Die neue Datenschutz-Grundverordnung (DSGVO)

Digitalisierung, Globalisierung und ein zunehmend komplexes Unternehmensumfeld der EU waren der Anlass für den erstmals einheitlichen Rechtsrahmen zum Schutz natürlicher Personen bezüglich der Verarbeitung personenbezogener Daten. Dieser geht zum 25. Mai 2018 unmittelbar in nationales Recht der EU-Mitgliedstaaten über. Die tiefe Wertschöpfung sowie die spezifischen Geschäftsmodelle im Segment der Fonds-Services am Standort Luxemburg erhöhen die Komplexität der Umsetzungsanforderungen der DSGVO und bedürfen einer tiefergehenden Betrachtung.

Im Grundsatz regelt diese Verordnung den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, d.h. bei der:

• Sammlung: Erhebung, Erfassung
• Speicherung: Erhebung, Erfassung
• Nutzung: Anpassung, Verändern, Auslesen, Strukturierung, Abfrage, Verwendung, Verknüpfung, Abgleich
• Bereitstellung: Offenlegung durch Übermittlung
• Vernichtung: Einschränken, Löschen, Zerstörung

 aller Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen.

Damit werden durch die DSGVO, durch die die bisher gültige Datenschutzrichtlinie (95/46 EG) aus dem Jahre 1995 aufgehoben wird, die folgenden wesentlichen Anpassungen und Neuerungen für die sachlich und räumlich betroffenen Unternehmen relevant:

• Rechenschaftspflichten
  5 Abs. 2. Nachweis des Verantwortlichen, dass die Grundsätze für die Verarbeitung personenbezogener Daten (z. B. Zweckbindung, Datenminimierung, Richtigkeit) eingehalten werden.
• Informations- & Auskunftsrechte
  13 – 15. Transparente, verständliche und leicht zugängliche Kundeninformationen
  sowie umfangreiche Auskunftsrechte gegenüber dem Datenverarbeiter.
• Datenschutzbeauftragter der Organisation
  Art. 37 bis 39. Ernennung eines Datenschutzbeauftragten sowie die Implementierung einer entsprechenden Aufbau- und Ablauforganisation
• Meldepflicht
  33. Meldung von Datenschutzverstößen innerhalb von 72 Stunden an die zuständige Datenschutzbehörde
• Datenschutz-Folgenabschätzung
  35. Auf einer Risikoanalyse basierende Abschätzung der Folgen vorgesehener Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch den Verantwortlichen
• Einwilligung
  6. Verarbeitung personenbezogener Daten bedarf der Einwilligung des Kunden
• Privacy by Default
  25. Sicherstellung der Einhaltung des Datenschutzes erfolgt bereits durch die datenschutzfreundliche Voreinstellung der für die Verarbeitung verwendeten technischen Mittel
• Privacy by Design
  Art. 25. Sicherstellung der Einhaltung des Datenschutzes erfolgt bereits durch das frühe Ergreifen technischer und organisatorischer Maßnahmen in der technologischen Entwicklung personenbezogener Verarbeitungsvorgänge
• Datenübertragbarkeit
  Art. 20. Recht der betroffenen Person, personenbezogene Daten anzufordern und auf einen anderen Verantwortlichen zu übertragen
• Recht auf Vergessenwerden
  Art. 17. Recht der betroffenen Person, sie betreffende Daten löschen zu lassen
• Sanktionen
  83. Geldbußen von bis zu 20 Mio. EUR oder 4% des weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres

Die Herausforderungen

Die Umsetzung der DSGVO bringt die Unternehmen aller Branchen, die personenbezogene Daten verarbeiten, aufgrund der zahlreichen Anpassungen und Neuerungen vor dem zeitlichen aber auch vor dem erhöhten Sanktions- und Haftungsrisiko unter Handlungsdruck. Aus unserer Sicht stellt das Verzeichnis der Verarbeitungstätigkeiten, in dem vollständig und strukturiert die Verarbeitung, Offenlegung und Löschung sowie die Beschreibung der verwendeten und implementierten technischen und organisatorischen Maßnahmen dokumentiert wird, die Basis dar. Dieses Verzeichnis ist zentral zur risikobasierten Implementierung geeigneter organisatorischer und technischer Maßnahmen, um sicherzustellen aber auch um nachzuweisen, dass die Verarbeitung in Übereinstimmung mit der Verordnung erfolgt. Des Weiteren stellt die verpflichtende Installation eines Datenschutzbeauftragten, sofern für die Verarbeitungsvorgänge umfangreiche, regelmäßige und systematische Überwachungen von betroffenen Personen erforderlich sind, sowie die Zusammenarbeit mit den Aufsichtsbehörden die zentrale aufbauorganisatorische Herausforderung dar. Je nach Organisationsgrad des Unternehmens sowie der Komplexität des Geschäftsmodells und der eingesetzten Technologie wird sich der Zeit- und somit der Handlungsdruck für die Unternehmen erhöhen. Insbesondere auch dann, wenn es um die Umsetzung eines zentralen, grenzüberschreitenden Programmes mit der Konzernmutter geht in Kombination mit „off- oder near-shoring-Modellen“ im Bereich der Verarbeitungsprozesse.

Die DSGVO im Bereich der Fonds-Services

Die Komplexität betreffend der Umsetzung der DSGVO im Bereich der Fonds-Services im Allgemeinen sowie am Standort Luxemburg im Besonderen ist zum einen dadurch determiniert, dass die Wertschöpfungskette in diesem Geschäftsfeld insgesamt sehr tief ist und zum anderen, dass viele Elemente der Wertschöpfung nicht in der eigenen Unternehmens-Gruppe erbracht werden, sondern auf spezialisierte Service-Provider externalisiert werden.

Funktionale Betrachtung

Ausgangspunkt der Betrachtung der Umsetzungsverantwortung der DSGVO im Bereich der Fonds-Services ist die sog. regulatorisch verankerte Hauptverwaltungsfunktion, in deren Rahmen Folgendes erfolgt:

• die Anlageverwaltung, d.h. das Portfolio- und das Risiko-Management
• zentraladministrative Tätigkeiten, wie z.B. die Portfoliobewertung, die Fondspreisberechnung, die Abwicklung von Zeichnungen und Rücknahmen der Fondsanteile
• der Vertrieb des Fondsvehikels

In Abhängigkeit von den in Luxemburg existenten Fondsvehikeln UCITS¹ Teil I oder II des Gesetzes vom 17.12.2010, SIF² , RAIF³ oder SICAR⁴ und den gewählten juristischen Strukturen (FCP⁵, SICAV⁶, SICAF⁷) übernimmt diese entweder die Verwaltungsgesellschaft oder eine selbstverwaltende Investmentgesellschaft (SICAV oder SICAF). Kaum ein am Luxemburger Markt etabliertes Unternehmen nimmt alle Elemente der Hauptverwaltungsfunktion ganzheitlich in einer Unternehmensgruppe wahr. Vielmehr werden die einzelnen Elemente an Service-Provider delegiert, sei es im Sinne eines one-stop-shop-Modells an einen spezialisierten Service-Provider oder aber modular an unterschiedliche Anbieter.

Die Depotbankfunktion, auch wenn sie mit allen anderen Elementen der Fonds-Services durch einen Service-Provider gesamtheitlich übernommen wird, gehört nicht zur Hauptverwaltungsfunktion und kann somit nicht delegiert werden. Unabhängig vom gewählten Modell und der Vielschichtigkeit der Provider-Struktur bleibt die Verantwortung der Hauptverwaltung bei der delegierenden Verwaltungsgesellschaft bzw. eigenverwalteten SICAV oder SICAF.

