Wie wurde die Prüfung durchgeführt? Die Datenschutzprüfung fand bei den zufällig ausgewählten Energieversorgungsunternehmen in Nordrhein-Westfalen (NRW) mit Hilfe eines Fragebogens, bestehend aus unterschiedlichen Fragegruppen, statt. Unter anderem ging es um die Umsetzung der DSGVO im Betrieb, die Struktur und Organisation innerhalb des Unternehmens beim Datenschutz, aber auch konkret um die Beschwerde-Bearbeitung, sowie die Durchführung von Sensibilisierungsmaßnahmen und der Erfüllung der Rechenschaftspflicht.
Zu welchen Ergebnissen führte die Prüfung? In Kurzform: Wenig Licht, aber viel Schatten. Konkret und ganz offen schreibt die NRW-Landesdatenschutzbeauftragte in ihrem Bericht: „Datenschutz wird von den Unternehmen eher als lästige Nebenpflicht angesehen. Einige Unternehmen waren nicht in der Lage, die wesentlichen unternehmensspezifischen Datenverarbeitungen transparent darzustellen.“ Allerdings fiel das Ergebnis bei einigen wenigen Unternehmen der Energie- und Versorgungsbranche auch erfreulich aus. Sie werden als „Datenschutzleuchttürme“ bezeichnet. Hieraus hat die Landesdatenschutzbehörde sechs „Best Practices“ gebildet, die sogar von der Behörde als „bereichsübergreifend“ klassifiziert werden.
Die sechs „Best Practices“:
- Die Implementierung eines Controllings zu erfolgten Datenschutzbeschwerden mit einer nachgeschalteten Analyse, um Schwachstellen besser identifizieren zu können.
- Besonders geschulte Teams für die Bearbeitung von Datenschutzansprüchen und ‑beschwerden.
- Erarbeitung und Umsetzung eines strukturierten Schulungskonzeptes
- Unternehmensinterne Kommunikationsplattform für Datenschutzfragen mit datenschutzrelevanten Fachinformationen
- Checklisten zur Durchführung von Datenschutz-Überprüfungen (Revision)
- Regelmäßige Informationen zum Datenschutz über interne Kommunikationskanäle (Beispiel: Newsletter)