Datenschutz-Grundverordnung im Mittelstand

Was Energieversorger für die DSGVO noch tun müssen

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Energieversorger sind führend bei Big-Data-Analysen ihrer Kunden, haben aber in Sachen Datenschutz und Sicherheit dringenden Handlungsbedarf.
Energieversorger sind führend bei Big-Data-Analysen ihrer Kunden, haben aber in Sachen Datenschutz und Sicherheit dringenden Handlungsbedarf. (© sehenswerk - stock.adobe.com)

Die Datenschutzdebatte rund um Smart Metering ist nur ein Beispiel dafür, dass bei Energieversorgern der Datenschutz eine große Rolle spielen muss. Die Datenschutz-Grundverordnung (DSGVO / GDPR) hält weitere Beispiele bereit, darunter die Sicherheit der Datenverarbeitung. Für Versorger besteht deshalb dringender Handlungsbedarf, auch über den 25. Mai 2018 hinaus.

Energieversorger digitalisieren ihre Branche, bevor es andere tun, so die Studie „Strategieentwicklung von Energieversorgern“ von Horváth & Partners. Laut dieser Studie sieht die deutsche Energiewirtschaft als größte Herausforderung den Markteintritt branchenfremder Player, darunter ITK-Unternehmen, Dienstleistungsfirmen und Start-ups. Mit der Digitalisierung gehen jedoch weitere Herausforderungen einher, dazu gehört eindeutig der Datenschutz.

Seit Jahren befasst sich der Datenschutz mit dem Smart Metering. Die Aufsichtsbehörden für den Datenschutz forderten schon 2012 eine umfassende Berücksichtigung des Datenschutzes bei der Entwicklung und bei dem Einsatz intelligenter Energienetze und Energiezähler. Doch die Anforderungen des Datenschutzes reichen weiter. Die Datenschutz-Grundverordnung (DSGVO / GDPR) enthält zahlreiche Forderungen, die sich auch und gerade Versorgungsunternehmen ansehen müssen. Die Pflicht zur Umsetzung steht kurz bevor.

Probleme bei der Datensicherheit beheben

Grundsätzlich müssen Versorgungsunternehmen wie alle anderen Unternehmen an den Schutz personenbezogener Daten ihrer Beschäftigten (darunter auch Bewerber), Kunden und Partner denken, ebenso an die verschärften Betroffenenrechte wie das Recht auf Vergessenwerden und die Meldepflichten bei Datenschutzverletzung sowie an die Dokumentations- und Rechenschaftspflichten nach DSGVO. Der Einsatz von Dienstleistern und die damit verbundene Auftragsverarbeitung (Artikel 28 DSGVO) spielt bei Versorgern ebenso eine große Rolle.

Auch das Recht auf Datenübertragbarkeit muss Beachtung finden: Wie die Stiftung Datenschutz erklärte, hatte der Verordnungsgeber beim Recht auf Datenübertragbarkeit vor allem soziale Netzwerke wie Facebook vor Augen. Der Anwendungsbereich des Rechts ist jedoch keinesfalls auf solche Geschäftsmodelle begrenzt, betont die Stiftung. Grundsätzlich betrifft das Recht auf Datenübertragbarkeit alle Branchen.

Jede Branche muss dabei eine für sie passende Lösung für die Datenübertragbarkeit finden, denn: „Die Gesamtmenge der Kundendaten wächst und wird zugleich immer mehr ausdifferenziert. So schaut ein Paketdienstleister anders auf den Kunden als ein Call Center, dieses wiederum anders als ein Internetprovider, ein Energieversorger oder ein Autovermieter – ganz zu schweigen von einem sozialen Netzwerk“, erläuterte die Stiftung Datenschutz.

Doch es gibt weitere Punkte, die sich die Versorgungsunternehmen ansehen müssen, da sie dort im Branchenvergleich entweder besondere Probleme haben oder besonders fortgeschritten sind. Zu den Bereichen, in denen besondere Probleme aufgetreten sind, gehört die Sicherheit der Verarbeitung (Artikel 32 DSGVO). Der IT-Sicherheit müssen Versorgungsunternehmen nicht nur im Sinne von KRITIS mehr Aufmerksamkeit schenken.

