• DAX----
  • T-DAX----
  • ESt50----
  • EUR/USD----
  • BRENT----
  • GOLD----
  • Metzler Asset Management
  • Natixis Investment Managers S.A.
  • Capital Group
  • Janus Henderson Investors
  • Morgan Stanley Investment Management
  • Robeco
  • Schroders
  • Bellevue Funds (Lux) SICAV
  • Kames Capital
  • Edmond de Rothschild Asset Management
  • Credit Suisse (Deutschland) AG
  • AXA Investment Managers
  • UBS Asset Management (Deutschland) GmbH
  • Carmignac
  • KanAm Grund Kapitalverwaltungsgesellschaft mbH
  • Moventum
  • Columbia Threadneedle Investments
  • Berenberg Vermoegensverwalter Office
  • UBS ETFs
  • Bakersteel Capital Managers
  • M&G Investments
  • Pictet
  • WisdomTree Europe
  • iQ-FOXX Indices
  • ETF Securities
  • Comgest
  • ODDO BHF Asset Management
  • La Financière de l'Echiquier
  • BNP Paribas Asset Management
  • Degroof Petercam SA
  • NN Investment Partners

Exklusiv: EU-Datenschutz – Was jetzt noch wichtig ist

Marc Pussar, KPMG Law

FundResearch fragt, Experten antworten. Seit dem 25. Mai gilt die neue EU Datenschutzgrundverordnung. Das bedeutet höhere Anforderungen und verschärfte Sanktionen für Vermögensverwalter und Anlageberater. Marc Pussar, Rechtsanwalt bei KPMG Law, beantwortet wichtige Fragen zum Thema DS-GVO.

14.06.2018 | 11:03 Uhr von «Dominik Weiss»

Mit dem Eintreten der neuen EU- Datenschutzgrundverordnung müssen Unternehmen nachweisen, dass sie datenschutzkonform sind (Rechenschaftspflicht). Bei Verstößen gegen Datenschutzbestimmungen drohen zukünftig Bußgelder bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes.

Die DS-GVO basiert auf Grundsätzen für die Verarbeitung personenbezogener Daten. Ein Grundsatz ist die Rechtmäßigkeit der Verarbeitung. Allgemein gilt alles als erlaubt, was nicht verboten ist. Zum Schutz personenbezogener Daten gilt für deren Verarbeitung allerdings das Gegenteil. Die Verarbeitung personenbezogene Daten ist nur rechtmäßig, wenn ein Erlaubnisgrund vorliegt. Dies war auch schon nach dem bisherigen Datenschutzrecht so. Die DS-GVO führt die möglichen Erlaubnisgründe abschließend auf. Darunter befindet sich ein in der Praxis wichtiger und gleichzeitig anspruchsvoller Erlaubnisgrund: Die Verarbeitung zur Wahrung berechtigter Interessen.

Nach der DS-GVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Dies gilt aber nur, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der Person überwiegen, deren Daten verarbeitet werden. Also der Person, deren Daten verarbeitet werden. Einen ähnlichen Erlaubnisgrund gab es schon nach dem bisherigen Recht. Der neue Erlaubnisgrund ist aber weitergehend und kann nun auch die Datenverarbeitung zu Wahrung von Drittinteressen rechtfertigen. In dem weiteren Anwendungsbereich besteht ein gewisser Ausgleich für die Verschärfung anderer Erlaubnisgründe durch die DS-GVO.

Hilfe für die Anpassung bestehender Prozesse und die Digitalisierung

Die Verarbeitung zur Wahrung berechtigter Interessen kann etwa in Fällen erfolgen, in denen keine Einwilligung der betroffenen Person vorliegt. Bei vielen Finanzinstituten bestehen Prozesse, etwa in Bezug auf Bestandskunden oder die konzerninterne Datenverarbeitung, die nur mit erheblichem Aufwand über Einwilligungen an die DS-GVO angepasst werden können. Zudem kann etwa das Einholen einer Einwilligung die Prozesse der Kundengewinnung erschweren. Das kann mit digitalen Geschäftsmodellen in Konflikt geraten, die im Zeitalter der FinTechs darauf setzen, klassische Themen aus dem Finanzbereich mit einer besseren User Experience und neuen Wertschöpfungsmodellen innovativ zu gestalten. In diesen Fällen kann der Erlaubnisgrund der Verarbeitung zur Wahrung berechtigter Interessen helfen.

Berechtigte Interessen: Betrugsprävention, Direktwerbung, kleines Konzernprivileg, Netz- und IT-Sicherheit

Ob die Voraussetzungen für eine Verarbeitung zur Wahrung berechtigter Interessen vorliegen, ist im Einzelfall zu prüfen. Dabei ist das berechtigte Interesse des Unternehmens mit den schutzwürdigen Interessen der betroffenen Person abzuwägen. Im Rahmen der Interessenabwägung sind alle relevanten Aspekte besonders sorgfältig zu berücksichtigen. Dabei ist vornehmlich das informationelle Selbstbestimmungsrecht der betroffenen Person zu beachten, nach dem jeder Mensch das Recht hat, selbst zu entscheiden, was mit seinen Daten geschieht. Als schutzwürdiges Interesse können aber grundsätzlich auch andere Gesichtspunkte in Betracht kommen. Neben rechtlichen Interessen sind auch wirtschaftliche und ideelle Interessen zu beachten.

