Ab dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) europaweit – auch für Kapitalverwaltungsgesellschaften (KVGen) nach dem Kapitalanlagegesetzbuch. Damit müssen die Betriebsabläufe einer KVG nicht unbedingt auf den Kopf gestellt werden – denn das Schutzniveau in Deutschland war zuvor auch schon hoch. Doch das Thema DSGVO sollte auch nicht leichtfertig abgetan werden.

Drakonische Strafen bei Verstößen

Anders als bisher drohen drakonische Strafen für Verstöße gegen die DSGVO beziehungsweise das Bundesdatenschutzgesetz (BDSG) von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Darüber hinaus sind auch zumindest juristisch in der Höhe unbegrenzte immaterielle Schadensersatzansprüche seitens der betroffenen Personen denkbar. In diesem Sinne dürfte eine DSGVO-konforme Geschäftsorganisation im originären Interesse der KVG selbst sein. Wie eine solche Geschäftsorganisation konkret ausgestaltet sein sollte, beantwortet die DSGVO nur schlagwortartig. Insofern besteht bei den KVGen oft Unsicherheit, ob das eigene IT System und die Geschäftsabläufe der DSGVO genügen.

Schon nach der gegenwärtigen Rechtslage waren KVGen als Unternehmen nach dem BDSG verpflichtet. Auch die Richtlinie 2011/61/EU über die Verwalter alternativer Investmentfonds (kurz AIFMD) und die damit korrespondierende Level-II-Verordnung enthalten bereits datenschutzrechtliche Regelungen.

In Umsetzung der AIFMD und zur Ergänzung der Anforderung der Level-II-Verordnung werden KVGen in besonderer Herausstellung der Anforderungen an eine ordnungsgemäße Geschäftsorganisation an den Paragrafen 9 BDSG (alt) beziehungsweise die Anlage zu Paragrafen 9 S. 1 BDSG (alt) gebunden. Unter Berücksichtigung dieser Vorgaben haben KVGen schon im Zulassungsantrag Angaben darüber zu machen, wie sie den Fragen des Datenschutzes begegnen möchten und wie die Vorgaben des BDSG im Sinne der ordnungsgemäßen Geschäftsorganisation umgesetzt werden sollen. Dieses Erfordernis wird nun durch die DSGVO weiter konkretisiert.

Notwendige Maßnahmen

Über Artikel 25 DSGVO sollen die Grundsätze „data protection by design“ und „data protection by default“ umgesetzt werden, um nötige technische und organisatorische Anforderungen zu etablieren. Verantwortliche im Sinne der DSGVO (also unter anderem KVGen) müssen interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen genügen. Das heißt, KVGen benötigen wirksame und an dem Geschäftsmodell ausgerichtete IT und Datenschutzrichtlinien.

Sie müssen diese aber auch umsetzen, indem die Systeme wie beschrieben eingestellt und prozessuale Vorkehrungen gegen Missbrauch oder Pannen getroffen werden. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, es der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. Auch das über die KAMaRisk bereits pflichtige Notfallkonzept gewinnt in diesem Kontext an Relevanz und sollte um den Umgang mit Datenpannen ergänzt mit entsprechenden Prozessen unterlegt werden.

Daneben übernimmt der Paragraf 64 BDSG (neu) beinahe wortgleich den alten Paragrafen 9 BDSG – inklusive der Anlage hierzu – und ergänzt beziehungsweise spezifiziert diese Vorgaben. Die Schlagworte Zugangs- und Zugriffsrechte, Datenträger-, Benutzer-, und Speicherkontrolle, Zuverlässigkeit und Integrität werden KVGen auch weiterhin begleiten. Begrenzt werden diese Umsetzungsanforderungen dadurch, dass KVGen die Ausrichtung an dem konkreten Geschäftsmodell, an den Risiken, der Eintrittswahrscheinlichkeit oder der Schwere der Schäden (Angemessenheit) sowie an dem Stand der Technik vornehmen sollen und auch die Implementierungskosten beachten können. Zur Festlegung des Standes der Technik können die einschlägigen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik berücksichtigt werden. Für die Bemessung der „angemessenen“ Umsetzung sollte eine sorgfältige Analyse des eigenen Hauses die Grundlage bilden.