Laut der „Potenzialanalyse Digital Security“ von Sopra Steria Consulting zum Beispiel haben Energieversorger Nachholbedarf beim Schutz mobiler Endgeräte. 77 Prozent der Energieversorger besitzen demnach zwar eine Mobile Security Policy, und 92 Prozent überprüfen die Einhaltung der Regelwerke regelmäßig. Doch nur 54 Prozent nutzen ein systematisches Mobile Device Management (MDM), das für die nötige Transparenz sorgt und damit Kontrollen signifikant erleichtert. Gleichzeitig wird die mobile IT-Nutzung bei den Versorgungsunternehmen immer wichtiger, sowohl beim Kunden vor Ort als auch bei den Versorgungseinrichtungen.

DSGVO bei Big Data Projekten, neuen Diensten und Angeboten beachten

Wenn es um die Nutzung von Big Data Analytics geht, sind Versorgungsunternehmen im Branchenvergleich relativ weit fortgeschritten, so eine Einschätzung von Capgemini. Big-Data-Analysen werden auch bei neuen Diensten und Angeboten der Versorger eine Rolle spielen, wenn man an Smart Home, Smart Building, Smart City und E-Mobility denkt.

Werden personenbezogene Daten analysiert, um daraus automatisierte Entscheidungen abzuleiten, muss unter anderem Artikel 22 DSGVO (Automatisierte Entscheidungen im Einzelfall einschließlich Profiling) bedacht werden. Profiling ist dabei jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Hier wird auch deutlich, warum die Daten aus dem Smart Metering für Datenschützer oftmals so kritisch gesehen werden, denn es geht eben nicht nur um Verbrauchswerte, sondern um Datenschutz.

Wichtig ist an dieser Stelle auch der Hinweis, was alles unter einem Personenbezug bei den Daten zu verstehen ist, nur dann ist klar, dass weitaus mehr Datenanalysen bei Versorgern unter Datenschutzaspekten zu sehen sind, als man vielleicht denkt.

Personenbezogene Daten sind nach DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

DSGVO verändert die Gesundheitsbranche

Datenschutz-Grundverordnung im Mittelstand

DSGVO verändert die Gesundheitsbranche

13.04.18 - Die Datenschutz-Grundverordnung (DSGVO / GDPR) zählt Gesundheitsdaten und genetische Daten zu den besonderen Kategorien personenbezogener Daten, für die spezielle Vorschriften bestehen. Wer im weiten Feld des Gesundheitswesens tätig ist, muss sich insbesondere die Themen Einwilligung, Datensicherheit, automatisierte Entscheidungen und Datenschutz-Folgenabschätzung ganz genau ansehen. lesen

Was Online-Shops für die DSGVO noch tun müssen

Datenschutz-Grundverordnung im Mittelstand

Was Online-Shops für die DSGVO noch tun müssen

13.03.18 - Online-Händler beobachten besorgt die Entwicklung rund um die E-Privacy-Verordnung. Doch auch die Datenschutz-Grundverordnung (DSGVO / GDPR) hält Aufgaben bereit, die Online-Shop-Betreiber angehen müssen. Viele Datenschutz-Maßnahmen stehen auch dann an, wenn die Webshop-Lösung nicht als Cloud-Dienst bezogen wird, sondern auf eigenen Servern des Online-Händlers läuft. lesen

Was Industrieunternehmen für die DSGVO noch tun müssen

Datenschutz-Grundverordnung im Mittelstand

Was Industrieunternehmen für die DSGVO noch tun müssen

05.02.18 - Kein Unternehmen sollte glauben, von der Datenschutz-Grundverordnung höchstens am Rande betroffen zu sein. Auch die Industriebranchen verarbeiten personenbezogene Daten in großem Umfang. Dabei geht es nicht nur um die Daten der Kunden, Lieferanten und Mitarbeiter, es geht auch um die Maschinendaten, die durchaus einen Personenbezug haben können, wie ein Blick in die DSGVO zeigt. lesen

Was KMU jetzt für die DSGVO unbedingt noch tun müssen

Datenschutz-Grundverordnung im Mittelstand

Was KMU jetzt für die DSGVO unbedingt noch tun müssen

19.01.18 - Viele Unternehmen haben Schwierigkeiten mit der Umsetzung der DSGVO, das gilt für kleine und mittlere Unternehmen (KMU) ganz besonders. Weil aber bei KMU meist besondere Herausforderungen in Form von knappem Budget und wenig Personal zusammen kommen, sind jetzt Prioritäten gefragt, was in den nächsten Monaten zuerst angegangen werden muss. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45269392 / Compliance und Datenschutz )