Aufsichtsbehörden nehmen Kommunikation via WhatsApp & Co. ins Visier
Ende August berichteten Medien darüber, dass die amerikanische Börsenaufsicht SEC vorhat, mindestens sechs große Banken mit einer ungewöhnlich hohen Geldstrafe von jeweils bis zu 200 Millionen (!) US-Dollar zu sanktionieren. Vorgeworfen wird den Instituten die über Einzelfälle hinausgehende laxe Nutzung von WhatsApp & Co. sowie privater E-Mail-Accounts. Die Höhe der Strafen soll auch abschreckende Wirkungen haben.
Artikel 76 der Delegierten Verordnung (EU) 2017/565 (MiFID II) enthält die Bestimmungen zur Aufzeichnung von Telefongesprächen und elektronischer Kommunikation. Kredit- und Finanzinstitute haben demzufolge alle relevanten Informationen in Bezug auf maßgebliche persönliche Kundengespräche auf einem dauerhaften Datenträger aufzuzeichnen. Aufgezeichnet werden müssen unter anderem Datum, Uhrzeit und Initiator der Besprechungen sowie wichtige Informationen über einen eventuellen Kundenauftrag.
Das aufsichtsrechtlich korrekte Erfüllen sämtlicher Pflichten gemäß Artikel 76 wird insbesondere durch das Nutzen von WhatsApp & Co. schwierig bis unmöglich. Beispielsweise könnten bei WhatsApp und anderen Kurznachrichtendiensten (z.B. Facebooks Messenger, Signal) Nachrichten nach dem Senden bzw. Lesen gelöscht werden. Das nachträgliche Verändern von gespeicherten Nachrichten sowie auch das Löschen untersagt allerdings Artikel 76.
Das Nutzen privater (WhatsApp- und E-Mail-)Accounts sowie privater Endgeräte für relevante Kommunikation mit Kunden ist in der Finanzdienstleistung in der Regel generell verboten. Verpflichtete Rechtsträger haben darauf keinen Zugriff und können daher weder die Qualität und Genauigkeit noch die Vollständigkeit der Aufzeichnungen sicherstellen.
An all diesen potentiellen Verstößen gegen Compliance-Pflichten stören sich Aufsichtsbehörden – auch europäische wie die deutsche BaFin – zunehmend.
Zu den Compliance-Problemen kommen darüber hinaus auch datenschutzrechtliche Bedenken, einerseits durch das Vermischen privater und geschäftlicher Kommunikation bzw. personenbezogener Daten, andererseits durch potentielle Sicherheitslücken und IT-Risiken. Ganz abgesehen davon, dass es nach wie vor kein gültiges Datenschutzabkommen mit den USA gibt, wohin Daten mutmaßlich übertragen werden.
WhatsApp & Co. haben in der geschäftlichen Kommunikation ebenso wenig zu suchen wie private Accounts und Endgeräte. Deren Nutzung muss allen relevanten Mitarbeitern untersagt werden. Ebenso müssen relevante Mitarbeiter regelmäßig im Rahmen der Aus- und Weiterbildung auf diese Pflichten bzw. Verbote aufmerksam gemacht werden.