08. April 2019

Ein Jahr DSGVO – was hat sich im Energiemanagement geändert?

Am 25. Mai 2018 ist die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Das hohe mediale Interesse ist inzwischen abgeflaut, ab und zu machen Meldungen zu Rekordstrafen die Runde.

Aber nicht nur die Medien beschäftigten sich seit über einem Jahr mit der Datenschutzgrundverordnung, auch in den Unternehmen und anderen Organisationen kam es zu regelrechter Panik: Lange Verträge wurden an Geschäftspartner verschickt, Internetangebote eingeschränkt oder auch ganz eingestellt. Drei Gründe gab es dafür:

  • Die Datenschutzgrundverordnung ist an vielen Stellen interpretierbar
  • Rechtsberater und andere Unternehmen witterten Umsatzschancen und wurden nicht müde, auf Haftungsrisiken hinzuweisen
  • Eine gesetzeskonforme Umsetzung der DSGVO bedeutet einen nicht unerheblichen Aufwand, der mal so nebenbei zu stemmen war.

Die Interpretierbarkeit der DSGVO führt solange zu Unsicherheit, bis entsprechende Erfahrungen und Urteile vorliegen. Der Artikel 40 der DSGVO eröffnet eigentlich die Möglichkeit, dass Verbände den Datenschutzbehörden sog. Verhaltensregeln zur Genehmigung vorlegen. So hätten einige der Unsicherheiten ausgeräumt werden können – jedoch sind solche Verhaltensregeln bisher nicht bekannt geworden.

Werden im Energiemanagement personenbezogene Daten verarbeitet?

Zunächst ist die Frage zu klären, ob im Energiemanagement überhaupt personenbezogene Daten verarbeitet werden – nur dann gilt die DSGVO. Personenbezogene Daten sind laut DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen.“

Wenn also im Energiemanagement (oder auch z.B. in Auditberichten nach EDL-G) Namen oder Kontaktdaten von Personen auftauchen, liegen ganz klar personenbezogene Daten vor. Zum Beispiel:

  • Papierakten zu den Gebäuden einer Organisation, auf deren Deckblatt die Kontaktdaten des Gebäudeverantwortlichen stehen
  • Eine Excelliste mit den Personen, die für Zählerablesungen zuständig sind
  • Die Datenbank einer Energiemanagement-Software, in der die zugriffsberechtigten Anwender gespeichert sind

An der Einstufung als personenbezogene Daten ändert in den meisten Fällen auch eine Pseudonymisierung nichts. Wenn beispielsweise in einem Auditbericht von einem „Herrn M.“ als verantwortlichen für Anlage X berichtet wird, ist es unter Verwendung weiterer Informationen möglich, herauszufinden, wer hinter der Abkürzung „Herr M.“ steckt – Herr Müller ist also identifizierbar.

Spannender ist die Frage, ob Energieverbrauchsdaten personenbezogen sind. Ganz sicher personenbezogen sind die viertelstündigen Verbrauchsdaten eines Einpersonenhaushalts, wenn diese über Adresse, Zähler- oder Kundennummer einer Person zugeordnet werden können. Ganz sicher nicht personenbezogen ist Jahresenergieverbrauch einer großen Schule oder einer Werkshalle. Zwischen diesen beiden Extremen ist eigentlich eine Einzelfallprüfung notwendig.

Letztlich wird man in den meisten Fällen schon wegen der Kontaktdaten der handelnden Personen davon ausgehen müssen, dass Energiemanagement mit personenbezogenen Daten umgeht. In den seltensten Fällen handelt es sich jedoch dabei um besonders schutzwürdige personenbezogene Daten wie Gesundheitsdaten oder religiöse / weltanschauliche Überzeugungen.

Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten im Energiemanagement

Wenn davon auszugehen ist, dass im Energiemanagement personenbezogene Daten verarbeitet werden und somit die DSGVO gilt, muss es eine Grundlage geben, warum die Daten einer konkreten Person verarbeitet werden. Dies kann z .B. eine explizite Einwilligung der betroffenen Person sein, ein Vertrag mit der Person, eine rechtliche Verpflichtung oder der Schutz lebenswichtiger Interessen. Diese Grundlagen sind in den meisten Fällen im Energiemanagement ungeeignet. Speziell von der Lösung mit einer expliziten Einwilligung ist abzuraten, da diese nicht nur explizit und rechtssicher eingeholt werden muss, sondern auch jederzeit widerrufen werden kann.

Relevant wird in den meisten Fällen Art. 6 DSGVO Absatz 1 Buchstabe e: „Die Verarbeitung ist nur rechtmäßig, wenn […] die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen …“

Das berechtigte Interesse ist die Energieeinsparung. Es ist davon auszugehen, dass die „Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person“ bei den typischen Nutzungen der personenbezogenen Daten im Energiemanagement nicht überwiegen.

