Datenschutzrichtlinie
der Überlandwerk Eppler GmbH, Dotternhausen
Vorbemerkung
Der Schutz personenbezogener Daten unserer Kunden, Mitarbeiter und Geschäftspartner ist für uns ein wichtiges Anliegen. Bei der Verarbeitung personenbezogener Daten beachten wir die Vorgaben der Datenschutz-Grundverordnung (DS-GVO) und der weiteren einschlägigen datenschutzrechtlichen Bestimmungen. Darüber hinaus verpflichten wir uns und unsere Mitarbeiter zur Einhaltung der in dieser Datenschutzrichtlinie enthaltenen Regelungen zur Datenverarbeitung.
In dieser Datenschutzrichtlinie ist insbesondere beschrieben, welche technischen und organisatorischen Maßnahmen unser Unternehmen grundsätzlich zur Gewährleistung von Datenschutz und Datensicherheit trifft, wie unser Unternehmen personenbezogene Daten verarbeitet und welche Rechte den von einer Datenverarbeitung betroffenen Personen zustehen bzw. wie diese sich an uns wenden können.
Diese Datenschutzrichtlinie richtet sich insbesondere auch an die Mitarbeiter in den Abteilungen unseres Unternehmens, in denen eher Datenschutz und die Datensicherheit eine hervorgehobene Rolle spielt. Dazu zählen jedenfalls die nachfolgend benannten Abteilungen: Kaufmännisches Büro, Technisches Büro
Unsere Mitarbeiter, Kunden und Geschäftspartner können sich mit Fragen, Beschwerden sowie Anregungen zum Thema Datenschutz jederzeit an den Datenschutzbeauftragten wenden.
Geschäftsführung: Theo Haug
Inhaltsverzeichnis
1) Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen 2
3) Sicherheit der Verarbeitung. 2
4) Meldung von Verletzungen des Schutzes personenbezogener Daten. 2
1) Verarbeitung personenbezogener Daten. 2
2) Verarbeitung für Zwecke des Beschäftigungsverhältnisses. 2
3) Verarbeitung besonders schutzwürdiger personenbezogener Daten. 2
4) Verarbeitung personenbezogener Daten im Internet oder in Apps. 2
VII. Datenschutzbeauftragter. 2
I. Geltungsbereich
Die Inhalte dieser Datenschutzrichtlinie gelten für jede Verarbeitung von personenbezogenen Daten in unserem Unternehmen.
Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der psychischen, physiologischen, genetischen, physischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Personen sind, identifiziert werden kann. Ausgenommen vom Geltungsbereich dieser Datenschutzrichtlinie sind anonymisierte Daten, die keinerlei Rückschluss auf eine einzelne Person zulassen.
Änderungen dieser Datenschutzrichtlinie werden von der Unternehmensleitung vorgenommen und bekannt gemacht.
Die einschlägigen gesetzlichen Bestimmungen für die Verarbeitung personenbezogener Daten (z. B. DS-GVO, BDSG, LDSG) bleiben durch diese Datenschutzrichtlinie unberührt.
II. Grundsätze der Verarbeitung personenbezogener Daten
Bei der Verarbeitung personenbezogener Daten beachten wir insbesondere die allgemeinen Grundsätze des Datenschutzrechts, die in Art. 5 Abs. 1 DS-GVO verankert sind. Wir verpflichten uns zu einer transparenten, zweckgebundenen und richtigen Datenverarbeitung. Zudem beachten wir die Grundsätze der Datenminimierung, Speicherbegrenzung, Integrität sowie Vertraulichkeit.
Unser Unternehmen führt ein Verzeichnis von Verarbeitungstätigkeiten i. S. d. Art. 30 DS-GVO. Alle Abteilungen im Unternehmen, in denen personenbezogene Daten verarbeitet werden, sind verpflichtet, in dem erforderlichen Umfang an der Erstellung und Pflege des Verarbeitungsverzeichnisses durch den Datenschutzbeauftragten oder eine andere von der Unternehmensleistung benannte Stelle mitzuwirken. Der Datenschutzbeauftragte ist zudem über die Implementierung neuer bzw. die Anpassung bestehender Verarbeitungstätigkeiten rechtzeitig zu informieren. Bei standardisierten Datenverarbeitungen ist dem Datenschutzbeauftragten der zur Verwendung beabsichtigte Erhebungsbogen etc. zur Abstimmung vorzulegen.