Ein wesentliches Element der DSGVO mit einem Impact auf den Bereich der Fonds-Services ist die funktionale Differenzierung zwischen dem:

• Verantwortlichen (data-controller), der über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet, und dem
• Auftragsverarbeiter (data-processor), der die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet.

Die Tatsache, ob die Verarbeitung der personenbezogenen Daten operativ in der EU stattfindet, ist für die Anwendung der DSGVO nicht von Relevanz. Durch den hohen Externalisierungsgrad von Elementen der Hauptverwaltungsfunktion in der luxemburgischen Fondsindustrie ist eine ganzheitliche Analyse und eine anschließende Umsetzung der Anforderungen aus der DSGVO erforderlich.

Externalisierungen einzelner oder mehrerer Elemente der Hauptverwaltungsfunktion durch Delegation an spezialisierte Service-Provider (data-processor) mit dem Ziel der Reduktion der operativen Last und den damit verbundenen Kosten führen nicht dazu, dass der Board einer Verwaltungsgesellschaft oder einer selbstverwaltenden Investmentgesellschaft die Verantwortung über die Hauptverwaltung delegieren kann. Somit bleibt er de facto „data-controller“ auch wenn das operative Geschäftsmodell sich anders darstellt.

Vorgehensmodell zur praktischen Umsetzung der DSGVO Anforderungen in den Fonds-Services

Zur Umsetzung der DSGVO wendet TALOS ein erprobtes Transformationsmodell an. Zur Reduktion der Komplexität derartiger Transformationsvorhaben wird das spezifische Betriebsmodell einer die Hauptverwaltungsfunktion inne habenden Verwaltungsgesellschaft oder selbstverwaltenden Investmentgesellschaft in sechs Bausteine unterteilt und deren Abhängigkeiten untereinander identifiziert. Das Modell wird ergänzt durch den Transformationsprozess, der klare Ergebnisse für alle fünf Phasen festlegt.

In Anwendung dieses Modells und vor dem Hintergrund des bereits stetig enger werdenden Umsetzungszeitfensters, sieht TALOS die folgenden umsetzungsrelevanten, wertschöpfungskettenübergreifenden Handlungsfelder bzw. Kernbausteine, um die Anforderungen aus der DSGVO im Bereich der Fonds-Services gerecht zu werden.

• Baustein 1: Inventar der Verarbeitungstätigkeiten
• Baustein 2: Sicherstellung der Datenschutzrechte
• Baustein 3: Verträge mit Service-Providern
• Baustein 4: Rolle des Datenschutzbeauftragten
• Baustein 5: Meldung Datenschutzverletzungen
• Baustein 6: Schulungsmaßnahmen
• Baustein 7: Ganzheitliche Koordination
  

Fazit

Die Anforderungen aus der DSGVO isoliert betrachtet sind vielfältig und setzen die Unternehmen durch die Sanktionsmechanismen, die bei einer Nichteinhaltung zu drastischen monetären aber auch zu reputativen Verlusten führen können, unter Druck. Durch die Tiefe der Wertschöpfungskette sowie Vielfalt der existierenden Betriebsmodelle am Finanzplatz Luxemburg mit unterschiedlichen Externalisierungsgraden, fehlt ein Standardmodell zur Umsetzung der DSGVO-Anforderungen. Vielmehr muss jede Gesellschaft betriebsmodellspezifisch die Auswirkungen analysieren und umsetzen. Eine konsequente Ausrichtung der Analysetätigkeiten an der gesetzlich kodifizierten Hauptverwaltungsfunktion für Verwaltungsgesellschaften und selbstverwaltende Investmentgesellschaften ist dabei fundamental.

07. März 2018

¹ Undertacking for Collective Investment in Transferrable Securities
² Specialized Investment Fund
³ Reserved Alternative Investment Fund
⁴ Société d’Investissement en capital à risque
⁵ Fonds commun de placement
⁶ Société d’Investissement à Capital Variable
⁷ Société d’Investissement à Capital Fixe