(Neue) Verpflichtungen aus der Datenschutzgrundverordnung

Nach der DSGVO müssen alle Personen, deren Daten (z.B. im Energiemanagement) verarbeitet werden, über die Tatsache der Verarbeitung und den Umfang informiert werden. Dazu listet die DSGVO auf, was in dieser Information enthalten sein muss:

  • Kontaktdaten des Verantwortlichen + ggf. des Datenschutzbeauftragten
  • Welche Daten wofür erhoben werden
  • Rechtgrundlage (im Falle der berechtigten Interessen auch diese Interessen); hier also z.B. „Art. 6 DSGVO Absatz 1 Buchstabe e“ und „Energieeinsparung“ – wobei natürlich die Notwendigkeit der Verarbeitung der personenbezogenen Daten für die Energieeinsparung erläutert werden sollten
  • Ggf. Empfänger der Daten
  • Ggf. Absicht der Übertragung der Daten an ein Drittland außerhalb der EU
  • Dauer der Speicherung (Zeitpunkt oder Kriterien)
  • Hinweis auf Rechte (Auskunft, Löschung, Einschränkung der Verarbeitung oder Widerrufsrecht, Beschwerderecht bei Datenschutzbehörde)
  • Ggf. Quelle der Informationen

Beauftragt die Organisation einen Dritten mit der Verarbeitung personenbezogener Daten, gelten hierfür weitere Anforderungen. So ist der sog. Auftragsverarbeiter „sorgfältig“ auszuwählen, und dieser darf seinerseits nur dann für die Verarbeitung personenbezogener Daten Unterauftragnehmer einbeziehen, wenn der ursprüngliche Auftraggeber dem zustimmt. Insbesondere muss zwischen Organisation und Auftragsverarbeiter ein Vertrag geschlossen werden, an den besondere Anforderungen gestellt werden.

Die Betroffenenrechte nach DSGVO gelten natürlich auch für personenbezogene Daten im Energiemanagement. Zu diesen Rechten gehört u.a. das Recht, Auskunft über alle zu ihr gespeicherten Daten zu bekommen, die Daten zu berichtigen oder beim Vorliegen bestimmter Gründe löschen zu lassen.

Ebenso ist eine Organisation, die personenbezogene Daten im Energiemanagement verarbeitet, verpflichtet, Datenpannen an die Datenschutz-Aufsichtsbehörden zu melden. Eine Datenschutzpanne kann z.B. ein verlorenes Notebook sein, auf dem personenbezogene Daten gespeichert waren.

Spätestens in einem solchen Fall wird es zu einer Überprüfung der technisch-organisatorischen Maßnahmen (TOM) kommen. Die DSGVO verlangt vom Verantwortlichen (hier die Organisation, die Energiemanagement betreibt) und vom ggf. eingeschalteten Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen, „um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“

Nicht zuletzt besteht nach DSGVO die Verpflichtung, die Verarbeitung personenbezogener Daten durch „Technikgestaltung“ und durch „datenschutzfreundliche Voreinstellungen“ so weit wie möglich zu beschränken. Konkret für das Energiemanagement kann dies z. B. bedeuten, die zu einer Person gespeicherten Daten auf das absolute Minimum (Kontaktdaten) zu beschränken.

Zusammenfassung

Die DSGVO betrifft in vielen Fällen auch das Energiemanagement – allein schon, wenn die Personen, die für Ablesungen oder Maßnahmen verantwortlich sind, auf einer Liste stehen. Wird für das Energiemanagement eine Softwarelösung aus der Cloud eingesetzt, muss dazu ein Vertrag geschlossenen werden, der den Anforderungen der DSGVO entspricht. Auch im Fall, dass die Daten „im Haus“ bleiben, müssen die Regelungen aus der DSGVO beachtet werden. Insbesondere dürfen nur jene personenbezogenen Daten verarbeitet werden, die zur Zielerreichung nötig sind. Alle betroffenen Personen sind zu informieren und müssen u.a. den Umfang der Daten und die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten erfahren - meist sind dies im Energiemanagement die „berechtigten Interessen“ nach Art. 6 DSGVO Absatz 1 Buchstabe e.

Für die meisten Personen und Organisationen, die Energiemanagement betreiben, ändert sich inhaltlich an der Arbeit nichts – Datensicherheit und sparsamer Umgang mit personenbezogenen Daten waren zumindest bei professionellen Anbietern wie IngSoft schon immer großgeschrieben. Neu ist ein bürokratischer Overhead – der nicht nur einmalig umzusetzen ist, sondern dauerhaft gepflegt werden muss.

Hinweis: Dieser Text dient lediglich zu allgemeinen Information und ersetzt keine Rechtsberatung, die IngSoft nicht erbringt.


Zurück