Problemfeld Datenübermittlung
Besonderes Augenmerk ist auf Sachverhalte zu richten, bei denen Daten über die Grenzen eines Unternehmens hinein oder hinaus übermittelt werden. Dies geschieht regelmäßig im Verhältnis zu den Depotbanken. Vermögensverwalter sind darauf angewiesen, von den Depotbanken aktuelle Informationen zu den verwalteten Kundendepots zu erhalten. Deren Empfang, Speicherung und Nutzung dürfte regelmäßig vom Vermögensverwaltungsvertrag und der Transaktionsvollmacht gedeckt sein.
Schwieriger ist die datenschutzrechtliche Situation im Verhältnis zu Tippgebern. Hier kann eine Datenübermittlung in zwei Richtungen stattfinden: Zunächst übermittelt der Tippgeber Daten potentieller Kunden an die Vermögensverwaltungsgesellschaft. In diesem Zusammenhang sollte die Vermögensverwaltungsgesellschaft von den Tippgebern verlangen, dass die Kunden der Übermittlung ihrer Daten zustimmen.
Sollte es später zu einer Provisionsabrechnung gegenüber dem Tippgeber kommen, in der personenbezogene Daten wie zum Beispiel Kundennamen auftauchen, so dürfte dieser Akt der Datenübermittlung in die entgegengesetzte Richtung nur dann zulässig sein, wenn er von einer entsprechenden Einwilligung des Kunden gedeckt ist.
Noch kniffliger wird es, wenn externe Dienstleister in die Erstellung von Reportings eingebunden werden. Solche externen Reporting-Anbieter werden häufig von Vermögensverwaltungsgesellschaften eingeschaltet und erhalten anschließend direkt von den Depotbanken diejenigen Kundendaten, die für die Erfüllung der Berichtspflicht erforderlich sind (Name, Anschrift, Geburtsdatum, Umsätze).
Typischerweise erbringen diese Anbieter dabei noch zusätzliche Serviceleistungen, die über die Erfüllung der gesetzlichen Berichtspflicht hinausgehen (beispielsweise im Zusammenhang mit Risikoanalyse oder Charttechnik). Die direkte Übermittlung der Kundendaten von der Depotbank an den Reporting-Dienstleister dürfte vielfach datenschutzrechtlich unsauber sein. Es ist damit zu rechnen, dass Depotbanken im Zuge der aktuell laufenden datenschutzrechtlichen Überprüfungen ihrer Abläufe diesen Übermittlungsweg entweder komplett einstellen oder an strenge Voraussetzungen knüpfen werden.
Aber auch ohne diesen äußeren Einfluss der Depotbanken haben Vermögensverwaltungsgesellschaften Anlass, die aktuellen Datenwege mit Reporting-Anbietern auf den Prüfstand zu stellen. Je nach Geschäftsmodell und vertraglicher Grundlage werden auch die Vermögensverwalter nachjustieren müssen.
Schließlich ist darauf hinzuweisen, dass die Datenübermittlung an Stellen in Drittstaaten außerhalb der EU an strenge Voraussetzungen geknüpft ist (vergleiche die Paragrafen 78 bis 81 BDSG neu).
Welcher Handlungsbedarf ergibt sich für Vermögensverwalter?
Zum 25. Mai 2018 müssen fast alle Unternehmen Verzeichnisse ihrer Verarbeitungstätigkeiten erstellen (Artikel 30 DS-GVO). Der Regulator hat zwar eine Ausnahme für Unternehmen mit weniger als 250 Beschäftigten vorgesehen, allerdings greift diese Ausnahme aufgrund mehrerer Gegenausnahmen nur selten ein.
Da der Verstoß gegen die Erstellungspflicht mit empfindlichen Bußgeldern geahndet werden kann, sollte der Ausnahmetatbestand daher sorgfältig geprüft werden, bevor auf die Erstellung des Verzeichnisses verzichtet wird. Außerdem ist die Erstellung des Verzeichnisses nicht nur eine lästige Pflicht, sondern kann bei klugem Einsatz gleichzeitig als Checkliste und als wertvoller Dokumentations-Baustein in der Datenschutz-Compliance gesehen werden.
Der Begriff der Verarbeitung ist dabei im Gegensatz zur aktuellen Rechtslage nicht nur auf die elektronische Datenverarbeitung beschränkt, sondern umfasst auch die Speicherung von Daten auf Papier. Daher müssen gegebenenfalls auch Abläufe für den rechtlich korrekten Umgang mit Visitenkarten, Karteikarten, Telefonnotizen und Ähnlichem entwickelt werden.