Christian Maaß, LL.M.Syndikusrechtsanwalt CONNOS GmbHAb dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) europaweit anzuwenden. Die Tinte unter dieser Verordnung ist trocken und auch die Novellierung des Bundesdatenschutzgesetzes (BDSG (neu)) als nationales Begleitgesetz wurde bereits 2017 verabschiedet, so dass Europa nun nach einem knapp fünf Jahre dauernden Gesetzgebungsverfahren eine neue Entwicklungsstufe im Datenschutz erreicht. Auch für Kapitalverwaltungsgesellschaften (KVGs) und die von ihnen verwalteten Investmentvermögen (AIF) wird dieser Systemwechsel nicht ohne Folgen und vor allem nicht ohne das ein oder andere “DSGVO-Projekt” bleiben. Das muss nicht bedeuten, dass die Datenschutzgrundverordnung die Betriebsabläufe einer KVG auf den Kopf stellt, denn das Schutzniveau in Deutschland war schon zuvor hoch. Doch das Thema DSGVO sollte auch nicht leichtfertig abgetan werden.Denn anders als bisher drohen geradezu drakonische Strafen für Verstöße gegen die DSGVO bzw. das BDSG von Seiten der Datenschutzaufsichtsbehörden in Form von Bußgeldern, aber auch erstmals immaterielle Schadenersatzansprüche seitens der betroffenen Personen. Gem. Art. 83 DSGVO können Geldbußen von bis zu 20 Mill. Euro oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Gegebenenfalls entstehende Schäden sind in der Höhe nicht einmal gedeckelt. Im Vergleich zum bisherigen BDSG ist dies eine enorme Steigerung. In diesem Sinne sollte eine DSGVO-konforme Geschäftsorganisation nicht bloß aus Wohlwollen zum Schutz der Betroffenen eingerichtet werden, sondern auch im originären Interesse der KVG selbst sein. Wie eine solche Geschäftsorganisation konkret ausgestaltet sein sollte, beantwortet die DSGVO leider nur schlagwortartig. Insofern besteht bei den KVGs oft Unsicherheit, ob das eigene IT-System und die Geschäftsabläufe der DSGVO genügen. Zumindest wenn KVGs in den vergangenen Jahren die Zeichen der Zeit beachtet und eine personelle und technische Infrastruktur etabliert haben, die uneingeschränkte Transparenz und Kontrolle ihrer Datenströme und Geschäftsabläufe ermöglicht, dürfte der Anpassungsaufwand geringer ausfallen.Der Schutz personenbezogener Daten bzw. der betroffenen Personen im Allgemeinen sollte im Markt keine Unbekannte sein und dürfte zumindest in der formalen Organisationsstruktur allseits Beachtung finden. Schon nach der gegenwärtigen Rechtslage waren KVGs, wie auch sämtliche andere nichtöffentliche Stellen, nach dem BDSG dazu verpflichtet. Auch die Richtlinie 2011/61/EU über die Verwalter alternativer Investmentfonds (kurz AIFMD) und die damit korrespondierende Level-II-Verordnung enthalten bereits datenschutzrechtliche Regelungen. Danach sollen AIFM für die ordnungsgemäße Verwaltung der AIF jederzeit angemessene und geeignete personelle und technische Ressourcen einsetzen und in Bezug auf letztere angemessene Kontroll- und Sicherheitsvorkehrungen bei der elektronischen Datenverarbeitung einrichten. Ferner müssen AIFM ein hohes Maß an Sicherheit gewährleisten und gegebenenfalls für die Integrität und vertrauliche Behandlung der aufgezeichneten Daten sorgen.In Umsetzung der AIFMD und zur Ergänzung der Anforderung der Level-II-Verordnung werden KVGs gem. § 28 Abs. 1 S. 2 Nr. 5 KAGB in besonderer Herausstellung der Anforderungen an eine ordnungsgemäße Geschäftsorganisation an den § 9 BDSG (alt) bzw. die Anlage zu § 9 S. 1 BDSG (alt) gebunden. Unter Berücksichtigung dieser Vorgaben haben KVGs schon im Zulassungsantrag nach den §§ 22, 18 KAGB Angaben darüber zu machen, wie sie den Fragen des – technischen – Datenschutzes begegnen möchten und wie die Vorgaben des BDSG i. S. d. ordnungsgemäßen Geschäftsorganisation umgesetzt werden sollen. Dieses Erfordernis wird nun durch die DSGVO weiter konkretisiert. Über Art. 25 DSGVO sollen die Grundsätze “data protection by design” und “data protection by default” umgesetzt werden, um nötige technische und organisatorische Anforderungen zu etablieren. Verantwortliche i. S. d. der DSGVO (also u. a. KVGs) müssen interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen genügen. Das heißt, KVGs benötigen wirksame und an dem Geschäftsmodell ausgerichtete IT und Datenschutzrichtlinien. Sie müssen diese aber auch leben, indem die Systeme wie beschrieben eingestellt und prozessuale Vorkehrungen gegen Missbrauch oder Pannen getroffen werden. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, es der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern (vgl. Erwägungsgrund 78 zur DSGVO). Auch das über die KAMaRisk bereits pflichtige Notfallkonzept gewinnt in diesem Kontext an Relevanz und sollte den Umgang mit “Datenpannen” umfassen.Daneben übernimmt der § 64 BDSG (neu) beinahe wortgleich den alten § 9 BDSG – inkl. der Anlage hierzu – und ergänzt bzw. spezifiziert diese Vorgaben. Die Schlagworte Zugangs- und Zugriffsrechte, Datenträger-, Benutzer-, und Speicherkontrolle, Zuverlässigkeit und Integrität werden KVGs auch weiterhin begleiten. Begrenzt werden diese Umsetzungsanforderungen dadurch, dass KVGs die Ausrichtung an dem konkreten Geschäftsmodell, an den Risiken, der Eintrittswahrscheinlichkeit oder der Schwere der Schäden (Angemessenheit) sowie an dem Stand der Technik vornehmen sollen und auch die Implementierungskosten beachten können. Gem. § 64 Abs. 1 S. 2 BDSG (neu) können zur Festlegung des Standes der Technik die einschlägigen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik berücksichtigt werden. Für die Bemessung der “angemessenen” Umsetzung sollte eine sorgfältige Analyse des eigenen Hauses die Grundlage bilden.Im Idealfall der digitalen KVG wird jede im Geschäftsprozess generierte Einzelinformation einmal und eindeutig in einer zentralen Datenbank gespeichert und kann von dort jederzeit mit jeder beliebigen anderen Einzelinformation derselben kombiniert, abgefragt und verarbeitet werden. Ferner wird schon beim Generieren der Einzeldateien eine Qualitätssicherung als Eingangskontrolle durchgeführt. So können KVGs auch bei komplexeren Verarbeitungsvorgängen sicherstellen, dass die Datenqualität gewahrt ist. Fälle von Berichtigungs- oder gar Löschungsanforderungen nach der DSGVO können so minimiert werden. Des Weiteren kann über eine so geführte Datenbank jederzeit und unverzüglich (wie es die DSGVO fordert) Auskunft über gespeicherte Daten und auch die Art der Verarbeitung erteilt werden. Die bisher oft redundante Erfassung von Informationen in unterschiedlichen Systemen wie CRM, Fondsbuchhaltung, ERP und weiteren administrativen Systemen passt nicht mehr zu den Anforderungen der DSGVO und des BDSG (neu). Fehler in der Daten­erfassung lassen sich zwar kaum vollständig vermeiden, das Risiko steigt jedoch mit jeder erneuten Erfassung. Ein weiteres Risiko der redundanten Datenspeicherung ist die unvollständige Korrektur von Fehlern in einzelnen Datenbanken, die inkonsistente Datenbestände zur Folge hat. Auch obligatorische Berichte werden in vielen KVGs noch manuell generiert, die Daten für bestimmte Berichte des Risiko- oder Portfoliomanagements manuell aus verschiedenen Datenbanken in Excel-Tabellen zusammengetragen. So ist kaum eine jederzeitige Kontrolle der Datenströme möglich. Wenn der Datenhaushalt nicht zentral verwaltet und in die einzelnen Geschäftsbereiche und Zielmedien gesteuert wird, kann eine KVG den Anforderungen kaum mehr gerecht werden.Ein weiterer zentraler Punkt der DSGVO und ein insbesondere schon bei der Zulassung relevanter Aspekt bleibt die Frage nach der Notwendigkeit eines betrieblichen Datenschutzbeauftragten. Nach dem § 38 Abs. 1 S. 1 BDSG (neu) verbleibt es im Wesentlichen bei den bestehenden Anforderungen an die Pflicht zur Bestellung eines Datenschutzbeauftragten, so dass KVGs ab einer Betriebsgröße von zehn Personen i. d. R. über einen Datenschutzbeauftragten verfügen müssen. Der Pflichten- und Aufgabenkreis des Datenschutzbeauftragten bleibt im Wesentlichen unverändert. Ob dieser extern beauftragt oder ein interner Mitarbeiter eingesetzt wird, sollte von den individuellen Bedürfnissen der KVG abhängig gemacht werden. Diese Personalie sollte jedoch nicht als bloße Ex-post-Kontrolle eingerichtet werden. Vielmehr sollte der Datenschutzbeauftragte aktiv in die Prozessgestaltung und die relevanten Abläufe eingebunden werden. Zusammenfassend zeigt sich, dass Datenschutz im Kapitalmarkt bereits gelebte Wirklichkeit sein sollte, mindestens aber ab dem 25. Mai 2018 sein muss. Sofern noch nicht geschehen, wird es allerhöchste Zeit, entsprechende Maßnahmen zu ergreifen. Einige Antworten zur DSGVO sind bereits durch das bestehende nationale Datenschutzrecht gegeben und sollten Marktstandard sein. Es wird jedoch keine Gesellschaft darum herumkommen, sich mit den Details der DSGVO zu beschäftigen und in einer sorgfältigen Analyse zu bestimmen, an welchen Stellen die eigene Organisation Nachbesserungsbedarf hat und eventuelle Haftungsrisiken aus dem Datenschutz in den individuellen Geschäftsabläufen minimiert werden können.