Unsere Mitarbeiter sind zur Verarbeitung personenbezogener Daten nur insoweit befugt, als sie die Daten zur Erfüllung der ihnen zugewiesenen Aufgaben benötigen.
Gesetzliche Aufbewahrungsfristen und Löschungstermine für die verarbeiteten Datenkategorien werden in Abstimmung mit der Unternehmensleitung ermittelt und in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen.
Hard- und Software unseres Unternehmens ist grundsätzlich allein für betriebliche Aufgaben, und zwar für die jeweils vorgesehenen Zwecke, zu verwenden und gegen Verlust und Manipulation zu sichern. Eine Nutzung für private Zwecke bedarf der ausdrücklichen vorherigen Genehmigung durch die Geschäftsleitung.
Jeder Mitarbeiter ist in seinem Verantwortungsbereich zur Einhaltung der Vorgaben dieser Datenschutzrichtlinie und der einschlägigen daten-schutzrechtlichen Bestimmungen verpflichtet.
Sobald einem Mitarbeiter unseres Unternehmens ein Verstoß gegen diese Datenschutzrichtlinie oder die einschlägigen datenschutzrechtlichen Bestimmungen zur Kenntnis gelangt, ist dieser unverzüglich an den Datenschutzbeauftragten zu melden.
III. Allgemeine Pflichten
1) Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
Unser Unternehmen legt bereits bei der Beschaffung von Hard- und Software ein besonderes Augenmerk auf einen datenschutzkonformen Umgang mit personenbezogenen Daten. Die Prinzipien des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen spielen für uns eine wesentliche Rolle für die Sicherstellung eines angemessenen Datenschutzniveaus.
Soweit die Verarbeitung von personenbezogenen Daten durch den Einsatz neuer Hard- und Software Änderungen unterliegt, ist der Datenschutzbeauftragte von der geplanten Umstellung der Datenverarbeitungsprozesse rechtzeitig zu informieren. Der Datenschutzbeauftragte prüft, ob mit der Implementierung der neuen Hard- und Software ein datenschutzkonformer Einsatz technischer und organisatorischer Maßnahmen in unserem Unternehmen sichergestellt und, ob zusätzlich eine Datenschutz-Folgenabschätzung durchzuführen ist.
Für die Verarbeitung personenbezogener Daten verwenden wir in unserem Unternehmen ausschließlich firmeneigene Hard- und Software. Die dienstliche Nutzung privater Hard- oder Software im heimischen und außerbetrieblichen Bereich (z. B. private Notebooks) bedarf der ausdrücklichen vorherigen Genehmigung durch die Geschäftsleitung im Einzelfall.
Bei Vorliegen von Verdachtsmomenten eines Diebstahls von Hard- und Software sowie des unbefugten Zugriffs auf personenbezogene Daten ist der Datenschutzbeauftragte unverzüglich zu informieren.
2) Auftragsverarbeitung
Unser Unternehmen arbeitet nur mit Auftragsverarbeitern zusammen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den einschlägigen gesetzlichen Vorgaben erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.
Für die Verarbeitung personenbezogener Daten im Auftrag ist mit den Auftragsverarbeitern eine Vereinbarung nach Maßgabe der einschlägigen gesetzlichen Vorgaben (insbesondere Art. 28 Abs. 3 DS-GVO) abzuschließen. Soweit unser Unternehmen für andere Unternehmen personenbezogene Daten im Auftrag verarbeitet, gilt Satz 1 entsprechend. Der Datenschutzbeauftragte stellt den Mitarbeitern in den Abteilungen auf Anfrage eine Mustervereinbarung über die Auftragsverarbeitung zur Verfügung.
Die Einhaltung der gesetzlichen und vertraglichen Pflichten durch unsere Auftragsverarbeiter wird von unserem Unternehmen überprüft.
3) Sicherheit der Verarbeitung
Unser Unternehmen gewährleistet die Sicherheit der Datenverarbeitung.
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art der Umstände und Zwecke der Datenverarbeitung, aber auch der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten des Betroffenen setzt unser Unternehmen geeignete technische und organisatorische Maßnahmen zur Einhaltung der einschlägigen gesetzlichen Vorgaben um. Dazu gehört etwa eine verschlüsselte oder pseudonymisierte Datenkommunikation, wenn dies zur sicheren Datenverarbeitung notwendig ist.
Die Entscheidung, welche technischen und organisatorische Maßnahmen eingesetzt werden, trifft die jeweilige Fachabteilung in Abstimmung mit der Geschäftsleitung.
