Datenschutz-Grundverordnung für Finanzdienstleister (2)

Die Uhr tickt. Nicht nur für Finanzdienstleister, sondern für alle Unternehmen. Ab 25 Mai 2018 wird die Datenschutz-Grundverordnung DSGVO angewandt. Als ob MiFID II nicht kürzlich schon für genug zusätzliche Bürokratie gesorgt hätte, legen DSGVO und das nationale Datenschutz-Anpassungsgesetz noch einen oben drauf.

Gerade für Wertpapierfirmen erscheint das Umsetzen der neuen Datenschutz-Vorschriften auf den ersten Blick recht einfach. Denn die wenigen Wertpapier-Dienstleistungen, bei denen naturgemäß personenbezogene Daten verarbeitet werden, sind gesetzlich normiert. Portfolioverwaltung und Anlageberatung sind die wesentlichen. Dazu kommen wie in jedem Unternehmen Standard-Tätigkeiten wie zum Beispiel Lohnverrechnung und Marketing.

Die Herausforderungen sind trotzdem enorm

Viele Wertpapierfirmen – Vermögensverwalter und Haftungsdächer – arbeiten mit vertraglich gebundenen Vermittlern und Wertpapiervermittlern zusammen. Letztgenannte sind es, die in der Regel die personenbezogenen Daten beim Kunden erheben. Werden Erfüllungsgehilfen von der DSGVO – wie unter MiFID II – als Einheit mit ihrem Haftungsdach betrachtet, oder gelten sie als eigenständige Unternehmer – und damit als Verantwortliche?

Als eigenständige Unternehmer betrachtet, sind Erfüllungsgehilfen die Verantwortlichen für die personenbezogenen Daten, die sie bei ihren Kunden erheben. Und das Haftungsdach wäre folglich bereits der erste Auftragsdatenverarbeiter in der Kette. Und das wäre nicht die einzige Konsequenz.

Auftragsverarbeiter: Wer ist das zu Ihnen?

Sind Depotbanken, bei denen Sie Ihre Kundendepots führen, Auftragsdatenverarbeiter oder selbst Verantwortliche? Zumeist kooperieren Vermögensverwalter und Haftungsdächer mit einer Vielzahl von Depotbanken, die ihren Sitz nicht immer in der EU haben – was auch die Frage nach sicheren Drittländern aufwirft. Auftragsdatenverarbeiter sind wohl externe IT Dienstleister, die zum Beispiel Kundenverwaltungssysteme oder Newsletter-Tools zur Verfügung stellen.

Haben Sie sich schon vergewissert, ob all externen Empfänger, an die Sie personenbezogene Daten weiterleiten, fit für die DSGVO sind? Das ist als Verantwortlicher nämlich ihre Pflicht. Mit jedem einzelnen Auftragsverarbeiter müssen Sie einen Vertrag abschließen. Vergessen Sie dabei nicht auf Ihre Hausbank!

Andreas Dolezal (www.andreasdolezal.at) ist der Compliance Experte im Team von AL&E mit aktuellem Fokus auf dem praxisnahen Umsetzen der DSGVO sowie des Datenschutz-Anpassungsgesetzes.