Handlungsbedarf bis zum 25. Mai Die neue Datenschutz-Verordnung und Vermögensverwalter

Jan Christoph Knappe von Dr. Roller & Partner: Der Rechtsanwalt zeigt den Handlungsbedarf für Vermögensverwalter aufgrund der neuen Datenschutz-Verordnung auf.

Jan Christoph Knappe von Dr. Roller & Partner: Der Rechtsanwalt zeigt den Handlungsbedarf für Vermögensverwalter aufgrund der neuen Datenschutz-Verordnung auf. Foto: Dr. Roller & Partner

Die EU-Datenschutz-Grundverordnung (DS-GVO) ist in aller Munde. Sie tritt am 25. Mai 2018 in Kraft und wird europaweit einheitlich gelten. Das Bundesdatenschutzgesetz (BDSG) wird gleichzeitig in einer Neufassung in Kraft treten. Die dortigen Regelungen gelten fortan allerdings nur noch ergänzend zur DS-GVO.

Aus der Berichterstattung hierüber kann man teilweise den Eindruck gewinnen, das Datenschutzrecht würde sich fundamental verändern. Ganz so ist es nicht, das Rad wird nicht komplett neu erfunden. Vielmehr bleiben die bisherigen Grundsätze bestehen, werden aber vielfach ergänzt beziehungsweise verschärft.

Gleichwohl sollte die Umsetzung nicht auf die leichte Schulter genommen werden, denn die DS-GVO hat weitreichende Auswirkungen auf praktisch alle Unternehmen in der EU und wird die Anpassung bestehender Dokumente und Abläufe erforderlich machen. Höchste Zeit also, sich mit dem Anpassungsbedarf im eigenen Unternehmen zu beschäftigen.

Welche Kundendaten dürfen künftig verarbeitet werden?

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten und bedarf – wie bisher auch schon – einer besonderen Rechtfertigung. Diese Rechtfertigung wird häufig in der Erfüllung eines Vermögensverwaltungsvertrages mit dem Kunden gesehen werden können. Denn ohne die Erhebung, Speicherung und Nutzung personenbezogener Daten – wie zum Beispiel Name, Anschrift, Anlegerprofil, individuelle Anlagerichtlinien – ist die Erbringung der geschuldeten Dienstleistung nicht möglich.

Neben der Vertragserfüllung können auch gesetzliche Vorgaben einen Rechtfertigungsgrund für die Datenverarbeitung darstellen. Dies trifft beispielsweise auf die Berichtspflichten gemäß der Paragrafen 63 Absatz 12 und 64 Absatz 8 des Wertpapierhandelsgesetzes (WpHG) in Verbindung mit der Delegierten Verordnung (EU) 2017/565 zu. Soweit die dortigen Vorgaben in den Reportings erfüllt werden, bedarf die Verarbeitung von Kundendaten keiner weiteren Rechtfertigung.

Sobald in den Reportings allerdings Kundendaten verarbeitet werden, die für die Erfüllung der gesetzlichen Berichtspflichten nicht erforderlich sind, entsteht ein Erlaubnisvakuum, das durch einen anderen Rechtfertigungsgrund ausgefüllt werden muss. Hier wäre beispielsweise an eine entsprechende vertragliche Berichtspflicht aus dem Vermögensverwaltungsvertrag zu denken, oder alternativ an eine separate Einwilligungserklärung des Kunden.

Sie sind neugierig aufs Private Banking?

Wir auch. Abonnieren Sie unseren Newsletter „pbm daily“. Wir versorgen Sie vier Tage die Woche mit aktuellen Nachrichten und exklusiven Personalien aus der Welt des Private Bankings.

Mit dem Stichwort der Einwilligungserklärung ist bereits ein weiterer wichtiger Rechtfertigungsgrund angesprochen. Wann immer weder gesetzliche noch Vertragspflichten eine Verarbeitung von Kundendaten rechtfertigen, ist grundsätzlich eine Einwilligungserklärung des Kunden vonnöten. Derartige Einwilligungserklärungen werden zukünftig die Vorgaben des Artikel 7 DS-GVO erfüllen müssen.

„Alte“ Einwilligungserklärungen sind daher darauf zu prüfen, ob sie mit den neuen Anforderungen in Einklang stehen und müssen andernfalls durch neue, überarbeitete Einwilligungserklärungen ersetzt werden. Wichtige Anwendungsfälle für Einwilligungserklärungen sind Marketingmaßnahmen und Datenübermittlungen an externe Unternehmen.

Eine Nutzung vorhandener Kundendaten für Zwecke des Direktmarketings soll dabei weiterhin in der Regel ohne Einwilligung des Kunden möglich sein. Dies gilt unter den Voraussetzungen, dass die betroffenen Kunden bereits bei Erhebung ihrer Daten hierauf und auf ihr jederzeitiges Widerspruchsrecht hingewiesen worden sind, eine (intern dokumentierte) Interessenabwägung zu dem Ergebnis geführt hat, dass keine überwiegenden Interessen der Kunden gegen die Nutzung ihrer Daten zu dem konkreten werblichen Zweck sprechen, und dass im Übrigen die Beschränkungen des Gesetzes gegen den unlauteren Wettbewerb (beispielsweise Paragraf 7 UWG zu Telefon-, Fax-, Email- und SMS-Werbung) beachtet werden.