• PartnerLounge
  • Bellevue Funds (Lux) SICAV
  • Metzler Asset Management
  • Comgest Deutschland GmbH
  • Capital Group
  • Robeco
  • Degroof Petercam SA
  • William Blair
  • Columbia Threadneedle Investments
  • Shareholder Value Management AG
  • DONNER & REUSCHEL AG
  • Bakersteel Capital Managers
  • ODDO BHF Asset Management
  • KanAm Grund Kapitalverwaltungsgesellschaft mbH
  • Aberdeen Standard Investments
  • Pro BoutiquenFonds GmbH
  • Edmond de Rothschild Asset Management
  • iQ-FOXX Indices
  • AB Europe GmbH
  • M&G Investments
  • Morgan Stanley Investment Management
  • Carmignac
  • RBC BlueBay Asset Management
  • Pictet
  • dje Kapital AG
  • DAX----
  • ES50----
  • US30----
  • EUR/USD----
  • BRENT----
  • GOLD----

FR-Exklusiv: EU-Datenschutz - Die Zweckbindung

Marc Pussar, Fachanwalt Finance bei KPMG Law (Bild: FR)
Datensicherheit

FundResearch fragt, Experten antworten. Ab dem 25. Mai gilt die neue EU Datenschutzgrundverordnung. Damit kommen höhere Anforderungen und verschärfte Sanktionen auf Vermögensverwalter und Anlageberater zu. Marc Pussar, Fachanwalt bei KPMG Law, beantwortet wichtige Fragen zum Thema DS-GVO. Im ersten Beitrag geht es um die Zweckbindung.

10.04.2018 | 08:05 Uhr von «Matthias von Arnim»

Mit dem Eintreten der neuen EU-Datenschutzrichtlinie müssen Unternehmen nachweisen, dass sie datenschutzkonform sind (Rechenschaftspflicht). Bei Verstößen gegen Datenschutzbestimmungen drohen zukünftig Bußgelder bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes.

Die DS-GVO basiert auf Grundsätzen für die Verarbeitung personenbezogener Daten. Ein Grundsatz ist die Zweckbindung. Danach dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Im Umkehrschluss scheidet eine Verarbeitung personenbezogener Daten zu noch nicht festgelegten Zwecken aus. Die Speicherung von Daten auf Vorrat ist verboten.

Zweckbindungsgrundsatz weitet die Informationspflichten aus

Der Zweck der Verarbeitung muss schon bei der Erhebung der Daten feststehen und für die betroffene Person eindeutig erkennbar sein (Transparenz der Datenverarbeitung / Informationspflichten). Die datenschutzrechtlichen Informationspflichten gehen mit der DS-GVO viel weiter als zuvor. Ähnliche Informationstexte, wie man sie bisher als Datenschutzerklärungen auf Webseiten kennt, sind zukünftig immer erforderlich, wenn personenbezogene Daten verarbeitet werden. Damit kommen noch weitere Informationen zu den häufig bereits umfangreichen und damit unübersichtlichen Informationspflichten, die rund um Finanzprodukte bestehen.

Der einmal festgelegte Zweck beschränkt anschließend die zulässige Datenverarbeitung und damit den Umfang der Daten, die erhoben werden dürfen. So darf die Datenabfrage für die Anlage eines Girokontos nicht um Angaben ergänzt werden, die nur für ein zukünftiges Cross-Selling anderer Finanzprodukte interessant sein könnten. Auch die zulässige Art und Weise der Verarbeitung ist durch den festgelegten Zweck begrenzt. Die Daten dürfen daher nicht ohne weiteres im Rahmen eines konzernweiten Data-Minings eingesetzt werden. Bwedacht werden muss weiterhin, dass personenbezogene Daten grundsätzlich mit dem Wegfall des Zwecks zu löschen (Löschpflicht) sind, auch wenn sie für die Vermarktung zukünftiger Produkte meist gut nutzbar wären.

Anonyme Datenerhebung hat Vorrang

Die DS-GVO stellt klar, dass personenbezogenen Daten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein sollten. Personenbezogene Daten dürfen nur verarbeitet werden, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Ein anderes Mittel kann etwa die Nutzung anonymer Daten sein. Anonyme Daten lassen keinen Bezug auf einzelne Individuen zu und sind daher nicht personenbezogen. Deshalb gilt für sie kein Datenschutz. Anonyme Daten reichen etwa, wenn eine Big Data-Analyse der allgemeinen Bestimmung von Kundeninteressen dient, ohne dass es auf individuelle Kunden ankommt.

Den festgelegten Zweck zu ändern, ist nicht ohne weiteres rechtlich möglich. Das ist besonders im Umfeld der Digitalisierung der Finanzindustrie relevant. Kundendaten sind eine wesentliche Ressource bei der Erschließung neuer Wertschöpfungspotentiale. Diese Entwicklung wird durch FinTechs und die neuen Regelungen der PSD2 zum Kontenzugang für Drittanbieter (XS2A) bestärkt. So lassen sich Transaktionsdaten innovativ nutzen, etwa um bestehende Finanzprodukte zu identifizieren und den Bestand zu optimieren (z. B. Zahlungen für Sparplan), Über- oder Unterversicherungen zu erkennen, das Einnahmen-, Ausgabenverhältnis zu analysieren oder Bonitätsprüfungen vorzunehmen. Dabei handelt es sich jedoch um einen neuen Zweck der Datenverarbeitung.

Die Verarbeitung der Daten zu einem geänderten Zweck ist grundsätzlich möglich, wenn die betroffene Person in diese Zweckänderung einwilligt. Dies bedeutet einen erheblichen Aufwand für Unternehmen, wenn die Zweckänderung ihre gesamte Kundendatenbank betrifft, etwa bei einer geplanten erweiterten Nutzung bestehender CRM-Daten. Für die Weiterverarbeitung zu einem neuen Zweck genügt es aber, dass der neue Zweck mit dem ursprünglichen Zweck vereinbar ist (Zweckkompatibilität).

Short-Cut für die Zweckvereinbarkeit

Für die Prüfung der Vereinbarkeit des Zwecks der Datenerhebung mit dem Zweck ihrer Weiterverarbeitung (Kompatibilitätsprüfung), nennt die DS-GVO Beispielkriterien. Das Unternehmen muss für die Kompatibilitätsprüfung unter anderem berücksichtigen, ob ein Zusammenhang zwischen dem Zweck der Datenerhebung und dem Zwecken der beabsichtigten Weiterverarbeitung besteht. Zudem ist zu beachten, in welchem Kontext die Daten ursprünglich erhoben wurden. Dabei sind insbesondere die Erwartungen der betroffenen Person wichtig, die diese auf Grund ihrer Beziehung zu dem für die Datenerhebung Verantwortlichen vernünftigerweise haben durfte. Die Art der personenbezogenen Daten ist ebenfalls relevant.

Die Anforderungen steigen, wenn es sich um besonders geschützte Kategorien von Daten handelt. Hierzu zählen Daten zur rassischen und ethnischen Herkunft, politische Meinungen, religiösen oder weltanschaulichen Überzeugungen oder die Gewerkschaftszugehörigkeit sowie genetischen und biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung sowie Daten über strafrechtliche Verurteilungen und Straftaten. Solche Daten können etwa in Transaktionsdaten enthalten sein, die sich auf eine ärztliche Behandlung beziehen. Schließlich ist es wichtig, welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen. Hierzu kann die Verschlüsselung oder Pseudonymisierung der Daten gehören, durch die die Sicherheit der Datenverarbeitung erhöht wird.

Das Risiko bleibt bei den Unternehmen

Die Anforderungen an eine Zweckänderung sind jedoch teilweise noch umstritten. Das Bewertungsrisiko liegt bei den Unternehmen. Wegen der erhöhten Nachweispflichte und Sanktionen ist daher mit Zweckänderungen vorerst vorsichtig umzugehen, bis konkrete Vorgaben der Aufsichtsbehörden vorliegen. In jedem Fall sollte nachweisbar sein, dass die in die Grundsätze der DS-GVO angewandt werden und insbesondere die betroffene Person über diese anderen Zwecke und über ihre Rechte unterrichtet wird.

Diesen Beitrag teilen: