Handlungsbedarf bis zum 25. Mai Die neue Datenschutz-Verordnung und Vermögensverwalter

Seite 3 / 3

Rechtlich nicht neu, aber bisher häufig stiefmütterlich behandelt ist der Datenschutz im Zusammenhang mit der Speicherung und Nutzung personenbezogener Daten im E-Mail-Verkehr.

In dieser Form neu und nicht immer einfach zu erfüllen sind die Informationspflichten gemäß der Artikel 13 und 14 DS-GVO. Danach sind die Kunden und sonstige Betroffene spätestens zum Zeitpunkt der Datenerhebung mit zahlreichen Pflichtinformationen auszustatten. Hierzu gehören die Zwecke und die Rechtsgrundlage der Datenverarbeitung, die Speicherdauer, die Rechte des Betroffenen und die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten. Hier wären beispielsweise die Depotbank, ein etwaiger Reporting-Anbieter, sowie unter Umständen Tippgeber und Auftragsdatenverarbeiter zu nennen.

Mit Blick auf Artikel 14 DS-GVO bestehen ähnliche Informationspflichten auch bei sogenannter Dritterhebung. Derartige Konstellationen treten bei Vermögensverwaltern auf, wenn Kundendaten gespeichert werden, die von Tippgebern oder von der Depotbank übermittelt werden.

Da es unpraktikabel ist, bei jeder Datenerhebung derartige Pflichtinformationen zu erteilen, lässt die Datenschutz-Grundverordnung auch eine gebündelte Vorab-Information zu, die beispielsweise über Datenschutzerklärungen geleistet werden kann.

Weiterer Handlungsbedarf besteht, wie oben bereits ausgeführt, im Hinblick auf die Prüfung und gegebenenfalls Anpassung bestehender Einwilligungserklärungen und die Einholung fehlender Einwilligungserklärungen.

Ein weiteres wichtiges Thema ist die Auftragsdatenverarbeitung. Typische Fälle sind die Einbindung externer Dienstleister in die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung, in die IT-Wartung, externer Zugriff auf Daten über Konzerngesellschaften, Cloud-Computing, Leasing-Geräte zum Scannen und Kopieren und externe E-Mail-Server. Bestehende Verträge zur Auftragsdatenverarbeitung sollten dahingehend überprüft werden, ob die Vorgaben aus den Artikeln 28 und 29 DS-GVO eingehalten werden.

Eine vollständige Darstellung etwaigen weiteren Handlungsbedarfs würde den Rahmen dieses Beitrags sprengen. Über die bisher genannten Aspekte hinaus ist beispielsweise an die technischen Vorkehrungen zur Datensicherheit (Artikel 24 und 32 DS-GVO), die Dokumentationspflichten (Artikel 5, 28, 30 und 33 DS-GVO), oder die rechtliche und technische Vorbereitung auf die Ausübung von Betroffenenrechten einschließlich des neuen Rechts auf Datenportabilität (Artikel 15 bis 21 DS-GVO) zu denken.

Des Weiteren ist darauf hinzuweisen, dass bei „Big Data“-Anwendungen wie zum Beispiel das Profiling vorab eine Datenschutz-Folgenabschätzung vorzunehmen ist, und zwar gegebenenfalls unter Einbindung der Aufsichtsbehörde (Artikel 35, 36 DS-GVO), in Deutschland also dem/der Bundesbeauftragten für Datenschutz und Informationsfreiheit (Paragraf 68 BDSG neu).

Sie sind neugierig aufs Private Banking?

Wir auch. Abonnieren Sie unseren Newsletter „pbm daily“. Wir versorgen Sie vier Tage die Woche mit aktuellen Nachrichten und exklusiven Personalien aus der Welt des Private Bankings.

Abschließend noch ein Wort zum Datenschutzbeauftragten. Die Regelungen zur Benennung, zur Stellung und zum Aufgabenbereich des Datenschutzbeauftragten weisen im Vergleich zur bisherigen Rechtslage keine einschneidenden Änderungen auf (Artikel 37 bis 39 DS-GVO). Neu ist allerdings die Pflicht, Datenschutzverstöße möglichst binnen 72 Stunden seit Bekanntwerden an die Aufsichtsbehörde zu melden (Artikel 33 DS-GVO). Soweit ein Unternehmen einen Datenschutzbeauftragten hat, gehört diese Meldepflicht zu dessen künftigem Aufgabenbereich.

Fazit

Vermögensverwaltungen, die bislang auf die Einhaltung datenschutzrechtlicher Bestimmungen geachtet haben, sollten auch die neuen Regelungen in den Griff bekommen. Die Überprüfung und Anpassung der Prozesse und der Dokumentation ist allerdings zeitintensiv und sollte daher nicht auf den letzten Drücker erfolgen.

 


Über den Autor:

Rechtsanwalt Jan Christoph Knappe ist Fachanwalt für Handels- und Gesellschaftsrecht und Gründungspartner der Kanzlei Dr. Roller & Partner. Die Münchner sind auf die Beratung von Finanzdienstleistungsinstituten spezialisiert.

Wie hat Ihnen der Artikel gefallen?

Danke für Ihre Bewertung
Leser bewerteten diesen Artikel durchschnittlich mit 0 Sternen