Die DS-GVO benennt ausdrücklich einige Fallgruppen in denen von einem berechtigten Interesse auszugehen ist und vereinfacht damit die Argumentation in diesen Fällen deutlich.

  • Hierzu gehört die Verarbeitung zur Betrugsprävention und Maßnahmen zur Verbesserung der Netz- und IT-Sicherheit, was besonders für die Anwendung von IT-Sicherheitssystemen wichtig ist.
  • Ebenfalls genannt ist die Direktwerbung. Dies kann besonders in Bezug auf die Akquise von Kunden hilfreich sein, bei denen insbesondere noch kein „Onboarding-Prozess“ erfolgt ist, in dessen Rahmen eine Einwilligung hätte eingeholt werden können.
  • Auch als berechtigtes Interesse angeführt ist das sogenannte „kleine Konzernprivileg“. Grundsätzlich spielt es weder nach altem noch nach neuem Datenschutzrecht eine Rolle, ob Daten zwischen Konzernunternehmen oder zwischen „fremden“ Unternehmen ausgetauscht werden. Für die Prozesse innerhalb eines Konzerns ist es meist unerheblich, ob Daten zwischen Mitarbeitern, Abteilungen oder Konzernunternehmen fließen. Datenschutzrechtlich bedarf der letzte Fall aber eines Erlaubnisgrunds. Die Wahrung berechtigter Interessen kommt hier in Frage, soweit es darum geht für interne Verwaltungszwecke Daten mit einer zentralen Stelle innerhalb des Konzerns auszutauschen. Zu denken ist dabei insbesondere an zentral verwaltete Kunden- oder Beschäftigtendaten. Dabei weist die DS-GVO aber ausdrücklich darauf hin, dass sich hierdurch nichts an den Grundprinzipien für die Übermittlung an Konzernunternehmen in einem Drittland ändert. Das ist besonders zu beachten, wenn Daten an Konzernunternehmen außerhalb Europas fließen sollen, etwa in die USA.

Interessenabwägung im Einzelfall erforderlich: Erwartungen der betroffenen Personen

Die DS-GVO nennt Beispiele dafür, was im Rahmen der Interessenabwägung zu beachten ist. So sind etwa die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen, die auf ihrer Beziehung zum Unternehmen beruhen. Ein berechtigtes Interesse kann vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht. Davon ist etwa dann auszugehen, wenn der Betroffene ein Kunde oder ein Mitarbeiter ist. Damit wird die Verarbeitung von Daten von Bestandskunden einfacher zu rechtfertigen sein als die Verarbeitung von Daten potentieller Neukunden, mit denen bisher keine Beziehung besteht.

Zudem ist zu prüfen, ob eine betroffene Person zum Zeitpunkt der Datenerhebung und angesichts deren Umstände, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgt (Transparenzprinzip). In einigen Fällen lässt sich dies leicht argumentieren, wenn die Verarbeitung erfahrungsgemäß aufgrund einer Branchenüblichkeit auf der Hand liegt. Dagegen ist, etwa die Anreicherung und neue Nutzung von Bestandsdaten als „intelligente“ Daten, weniger vorhersehbar. Daher kann in diesem Fall das Schutzinteresse des Betroffenen vorgehen und die Datenverarbeitung zur Wahrung berechtigter Interessen verbieten. Bei personenbezogenen Daten von Kindern ist zudem von vornherein ein besonderer Schutzbedarf und damit grundsätzlich ein überwiegendes Interesse der Kinder anzunehmen, das die Verarbeitung ihrer Daten zur Wahrung berechtigter Interessen ausschließt.

Herausforderungen: Informationspflichten und Widerspruchsrecht, Rechenschaftspflicht

Die datenschutzrechtlichen Informationspflichten gehen mit der DS-GVO viel weiter. Nun müssen die Informationspflichten grundsätzlich in jedem Fall der Verarbeitung personenbezogener Daten erfüllt werden. Bisher kannte man vor allem die Datenschutzerklärung auf Webseiten, die einfacher umzusetzen sein dürfte als die Integration von Informationspflichten in anderen Prozessen. Dies wird besonders in Bezug auf Prozesse gelten, in denen eine Verarbeitung zur Wahrung berechtigter Interessen erfolgt. Typischerweise gibt es bei diesen Prozessen nämlich gerade keinen Prozessschritt zur Einholung einer Einwilligung, der sich relativ einfach um die Weitergabe der Informationspflichten ergänzen ließe. Zudem ist zu beachten, dass bei einer Verarbeitung zur Wahrung berechtigter Interessen ein besonderes Widerspruchsrecht des Betroffenen besteht, auf das dieser im Rahmen der Informationspflichten hinzuweisen ist.

Bei der Verarbeitung zur Wahrung berechtigter Interessen ist eine sorgfältige Dokumentation der erfolgten Interessenabwägung besonders ratsam. Der Interpretationsspielraum der Interessenabwägung eröffnet Unternehmen interessante Gestaltungsmöglichkeiten. Gleichzeitig besteht damit ein erhöhtes Risiko für eine zu weitgehende Anwendung. Das Unternehmen muss sich dem richtigen Maß in eigener Verantwortung auf der Basis des sogenannten risikobasierten Ansatzes nähern und dies ausreichend dokumentieren, um der durch die DS-GVO bestehenden Rechenschaftspflicht zu genügen.

Diesen Beitrag teilen: