FIDLEG SOLUTION - News 5/2018

Die Auswirkungen der neuen Europäischen Datenschutzgrundverordnung (EU-DSGVO) auf Schweizer Vermögensverwalter

EINFÜHRUNG

Diese Ausgabe der FIDLEG SOLUTION – News 5/2018 beantwortet die Frage, welche Auswirkungen die Europäische Datenschutzgrundverordnung (EU-DSGVO) auf Schweizer Vermögensverwalter haben wird.

DATENSCHUTZ SOLL NUR FACEBOOK BETREFFEN? – DREAM ON

Unbestritten fristete der Datenschutz bislang in der Schweiz ein Schattendasein. Mediale Aufmerksamkeit erlangte er vor allem durch die Auftritte von Mark Zuckerberg, dem CEO von Facebook, vor dem amerikanischen Parlament im April 2018. Das heisst aber nicht, dass der Datenschutz auch in Zukunft in der Schweiz nur ein Mauerblümchendasein fristen oder gar nur Facebook betreffen wird – ganz im Gegenteil. Hauptgrund ist, dass das Europäische Parlament am 14. April 2016 die Europäische Datenschutzgrundverordnung (EU-DSGVO) verabschiedet hat (hier). Die sich daraus ergebenden Vorschriften werden ab dem 25. Mai 2018 direkt anwendbares Recht sein. Es bleiben also nur noch wenige Tage. Auch das Schweizer Datenschutzgesetz wird derzeit totalrevidiert und soll der EU-DSGVO zumindest teilweise angeglichen werden.

Wichtig ist, dass die EU-DSGVO – da im Rechtskleid der Verordnung ab dem 25. Mai 2018 unmittelbar anwendbar sein wird (anders als europäische Richtlinien wie MiFID II, UCITSD oder AIFMD). Es sind also keine nationalen Umsetzungsgesetze erforderlich. Dennoch werden in den einzelnen Mitgliedstaaten aufgrund verschiedener sogenannter „Öffnungsklauseln“ in der EU-DSGVO teilweise unterschiedliche Regeln gelten.

WARUM BETRIFFT DIE EU-DSGVO SCHWEIZER VERMÖGENSVERWALTER? WEGEN DER EXTRATERRITORIALEN WIRKUNG

Nun mag sich manch ein Schweizer Vermögensverwalter sagen, dass ihn die EU-DSGVO nicht interessiere, da er über keine Niederlassung in der EU verfüge. Dieser Schluss geht aber fehl. Die EU-DSGVO ist der Inbegriff eines Rechtsaktes mit extraterritorialer Wirkung, was man bislang vor allem aus den USA kennt. Das heisst, dass er auch Schweizer Vermögensverwalter ohne Niederlassung in der EU treffen kann.

Art. 3 EU-DSGVO knüpft für die Anwendbarkeit nämlich an zwei alternativen Kriterien an, der Niederlassung und dem Zielmarkt:

Kriterium der Niederlassung (Art. 3 Abs. 1): Ausschlaggebend für die Anwendbarkeit der EU-DSGVO kann der Ort der Niederlassung desjenigen sein, der Daten verarbeitet oder die Datenverarbeitung in Auftrag gibt. Dies gilt ungeachtet dessen, ob es sich um Daten von EU-Einwohnern oder von Nicht EU-Einwohnern handelt:

«Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.»

Dies entspricht grosso modo dem bisherigen Verständnis des Schweizer Datenschutzgesetzes. Neu ist aber das zusätzliche Kriterium des Zielmarktes (Art. 3 Abs. 2 und 3): Die EU-DSGVO gilt auch, wenn der Verantwortliche (d.h. derjenige, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet) oder der Auftragsverarbeiter (d.h. derjenige, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet), seinen Sitz ausserhalb der EU hat, also z.B. in der Schweiz, falls der Verantwortliche bzw. Auftragsverarbeiter betroffenen Personen in der EU Waren oder Dienstleistungen (wie z.B. Vermögensverwaltungsdienstleistungen) anbietet oder deren Verhalten beobachtet:

«Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.»

Ein Schweizer Vermögensverwalter fällt also insbesondere dann unter die EU-DSGVO, wenn er seine Dienstleistungen natürlichen Personen in der EU anbietet oder deren Verhalten beobachtet (z.B. Tracking über Webseite, Cookies).

WAS HEISST DENN GENAU «DATENVERARBEITUNG»? ES GILT EIN SEHR WEITER SACHLICHER ANWENDUNGSBEREICH

Begleitet wird diese extraterritoriale Anwendbarkeit von einem extensiven, sachlichen Anwendungsbereich, d.h. von einem extensiven Verständnis der Datenverarbeitung. Im Gegensatz zum Kriterium des Zielmarktes ist dies allerdings nicht neu.

So bestimmt Art. 2 Abs. 1, dass die EU-DSGVO «für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen» Voraussetzung bleibt allerdings, dass es sich um personenbezogene Daten natürlicher Personen handelt.

Als Datenverarbeitung gilt dabei schon die Speicherung solcher Daten, und insbesondere deren systematische Verarbeitung, wie sie gerade für ein zielgerichtetes Marketing erforderlich ist.

DATENVERARBEITUNG IST GRUNDSÄETZLICH UNRECHTMÄSSIG

Unter der EU-DSGVO ist die Datenverarbeitung – also eben z.B. die Speicherung von Kontaktdaten - grundsätzlich unrechtmässig. Um Daten rechtmässig zu verarbeiten, muss eine der folgenden Bedingungen erfüllt wird (Art. 6 EU-DSGVO):

  • Die betroffene Person muss ihre Einwilligung gegeben haben.
  • Die Datenverarbeitung erfolgt für die Erfüllung eines Vertrages.
  • Die Datenverarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Die Datenverarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  • Die Datenverarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.
  • Die Datenverarbeitung ist zur Wahrung berechtigter Interessen erforderlich (Interessenabwägung).

Für einen Schweizer Vermögensverwalter sind wohl vor allem die Einwilligung, die Erfüllung eines Vertrages und die Interessenabwägung relevant. Das heisst, dass eine dieser Voraussetzungen vorliegen muss, damit man die Daten verarbeiten darf. Das ist vor allem bei sog. «prospects» problematisch, das heisst bei Personen, mit denen noch kein Vermögensverwaltungsvertrag besteht und welche man darum noch nicht um Zustimmung zur Datenverarbeitung bitten konnte.

UND WAS IST NUN VORZUKEHREN?

Findet die EU-DSGVO Anwendung, so sind die Auswirkungen sehr mannigfaltig und können hier nicht abschliessend behandelt werden. Die aus unserer Sicht wichtigsten Auswirkungen werden nachfolgend kurz dargestellt.

Alle diese Auswirkungen können unter den Aspekten der Information / Transparenz und der Kontrollmöglichkeitenüber die eigenen Daten zusammengefasst werden. Denn jede betroffene Person soll wissen, ob und wie die von ihr erhobenen Daten verarbeitet werden.

So hat jeder Schweizer Vermögensverwalter, dessen Datenverarbeitungen in den Anwendungsbereich der EU-DSGVO fallen, in einem internen Regelwerk die Rechte vorzusehen, die es den betroffenen Personen ermöglichen, ihre Kontrollrechte auszuüben. Darunter fallen insbesondere:

  • Recht auf Information (Art. 13 / 14 EU-DSGVO): Im Zeitpunkt der Datenerhebung ist die betroffene Person zu informieren. Dies gilt selbst dann, wenn die Daten von einer Drittperson beschafft werden. Sie muss wissen, dass, von wem und zu welchem Zweck ihre Daten erhoben werden.
  • Recht auf Auskunft (Art. 15 EU-DSGVO): Dieses Recht hat zwei Aspekte: Die betroffene Person hat das Recht Auskunft darüber zu erhalten, ob ihre Daten verarbeitet werden oder nicht. Ist dies der Fall, hat sie das Recht, die Daten einzusehen und eine Kopie aller Daten zu erhalten.
  • Recht auf Berichtigung (Art. 16 EU-DSGVO): Ist die betroffene Person nach Einsichtnahme in ihre Daten der Ansicht, dass ihre Daten falsch oder unvollständig sind und kann sie dies beweisen, so hat sie das Recht, dass die Daten berichtigt werden.
  • Recht auf Löschung (Art. 17 EU-DSGVO): In bestimmten Fällen, die in Art. 17 Abs. 1 EU-DSGVO aufgezählt sind, hat die betroffene Person das Recht, die Löschung der eigenen Daten zu verlangen.
  • Recht auf Einschränkung der Datenverarbeitung (Art. 18 EU-DSGVO): In bestimmten Fällen kann die betroffene Person eine eingeschränkte Verarbeitung der Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 EU-DSGVO): Jede betroffene Person hat das Recht, ihre Daten in einer strukturierten, gängigen und maschinenlesbaren Form zu erhalten. Das soll es ihr ermöglichen, diese Daten einem anderen Anbieter (sprich einem Konkurrenten) zu übergeben, wenn sie z.B. den Vermögensverwalter wechselt. Jeder Schweizer Vermögensverwalter ist somit gut beraten, Geschäftsgeheimnisse wie Analysen etc. von den Personendaten getrennt aufzubewahren, damit diese bei einem Wechsel des Vermögensverwalters nicht entschädigungslos in die Hände der Konkurrenz fallen.

