Auswirkungen des Datenschutzes auf die interne Organisation von EAMs

243
0
Share:

Von Deborah Lechtman, Junior Partner, OA LEGAL

Unabhängige Vermögensverwalter (EAMs) verarbeiten täglich personenbezogene Daten ihrer Kunden, Partner, Angestellten oder wirtschaftlich Berechtigten. Aus diesem Grund haben die EAMs als „Datenverantwortlicher“ Verpflichtungen, die ihnen aus dem Bundesgesetz über den Datenschutz (DSG) und, falls sie zur Anwendung kommt, der Europäischen Datenschutzverordnung (DSGVO) erwachsen.

Das DSG wurde unter Berücksichtigung des technologischen Fortschritts und der Entwicklungen der DSGVO revidiert. Das revDSG soll am 1. September 2023 in Kraft treten.

Viele Einrichtungen sind sich wahrscheinlich der Auswirkungen des revDSG auf ihre Tätigkeit nicht bewusst, vor allem beim zunehmenden Einsatz neuer Technologien, der häufig gegenüber einem „traditionellen“ Mandat zu einer zusätzlichen Erhebung personenbezogener Daten führt, wie z. B. IP-Adressen, Präferenzen oder Geolokalisierung.

Informationspflicht 

EAMs sind verpflichtet, die betroffenen Personen über jedwede Erhebung personenbezogener Daten zu informieren. Daher müssen sie eine Datenschutzpolitik einführen und die betroffenen Personen über diese in Kenntnis setzen. In diesem Rahmen muss ein EAM insbesondere seine Identität und seine Kontaktdaten, die Zwecke der Datenverarbeitung sowie die möglichen Empfänger mitteilen. Darüber hinaus verlangt das revDSG im Falle einer Datenübermittlung ausserhalb der Schweiz die Mitteilung des Empfängerstaates und etwaiger Garantien, die zur Gewährleistung eines angemessenen Datenschutzniveaus vereinbart wurden. Ausnahmen von dieser Pflicht bestehen insbesondere dann, wenn die Verarbeitung gesetzlich vorgeschrieben ist (z. B. GwG).

Übermittlungen ins Ausland

Personenbezogene Daten dürfen in folgenden Fällen ins Ausland übermittelt werden: Wenn der Bundesrat festgestellt hat, dass der Drittstaat über eine Gesetzgebung verfügt, die ein angemessenes Schutzniveau gewährleistet, wenn ein angemessener Schutz auf andere Weise garantiert wird (gemäss revDSG) oder wenn das Gesetz eine Ausnahme vorsieht.

In diesem Zusammenhang ist daran zu erinnern, dass neben der Verwaltungstätigkeit auch die Nutzung digitaler Instrumente zu Übermittlungen ins Ausland führen kann – CRM, Cloud, digitales Onboarding, Tracker -, auch in Länder, deren Schutzniveau aus Schweizer Sicht als unzureichend gilt, wie z. B. die USA. EAMs müssen daher bei ihrem Auswahlverfahren für Dienstleister auch diesbezügliche Prüfungen einbeziehen.

Sicherheit personenbezogener Daten

Eine Verletzung der Datensicherheit liegt vor, wenn die Vertraulichkeit, Integrität oder Verfügbarkeit der Daten gefährdet ist, z. B. durch Phishing, Ransomware, Systemfehler oder das Versenden einer E-Mail an den falschen Empfänger. Die Mindestanforderungen an die Datensicherheit wird der Bundesrat in der Durchführungsverordnung zum revDSG präzisieren. Diese müssen umfassender in die Risikostrategie (und die Risikomatrix) integriert werden, die der EAM für seine gesamte Tätigkeit gemäss FinfraG/FINIV umsetzt (siehe unten). Darüber hinaus führt das revDSG eine Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ein, wenn eine Verletzung der Datensicherheit ein hohes Risiko nachteiliger Folgen für die betroffenen Personen birgt, und in bestimmten Fällen eine Meldung an die betroffene Person.

Pflichten bei der Unterauftragsvergabe

Im Falle der Auslagerung der Verarbeitung personenbezogener Daten – z. B. Outsourcing der Personalverwaltung, IT-/Cloud-Infrastruktur – müssen EAMs ihren Auftragnehmer sorgfältig auswählen, anweisen und kontrollieren. In diesem Rahmen ist der EAM verpflichtet, einen Vertrag abzuschliessen und sicherzustellen, dass der Auftragsverarbeiter nur die darin festgelegte (konforme) Verarbeitung durchführt, dass er nicht selbst ohne vorherige Genehmigung Unteraufträge vergibt und dass er die Datensicherheit gewährleisten kann. Wie oben erwähnt, müssen Fragen der Übermittlung ins Ausland geklärt werden.

Überlagerung mit Anforderungen des Regulierungsrechts

EAMs sind im Rahmen ihrer Zulassung als Vermögensverwalter nach dem Gesetz über Finanzinstitute und der entsprechenden Durchführungsverordnung verpflichtet, angemessene Regeln für die Unternehmensführung aufzustellen und ihre Organisation so zu gestalten, dass sie ihre gesetzlichen Verpflichtungen erfüllen können. Demgemäss müssen die EAMs insbesondere ihre Dienstleister, einschliesslich ihrer IT-Dienstleister, sorgfältig auswählen, anweisen und überwachen sowie ihre Risiken (einschliesslich der IT-/Cyber-Risiken) bewerten und verwalten.

Darüber hinaus fallen EAMs nach ihrer Zulassung durch die FINMA in den Geltungsbereich des FINMAG, das die Beaufsichtigten und ihre Prüfungsgesellschaften verpflichtet, die FINMA unverzüglich über alle für die Aufsicht relevanten Ereignisse zu informieren. Dazu gehören auch „bedeutende“ Cyberattacken.

Zusammenfassung

Zwar haben die EAMs im Rahmen ihres Zulassungsantrags als Vermögensverwalter bereits mit der Umsetzung der Vorschriften begonnen, aber die Aspekte in Zusammenhang mit dem revDSG sind nicht zu unterschätzen. In den Bereichen Datensicherheit und Outsourcing gibt es zwar Überschneidungen mit den Anforderungen des Regulierungsrechts, andere Aspekte jedoch wie die Informationspflicht, die Übertragung ins Ausland oder die Meldepflicht bei Verletzungen der Datensicherheit sind zusätzlich in die interne Organisation der EAMs zu integrieren.

Deborah Lechtman, Rechtsanwältin und Juniorteilhaberin der Kanzlei OA LEGAL, ist bei der Genfer Anwaltskammer eingetragen. Sie berät insbesondere Finanzinstitute, darunter Asset Managers, EAMs und Fintech-Unternehmen, auf den Gebieten Regulierungsrecht, Vertragsrecht und Datenschutz, einschliesslich der Datenschutzgrundverordnung DSGVO.
Deborah Lechtman ist zertifiziert als CIPP/E und CIPM (Certified Information Privacy Professional/Europe und Certified Information Privacy Manager).

Share: