Die DSGVO kommt
Gastbeitrag zur Frage warum Kapitalverwaltungsgesellschaften vorbereitet sein sollten
Ausgangspunkt. Ab dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) europaweit anzuwenden. Die Tinte unter dieser Verordnung ist trocken und auch die Novellierung des Bundesdatenschutzgesetztes (BDSG) als nationales Begleitgesetz wurde bereits 2017 verabschiedet, sodass Europa nun nach einem knapp fünf Jahre dauernden Gesetzgebungsverfahren eine neue Entwicklungsstufe im Datenschutz erreicht.
Auch für Kapitalverwaltungsgesellschaften (KVGen) und die von ihnen verwalteten Investmentvermögen (AIF) wird dieser Systemwechsel nicht ohne Folgen und vor allem nicht ohne das ein oder andere „DSGVO-Projekt“ bleiben. Das muss nicht bedeuten, dass die DSGVO die Betriebsabläufe einer KVG auf den Kopf stellt, denn das Schutzniveau in Deutschland war schon zuvor hoch. Doch das Thema DSGVO sollte auch nicht leichtfertig abgetan werden.
Im originären Interesse der KVG. Denn anders als bisher drohen geradezu drakonische Strafen für Verstöße gegen die DSGVO beziehungsweise das BDSG von Seiten der Datenschutzaufsichtsbehörden in Form von Bußgeldern, aber auch erstmals immaterielle Schadensersatzansprüche seitens der betroffenen Personen. Gemäß Artikel 83 DSGVO können Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Gegebenenfalls entstehende Schäden sind in der Höhe nicht gedeckelt. Im Vergleich zum bisherigen BDSG ist dies eine enorme Steigerung.
In diesem Sinne sollte eine DSGVO-konforme Geschäftsorganisation nicht bloß aus Wohlwollen zum Schutz der Betroffenen eingerichtet werden, sondern auch im originären Interesse der KVG selbst sein. Wie eine solche Geschäftsorganisation konkret ausgestaltet sein sollte, beantwortet die DSGVO leider nur schlagwortartig. Insofern besteht bei den KVGen oft Unsicherheit, ob das eigene IT System und die Geschäftsabläufe der DSGVO genügen.
State oft the art. Zumindest wenn KVGen in den vergangenen Jahren die Zeichen der Zeit beachtet und eine personelle und technische Infrastruktur etabliert haben, die uneingeschränkte Transparenz und Kontrolle ihrer Datenströme und Geschäftsabläufe ermöglicht, dürfte der Anpassungsaufwand geringer ausfallen.
Der Schutz personenbezogener Daten beziehungsweise der betroffenen Personen im Allgemeinen sollte im Markt keine Unbekannte sein und dürfte zumindest in der formalen Organisationsstruktur allseits Beachtung finden. Schon nach der gegenwärtigen Rechtslage waren KVGen, wie auch sämtliche andere nicht-öffentliche Stellen, nach dem BDSG verpflichtet. Auch die Richtlinie 2011/61/EU über die Verwalter alternativer Investmentfonds (kurz AIFMD) und die damit korrespondierende Level-II-Verordnung enthalten bereits datenschutzrechtliche Regelungen. Danach sollen AIFM für die ordnungsgemäße Verwaltung der AIF jederzeit angemessene und geeignete personelle und technische Ressourcen einsetzen und in Bezug auf letztere angemessene Kontroll- und Sicherheitsvorkehrungen bei der elektronischen Datenverarbeitung einrichten. Ferner müssen AIFM ein hohes Maß an Sicherheit gewährleisten und gegebenenfalls für die Integrität und vertrauliche Behandlung der aufgezeichneten Daten sorgen.
In Umsetzung der AIFMD und zur Ergänzung der Anforderung der Level-II-Verordnung werden KVGen gemäß Paragraf 28 Abs. 1 Satz 2 Nr. 5 KAGB in besonderer Herausstellung der Anforderungen an eine ordnungsgemäße Geschäftsorganisation an den Paragraf 9 BDSG(alt) beziehungsweise die Anlage zu Paragraf 9 Satz 1 BDSG(alt) gebunden. Unter Berücksichtigung dieser Vorgaben haben KVGen schon im Zulassungsantrag nach den Paragrafen 18 und 22 KAGB Angaben darüber zu machen, wie sie den Fragen des – technischen – Datenschutzes begegnen möchten und wie die Vorgaben des BDSG im Sinne der ordnungsgemäßen Geschäftsorganisation umgesetzt werden sollen. Dieses Erfordernis wird nun durch die DSGVO weiter konkretisiert.
Neu nach DSGVO. Über Artikel 25 DSGVO sollen die Grundsätze „data protection by design“ und „data protection by default“ umgesetzt werden, um nötige technische und organisatorische Anforderungen zu etablieren. Verantwortliche im Sinne der DSGVO müssen interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen genügen. Das heißt, KVGen benötigen wirksame und an dem Geschäftsmodell ausgerichtete IT- und Datenschutzrichtlinien. Sie müssen diese aber auch „leben“, indem die Systeme wie beschrieben eingestellt und prozessuale Vorkehrungen gegen Missbrauch oder Pannen getroffen werden. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, es der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern (vgl. Erwägungsgrund 78 zur DSGVO). Auch das über die KAMaRisk bereits pflichtige Notfallkonzept gewinnt in diesem Kontext an Relevanz und sollte den Umgang mit „Datenpannen“ umfassen.
Daneben übernimmt der Paragraf 64 BDSG (neu) beinahe wortgleich den alten Paragraf 9 BDSG – inklusive der Anlage hierzu – und ergänzt beziehungsweise spezifiziert diese Vorgaben. Die Schlagworte Zugangs- und Zugriffsrechte, Datenträger-, Benutzer-, und Speicherkontrolle, Zuverlässigkeit und Integrität werden KVGen auch weiterhin begleiten. Begrenzt werden diese Umsetzungsanforderungen dadurch, dass KVGen die Ausrichtung an dem konkreten Geschäftsmodell, an den Risiken, der Eintrittswahrscheinlichkeit oder der Schwere der Schäden (Angemessenheit) sowie an dem Stand der Technik vornehmen sollen und auch die Implementierungskosten beachten können. Gemäß Paragraf 64 Absatz 1 Satz 2 BDSG(neu) können zur Festlegung des Standes der Technik die einschlägigen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik berücksichtigt werden. Für die Bemessung der „angemessenen“ Umsetzung sollte eine sorgfältige Analyse des eigenen Hauses die Grundlage bilden.
Datenhaushalt zentral verwalten. Im Idealfall der digitalen KVG wird jede im Geschäftsprozess generierte Einzelinformation einmal und eindeutig in einer zentralen Datenbank gespeichert und kann von dort jederzeit mit jeder beliebigen anderen Einzelinformation derselben kombiniert, abgefragt und verarbeitet werden. Ferner wird schon beim Generieren von Einzeldateien eine Qualitätssicherung als Eingangskontrolle durchgeführt. So können KVGen auch bei komplexeren Verarbeitungsvorgängen sicherstellen, dass die Datenqualität gewahrt ist. Fälle von Berichtigungs- oder gar Löschungsanforderungen nach der DSGVO können so minimiert werden. Des Weiteren kann über eine so geführte Datenbank jederzeit und unverzüglich (wie es die DSGVO fordert) Auskunft über gespeicherte Daten und auch die Art der Verarbeitung erteilt werden.
Die bisher oft redundante Erfassung von Informationen in unterschiedlichen Systemen wie CRM, Fondsbuchhaltung, ERP und weiteren administrativen Systemen passt nicht mehr zu den Anforderungen der DSGVO und des BDSG(neu). Fehler in der Datenerfassung lassen sich zwar kaum vollständig vermeiden, das Risiko steigt jedoch mit jeder erneuten Erfassung. Ein weiteres Risiko der redundanten Datenspeicherung ist die unvollständige Korrektur von Fehlern in einzelnen Datenbanken, die inkonsistente Datenbestände zur Folge hat. Auch obligatorische Berichte werden in vielen KVGen noch manuell generiert, die Daten für bestimmte Berichte des Risiko- oder Portfoliomanagements manuell aus verschiedenen Datenbanken in Excel-Tabellen zusammengetragen. So ist kaum eine jederzeitige Kontrolle der Datenströme möglich. Wenn der Datenhaushalt nicht zentral verwaltet und in die einzelnen Geschäftsbereiche und Zielmedien gesteuert wird, kann eine KVG den Anforderungen kaum mehr gerecht werden.
Ein weiterer zentraler Punkt der DSGVO und ein insbesondere schon bei der Zulassung relevanter Aspekt bleibt die Frage nach der Notwendigkeit eines betrieblichen Datenschutzbeauftragten. Nach Paragraf 38 Absatz 1 Satz 1 BDSG(neu) verbleibt es im Wesentlichen bei den bestehenden Anforderungen an die Pflicht zur Bestellung eines Datenschutzbeauftragten, so dass KVGen ab einer Betriebsgröße von zehn Personen, in der Regel über einen Datenschutzbeauftragten verfügen müssen. Der Pflichten- und Aufgabenkreis des Datenschutzbeauftragten bleibt im Wesentlichen unverändert. Ob dieser extern beauftragt oder ein interner Mitarbeiter eingesetzt wird, sollte von den individuellen Bedürfnissen der KVG abhängig gemacht werden. Diese Personalie sollte jedoch nicht als bloße ex-post Kontrolle eingerichtet werden. Vielmehr sollte der Datenschutzbeauftragte aktiv in die Prozessgestaltung und die relevanten Abläufe eingebunden werden.
Fazit. Zusammenfassend zeigt sich, dass Datenschutz im Kapitalmarkt bereits gelebte Wirklichkeit sein sollte, mindestens aber ab dem 25. Mai 2018 sein muss. Sofern noch nicht geschehen wird es allerhöchste Zeit, entsprechende Maßnahmen zu ergreifen. Einige Antworten zur DSGVO sind bereits durch das bestehende nationale Datenschutzrecht gegeben und sollten Marktstandard sein. Es wird jedoch keine Gesellschaft darum herumkommen, sich mit den Details der DSGVO zu beschäftigen und in einer sorgfältigen Analyse zu bestimmen, an welchen Stellen die eigene Organisation Nachbesserungsbedarf hat und eventuelle Haftungsrisiken aus dem Datenschutz in den individuellen Geschäftsabläufen minimiert werden können.
Auch für Kapitalverwaltungsgesellschaften (KVGen) und die von ihnen verwalteten Investmentvermögen (AIF) wird dieser Systemwechsel nicht ohne Folgen und vor allem nicht ohne das ein oder andere „DSGVO-Projekt“ bleiben. Das muss nicht bedeuten, dass die DSGVO die Betriebsabläufe einer KVG auf den Kopf stellt, denn das Schutzniveau in Deutschland war schon zuvor hoch. Doch das Thema DSGVO sollte auch nicht leichtfertig abgetan werden.
Im originären Interesse der KVG. Denn anders als bisher drohen geradezu drakonische Strafen für Verstöße gegen die DSGVO beziehungsweise das BDSG von Seiten der Datenschutzaufsichtsbehörden in Form von Bußgeldern, aber auch erstmals immaterielle Schadensersatzansprüche seitens der betroffenen Personen. Gemäß Artikel 83 DSGVO können Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Gegebenenfalls entstehende Schäden sind in der Höhe nicht gedeckelt. Im Vergleich zum bisherigen BDSG ist dies eine enorme Steigerung.
In diesem Sinne sollte eine DSGVO-konforme Geschäftsorganisation nicht bloß aus Wohlwollen zum Schutz der Betroffenen eingerichtet werden, sondern auch im originären Interesse der KVG selbst sein. Wie eine solche Geschäftsorganisation konkret ausgestaltet sein sollte, beantwortet die DSGVO leider nur schlagwortartig. Insofern besteht bei den KVGen oft Unsicherheit, ob das eigene IT System und die Geschäftsabläufe der DSGVO genügen.
State oft the art. Zumindest wenn KVGen in den vergangenen Jahren die Zeichen der Zeit beachtet und eine personelle und technische Infrastruktur etabliert haben, die uneingeschränkte Transparenz und Kontrolle ihrer Datenströme und Geschäftsabläufe ermöglicht, dürfte der Anpassungsaufwand geringer ausfallen.
Der Schutz personenbezogener Daten beziehungsweise der betroffenen Personen im Allgemeinen sollte im Markt keine Unbekannte sein und dürfte zumindest in der formalen Organisationsstruktur allseits Beachtung finden. Schon nach der gegenwärtigen Rechtslage waren KVGen, wie auch sämtliche andere nicht-öffentliche Stellen, nach dem BDSG verpflichtet. Auch die Richtlinie 2011/61/EU über die Verwalter alternativer Investmentfonds (kurz AIFMD) und die damit korrespondierende Level-II-Verordnung enthalten bereits datenschutzrechtliche Regelungen. Danach sollen AIFM für die ordnungsgemäße Verwaltung der AIF jederzeit angemessene und geeignete personelle und technische Ressourcen einsetzen und in Bezug auf letztere angemessene Kontroll- und Sicherheitsvorkehrungen bei der elektronischen Datenverarbeitung einrichten. Ferner müssen AIFM ein hohes Maß an Sicherheit gewährleisten und gegebenenfalls für die Integrität und vertrauliche Behandlung der aufgezeichneten Daten sorgen.
In Umsetzung der AIFMD und zur Ergänzung der Anforderung der Level-II-Verordnung werden KVGen gemäß Paragraf 28 Abs. 1 Satz 2 Nr. 5 KAGB in besonderer Herausstellung der Anforderungen an eine ordnungsgemäße Geschäftsorganisation an den Paragraf 9 BDSG(alt) beziehungsweise die Anlage zu Paragraf 9 Satz 1 BDSG(alt) gebunden. Unter Berücksichtigung dieser Vorgaben haben KVGen schon im Zulassungsantrag nach den Paragrafen 18 und 22 KAGB Angaben darüber zu machen, wie sie den Fragen des – technischen – Datenschutzes begegnen möchten und wie die Vorgaben des BDSG im Sinne der ordnungsgemäßen Geschäftsorganisation umgesetzt werden sollen. Dieses Erfordernis wird nun durch die DSGVO weiter konkretisiert.
Neu nach DSGVO. Über Artikel 25 DSGVO sollen die Grundsätze „data protection by design“ und „data protection by default“ umgesetzt werden, um nötige technische und organisatorische Anforderungen zu etablieren. Verantwortliche im Sinne der DSGVO müssen interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen genügen. Das heißt, KVGen benötigen wirksame und an dem Geschäftsmodell ausgerichtete IT- und Datenschutzrichtlinien. Sie müssen diese aber auch „leben“, indem die Systeme wie beschrieben eingestellt und prozessuale Vorkehrungen gegen Missbrauch oder Pannen getroffen werden. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, es der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern (vgl. Erwägungsgrund 78 zur DSGVO). Auch das über die KAMaRisk bereits pflichtige Notfallkonzept gewinnt in diesem Kontext an Relevanz und sollte den Umgang mit „Datenpannen“ umfassen.
Daneben übernimmt der Paragraf 64 BDSG (neu) beinahe wortgleich den alten Paragraf 9 BDSG – inklusive der Anlage hierzu – und ergänzt beziehungsweise spezifiziert diese Vorgaben. Die Schlagworte Zugangs- und Zugriffsrechte, Datenträger-, Benutzer-, und Speicherkontrolle, Zuverlässigkeit und Integrität werden KVGen auch weiterhin begleiten. Begrenzt werden diese Umsetzungsanforderungen dadurch, dass KVGen die Ausrichtung an dem konkreten Geschäftsmodell, an den Risiken, der Eintrittswahrscheinlichkeit oder der Schwere der Schäden (Angemessenheit) sowie an dem Stand der Technik vornehmen sollen und auch die Implementierungskosten beachten können. Gemäß Paragraf 64 Absatz 1 Satz 2 BDSG(neu) können zur Festlegung des Standes der Technik die einschlägigen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik berücksichtigt werden. Für die Bemessung der „angemessenen“ Umsetzung sollte eine sorgfältige Analyse des eigenen Hauses die Grundlage bilden.
Datenhaushalt zentral verwalten. Im Idealfall der digitalen KVG wird jede im Geschäftsprozess generierte Einzelinformation einmal und eindeutig in einer zentralen Datenbank gespeichert und kann von dort jederzeit mit jeder beliebigen anderen Einzelinformation derselben kombiniert, abgefragt und verarbeitet werden. Ferner wird schon beim Generieren von Einzeldateien eine Qualitätssicherung als Eingangskontrolle durchgeführt. So können KVGen auch bei komplexeren Verarbeitungsvorgängen sicherstellen, dass die Datenqualität gewahrt ist. Fälle von Berichtigungs- oder gar Löschungsanforderungen nach der DSGVO können so minimiert werden. Des Weiteren kann über eine so geführte Datenbank jederzeit und unverzüglich (wie es die DSGVO fordert) Auskunft über gespeicherte Daten und auch die Art der Verarbeitung erteilt werden.
Die bisher oft redundante Erfassung von Informationen in unterschiedlichen Systemen wie CRM, Fondsbuchhaltung, ERP und weiteren administrativen Systemen passt nicht mehr zu den Anforderungen der DSGVO und des BDSG(neu). Fehler in der Datenerfassung lassen sich zwar kaum vollständig vermeiden, das Risiko steigt jedoch mit jeder erneuten Erfassung. Ein weiteres Risiko der redundanten Datenspeicherung ist die unvollständige Korrektur von Fehlern in einzelnen Datenbanken, die inkonsistente Datenbestände zur Folge hat. Auch obligatorische Berichte werden in vielen KVGen noch manuell generiert, die Daten für bestimmte Berichte des Risiko- oder Portfoliomanagements manuell aus verschiedenen Datenbanken in Excel-Tabellen zusammengetragen. So ist kaum eine jederzeitige Kontrolle der Datenströme möglich. Wenn der Datenhaushalt nicht zentral verwaltet und in die einzelnen Geschäftsbereiche und Zielmedien gesteuert wird, kann eine KVG den Anforderungen kaum mehr gerecht werden.
Ein weiterer zentraler Punkt der DSGVO und ein insbesondere schon bei der Zulassung relevanter Aspekt bleibt die Frage nach der Notwendigkeit eines betrieblichen Datenschutzbeauftragten. Nach Paragraf 38 Absatz 1 Satz 1 BDSG(neu) verbleibt es im Wesentlichen bei den bestehenden Anforderungen an die Pflicht zur Bestellung eines Datenschutzbeauftragten, so dass KVGen ab einer Betriebsgröße von zehn Personen, in der Regel über einen Datenschutzbeauftragten verfügen müssen. Der Pflichten- und Aufgabenkreis des Datenschutzbeauftragten bleibt im Wesentlichen unverändert. Ob dieser extern beauftragt oder ein interner Mitarbeiter eingesetzt wird, sollte von den individuellen Bedürfnissen der KVG abhängig gemacht werden. Diese Personalie sollte jedoch nicht als bloße ex-post Kontrolle eingerichtet werden. Vielmehr sollte der Datenschutzbeauftragte aktiv in die Prozessgestaltung und die relevanten Abläufe eingebunden werden.
Fazit. Zusammenfassend zeigt sich, dass Datenschutz im Kapitalmarkt bereits gelebte Wirklichkeit sein sollte, mindestens aber ab dem 25. Mai 2018 sein muss. Sofern noch nicht geschehen wird es allerhöchste Zeit, entsprechende Maßnahmen zu ergreifen. Einige Antworten zur DSGVO sind bereits durch das bestehende nationale Datenschutzrecht gegeben und sollten Marktstandard sein. Es wird jedoch keine Gesellschaft darum herumkommen, sich mit den Details der DSGVO zu beschäftigen und in einer sorgfältigen Analyse zu bestimmen, an welchen Stellen die eigene Organisation Nachbesserungsbedarf hat und eventuelle Haftungsrisiken aus dem Datenschutz in den individuellen Geschäftsabläufen minimiert werden können.
Der Gastbeitrag stammt von Christian Maaß, LLM und Syndikusanwalt der CONNOS GmbH.
