Am 25. Mai 2018 wird die DSGVO zu geltendem Recht im gesamten Europäischen Wirtschaftsraum (EWR). Auch schweizerische Unternehmen, die Waren oder Dienstleistun­gen in der EU anbieten, können von der DSGVO erfasst werden (extraterritoriale Anwendbar­keit der DSGVO). Vorausgesetzt ist stets die Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Zu den personen­bezogenen Daten zählen sämtliche Informationen, die sich auf eine natürliche Person beziehen. Personenbezogene Daten juristischer Personen werden dagegen nicht von der DSGVO erfasst.

Anwendbarkeit der DSGVO

Unterhält ein schweizerischer Vermögensverwalter Geschäftsbeziehungen zu Kunden im EWR, stellt sich daher zwangsläufig die Frage nach der Anwendbarkeit der DSGVO. Die Frage nach der Anwendbarkeit ist immer dann zu bejahen, wenn der schweizerische Vermögensverwalter Dienstleistungen an natürliche Personen im Europäischen Wirtschafts­raum im Sinne der DSGVO anbietet. Was genau unter den zentralen Begriff des „Anbietens“ fällt, ist bisher umstritten und wird sich in der Praxis erst noch zeigen müssen (vgl. zum Anwendungsbereich der DSGVO unseren Blog-Beitrag vom 4. Oktober 2017). Davon ausgehend, dass ein schweizerischer Finanzintermediär bei einer fehlenden Lizenz im EWR Raum grundsätzlich nur aufgrund der passiven Dienstleistungsfreiheit tätig werden kann (insbesondere für nicht professionelle Kunden), könnte man die Auslegung von „Dienstleistungen anbieten“ kritisch hinterfragen. Dies auch vor dem Hintergrund, dass das europäische Recht dem im EWR wohnhaften Kunden explizit das Recht gibt, seine Vermögenswerte auch ausserhalb des EWR aufzubewahren und verwalten zu lassen (Wahlfreiheit des Kunden im EWR). Die Vermögensverwalter in der Schweiz, welche über keine Lizenzen im EWR verfügen, agieren heute meist auf der Basis von „reverse solicitation“, d.h. die Geschäftsbeziehung kommt auf Anfrage des ausländischen Kunden zustande. Wichtig ist dabei, dass der Vermögensverwalter nicht über eine Homepage verfügt, deren Angebot sich inhaltlich an Kunden im EWR richtet (vgl. auch hierzu unseren Blog-Beitrag vom 4. Oktober 2017). Nun könnte man sich auch auf den Standpunkt stellen, dass der EWR nicht einerseits Lizenzpflichten für das Anbieten von Dienstleistungen im EWR verlangen kann, andererseits aber bei Nichtvorhandensein solcher Lizenzen eine Anwendbarkeit der DSGVO vorsehen kann. Aufgrund der herrschenden Unsicherheit in Bezug auf die Anwendbarkeit des DSGVO für schweizerische Vermögensverwalter ist es aus unserer Sicht sinnvoll, wenn man sich mit einer risikobasierten Umsetzung der DSGVO auseinandersetzt.

Mögliche Massnahmen für schweizerische Vermögensverwalter

Kommt ein schweizerischer Vermögensverwalter zum Schluss, dass er die DSGVO zu beachten hat, sind verschiedene Massnahmen zu treffen. In Frage kommen insbesondere die nachfolgend aufgeführten Massnahmen.

In einem ersten Schritt hat der schweizerische Vermögensverwalter zu prüfen, welche Daten natürlicher Personen er überhaupt im Sinne der DSGVO verarbeitet. Als „verarbeiten“ gilt jeder Umgang mit Personendaten, wie beispielsweise das Beschaffen, die Speicherung, die Veränderung, die Archivierung oder die Vernichtung von Personendaten. Zu den gewöhnlich durch einen Vermögensverwalter bearbeiteten Personendaten gehören in erster Linie Kundendaten, wie etwa Stammdaten (Name, Adresse, Nationalität, Geburtsdatum, Steuernummer etc.), Transaktions- und Risikomanagementdaten (z.B. Angaben zur Begünstigtenbank, Risiko- und Anlageprofil sowie Angaben zu Anlageprodukten) sowie technische Daten (Geschäftsnummern, IP-Adressen, etc.). Daneben werden oftmals weitere Daten bearbeitet wie beispielsweise Daten von Lieferanten oder potentiellen Kunden.