Meldung von Verletzungen des Schutzes personenbezogener Daten
Sobald einem Mitarbeiter unseres Unternehmens ein Verstoß gegen diese Datenschutzrichtlinie oder die einschlägigen datenschutzrechtlichen Bestimmungen oder eine sonstige Verletzung des Schutzes personenbezogener Daten zur Kenntnis gelangt, ist dieser unverzüglich an den Datenschutzbeauftragten zu melden.
Der Datenschutzbeauftragte prüft, ob nach den einschlägigen gesetzlichen Vorgaben (z. B. Art. 33, 34 DS-GVO) eine Meldung an die Aufsichtsbehörde und/oder eine Benachrichtigung der von der Verletzung des Schutzes personenbezogener Daten betroffenen Person(en) erforderlich ist und stimmt die Meldung und/oder Benachrichtigung an die Aufsichtsbehörde bzw. die betroffenen Personen mit der Unternehmensleitung ab.
Die Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen werden im Unternehmen dokumentiert.
IV. Rechtmäßigkeit der Verarbeitung
1) Verarbeitung personenbezogener Daten
Die Verarbeitung personenbezogener Daten kann entweder auf eine Einwilligung der betroffenen Person oder auf einen gesetzlichen Erlaubnistatbestand gestützt werden.
Die betroffene Person wird vor der Abgabe einer Einwilligung über den Umfang und die Zwecke der beabsichtigten Datenverarbeitung transparent informiert. Die Erbringung einer Leistung durch unser Unternehmen wird nicht an die Erteilung einer Einwilligung geknüpft, wenn dies für den eigentlichen Verarbeitungszweck oder die Erbringung der Leistung nicht erforderlich ist.
Zum Zweck der Beweisführung sind Einwilligungserklärungen grundsätzlich schriftlich oder elektronisch (protokolliert) einzuholen. Soweit ausnahmsweise im Einzelfall mündliche Einwilligungserklärungen eingeholt werden, ist ihre Erteilung sorgfältig zu dokumentieren.
Die Verarbeitung personenbezogener Daten kann – ohne Einwilligung der betroffenen Person – auf der Grundlage eines gesetzlichen Erlaubnistatbestands, beispielsweise gemäß Art. 6 Abs. 1 lit. b) DS-GVO für die Erfüllung eines Vertrages (z. B. Energieliefer-, Netzanschluss-, Anschlussnutzungsvertrag), dessen Vertragspartei die betroffene Person ist oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, zulässig sein. Die Verarbeitung der personenbezogenen Daten zu Vertragszwecken muss erforderlich sein und der Erfüllung von Pflichten oder der Wahrnehmung von Rechten aus dem Vertragsverhältnis dienen. Es muss ein unmittelbarer Zusammenhang mit dem konkreten Zweck des Vertragsverhältnisses bestehen. Dafür ist der jeweilige Vertragsinhalt ausschlaggebend.
Über die Datenverarbeitung zu Vertragszwecken hinaus sind Datenverarbeitungen beispielsweise gemäß Art. 6 Abs. 1 lit. c) DS-GVO zulässig, wenn unser Unternehmen zur Datenverarbeitung rechtlich verpflichtet ist. Eine rechtliche Verpflichtung zur Datenverarbeitung kann sich etwa aus den gesetzlichen Aufbewahrungsfristen nach den handels- und steuerrechtlichen Vorgaben ergeben.
Zudem sind unserem Unternehmen gemäß Art. 6 Abs. 1 lit. f) DS-GVO Datenverarbeitungen möglich, wenn die Datenverarbeitung der Wahrung berechtigter Interessen unseres Unternehmens oder eines Dritten dient und die Interessen oder Grundrechte und Grundfreiheiten des Betroffenen den berechtigten Interessen unseres Unternehmens bzw. des Dritten nicht überwiegen. Als berechtigtes Interesse kann insbesondere jedes rechtliche, wirtschaftliche oder ideelle Interesse in Betracht kommen. Dazu kann beispielsweise auch unser unternehmerisches Interesse an der Direktwerbung zählen. Vor jeder Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. f) DS-GVO ist eine Interessenabwägung durchzuführen. Zudem sind die berechtigten Interessen zu dokumentieren.
Soweit personenbezogene Daten an ein Unternehmen übermittelt werden, das seinen Sitz außerhalb der Europäischen Union hat, ist es erforderlich, dass dieses dritte Unternehmen bei der Verarbeitung personenbezogener Daten ein gleichwertiges Datenschutzniveau gewährleistet. Vor der Übermittlung der Daten wird dies in Abstimmung mit dem Datenschutzbeauftragten geprüft.