Damit die betroffenen Personen ihre Rechte ausüben können, aber auch zur Erfüllung der neu geschaffenen Rechenschaftspflicht der Unternehmen nach EU-DSGVO, ist ein Register der Verarbeitungstätigkeiten zu führen (Art. 30 EU-DSGVO). Je nach der Anzahl Mitarbeiter des Unternehmens (d.h. des Schweizer Vermögensverwalters) hat dieses Register breiter oder weniger breit auszufallen.

Zusätzlich hat jedes unter die EU-DSGVO fallende Unternehmen angemessene organisatorische und technische Massnahmen zu treffen, um die Sicherheit der Verarbeitungsvorgänge bzw. den Datenschutz zu gewährleisten (Art. 32 EU-DSGVO).

Schliesslich muss sich auch jeder Schweizer Vermögensverwalter, auf dessen Datenverarbeitungen die EU-DSGVO anwendbar ist, bewusst sein, dass er nachweisen können muss, dass er die Datenverarbeitung gemäss den Vorgaben der EU-DSGVO vorgenommen hat. Es findet also eine Beweislastumkehr statt.

DIE PFLICHT, EINEN VERTRETER ZU ERNENNEN

Das Institut des Vertreters ist allen Personen aus dem Vertrieb von Fonds in der Schweiz bekannt (Art. 123 KAG). Eine ähnliche Institution wird nun unter dem Datenschutzrecht geschaffen. So sollen alle Verantwortliche und Auftragsverarbeiter, die unter die EU-DSGVO fallen aber über keine Niederlassung in der EU verfügen, eine Vertreter in der EU ernennen (Art. 27 EU-DSGVO). Ausgenommen sind u.a. immerhin Fälle, in welchen eine Verarbeitung personenbezogener Daten nur gelegentlich erfolgt.

Dieser Vertreter ist insbesondere die Kontaktstelle für die Aufsichtsbehörden und für die betroffenen Personen, ähnlich der Funktion des Vertreters ausländischer Fonds in der Schweiz.

Interessant ist, dass just in dem Zeitpunkt, in dem die Schweiz im Rahmen von FIDLEG / FINIG über die Einschränkung des Erfordernisses des Vertreters für den Vertrieb von Fonds an qualifizierte Anleger diskutiert, die EU einen Vertreter unter dem Datenschutzrecht einführt.

DATENSCHUTZ VS. FINANZMARKTRECHT

Vorsicht ist vor allem bei Unternehmen geboten, die ein bewilligungspflichtiges Geschäft betreiben, wie z.B. grenzüberschreitend tätige Vermögensverwalter. Ihre Datenverarbeitungsgrundsätze dürfen ihrer Bewilligung nicht widersprechen. So sollte ein Schweizer Vermögensverwalter, der über keine Bewilligung zum Vertrieb von Produkten und Dienstleistungen in Deutschland verfügt, nicht etwa Personendaten zum Zweck des Vertriebs in Deutschland aufbewahren – denn er darf ja in Deutschland gerade gar nicht tätig werden.

DA KOMMT NOCH MEHR…

Die nächste Ausgabe der FIDLEG SOLUTION – News 6/2018 wird sich mit den Auswirkungen der de-minimis-Regel für Verwalter von Kollektivvermögen befassen.

Ihr FIDLEG SOLUTION Team
www.fidlegsolution.ch


© 2021 FIDLEG SOLUTION. All rights reserved.