Hat der schweizerische Vermögensverwalter ermittelt, welche personenbezogenen Daten er bearbeitet, ist in einem nächsten Schritt ein Verzeichnis der Bearbeitungstätigkeit zu erstellen. Das Verzeichnis der Bearbeitungstätigkeit hat dabei nicht nur eine Übersicht über die bearbeiteten Personendaten zu geben, sondern unter anderem auch Angaben zum Zweck der Datenbearbeitung zu enthalten. Es braucht jeweils einen Rechtfertigungsgrund für die Sammlung von Daten. Bei den meisten Daten ist die Rechtfertigung rechtlicher und regulatorischer Natur (z.B. die Vorschriften aus dem Geldwäschereigesetz). In Frage kommen aber etwa auch der Abschluss oder die Erfüllung von Verträgen oder die Überwachung und Steuerung von Risiken. Ebenfalls erforderlich sind Angaben zu den Kategorien betroffener Personen, personenbezogener Daten sowie von Empfängern. Ein Mindestinhalt dieses Verzeichnisses kann sich wie folgt gliedern:

  • Wer ist für die Datenverarbeitung verantwortlich?
  • Von welcher Kategorie betroffener Personen werden Daten gesammelt (z.B. Mitarbeiter, Kunden)
  • Welche Kategorien personenbezogener Daten werden gesammelt? (besonders schützenswerte Personendaten?)
  • Gegenüber welchen Kategorien von Empfängern werden personenbezogene Daten offengelegt? (z.B. Mitarbeiter, Auftragsverantwortliche, Behörden, etc.)

Erstellt man ein solches Verzeichnis, ist es aus unserer Sicht empfehlenswert, dies gleich für alle natürlichen Personendaten vorzunehmen und nicht bloss für die im EWR wohnhaften, da das Schweizerische DSG (derzeit in Revision) wohl ähnliche Pflichten vorsehen wird.

Ist das Verzeichnis der Bearbeitungstätigkeit erstellt, bietet es sich an, einen internen Prozess festzulegen, wie die Rechte der betroffenen Personen gewährleistet werden können. Zu denken ist dabei an das Recht auf Information und Auskunft, aber auch an das Recht auf Berichtigung und Löschung. Ebenso ist festzulegen, wie im Falle einer Verletzung des Datenschutzes intern vorzugehen ist (insbesondere Zuständigkeiten und Ablaufprozess). Die DSGVO sieht die Einsetzung eines EU-Datenschutzverantwortlichen vor. Da der Anwendungsbereich für schweizerische Vermögensverwalter ohne Lizenzen im EWR unklar ist, empfiehlt sich vorerst, mindestens intern einen Datenschutzverantwortlichen festzulegen. Sollte ein Vermögensverwalter in der Schweiz definitiv unter die DSGVO fallen, so besteht die gesetzliche Pflicht, einen EU-Datenschutzbeauftragten zu bestellen.

Gleichzeitig ist sicherzustellen, dass die Personen, deren Daten bearbeitet werden, über ihre Rechte informiert worden sind (Informationspflicht). Betreibt der schweizerische Vermögensverwalter eine Webseite, bietet sich etwa das Aufschalten einer Datenschutzerklärung an, welche Informationen über die Datenbearbeitung enthält. Ebenfalls sinnvoll kann eine Ergänzung der Vermögensverwaltungsverträge in diesem Sinne sein.

Schliesslich besteht ein wesentlicher Punkt darin, sicherzustellen, dass der Vermögensverwalter die nötigen organisatorischen und technischen Schutzmassnahmen getroffen hat, um die personenbezogenen Daten vor unberechtigten Eingriffen zu schützen (Datensicherheit). Auch hier empfiehlt sich, die getroffenen Massnahmen zu dokumentieren.

Bei besonders schützenswerten Daten (z.B. Religion, Gesundheit, etc.) muss zusätzlich eine Datenschutzfolgeabschätzung (eine Art Risikoanalyse und Definition entsprechender Massnahmen zum Schutz dieser Daten) erstellt werden.

Fazit

Mit den genannten Massnahmen wird nicht nur der Datenschutz verstärkt, sondern der schweizerische Vermögensverwalter wird im Falle einer Datenschutzverletzung auch vorbringen können, dass er sich mit dem europäischen Datenschutz auseinandergesetzt hat.


Yolanda McGough und Vivien Jain
LCR Services