verzeichnis von Verarbeitungstätigkeiten“ (Prozessdarstellungen). Ein „öffentliches Verfahrens-verzeichnis“ ist nicht mehr erforderlich.

Höhere Sanktionen

Die Gerichte und Aufsichtsbehörden verfügen über wesentlich weitergehende Sanktionsmöglichkeiten bei Verstößen oder Nichterfüllung von Vorgaben (bis zu € 20 Mio. oder 4 % des Vorjahresumsatzes).

Bestellung und Funktion des Datenschutzbeauftragten

In Unternehmen, deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, und die eine umfangreiche regelmäßige und systematische Überwachung erforderlich machen, oder die besonderen Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) verarbeiten, muss ein Datenschutzbeauftragter bestellt werden. In vielen kleinen und mittleren Unternehmen ist dies nicht zwingend der Fall: derartige Verarbeitungen können zwar vorkommen, werden aber nicht zur Kerntätigkeit gerechnet. Allerdings könnte die Benennung nach weiteren Vorschriften erforderlich sein und ist zu überprüfen.
Aufgaben des Datenschutzbeauftragtem sind u.a. die Zusammenarbeit mit der Aufsichtsbehörde, oder Prüf- und Kontrollpflichten.

Ausweitung der Betroffenenrechte

Die Rechte der betroffenen Personen sind weitergehend, z.B. durch ihr Recht auf Auskunft über die Daten, das Recht auf Löschung oder das Recht auf Datenportabilität. Letzteres besteht, wenn eine automatisierte Datenverarbeitung zur Durchführung eines Vertrags erfolgte oder auf einer Einwilligung basierte, und diese Daten nun weitergegeben werden sollen. Ein denkbarer Anwendungsfall ist der Wechsel des Stromanbieters. Die Unternehmen müssen (IT-)Strukturen vorhalten, die den Betroffenen die Nutzung ihrer Rechte möglich machen.

Was ist zu tun?

Im FAQ werden die typischen Fragen aus Sicht kommunaler Unternehmen aufgegriffen. Tipps und Empfehlungen können Sie dort nachlesen. Jedoch lassen Verordnung und Gesetz in einigen Bereichen Spielräume, die durch ergänzende Guidelines und im Zweifelsfall Gerichtsurteile zu schließen sind.
Wichtige Handreichungen und VKU-Positionen zum Thema Digitalisierung sind unter www.vku.de/digitalisierung abrufbar.

Ansprechpartner: Isabel Orland

VKU FAQ Datenschutzgrundverordnung

VKU Infoblatt Neuerungen im Datenschutzrecht