2) Verarbeitung für Zwecke des Beschäftigungsverhältnisses
Personenbezogene Daten von Mitarbeitern werden für Zwecke des Beschäftigungsverhältnisses verarbeitet, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.
Darüber hinaus erfolgt eine Verarbeitung personenbezogener Daten unserer Mitarbeiter, wenn dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Erfolgt die Verarbeitung personenbezogener Daten von Mitarbeitern auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit des Mitarbeiters sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für den Mitarbeiter ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder das Unternehmen und der Mitarbeiter gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Mitarbeiter ist über den Zweck der Datenverarbeitung und über sein Widerrufsrecht in Textform aufzuklären.
Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Mitarbeitern für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen nach den einschlägigen gesetzlichen Vorgaben zulässig.
Die Beteiligungsrechte der Interessenvertretungen der Mitarbeiter bleiben unberührt.
Personenbezogene Daten abgelehnter Bewerber werden grundsätzlich nach der Ablehnung des Bewerbers gelöscht, es sei denn, die Aufbewahrung der Daten ist zu Beweiszwecken erforderlich, unser Unternehmen ist zur Aufbewahrung gesetzlich verpflichtet oder der Bewerber hat in eine Verarbeitung seiner personenbezogenen Daten trotz Ablehnung eingewilligt.
3) Verarbeitung besonders schutzwürdiger personenbezogener Daten
Die Verarbeitung besonders schutzwürdiger personenbezogener Daten ist nur zulässig, soweit dies gesetzlich vorgesehen ist. Besonders schutzwürdige personenbezogene Daten sind vor allem Daten, aus denen die rassische oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder sexuellen Orientierung.
Die Verarbeitung von besonders schutzwürdigen personenbezogenen Daten ist vorab mit dem Datenschutzbeauftragte abzustimmen.
4) Verarbeitung personenbezogener Daten im Internet oder in Apps
Bei einer Verarbeitung personenbezogener Daten von Nutzern unserer Internetseite oder in Apps werden die Betroffenen über die Verarbeitung in den Datenschutzhinweisen informiert. Diese sind auf unserer Internetseite oder in Apps so eingebunden, dass sie für die Nutzer leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sind.
Soweit zur Auswertung des Nutzungsverhaltens von den betroffenen Personen Nutzungsprofile erstellt werden (sog. Tracking), sind die betroffenen Personen hierüber in den Datenschutzhinweisen zu informieren. Ein Tracking erfolgt grundsätzlich unter einem Pseudonym (z. B. IP-Adresse). Zudem werden die betroffenen Personen in den Datenschutzhinweisen über die Möglichkeit des Widerspruchs informiert bzw. ist – soweit gesetzlich gefordert – deren Einwilligung einzuholen.
Der Einsatz von Tracking-Tools ist in jedem Fall vorab mit dem Datenschutzbeauftragten abzustimmen.
5) Informationspflichten
Wir informieren betroffene Personen (z. B. Kunden, Anschlussnehmer oder Anschlussnutzer) gemäß den einschlägigen gesetzlichen Vorgaben im Zeitpunkt der Erhebung ihrer personenbezogenen Daten über die Einzelheiten der Datenverarbeitung, soweit wir die Daten bei den betroffenen Personen direkt erheben.
Zu den Informationen zählen gemäß Art. 13 DS-GVO:
- unsere Kontaktdaten,
- die Kontaktdaten des Datenschutzbeauftragten,
- die Zwecke für die die personenbezogenen Daten verarbeitet werden sollen sowie deren Rechtsgrundlage,
- die berechtigten Interessen, die von uns verfolgt werden soweit die Daten weitergegeben werden, die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
- gegebenenfalls die Absicht, die personenbezogenen Daten an ein Drittland oder an internationale Organisationen zu übermitteln,
- die Dauer, für die die personenbezogenen Daten gespeichert werden und falls dies nicht möglich ist, die Kriterien für die Festlegung der Dauer der Datenspeicherung über die bestehenden Rechte des Betroffenen; dazu zählen das Recht auf Auskunft über die in unserem System gespeicherten personenbezogenen Daten sowie das Recht auf Berichtigung oder Löschung der Daten sowie Einschränkung der Verarbeitung, das Recht auf Widerspruch gegen die Verarbeitung der personenbezogenen Daten und das Recht auf Datenübertragbarkeit,
- das Recht auf Widerruf der Einwilligung zur Datenverarbeitung,
- bestehende Beschwerderechte bei Aufsichtsbehörden,
- Informationen darüber, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben ist oder für die Durchführung eines Vertrags erforderlich ist und welche Folgen die Nichtbereitstellung hätte sowie
- gegebenenfalls über das Bestehen einer automatischen Entscheidungsfindung einschließlich Profiling.
Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, wird die betroffene Person entsprechend informiert.
Inhalt und Form der Information legen die Fachabteilungen in Abstimmung mit dem Datenschutzbeauftragten und der Unternehmensberatung fest.
V. Vertraulichkeit personenbezogener Daten
Jeder Mitarbeiter ist verpflichtet, personenbezogene Daten vertraulich zu behandeln. Die Pflicht zur vertraulichen Behandlung personenbezogener Daten besteht auch nach dem Ausscheiden aus dem Unternehmen fort.
VI. Rechte betroffener Personen
Von einer Verarbeitung personenbezogener Daten betroffene Personen können unserem Unternehmen gegenüber jederzeit die folgenden Rechte geltend machen:
- Auskunft, ob und welche personenbezogenen Daten von ihr durch unser Unternehmen verarbeitet werden,
- Berichtigung unzutreffender personenbezogener Daten,
- Löschung bei Vorliegen der gesetzlichen Voraussetzungen,
- Einschränkung der Verarbeitung und
- Übermittlung der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat.
Zudem kann der betroffenen Person unter bestimmten ein Widerspruchsrecht gegen eine Verarbeitung von personenbezogenen Daten zustehen.
Die Erfüllung von geltend gemachten Rechten erfolgt durch den Datenschutzbeauftragten bzw. ist mit ihm abzustimmen.
VII. Datenschutzbeauftragter
Unser Unternehmen hat einen Datenschutzbeauftragten bestellt, der deckungsgleich mit der Geschäftsleitung ist.
Der Datenschutzbeauftragte nimmt die ihm nach den einschlägigen gesetzlichen Vorgaben zugewiesenen Aufgaben wahr:
- Er unterrichtet und berät unser Unternehmen und unsere Mitarbeiter hinsichtlich ihrer Verpflichtungen nach der DS-GVO sowie anderer einschlägiger datenschutzrechtlicher Bestimmungen.
- Der Datenschutzbeauftragte überwacht die Einhaltung der DS-GVO sowie anderer einschlägiger datenschutzrechtlicher Bestimmungen und der datenschutzrechtlichen Strategien unseres Unternehmens. Dazu gehört unter anderem die Zuweisung von Zuständigkeiten so-wie die Sensibilisierung und Schulung der Mitarbeiter in unserem Unternehmen, die regelmäßig personenbezogene Daten verarbeiten.
- Zudem unterstützt er unser Unternehmen bei der Abschätzung der Folgen einer Verarbeitung von personenbezogenen Daten, die ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt.
- Darüber hinaus arbeitet der Datenschutzbeauftragte bei Einzelfragen mit der zuständigen Aufsichtsbehörde zusammen und dient ihr als Anlaufstelle.
Jeder Mitarbeiter kann sich mit Fragen, Beschwerden sowie Anregungen zum Datenschutz an den Datenschutzbeauftragten wenden. Gleiches gilt für unsere Geschäftspartner und Kunden.
VIII. Begriffsbestimmungen
Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlicher Person sind, identifiziert werden kann. Hiervon sind z. B. Stammdaten (z. B. Name, Anschrift, Bankverbindung, Kundennummer, Mess- sowie Marktlokation) und Bewegungsdaten (z. B. Verbrauchs-, Abrechnungs- oder Einspeisedaten) des Letztverbrauchers bzw. Anschlussnutzers, der natürliche Person ist, erfasst.
Verarbeitung: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich über die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Pseudonymisierung: Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Verantwortlicher: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Datenschutzrechtlich verantwortlich für den Umgang mit Stamm-, Verbrauchs- und Abrechnungsdaten von Letztverbrauchern bzw. Anschlussnutzern, die natürliche Personen sind, kann danach – aus der jeweiligen Perspektive – beispielsweise der Messstellenbetreiber, der Netzbetreiber oder der Lieferant sein. Insbesondere innerhalb eines Konzernverbunds ist weiterhin die jeweilige natürliche oder juristische Person im datenschutzrechtlichen Sinne verantwortlich.
Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.