Drakonische Strafen bei Verstößen
Anders als bisher drohen drakonische Strafen für Verstöße gegen die DSGVO beziehungsweise das Bundesdatenschutzgesetz (BDSG) von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Darüber hinaus sind auch zumindest juristisch in der Höhe unbegrenzte immaterielle Schadensersatzansprüche seitens der betroffenen Personen denkbar. In diesem Sinne dürfte eine DSGVO-konforme Geschäftsorganisation im originären Interesse der KVG selbst sein. Wie eine solche Geschäftsorganisation konkret ausgestaltet sein sollte, beantwortet die DSGVO nur schlagwortartig. Insofern besteht bei den KVGen oft Unsicherheit, ob das eigene IT System und die Geschäftsabläufe der DSGVO genügen.
Schon nach der gegenwärtigen Rechtslage waren KVGen als Unternehmen nach dem BDSG verpflichtet. Auch die Richtlinie 2011/61/EU über die Verwalter alternativer Investmentfonds (kurz AIFMD) und die damit korrespondierende Level-II-Verordnung enthalten bereits datenschutzrechtliche Regelungen.
In Umsetzung der AIFMD und zur Ergänzung der Anforderung der Level-II-Verordnung werden KVGen in besonderer Herausstellung der Anforderungen an eine ordnungsgemäße Geschäftsorganisation an den Paragrafen 9 BDSG (alt) beziehungsweise die Anlage zu Paragrafen 9 S. 1 BDSG (alt) gebunden. Unter Berücksichtigung dieser Vorgaben haben KVGen schon im Zulassungsantrag Angaben darüber zu machen, wie sie den Fragen des Datenschutzes begegnen möchten und wie die Vorgaben des BDSG im Sinne der ordnungsgemäßen Geschäftsorganisation umgesetzt werden sollen. Dieses Erfordernis wird nun durch die DSGVO weiter konkretisiert.
Notwendige Maßnahmen
Über Artikel 25 DSGVO sollen die Grundsätze „data protection by design“ und „data protection by default“ umgesetzt werden, um nötige technische und organisatorische Anforderungen zu etablieren. Verantwortliche im Sinne der DSGVO (also unter anderem KVGen) müssen interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen genügen. Das heißt, KVGen benötigen wirksame und an dem Geschäftsmodell ausgerichtete IT und Datenschutzrichtlinien.
Sie müssen diese aber auch umsetzen, indem die Systeme wie beschrieben eingestellt und prozessuale Vorkehrungen gegen Missbrauch oder Pannen getroffen werden. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, es der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. Auch das über die KAMaRisk bereits pflichtige Notfallkonzept gewinnt in diesem Kontext an Relevanz und sollte um den Umgang mit Datenpannen ergänzt mit entsprechenden Prozessen unterlegt werden.
Daneben übernimmt der Paragraf 64 BDSG (neu) beinahe wortgleich den alten Paragrafen 9 BDSG – inklusive der Anlage hierzu – und ergänzt beziehungsweise spezifiziert diese Vorgaben. Die Schlagworte Zugangs- und Zugriffsrechte, Datenträger-, Benutzer-, und Speicherkontrolle, Zuverlässigkeit und Integrität werden KVGen auch weiterhin begleiten. Begrenzt werden diese Umsetzungsanforderungen dadurch, dass KVGen die Ausrichtung an dem konkreten Geschäftsmodell, an den Risiken, der Eintrittswahrscheinlichkeit oder der Schwere der Schäden (Angemessenheit) sowie an dem Stand der Technik vornehmen sollen und auch die Implementierungskosten beachten können. Zur Festlegung des Standes der Technik können die einschlägigen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik berücksichtigt werden. Für die Bemessung der „angemessenen“ Umsetzung sollte eine sorgfältige Analyse des eigenen Hauses die Grundlage bilden.
Zentrale Datenhaltung als Idealfall
Im Idealfall der digitalen KVG wird jede im Geschäftsprozess generierte Einzelinformation einmal und eindeutig in einer zentralen Datenbank gespeichert und kann von dort jederzeit mit jeder beliebigen anderen Einzelinformation derselben kombiniert, abgefragt und verarbeitet werden. Die Qualitätssicherung wird bereits als Eingangskontrolle durchgeführt, so dass die KVG auch bei komplexeren Verarbeitungsvorgängen die Datenqualität sicherstellt. Fälle von Berichtigungs- oder gar Löschungsanforderungen nach der DSGVO können so minimiert werden. Des Weiteren kann über eine so geführte Datenbank jederzeit und unverzüglich Auskunft über gespeicherte Daten und auch die Art der Verarbeitung erteilt werden.
Die bisher oft redundante Erfassung von Informationen in unterschiedlichen Systemen wie CRM, Fondsbuchhaltung, ERP und weiteren administrativen Systemen passt nicht mehr zu den Anforderungen der DSGVO und des BDSG (neu). Ohne zentralisiertes Datenmanagement, kann eine KVG den Anforderungen kaum mehr gerecht werden.
Ein weiterer zentraler Punkt der DSGVO und ein insbesondere schon bei der Zulassung relevanter Aspekt bleibt die Frage nach der Notwendigkeit eines betrieblichen Datenschutzbeauftragten. Es bleibt im Wesentlichen bei den bestehenden Anforderungen an die Pflicht zur Bestellung eines Datenschutzbeauftragten ab einer Betriebsgröße von zehn Personen. Im Idealfall wird der Datenschutzbeauftragte aktiv in die Prozessgestaltung und die relevanten Abläufe eingebunden.
Datenschutz sollte im Kapitalmarkt bereits gelebte Wirklichkeit sein, spätestens aber ab dem 25. Mai 2018. Sofern noch nicht geschehen, wird es für die KVGen allerhöchste Zeit, entsprechende Maßnahmen zu ergreifen.
Von: Christian Maaß LL.M., Christian Maaß Syndikusrechtsanwalt CONNOS GmbH
Quelle: Das Investment