Datenschutz-Grundverordnung für Finanzdienstleister (2)

Header_Datenschutz

Die Uhr tickt. Nicht nur für Finanzdienstleister, sondern für alle Unternehmen. Ab 25 Mai 2018 wird die Datenschutz-Grundverordnung DSGVO angewandt. Als ob MiFID II nicht kürzlich schon für genug zusätzliche Bürokratie gesorgt hätte, legen DSGVO und das nationale Datenschutz-Anpassungsgesetz noch einen oben drauf.

Gerade für Wertpapierfirmen erscheint das Umsetzen der neuen Datenschutz-Vorschriften auf den ersten Blick recht einfach. Denn die wenigen Wertpapier-Dienstleistungen, bei denen naturgemäß personenbezogene Daten verarbeitet werden, sind gesetzlich normiert. Portfolioverwaltung und Anlageberatung sind die wesentlichen. Dazu kommen wie in jedem Unternehmen Standard-Tätigkeiten wie zum Beispiel Lohnverrechnung und Marketing.

Die Herausforderungen sind trotzdem enorm

Viele Wertpapierfirmen – Vermögensverwalter und Haftungsdächer – arbeiten mit vertraglich gebundenen Vermittlern und Wertpapiervermittlern zusammen. Letztgenannte sind es, die in der Regel die personenbezogenen Daten beim Kunden erheben. Werden Erfüllungsgehilfen von der DSGVO – wie unter MiFID II – als Einheit mit ihrem Haftungsdach betrachtet, oder gelten sie als eigenständige Unternehmer – und damit als Verantwortliche?

Als eigenständige Unternehmer betrachtet, sind Erfüllungsgehilfen die Verantwortlichen für die personenbezogenen Daten, die sie bei ihren Kunden erheben. Und das Haftungsdach wäre folglich bereits der erste Auftragsdatenverarbeiter in der Kette. Und das wäre nicht die einzige Konsequenz.

Auftragsverarbeiter: Wer ist das zu Ihnen?

Sind Depotbanken, bei denen Sie Ihre Kundendepots führen, Auftragsdatenverarbeiter oder selbst Verantwortliche? Zumeist kooperieren Vermögensverwalter und Haftungsdächer mit einer Vielzahl von Depotbanken, die ihren Sitz nicht immer in der EU haben – was auch die Frage nach sicheren Drittländern aufwirft. Auftragsdatenverarbeiter sind wohl externe IT Dienstleister, die zum Beispiel Kundenverwaltungssysteme oder Newsletter-Tools zur Verfügung stellen.

Haben Sie sich schon vergewissert, ob all externen Empfänger, an die Sie personenbezogene Daten weiterleiten, fit für die DSGVO sind? Das ist als Verantwortlicher nämlich ihre Pflicht. Mit jedem einzelnen Auftragsverarbeiter müssen Sie einen Vertrag abschließen. Vergessen Sie dabei nicht auf Ihre Hausbank!

Welche Herausforderungen als Wertpapierfirma noch auf Sie warten, lesen Sie in ein paar Tagen im folgenden Beitrag.


Nur ein Klick zur Newsletter-Anmeldung!

Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse.


Weitere interessante Beiträge:

DSGVO: Der Teufel steckt (auch) im Detail

DSGVO: Grundsätze für die Verarbeitung personenbezogener Daten (1)